Und was ist mit Chromebooks?

Die Geschichte hinter der Geschichte

Ich habe ver­gan­ge­ne Woche einen Arti­kel bei Hei­se-Online zu der Fra­ge ver­öf­fent­licht, war­um iPads in deut­schen Schu­len so weit ver­brei­tet sind. Das Publi­kum bei Hei­se-Online ist i.d.R. eher tech­ni­kaf­fin und wesent­lich bun­ter gemischt als z.B. im Twitterlehrer:innenzimmer. Dem­entspre­chend kann man es nie­man­dem Recht machen, weil immer irgend­was nicht erwähnt oder zu ver­kürzt  dar­ge­stellt ist – oder man wahl­wei­se eh kei­ne Ahnung hat. Das ist der Fluch der Zei­chen­be­gren­zung. Beson­de­re Wel­len im Nach­gang schlug die Fra­ge, inwie­fern Chrome­books nicht eine gute Alter­na­ti­ve dar­stel­len wür­den. Die­se räum­ten schließ­lich auch gera­de die US-ame­ri­ka­ni­schen Markt auf.

Tat­säch­lich hal­te ich selbst Chrome­books tech­nisch dem iPad mitt­ler­wei­le für über­le­gen, ins­be­son­de­re im Hin­blick auf die zuneh­men­de Ver­an­ke­rung des Faches Infor­ma­tik (ja, es geht vor­an) an den Schu­len. Ich wäre tech­nisch sehr glück­lich mit Chrome­books in der Schu­le. Aber es geht nicht um mich. Das müs­sen gera­de wir Män­ner in Bera­tungs­pro­zes­sen immer wie­der neu lernen.

Die Perspektive des medienpädagogischen Beraters

In mei­ner Rol­le als medi­en­päd­ago­gi­scher Bera­ter bin ich prin­zi­pi­ell zu Neu­tra­li­tät ver­pflich­tet. Ich muss unter­schied­li­che Sys­te­me gleich­wer­tig neben­ein­an­der stel­len. Pro­dukt­vor­stel­lun­gen las­se ich i.d.R. die betref­fen­den Fir­men oder deren Distributor:innen machen. Schu­len defi­nie­ren dann ihre Anfor­de­run­gen und man schaut ins Umfeld der Schu­le, wel­che Resour­cen z.B. für Admi­nis­tra­ti­on und Garan­tie­ab­wick­lung vor­han­den sind. Wie sehen die Beschaf­fungs­struk­tu­ren beim Trä­ger aus? Und man schaut in das päd­ago­gi­sche Umfeld: Womit arbei­ten eigent­lich im Fal­le der Grund­schu­len die wei­ter­füh­ren­den Schu­len? Wel­che Sys­te­me sind in der beruf­li­chen Bil­dung eta­bliert? Wel­che über­schu­li­schen Koope­ra­ti­ons­mög­lich­kei­ten tun sich auf? Schu­len sind zudem zuneh­mend sen­si­bi­li­siert für Fra­gen des Daten­schut­zes und des Urhe­ber­rechts. Alle Anfor­de­run­gen und Wün­sche erfüllt heu­te kein Sys­tem. Wer bei der Beschaf­fung von End­ge­rä­ten für Schüler:innen nur auf die jewei­li­ge Schu­le schaut, denkt m.E. deut­lich zu kurz. Für den Erfolg oder Miss­erfolg einer Ein­füh­rung von End­ge­rä­ten gibt es deut­lich mehr Gelin­gens­be­din­gun­gen als rein technische.

Die Voraussetzungen vor Ort

Mein eige­ner Land­kreis ist rela­tiv fest in der Hand von IServ. Des­sen MDM kommt bis­her nur mit iPads zurecht. Daher gibt es hier vor Ort schon rein prag­ma­tisch bestimm­te Vor­ga­ben, die sich aber auch fle­xi­bel ändern. Unser Medi­en­zen­trum betreibt z.B. einen Big­Blue­But­ton-Clus­ter als Video­kon­fe­renz­lö­sung, die nach­mit­tags auch gemein­nüt­zi­gen Ver­ei­nen und ande­ren Bil­dungs­ein­rich­tun­gen offen­ste­hen wür­de – allein unser Mar­ke­ting dafür ist noch zu schlecht. Es gibt ein eige­nes Ether­pad, Din­ge wie einen Online­au­dio­edi­tor, eine Video­dis­tri­bu­ti­ons­platt­form oder ein Sys­tem zur Vor­be­rei­tung von Tafel­bil­dern. Vie­le ande­re Medi­en­zen­tren sind da noch nicht soweit mit ihrem Ange­bot an frei­en Softwarelösungen.

Bei Thema bleiben: Chromebooks?

Tat­säch­lich gibt es Schu­len in kom­mu­na­len Trä­ger­schaf­ten des Land­krei­ses, die eher Rich­tung Chro­me­OS oder auch Android gehen möch­ten. Daher habe ich mir in Koope­ra­ti­on mit einem Dis­tri­bu­tor drei Gerä­te ange­schaut, die über die Goog­le Admin-Kon­so­le steu­er­bar waren. Durch den Dis­tri­bu­tor wur­de die „Mana­ged Guest Ses­si­on“ als daten­schutz­kon­for­me Kon­fi­gu­ra­ti­ons­mög­lich­keit vor­ge­stellt. Dabei wer­den nach jeder Abmel­dung sämt­li­che Ein­stel­lun­gen vom Gerät gelöscht, sodass z.B. ein Nut­zer, der das Gerät am glei­chen Schul­tag ver­wen­det, kei­nen Zugriff auf frem­de Inhal­te und Doku­men­te hat. Ein Goog­le­kon­to ist zur Nut­zung der Gerä­te dabei nicht not­wen­dig. Die Nut­zung erfolgt kom­plett anonym – aller­dings ist der Ein­satz­zweck damit begrenzt: Die­ser Modus eig­net sich eigent­lich nur für „Kof­fer­ge­rä­te“, die man für ein­zel­nen Schul­stun­den ent­leiht. Tech­nisch ent­spricht das dem Gast­mo­dus von Shared-iPads.

Bei persönlichen Geräten möchte man etwas anderes

Chrome­Books zeich­nen sich dadurch aus, dass sowohl Ein­stel­lun­gen, Datei­en und sons­ti­ge Inhal­te mit den Cloud­sys­te­men von Goog­le abge­bil­det wer­den. Eine loka­le Nut­zung ist tech­nisch begrenzt mög­lich, beschnei­det aber die Ein­satz­mög­lich­kei­ten enorm. Bei einem Gerät, was kein Kof­fer­ge­rät ist, möch­te man die­sen Kom­fort nut­zen können.

Dazu wird tech­nisch ein Goog­le­kon­to benö­tigt. Die­ses kann man zwar über alter­na­ti­ve Authen­ti­fi­zie­rungs­sys­te­me wie z.B. auch IServ nut­zen – gleich­wohl muss eine wie immer gear­te­te Kopp­lung zwi­schen Authen­ti­fi­zie­rungs­me­tho­de und einem Benut­zer­ac­count in Goog­le Class­room statt­fin­den. Der Vor­schlag zum daten­schutz­kon­for­men Ein­satz lau­tet in dem Fall: Pseud­ony­mi­sie­rung, d.h. man erstellt Kon­ten mit Fan­ta­sie­na­men. In Bil­dungs­kon­tex­ten sind Fan­ta­sie­na­men wie­der­um sehr unprak­tisch – vor allem bei Koope­ra­ti­on und Kol­la­bo­ra­ti­on. Goog­le garan­tiert für Bil­dungs­in­sti­tu­tio­nen, dass Daten von Schüler:innen nicht für Wer­be­zwe­cke genutzt wer­den – mit Schrems II ist klar, dass US-Anbie­ter daten­schutz­tech­nisch bis­her alle das glei­che Pro­blem haben. Das Behar­ren von z.B. Micro­soft auf „Tele­me­trie­da­ten zur Ver­bes­se­rung der Nut­zungs­er­fah­rung“ gibt deut­lich Hin­wei­se dar­auf, wor­um es Anbie­tern letzt­lich geht. Das ist bei Erwach­se­nen, die die tech­ni­schen Abläu­fe dahin­ter nicht ver­ste­hen, schon frag­wür­dig, bei Schutz­be­foh­le­nen, die der Schul­pflicht unter­lie­gen, aus mei­ner Sicht ein kla­res Ausschlusskriterium.

Goog­le muss die­se Daten auch gar nicht nut­zen. Es reicht, die­se Daten zu haben, um sie spä­ter nut­zen zu kön­nen. Die Pseud­ony­mi­sie­rung schützt davor gera­de nicht – zuneh­mend wei­chen Anbie­ter auf bio­me­tri­sches Tracking aus, was inner­halb einer kon­zern­ei­ge­nen Platt­form noch ein­mal wesent­lich bes­ser funktioniert.

Bei App­le­pro­duk­ten ist es für eine Schu­le schon schwie­rig, im Fal­le von exter­nen Anfra­gen eine daten­schutz­kon­for­me Nut­zung nach­zu­wei­sen – die offe­ne Flan­ke sind hier tat­säch­lich „nur“ die MDM-Sys­te­me so man nicht App­les Class­room App nutzt.  Bei der per­so­na­li­sier­ten Nut­zung von Goog­le-Class­room oder der Online-Office­sui­te von Goog­le dürf­te das unmög­lich werden.

Und ja: In ihrer Frei­zeit machen Schüler:innen ja sol­che Din­ge auch und gehen viel sorg­lo­ser mit die­sen Daten um. Aus Eltern- oder Anbie­ter­per­spek­ti­ve ist die­se Argu­men­ta­ti­on nach­voll­zieh­bar – als Bera­ter kann ich mir das so nicht erlauben.

Bei iPads brau­che ich kei­nen per­so­na­li­sier­ten Nut­zer (obwohl dadurch vie­les deut­lich prak­ti­scher wird). Ich kann als Insti­tu­ti­on das Gerät trotz­dem weit­ge­hend auf die Anfor­de­run­gen der Schu­le zuschnei­den (das geht über die Admin­kon­so­le von Goog­le auch) und Ein­ga­ben wie z.B. Anmel­de­da­ten auf dem Gerät selbst erhal­ten. Das geht bei der „Mana­ged Guest Ses­si­on“ bei Chrome­books nicht und braucht – zumin­dest nach mei­nen Erfah­run­gen mit den Leih­ge­rä­ten  – eine per­so­na­li­sier­te Anmel­dung. Da vie­le Men­schen kein pra­xis­taug­li­ches Manage­ment von Zugangs­da­ten haben – Schüler:innen bis auf Aus­nah­men schon gar nicht – wird man im Unter­richt viel Zeit genau damit ver­lie­ren, Zugangs­da­ten wie­der­her­zu­stel­len oder zu besorgen.

Schließ­lich kann lokal nicht gespei­chert wer­den: Jedes Unter­richts­pro­dukt, jeder Text muss irgend­wie im Web erstellt oder dort abge­legt wer­den. Die Goog­le­welt lebt von einem per­so­na­li­sier­tem Zuschnitt. Ohne sind die Kom­fort­ein­bu­ßen und der Ver­lust an päd­ago­gi­schen Mög­lich­kei­ten immens. Als rei­nes Zugangs­ge­rät für web­ba­sier­tes Arbei­ten sind Chrome­books hin­ge­gen m.E. unschlag­bar und eine ech­te Alter­na­ti­ve zu iPads. Doch wel­che Schu­le ver­fügt dazu bis­her über eine ent­spre­chen­de Infra­struk­tur ohne vom Regen in die Trau­fe zu kom­men wie etwa bei Office 365 – was eine per­so­na­li­sier­te Anmel­dung erfordert?

Wie würde ich Chromebooks nutzen?

Ich arbei­te seit Jah­ren web­ba­siert. Mit der Mana­ged Guest Ses­si­on ist eine tech­ni­sche Grund­la­ge geschaf­fen, zumin­dest in der Schu­le daten­schutz­kon­form zu arbei­ten. Zu Hau­se kön­nen natür­lich alle Fami­li­en­mit­glie­der auf eige­ne Ver­ant­wor­tung wild ihre Goog­le-Accounts nut­zen – ggf. leis­tet man dem Vor­schub, wenn man Chrome­books in der Schu­le nutzt – aber das ist bei Apple umge­kehrt ja auch so. Ich kann mir das „leis­ten“, weil ich seit Jah­ren kei­ne Schul­bü­cher nut­ze und dazu auch die ent­spre­chen­den Fächer habe, die das ermög­li­chen. Für eine gan­ze Schu­le ist das erst­mal noch nichts in mei­nen Augen.

Sobald über die Schu­le beschaff­te Inhal­te ver­teilt wer­den sol­len, wird es wie­der haa­rig, wenn Tot­holz (= Papier) dabei kei­ne Rol­le spie­len soll. Da hat Apple mit dem ASM wie­der die Nase vorn. Wer heu­te schon kei­ne loka­len Apps braucht (man kommt auch ohne aus) und über eine DS-GVO-kon­for­mes, web­ba­sier­tes Cloud­sys­tem ver­fügt – dem wür­de ich auf gar kei­nen Fall zu iPads raten, das geht dann mit Chro­me- oder Linux­note­books deut­lich bes­ser – selbst rechts­kon­for­me Prü­fun­gen wären mög­lich, wenn­gleich je nach Sys­tem tech­nisch noch etwas tri­cky zu organisieren.

 

Die Hybris der Nerds

(Die Über­schrift ist gemei­ner­wei­se völ­lig sinn­ent­stel­lend aus einem aktu­el­len Zusam­men­hang geris­sen, aber die For­mu­lie­rung trifft es für mich so gut …)

Im Jah­re 2014 geneh­mig­te die EU-Kom­mis­si­on den Zusam­men­schluss von Whats­App und Face­book. 2017 stell­te sich her­aus, dass Face­book in wich­ti­gen, geneh­mi­gungs­re­le­van­ten Bereich Anga­ben mit einem eige­nen Ver­ständ­nis von Wirk­lich­keit gemacht hat­te. Kon­kret ging es um die Fra­ge, ob es mög­lich sein wür­de, die Daten­be­stän­de bei­der Unter­neh­men zusam­men­zu­füh­ren, um z.B. mehr Infor­ma­tio­nen für per­so­na­li­sier­te Dienst­leis­tun­gen zu gewin­nen. Face­book stritt die­se Mög­lich­keit 2014 ab und muss­te 2017 eine Stra­fe im unte­ren drei­stel­li­gen Mil­lio­nen­be­reich zahlen.

Was muss man mei­ner Mei­nung nach „Nerdi­ges“ wis­sen, damit man hät­te abschät­zen kön­nen, wie viel Wahr­heits­ge­halt die Behaup­tung von Face­book hat­te, dass die Daten­be­stän­de bei­der Unter­neh­men nicht zusam­men­führ­bar seien?

Man muss wis­sen, dass Daten­ban­ken prin­zi­pi­ell irgend­wie ana­log zu Tabel­len orga­ni­siert sind. Face­book hat­te eine Tabel­le mit u.a. Nut­zer­na­men und E‑Mailadresse, Whats­App eine mit Han­dy­num­mer und Nut­zer­na­men, z.B. sowas:

Face­book:

Nut­zer­na­me E‑Mailadresse
finchen74 harari@gmail.com
lisa56 l.fellner@freenet.de
peter.mueler89 peter.mueller@yahoo.com
[…] […]

Whats­App:

Nut­zer­na­me Han­dy­num­mer
finchen74 0856–90785656
lisa56 0789–45772598
peter.mueler89 0321–56432776
[…] […]

Wenn man bei­de Tabel­len hat – wie wahr­schein­lich ist es dann, dass man Daten zusam­men­füh­ren könn­te? Wie wür­de man das auf Papier lösen? Was hät­te ein Com­pu­ter für Vor­tei­le bei die­ser Arbeit?

Ich bemü­he die­ses Bei­spiel oft in Vor­trä­gen, weil man die Sache mit den Tabel­len schon in der Grund­schu­le machen kann. Das ist im Rah­men eines Grund­schul­pro­jek­tes sogar beforscht wor­den – den Abschluss­be­richt erwar­te ich gera­de sehnsüchtig.

Ein häu­fi­ges Argu­ment der Anhän­ger des „digi­ta­len Prag­ma­tis­mus“ („Ein­fach mal nut­zen!“) besteht dar­in, dass bestimm­te Rege­lun­gen sich nicht auf Schul­ebe­ne lösen las­sen, son­dern dass dafür poli­ti­sche Lösun­gen her müs­sen. Das ist auch mei­ne Mei­nung. Ich tei­le bloß nicht den Opti­mis­mus, dass dabei in der Haupt­sa­che sinn­vol­le Lösun­gen unter Wah­rung der Nut­zer­rech­te her­aus­kom­men wer­den oder eman­zi­pa­to­ri­sche Bewe­gun­gen auf der Ebe­ne der Nut­zung von z.B. Office365 ent­ste­hen. Wenn ich mir z.B. die jour­na­lis­ti­sche Bericht­erstat­tung zum The­ma Digi­tal­pakt anschaue, wird für mich die Hoff­nung nicht rea­ler, dass hier eine sach­lich fun­dier­te, kon­trol­lie­rend-kri­ti­sche Posi­ti­on ent­ste­hen wird.

Es sind für mich „Nerds“ wie ein David Krie­sel, die die­se Pro­ble­me ange­hen kön­nen. Tat­säch­lich wer­den heu­te schon Daten- und sons­ti­ge IT-Skan­da­le nur durch die Vor­ar­beit von „Nerds“ über­haupt erst mög­lich. Poli­tik ist es nicht, Pres­se ist es in der Haupt­sa­che in die­sem The­men­ge­biet nicht (Sagt David auch ab 46:20 im Pre­digt­teil des Vor­trags). Pres­se kann m.E. sehr viel aus die­sem Vor­trag dar­über ler­nen, wie Bericht­erstat­tung in sei­nen Grund­struk­tu­ren funk­tio­nie­ren könn­te – sich aber wahr­schein­lich so nicht ver­kau­fen lässt.

Akti­vie­ren Sie Java­Script um das Video zu sehen.
https://www.youtube.com/watch?v=0rb9CfOvojk

Mehr von die­ser nerdi­gen Hybris!

Und Nie­der­sach­sen qua­li­fi­ziert gera­de im Bereich infor­ma­ti­schen Bil­dung Lehr­kräf­te extrinsisch moti­viert (Vor­ga­be aus dem Digi­tal­pakt!) – ein Anfang, kei­ne Lösung.

Ein Vor­teil der Nerds: Sie haben eine viel grö­ße­re Chan­ce, die Sei­ten zu wechseln.

 

Es gibt in Nds. einen neuen Erlass zur Verarbeitung schulischer Daten auf Privatgeräten der Lehrkräfte …

… der im Netz momen­tan für sehr viel Furo­re sorgt, denn es gibt eine Schlüs­sel­stel­le:

Die Spei­che­rung per­so­nen­be­zo­ge­ner Daten auf dem Fest­spei­cher pri­va­ter mobi­ler End­ge­rä­te (Smart­pho­nes und Tablets) ist nicht zulässig.

Damit sind auf den ers­ten Blick Noten­ver­wal­tungs­pro­gram­me wie Tea­cher­Tool auf pri­va­ten Gerä­ten von Lehr­kräf­ten unzu­läs­sig, weil Tei­le der Daten­hal­tung dabei auf dem End­ge­rät selbst gesche­hen. Auf den zwei­ten Blick gibt es dann die­ser Les­art Unsi­cher­hei­ten, da nicht immer klar gere­gelt ist, ob es sich bei ver­schlüs­sel­ten Daten wirk­lich um per­so­nen­be­zo­ge­ne Daten han­delt. Lei­der ist das immer eine Ein­zel­fall­ent­schei­dung. Tea­cher­Tool ist hier von Hau­se aus auf einem guten Weg: Back­ups las­sen sich schon heu­te extern erstel­len.

Die Ziel­rich­tung des eigent­li­chen Sat­zes scheint mir klar zu sein: Man möch­te pri­va­te Gerä­te als Zugangs­ge­rä­te für die Ver­ar­bei­tung schu­li­scher Daten auf exter­nen Ser­vern (etwa denen der Schu­le) ermög­li­chen. Auch die Ver­ar­bei­tung auf Ange­bo­ten von Dritt­an­bie­tern, z.B. Schul­ma­na­ger Online, ist mög­lich, wenn die Schu­le sich dabei qua­si stell­ver­tre­tend für alle Lehr­käf­te um die Ein­hal­tung der Regu­la­ri­en küm­mert (z.B. um eine Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung – ADV). Außer­dem ist eine ver­schlüs­sel­te Daten­über­tra­gung Pflicht, wie sie heu­te aber i.d.R. zumin­dest bei Nut­zung von Brow­sern selbst­ver­ständ­lich ist.

Dis­ku­tiert wird auch die­ser Satz (4.1.1), der schein­bar in einem Wider­spruch zum ers­ten steht:

Wer­den für die Spei­che­rung der Daten exter­ne Spei­cher­me­di­en ver­wen­det, sind die­se zu ver­schlüs­seln und so auf­zu­be­wah­ren, dass sie nur der Lehr­kraft selbst zugäng­lich sind.

Man darf ver­schlüs­sel­te Back­ups auf exter­nen Spei­cher­me­di­en able­gen, nicht aber auf dem End­ge­rät selbst.

Auch hier scheint mir die Ziel­rich­tung klar: Man möch­te auf jeden Fall ver­hin­dern, dass auch ver­schlüs­sel­te Datei­en über Clouds gro­ßer Anbie­ter wie Goog­le oder Apple syn­chro­ni­siert wer­den. Man traut dem durch­schnitt­li­chen Nut­zer nicht zu, die­se beque­men Funk­tio­na­li­tä­ten, die im pri­va­ten Bereich viel Sinn machen, für schu­li­sche Daten zu deak­ti­vie­ren. Das deckt sich mit mei­nen Erfah­run­gen auf Schulungen.

Erheb­lich und aus mei­ner Sicht erfreu­lich aus­ge­wei­tet wur­de der maxi­mal mög­li­che Daten­rah­men: Man darf auch Daten wie Tele­fon­num­mern und E‑Mailadressen der Erzie­hungs­be­rech­tig­ten ver­ar­bei­ten – das ging vor­her nicht. Bei Schüler*innen ist das aber nach wie vor nicht zuläs­sig und auch kon­sis­tent zur bis­he­ri­gen Argu­men­ta­ti­ons­li­nie unse­res Lan­des­in­sti­tuts für Daten­schutz. Für mich ste­hen hier bei der Beur­tei­lung eher päd­ago­gi­sche Über­le­gun­gen im Vordergrund.

Fazit

  1. Der Erlass macht die Hal­tung dienst­li­cher Daten auf einem pri­va­ten Gerät nahe­zu unmög­lich – nicht aber auf einem dienstlichen.
  2. Der Erlass wirkt steu­ernd dar­auf hin, dass Online­sys­te­me für die Schul­ver­wal­tung genutzt wer­den. Das ist auch sinn­voll, weil die Zugangs­vor­aus­set­zung „Brow­ser“ eine gerin­ge ist.
  3. Der Erlass wirkt indi­rekt dar­auf hin, dass schu­li­sche Daten (auch nicht zeit­ge­mäß ver­schlüs­selt) in Clouds gro­ßer Anbie­ter lan­den, es sei denn, die­se stel­len rechts­kon­for­me und inter­ve­nier­ba­re ADVs zur Ver­fü­gung. Das wird noch spannend.
  4. Ich rech­ne nicht damit, dass eine ver­schlüs­sel­te Daten­hal­tung auf dem Gerät durch z.B. Tea­cher­Tool eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten dar­stellt. Aber das ist lei­der immer laut Rechts­spre­chung des EuGH zu prü­fen. Das Damo­kles­schwert, dass Tea­cher­Tool theo­re­tisch einen grö­ße­ren Daten­rah­men als den vor­ge­be­nen zur Ver­fü­gung stellt, bleibt unver­än­dert bestehen.

Edit, 9.2.2020

Satz 1 stand für mich bis­her in einem Wider­spruch zu Satz 4. Sprach­lich tut er das immer noch. For­mal wird der Erlass noch­mal hier kon­kre­ti­siert: Auf Note­books, PCs oder Tablets mit voll­wer­ti­gem Win­dows- oder Linux-Betrieb­sys­tem dür­fen nach Ein­hal­tung aller Regu­la­ri­en wei­ter­hin Schü­ler­da­ten mit dem jetzt gül­ti­gen, erwei­ter­ten Daten­rah­men ver­ar­bei­tet wer­den. Kon­kre­te Hin­wei­se, wie eine Ver­schlüs­se­lung vor­zu­neh­men ist, wer­den eben­falls gege­ben (hier exem­pla­risch für Linux und als Linu­xer hät­te ich dazu Fra­gen. z.B. war­um nicht die mitt­ler­wei­le stan­dard­mä­ßig bei der Instal­la­ti­on ange­bo­te­ne Ver­schlüs­se­lung der Home­ver­zeich­nis­se genutzt wird …).

Nur: Es hat ja Grün­de, war­um vie­le Lehr­kräf­te iOS, iPa­dOS, Android oder Chro­me­OS nut­zen. Vie­le dürf­ten mit den zu Ver­fü­gung gestell­ten Anlei­tun­gen über­for­dert sein. Der Erlass wird m.E. web­ba­sier­ten Schul­ver­wal­tungs­sys­te­men hier in Nie­der­sach­sen erheb­li­chen Auf­wind geben und für erheb­li­che Ver­un­si­che­rung bei Lehr­kräf­ten und Schul­lei­tun­gen sorgen …

 

 

 

Niedersachsen überarbeitet sein Schulgesetz hinsichtlich den Erfordernissen der DSGVO

Yeah. Wer es ganz genau nach­le­sen möch­te, fin­det den heu­te ver­ab­schie­de­ten Gesetz­ent­wurf in vol­ler Län­ge hier: http://www.stk.niedersachsen.de/portal/live.php?article_id=180273&_psmand=6.

Da das Lesen echt kei­nen Spaß macht, das aus mei­ner Sicht Wich­tigs­te kurz zusammengefasst:

Lernplattformen und Schulclouds

Kurz­fas­sung: Man wird in Nie­der­sach­sen nach mei­ner Ein­schät­zung jetzt Lern­platt­for­men und Schul­clouds noch abge­si­cher­ter als vor­her ohne Ein­wil­li­gung der Betrof­fe­nen ein­set­zen kön­nen. Die ent­spre­chen­de Rechts­norm lau­tet im geän­der­ten Schul­ge­setz folgendermaßen:

§31, Absatz 5, Satz 1–2: (1) Inter­net­ba­sier­te Lern- und Unter­richts­platt­for­men dür­fen nur ein­ge­setzt wer­den, soweit die­se den Anfor­de­run­gen der Daten­schutz-Grund­ver­ord­nung ent­spre­chen und die Schul­lei­tung dem Ein­satz zuge­stimmt hat. (2) Die Schu­le darf für den Ein­satz digi­ta­ler Lehr- und Lern­mit­tel per­so­nen­be­zo­ge­ne Daten der Schü­le­rin­nen und Schü­ler, der Lehr­kräf­te und der Erzie­hungs­be­rech­tig­ten ver­ar­bei­ten, soweit dies für die Auf­ga­ben der Schu­le erfor­der­lich ist.

Es gab dazu bis­her in Nie­der­sach­sen bereits eine geleb­te Rechts­pra­xis, du nun aus mei­ner Sicht noch­mal kon­kre­ti­siert und an die DS-GVO ange­passt wur­de. Im Wesent­li­chen hat man sich vor­her allein auf das Erfor­der­lich­keits­kri­te­ri­um gestützt.  Nicht freu­en wird kri­ti­sche Men­schen, dass die Schul­lei­tung hier als qua­si „geneh­mi­gen­de Instanz“ auf­ge­führt ist (über Aus­wahl digi­ta­ler Lehr- und Lern­mit­tel befin­det trotz­dem noch die Fach­kon­fe­renz, in der Eltern sowie SuS unter­re­prä­sen­tiert sind) und – soll­te z.B. Office365 die DS-GVO-Kon­for­mi­tät beschei­nigt wer­den – natür­lich auch kom­mer­zi­el­le Anbie­ter zur Wahl ste­hen (poli­tisch wird es m.E. eher dar­um gehen, die Nie­der­sach­sen­cloud recht­lich zu legitimieren).

Da Unter­richts­ent­wick­lung jedoch stets eng mit mög­lichst vie­len Betei­lig­ten an einer Schu­le ver­bun­den ist, wird man an Schu­len schon sehr dar­auf ach­ten, das The­ma mög­lichst breit zu diskutieren.

Span­nend ist die wie­der­um die doch recht wei­te Rechts­aus­le­gung des neu­en Absatz 5 auf S.23 der Ent­wurfs­fas­sung in „Beson­de­ren Teil“:

Satz 2 sichert die Zuläs­sig­keit des Ein­sat­zes digi­ta­ler End­ge­rä­te und stellt klar, dass die­se im Unter­richt und ins­be­son­de­re in schrift­li­chen Arbei­ten und Prü­fun­gen ver­wen­det wer­den dür­fen, auch wenn dabei per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet werden.

Über­haupt gebe ich dem „beson­de­ren Teil“ eine Lese­emp­feh­lung. Für jeman­den, der wie ich schon lan­ge mit den Dis­kus­sio­nen auf Lan­des­ebe­ne ver­traut ist, liest sich das stel­len­wei­se wie ein Kri­mi­nal­ro­man, weil man eben die Hand­schrift ein­zel­ner Play­er wie­der­zu­er­ken­nen glaubt – für Unein­ge­weih­te dann doch eher tro­cken. In der Grund­ten­denz sind aus mei­ner Sicht aber Eltern­rech­te beschnit­ten worden.

Mit Sicher­heit wer­den wir dem­nächst ergän­zen­de Erlas­se sehen. Es bleibt spannend.

 

 

Weiterentwicklung des Datenschutzes

Das Grund­pro­blem

Schu­le hat aus Sicht des Daten­schut­zes ein gra­vie­ren­des Pro­blem: Per­so­nen­be­zo­ge­ne Daten (Namen, Noten, Fehl­zei­ten usw.) wer­den in der Regel auch auf pri­va­ten Gerä­ten (Note­books, Tablets usw.) ver­ar­bei­tet, deren Soft­ware- und Aktua­li­sie­rungs­stand nicht kon­trol­lier­bar ist. Noch schlim­mer: Wer sich in einem Schul­netz wirk­lich ein­mal die Mühe macht, nach Frei­ga­ben und offe­nen Ports bei ein­ge­buch­ten Gerä­ten zu nut­zen, wird mit Sicher­heit fün­dig werden.

Es gibt beim nor­ma­len Anwen­der in der Regel über­haupt kein Bewusst­sein dar­über, wie die eige­nen Gerä­te zumin­dest mit Bord­mit­teln des Betriebs­sys­tems abge­si­chert wer­den kön­nen. Bei geschlos­se­nen Hard­war­uni­ver­sen wir z.B. bei App­le­pro­duk­ten hät­te er – selbst wenn er es woll­te – nicht ein­mal eine Mög­lich­keit der Absi­che­rung, son­dern ist auf die Vor­ga­ben der App­pro­gram­mie­rer und Gerä­te­her­stel­ler angewiesen.

Das ruft natür­lich jeden auf den Plan, der sich mit tech­ni­schem Daten­schutz beschäf­tigt. Es ist ver­lo­ckend, Schu­len in die­ser Hin­sicht Fir­men gleich­zu­stel­len, die in ihrem eige­nen Inter­es­se schon längst tech­ni­sche Lösun­gen dafür ent­wi­ckelt haben, sen­si­ble Daten zu schüt­zen. Dabei darf nicht ver­ges­sen wer­den, dass Fir­men in der Regel über aus­rei­chen­de finan­zi­el­le und per­so­nel­le Res­sour­cen ver­fü­gen, zum einen die Mit­ar­bei­ten­den hin­sicht­lich der Benut­zung der Fir­men­zu­gän­ge zu schu­len und zum ande­ren nicht nicht in der Ver­le­gen­heit sind, ihre Mit­ar­bei­ten­den mit ent­spre­chen­der Hard­ware aus­zu­stat­ten zu kön­nen und sich um deren Pfle­ge sowie Admi­nis­tra­ti­on zu kümmern.

Die Poli­tik ver­weist bei Kri­tik an die­sem Zustand dar­auf, dass es schließ­lich Sache der Schul­trä­ger sei, in den Schul­net­zen für ent­spre­chen­de Aus­stat­tung und Abhil­fe zu sor­gen. Der Schul­trä­ger wie­der­um kennt Netz­struk­tu­ren nur aus den eige­nen Ver­wal­tun­gen und so nimmt das Unheil dann sei­ne Lauf, wenn tech­ni­scher Daten­schutz z.B. im Rah­men der Ver­ar­bei­tung von Mel­de­da­ten 1:1 auf Schu­len über­tra­gen wird. Da gibt es dann

  • Schul­trä­ger, die den Ein­satz von WLAN gene­rell untersagen
  • Schul­trä­ger, die den Ein­satz von pri­va­ten Gerä­ten in Schul­net­zen gene­rell unter­sa­gen (Nein, das Mobil­funk­netz ist kei­ne Lösung, zumin­dest nicht flächendeckend)
  • Schul­trä­ger, die die Schul­netz­werk­lö­sun­gen und den Sup­port dafür out­sour­cen (z.B. damit oder damit), lei­der aber manch­mal Din­ge wie Fort­bil­dungkon­zep­te für Lehr­kräf­te ver­nach­läs­si­gen oder eben nicht in die Kal­ku­la­ti­on mit einbeziehen.
  • Schul­trä­ger, die auf­grund ihrer Erfah­rung in den Ver­wal­tun­gen, Hard­ware- und Raum­aus­stat­tungs­kon­zep­te fest vorgeben.

Und wer soll­te ihnen genau das ver­den­ken? An Schu­len gibt es schließ­lich meist nur Anwen­der­kom­pe­ten­zen, die das eige­ne End­ge­rät fokus­sie­ren und nicht Din­ge wie die Kon­zep­ti­on eines gan­zen Net­zes mit sei­ner Infrastruktur.

Die For­de­run­gen des Daten­schut­zes tra­gen in ganz erheb­li­chen Maße zu die­sem Dilem­ma bei.

Kei­ne kla­ren Aussagen

Für ein in mei­nen Augen recht weg­wei­sen­des Pro­jekt habe ich ver­sucht, von vorn­her­ein Daten­schutz­über­le­gun­gen mit ein­zu­be­zie­hen. Ich habe mich bei zustän­di­gen Stel­len erkun­digt und kon­kre­te Fra­gen zu kon­kre­ten The­men gestellt. Was dabei her­aus­kommt? Zwei Juris­ten, ein Tech­ni­ker und 3+n Mei­nun­gen. Dabei bräuch­ten Schu­len, die das The­ma Daten­schutz ernst­neh­men wol­len, drin­gend Unter­stüt­zung, z.B. bei:

  • der For­mu­lie­rung von Nut­zungs­ord­nun­gen im Schulnetz
  • der Fest­stel­lung eines Daten­rah­mens, der dem Gebot der Daten­spar­sam­keit genügt (Gehört der Beruf der Eltern in eine Schulakte?)
  • der For­mu­lie­rung von Nut­zungs­be­din­gun­gen bei der Nut­zung des schul­ei­ge­nen WLAN
  • der For­mu­lie­rung von Ein­ver­ständ­nis­er­klä­run­gen zur Nut­zung von Bil­dern der Schü­le­rin­nen und Schü­lern für die Öffent­lich­keits­ar­beit von Schu­len (eher Urhe­ber­recht, aber das ist nicht weni­ger diffizil)
  • der Auf­stel­lung von Min­dest­stan­dards den tech­ni­schen Daten­schutz betref­fend: Wo steht der Schul­ser­ver? Wie ist er gesichert? […]

Beklagt man das Feh­len von Mus­ter­schrei­ben, so wird immer wie­der dar­auf ver­wie­sen, dass jede Schu­le und jeder Schul­trä­ger indi­vi­du­el­le Vor­stel­lun­gen hat und daher immer auf den kon­kre­ten Fall geschaut wer­den müs­se. Wie soll aber eine Schu­le oder ein Schul­trä­ger etwas leis­ten, was sich über­ge­ord­ne­te Stel­len nicht zutrau­en? So geht es jeden­falls in mei­nen Augen nicht wei­ter. Mir scheint, dass die­ses Dilem­ma den Daten­schüt­zern selbst auch durch­aus bewusst ist. Die Tech­nik ist da noch rela­tiv leicht zu lösen und zu beherrschen.

Kri­tik

Man kann in mei­nen Augen nicht ein­fach etwas vor­ge­ben und ver­lan­gen, für das man selbst kei­ne Kon­zep­te und Modell­pro­jek­te vor­zu­wei­sen hat. Die Akzep­tanz wird gegen Null ten­die­ren und jeder wird in dem Bereich der neu­en Medi­en dann eher machen, was er will, bevor dann gar nichts an Inno­va­ti­on geschieht. Und das läuft den Grund­prin­zi­pi­en und der Inten­ti­on des Daten­schut­zes dann oft dia­me­tral entgegen.

1 2 3 4