Schule « Tags « riecken.de

(nicht nur) Truecrypt und Datenintegrität

13. August 2013 Maik Riecken 3 Kommentare

Truecrypt verschlüsselt Daten zuverlässig und stellt durch geeignete Maßnahmen (z.B. Zufallsschlüsselerzeugung durch Mausbewegungen) sicher, dass im Verlustfall des Geräts sensible Informationen nicht an Dritte weitergegeben werden. Im Prinzip gilt das für viele weitere Verschlüsselungssysteme auch.

Ein besonderes Sicherheitsmerkmal von TrueCrypt ist das Konzept der glaubhaften Abstreitbarkeit (englisch plausible deniability), also die Möglichkeit, bewusst Spuren versteckter Daten zu vermeiden. Dadurch soll es unmöglich sein, die Existenz verschlüsselter Daten nachzuweisen. TrueCrypt bietet hierfür eine besondere Funktion: Versteckte Container (Hidden Volumes) können innerhalb des freien Speicherplatzes eines anderen verschlüsselten Volumes versteckt werden. Wird man z. B. gezwungen, das Passwort für das Volume herauszugeben, gibt man nur das Passwort für das äußere Volume heraus; das versteckte und mit einem anderen Passwort verschlüsselte Volume bleibt unentdeckt. So sieht ein Angreifer nur unwichtige Alibi-Daten, die vertraulichen Daten sind verschlüsselt im freien Speicherplatz des verschlüsselten Volumes verborgen.Allerdings ist zu beachten, dass auf dem physischen Datenträger, im Betriebssystem oder innerhalb der verwendeten Programme Spuren zurückbleiben können, die die Existenz des versteckten Volumes für einen Angreifer offenbaren.

Quelle: http://de.wikipedia.org/wiki/Truecrypt#Konzept_der_glaubhaften_Abstreitbarkeit

In einem Staat ohne Folter sind derartige Maßnahmen natürlich hoffentlich überflüssig – obwohl schon überlegt wird, die Nichtherausgabe von Passworten im Ermittlungsfall unter Strafe zu stellen. Truecrypt gilt zumindest dabei als so sicher, dass es auch bei der Verarbeitung personenbezogener Daten auf privaten IT-Geräten von Lehrerrinnen und Lehrern empfohlen wird. Zudem treibt es Regierungen offenbar auch dazu, Gesetze wie RIPA zu erlassen – ein weiteres, starkes Indiz für die Effizienz von Verschlüsselungsverfahren.

In Truecrypt-Containern liegen nach heutigen Maßstäben Daten sicher vor dem Zugriff dritter Personen. Man sollte dabei aber nicht vergessen, dass Truecryptcontainer nach bestimmten Prinzipien gebaut sind:

Ohne zugehörigen Schlüssel sind ihre Inhalte nicht wiederherstellbar
Sie müssen sich gängigen forensischen Analysemethoden entziehen, um das Konzept der glaubhaften Abstreitbarkeit zu realisieren, d.h. insbesondere auch vor Datenwiederherstellungsfunktonen des Betriebssystems.

In der Tat lassen sich z.B. unter Linux mit Truecrypt verschlüsselte Dateisysteme nur im geöffneten Zustand auf Konsistenz prüfen – und das muss dann auch noch manuell geschehen. Datenretter selbst kapitulieren vor den Risiken bezüglich der Datenintegrität bei verschlüsselten Volumes und geben verhältnismäßig komplexe Backupempfehlungen. Ich bin ja „Nerd“, muss aber eingestehen, dass ich nur Datensicherungen mache, die ich auch automatisieren kann, weil ich sie sonst schlicht gar nicht mache.

Wenn man also Lehrern aus Gründen der Datensicherheit die Verschlüsselung vorschreibt, muss man ihnen konsequenterweise aus Gründen der Datenintegrität auch die im Vergleich zu unverschlüsselter Datenhaltung komplexere Backupprozedur vorschreiben.

Das könnte ein Akzeptanzproblem geben und zusätzlich viele technisch vollkommen überfordern. Selbst die „Nerds“ unter den Lehrkräften halten ein RAID1 oder 10 für eine ausreichende Datensicherung (das ist natürlich schon deutlich mehr an Sicherheit als ein einzelner Datenträger).

Fazit

Truecrypt ist damit wohl sicher. Insbesondere für kurzfristigen Transport von Daten durch nicht vertrauenswürdige Netze. Um Daten damit länger und verlässlich aufzubewahren, ist mein persönlicher Schweinehund zu groß.

Was tun?

Ich bin gerade dabei ein vollschlüsseltes Ubuntu mit LUKS auf meinem Netbook aufzusetzen, auf welchem ich Schülerdaten verwalte – das basiert auf dm-crypt und der Quellcode dazu liegt im Gegensatz zu dem von Truecrypt offen. Das geht bei Ubuntu völlig transparent (= ein Haken mehr) während der Installation. Das Ding bekommt zusätzlich einen passwortgeschützten Bildschirmschoner (auch üblich bei Ubuntu). Im Ergebnis hat man einen Linuxdesktop, der sich in nichts von einem normalen Linuxdesktop unterscheidet – sehr bequem. Soviel zur Datensicherheit.

Die Datenintegrität werde ich wohl durch Ausdrucke herstellen, zu denen ich mich wohl jeden Monat zwingen muss – unser Landesdatenschutzbeauftragte wird das im Prüffall auch tun und von mir fordern.

Tech-Talk Daten, Datenintegrität, Datensicherheit, Datensicherung, Datenverlust, Gefahr, personenbezogen, Schule, Schüler, Truecrypt, Verschlüsselung

Happy New Year!

13. August 2013 Maik Riecken Ein Kommentar

… wir sind in Niedersachsen wieder seit letztem Donnerstag auf der Welle bzw. in der Schule. Die Ferien waren für mich prima und das Wetter hat auch gestimmt. Der Stundenplan ist super und kommt den ganzen familiären Veränderungen sehr entgegen. Das Schuljahr wird für uns hier sehr bzw. historisch lang, da wir über 50(!) echte Schulwochen haben werden. Was steht in diesem Jahr in der Schule, der Medienberatung und damit auch hier im Blog an?

Informatikkurs Klasse 10

Seit langem mache ich mal wieder Informatik in der 10. Klasse. Das wird in diesem Jahr für mich sehr spannend, da ich mir in den Kopf gesetzt habe, irgendwann projektbasiert zu arbeiten. Dafür habe ich mir die Arduinoplattform ausgeguckt, mit der man von ganz simplen bis hin zu sehr komplexen Anwendungen eine Menge realisieren kann. Ich hoffe, dadurch die SuS begeistern zu können, da sie ja direkt Rückmeldungen zu ihren Programmen bekommen. Ein wenig Handwerk ist auch dabei. Zudem werden wohl auch einige Roboterbausätze hier eintreffen, die im Rahmen einer AG eingesetzt werden können, aber natürlich auch dem Informatikkurs zur Verfügung stehen. Ich muss mich dabei aber auch noch ganz schön in die Grundzüge der Informatik einarbeiten. Natürlich wird es hier auch den einen oder anderen Beitrag dazu geben …

Netzwerk an der Schule

Im Serverraum wurde die Decke neu gemacht, sodass die Maschinen erstmalig seit meiner Übernahme des Netzwerks abgeschaltet werden mussten. Daran hängt in der Schule zurzeit alles – auch die dienstliche E‑Mail (die bei uns lokal im Gebäude gespeichert und verschlüsselt übertragen wird). Das gab doch Gemurre, obwohl dieser „ganze neumodische Kram“ bei dem einen oder anderen vor zwei Jahren noch eher Ablehnung ausgelöst hat.

Das Hochfahren verlief zu Glück problemlos und auch die USV verrichtet nun Dank einer SNMP-Karte brav ihren Dienst (Überbrückungszeit: 5,5 Stunden – nunja, wohl doch etwas oversized, aber so bin ich nunmal).

Ein Switch und zwei Notebooks haben die Ferien mit ihrem Leben bezahlt, aber so allmählich ruckelt sich alls wieder zurecht. Demnächst bauen wir ein Schüler-WLAN für die Nutzung ab Klasse 10 auf. Das wird eine Hotspotlösung wie man sie z.B. auch von der Telekom kennt. Neu in diesem Jahr kann sich jede Lehrkraft auch für jede Kurs eine separate Gruppe bestellen und dann selbst verwalten.

Medienberatung

Der Laden brummt, ich bin bis zu den Herbstferien quasi ausgebucht. Noch in der Ferien habe ich ein weiteres lokalen Medienzentrum und eine recht große Schule mit einem vernünftigen Netzwerk versorgt – beim Medienzentrum habe ich sogar die Kabelverlegung mitgeplant. Unser eigenes Medienzentrum wächst und gedeiht. Es zieht nach und nach immer mehr Menschen zu Fortbildungen an. Schön. Als Schwerpunkt kristallisiert sich für mich immer mehr die Vernetzung an Schulen heraus – also alles, was mit Infrastruktur zu tun hat (Server, Switche, Kabel, Schulnetzwerklösungen). Da gibt es hier noch einiges zu tun …

Als laufendes Projekt bauen wir hier gerade auch ein eigenes Hostingangebot für Schulhomepages auf Basis von WordPress auf. Dabei stellt ein örtlicher Dienstleister die technischen Ressourcen kostenlos zur Verfügung, während wir vom Medienzentrum die Homepagebetreuer der Schulen fitmachen und beraten. Die Domain kauft und verwaltet jede Schule selbst, sodass die Haftung außen vor bleibt.

Unterricht

… mache ich auch noch ein wenig, z.B. einen Deutschkurs auf grundlegendem Niveau mit erstaunlich vielen P4 und P5-Prüflingen. Auch dieser Kurs wird wieder unter meinen Blogfantasien leiden müssen, wobei der Erfahrungen der letzten Runde natürlich mit einfließen – also mehr Struktur von mir. Und eine Chemieklasse habe ich auch noch. Dieses Jahr wird das letzte „lockere“, da danach mein Stundenkonto abgefeiert ist. Ich hatte es gebündelt über zwei Jahre genommen und mit der Abordnung im Zuge der Medienberatung bin ich dadurch nicht mehr viel im Unterricht.

Aber: Ich mache trotzden in diesem Jahre schon wieder 2,5 Stunden zu viel – auf eigenen Wunsch, damit der Übergang ins „harte Leben“ 2014/2015 dann abgefedert ist.

Seit langer Zeit finde ich einmal wieder die Gelegenheit, eine externe Veranstaltung zu besuchen – das Oercamp in Köln. Die Kölner machen viel mit Wikis – überhaupt nicht mein Fall, aber vielleicht komme ich da ja doch auf den Geschmack.

So. Das soll es erstmal gewesen sein – das normale Grundrauschen finde ich ja nicht so webkompatibel und daher kommt es hier dann auch nicht mit hinzu.

Aus der Schule Beginn, Jahr, Medienberatung, neu, Projekt, Schule

Nutzungsvereinbarung WLAN (Beispiel)

15. April 2013 Maik Riecken 10 Kommentare

Ich habe kürzlich eine Demonutzungsvereinbarung für die Nutzung des WLAN mit eigenen Geräten (BYOD) an Schulen entworfen. Sie basiert auf diesem Text, hat aber nicht mehr viel mit ihm gemein. Ich habe versucht, möglichst verständlich und schülerbezogen zu formulieren. Im Prinzip steht da nichts „Böses“ drin, was man nicht auch in gängigen Mobilfunkverträgen wiederfindet. Es ist ein Platzhalter <Die Schule> zum Einsetzen des eigenen Schulnamens vorhanden, den man durch Suchen&Ersetzen an die eigene Schule anpassen kann. Wie immer gilt:

Jede Art von Dokumenten mit rechtlicher Wirkung sind immer durch einen Juristen überprüfen zu lassen. Das gilt umso mehr, als dass jedes Bundesland über eigene Datenschutzrichtlinien verfügt!

… demnach werde ich in jedem Fall diese Nutzungsvereinbarung noch unserem Team vom Landesdatenschutzbeauftragten vorlegen. Inhaltlich kann man dazu das ein oder andere sagen. Der konkreten Schule ging es darum, die Nutzung von mitgebrachten Laptops und Tablet-PCs zu gestatten. Handys sind explizit nicht gewünscht. Aber da kann man ja die jeweilige Formulierung auf die eigene Schule zuschneiden.

Notwendig ist so eine Nutzungsvereinbarung aus meiner Sicht vor allem wegen Dingen wie „Störerhaftung“, aber natürlich auch aus Datenschutzgründen. Solche Regelungen sind wie immer völlig unnötig, so lange nichts passiert. Das ist so wie mit Erste-Hilfe-Kursen und Sicherheitsbelehrungen.

Im Wortlaut:

Nutzungsvereinbarung

über die Nutzung des hausinternen Internetzugangs über WLAN

Vorbemerkung:

Wenn wir dir als Schule unseren Netzzugang zur Verfügung stellen, möchten wir von dir fair behandelt werden. Außerdem müssen wir als Schule sicherstellen, dass nicht wir haften, wenn mit unserem Netzzugang Dinge geschehen, die nicht legal sind.

Von z.B. einer Sperrung oder Störung unserer Internetverbindung wären nämlich viele Menschen betroffen. Wenn wir dir Netzzugang gewähren, müssen wir dir also vertrauen und uns auf dich verlassen können. Daher bekommst du diese Möglichkeit nur, wenn du dich mit den Inhalten dieser Nutzungsvereinbarung einverstanden erklärst. Falls du etwas nicht verstehst oder Fragen hast, dann wende dich einfach an uns.

1. Gestattung der unentgeltlichen Mitbenutzung

<Die Schule> betreibt einen Internetzugang über WLAN. Sie gestattet dir Mitbenutzung des WLAN-Zugangs zum Internet, solange du dieser Schule angehörst. Die Mitbenutzung kostet dich nichts, kann dir aber jederzeit wieder untersagt werden, wenn du z.B. gegen diese Nutzungsvereinbarung verstößt. Das Schülernetz steht dir nur an ausgewählten Orten zur Verfügung.

Du darfst nicht deinen Freunden oder Bekannten die Nutzung des WLANs über deine Geräte gestatten. Das ist auch in deinem Interesse, da du für alle Handlungen, die über deine Zugangsdaten vorgenommen werden, verantwortlich bist.

<Die Schule> ist jederzeit berechtigt, den Betrieb des WLANs ganz, teilweise oder zeitweise einzustellen, weitere Mitnutzer zuzulassen und den Zugang der berechtigten Personen ganz, teilweise oder zeitweise zu beschränken oder auszuschließen.

<Die Schule> behält sich insbesondere vor, nach eigenem Ermessen und jederzeit den Zugang auf bestimmte Seiten oder Dienste über das WLAN zu sperren (z.B. gewaltverherrlichende, pornographische oder kostenpflichtige Seiten).

2. Zugangsdaten

Sämtliche Zugangsdaten (Benutzername sowie Passwort) sind nur zu deinem persönlichen Gebrauch bestimmt und dürfen in keinem Fall an andere Personen weitergegeben werden. Du verpflichtest dich, deine Zugangsdaten geheim zu halten. <Die Schule> hat jederzeit das Recht, Zugangscodes zu ändern.

3. Art der Nutzung

Du darfst das WLAN nur zu schulischen Zwecken mit Geräten nutzen, die mindestens über einen 7 Zoll großen Bildschirm oder Touchscreen verfügen. Eine Nutzung mit deinem Handy ist außerhalb des Unterrichts nicht gestattet, da wir dann nicht überprüfen, inwieweit du ggf. gegen das an unserer Schule grundsätzliche Handyverbot verstößt. Im Unterricht darfst du nach Anweisung durch deine Lehrkraft von dieser Regelung abweichen.

4. Hinweise, Gefahren der WLAN-Nutzung

<Die Schule> weist dich darauf hin, dass der unter Nutzung des WLANs hergestellte Datenverkehr unverschlüsselt erfolgt. Die Daten können daher möglicherweise von Dritten eingesehen werden. Das WLAN ermöglicht nur den Zugang zum Internet. Die abgerufenen Inhalte unterliegen keiner Überprüfung durch <Die Schule>, insbesondere nicht daraufhin, ob sie Schadsoftware enthalten. Die Nutzung des WLANs erfolgt auf eigene Gefahr und auf dein eigenes Risiko. <Die Schule> weist ausdrücklich darauf hin, dass die Gefahr besteht, dass Schadsoftware (z.B. Viren, Trojaner, Würmer, etc.) bei der Nutzung des WLANs auf dein Endgerät gelangt.

5. Verantwortlichkeit und Freistellung von Ansprüchen

Für die über das WLAN übermittelten Daten, die darüber in Anspruch genommenen kostenpflichtigen Dienstleistungen und getätigten Rechtsgeschäfte bist du selbst verantwortlich. Du bist verpflichtet, bei Nutzung des WLANs das geltende Recht einzuhalten. Du wirst insbesondere:

das WLAN weder zum Abruf noch zur Verbreitung von sitten- oder rechtswidrigen Inhalten nutzen
keine urheberrechtlich geschützten Güter widerrechtlich vervielfältigen, verbreiten oder zugänglich machen
die geltenden Jugendschutzvorschriften beachten
keine belästigenden, verleumderischen oder bedrohen den Inhalte versenden oder verbreiten
das WLAN nicht zur Versendung von Massen-Nachrichten (Spam) und / oder anderen Formen unzulässiger Werbung nutzen.

Erkennst du oder muss du erkennen, dass eine solche Rechtsverletzung und / oder ein solcher Verstoß vorliegt oder droht, weist du die Verantwortlichen der <Die Schule> auf diesen Umstand hin.

6. Dokumentation der Nutzung

Die Nutzung des WLAN durch die Benutzer wird durch die IT der <Die Schule> automatisch mit folgenden Daten dokumentiert

Nutzerkennung
Einlogdatum und ‑zeit
aufgerufene Internetdienste bzw. ‑seiten

Diese Daten werden nur für eine Dauer von maximal drei Monaten gespeichert. Danach erfolgt eine automatische Löschung. Eine Herausgabe deiner Daten an Dritte (z.B. Strafverfolgungsbehörden) erfolgt nur gemäß der geltenden Rechtslage.

Wir, <Die Schule>, brauchen diese Daten, um bei Rechtsverstößen über unseren Internetzugang die verursachende Person ermitteln zu lassen. Wir werden von uns aus keine anlasslose Prüfung oder systematische Auswertung dieser Daten vornehmen.

Schülerinnen und Schüler:

Ich erkenne die Nutzungsvereinbarung an.

_______________________________________________________ (Ort, Datum, Unterschrift)

Einwilligung in die Datenspeicherung;

Ich habe verstanden, welche Daten <Die Schule> dabei über mich zu welchem Zweck speichert und stimme dieser Speicherung zu. Ich kann die Zustimmung formlos und schriftlich jederzeit widerrufen. (Allerdings sind wir dann gezwungen, deinen Zugang wieder zu deaktivieren.)

_______________________________________________________ (Ort, Datum, Unterschrift)

Zusätzlich: Erziehungsberechtigte bei Schülerinnen und Schülern unter 18 Jahren

Ich erkenne die Nutzungsbedingungen an.

_______________________________________________________ (Ort, Datum, Unterschrift)

Einwilligung in die Datenspeicherung;

Ich habe verstanden, welche Daten <Die Schule> dabei über mein Kind zu welchem Zweck speichert und stimme dieser Speicherung zu. Ich kann die Zustimmung jederzeit mit der Folge der Deaktivierung des WLAN-Zuganges für mein Kind formlos und schriftlich widerrufen.

_______________________________________________________ (Ort, Datum, Unterschrift)

Quellen:

[1] http://www.erfolgreiche-gastgeber.de

[2] DTV-Nutzungsvereinbarung „WLAN“

Für diesen Beitrag gilt nicht die auf riecken.de übliche BY-NC-SA-Lizenz, da der Text (vgl. Quellen) stellenweise Formulierung aus frei verfügbaren Quellen aufgreift, die leider nicht unter einer CC-Lizenz stehen.

Aus der Schule, Methoden BYOD, Internet, LAN, Nutzungsvereinbarung, Schule, Schüler, WLAN

Der böse Datenschutz

26. März 2013 Maik Riecken 8 Kommentare

Teil 1: „Moral ist, wenn man moralisch ist.“

Nein, man darf Schülerinnen und Schüler als Lehrer nicht dazu bringen, im Netz Produkte unter dem jeweiligen Klarnamen zu veröffentlichen. Man darf auch nicht Produkte von Schülerinnen und Schüler der Netzöffentlichkeit zugänglich machen. Bilder veröffentlichen? Fehlanzeige, wenn Personen den Motivschwerpunkt bilden – das gilt auch für z.B. Klassenfotos. Man darf so erstmal im Unterricht keine Web2.0‑Tools mit ihnen nutzen und man darf auch Facebook oder Twitter nicht zu unterrichtlichen Zwecken einsetzen.

Dass man das alles nicht darf, liegt an denen im Vergleich zur übrigen Welt recht eng gefassten Datenschutzgesetzen, an die wir als verbeamtete Lehrkräfte in ganz besonderer Weise gebunden sind. Das ist schlimm, oder? Es behindert uns gemeinsam mit dem Urheberrecht in unserer täglichen Arbeit, es behindert uns dabei, zeitgemäß mit digitalen Medien im schulischen Kontext umzugehen. Das könnte doch alles viel leichter sein!

Ein Aufschrei ertönt in der Gesellschaft, wenn Bürgerrechte beschnitten werden, wenn private Unternehmen z.B. ohne Richtervorbehalt personenbezogene Daten abfragen können – dann ist es ganz schnell aus mit der Anonymität – als anonym bloggender Kollege jemandem zivilrechtlich auf die Füße treten? Der Klarname ist dann nur einen Klick entfernt – übrigens wahrscheinlich sogar auf Jahre noch nachweisbar. Deswegen so richtig nach Datenschutz schreien? Aber der Staat hat gefälligst dafür zu sorgen, dass meine Daten und meine Rechte geschützt werden! Und das bitteschön auch praktikabel! Und umsetzbar.

Was waren Beamte noch einmal? Ach ja – Bedienstete und damit Vertreter des Staates. Wenn persönliche Freiheiten bedroht sind, ruft man laut. Wenn Gesetze, die dafür da sind, persönliche Freiheiten Dritter zu schützen, von uns Lehrkräften umgesetzt werden sollen, ruft man auch laut.

These 1: Ist man selbst als Person betroffen, findet man Datenschutz super. Soll man Datenschutz in der Rolle des Staates umsetzen, findet man das doof.

Teil 2: „Die Daten von Schülern sind für niemanden relevant. Die Sorgen der Datenschützer sind übertrieben.“

Elektronische Klassenbücher sind eine feine Sache. Unterrichtsprotokolle, Krankmeldungen, Beurlaubungen, Tadel, vergessene Hausaufgaben – alles komfortabel über die Webschnittstelle oder per Synchronisation auf dem Mobilgerät abrufbar. Lernplattformen mit Leistungsdaten und Schülerprodukten – endlich eine Übersicht zu den einzelnen Leistungsständen, endlich die Möglichkeit, individuell zu fördern. Portfoliosysteme? Sehr bequem und transparent. Und vor allem: Jeder sieht nur die Daten, die er auch sehen darf! Diese Daten werden meist bei externen Anbietern gehostet und sind dort zentral zugänglich. Das ist auch kein Problem. Schließlich sind diese Daten dort sicher und für niemanden interessant – zumindest wird das gerne kommuniziert.

Nur: Absolute Datensicherheit gibt es nicht, obwohl jeder Anbieter alles daran setzen wird, den maximalen Standards gerecht zu werden. Leider sind zentral vorliegende Daten immer recht attraktiv, da sie in der Regel strukturiert und in einheitlichen Formaten vorliegenden, die sich sehr leicht auswerten lassen. Die Attraktivität beschränkt sich dabei nicht auf „die bösen Hacker“. Vorstellbar sind auch Auswertungen für künftige Arbeitgeber und Versicherungsgesellschaften. Die Relevanz von Daten für zukünftig denkbare Kontexte ist heute nicht vorhersehbar. Daher ist die Aussage „Die Daten von Schülern sind für niemanden relevant“ m.E. sehr mutig, weil eine gehörige Portion „Glaskugel“ eingedacht wird.

Und ich weiß nicht, ob sowas nie geschehen wird. Ich sehe, dass es Menschen gibt, die bei EC-Kartenzahungen vor mir an der Kasse bei jedem noch so kleinen Betrag ihre PIN eingeben müssen, während andere bei wesentlich höhreren Summen einen Wisch unterschreiben. Das liegt natürlich nicht daran, dass die Zahlung per PIN dem Händler garantiert wird, während die Einteilung der Einzugsermächtigung per Unterschrift weniger Kosten verursacht, aber das Risiko eines ungedeckten Kontos birgt. Es kommen auch nie Zugangsdaten großer Webdienste in Umlauf. Auch Kreditkartendaten werden nicht in entsprechenden Foren gehandelt. Unsere Daten sind sicher. Alle. Immer.

These 2: Die Attraktivität bzw. Relevanz von Daten für die Zukunft ist heute nicht vorhersagbar. Aussagen wie „Damit wird schon nichts passieren!“ erscheinen gerade im Kontext der heute schon beobachtbaren Entwicklungen mutig.

Teil 3: „Die Klassenbücher liegen in den Pausen frei aus. Im Lehrerzimmer treiben sich auch SuS herum. Da ist es doch geradezu hirnrissig zu sagen, dass Daten in einer geschützten IT-Umgebung bei einem Anbieter nicht viel sicherer aufgehoben sind!“

Rechenzeit ist nicht teuer. Auch das Algorithmenschreiben nicht sonderlich. Daten auf Papier sind einem Algorithmus nur mit erheblichem Aufwand zugänglich. Ein Klassenbuch muss Seite für Seite gescannt werden, um einer Datenverarbeitung zugänglich zu werden – aufgrund der individuellen Klassenbuchführung dürften auch OCR-Versuche einer erheblichen Nachbearbeitung bedürfen. Und dann habe ich immer noch nur die Daten einer Klasse. Der Aufwand rechnet sich in der Regel nicht – Lehrerkalender und Klassenbücher sind Datenschutzkatastrophen – ohne Frage. Aber nur in einem eng begrenztem Kontext. Eine Datenbank liegt immer in einem Format vor, was einem Algorithmus direkt zugänglich ist. Daten auf Papier nicht. Dass diese beiden Medien so unterschiedlich behandelt werden, hat also technische Gründe.

These 3: „Das Vorhandensein von Datenschutzlücken auf Papiermedien ist kein Argument für die Datenverabeitung in Rechenzentren.“

Was macht der Datenschutz?

Er fordert eine gesetzliche Grundlage zur Verarbeitung von personenbezogenen Daten, da dies ein Eingriff in die Grundrechte des Einzelnen darstellt.
Er fordert Datensparsamkeit: Nur für den jeweiligen Zweck erfordliche Daten dürfen erhoben werden. Im Falle einer technischen Panne sind so die offengelegten Daten in ihrer Menge von vornherein begrenzt.
Er schreibt Rechte fest: Man hat z.B. das Recht, Auskunft über die durch eine Firma oder Behörde verarbeiteten Daten zu verlangen.
Er schützt in besonderer Weise die Rechte von Personen, die nicht in ausreichendem Maße über technische Kompetenzen verfügen, um möglichen Stolpersteine auszuweichen.
Er nervt, wenn man selbst mit Daten Dritter umgehen möchte.
Er ist vielleicht jetzt schon vollkommen überflüssig, weil eh schon alle Daten über uns frei verfügbar sind. Die Frage ist, ob wir das in einigen Jahren immer noch denken werden. Naja. Der Mensch ist von Natur aus gut.

Wer mehr über die Grundlagen des Datenschutzes im Kontext von Schulen hier in Niedersachsen wissen möchte, sei auf eine Prezi verwiesen, die ich nach einer Schulung durch Mitarbeiter des Landesdatenschutzbeauftragten erstellt habe.

Wie gehe ich als explorative Lehrkraft damit um?

Ich erzeuge öffentlich keine personenbezogenen Daten (mehr). Entsprechende Einträge lösche ich zur Zeit aus diesem Blog. Ich kann im Netz Schülernamen pseudonymisieren. Es ist wichtig, dass ICH das tue. SuS neigen oft dazu, gängige Nicks aus sozialen Netzwerken weiterzuverwenden.
Ich kann mir die Einwilligung des Erziehungsberechtigten für die Verarbeitung von Daten holen, die nicht durch Gesetze oder Erlasse abgesegnet ist. Am besten entwickelt dabei die Schule selbst Richtlinien und Einwilligungserklärungen, die dann einfach im Rahmen der Schulanmeldung mit unterzeichnet werden – das macht ja eh jede Schule schon für die Verwendung von Schülerfotos, oder? An so eine Einwilligungserklärung sind aber bestimmte formale Regularien geknüpft. Vielleicht gibt es ja einen Juristen in der Elternschaft.
Mit externen Anbietern müssen zwingend Vereinbarungen zur Auftragsdatenverarbeitung geschlossen werden (Bundesdatenschutzgesetz). Es gibt die Unsitte, z.B. Lernplattformen oder Webdienste für die Schulorganisation einfach als Erweiterung des „Verwaltungsnetzes“ zu deklarieren, dessen Datenverarbeitung meist durch z.B. hier in Niedersachsen das Schulgesetz geregelt ist. Aber auch da gilt der Grundsatz der Erforderlichkeit – hier für Verwaltungsaufgaben.
Die Daten dezentral speichern, z.B. indem ich eigene Schulclouds aufbaue. Die Daten liegen dort meist nicht strukturiert und in einem Umfang vor, der es sonderlich lohnend machen würde, diesen Datenbestand von außen anzugreifen. Für Angriffe von innen hat man ggf. ganz andere forensische Möglichkeiten. Nebeneffekt: Für einen „staatlichen Server“ gelten viele Regelungen nicht, die ein privater Anbieter umzusetzen hat – z.B. die Schaffung von „Abhörschnittstellen“ ab einer gewissen Nutzerzahl.

Alles Quatsch und realitätsfern …

… es sind doch eh alle in sozialen Netzwerken. Post-Privacy! Es gibt schon jetzt kein Zurück. Meine kurze Antwort: Was Menschen selbst durch die Gegend pusten, pusten sie selbst durch die Gegend. Ich finde es nicht immer schlecht, Berufliches und Privates zu trennen. Immerhin erwarte ich auch von meinem Arbeitgeber, dass er sich in bestimmte Angelegenheiten nicht einmischt. Und natürlich sorgt die Vorlage von Einwilligungserklärungen für sozialen Stress, wenn z.B. einige Eltern oder SuS nicht unterschreiben wollen. Dieser Stress erzeugt nach meiner Erfahrung aber auch eine Auseinandersetzung mit dem Thema Datenschutz. In der Schulcloud kann man durchaus die Erteilung eines Accounts von dieser Erklärung abhängig machen. Ist es gar nicht zu lösen, arbeite ich eben mit der ganzen Gruppe pseudonymisiert und bin dann durch nichts eingeschränkt, weil ich – etwas Umsicht vorausgesetzt – keine personenbezogenen Daten erzeuge.

Aus der Schule, Gesellschaft, Tech-Talk Datenschutz, Internet, Niedersachsen, Schule, Schüler, Umgang, Umsetzung

Sagen Sie mal Herr Riecken, ist Petra immer noch in …

9. März 2013 Maik Riecken 4 Kommentare

… dabei hatte Petra erst zu Beginn der Stunde erfahren, dass es eine Klassenarbeit nachzuschreiben galt. Aber schon kurze Zeit später wusste die beste Freundin Bescheid und wollte sich nun vergewissern, ob sie warten oder allein nach Hause fahren sollte. WhatsApp macht es möglich und klar, dass der von vielen im Netz beschworene „Kontrollverlust“ über die Informationshoheit innerhalb der Schule nun auch virtuell Realität geworden ist.

Kontrolle hatte man als Schule darüber jedoch noch nie: Gerüchte, Buschfunk oder indirekt vermittelte Lehrerbilder gab es schon immer. Neu ist für mich lediglich die mediale Präsenz. Verbunden mit dem Klarnamenzwang – etwa bei Facebook oder G+ – sind Äußerungen praktischerweise viel eher einzelnen Personen zuzuordnen als früher in der diffusen Gerüchteküche einer Kleinstadt. Für mich stellt es auch ein gewaltiges Stück „Kontrolle“ dar, dass ich mit wenig Aufwand nun sogar recht einfach die Herkunft einer Äußerung personenbezogen ermitteln kann – in gravierenderen Fällen sogar mit amtlicher Unterstützung – schließlich ist das Netz kein rechtsfreier Raum, obwohl das oft behauptet wird. Ich habe selbst schon polizeiliche Anzeigen gemacht und erfahren, dass das in strafrechtlich relevanten Fällen, z.B. „Bombendrohungsscherzen“ ziemlich schnell gehen kann, bis man Menschen aus Fleisch und Blut vor sich stehen hat.

Schule hatte also in meinen Augen die Informationshoheit über das, was über sie und einzelne ihrer Lehrkräfte, Schüler und Angestellten veröffentlicht wird, noch nie. Durch das Internet ist aber der „Kleinsystemgerüchteprozess“ transparenter und dokumentierbarer geworden.

Das bietet eine Menge Chancen, die ein „Kleinsystemgerüchteverbund“ nicht hat. Es ermöglicht direkte Gespräche und vermittelt ebenso direkte Rückmeldung, ohne „kommunikative Bande“ wie z.B. Eltern oder Stammtischkollegen. Wenn das geschieht, ist viel gewonnen.

Es ermöglicht aber auch mit verhältnismäßig wenig Aufwand eine viel stärkere Kontrolle – ein Account bei einem sozialen Netzwerk öffnet da die Tür. Immerhin kann ich ja SuS auch direkt wegen einer geposteten Äußerung disziplinieren. Oder ich kann – wo ein disziplinarisches Eingreifen nicht möglich ist – implizit durch meine Machtposition psychologischen Druck aufbauen, etwa mit der Befürchtung, von nun an schlecht bewertet zu werden – nicht dass sowas je vorkäme…

Wie ich mich da als Schule verhalte, hat nicht mit der Art des „Informationshoheitsverlustes“ zu tun, sondern allein mit der Haltung, die ich gegenüber mir anvertrauten Menschen einnehme. Manchmal habe ich den Eindruck, dass der Kontrollverlust als ein möglicher Initiator von Veränderung gesehen wird. Es ist schön und begrüßenswert, wenn das tatsächlich eintritt. Aber im „Kleinsystemgerüchteverbund“ liegt prinzipiell die gleiche Chance – wo ist sie genutzt worden? Selbst wenn eine Evaluation das schriftlich festhält, was jeder „eh schon wusste“, bedarf es großer Anstregungen, daraus auch Konsequenzen zu zu ziehen. Im schlimmsten Fall löst die neue Öffentlichkeit von Rückmeldungen lediglich gewohnte systemische Beißreflexe aus.

Einmal mehr halte ich die Haltung für entscheidend – nicht das Medium, das diese transportiert.

Allgemein, Pädagogik Facebook, Kontrollverlust, Öffentlichkeit, Schule, Umgang

« 1 … 8 9 10 11 12 … 21 »