Seit gut einem Monat ist die Europäische Datenschutzgrundverordnung nun in Kraft – und lange nicht jeder in Deutschland ist glücklich damit. Fotografen sind unsicher, ob sie jetzt noch Menschenmengen ablichten dürfen, Freiberufler, Handwerker und Privatpersonen sehen sich einer aufwändigen Dokumentation von Alltagshandlungen gegenüber – und an einer Düsseldorfer Schule schreiben Lehrer die nächsten Zeugnisse wegen Unklarheiten um den Schutz von Schülerdaten mit der Hand. Eine deutsche Cloudlösung wie etwa PowerFolder könnte zumindest letzteres Problem lösen.
Düsseldorf, 11.07.18 – An der Düsseldorfer Gemeinschaftsgrundschule an der Fliednerstraße im Stadtteil Kaiserswerth werden die Lehrer die Zeugnisse in diesem Jahr für die rund 300 Schüler mit der Hand schreiben. Nach Angaben der Gewerkschaft Erziehung und Wissenschaft (GEW) kein Einzelfall – auch andere Schulen in NRW werden so verfahren. Grund ist die EU-Datenschutzgrundverordnung. Die nämlich verlangt von den Lehrern, die wie gewohnt die Zeugnisse weiterhin auf ihrem privaten Rechner zu Hause verfassen wollen, die Unterzeichnung einer 11-seitigen Erklärung, in der sie versichern, dass ihre PCs so sicher seien wie es der Datenschutz verlange – sie also persönlich für die Sicherheit der Schülerdaten haften. So müssen sie zum Beispiel sicherstellen, dass ihr privates Betriebssystem regelmäßig aktualisiert wird, dass ein hinreichender Zugriffsschutz auf die gespeicherten Daten besteht (etwa durch einen Passwortschutz und/oder ein abschließbares Arbeitszimmer) oder dass personenbezogene Daten der Schüler verschlüsselt abgespeichert werden. Hohe Hürden, weshalb viele Lehrer sich auch scheuen, die geforderte Erklärung zu unterschreiben. Zu Recht findet die GEW: Man rate den Lehrkräften, sich sehr genau zu überlegen, ob sie das Dokument unterschreiben wollen, da sie ein Risiko damit eingehen, erklärte GEW-Pressesprecher Berthold Paschert. Und auch der Philologen-Verband riet Lehrern davon ab, die Datenschutzerklärung zu unterzeichnen.
Eine (theoretische) Alternative wäre die Nutzung von Dienst-PCs in der Schule. Wovon es aber in der Praxis viel zu wenig gibt. Das Schulamt geht von einem Zuteilungsschlüssel von einem Rechner für zehn Lehrer aus. Im Falle der Düsseldorfer Schule heißt das dann auch tatsächlich, dass dort zwei Computer für 21 Lehrer bereitstehen. Und da besonders die Zeugnisse für die ersten beiden Klassen sehr ausführlich ausformuliert werden, hätte man – so hat man es in Kaiserswerth ausgerechnet – schon im Februar mit dem Verfassen der Zeugnisse beginnen müssen, um noch rechtzeitig zu den Sommerferien damit fertig zu werden.
Die Lage ist verworren: Während das Schulamt auf „neue diesbezügliche Erkenntnisse in den nächsten Monaten“ bei der Landesregierung hofft (und nun prüfen will, ob die handgeschriebenen Zeugnisse überhaupt gültig seien), reagiert das Land irritiert auf die Aktion der Düsseldorfer Schule und verweist darauf, dass „bis zum heutigen Tag keine Fälle bekannt seien, wo Lehrerinnen und Lehrer für mögliche Missachtungen von datenschutzrechtlichen Vorgaben belangt worden seien“ – so Mathias Richter, Staatssekretär im Ministerium für Schule und Bildung des Landes NRW – während die GEW mehr Dienst-PCs für Lehrer fordert. Während selbige verwirrt dann doch lieber zum dokumentenechten Kugelschreiber greifen.
Nicht nur Lehrer sind betroffen
Nun sind allerdings nicht nur die Lehrer betroffen. In Zeiten, in denen das Kürzel „BYOD“ („Bring your own device“) geradezu zum Schlachtruf von hippen Unternehmen etwa aus dem Kreativ- und Startup-Bereich geworden ist – und damit immer mehr Firmen erlauben, auch private Notebooks am Arbeitsplatz zu nutzen – landen auch immer häufiger sensible Kundendaten in den vier Wänden der Angestellten. Auch die bewegen sich aktuell in einer Grauzone und müssten dann eigentlich eine Erklärung zur GSDVO-Konformität ihrer privaten IT unterzeichnen.
Alternative LOGINEO NRW?
Mit dem digitalen Prestigeprojekt sollten die NRW-Schulen bereits 2016 flächendeckend eine Plattform bekommen, über die unter anderem die 5.800 Schulen digital Lerninhalte unter einander austauschen und vertrauliche Daten in einer Cloud gespeichert werden können. Wegen gravierender technischer Probleme und erheblicher Mängel bei Sicherheit und Datenschutz wollte die zuständige Medienberatung NRW LOGINEO dann aber nicht abnehmen, so dass die neue Landesregierung im Oktober 2017 das Projekt, das bis dahin schon gut vier Millionen Euro gekostet hatte, stoppte und überarbeiten ließ. Ab Oktober 2018 soll LOGINEO NRW nun endlich versuchsweise eingeführt werden – erst einmal an 20 Schulen, wo es vier Monate lang getestet werden soll. Ab Februar 2019 ist dann die schrittweise Umsetzung des regelbetriebs geplant. Es dürfte also noch geraume Zeit vergehen, bis alle Schulen in NRW von LOGINEO profitieren werden. Und ob die Plattform am Ende dann wirklich wie geplant funktioniert, steht – nach der zweifelhaften Vorgeschichte – wohl auch in den Sternen.
Die Lösung steckt in der Cloud – aber nicht in jeder
Warum also nicht einfach eine bereits erprobte Cloud nutzen? Da allerdings gilt es für die Nutzer, genau auszuwählen, denn (noch) nicht alle Anbieter erfüllen die Anforderungen der DSGVO. Um den Vorgaben Genüge zu tun, ist es erforderlich, dass die abgelegten Daten verschlüsselt werden, der Zugang durch ein Passwort geschützt wird und dass der Cloud-Anbieter eine revisionssichere Ablage personenbezogener Daten gewährleisten kann, über die jede Änderung genau nachvollzogen werden kann. Und schließlich ist auch der Server-Standort relevant. So dürfen nach dem Cloud-Act beispielsweise US-Behörden von amerikanischen Cloud-Providern die Herausgabe sämtlicher Daten einer Person oder eines Unternehmens verlangen. Da Recht erstreckt sich zwar auch auf europäische Tochtergesellschaften von US-Firmen, kollidiert da aber mit der EU-DSGVO, so dass im EU-Wirkungsbereich gehostete Daten sicher sein sollten. Noch besser aber ist es, wenn Cloud-Anbieter und Server ihren Standort in Deutschland haben – so, wie es zum Beispiel bei PowerFolder des Düsseldorfer Unternehmens dal33t GmbH der Fall ist. Das bietet zudem die Möglichkeit, auch mobil auf die Daten zuzugreifen und Dokumente online in der Cloud zu bearbeiten – auch mit ausgewählten Kollegen zusammen. Was für die Pädagogen dann auch die gesündere Alternative wäre: Berichten zufolge hätten einige Lehrer in Düsseldorf bereits beim Vize-Vorsitzenden der Schulpflegschaft, der hauptberuflich als Physiotherapeut arbeitet, bereits um Termine gebeten, da sie durch die auf sie zukommende, ungewohnte Schreibarbeit per Hand eine Sehnenscheidenentzündung befürchten.