Wir freuen uns Ihnen mitzuteilen, dass wir gemeinsam mit Dropbox, Inc. ein neues Kapitel aufschlagen werden. Dropbox erwirbt unsere IP-Technologie, um sie nativ in das Dropbox-Produkt einzubetten und damit Millionen von Geschäftskunden weltweit Ende-zu-Ende-Verschlüsselung mit Zero Knowledge bieten zu können. In unserem Blog erfahren Sie mehr!

Datenschutz in Bildungseinrichtungen (Pixabay Abacus)
Andrea

Andrea Pfundmeier | CEO

@A_Pfund

Bildungseinrichtungen: So steht es um den Datenschutz an Schulen und Universitäten

Gibt es eigentlich irgendjemanden, der positive Erinnerungen an den IT-Unterricht an seiner Schule hat? Die Anekdoten, die ich zu hören bekomme, handeln ausschließlich von veralteter Hardware und Missgeschicken. Natürlich ist es lustig, wenn der Permanentmarker auf dem Touchscreen landet, doch leider ist diese Geschichte schon fast eine Metapher für die IT-Struktur an unseren Schulen.

Ich habe es mir zur Aufgabe gemacht, für Schüler und Schülerinnen ein Vorbild als Unternehmensgründerin zu sein und bin zu diesem Zweck immer mal wieder in Projektseminaren an Schulen eingeladen. Wenn ich mich in diesem Zusammenhang mit den Lehrern und Lehrerinnen unterhalte, kommen wir schnell auf Themen wie Datenschutz und IT-Sicherheit zu sprechen. Schließlich setze ich mich aktiv dafür ein, dass diese Bereiche in der Lehre einen größeren Platz einnehmen.

Der Aufruhr um das Software-Paket Office 365, hat mich nun erneut nachdenklich gemacht. Erinnern Sie sich, dass der hessische Beauftragte für Datenschutz und Informationssicherheit, Michael Ronellenfitsch, der Meinung ist, Office 365 dürfe nicht mehr an Schulen verwendet werden? Der Aufschrei war groß – unter den Lehrkräften, wie auch von Microsoft. Ronellenfitsch hatte seine Aufgabe ernst genommen, denn Datenschutz an Schulen ist deshalb ein besonders heikles Thema, weil die betroffenen Personen Minderjährige sind. Aus diesem Grund schauen die Datenschutzbeauftragten bei Schulen besonders genau hin.

Ich möchte Ihnen heute einen Überblick über die Situation der IT-Sicherheit in Bildungseinrichtungen geben.

Die DSG-VO und die Schutzwürdigkeit von Kindern

Schulen sammeln über ihre Schüler und Schülerinnen nicht nur Noten und Bewertungen schulischer Leistungen. Etliche weitere Informationen, an die man vielleicht nicht sofort denkt, werden gespeichert und elektronisch verarbeitet:

  • Berichte über Verhaltensauffälligkeiten
  • Berichte über das Sozialverhalten
  • Notizen zu Abwesenheitszeiten und Krankheiten
  • Adressdaten und Kontaktinformationen der Erziehungsberechtigten

Laut Erwägungsgrund 38 der DSGVO verdienen solche Informationen noch einmal besonderen Schutz:

Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind.

Dezentrales Arbeiten ist die Regel

Für Angestellte im Bildungsbereich ist dezentrales Arbeiten oft eher die Regel als die Ausnahme. Vor allem für Lehrer und Lehrerinnen sind Vorbereitungszeiten und Korrekturen im Home Office ganz normal. Dazu kommt der Datenaustausch mit Schülern und Schülerinnen, Erziehungsberechtigten, Schulverwaltung, Kollegen und Kolleginnen.

Datenschutzrechtlich kann diese Arbeitsweise zum Problem werden, denn um gleichzeitig flexibel und sicher zu arbeiten, ist ein gewisses Maß an IT-Affinität notwendig. Es muss stets sichergestellt werden, dass die Lehrkräfte über das nötige Wissen und die technischen Voraussetzungen verfügen, die von ihnen gespeicherten Daten angemessen sicher zu verwalten.

Dabei ist die Hardware ein nicht zu vernachlässigender Faktor. Bei einer Umfrage, die wir Anfang 2019 bei den Nutzerinnen und Nutzern von Boxcryptor durchgeführt haben, wurde als Grund für die Verwendung unserer Verschlüsselungssoftware genau dieses Problem aufgeführt:

Boxcryptor entspricht der DSGVO. Ich benutze als Lehrer personenbezogene Daten auf privaten Endgeräten, da mein Dienstherr (noch?) keine Dienstlaptops stellt. (Anonym, Boxcryptor-Umfrage 2019)

Dieses Zitat zeigt, wie angespannt die Situation ist. Bildungseinrichtungen müssen die Verantwortung, die Kosten und die Pflege von datenschutzkonformen Arbeitsgeräten übernehmen.

DSGVO und BDSG-neu

Schulen und andere öffentliche Bildungseinrichtungen unterliegen dem BDSG, dem Bundesdatenschutzgesetz. Dieses Gesetz wurde im Zuge der Einführung der DSGVO überarbeitet und enthält deren Grundsätze.

So ist beispielsweise jede Schule dazu verpflichtet, einen Datenschutzbeauftragten zu benennen. Diese Person muss die Einhaltung des BDSG überwachen. Allerdings würde sie im Falle einer Datenpanne nicht persönlich haften. Die Haftung liegt nämlich beim Verantwortlichen für die Datenverarbeitung – und das ist wiederum die Bildungseinrichtung.

Und das führt uns wieder zu dem Punkt, dass die Schulen eigentlich die IT-Infrastruktur für die Lehrenden zur Verfügung stellen müssten.

Drei Herausforderungen für den Datenschutz an Schulen

Angesichts der Tatsache, dass sich an unseren Schulen oft Personen um den Datenschutz kümmern müssen, die a) nicht dazu ausgebildet wurden und b) mit anderen Aufgaben bereits ausgelastet sind, ist klar, dass man hier sehenden Auges in eine dramatische Situation manövriert ist.
Den Schutz besonders schützenswerter Daten Lehrkräften zu überlassen, die sich aus persönlichem Interesse in ihrer Freizeit darum kümmern, darf nicht die Strategie unserer Bildungsministerien sein.

1. Sicherheit hängt von persönlichen Vorlieben ab

Ich möchte mit einem Beispiel beginnen. Im Universitätsbetrieb hält auch der sog. Mittelbau Lehrveranstaltungen ab, also wissenschaftliches Personal ohne eigenen Lehrstuhl. Im Rahmen dieser Veranstaltungen werden Noten und Bewertungen vergeben. Es gibt E-Mail-Verkehr zwischen den Studierenden und es werden Dateien erstellt. Aus persönlicher Erfahrung und aus Berichten meiner Angestellten kann ich sagen, dass man eher einen verwirrten Blick erhält, als eine vernünftige Auskunft, wenn man nach der sicheren Verarbeitung personenbezogener Daten auf den Geräten fragt. Es gibt keine Instanz, die die Sicherheit von privaten Arbeitsgeräten überprüft, die für die Arbeit am Lehrstuhl verwendet werden.

Es gibt also große Unterschiede darin, wie eine Schule oder Hochschule mit dem Thema Datenschutz umgeht. Ein Positivbeispiel einer Schule:

Auf dem Privatrechner (der meist ja gleichzeitig auch beruflich genutzt wird) ist man auf sich alleine gestellt. Ich biete zusammen aber mit einer Kollegin eine wöchentliche IT/Medien-Sprechstunde an, zu der alle Kolleginnen und Kollegen kommen können. Außerdem gebe ich einen Newsletter heraus, der alle zwei Monate erscheint und Tipps gibt und Fragestellungen aufgreift.“ (Benjamin Riedl, Lehrer und Netzwerkberater)

Auch die Technische Universität Dresden hat einen individuellen Weg gefunden, der die Universitätsangehörigen in Bezug auf den Datenschutz entlastet. Die Hochschule hat unsere Verschlüsselungssoftware Boxcryptor evaluiert und bewertet sie als geeignetes Werkzeug zur sicheren Datenablage und zum sicheren Datenaustausch über Clouddienste. Die Software wird seit Beginn des Wintersemesters 2019 allen Studierenden, Mitarbeitern und Mitarbeiterinnen kostenfrei zur Verfügung gestellt.

Mehr dazu können Sie in der Erfolgsgeschichte „Sicherheit in der Cloud: Die TU Dresden startet mit 45.000 Boxcryptor-Lizenzen“ lesen.

Gibt es jedoch an einer Einrichtung keine engagierten und technikaffinen Personen, die sich dem Thema Datenschutz annehmen, liegt das Thema brach. Ein Unding.

2. Prestige wiegt im Budget höher als Sicherheit

Es gibt nur einen einzigen Budget-Topf für IT-Ausstattung. Theoretisch müssten von diesem Geld auch alle Ausgaben für IT-Sicherheit bezahlt werden, also beispielsweise Schulungen, Verschlüsselungssoftware und die Personalkosten der Datenschutzbeauftragten.

Praktisch jedoch konkurrieren diese Ausgaben mit den Anschaffungskosten für Hardware. Darunter fallen zum Beispiel Tablets oder interaktive Whiteboards – Geräte, die man sehen und anfassen kann, die den Unterricht maßgeblich verändern, Spaß machen und Eindruck schinden.

Gegenüber solchen sichtbaren Veränderungen steht Datenschutz natürlich auf den hinteren Plätzen. Software, die das komplette IT-System der Schule und die Datenablage auf Privatrechnern absichern könnte, ist meiner Erfahrung nach nicht die beliebteste Investition. Wenn Verschlüsselungssoftware gegen Prestige-Programme konkurriert, zieht sie bei Budgetknappheit den Kürzeren.

3. Status Quo ist ein Flickenteppich mit Löchern

Die gegenwärtige Situation an Schulen ist sehr unterschiedlich. Das hat mehrere Ursachen.

Zum einen haben wir da die Schulen, die sich strikt an die Vorgaben der jeweiligen Landesdatenschutzbeauftragten halten. Diesen Schulen werden oft Steine in den Weg gelegt, weil die Landesdatenschutzbeauftragten seit dem Inkrafttreten der DS-GVO am 25. Mai 2018 chronisch überlastet sind. Teilweise wurden auf den Webseiten der Landesdatenschutzbehörden die Handlungsempfehlungen für die Schulleitung bis heute noch nicht aktualisiert.

Zum anderen haben wir die oben schon erwähnte Abhängigkeit vom Know-How einzelner Akteure. Gibt es in einer Schule zufällig keine IT-affine Lehrkraft, ist es um den Datenschutz schlecht bestellt.

Zuletzt möchte ich die Aufmerksamkeit noch einmal darauf lenken, dass IT-Sicherheit ein Feld ist, indem es beinahe wöchentlich Neuerungen gibt. Seien das nun Updates oder neue Programme, Gesetzesänderungen oder Best-Practice-Beispiele. Für einzelne Personen ist es daher eine große Herausforderung, sich permanent weiterzubilden. Parallel zu einem anspruchsvollen Job in der Lehre ist das beinahe unmöglich.

Meine Forderungen für mehr Datenschutz an Schulen

Meiner Ansicht nach leisten die Lehrkräfte an den Schulen wundervolle Arbeit. Ich erlebe bei meinen Besuchen stets hochmotiviertes Personal und freue mich deshalb auf jeden Besuch.
Mein Anliegen ist es, mit klaren Regelungen und besserer Organisation die Lehrkräfte beim Datenschutz zu entlasten. Dazu habe ich 6 Punkte auf meiner Wunschliste.

  1. Lehrkräfte bekommen mehr Unterstützung. Ich denke hier vor allem an Arbeitsgeräte, die von den Einrichtungen gestellt und gewartet werden. Es muss das Ziel sein, jedem Lehrer und jeder Lehrerin eine sichere und anwenderfreundliche Arbeitsumgebung zu bieten.
  2. Landesdatenschutzbehörden erhalten mehr Personal. Datenschutz an Schulen fällt in den Aufsichtsbereich der Datenschutzbeauftragten der Länder. Mit mehr Personal könnten diese Behörden Schulen und Universitäten beim Datenschutz besser unterstützen.
  3. Kultusministerien setzen auf bestehende IT-Sicherheitslösungen. Die Erfahrung zeigt, dass es keinen Blumentopf zu gewinnen gibt, wenn Behörden eigene Softwarelösungen in Auftrag geben. DE-Mail, BeA und die Europacloud Gaja-X sind ein paar Beispiele. Ich erwarte von den Behörden, dass sie sich zunächst einmal auf dem freien Markt umsehen und erprobte Softwarelösungen evaluieren, anstatt mit hohem Aufwand und hohen Kosten neue Programme schreiben zu lassen. Bestehende Systeme haben in der Bevölkerung bereits große Akzeptanz. Dieser Vorsprung ist mit neuer, staatlicher Software kaum aufzuholen.
  4. Lehrkräfte haben eine sichere und zeitgemäße Arbeitsumgebung. Datenspeicherung in der Cloud löst eine große Zahl von Problemen, vor denen Lehrer und Lehrerinnen derzeit stehen. Die Cloud ist ideal für den flexiblen Zugriff von unterschiedlichen Standorten aus und ist kombiniert mit einer guten Datenverschlüsselung ein sicherer Ablageort für besonders schützenswerte Informationen. Das Bundesland Baden-Württemberg empfiehlt beispielsweise die Nutzung von TeamDrive. Perfekt abgesichert ist eine deutsche Cloud mit der zusätzlichen Ende-zu-Ende-Verschlüsselung mit Zero-Knowledge-Garantie von Boxcryptor. Auch höchstsensible Daten wie Noten und andere Informationen über Minderjährige können so problemlos und DS-GVO-konform abgespeichert werden. Wenn Sie Office 365 nutzen, muss sichergestellt werden, dass keinerlei Diagnosedaten an Microsoft geschickt werden. Denn das Senden von Telemetriedaten kann keine Verschlüsselungssoftware verhindern. Eine Alternative zu Microsoft könnte das deutsche Programm LibreOffice sein.
  5. Lehrkräfte werden in Sachen Datenschutz ausgebildet. Bei Lehrern und Lehrerinnen geht es nicht nur darum, dass sie die Daten ihrer Schüler und Schülerinnen schützen. Ihre Rolle als Vorbild ist ebenso wichtig. Kinder müssen erleben, wie Erwachsene achtsam und bewusst mit Informationen und Software umgehen. Erwachsene können das aber nur vorleben, wenn sie selbst über ausreichend Basiswissen verfügen. Chancen und Gefahren von neuen Technologien sollten Kernkompetenzen des Lehrpersonals werden.
  6. IT-Sicherheit bekommt ein separates Budget. Datenschutz und Gadgets aus dem gleichen Budget-Topf zu bezahlen, ist wie Äpfel mit Birnen zu multiplizieren – es geht nicht. Und doch ist es an unseren Schulen gängige Praxis. Ein separates Budget, das für die Verbesserung und Pflege von IT-Sicherheit zur Verfügung steht, würde den Datenschutz an Schulen weit voranbringen.

Diese Wunschliste richtet sich an die Politik. Ja – Bildung ist Ländersache, aber ähnlich wie die DS-GVO in einer großen Anstrengung für alle Länder der Europäischen Union eingeführt wurde, muss es möglich sein, alltagstaugliche Datenschutz-Praxis an allen deutschen Bildungseinrichtungen einzuführen, die der Lebensrealität von Lehrenden und Lernenden im 21. Jahrhundert entspricht.

Teilen Sie diesen Artikel

Weitere Artikel zum Thema

graphics

Unser neues Kapitel mit Dropbox: Das bedeutet es für Boxcryptor Nutzer

Bereits letzte Woche haben wir verkündet, dass wir wichtige Technologie-Assets an Dropbox verkauft haben. Was unsere Kund*innen nun wissen müssen, erklären wir hier im Detail.

graphics

Ein Brief von unseren Gründern: Wir schließen uns Dropbox an

Wir freuen uns, Ihnen mitteilen zu können, dass wir zusammen mit Dropbox, Inc. ein neues Kapitel aufschlagen werden.

Dummies Buchcover und Rücken

BEENDET Gewinnspiel: Wir feiern unsere Buch-Veröffentlichung

Wir haben unser erstes Buch geschrieben, um noch mehr Menschen für die Cloud und Datensicherheit zu begeistern. Zum offiziellen Start können Sie im Gewinnspiel Taschenbücher und Boxcryptor-Lizenzen gewinnen. Alle Infos gibt es im Beitrag.