Es gibt in Nds. einen neuen Erlass zur Verarbeitung schulischer Daten auf Privatgeräten der Lehrkräfte …

… der im Netz momen­tan für sehr viel Furo­re sorgt, denn es gibt eine Schlüs­sel­stel­le:

Die Spei­che­rung per­so­nen­be­zo­ge­ner Daten auf dem Fest­spei­cher pri­va­ter mobi­ler End­ge­rä­te (Smart­pho­nes und Tablets) ist nicht zuläs­sig.

Damit sind auf den ers­ten Blick Noten­ver­wal­tungs­pro­gram­me wie Tea­cher­Tool auf pri­va­ten Gerä­ten von Lehr­kräf­ten unzu­läs­sig, weil Tei­le der Daten­hal­tung dabei auf dem End­ge­rät selbst gesche­hen. Auf den zwei­ten Blick gibt es dann die­ser Les­art Unsi­cher­hei­ten, da nicht immer klar gere­gelt ist, ob es sich bei ver­schlüs­sel­ten Daten wirk­lich um per­so­nen­be­zo­ge­ne Daten han­delt. Lei­der ist das immer eine Ein­zel­fall­ent­schei­dung. Tea­cher­Tool ist hier von Hau­se aus auf einem guten Weg: Back­ups las­sen sich schon heu­te extern erstel­len.

Die Ziel­rich­tung des eigent­li­chen Sat­zes scheint mir klar zu sein: Man möch­te pri­va­te Gerä­te als Zugangs­ge­rä­te für die Ver­ar­bei­tung schu­li­scher Daten auf exter­nen Ser­vern (etwa denen der Schu­le) ermög­li­chen. Auch die Ver­ar­bei­tung auf Ange­bo­ten von Dritt­an­bie­tern, z.B. Schul­ma­na­ger Online, ist mög­lich, wenn die Schu­le sich dabei qua­si stell­ver­tre­tend für alle Lehr­käf­te um die Ein­hal­tung der Regu­la­ri­en küm­mert (z.B. um eine Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung – ADV). Außer­dem ist eine ver­schlüs­sel­te Daten­über­tra­gung Pflicht, wie sie heu­te aber i.d.R. zumin­dest bei Nut­zung von Brow­sern selbst­ver­ständ­lich ist.

Dis­ku­tiert wird auch die­ser Satz (4.1.1), der schein­bar in einem Wider­spruch zum ers­ten steht:

Wer­den für die Spei­che­rung der Daten exter­ne Spei­cher­me­di­en ver­wen­det, sind die­se zu ver­schlüs­seln und so auf­zu­be­wah­ren, dass sie nur der Lehr­kraft selbst zugäng­lich sind.

Man darf ver­schlüs­sel­te Back­ups auf exter­nen Spei­cher­me­di­en able­gen, nicht aber auf dem End­ge­rät selbst.

Auch hier scheint mir die Ziel­rich­tung klar: Man möch­te auf jeden Fall ver­hin­dern, dass auch ver­schlüs­sel­te Datei­en über Clouds gro­ßer Anbie­ter wie Goog­le oder Apple syn­chro­ni­siert wer­den. Man traut dem durch­schnitt­li­chen Nut­zer nicht zu, die­se beque­men Funk­tio­na­li­tä­ten, die im pri­va­ten Bereich viel Sinn machen, für schu­li­sche Daten zu deak­ti­vie­ren. Das deckt sich mit mei­nen Erfah­run­gen auf Schu­lun­gen.

Erheb­lich und aus mei­ner Sicht erfreu­lich aus­ge­wei­tet wur­de der maxi­mal mög­li­che Daten­rah­men: Man darf auch Daten wie Tele­fon­num­mern und E‑Mailadressen der Erzie­hungs­be­rech­tig­ten ver­ar­bei­ten – das ging vor­her nicht. Bei Schüler*innen ist das aber nach wie vor nicht zuläs­sig und auch kon­sis­tent zur bis­he­ri­gen Argu­men­ta­ti­ons­li­nie unse­res Lan­des­in­sti­tuts für Daten­schutz. Für mich ste­hen hier bei der Beur­tei­lung eher päd­ago­gi­sche Über­le­gun­gen im Vor­der­grund.

Fazit

  1. Der Erlass macht die Hal­tung dienst­li­cher Daten auf einem pri­va­ten Gerät nahe­zu unmög­lich – nicht aber auf einem dienst­li­chen.
  2. Der Erlass wirkt steu­ernd dar­auf hin, dass Online­sys­te­me für die Schul­ver­wal­tung genutzt wer­den. Das ist auch sinn­voll, weil die Zugangs­vor­aus­set­zung „Brow­ser“ eine gerin­ge ist.
  3. Der Erlass wirkt indi­rekt dar­auf hin, dass schu­li­sche Daten (auch nicht zeit­ge­mäß ver­schlüs­selt) in Clouds gro­ßer Anbie­ter lan­den, es sei denn, die­se stel­len rechts­kon­for­me und inter­ve­nier­ba­re ADVs zur Ver­fü­gung. Das wird noch span­nend.
  4. Ich rech­ne nicht damit, dass eine ver­schlüs­sel­te Daten­hal­tung auf dem Gerät durch z.B. Tea­cher­Tool eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten dar­stellt. Aber das ist lei­der immer laut Rechts­spre­chung des EuGH zu prü­fen. Das Damo­kles­schwert, dass Tea­cher­Tool theo­re­tisch einen grö­ße­ren Daten­rah­men als den vor­ge­be­nen zur Ver­fü­gung stellt, bleibt unver­än­dert bestehen.

Edit, 9.2.2020

Satz 1 stand für mich bis­her in einem Wider­spruch zu Satz 4. Sprach­lich tut er das immer noch. For­mal wird der Erlass noch­mal hier kon­kre­ti­siert: Auf Note­books, PCs oder Tablets mit voll­wer­ti­gem Win­dows- oder Linux-Betrieb­sys­tem dür­fen nach Ein­hal­tung aller Regu­la­ri­en wei­ter­hin Schü­ler­da­ten mit dem jetzt gül­ti­gen, erwei­ter­ten Daten­rah­men ver­ar­bei­tet wer­den. Kon­kre­te Hin­wei­se, wie eine Ver­schlüs­se­lung vor­zu­neh­men ist, wer­den eben­falls gege­ben (hier exem­pla­risch für Linux und als Linu­xer hät­te ich dazu Fra­gen. z.B. war­um nicht die mitt­ler­wei­le stan­dard­mä­ßig bei der Instal­la­ti­on ange­bo­te­ne Ver­schlüs­se­lung der Home­ver­zeich­nis­se genutzt wird …).

Nur: Es hat ja Grün­de, war­um vie­le Lehr­kräf­te iOS, iPa­dOS, Andro­id oder Chro­me­OS nut­zen. Vie­le dürf­ten mit den zu Ver­fü­gung gestell­ten Anlei­tun­gen über­for­dert sein. Der Erlass wird m.E. web­ba­sier­ten Schul­ver­wal­tungs­sys­te­men hier in Nie­der­sach­sen erheb­li­chen Auf­wind geben und für erheb­li­che Ver­un­si­che­rung bei Lehr­kräf­ten und Schul­lei­tun­gen sor­gen …