Datenschutz an Schulen: Digitalisierung, Microsoft Teams, Verschlüsselung und Co.

Schulen müssen streng auf den Datenschutz und die Einhaltung der Datenschutz-Grundverordnung achten. In diesem Blogpost schauen wir uns das Thema Datenschutz an Schulen und den Einsatz von Cloud-Diensten, insbesondere Microsoft Teams, näher an. Wir informieren außerdem über die Möglichkeit, Verschlüsselung zum Schutz der personenbezogenen Daten einzusetzen.

Personenbezogene Daten in Schulen

Schulen und die Datenschutz-Grundverordnung (DS-GVO), irgendwie scheint das eine zähe Geschichte zu sein. Aber was genau ist das Problem? In den Schulen wird tagtäglich mit zahlreichen personenbezogenen Daten gearbeitet. Welche Informationen genau unter diesen Begriff fallen, erfahren Sie in diesem Blogpost. Es finden sich schützenswerte Daten soweit das Auge reicht: personenbezogene Angaben wie der Name, die Adresse oder das Geburtsdatum der Schüler oder Schülerinnen, Noten und Leistungsnachweise, aber auch äußerst sensible Informationen wie Krankmeldungen.

Seit die DS-GVO im Mai 2018 in Kraft getreten ist, haben die Schulen ebenso wie Unternehmen oder Organisationen einige zusätzliche Pflichten, was diese personenbezogenen Daten betrifft. Laut der Webseite des „hessischen Beauftragten für Datenschutz und Informationsfreiheit“ ist die Schule dafür verantwortlich,

dass die Verarbeitung personenbezogener Daten von Schülern, Eltern und Lehrkräften rechtmäßig erfolgt und die erforderlichen Maßnahmen zum Datenschutz und der Datensicherheit getroffen werden.

Stellvertretend für die gesamte Schule übernimmt die Schulleitung die Verantwortung. Zusätzlich dazu müssen öffentliche Schulen einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte sowie einen Vertreter oder eine Vertreterin benennen.

Schulen und die Digitalisierung

Die Digitalisierung hat auch vor Schulen nicht halt gemacht und so haben bereits in den vergangenen Jahren mehr und mehr digitale Medien und virtuelle Unterrichtsformen im Schulalltag Einzug gehalten. Doch Anfang 2020 hat das Corona-Virus Schulen quasi über Nacht dazu gezwungen, auf Distanzunterricht umzusteigen und – um dies möglich zu machen – auf digitale Angebote zu setzen. Von einem Tag auf den anderen wurden Dokumente und Nachrichten zwischen den Lehrenden und ihren Schülern und Schülerinnen über Plattformen wie Microsoft Teams, OneNote, NextCloud oder Google Classroom ausgetauscht.

Um online zu jeder Zeit und von jeglichem Standort aus verfügbar zu sein, werden alle Daten, die über diese Plattformen ausgetauscht werden, in die Cloud-Speicher der jeweiligen Anbieter hochgeladen und dort aufbewahrt. Dies bringt uns zum Thema „Schulen und die Cloud“.

Schulen und die Cloud: Die großen, internationalen Player vs. kleinere spezialisierte Anbieter

Vorweg: Die Cloud ist nicht automatisch schlecht. Ganz im Gegenteil, sie bietet zahlreiche Vorteile wie die einfache Zusammenarbeit in Klassen oder Teams – unabhängig davon, an welchem Standort sich die Nutzenden befinden, welche Endgeräte verwendet werden und ob es gerade Tag oder Nacht ist. Die Nutzung von Cloud-Lösungen spart außerdem Kosten, erfordert keine lokale Installation und steht Schulen schnell und flexibel zur Verfügung.

Bedenken gibt es allerdings beim Thema Datenschutz. Denn bei vielen Cloud-Diensten ist es fraglich, inwieweit diese dem europäischen Datenschutz gerecht werden. Zum Teil liegt das nicht einmal in der Macht des Cloud-Anbieters. Amerikanische Unternehmen sind zum Beispiel durch den sogenannten CLOUD Act dazu verpflichtet, US-Behörden auf Anfrage Zugriff auf gespeicherte Kundendaten zu ermöglichen.

Ausländische Anbieter können aufgrund ihrer nationalgesetzlichen Regelungen nicht ausschließen, dass die Daten auch durch Sicherheitsbehörden ausgewertet werden. Oder die Anbieter behalten sich selbst vor, die Daten zu eigenen Zwecken zu analysieren, um beispielsweise Werbung zu schalten.

so Marit Hansen, die Datenschutzbeauftragte des Landes Schleswig-Holstein.

Deutsche oder europäische Cloud-Anbieter, wie die HPI Schul-Cloud, werben mit einem stärkeren Fokus auf Datenschutz, den sie schon aufgrund des Standortes und den Vorgaben durch die DS-GVO einhalten müssen. Doch diese Lösungen sind meist nicht so ausgefeilt wie die der großen Anbieter, können weniger Performance aufweisen oder sind preislich für Schulen keine Option. Zum Jahresende 2020 kristallisiert sich immer mehr heraus, dass sich während der Pandemie vor allem die Angebote von Microsoft, unter anderem Microsoft Teams, in einer Vielzahl an Schulen etabliert haben.

Digitaler Unterricht in Microsoft Teams?

Nicht nur zahlreiche Unternehmen, sondern auch immer mehr Bildungseinrichtungen nutzen Microsoft 365. Ein Grund hierfür ist sicherlich, dass Microsoft speziell für Schulen eine eigene Vorlage erstellt hat, die auf die Bedürfnisse des Schulalltags abgestimmt ist. Unter der Bezeichnung „Microsoft Bildung“ bietet Microsoft Bildungseinrichtungen verschiedene EDU-Pakete: Office 365 A1, A3 oder A5. Das Basis-Paket A1, das unter anderem Outlook, Word, Excel PowerPoint und Microsoft Teams enthält, ist kostenlos. Weitere Informationen zu den Bildungs-Angeboten.

In Microsoft Teams können Schulen bzw. die Lehrenden für Ihre Klassen oder bestimmte Unterrichtsfächer virtuelle Klassenzimmer erstellen, indem sie Teams und Unterkanäle anlegen. Durch die Vergabe von Berechtigungen, die für jeden virtuellen Raum unterschiedlich sind, können Gruppen beliebig zusammengestellt werden. Medien und Dateien werden so nur den jeweils berechtigten Personen zur Verfügung gestellt. Jeder Kanal hat einen Chat-Bereich (Beiträge), einen Dateien-Bereich und bei Bedarf weitere Registerkarten (Apps), die über das Menü aufgerufen werden.

Doch Microsoft bzw. die Microsoft-Dienste stehen regelmäßig in der Kritik. Kritikpunkte sind unter anderem, dass keine ausreichende Transparenz vorliegt, welche nutzerbezogenen Daten wie verarbeitet werden. Auch konnte nicht eindeutig bestätigt werden, dass Microsoft die Daten der Nutzer und Nutzerinnen angemessen schützt. Des Weiteren bestehen aufgrund des Unternehmensstandortes in den USA Bedenken, was die Möglichkeit eines Zugriffs der US-Behörden auf Grundlage von rechtlichen Verordnungen betrifft.

(Quelle: https://www.heise.de/news/Microsoft-Office-365-Die-Gruende-fuer-das-Nein-der-Datenschuetzer-4919847.html)

Wie schützt Verschlüsselung personenbezogene Schuldaten?

Bereits Cäsar wusste Verschlüsselung für sich zu nutzen, indem er durch das Verschieben von Buchstaben um eine bestimmte Anzahl im Alphabet wichtige Botschaften für Feinde nicht mehr entzifferbar machte. Über 2000 Jahre später ist Verschlüsselung deutlich komplexer geworden. Doch das Ziel ist nach wie vor dasselbe:

Das Umwandeln Ihrer Daten von Klartext zu einem Geheimtext, der nur für Personen lesbar ist, die über den richtigen Schlüssel zum Entschlüsseln verfügen.

Durch die Verschlüsselung personenbezogener Daten erfüllen Sie wichtige Sicherheitskriterien der EU-Datenschutz-Grundverordnung. Der Artikel 32 der DS-GVO (Sicherheit der Verarbeitung; 1 a) nennt die Verschlüsselung personenbezogener Daten als eine „geeignete technische und organisatorische Maßnahme (TOM), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Doch Verschlüsselung ist nicht gleich Verschlüsselung: Nur, wenn Ende-zu-Ende-Verschlüsselung zum Einsatz kommt, liegt der Schlüssel zu den Daten ausschließlich in Ihrer Hand. Bei dieser Art der Verschlüsselung hat auch der Anbieter selbst, also Beispielsweise der Cloud-Anbieter, keine Möglichkeit, den Klartext zu lesen.

Häufig wird dabei auch von Zero-Knowledge-Verschlüsselung gesprochen. In diesem Fall hat auch der Anbieter des Cloud-Speichers keine Kopie des Schlüssels, die in die falschen Hände geraten kann. Nur wenn Sie Ihre Daten vor dem Upload in den Cloud-Speicher Ihrer Wahl Ende-zu-Ende verschlüsseln und zu keiner Zeit den Schlüssel zum Entschlüsseln aus der Hand geben, ist gewährleistet, dass nur berechtigte Personen auf die Dateien zugreifen können.

Vorteile, durch den Einsatz von Ende-zu-Ende-Verschlüsselung:

• Verringerung der Wahrscheinlichkeit einer Datenpanne.
• Schutz der Daten auf dem Transportweg (zwischen Endgerät und Rechenzentrum oder verschiedenen Rechenzentren).
• Schutz der Daten am Speicherort (Cloud-Speicher, NAS, File Server oder lokal).
• In der Regel keine Meldepflicht bei Verlust von Daten, die nach aktuellem Stand der Technik verschlüsselt werden.
• Positiver Einfluss im Falle der Entscheidung über ein Bußgeld, da eine geeignete technische und organisatorische Maßnahme ergriffen wurde (Art. 83 Abs. 2 lit. c).

Boxcryptor für Schulen – Cloud-Sicherheit durch Ende-zu-Ende-Verschlüsselung

Boxcryptor hilft Schulen dabei, die Cloud dank Ende-zu-Ende-Verschlüsselung sicher und datenschutzkonform zu nutzen. In der Praxis bedeutet dies, dass Sie Dateien, die im Cloud-Dienst Ihrer Wahl gespeichert werden sollen, zuerst auf Ihrem Laptop, Tablet oder Smartphone verschlüsseln. Erst dann werden die Dokumente, Bilder oder Videos in die Cloud geladen. Für Sie als Anwender oder Anwenderin bedeutet das entweder ein Klick mit der rechten Maustaste und die Auswahl der Möglichkeit „verschlüsseln“ oder die Ablage der neuen Datei in einen bereits verschlüsselten Ordner.

Die komplexe Verschlüsselung der Datei übernimmt die Software für Sie im Hintergrund. Sobald die Dateien verschlüsselt sind, können nur noch die Personen, die über den notwendigen Schlüssel verfügen, die Daten in Klartext lesen.

Nutzen Sie Microsoft Teams mit Boxcryptor, gibt es für die Ablage von sensiblen Daten einen speziellen verschlüsselten Bereich, den Sie oben in der Menüleiste auswählen können. Sie haben außerdem die Möglichkeit, in Kanälen und Chats verschlüsselte Dateien als Beitrag zu posten und verschlüsselte Nachrichten im Chat zu schicken.

Screenshot: Boxcryptor für Schulen in Microsoft Teams

Die Verschlüsselungssoftware bietet Ihnen Flexibilität bei der Wahl der passenden Cloud. Ganz gleich ob Microsoft OneDrive, Microsoft Teams, NextCloud oder Google Drive, wir unterstützten über 30 verschiedene Cloud-Anbieter. Zusätzlich können auch NAS-Systeme, File-Server und lokal gespeicherte Daten verschlüsselt werden.

Während Lehrende, Schüler und Schülerinnen gemeinsam unkompliziert an ihren verschlüsselt in der Cloud abgelegten Daten arbeiten können, findet der für die Schule zuständige Administrator oder die Administratorin in der Web-Plattform von Boxcryptor zahlreiche Einstellungsmöglichkeiten für ein sicheres Zusammenarbeiten innerhalb der Organisation. Für Klassen oder das Kollegium können verschiedene Gruppen angelegt und Rechte vergeben werden. Außerdem können Richtlinien erstellt und die Aktivitäten der Boxcryptor-Nutzer und -Nutzerinnen nachverfolgt werden.

Wenn Sie diese Funktionen im Detail kennenlernen möchten, bieten sich unsere monatlichen Live-Webinare an. Dort erklären wir genau, was Boxcryptor kann und wie Sie Ihre Organisation erstellen und einrichten. Wer hingegen das Ganze in der Praxis testen möchte, kann alle Funktionen von Boxcryptor für Schulen 14 Tage kostenlos testen.

Wir haben uns dazu entschlossen, unsere Verschlüsselungssoftware für öffentliche Primär- und Sekundärschulen als spezielles Angebot zur Verfügung zu stellen. Denn wir finden, dass Schulen die Vorteile der Cloud nutzen sollten, um den Schulbetrieb und das Abhalten von digitalem Unterricht möglichst effizient und zeitgemäß zu gestalten. Dabei darf die Cloud-Sicherheit auf keinen Fall zu kurz kommen. Deshalb bieten wir die Möglichkeit, für 1.200 € pro Jahr „Boxcryptor für Schulen“ mit Lizenzen für insgesamt 500 Nutzer und Nutzerinnen zu erwerben. Diese können flexibel zwischen Lehrenden, Schülern, Schülerinnen und weiteren Mitwirkenden aufgeteilt werden. So können Sie Dateien vor dem Upload in die Cloud verschlüsseln und fortan sicher in der Cloud zusammenarbeiten.

Eine Video-Version dieses Artikels können Sie hier ansehen:

https://youtu.be/JUnw0k0XlyA