Es gibt in Nds. einen neuen Erlass zur Verarbeitung schulischer Daten auf Privatgeräten der Lehrkräfte …
… der im Netz momentan für sehr viel Furore sorgt, denn es gibt eine Schlüsselstelle:
Die Speicherung personenbezogener Daten auf dem Festspeicher privater mobiler Endgeräte (Smartphones und Tablets) ist nicht zulässig.
Damit sind auf den ersten Blick Notenverwaltungsprogramme wie TeacherTool auf privaten Geräten von Lehrkräften unzulässig, weil Teile der Datenhaltung dabei auf dem Endgerät selbst geschehen. Auf den zweiten Blick gibt es dann dieser Lesart Unsicherheiten, da nicht immer klar geregelt ist, ob es sich bei verschlüsselten Daten wirklich um personenbezogene Daten handelt. Leider ist das immer eine Einzelfallentscheidung. TeacherTool ist hier von Hause aus auf einem guten Weg: Backups lassen sich schon heute extern erstellen.
Die Zielrichtung des eigentlichen Satzes scheint mir klar zu sein: Man möchte private Geräte als Zugangsgeräte für die Verarbeitung schulischer Daten auf externen Servern (etwa denen der Schule) ermöglichen. Auch die Verarbeitung auf Angeboten von Drittanbietern, z.B. Schulmanager Online, ist möglich, wenn die Schule sich dabei quasi stellvertretend für alle Lehrkäfte um die Einhaltung der Regularien kümmert (z.B. um eine Vereinbarung zur Auftragsdatenverarbeitung – ADV). Außerdem ist eine verschlüsselte Datenübertragung Pflicht, wie sie heute aber i.d.R. zumindest bei Nutzung von Browsern selbstverständlich ist.
Diskutiert wird auch dieser Satz (4.1.1), der scheinbar in einem Widerspruch zum ersten steht:
Werden für die Speicherung der Daten externe Speichermedien verwendet, sind diese zu verschlüsseln und so aufzubewahren, dass sie nur der Lehrkraft selbst zugänglich sind.
Man darf verschlüsselte Backups auf externen Speichermedien ablegen, nicht aber auf dem Endgerät selbst.
Auch hier scheint mir die Zielrichtung klar: Man möchte auf jeden Fall verhindern, dass auch verschlüsselte Dateien über Clouds großer Anbieter wie Google oder Apple synchronisiert werden. Man traut dem durchschnittlichen Nutzer nicht zu, diese bequemen Funktionalitäten, die im privaten Bereich viel Sinn machen, für schulische Daten zu deaktivieren. Das deckt sich mit meinen Erfahrungen auf Schulungen.
Erheblich und aus meiner Sicht erfreulich ausgeweitet wurde der maximal mögliche Datenrahmen: Man darf auch Daten wie Telefonnummern und E‑Mailadressen der Erziehungsberechtigten verarbeiten – das ging vorher nicht. Bei Schüler*innen ist das aber nach wie vor nicht zulässig und auch konsistent zur bisherigen Argumentationslinie unseres Landesinstituts für Datenschutz. Für mich stehen hier bei der Beurteilung eher pädagogische Überlegungen im Vordergrund.
Fazit
- Der Erlass macht die Haltung dienstlicher Daten auf einem privaten Gerät nahezu unmöglich – nicht aber auf einem dienstlichen.
- Der Erlass wirkt steuernd darauf hin, dass Onlinesysteme für die Schulverwaltung genutzt werden. Das ist auch sinnvoll, weil die Zugangsvoraussetzung „Browser“ eine geringe ist.
- Der Erlass wirkt indirekt darauf hin, dass schulische Daten (auch nicht zeitgemäß verschlüsselt) in Clouds großer Anbieter landen, es sei denn, diese stellen rechtskonforme und intervenierbare ADVs zur Verfügung. Das wird noch spannend.
- Ich rechne nicht damit, dass eine verschlüsselte Datenhaltung auf dem Gerät durch z.B. TeacherTool eine Verarbeitung personenbezogener Daten darstellt. Aber das ist leider immer laut Rechtssprechung des EuGH zu prüfen. Das Damoklesschwert, dass TeacherTool theoretisch einen größeren Datenrahmen als den vorgebenen zur Verfügung stellt, bleibt unverändert bestehen.
Edit, 9.2.2020
Satz 1 stand für mich bisher in einem Widerspruch zu Satz 4. Sprachlich tut er das immer noch. Formal wird der Erlass nochmal hier konkretisiert: Auf Notebooks, PCs oder Tablets mit vollwertigem Windows- oder Linux-Betriebsystem dürfen nach Einhaltung aller Regularien weiterhin Schülerdaten mit dem jetzt gültigen, erweiterten Datenrahmen verarbeitet werden. Konkrete Hinweise, wie eine Verschlüsselung vorzunehmen ist, werden ebenfalls gegeben (hier exemplarisch für Linux und als Linuxer hätte ich dazu Fragen. z.B. warum nicht die mittlerweile standardmäßig bei der Installation angebotene Verschlüsselung der Homeverzeichnisse genutzt wird …).
Nur: Es hat ja Gründe, warum viele Lehrkräfte iOS, iPadOS, Android oder ChromeOS nutzen. Viele dürften mit den zu Verfügung gestellten Anleitungen überfordert sein. Der Erlass wird m.E. webbasierten Schulverwaltungssystemen hier in Niedersachsen erheblichen Aufwind geben und für erhebliche Verunsicherung bei Lehrkräften und Schulleitungen sorgen …