Es gibt in Nds. einen neuen Erlass zur Verarbeitung schulischer Daten auf Privatgeräten der Lehrkräfte …
… der im Netz momentan für sehr viel Furore sorgt, denn es gibt eine Schlüsselstelle:
Die Speicherung personenbezogener Daten auf dem Festspeicher privater mobiler Endgeräte (Smartphones und Tablets) ist nicht zulässig.
Damit sind auf den ersten Blick Notenverwaltungsprogramme wie TeacherTool auf privaten Geräten von Lehrkräften unzulässig, weil Teile der Datenhaltung dabei auf dem Endgerät selbst geschehen. Auf den zweiten Blick gibt es dann dieser Lesart Unsicherheiten, da nicht immer klar geregelt ist, ob es sich bei verschlüsselten Daten wirklich um personenbezogene Daten handelt. Leider ist das immer eine Einzelfallentscheidung. TeacherTool ist hier von Hause aus auf einem guten Weg: Backups lassen sich schon heute extern erstellen.
Die Zielrichtung des eigentlichen Satzes scheint mir klar zu sein: Man möchte private Geräte als Zugangsgeräte für die Verarbeitung schulischer Daten auf externen Servern (etwa denen der Schule) ermöglichen. Auch die Verarbeitung auf Angeboten von Drittanbietern, z.B. Schulmanager Online, ist möglich, wenn die Schule sich dabei quasi stellvertretend für alle Lehrkäfte um die Einhaltung der Regularien kümmert (z.B. um eine Vereinbarung zur Auftragsdatenverarbeitung – ADV). Außerdem ist eine verschlüsselte Datenübertragung Pflicht, wie sie heute aber i.d.R. zumindest bei Nutzung von Browsern selbstverständlich ist.
Diskutiert wird auch dieser Satz (4.1.1), der scheinbar in einem Widerspruch zum ersten steht:
Werden für die Speicherung der Daten externe Speichermedien verwendet, sind diese zu verschlüsseln und so aufzubewahren, dass sie nur der Lehrkraft selbst zugänglich sind.
Man darf verschlüsselte Backups auf externen Speichermedien ablegen, nicht aber auf dem Endgerät selbst.
Auch hier scheint mir die Zielrichtung klar: Man möchte auf jeden Fall verhindern, dass auch verschlüsselte Dateien über Clouds großer Anbieter wie Google oder Apple synchronisiert werden. Man traut dem durchschnittlichen Nutzer nicht zu, diese bequemen Funktionalitäten, die im privaten Bereich viel Sinn machen, für schulische Daten zu deaktivieren. Das deckt sich mit meinen Erfahrungen auf Schulungen.
Erheblich und aus meiner Sicht erfreulich ausgeweitet wurde der maximal mögliche Datenrahmen: Man darf auch Daten wie Telefonnummern und E‑Mailadressen der Erziehungsberechtigten verarbeiten – das ging vorher nicht. Bei Schüler*innen ist das aber nach wie vor nicht zulässig und auch konsistent zur bisherigen Argumentationslinie unseres Landesinstituts für Datenschutz. Für mich stehen hier bei der Beurteilung eher pädagogische Überlegungen im Vordergrund.
Fazit
- Der Erlass macht die Haltung dienstlicher Daten auf einem privaten Gerät nahezu unmöglich – nicht aber auf einem dienstlichen.
- Der Erlass wirkt steuernd darauf hin, dass Onlinesysteme für die Schulverwaltung genutzt werden. Das ist auch sinnvoll, weil die Zugangsvoraussetzung „Browser“ eine geringe ist.
- Der Erlass wirkt indirekt darauf hin, dass schulische Daten (auch nicht zeitgemäß verschlüsselt) in Clouds großer Anbieter landen, es sei denn, diese stellen rechtskonforme und intervenierbare ADVs zur Verfügung. Das wird noch spannend.
- Ich rechne nicht damit, dass eine verschlüsselte Datenhaltung auf dem Gerät durch z.B. TeacherTool eine Verarbeitung personenbezogener Daten darstellt. Aber das ist leider immer laut Rechtssprechung des EuGH zu prüfen. Das Damoklesschwert, dass TeacherTool theoretisch einen größeren Datenrahmen als den vorgebenen zur Verfügung stellt, bleibt unverändert bestehen.
Edit, 9.2.2020
Satz 1 stand für mich bisher in einem Widerspruch zu Satz 4. Sprachlich tut er das immer noch. Formal wird der Erlass nochmal hier konkretisiert: Auf Notebooks, PCs oder Tablets mit vollwertigem Windows- oder Linux-Betriebsystem dürfen nach Einhaltung aller Regularien weiterhin Schülerdaten mit dem jetzt gültigen, erweiterten Datenrahmen verarbeitet werden. Konkrete Hinweise, wie eine Verschlüsselung vorzunehmen ist, werden ebenfalls gegeben (hier exemplarisch für Linux und als Linuxer hätte ich dazu Fragen. z.B. warum nicht die mittlerweile standardmäßig bei der Installation angebotene Verschlüsselung der Homeverzeichnisse genutzt wird …).
Nur: Es hat ja Gründe, warum viele Lehrkräfte iOS, iPadOS, Android oder ChromeOS nutzen. Viele dürften mit den zu Verfügung gestellten Anleitungen überfordert sein. Der Erlass wird m.E. webbasierten Schulverwaltungssystemen hier in Niedersachsen erheblichen Aufwind geben und für erhebliche Verunsicherung bei Lehrkräften und Schulleitungen sorgen …
This work by Maik Riecken is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International
Ich frage mich, ob die Formulierung „Festspeicher privater mobiler Endgeräte“ hier ein Schlupfloch bietet, wenn Programme wie TeacherTool oder Notenbox auf einer SD-Karte installiert werden.
Ich befürworte den Schutz von Schülerdaten generell sehr, kenne aber kaum noch jemanden, der nicht entweder ein Programm oder eine Excel-Tabelle zur Notenverwaltung nutzt.
Ich glaube das eher nicht. Die SD-Karte ist ja standardmäßig Teil von defaultmäßig eingestellten Sicherungen. Damit ist garantiert ein Datenträger gemeint, der nicht dauerhaft im Gerät verbleibt.
Tja, dann wird das wohl entweder das Ende dieser Tools bedeuten oder massive verdeckte Dienstvergehen.
Ich glaube kaum, dass der von dir erwähnte durchschnittliche Nutzer einen verschlüsselten Container für z.B. die Notenbox erstellen kann/wird.
Aber die neue Verpflichtungserklärung wird er seiner SL wohl unterschreiben…
„Die neue Verpflichtungserklärung“ dürfte für Schulleitungen ein ziemlicher Hammer sein.
„In dem Antrag auf Genehmigung sind das IT-System, die Software und die Datenschutz- und Datensicherungsmaßnahmen nach Nummer 4.1 in Stichworten zu beschreiben. Die Genehmigung ist zu erteilen, wenn die Lehrkraft die in Nummer 5 vorgeschriebene Verpflichtungserklärung abgibt. Die Genehmigung ist auf dem Antrag zu vermerken und mit dem Schulstempel zu versehen.“
Das will ich sehen – vor allem wie die Prüfung erfolgen soll und wer das macht …
Gilt eine passwortgeschütze ZIP Datei als verschlüsselt?
Formal kann man sich hieran orientieren – da werden keinerlei technischen Erfordernisse genannt. Aus meiner technischen Expertise heraus würde ich sagen: Eine Verschlüsselung einer ZIP-Datei ist je nach verwendetem Programm nicht ausreichend, zumindest nicht mit ZipCrypto. Hier ist eventuell eine Möglichkeit skizziert.
Hi,
was ist mit Notebooks? Da steht ja „mobile Endgeräte (Smartphones und Tablets)“ , dann wäre ein Notebook also kein mobiles Endgerät, richtig? Mit einer Excel-Tabelle darf ich weiter arbeiten, denke ich.
M.E. leider nein, da in Satz 1.1 steht:
„Private Endgeräte (stationär oder mobil) dürfen genutzt werden, um personenbezogene Daten auf einem gesicherten Server der Schule oder einer beauftragten Stelle […] zu verarbeiten.“
Entscheidend: „Auf einem gesicherten Server“ (… was auch immer das ist). Ob Notebook oder sogar PC sollte da egal sein … Da darfst aber einen USB-Stick mit einem verschlüsselten Container dranstecken – zur Datensicherung – versteht sich.
Hm. Sehr verwirrend. Unter 4.1.2 ist tatsächlich wieder die Rede von internen Speichermedien:
„Werden die Daten auf internen Speichermedien (z. B. Festplatte) gespeichert, sind die Daten durch geeignete technische Maßnahmen gegen Zugriff zu sichern. Dafür ist mindestens eine Zugriffskontrolle durch das Betriebssystem auf Verzeichnis- oder Dateiebene einzurichten sowie eine Verschlüsselung der Verzeichnisse, in denen die Daten gespeichert sind, vorzunehmen. Online-Zugriffe auf die Daten sind durch dem Stand der Technik entsprechende Vorkehrungen (z. B. Firewall) auszuschließen.“
Mal sehen, ob sich da die Tage etwas klärt – mir scheint das widersprüchlich zu Absatz 1 zu sein (Handy und Tablet sind aber wohl definitiv raus).
Ok. Hier wird das nochmal konkretisiert. Mit mobilen Geräten sind wohl nur solche mit iOS, Android oder ChromeOS gemeint. Die Exceltabelle ist gerettet.
Danke für die Klarstellung.
Bleibt natürlich die Anforderung, personenbezogene Daten zu verschlüsseln, da kümmere ich mich mal drum.
Insgesamt wird das so aber nie richtig gut werden. Der durchschnittliche Lehrer wird nicht in der Lage sein, zu steuern, in welcher Cloud welche Daten landen. Das gilt besonders bei der Verwendung von MS Office, wo es mittlerweile echt schwer ist, eine Synchronisation mit der MS Cloud zu verhindern (die aktuell wieder Server in USA verwendet, sodass selbst mit einer Beauftragung das nicht benutzt werden darf).
Der Dienstherr müsste also dringend den Lehrern Dienstgeräte zur Verfügung stellen, wo alles so voreingestellt ist, dass die Bestimmungen erfüllt sind. Dann ein sicheres VPN dazu, und es wird gut. Nur dass das in der Größenordnung, von der wir da reden, alles andere als trivial ist.
Diese Bestimmungen zur Nutzung von Privatgeräten sind da nur Feigenblättchen, die suggerieren, man würde was tun.
Zum Edit: Mir war es immer zu gefährlich, mein ganzes Homeverzeichnis zu verschlüsseln. Die ganze Installation erst recht.
Verliert man das Passwort, so sind die Daten komplett verloren. Ich bin mir unsicher, was im Fall einer Dateisystembeschädigung passiert.
Hier wird das abgewogen: https://www.makeuseof.com/tag/4‑reasons-encrypt-linux-partitions/
Wenn man schon die personenbezogenen Daten (schulrelevant) verschlüsselt, müsste man beim Schulleiter im Tresor den Schlüssel hinterlegen. Der Fall, dass man z.B. kurz vorm Abitur einen Unfall erleidet und dann den Schülern eine Halbjahresnote fehlt ist ja nicht so völlig unwahrscheinlich.
Ich finde es daher einen ganz sinnvollen Kompromiss, einen Ordner mit personenbezogenen Daten anzulegen und diesen zu verschlüsseln (von mir aus mit Veracrypt, oder mit ecryptfs), den Rest aber nicht. Das Passwort für diesen Ordner sollte man sicherheitshalber bei einer Vertrauensperson hinterlegen.
Mir ist also insgesamt nicht klar, wie (starke) Verschlüsselung einhergeht mit der Forderung nach Wiederherstellbarkeit der Daten.
Verschlüsselung und Datensicherung sollte man getrennt betrachten.
Die technischen Anforderungen an eine Datensicherung von verschlüsselten Dateien/Verzeichnissen sind erheblich(!) höher, da auch Datenrettungsfirmen da grundsätzlich in die Röhre gucken, die sonst sogar teilverkohlte Festplatten wiederherstellen.
Das halte ich übrigens für den wahren Baufehler des Erlasses. Krankheit ist ja der noch eher unwahrscheinliche Fall (die Hand kann man meist noch heben) – der liegengelassene Laptop im Zug ist wesentlich wahrscheinlicher.
Außerdem möchte niemand eine Datensicherung. Alle wollen eigentlich ein Restore im Fehlerfall. Die meisten prüfen aber gar nicht, ob sich irgendwas aus ihrer Sicherung wiederherstellen lässt – die Generalprobe ist dann oft der Katastrophenfall. Ein Backup, was den Namen verdient, hat man erst, wenn das erste erfolgreiche Restore gelaufen ist.
Passwörter sind eher eine schlechte Idee. Schlüsseldateien sind eine weitaus bessere. Aber auch die muss man irgendwo aufbewahren. pgp ist im Prinzip super dafür, aber auch super unkomfortabel.