Wie Ministerien und Schulämter reagieren müssen

Datenschutz in der Schule nach PRISM 09.08.2013, 11:30

In der letzten Zeit werden Lehrer/innen ganz schön malträtiert, was den Datenschutz betrifft: Verschlüssle deine Daten, du darfst dies nicht, tue jenes nicht, unterschreibe da, lies diese Verordnung dort. Nach Bekanntwerden des PRISM-Skandals sind Kultusministerien und Schulämter in der Pflicht: Immer nur delegieren reicht nicht mehr. Sie müssen professionelle Dienste wie Online-Speicher, Mailaccounts und VPN-Tunnels anbieten.

Lehrer vor Tafel mit Aufschrift 'Prism'
Bild: Shutterstock (Montage)
Anzeige

Vor PRISM: Datenschutz an Schulen

In allen Bundesländern gibt es seit einigen Jahren Verordnungen, Verwaltungsvorschriften, Erlasse o.ä. zum Datenschutz an Schulen - was ja eigentlich eine sinnvolle Sache ist. Im Zentrum stehen "personenbezogene Daten", also v.a. Daten rund um die Schüler/in: Zeugnisse, Noten, Krankheiten, disziplinarische Maßnahmen usw.

Die Materie ist komplex: Wer kann in einer durchdigitalisierten, komplexen Online-Welt für die Sicherheit und Unantastbarkeit von Daten garantieren? Und vor allem: Wer ist zur Verantwortung zu ziehen, wenn durch die digitale Verarbeitung von personenbezogener, schulischer Daten ein Schaden entsteht? Richtig: Am Schluss sind die Dienstherren dran, also Ministerien, Schulämter, Regierungspräsidien.

Der Plan lag auf der Hand: Die Verantwortung wird nach unten durchgereicht. Am Schluss muss die Lehrer/in dran sein.

Deshalb sind zum einen die entsprechenden Gesetzesdokumente (Erlasse, Verwaltungsvorschriften, Verordnungen ...) so formuliert, dass man eigentlich gar nichts darf. Das hübscheste Beispiel ist im Runderlass des Niedersächsischen Kultusministeriums vom 01.02.2012 Verarbeitung personenbezogener Daten auf privaten Informationstechnischen Systemen (IT-Systemen) von Lehrkräften (PDF) zu lesen:

1.3 Die Verarbeitung personenbezogener Daten von Erziehungsberechtigten und Lehrkräften ist auf privaten IT-Systemen nicht gestattet.
1.4 Soweit personenbezogene Daten ausschließlich aus verarbeitungstechnischen Gründen vorübergehend auf privaten IT-Systemen gespeichert und nach spätestens drei Monaten gelöscht werden (z.B. bei Textverarbeitung), sind nur die Ziffern 4.1, 4.2 und 4.4 dieses Erlasses entsprechend anzuwenden.

Die Implikation ist offensichtlich: Wenn eine Lehrer/in eine Excel-Notenliste ihrer Klasse auf dem heimischen PC speichert, ist sie nach genau drei Monaten grundsätzlich schuldig. Wer hat schon mal eine Notenliste nach drei Monaten gelöscht?

Ähnlich originell sind die Verwaltungsvorschrift Datenschutz an öffentlichen Schulen (PDF) - Baden-Württemberg, der Erlass Verarbeitung personenbezogener Daten am häuslichen Arbeitsplatz der Lehrkraft - Hessen, die Bekanntmachung über erläuternde Hinweise zum Vollzug der datenschutzrechtlichen Bestimmungen für die Schulen (PDF) - Bayern oder die Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern (VO-DV I) (PDF) - NRW.

Das Formular: "Antrag auf Genehmigung des heimischen PCs zur Verarbeitung schülerbezogener Daten"

Kurzerhand erstellte man in Ergänzung zu den jeweiligen Verordnungen, Erlassen, Verwaltungsvorschriften Formulare, die von den Lehrer/innen zu unterschreiben und bei der Schulleitung abzugeben waren/sind. Damit bestätigten die Lehrer/innen, dass sie die o.g. Verordnungen kennen und entsprechend beachten. Auf diesen Formularen müssen die Lehrer/innen angeben, auf welchen Geräten sie welche personenbezogenen Daten speichern, dass/wie sie sie diese Geräte schützen, welches Betriebssystem sie verwenden usw.

Die Schulleiter/in hat diesen Antrag zu genehmigen und den Zettel abzuheften. (Das sind übrigens bei knapp 800.000 Lehrer/innen in Deutschland ungefähr zwei Millionen abzuheftende Zettel. Damit kann man knapp 3.500 große 8cm-Aktenordner füllen, die aufeinandergestapelt fast die Höhe des Eiffelturms ergeben. Das nur am Rande.)

Ein typisches Beispiel ist der Antrag aus Schleswig-Holstein: Antrag auf Genehmigung zur Verarbeitung personenbezogener Daten mittels privateigener Datenverarbeitungsanlage im häuslichen Bereich gem. § 30 Abs. 11 Nr. 5 SchulG i. V. m. § 10 Datenschutzverordnung–Schule (PDF)

Dort ist u.a. zu lesen:

Ich versichere, daß ich über ausreichende Kenntnisse auf dem Gebiet der Datenverarbeitung und der Datensicherung verfüge.

Ich habe folgende Maßnahmen zur Sicherung gegen den Zugriff Unbefugter ergriffen:
........... [Freitext, handschriftlich auszufüllen]

Außerdem sind aufzuschreiben

  • Art der Geräte (PC, Notebook, externe Datenträger, Drucker)
  • Standort der Geräte (Bezeichnung der Räumlichkeit innerhalb der Wohnung)
  • Verwendete Betriebssysteme
  • Anwendungsprogramme
  • Internetzugang vorhanden? (Typ angeben)

Und dann noch in Fettdruck:

Gravierende Änderungen in der obigen Konfiguration (z. B. Kauf eines neuen PC) werde ich unverzüglich schriftlich mitteilen.

Auszug: Antrag Genehmigung zur Verarbeitung personenbezogener Daten - Schleswig-Holstein

Das wird bei der Schulleiter/in abgegeben, die einem im Tausch eine "Genehmigung zur Verarbeitung personenbezogener Daten mittels privateigener Datenverarbeitungsanlage im häuslichen Bereich" aushändigt. Dort ist zu lesen:

Die Genehmigung ist gem. § 10 Abs. 4 Datenschutzverordnung–Schule unverzüglich zurückzunehmen, wenn Sie gegen die Bestimmungen der Datenschutzverordnung–Schule oder andere datenschutzrechtliche Bestimmungen verstoßen oder Ihre abgegebenen Zusicherungen nicht einhalten. Verstöße werden der obersten Schulaufsichtsbehörde gemeldet.

Ganz ähnlich sind auch die Anträge und Genehmigungen, die in anderen Bundesländern verwendet werden. Googlen Sie nach "verarbeitung personenbezogener daten schule" o.ä., evtl. noch mit Angabe des Bundeslandes.

Auch hier ist klar, wer im Zweifelsfall letzten Endes der Mops ist. Abgesehen von Ihrer zweifelhaften Versicherung "über ausreichende Kenntnisse auf dem Gebiet der Datenverarbeitung und der Datensicherung" werden Sie bestimmt beim nächsten Update Ihres Betriebssystems vergessen, die Änderung Ihrer Schulleitung bekanntzugeben. Oder stellen Sie sich vor, Sie wechseln den Internetzugang. Oder verwenden statt Open Office nun Microsoft Office. Oder kaufen einen neuen Drucker (ist das eine gravierende Änderung?). Und damit sind Sie schon dran, sie haben nicht zuverlässig datengeschützt.

Kurz: Personenbezogene schulische Daten sollen nicht in fremde Hände gelangen - und das ist eine absolut berechtigte Forderung. Doch keiner hat die Technik hundertprozentig unter Kontrolle, erst recht nicht Nicht-Expert/innen wie Lehrer/innen. Es gibt aber keine Alternative zur digitalen Datenverarbeitung, das Notenbuch aus Papier hat ausgedient. Deshalb wurde von den Ministerien ein System geschaffen, das die Verantwortung nach unten weiterreicht - an Schulleiter/innen und über diese an die Lehrer/innen.

Das Jahr 1 nach PRISM

Im Juni 2013 wurde durch NSA-Mitarbeiter Edward Snowden die Überwachungs- und Spionageaffäre 2013 ausgelöst. In deren Kern steht das NSA-Überwachungsprogramm PRISM. Die USA und Großbritannien scheinen umfassend das Internet zu überwachen; u.a. wurde (wird) durch die Briten ein großer Teil der Kommunikation zwischen Europa und den USA abgehört. Die abgefischten Daten wurden (werden) in großem Stil gespeichert.

Die Dimensionen sind atemberaubend:

Weiterhin berichtet der Spiegel, dass in Deutschland monatlich ca. 500 Millionen Kommunikationsverbindungen von der NSA überwacht würden. Unter Kommunikationsverbindungen versteht die NSA Telefonate, E-Mails, SMS und Chatbeiträge.

Wikipedia: Überwachungs- und Spionageaffäre 2013

Was bedeutet PRISM für den Datenschutz an Schulen?

Es ist davon auszugehen, dass sämtliche schulische personenbezogene Kommunikation auf irgendwelchen NSA-Servern herumliegt: Telefonate und E-Mails mit Eltern, E-Mails zwischen Lehrer/innen, E-Mails zwischen Lehrer/innen und Schüler/innen. Was mit diesen Daten passiert, weiß keiner.

Überwachungskamera
Bild: Shutterstock

Kein Mensch kann die Schuld daran auf die Lehrer/innen abwälzen ("Sie haben doch unterschrieben, dass Sie sich mit Datenverarbeitung auskennen und Ihren Rechner entsprechend gesichert haben."). Zu erwarten, dass ab sofort keine Noten mehr per Telefon kommuniziert werden, weil das Telefonat abgehört sein könnte, ist absurd. Oder sollen sich Eltern und Lehrer/innen nur noch nachts im Wald treffen, wenn sie über Noten sprechen? Ähnliches gilt für den Mailverkehr.

Auf die Hilfe der Bundesregierung ist nicht zu hoffen. Selbst gestandene CSU-Politiker haben das erkannt und rufen zur Selbstverteidigung auf:

Die Innenpolitiker der CSU sagen, dass die Bürger beim Datenschutz nicht auf den Nationalstaat hoffen dürfen. [...]

„Wer seine Daten sichern will, wird sie wohl verschlüsseln müssen und kann nicht mehr auf seinen Nationalstaat hoffen“, mahnte auch der innenpolitische Sprecher der Unions-Fraktion, Hans-Peter Uhl.

taz 16.07.2013: Friedrich ruft zum Verschlüsseln auf

Nun ist die Kommunikation zwischen Lehrer/innen, Eltern, Schüler/innen, Schulleitung ein Dienstgeschäft. Niemand kann ernstlich von einer Lehrer/in erwarten, dass sie ihren Rechner NSA-sicher macht. In diesem Zusammenhang klingt die Anlage "Empfehlungen zur IT-Sicherheit" zum hessischen Erlass zur Verarbeitung personenbezogener Daten am häuslichen Arbeitsplatz wie ein geschmackloser Witz: Hier wird eine Anleitung zur "Installation eines Programmes zum Schutz vor Spähprogrammen (adAware)" geboten. Die NSA holt sich einen Zwerchfellriss.

Die (gewählten!) Kultuspolitiker und Schulämter müssen deshalb die Verantwortung übernehmen - so ärgerlich das für sie ist. Das bedeutet zum Beispiel:

1. Einrichtung einer dienstlichen Cloud

Lehrer/innen müssen für ihre Daten sicheren, einfach zu bedienenden Online-Speicherplatz haben. Immer mehr Lehrer/innen benutzen privatwirtschaftliche Lösungen wie Dropbox oder Wuala - weil es nichts anderes für sie gibt. Noch dieses Jahr muss die Kultus-Cloud kommen - am besten länderübergreifend, dass nicht jedes Bundesland mit begrenztem Budget seinen eigenen Schrott produziert. Die Entwicklungskosten dürften bei weniger als 3 Millionen Euro liegen (sofern wirkliche Experten ans Werk gehen und nicht abgeordnete, bemitleidenswerte Mitarbeiter/innen eines Kreismedienzentrums). Wenn jedes Bundesland ein eigenes Süppchen kocht, steigen die Kosten gleich um den Faktor 16, die Effizienz sinkt in gleichem Maße.

2. Tools für die sichere Online-Kommunikation

Lehrer/innen brauchen eine sichere Infrastruktur, um ihre Daten durchs Internet zu schieben - ob vom Desktop-PC zuhause, von ihrem Mobilgerät oder von ihrem (oft nicht existenten) Schulrechner aus. Dazu gehört bspw. standardisierte und einfach einzurichtende (!) VPN-Kanäle (wie angeboten z.B. bei Golden Frog yprvpn) oder ein performanter (!) Anonymisierungs- und Verschlüsselungsdienst a la JonDonym oder Tor (diese sind eben nicht performant und bergen gewisse Sicherheitsrisiken). Dabei ist inzwischen auch ziemlich fraglich, wie sicher VPN-Kanäle sind (netzpolitik.org 31.07.2013: XKeyScore).

Übrigens steht außer Frage, ob Lehrer/innen personenbezogene Daten über das Internet transferieren müssen. Das Gerede von CDs und USB-Sticks ist langsam nicht mehr auszuhalten.

3. Sichere Mailsysteme bereitstellen

Lehrer/innen mailen entweder über ihre privaten Accounts bei Yahoo, Google, GMX & Co - oder haben eine dienstliche Mailadresse auf einem Mailserver, der oft von einem privatwirtschaftlichen Hoster betrieben wird. Das darf natürlich nicht sein - hier muss die Kultusbehörde einen eigenen Dienst aufziehen oder mit einem zuverlässigen (!) Premiumpartner zusammenarbeiten, der die vollständige Verantwortung für die Datensicherheit übernimmt und alle notwendigen Technologien (z.B. GPG/PGP, S/MIME) anbietet. Selbstverständlich werden die Lehrer/innen gesetzlich verpflichtet, dienstliche Mails ausnahmslos zu verschlüsseln. 

Dass der Kontakt zum Mailserver auf einer verschlüsselten Leitung stattfinden muss (z.B. VPN), ist selbstverständlich. Hier muss die Kultusverwaltung Personal einstellen, das bei der Einrichtung behilflich ist und exzellenten und schnellen Support bietet. In Baden-Württemberg funktionert das ansatzweise über das Landeshochschulnetz BelWü.

4. Verschlüsselungssystem für Dateien anbieten und unterstützen

Überall schießen die TrueCrypt-Fortbildungen wie Pilze aus dem Boden. Wenn man davon absieht, dass es kleinere Zweifel an der Integrität von TrueCrypt gibt: Es ist nicht damit getan, eine halbtägige Fortbildung von einer mäßig kompetenten Person abhalten zu lassen. In jeder Schule muss eine Verschlüsselungsexpert/in vorhanden sein. Die Verschlüsselung der schulischen personenbezogenen Daten muss ausführlich dokumentiert und unterstützt sein.

5. Sichere Systeme anbieten

Neben der Abhörerei drohen weitere Gefahren wie Viren oder Phishing. Hier ist immer ein Mindestmaß an Sachverstand der Anwender/in gefragt. Möglicherweise wäre das Anbieten einer eigenen virtualisierten Umgebung hier sinnvoll, mit der alle personenbezogene Datenverarbeitung erfolgt. Das könnte ein Linuxsystem sein, in dem die wesentlichen Anwendungen vorkonfiguriert sind (Office, Browser mit Anonymisierungsdienst, Mailprogramm mit Verschlüsselungsfähigkeit, Datenverschlüsselung, Virenschutz, Anti-Spyware, VPN-Client usw.). 

Fazit

Es steht außer Frage, dass die Kultusverwaltung nun schleunigst eine eigene technische Infrastruktur aufbauen und anbieten muss. Diese Infrastruktur muss umfassend und professionell sein. Außerdem muss sie perfekt unterstützt werden - Fortbildungskonzepte, die auf abgeordnete Lehrer/innen bauen, sind für eine flächendeckende Unterfütterung nicht ausreichend.

Kein Betrieb erwartet von seinen Mitarbeiter/innen, dass sie ihre Mails selbst verschlüsseln. Dafür gibt es in jedem Betrieb einen Admin. Lehrer/innen müssen von zuhause aus arbeiten; im Streit um die steuerliche Absetzbarkeit des heimischen Arbeitszimmers hat das Bundesverfassungsgericht diese Auffassung eindeutig bestätigt. Die Kultusbürokratie muss dieser Situation Rechnung tragen und die Verantwortung für die Sicherheit digitaler Datenverarbeitung übernehmen. Immer nur Zettel unterschreiben lassen - das geht im Jahr 1 nach PRISM nicht mehr.



Anzeige



neuerer Beitrag — Datenschutz in der… — älterer Beitrag

Anzeigen
Beitrag empfehlen
  • facebook