Private mobile Endgeräte und der Datenschutz: Warum ein niedersächsischer Erlass als problematisch einzustufen ist – Wegweiser Digitale Schule

PRIVATE MOBILE ENDGERÄTE UND DER DATENSCHUTZ: WARUM EIN NIEDERSÄCHSISCHER ERLASS ALS PROBLEMATISCH EINZUSTUFEN IST

01.05.2020
Private mobile Endgeräte und der Datenschutz: Warum ein niedersächsischer Erlass als problematisch einzustufen ist © Drobot_Dean - stock.adobe.com

In Niedersachsen sorgte ein im Januar dieses Jahres veröffentlichter Erlass für erhebliches Stirnrunzeln – nicht nur bei mir. Darin wird klar kommuniziert, dass personenbezogene Daten auf dem Festspeicher privater mobiler Endgeräte nicht mehr zulässig sind.

Was heißt das im Detail genau? Warum ist diese neue Regelung als höchst problematisch anzusehen und welche Alternativen gibt es nun? Antworten darauf finden Sie in diesem Artikel.

Speicherung auf dem Festspeicher privater mobiler Endgeräte ist nicht mehr zulässig

Der im Niedersächsischen Ministerialblatt Nr. 3/2020 auf Seite 154 veröffentlichte Erlass (wweiser.de/ndsds) schränkt die Nutzung Ihrer privaten mobilen Endgeräte, wie Smartphones und Tablets, in hohem Maße ein. Demnach dürfen Sie keine personenbezogenen Daten mehr auf dem Festspeicher, also lokal, ablegen. Der Erlass gilt ab dem 01.01.2020.

 


Für Computer nur bedingt zutreffend

Der Erlass betrifft lediglich Smartphones und Tablets (mit den Betriebssystemen iOS/iPadOS, Android und ChromeOS). Computer mit Betriebssystemen wie Windows, macOS und Linux sind davon nicht betroffen. Trotzdem müssen Sie hier folgende Sicherheitsvorkehrungen treffen, um personenbezogene Daten speichern zu dürfen:

  • Erstellung eines separaten passwortgeschützten Benutzerkontos
  • Verschlüsselung der Verzeichnisse, die personenbezogene Daten beinhalten (wie das geht, können Sie in der Ausgabe Dezember 2019 nachlesen)
  • Online-Zugriffe müssen durch eine aktivierte Firewall im Betriebssystem verhindert werden.

 

Das dürfen Sie nicht mehr

Diese Speicherungen dürfen Sie nun nicht mehr vornehmen:

  • Sie nutzen auf Ihrem Telefon eine App, um die Leistungen Ihrer Schüler festzuhalten.
  • Auf dem Telefon haben Sie eine Tabellenkalkulations-App, um Fehlstunden der Schüler zu dokumentieren.
  • Im Telefonbuch haben Sie die Kontaktdaten der Erziehungsberechtigten hinterlegt. Dies erscheint mir schwer umsetzbar: Selbst wenn Sie die Einträge im Telefonbuch löschen – in Ihrer Anruferliste, also dem Protokoll, sind diese ja trotzdem noch gespeichert.

Zusammengefasst dürfen Sie keine Apps mehr einsetzen, die personenbezogene Daten im lokalen Speicher ablegen.

 

Das bleibt weiter erlaubt

Andererseits sind Cloud-Lösungen unter bestimmten Voraussetzungen zulässig:

  • Speicherung der personenbezogenen Daten auf einem gesicherten Schulserver
  • Auslagerung der Daten in eine Cloud-Lösung, wenn eine „Verarbeitung im Auftrag“ datenschutzrelevante Aspekte regelt (Details hierzu können Sie in Ausgabe April 2020 nachlesen)

Wenn Sie also beispielsweise auf Ihrem Smartphone eine Noten-App haben, in der die lokale Speicherung deaktiviert ist, und die Daten stattdessen auf dem Schulserver gespeichert werden, dürfen Sie diese App weiterhin nutzen.

 

Die Schulleitung kann Ausnahmen genehmigen

Möchten Sie dennoch weiterhin Ihr Smartphone oder Tablet zur Speicherung personenbezogener Schülerdaten nutzen, so benötigen Sie die Genehmigung der Schulleitung. In der Genehmigung müssen folgende Inhalte stichpunktartig aufgelistet sein:

  • Um welches IT-System (z. B. Huawei P30 oder iPad 2019) handelt es sich?
  • Welche App wird eingesetzt?
  • Welche Datenschutzmaßnahmen werden getroffen (z. B. Zugriffskontrolle, Verschlüsselungsmechanismen, Verhinderung von Online-Zugriffen)?
  • Welche Datensicherungsmaßnahmen werden getroffen (Gewährleistung des Datenabrufs, auch wenn das Endgerät beschädigt wird oder verloren geht)?

Dieser Genehmigungsantrag wird von der Lehrkraft und der Schulleitung unterschrieben. Das Original verbleibt in der Schule, eine Kopie bekommen Sie als Lehrkraft, eine weitere Kopie der zuständige Datenschutzbeauftragte. Die Genehmigung gilt für eine Dauer von 5 Jahren. Danach ist sie eventuell neu zu beantragen.

Wichtige Hinweise:

  • Ein Wechsel bei der Hard- oder Software bedingt eine neue Genehmigung!
  • Lesen Sie diese Genehmigungsverträge genau durch. Im Bundesland Mecklenburg-Vorpommern beispielsweise berechtigen Sie den Dienstherrn dazu, auf Nachfrage Einblick in das private Gerät zu nehmen!

 

Darum halte ich den Erlass für problematisch

Lassen Sie es mich vorsichtig formulieren: Der niedersächsische Erlass ignoriert teilweise technische Aspekte und ist nicht gänzlich zu Ende gedacht.

  • Smartphones und Tablets bieten mit PIN-Eingabe oder Fingerabdruck einen ausreichenden Schutz vor unbefugtem Zugriff.
  • In der Regel werden die lokalen Daten verschlüsselt abgespeichert.
  • Eine lokale Speicherung ist aus meiner Sicht einer Cloud-Lösung aus datenschutzrechtlichen Gründen immer vorzuziehen. Auch wenn verschlüsselt gespeichert wird – theoretische Fernzugriffe durch Dritte sind stets leichter vorzunehmen als der direkte, physische Zugang zum Gerät.
  • Folgt man den Formulierungen des niedersächsischen Erlasses, wäre ein Auslagern der Daten auf einem verschlüsselten USB-Stick sicherer als die verschlüsselte Speicherung auf dem Smartphone.
  • Die „analoge Speicherung“ (vulgo: mit Stift und Papier), z. B. im Lehrerkalender, ist weiterhin erlaubt. Der Zugriff durch Dritte kann dabei natürlich so gut wie gar nicht verhindert werden. Ein Smartphone ist in der Regel immer verschlüsselt – mit PIN-Code, Fingerabdruck oder Gesichtserkennung. Der klassische Lehrerkalender ist „unverschlüsselt“.

 

Diese Alternativen haben Sie

Zum Glück gibt es Alternativen, um dennoch personenbezogene Daten auf Ihrem Smartphone oder Tablet verarbeiten zu dürfen:

  • Der oben genannte Genehmigungsantrag. Zugegebenermaßen ist dieser mit einem nicht unerheblichen bürokratischen Aufwand verbunden. Wird er genehmigt, können Sie jedoch wie bisher weiter mit Ihrem privaten mobilen Endgerät arbeiten.
  • Sie können stattdessen auch auf die Verwendung personenbezogener Daten verzichten. Statt Klarnamen wie etwa „Marcel Huber“ zu verwenden, können Sie sich auf Kürzel wie „MH“ beschränken. Alternativ dazu ist auch eine Bezugnahme auf die Klassenliste denkbar: Verwenden Sie in Ihrer App als Namen „S8“, so können Sie schnell den Bezug zur Schülerliste herstellen – „S8“ entspricht dem Schüler Nr. 8 auf Ihrer Klassenliste. Diese beiden pragmatischen Lösungen verhindern personenbezogene Angaben, und somit greift der Erlass nicht.

 

Fazit: Ein realitätsferner Erlass, der hoffentlich nicht Schule macht

Die niedersächsische Verordnung ist mehr als fragwürdig: Cloud-Speicher soll sicherer sein als eine lokale Speicherung? „Echte“ Computer sind vom Erlass nicht betroffen, Smartphones und Tablets aber schon? Der Erlass tritt zum 31.12.2025 außer Kraft. Bis dahin hoffe ich, dass andere Bundesländer dem niedersächsischen Ansatz nicht folgen werden.

Noch mehr wünsche ich mir, dass nach diesem Zeitraum von der Regelung wieder Abstand genommen wird.

Jetzt Registrieren
Registrieren Sie sich jetzt, um WEGWEISER Digitale Schule in vollem Umfang nutzen zu können!

Jetzt registrieren

Diese Artikel könnten Sie auch interessieren
Die „Verarbeitung im Auftrag“: Warum Sie diese datenschutzrechtliche Regelung in der Schule unbedingt benötigen
- Datenschutz und der damit verbundene bürokratische Aufwand stoßen bei Schulen aus meiner Erfahrung meist auf wenig Gegenliebe. Das kann ich gut vers ...
Rollen Sie an Ihrer Schule Adobe-Spark-Lizenzen effizient und datenschutzkonform aus
- Beim Kompetenzbereich „Produzieren und Präsentieren“ eignen sich die Spark-Produkte von Adobe hervorragend für den Einsatz im Unterricht. Mit Pa ...
Zusammen rechnen: Mit EtherCalc arbeiten Sie gemeinsam in einer Tabellenkalkulation
- Ob im Mathematik- oder Informatikunterricht oder auch nur, um Informationen zusammenzutragen: Tabellenkalkulationen werden auch in der Schule benötig ...
Muss jede App von den Eltern genehmigt werden?
- Frage Wir setzen an unserer Schule Tablets ein. Neulich meinte ein Kollege, dass immer dann, wenn wir neue Apps auf den Geräten installieren, die Elt ...
Themen aus der selben Kategorie
Was versteht man unter der Lizenz CC BY-SA?
Frage Ihre Übersicht über die Creative-Commons-Lizenzmodelle haben mir sehr weitergeholfen. Trotzdem ist mir die Anwendung von CC BY-SA noch nicht k ...
Die „Verarbeitung im Auftrag“: Warum Sie diese datenschutzrechtliche Regelung in der Schule unbedingt benötigen
Datenschutz und der damit verbundene bürokratische Aufwand stoßen bei Schulen aus meiner Erfahrung meist auf wenig Gegenliebe. Das kann ich gut vers ...
Rollen Sie an Ihrer Schule Adobe-Spark-Lizenzen effizient und datenschutzkonform aus
Beim Kompetenzbereich „Produzieren und Präsentieren“ eignen sich die Spark-Produkte von Adobe hervorragend für den Einsatz im Unterricht. Mit Pa ...
Muss jede App von den Eltern genehmigt werden?
Frage Wir setzen an unserer Schule Tablets ein. Neulich meinte ein Kollege, dass immer dann, wenn wir neue Apps auf den Geräten installieren, die Elt ...