paedML und Datenschutz
skynesher via GettyImages
Im Gespräch mit Alexander Baumann
Alexander Baumann ist Teamleiter der paedML Linux und der paedML für Grundschulen am Landesmedienzentrum Baden-Württemberg (LMZ). Mit ihm haben wir über das Thema „Datenschutz in der paedML“ gesprochen. Wir wollten wissen, welche Sicherheiten die IT-Lösung paedML im pädagogischen Netz einer Schule mitbringt und welche technischen-organisatorischen Maßnahmen eine Schule treffen sollte, um den datenschutzrechtlichen Belangen gerecht zu werden. Die Fragen stellte Ulrike Boscher.
Datenschutz ist ein wichtiges Thema, gerade wenn es um die persönlichen Daten von Schülerinnen und Schülern sowie von Lehrkräften geht. Welche Rolle spielt der Datenschutz in der IT-Lösung paedML?
In der pädagogischen Musterlösung (paedML) wird Datenschutz sehr ernst genommen und zwar nicht erst seit Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO), sondern schon seit jeher. Das LMZ orientiert sich bei der Entwicklung der paedML schon immer an den Vorgaben des Landesdatenschutzes und des Kultusministeriums, wie sie beispielsweise auch im aktuellen Netzbrief zum Ausdruck kommen. Mit beiden Organisationen stehen wir in gutem Kontakt.
Für die Umsetzung des Datenschutzes stellen wir Schulen schon seit längerem Verfahrensverzeichnisse zur Verfügung, nach Inkrafttreten der DSGVO gibt es nun außerdem eine Vorlage für das „Verarbeitungsverzeichnis paedML“. Dabei sollte man wissen: Das Rollen- und Rechtekonzept der paedML ist bereits auf größtmöglichen Datenschutz ausgelegt. Außerdem ist sie so konzipiert, dass, wenn man sich als Nutzer an die Vorgaben des Netzbriefes hält, nur ein Mindestmaß an personenbezogenen Daten anfällt.
Die Sicherheit liegt in der Trennung dreier Netze
Aus datenschutzrechtlichen Belangen empfiehlt das Kultusministerium im aktuellen Netzbrief eine dreistufige Netzinfrastruktur. Was genau bedeutet das und welche Vorteile bieten die drei Stufen?
Die IT-Infrastruktur an Schulen ist in den vergangenen Jahren stetig gewachsen und komplexer geworden. Außerdem spielt die Digitalisierung eine ständig zunehmende Rolle im Unterricht. Um den vielfältigen, informationstechnischen Aufgaben an einer Schule gerecht zu werden und auch die Lehrkräfte bestmöglich zu unterstützen, empfiehlt das Kultusministerium den Aufbau einer Netzinfrastruktur mit drei Netzsegmenten, die entweder physikalisch oder virtuell (per VLAN) voneinander getrennt sein müssen. Damit sichert sich die Schule ab, indem sie jeder Nutzergruppe ein strukturiertes, datenschutzkonformes und sicheres Arbeiten ermöglicht.
Welche separaten Netze sind vorgeschrieben?
Das Verwaltungsnetz stellt die Arbeitsumgebung der Schulleitung: Hier müssen die Sicherheitsstandards besonders hoch sein, weil nur in diesem Netz die Verwaltung von sensiblen und personenbezogenen Daten der Schülerinnen und Schüler, der Sorgeberechtigten und der Lehrkräfte (wie z.B. Adressen, Zeugnisse, dienstliche Beurteilungen von Lehrern, vertrauliche Schreiben etc.) erfolgen darf.
Um Lehrkräften die Unterrichtsvorbereitung zu erleichtern kann zusätzlich als (optionale) Arbeitsumgebung das Lehrernetz eingerichtet werden. In diesem Netz dürfen Daten zur Unterrichtsvorbereitung gesammelt, gestaltet und abgelegt werden. Außerdem dürfen Bewertungen und Benotungen von Schülerarbeiten verarbeitet und gespeichert werden. Hierbei muss die Schule jedoch sicherstellen, dass das Lehrernetz nur von Computern in Räumen erreichbar ist, in die ausschließlich Lehrkräfte Zutritt haben. Es ist zwar ein geregelter Zugriff durch Lehrerinnen und Lehrer von diesem Netz aus ins Verwaltungsnetz und zwar auf ausgewählte Ressourcen zulässig, allerdings nur, wenn sichergestellt ist, dass personenbezogene Daten aus dem Schulverwaltungsnetz niemals physikalisch im Lehrernetz abgelegt werden können.
Das dritte Netz ist das pädagogische Netz, in dem Schülerinnen und Schüler mit ihren Lehrerinnen und Lehrern im Unterricht zusammenarbeiten. Die pädagogische Musterlösung paedML gehört zum Angebot des LMZ und wird für die Unterrichtsumgebung vom Kultusministerium empfohlen.
Während die Lehrkräfte zwar vom Lehrernetz aus auf die paedML zugreifen dürfen (z.B. um dort Unterrichtsmaterialien abzulegen), darf es umgekehrt keinesfalls möglich sein, aus dem pädagogischen Netz heraus auf Daten im Lehrernetz oder gar dem Verwaltungsnetz zuzugreifen.
Checkliste Datenschutz: Im Verarbeitungsverzeichnis wird die Verarbeitung personenbezogener Daten dokumentiert. In der Vorlage des LMZ ist vieles bereits ausgefüllt. Einige Maßnahmen sind in der paedML bereits realisiert. Es gibt aber auch noch technisch-organisatorische Maßnahmen zum Datenschutz, die in der Zuständigkeit der Schule liegen.
Bewertungen oder Beurteilungen zum Verhalten oder zur Leistung von Schülern haben im pädagogischen Netz nichts verloren.
Die paedML stellt das pädagogische Netz einer Schule. In dieser Unterrichtsumgebung dürfen Schülerinnen und Schüler sowie Lehrkräfte aktiv sein. Dürfen hier auch personenbezogene Daten verarbeitet und gespeichert werden?
Laut Netzbrief des Kultusministeriums dürfen in der Unterrichtsumgebung (also im pädagogischen Netz der paedML) keine personenbezogenen Daten von Schülerinnen und Schülern und Lehrkräften verarbeitet und gespeichert werden, außer Name und Klassenzugehörigkeit. Hinzu kommen notwendige Daten, die bei der Unterrichtsgestaltung entstehen, sogenannte Nutzdaten. Dazu gehören Arbeitssitzungsdaten (wie zum Beispiel selbst gedrehte Filme, eigene Fotografien, selbst geschriebene Aufsätze und Texte, digitale Arbeitsblätter) und Webseitenaufrufe. Letztere werden in der paedML mit protokolliert. Diese im Zuge des Unterrichts anfallenden persönlichen Daten von Schülerinnen und Schülern dürfen verarbeitet und gespeichert werden. Weitere personenbezogene Daten, wie z.B. Bewertungen oder Beurteilungen zum Verhalten oder zur Leistung von Schülerinnen und Schülern, haben im pädagogischen Netz nichts verloren.
Mit welchen Sicherheitsvorkehrungen wird verhindert, dass Schüler/-innen Zugriff auf das Lehrer- oder das Verwaltungsnetz bekommen?
Um auszuschließen, dass Schüler/-innen Zugriff auf das Schulverwaltungsnetz oder das Lehrernetz bekommen, müssen die Netze entweder physikalisch (über separate physikalische Netzinfrastrukturen) oder virtuell (über VLANs) getrennt sein. Es ist Aufgabe des IT-Dienstleisters einer Schule dafür zu sorgen, dass die Netztrennung korrekt implementiert ist. In der Praxis sollte die Schule dann auch gewährleisten, dass Schüler/-innen keinen Zugriff auf Rechner bekommen, die sich im Lehrer- oder im Schulverwaltungsnetz befinden. Das heißt konkret: Räume abschließen und keine Anmeldezugänge für Schüler/-innen gewähren.
Um datenschutzkonform zu sein, sollten Schulen, die eine paedML betreiben, ein Verarbeitungsverzeichnis erstellen. Erklären Sie bitte kurz: Wozu dient das? Was steht drin?
Im Verarbeitungsverzeichnis wird die Verarbeitung personenbezogener Daten dokumentiert. Darin stehen unter anderem die Datenschutzverantwortlichen der Schule, der Zweck der Datenverarbeitung, Kategorien von betroffenen Personen, die Art der anfallenden Daten und Löschfristen. Zur Unterstützung stellt das LMZ den Schulen ein Verarbeitungsverzeichnis zur Verfügung, indem vieles bereits ausgefüllt ist. Manchen erscheint diese Vorlage auf den ersten Blick zu detailliert. Allerdings können, wie bereits erwähnt, mitunter auch im pädagogischen Netz personenbezogene Daten anfallen, wie zum Beispiel ein Schüleraufsatz, der solche Daten enthält. In diesem Fall kommt das Rollen- und Rechtekonzept der paedML zum Tragen. Es sorgt dafür, dass nur die betreffende Schülerin oder der Schüler, sowie die zuständige Lehrkraft auf diese Daten zugreifen können.
Wichtig ist auch die Anlage zum Verarbeitungsverzeichnis: Sie besteht aus einem Katalog von technischen und organisatorischen Maßnahmen zum Datenschutz gemäß Art. 32 DSGVO. Ein Teil davon ist bereits in der paedML umgesetzt, ein anderer Teil obliegt der Zuständigkeit der Schule. Zu nennen wären z.B. folgende Maßnahmen: Der Server muss sich in einem abgeschlossenen Raum befinden, es sollte eine Datensicherung vorhanden sein, ebenso eine unterbrechungsfreie Stromversorgung.
Wer bietet Unterstützung bei der Erstellung eines Verarbeitungsverzeichnisses?
Das LMZ bietet Schulen eine Vorlage für das Verarbeitungsverzeichnis und für die technisch- organisatorischen Maßnahmen für die paedML. Hierbei sind bereits alle Punkte ausgefüllt, die die paedML selbst erfüllt. Die Schulen sollten lediglich schulspezifische Angaben ergänzen, bzw. die aufgeführten Maßnahmen umsetzen (z.B. Sicherung des Serverraums). Die Stellen, an denen das nötig ist, sind in den LMZ-Dokumenten klar gekennzeichnet.
Hat sich die europäische Datenschutzgrundverordnung auf die technische Weiterentwicklung der paedML in irgendeiner Form ausgewirkt? Muss ein schulisches Netzwerk nun zusätzliche Kriterien erfüllen?
Nicht unmittelbar, denn die Vorgaben des Netzbriefes und des Landesdatenschutzes waren bisher schon klar und eindeutig im Sinne des personenbezogenen Datenschutzes formuliert. Gleichwohl beobachten wir auch zukünftig sehr genau die datenschutzrechtlichen Entwicklungen, sowie die technischen Neuerungen in punkto Sicherheit und Datenschutz und binden sie wo nötig, in die paedML Entwicklung ein.