Zu Hülfe, der Datenschutz …
Vor einem halben Jahr setzte ich mich hier im Blog mit Datenschutz und Schule auseinander und rief zu einem pragmatischen Umgang mit dem Thema Datenschutz auf. Besser geworden ist seither nichts, erwartungsgemäß. Nicht umsonst merkt Svenja Busson, die Schulen weltweit besucht hat, um gelungene Beispiele für den Einsatz von digitalen Medien im Unterricht zu sammeln, im Spiegel Interview kritisch an zur Situation in Deutschland: “Die Lehrer täten sich leichter, wenn der Datenschutz – den ich auch wichtig finde – nicht ganz so rigide wäre.” Datenschutz bremst, so wie er gegenwärtig im Bereich der Bildung gehandhabt wird, Schulen in Deutschland weiterhin massiv aus. Und dieses macht sich jetzt umso mehr bemerkbar, wo sich Schulen in großer Zahl endlich auf den Weg machen, digitale Medien in ihren Unterricht zu integrieren. Geld sei kein Problem und werde es in den nächsten Jahren auch nicht sein, hörte man Ende 2017 bei einer Tagung in Düsseldorf aus dem Ministerium für Schule und Bildung NRW. Klingt gut. Freut uns. Das sind wirklich einmal gute Perspektiven, wenn da der Datenschutz nicht wäre. Wenn Schulen und Schulträger planen, wenn Medienkonzepte und Medienentwicklungspläne erstellt werden, spielt Datenschutz auch dabei eine Rolle, doch eher eine, die Lösungen verhindert. Keiner möchte in die Falle tappen. Alle wollen auf Nummer sicher gehen. Zu viele Fragen sind ungeklärt, zu wenige Antworten zu finden. Allzu oft kommen dann altbewährte Lösungen heraus, abgeschottete Windows Netzwerke mit Thin-Clients, Totalkontrolle und streng gefiltertem Internetzugang, interaktiven Whiteboards und bei IT Dienstleistern gehosteten LMS. Mitunter sind durchaus einmal brauchbare Lösungen dabei, doch meist ist die Umsetzung von pädagogischen Vorstellungen, die auf zeitgemäßes Lernen setzen, die die 4K im Blick haben, kaum möglich. Möchte eine Schule lieber auf iPads setzen, geht dieses leider nur mit Einschränkungen. Keine persönlichen Daten, denn die landen auf Servern von Apple und die können überall stehen, auch in den USA. Da mag Apple ganz aktuell bei der Vorstellung eines neuen iPads und neuer Software in einer Schule in Chicago noch versichern, dass die von Schulen selbst generierten und Schülern zugewiesenen Apple IDs von Apple selbst nie eingesehen würden, egal. Es geht nicht. Shared iPad, die Lösung, mit welcher mehrere Schüler ein iPad teilen können mit eigenen Accounts – geht nicht, da die Daten beim Nutzerwechsel in die iCloud gesichert werden. Die Nutzung der neuen Funktion der iWork Apps Pages, Numbers und Keynote auf iPads zur Echtzeit Kollaboration, ganz im Sinne der 4K, geht nicht, da die Synchronisation über die iCloud läuft und dieses mit den datenschutzrechtlichen Vorgaben, so wie man sie zur Zeit handhabt, nicht vereinbar ist. Am sichersten fährt man als Schule zur Zeit, wenn man iPads ohne individuelle Benutzerkonten für Schüler einsetzt. Auch individuelle Benutzer sind möglich, wenn sie über einen virtuellen Desktop als Zugangsgeräte zu einem Windows Netzwerk eingesetzt werden. Office 365 sieht man von Seiten der Wirtschaft gerne in Schulen, bereitet es doch die zukünftigen Mitarbeiter auf die Nutzung der in Firmen meistverbreiteten Office Suite vor. Das Microsoft Produkt mit OneNote Classroom und Teams bietet tolle Möglichkeiten zum kollaborativen Arbeiten. Und wenn es sein muss, bietet man sogar noch eine Cloud in deutscher Datentreuhand. Alles toll, sollte man meinen. Leider nicht. Es gibt offiziell kein grünes Licht, dass Schulen Office 365 vernünftig nutzen können, ohne datenschutzrechtliche Vorgaben zu verletzen. G-Suite for Education und Chromebooks sind in den USA und vielen Ländern der Welt ein Erfolgsmodell, gut zu nutzen für Schüler wie Lehrkräfte, ideal für die Umsetzung der 4K, einfachst zu administrieren, doch für staatliche Schulen in Deutschland mehr oder weniger ein No-go. Auch hier fehlt grünes Licht für eine datenschutzrechtlich abgesicherte Nutzung. Die Liste ließe sich fortsetzen mit zahllosen Apps und Webplattformen, die für die Unterrichtsentwicklung mit digitalen Medien fantastische Möglichkeiten bieten, wäre da nicht das Thema Datenschutz. Will man in Schule digital arbeiten, so ist dieses eigentlich nur dann sinnvoll, wenn Schüler mit Klarnamen arbeiten können. Die Nutzung von Pseudonymen, wie ich sie im September als pragmatischen Ausweg vorschlug, ist zwar durchaus machbar, doch im schulischen Alltag auf Dauer nicht zweckmäßig. Kommunikation und Kollaboration funktionieren eindeutig besser, wenn man mit echten Namen arbeitet. Auch Lehrkräften kann nicht zugemutet werden, dass sie Pseudonyme mit Listen abgleichen, wenn sie digitale Lernprodukte bewerten sollen.
Im Februar hat das Thema Datenschutz in NRW mit der neuen verpflichtenden Genehmigung, welche Lehrkräfte nun benötigen, wenn sie Daten ihrer Schüler auf einem privaten Endgeräten verarbeiten wollen, zusätzliche Brisanz erhalten. Lehrkräfte und Schulleitungen fühlen sich von den Vorgaben überfordert, Hauptpersonalräte und Gewerkschaften raten davon ab, die Genehmigung zu unterzeichnen und fordern Dienstgeräte. Die LDI NRW liegt mit ihrer Einschätzung auf gleicher Linie. Axel Krommer deutet in seinem Beitrag Anzeichen der Krise II die Genehmigung als ein weiteres Phänomen der Krise in der Übergangszeit zwischen dem Gutenberg-Paradigma und dem Turing-Paradigma. Der Datenschutz, so Krommer, bremse die digitalen Arbeits- und Kommunikationsprozesse aus und unterstütze damit im Extremfall unter dem Motto „Datenschutz vor Pädagogik!“ die Stift-und-Block-Kultur. Die Lösung heißt für ihn deshalb, “Zeitgemäße Bildung wird nur Hand in Hand mit zeitgemäßem Datenschutz möglich sein.”
Als wenn die vielen ungelösten Problem mit dem Datenschutz in Schule nicht reichen würden, rückt nun der Tag näher, an welchem die Datenschutz-Grundverordnung (DS-GVO) in Kraft tritt. Schon seit zwei Jahren wissen wir, was kommt. Die europäischen Länder spezifizieren die nationale Ausgestaltung in Form der Datenschutzgesetze der Länder. Arbeitsgruppen diverser Wirtschaftsbereiche sind seit dieser Zeit damit beschäftigt, Strategien auszuarbeiten, wie man die Vorgaben der DS-GVO umsetzen kann. Die DS-GVO stärkt die Rechte der einzelnen Person im Sinne der informationellen Selbstbestimmung und soll sie vor Missbrauch der personenbezogenen Daten schützen. Entsprechend sind die mit Verstößen verbundenen Sanktionen deutlich stärker als sie es bisher waren.
Auch vor der Bildung macht das Thema DS-GVO nicht halt, wenngleich aktuell noch keine unmittelbar davon abgeleiteten Regelungen im schulischen Bereich bekannt sind, zumindest nicht in NRW. Veröffentlicht wurden bisher nur eine Übersicht und Hilfestellungen der Datenschutzkonferenz zu den anstehenden Veränderungen in Schule. “Zusammenfassend ist festzuhalten, dass die DS-GVO für die Datenverarbeitung durch öffentliche Stellen eine Vielzahl von Veränderungen vorsieht.” fasst die Landesbeauftragte für Datenschutz in Niedersachsen die Lage zusammen.
Und als wenn das noch nicht genug wäre, sorgen sich nun auch bloggende Lehrkräfte und Verantwortliche für Schulhomepages, aufgeschreckt durch Artikel wie Datenschutzgrundverordnung: Neue Abmahngefahren für Websites und DSGVO: Was freie Journalisten und Blogger jetzt tun müssen, ob ihnen bei ihren Blogs irgendwelche Gefahren durch die Nutzung von Inhalten aus fremden Quellen, Web-Fonts und Analyse-Tools drohen.
Zu Hülfe, der Datenschutz … möchte man rufen. Wie ein drohendes Unwetter zieht der 25. Mai herauf und keiner weiß so recht, was passieren wird. Statt Klarheit herrscht überall Unsicherheit. Wie bei so vielen Dingen fehlen klare, eindeutige Vorgaben, an denen man sich orientieren kann.
Das Recht auf informationelle Selbstbestimmung ist ein Grundrecht und Datenschutz damit Pflicht. Wie die unermessliche Datensammelwut von Facebook und Co. und Datenskandale wie Cambridge Analytica bestens illustrieren, sind Regelungen dringend von Nöten, um das Individuum zu schützen. Das Kind ist, was den Datenschutz angeht, quasi schon in den Brunnen gefallen. Die riesigen Internetkonzerne, die mittlerweile teilweise das wirtschaftliche Volumen großer Volkswirtschaften haben, konnten das Internet quasi in Wildwest Manier ungehindert und unreguliert für sich erobern. Die DS-GVO Europas kommt nun im letzten Moment um die Ecke, um zu retten, was noch zu retten ist, und um für die Zukunft die Weichen zu stellen für einen besseren Schutz der personenbezogenen Daten der Menschen.
Bei der DS-GVO geht es um Recht und Gesetz, wie auch bei den davon abgeleiteten nationalen Regelungen, den Datenschutzgesetzen und Verordnungen. Wenn das Recht eindeutig wäre, bedürfte es nicht Heerscharen von Juristen, die es auslegen. Am Ende entscheidet die Auslegung über die Durchsetzung von Recht, in letzter Instanz vor Gericht. Und so gibt es auch beim Datenschutz keine absolute Eindeutigkeit. Man findet Auslegungen, die eher restriktiver Natur sind und solche, welche die Paragraphen freiheitlicher interpretieren.
Und so kann man ziemlich sicher davon ausgehen, dass es den Schöpfern der DS-GVO nicht darum geht, das Internet zu zerbrechen, denn dafür ist seine Bedeutung zu groß.
Vor diesem Hintergrund sollte man auch die aktuelle Situation betrachten. Wenn man die anfangs beschriebenen Schwierigkeiten, die wir als Lehrkräfte, Schulleitungen und Schulträger (und bloggende Lehrer) mit dem Datenschutz haben, zusammengefasst betrachtet, so haben alle die gleichen Ursachen: Überforderung, Unsicherheit, Angst.
- Als Nutzer digitaler Medien sind wir alle mit dem Datenschutz, so wie er momentan in Deutschland gehandhabt wird, komplett überfordert.
- Überfordert scheinen auch die verantwortlichen Stellen, Ministerien und Landesdatenschutzbehörden, denn anders ist nicht zu erklären, warum von diesen keine eindeutigen Aussagen zu erhalten sind, ob und wie die oben genannten Plattformen genutzt werden können.
- In Folge herrscht unter Lehrkräften, Schulleitungen und Schulträgern eine extreme Unsicherheit.
- Jeder hat Angst vor den möglichen rechtlichen Konsequenzen, falls mal etwas schief geht.
Und in dieser Kombination lähmt der Datenschutz die Entwicklung in Deutschland massiv. Vieles, was möglich wäre, unterbleibt.
Was wir brauchen, um aus dieser Misere herauszukommen, ist ein Ende der Unsicherheit. Verantwortliche Stellen müssen klare Stellung beziehen, eindeutige Aussagen machen, was geht und was nicht – und dabei sollte man die Vorgaben der Datenschutz Gesetzgebung eher freiheitlich und ermöglichend auslegen als restriktiv und verhindernd.
Dass dieses möglich ist, zeigen die Beispiele vieler Länder um uns herum. Der Schweiz, deren Schulen beispielsweise G-Suite for Education nutzen können, wird vermutlich niemand vorwerfen wollen, leichtfertig mit den personenbezogenen Daten ihrer Bürger umzugehen. Was in anderen Ländern möglich ist, sollte also auch bei uns in Deutschland gehen.
Die Sorge, dass große Konzerne wie Microsoft, Apple und Google die Daten von Schülern und Lehrern für eigene Zwecke missbrauchen könnten, ist sicherlich berechtigt. Doch auch hier gibt es Lösungen. Die heißen Gesetze. Man braucht Institutionen, die über die Einhaltung der Vorgaben des Datenschutzes wachen. Es gibt sie, von staatlicher Seite wie im NGO Bereich. Und werden Verstöße festgestellt, werden die Verantwortlichen mit den Mitteln des Gesetzes zur Rechenschaft gezogen und mit Sanktionen belegt.
Nicht verhindern können wir, wenn im Zuge polizeilicher oder geheimdienstlicher Ermittlungen US Behörden Zugriff auf Daten erhalten, die auf den europäischen Servern von US Firmen liegen. Dass man darin jedoch einen Grund sieht, die Cloud Produkte von US Firmen für deutsche Schulen generell zu verbieten, halte ich für absolut übertrieben. Greifen europäische und deutsche Ermittlungsbehörden nicht auch auf diese Daten zu?
Auch für die Genehmigung für Lehrkräfte in NRW, schulische Daten auf privaten Endgeräten zu verarbeiten, sind praktikable Lösungen möglich. Der aktuelle Ansatz, die rechtliche Verantwortung komplett auf Schulleitungen und Lehrkräfte abwälzen zu wollen, ist ganz sicher nicht der richtige Weg. Hier muss die Landesregierung dringend nachbessern. Dienstgeräte sind eine Möglichkeit, aber keine billige, denn diese Geräte müssen nicht nur beschafft, sondern auch professionell gemanagt werden, um Sicherheit zu bieten. Das Land muss die Lehrkräfte und Schulleitungen aus der alleinigen Haftung entlassen und sie rechtlich absichern. Klar ist, wenn grobe Fahrlässigkeit nachzuweisen ist mit einem Datenschutzverstoß, dann sollte das auch rechtliche Konsequenzen haben. In allen anderen Fällen sollte jedoch das Land die Haftung für seine Schulleitungen und Lehrkräfte übernehmen. Vielleicht sollte das Land NRW hier eine entsprechende Versicherung abschließen. Außerdem sollte es möglich sein, dass Lehrkräfte, die auf ein Dienstgerät verzichten und lieber ein eigenes Gerät nutzen, dieses tun können. Auch sie müssen vom Land rechtlich in Schutz genommen werden, wenngleich bei ihnen eine begrenzte Mithaftung vorstellbar wäre. In der Regel werden vor allem erfahrenere Benutzer eigene Geräte anstelle von Dienstgeräten haben wollen, und die wissen meist, was sie tun.
Das Inkrafttreten der DS-GVO wird in Bezug auf den Datenschutz nicht nur einen besseren Schutz für die Bürger bringen, sondern für Schule auch neue Möglichkeiten eröffnen. Warum? Da die DS-GVO dafür sorgt, dass wir in allen europäischen Mitgliedstaaten ein einheitliches Datenschutzrecht habe und damit auch ein einheitliches Datenschutzniveau, können wir in Deutschland endlich auch die tollen Online Angebote aus anderen europäischen Ländern nutzen, die uns bisher verwehrt geblieben sind. Sie haben ab dem 25. Mai 2018 den gleichen datenschutzrechtlichen Status wie deutsche Angebote.
Und was die Sorgen der bloggenden Lehrkräfte angeht und die Betreiber von Schulhomepages, hier sollte man mit dem rechten Augenmaß an die Sache herangehen. Es ist durchaus zu erwarten, dass Abmahn-Haie in der Anfangszeit nach Inkrafttreten der DS-GVO ihr Unwesen treiben werden. Allerdings ist auch damit zu rechnen, dass die Gesetzgeber diesem Treiben schnell ein Ende setzen werden. Dass man sich als Blogger Gedanken machen muss, ob bei der Nutzung von Google Web Fonts, von Google Analytics, der Einbindung von LearningApps und von YouTube Videos oder beim Abgeben von Kommentaren Daten erhoben werden, ist abstrus. Das hat auch nichts mehr mit Datenschutz zu tun im Sinne der Gesetzgebung zu tun. Diese Daten werden überall erhoben. Sie gehören zum Internet und jeder, der als medienkompetenter Nutzer im Internet unterwegs ist, ist sich darüber im Klaren. Das ist wie im Straßenverkehr. Jeder kennt die Regeln, weiß, wie es läuft, und nur, wenn es Abweichungen davon gibt, werden wir durch Schilder darauf hingewiesen. Viel wichtiger ist es für Betreiber von (nichtkommerziellen) Webseiten, dass sie grundsätzlich versuchen, die Erhebung von Daten der Besucher auf ein notwendiges Minimum zu beschränken und dass sie die Erhebung außergewöhnlicher Daten anzeigen und genau dafür eine Einwilligung einholen.
So aussichtslos wie manches scheint, ist es in Bezug auf den Datenschutz und die Schule eigentlich gar nicht bestellt. Alle beschriebenen Probleme sind lösbar. Es müssen nur alle wollen, endlich Stellung beziehen und Schulen und Lehrkräften unterstützend zur Seite stehen. Und auch für die Blogger wird nichts so schlimm kommen, wie von manchen befürchtet. Und die DS-GVO wird nach einigen Anlaufschwierigkeiten mit der alltäglichen Umsetzung ein Gewinn sein, für alle.
Damian Duchamps' Blog 
Besten Dank für die hilfreiche Zusammenfassung und den dringenden Appell! Möge er überall dort gehört werden, wo es vonnöten ist.
Du schreibst von tollen europäischen Angeboten im Bildungsbereich, die nun unter gleichen Datenschutzbedingungen genutzt werden könnten. Welche meinst du da? Wäre toll, wenn du hier noch Vorschläge machst oder verlinken würdest.
[…] letzten Beitrag “Zu Hülfe, der Datenschutz …” hatte ich mit dem Fazit geschlossen “Es müssen nur alle wollen, endlich Stellung beziehen und […]
Bei der ganzen Diskussion um Datenschutz ärgert mich, dass häufig zu wenig lösungsorienteirt vorgegangen wird. Deine Beiträge gehören zu den wohltuenden Ausnahmen.
Ich habe drei Fragen, bei Denen mich Deine Einschätzung interessiert:
1. Auf schulischen Geräten darf der Leher personenbezogene Daten speichern und bearbeiten. Gilt dies auch, wenn man diesen Arbeitsplatz als Terminal anbietet z.B. über eine Citrixlösung? Wenn ja, könnte man auch über jedes private Endgerät als Terminal auf den schulischen AP zugreifen.
2. Messengerdienste wie whatsapp sind verboten. MMn eine undifferenzierte Festlegung. Was ist z. B. mit Signal? Hier werden keine Adressdaten aus den Kontakten an den Dienstanbieter übertragen. Die Kommunikation ist Ende-zu-Ende verschlüsselt.
3. Es dürfen keine Clouddienste genutzt werden. Nachvollziehbar, aber auch undifferenziert. Was ist, wenn ich Cryptomator nutze und die Dateien quasi in einem Tresor hinterlege, der mit AES verschlüsselt ist und noch nicht einmal die Dateinamen einen Hinweis auf die Datei ergeben. Verschlüsselte Sticks sind ja bekanntlich auch erlaubt. Oder: Was ist bei der Nutzung von ocloud. Deutscher Anbieter, bei dem der Hoster keinen Zugriff auf die Daten erhält, da die Daten nur verschlüsselt übertragen und gespeichert werden.
Danke für die positive Bewertung meines Beitrags zum Thema. Deine drei Fragen sind nicht alle einfach zu beantworten.
zu 1 – Zugriff auf eine Citrix-Lösung über ein privates Endgerät
Die Szenarien, wo mir Citrix im Zusammenhang mit Schulen begegnet, das sind in der Regel Verwaltungen und entsprechend abgesicherte Rechner. Die Nutzungsbedingungen von Logineo NRW sehen keine Einschränkungen vor, von welchen Geräten aus die Basis IT Infrastruktur genutzt werden kann. Einschränkungen gibt es allerdings, wenn man den Cloud Dateimanager mit einem lokalen Dateimanager koppeln will. Das geht nur auf von der Schulleitung genehmigten Geräten.
Hat man in der Schule im Lehrerzimmer Terminals stehen, ist das kein Problem. Die Nutzung von Citrix ist in der Regel mit gewissen Vorgaben verbunden, wenn sie nicht an Verwaltungsarbeitsplätzen stattfindet. Das sieht man am Beispiel des Kommunalen Rechenzentrum Minden-Ravensberg/Lippe. Dort heißt es auf S. 4 beispielsweise:
Von daher würde ich erwarten, dass die Nutzung einer Citrix Lösung als Zugang für Lehrkräfte über private Endgeräte ebenfalls eine Genehmigung durch die Schulleitung voraussetzt.
zu 2 – Nutzung eines sicheren Messengers wie Signal
In NRW hält man aus Gründen des Datenschutz WhatsApp und ähnlich nicht für geeignet für schulische und dienstliche Kommunikation. In der Datenschutzbroschüre des Landes heißt es dazu:
Anders als in anderen Bundesländern gibt es bei uns kein ausdrückliches Verbot. Entsprechend dieser Aussagen würde ich Lehrkräften von WhatsApp abraten müssen.
Signal ist definitiv die sichere Variante. Auch hier gibt es kein offizielles Verbot, wie es auch keine offizielle Empfehlung gibt. Eine offizielle dienstliche Kommunikation über Signal würde jedoch einen Vertrag zur Auftragsdatenverarbeitung Seitens der Schule mit Signal voraussetzen, vergleichbar wie mit einem E-Mail Anbieter. Damit können wir das Thema schon vergessen, wenn wir Signal ganz offiziell in Schule nutzen wollen mit den Lehrkräften. Wenn sie diese inoffiziell tun, um einen Backchannel zu haben für den schnellen Austausch, ist es kein Problem. Sensible Daten würde ich trotzdem darüber nicht austauschen (auch wenn es keine Sicherheitsbedenken gibt). Lehrkräften an Schulen, die sich auf den Weg machen, digitale Medien in den Unterricht zu integrieren, empfehle ich Signal, um sich zu vernetzen und gegenseitig zu unterstützen. Ich kenne auch Lehrerkollegien, die WhatsApp nutzen, um einen Kanal für den kurzen Dienstweg zu haben, das aber nicht offiziell an die große Glocke gehängt. Anders sieht es bei Schülern aus. Die müssen sich mit ihren privaten Smartphones anmelden oder einen Freund bitten, sie per Smartphone zu unterstützen bei der Anmeldung. Und da haben wir schon ein Problem. Wenn überhaupt, wäre es nur mit Einwilligung durch die Eltern möglich (zumindest bis einschließlich zum Alter von 15 Jahren).
Bei der Entscheidung, ob ein Messenger ein geeignetes Medium für schulische Kommunikation ist, spielen leider nicht nur Sicherheitsaspekte eine Rolle. Messenger sind ein schwieriges Thema, zumindest wenn man so etwas ganz offiziell machen möchte, und mögen sie auch noch so sicher sein. Wenn eine Schule einen Messenger für den Unterricht nutzen möchte, würde ich aber auf jeden Fall einen Dienst wie Signal empfehlen.
zu 3 – Speicherung und Übertragung von personenbezogenen Daten aus der Schule in verschlüsselter Form in eine/r Cloud
Diese Frage ist am leichtesten zu beantworten, da es hier klare Vorgaben gibt. Personenbezogene Daten bleiben letztlich personenbezogenen Daten, auch wenn sie extrem sicher verschlüsselt sind. Deshalb gilt die Vorgabe, dass diese Daten nur in einer Cloud gespeichert werden dürfen, für welche die Schule einen Vertrag zur Auftragsdatenverarbeitung geschlossen hat. Es hat in diesem Fall also nicht einmal etwas damit zu tun, ob es eine deutsche Cloud ist oder nicht. Ich weiß, es gibt auch die Ansicht, dass verschlüsselte Daten für den Betreiber einer Cloud keine personenbezogenen Daten mehr darstellen. Hier in NRW teilt man von Seiten des Ministeriums diese Ansicht jedoch nicht.
Danke für Deine schnelle Antwort.
zu 1: Der Zugriff erfolgt bei Nutzung eines privaten Endgerätes selbstverständlich über VPN. Wenn Die Schulleitung das genehmigen muss, stellt sich die Frage nach den Anforderungen an das Gerät. Die Anforderungen müssten dann eigentlich niedriger angesiedelt werden. Hier müsste es doch reichen, wenn das System mit jeweils aktueller Software arbeitet und wenn möglich eine Antivirensoftware installiert ist – oder?
zu 3: Zur Verschlüsselung merkst Du bereits an, dass es die Antwort strittig ist. Kann man die Position des Ministeriums nachlesen? Bei der angesprochenen Verschlüsselung kennt der Provider weder Namen noch eine Zuordnung von Daten, da die Daten auf dem lokalen Rechner verschlüsselt / entschlüsselt werden. Insofern liegen beim Provider keine personenbezogenen Daten vor.
In diesem Kontext auch noch die Frage, wie es sich mit Microsoft verhält, da hier die Daten im Minimum in Europa gespeichert werden. Ich zitiere: Microsoft … hat sich der Einhaltung des EU-US Privacy Shield und der EU-Standardvertragsklauseln verpflichtet.
Das Thema Microsoft und Office 365 ist schwieriger als man denken mag. Es ist richtig, dass es das EU-US Privacy Shield gibt und Microsoft sich zur Einhaltung der EU-Standardvertragsklauseln verpflichtet. Das nimmt leider diejenigen, welche den Auftrag zu einer Auftragsverarbeitung geben nicht aus der Pflicht, zumindest aus der Sicht des Datenschutzes. Es geht letztlich um Vertrauen. Doch nicht jede Stelle sieht das als ausreichend an. Eine Schule müsste quasi prüfen können, ob Microsoft sich tatsächlich an die Regeln hält und das Sicherheitsniveau für die Daten einhält. Das kann man umgehen, wenn sich Microsoft jährlichen Audits spezialisierter Firmen unterwirft und danach zertifizieren lässt. Ich meine mich zu erinnern, dass MS das sogar tut.
Aktuell prüft eine Arbeitsgruppe der Landesdatenschutzbehörden Office 365. Da man noch kein Ergebnis hat, sieht man sich nicht in der Lage, Office 365 für Schulen mit Cloud Anbindung zu empfehlen.
Was das Thema Verschlüsselung angeht: die DS-GVO sagt zum Thema Sicherheit, dass auch zukünftige technologische Entwicklungen mit berücksichtigt werden sollen (siehe Erwägungsgrund 26). Aber es streiten eben die Experten.
In der Handreichung zur Genehmigung gibt es auf Seite 12 eine Passage zum Thema Speichern in einer Cloud und dort die Formulierung, „auch nicht als gepackte Datei“. Das lässt so viel Interpretationsspielraum, ob da auch Verschlüsselung drunter verstanden werden könnte. Aber ganz eindeutig ist, dass keine Cloud ohne AV Vertrag genutzt werden darf.