Sonntag, 25. März 2018

Datenschutz und Datensicherheit werden auf die Lehrer abgewälzt

Versagen der Schulträger, des Landes und des Bundes


Dass wir in Deutschland die Digitalisierung der öffentlichen Verwaltung aber so was von verschlafen haben, zeigt sich insbesondere an den Grundschulen.

Frage doch mal die Lehrer Deiner Kinder, wie sie persönlich (nicht die Schulkinder) IT-technisch ausgestattet sind. Du wirst meistens zu hören bekommen, dass sie weder einen eigenen Büroarbeitsplatz noch einen von der Schule gestellten Laptop zur Verfügung haben.

Also arbeiten viele Lehrer notgedrungen zu Hause auf privaten Geräten (PC, Laptop, Tablet), um z.B. Halbjahres- und Jahreszeugnisse, Abschlusszeugnisse, Gutachten, Elternbriefe, Präsentationen für Elternabende, etc. zu erstellen. Und natürlich versenden sie auch eMails an Eltern, um z.B. Gesprächstermine zu vereinbaren, Protokolle von Elternabenden zu versenden oder per Elternbrief über anstehende Schultermine zu informieren.

Für ziemlich viel Aufregung sorgt derzeit ein vom NRW-Schulministerium an die Lehrer verschicktes Formular:
Genehmigung 
für die Verarbeitung von personenbezogenen Daten 
aus der Schule 
durch Lehrkräfte 
zu dienstlichen Zwecken 
auf privaten ADV-Anlagen von Lehrkräften 

Du findest das Formular hier: https://www.schulministerium.nrw.de/docs/Recht/Datenschutz/DienstanweisungAnlage.pdf

ADV ist die Abkürzung für automatisierte Datenverarbeitung, und die Anlagen, von denen im Formular die Rede ist, sind PCs, Laptops, Tablets und andere digitale Endgeräte.

Das Formular ist Anlage zum Runderlass des Ministeriums für Schule und Bildung vom 19.01.2018 (222-2.06.08.03.01-17491):
Dienstanweisung
für die automatisierte Verarbeitung
von personenbezogenen Daten in der Schule

Du findest die Dienstanweisung hier: https://www.schulministerium.nrw.de/docs/Recht/Datenschutz/DienstanweisungRdErl.pdf

In einer Pressemitteilung der Medienberatung NRW (https://app-mb.lvr.de/MedienBeratung/news.aspx?NNr=8642) heißt es u.a., dass das oben genannte Formular gewährleistet, dass Daten aus dem dienstlichen Kontext sicher auf Privatgeräten verarbeitet werden.

Auf der ersten Seite des Formular steht, dass die Erklärung dafür sorgt, dass die Lehrkräfte rechtssicher mit den Daten ihrer Schülerinnen und Schülern auf ihren privaten Endgeräten arbeiten können.

Fakt ist aber, dass das Formular von den Lehrerinnen und Lehrern eine rechtsverbindliche Unterschrift dafür verlangt, dass sie u.a. durch geeignete organisatorische und technische Maßnahmen die Datensicherheit gewährleisten.

Hier ein Auszug der zwingend/ verpflichtend umzusetzenden Maßnahmen:
  • Zugriffsschutz der eingesetzten privaten Endgeräte durch ein adäquates Verfahren (z.B. ein ausreichend sicheres Passwort)
  • Automatische Sperre der privaten Endgeräte nach maximal 15 Minuten Inaktivität
  • Anlegen eines eigenen Benutzerkontos für dienstliche Zwecke (sofern technisch möglich)
  • Verschlüsselung der gespeicherten Daten durch ein geeignetes Verfahren z.B. bei externen Datenträgern
  • Einsatz eines (Betriebs-)Systems, für das aktuelle Sicherheitsupdates verfügbar sind
  • Einsatz aktueller Virenschutz-Software
  • Einsatz einer Firewall
  • regelmäßige Aktualisierung der (Betriebs-)Systeme
  • regelmäßige Aktualisierung eingesetzter Anwendungen (z.B. Virendefinitionen)
  • regelmäßige Backups der verarbeiteten Daten
Unter Punkt 4 "Weitere Vorgaben" im Teil B "Datensicherheit" heißt es weiter:
"Backups der in Teil A genannten Daten in Cloudspeicherdienste sowie die Verarbeitung dieser Daten in cloudbasierten Anwendungen, zu denen zwischen Schulleiterin oder Schulleiter und Anbieter kein gültiges Vertragsverhältnis zur Verarbeitung personenbezogener Daten im Auftrag besteht, sind nicht zulässig. Darauf ist insbesondere bei Systembackups von mobilen Endgeräten zu achten und die betreffenden Daten zwingend bei solchen Backups auszuschließen.

Bei Nutzung von Schnittstellen zu schulischer IT-Infrastruktur, die einen direkten Zugriff digitaler Endgeräte auf personenbezogene Daten aus der Schule erlauben (z. B. IMAP für E-Mail, CalDAV für Kalender, CardDAV für Adressdaten oder WebDAV für Dateimanagementsysteme), ist sicherzustellen, dass andere auf dem angebundenen Endgerät installierte Anwendungen keinen Zugriff auf diese Daten haben können. (Beispiel: Zugriff von WhatsApp auf das Adressbuch). Im Zweifelsfall ist von der Nutzung der jeweiligen Schnittstelle oder der Anwendung abzusehen."

Die Lehrinnen und Lehrer wären doch mit dem Klammeraffen gepudert, wenn sie eine solche rechtsverbindliche Erklärung unterschreiben würden - mit allen rechtlichen (Haftungs-)Folgen, wenn da was schief läuft.

Frage dich doch mal selber, ob Du alle - wirklich alle - diese Vorgaben als Otto-Normalnutzer geregelt bekämst, also z.B. insbesondere:

  • Verschlüsselung der gespeicherten Daten durch ein geeignetes Verfahren z.B. bei externen Datenträgern
  • Ausschluß der schutzwürdigen Daten bei Systembackups auf mobilen Endgeräten
  • Sicherstellung, dass auf dem Endgerät installierte Anwendungen keinen Zugriff auf Schnittstellendaten schulischer IT-Infrastruktur haben
Das Formular zeigt doch das ganze Ausmaß des Versagens der kommunalen Schulträger, des Landes und des Bundes in Sachen Digitalisierung und damit auch in Sachen Datenschutz/ Datensicherheit.

Jedem IT-Sicherheitsbeauftragten/ Datenschutzbeauftragten eines Unternehmens würden sich die Fußnägel hochklappen, wenn das Unternehmen so mit Kunden- und Mitarbeiterdaten umgehen würde - sprich in die alleinige Verantwortung des zu Hause auf einem privaten Endgerät arbeitenden Mitarbeiters legen würde - und die "Absicherung" nur darin bestünde, sich vom Mitarbeiter bestätigen zu lassen, dass er ja alle erforderlichen Schutzmaßnahmen umsetzt und einhält. Prost Mahlzeit!

Nein, ein Unternehmen würde in diesem Fall geradezu grob fahrlässig handeln. Es ist ureigenes Interesse eines Unternehmens, Datensicherheit und Datenschutz als Hauptaufgaben des Unternehmens zu verstehen. Mal ganz abgesehen davon, dass mit Geltung der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) ab dem 25.05.2018 Datenschutzverstöße Unternehmen bis zu 20 Mio. € kosten können - oder, sofern höher, bis zu 4% der weltweiten Umsätze.

Was für ein Unternehmen gilt, muss auch für die kommunalen Schulträger gelten. Datenschutz und Datensicherheit sind ureigene Aufgaben des Schulträgers (bzw. des Landes und des Bundes) und dürfen nicht an die Lehrer delegiert werden.

Es gibt zahlreiche Möglichkeiten, Datenschutz und Datensicherheit auch für die zu Hause arbeitenden Lehrer zu gewährleisten, z.B.:
  • Ausstattung mit einem Schullaptop, nach einheitlichem Standard mit allen erforderlichen Komponenten ausgestattet, z.B.
    • Betriebssystem, inkl. automatische Aktualisierung
    • Virensoftware, inkl. automatische Aktualisierung
    • Verschlüsselung sämtlicher Daten
  • Zugriff auf Schulserver über Virtual Private Netork (VPN) mit 2-Faktor-Authentifizierung

Einstweilen kann man den Lehrerinnen und Lehrern nur empfehlen: Kehrt zu Papier und Bleistift,  zur Schreibmaschine oder zur Schiefertafel zurück - "Back to the roots".

Keine Kommentare:

Kommentar veröffentlichen