Digitalpakt Schule: Die Crux mit dem Datenschutz

Veröffentlicht am: 10. September 2019 Autor: Ralf Koenzen Veröffentlicht in Netzpolitik, Technologie Keine Kommentare

Mitte August war es soweit: Die ersten Millionen aus dem Digitalpakt wurden bewilligt. Über die Summe von insgesamt 3,6 Millionen Euro freut sich der Kreis Zwickau, dessen Schulen möglichst bald von der Finanzspritze für die Bildungs-Digitalisierung profitieren sollen.

In weiten Teilen Deutschlands ist allerdings noch Warten angesagt, die zum Mittelabruf nötigen Fördermittelrichtlinien wurden bislang nur in acht von 16 Bundesländern veröffentlicht. Zudem herrscht in einem ganz wesentlichen Punkt vielerorts noch massive Verunsicherung: beim Thema Datenschutz.

Datenschutz in Schulen: Sensible Daten wohin man nur blickt

Dass es in Schulnetzwerken nur so vor sensiblen Daten wimmelt, dürfte für Schüler und Lehrer keine Neuigkeit sein. Dort finden sich zahlreiche personenbezogene Daten, jede Menge Noten, wichtige Logins zu pädagogischen Plattformen und Netzwerken sowie E-Mails, IP-Adressen, Protokolle von Diensten und Anwendungen und vieles mehr. Selbst Rückschlüsse auf das Nutzerverhalten im Schul-WLAN lassen sich ziehen.

Gleichzeitig ist der Kostendruck im Bildungswesen enorm, weshalb immer mehr Schulen und Schulträger auf Cloud-Lösungen bzw. Dienste aus der Cloud zurückgreifen. Das überrascht nicht, schließlich sind Cloud-Lösungen mit deutlich niedrigeren Investitionen verbunden, ermöglichen zusätzlich eine schnellere, effizientere und flexiblere Nutzung aller Ressourcen und der IT-Fachmann vor Ort entfällt.

Doch häufig ist deren Konformität mit europäischem Datenschutzrecht zumindest fragwürdig, was auch die Diskussion in Hessen über ein potentielles Nutzungsverbot von Office 365 in Schulen eindrucksvoll zeigt. Auch für den Verbraucherzentrale Bundesverband ist das Thema Schule und Cloud strittig. In dessen Bericht „Schülerdaten im Visier: Das Ringen um sichere Schul-Clouds“ bezieht Marit Hansen, Landesbeauftragte für Datenschutz in Schleswig-Holstein, ganz klar Stellung: „Ausländische Anbieter können aufgrund ihrer nationalgesetzlichen Regelungen nicht ausschließen, dass die Daten auch durch Sicherheitsbehörden ausgewertet werden.“

Auch Netzwerke aus der Cloud betroffen

Vielen ist offenbar dennoch nicht bewusst, welch datenschutzrechtlich sensibles Thema sie mit dem Einsatz einer Cloud-Lösung berühren. Oft wissen Schüler und Lehrkräfte gar nicht, welche Daten in der Cloud verarbeitet werden.

Ein ganz typisches Beispiel hierfür ist das Netzwerkmanagement – also die Verwaltung des WLAN und aller anderen aktiven Netzwerkkomponenten –, das heute vielerorts ebenfalls aus der Cloud heraus erfolgt. Da dies vollständig im Hintergrund arbeitet, sind die Zusammenhänge oft auf den ersten Blick nicht offensichtlich.

Die Daten, die beim Netzwerkmanagement aus der Cloud entstehen, unterscheiden sich in einem wesentlichen Punkt von den Daten, die in anderen Cloud-Anwendungen verarbeitet werden: sie sind nicht verschlüsselt. Diese „Produktivdaten“, die für den Betrieb des Netzes notwendig sind, kann prinzipiell auch der Cloud-Betreiber einsehen.  

Es handelt sich hierbei unter anderem um alle Schlüssel/Zugangsdaten zum Netzwerk. Darüber hinaus werden sämtliche Metadaten (z.B. IP-Adressen & MAC-Adressen) protokolliert und fortlaufend ausgewertet. Auf diesen Weg lassen sich direkte Rückschlüsse auf das Nutzungsverhalten von Schülerschaft und Lehrkräften ziehen.

EU-Datenschutz kein Thema für US-amerikanische Unternehmen

Ganz offensichtlich wird das Dilemma, wenn wir einmal über den großen Teich blicken. US-amerikanische Anbieter werden durch den CLOUD-Act dazu verpflichtet, ihren Sicherheitsbehörden auch dann den Zugriff auf die Daten ihrer Anwender zu gewähren, wenn diese auf Servern außerhalb der USA gespeichert sind. Europäische Datenschutzstandards finden also auf US-amerikanische Unternehmen keine Anwendung. Und auch asiatische Hard- und Software-Hersteller werden von heimischen Sicherheitsbehörden und Nachrichtendiensten immer wieder in Regress genommen, wenn es um das Ausspähen sensibler Daten geht.

Datenschützer und Politik müssen handeln

Bund, Länder und Datenschützer sind bereits mit verschiedenen Initiativen darum bemüht, Aufklärungsarbeit für Schulen und Schulträger zu leisten. Dazu passt auch, dass das Bundesministerium für Bildung und Forschung (BMBF) aktiv das Pilotprojekt einer deutschen Schul-Cloud fördert, mit der Schulen eine sichere digitale Lerninfrastruktur geboten werden soll. Auch genaue Vorgaben zum Einsatz von Cloud-Anwendungen sind in vielen Bundesländern keine Seltenheit mehr.

Dennoch bleibt vieles ein zahnloser Tiger und kommt über Empfehlungen nicht hinaus. Aus unserer Sicht ist es besonders erschreckend, dass das Thema „WLAN aus der Cloud“ in den Leitlinien gar nicht erst vorkommt. Man könnte fast meinen, niemand hätte die damit einhergehenden Datenschutzfragen wirklich auf dem Radar.

Um es ganz deutlich zu sagen: Schulen und Schulträger dürfen mit den Herausforderungen Datenschutz und Cloud – in all ihren Variationen – nicht alleine gelassen werden. Hier sind die Landesdatenschützer und Kultusministerien gefragt, ganz klare Vorgaben zu entwickeln, die am Ende ausschreibungsrelevant sind. Dazu zählen selbstverständlich auch Kriterienkataloge für einen DSGVO-konformen Einsatz digitaler Infrastruktur.

Geschieht dies nicht, muss damit gerechnet werden, dass betroffene Eltern oder Schüler wegen fehlenden Datenschutzes in den Schulen klagen und im Zweifelsfall Recht bekommen. Was dann passieren würde, wäre ein Scheitern ohne Gleichen! Schulen müssten ihr schickes, aus dem DigitalPakt finanziertes Schul-WLAN im schlimmsten Fall ganz schnell wieder abschalten und fielen, kaum im Zeitalter der Digitalisierung angekommen, schmerzhaft wieder in die Kreidezeit zurück. Für Schulverantwortliche hieße es dann nachsitzen in Sachen Datenschutz.

Verwandte Posts

Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.