DISCLAMER: In diesem Artikel möchte ich einen Einblick in einen niedersächsischen Runderlass des MK und entsprechende Softwareempfehlungen geben. Da ich kein Jurist bin, ist alles was folgt mit Vorsicht zu genießen und ggf. im Einzelfall zu prüfen. Um die Tipps für Software geben zu können, möchte ich aber den Runderlass mit meinen Worten darstellen und nehme daher auch eigene Interpretationen vor, die nicht juristisch geprüft sind.
Inhalt des Erlasses
Mit dem Runderlass 15-05410/1-8 – VORIS 20600 vom 01.01.2020 (veröffentlicht im Schulverwaltungsblatt 2/2020) erlaubt das Kultusministerium unter bestimmten Voraussetzungen den Einsatz von privaten IT-Systemen zur Erledigung dienstlicher Aufgaben – auch außerhalb der Schule.
Hierfür muss eine dienstliche Notwendigkeit für die Aufgaben bestehen (einen IT-Systeme-Zwang gibt es aber ausdrücklich nicht) und es dürfen stationäre sowie mobile Endgeräte genutzt werden, um die personenbezogenen Daten auf einem gesicherten Server der Schule oder einem entsprechenden IT-Dienstleister zu verarbeiten.
In diesem Zusammenhang ist die Speicherung personenbezogener Daten auf dem „Festspeicher“ der privaten mobilen Endgeräte (also Smartphone und Tablet) nicht zulässig. Zugelassen ist lediglich das Speichern und Anzeigen personenbezogener Daten in Clouds oder Applikationen von Fremdanbietern (wenn ein Auftragsdatenverarbeitungsvertrag geschlossen wurde). Damit dürfen wohl Online-Dienste genutzt werden, ein Speichern von Informationen auf Smartphones und Tablets ist allerdings nicht zugelassen.
Damit eine Lehrkraft auf dieser Basis arbeiten darf, muss ein schriftlicher Antrag an die Schulleitung gestellt werden. Dieser muss dann schriftlich genehmigt werden und eine Kopie des genehmigten Antrags dann wieder der Lehrkraft zugehen. Auch der Datenschutzbeauftrage muss eine Kopie erhalten.
Es dürfen im Zuge des Erlasses nur Daten derjenigen Lernenden verarbeitet werden, für die die Lehrkraft eine direkte Funktion (z.B. Klassen- oder Fachlehrer) innehat oder für die eine direkte Betreuungsfunktion wahrgenommen wird. Gleiches gilt für Daten anderer Lehrkräfte sowie der Ausbildungsbetriebe, hier dürfen nur die Daten der direkt in Arbeitsbeziehung stehenden Personen verarbeitet werden. Ein genauer Datenrahmen ist im Erlass aufgeführt, dieser schreibt die Art der Daten vor sowie, dass diese für die Aufgabenbearbeitung tatsächlich erforderlich sein müssen (Datensparsamkeit). Die Dauer der Datenspeicherung ist darauf begrenzt, dass die Lehrkraft einen aktuellen Bezug mit Blick auf die genannten Funktionen zu den Personen hat. Wenn also eine Klasse abgegeben wird und man nicht mehr Klassen- oder Fachlehrkraft ist, sind die Daten zu löschen.
Ferner ist der Datenschutz durch Verschlüsselung der Daten selbst sowie der Übertragungswege vorgeschrieben. Die IT-Umgebung wie bspw. Router müssen auf aktuellem Softwarestand gehalten und gesichert werden. Die Endgeräte müssen einen hinreichenden Schutz vor Schadprogrammen aufweisen. Im Falle privater IT-Geräte, die nicht Tablet und nicht Smartphone sind, ist eine Datensicherung zur Vermeidung des Datenverlustes durchzuführen.
In dem Antrag auf Genehmigung ist eine im Erlass genannte schriftliche Erklärung aufzunehmen. Eine Genehmigung eines Antrags sowie auch der Runderlass selbst sind für 5 Jahre gültig. Sollte sich das IT-System ändern (z.B. neues Tablet), ist ein neuer Antrag zu stellen.
Softwaretipps
Mit dem freiwilligen Einsatz von privaten IT-Systemen zur Verarbeitung personenbezogener Daten, die über den Erlass geregelt sind, gehen zum Teil neue Anforderungen an die Software einher. Hierfür möchte ich ein paar Tipps / Vorschläge geben.
Sichere Passwörter
Zur Verwaltung von Passwörtern empfehle ich einen Passwortmanager. Ein solches Programm speichert in einer Datenbank (Datei) die Benutzernamen, Passwörter und Informationen zu den Diensten. Der Passwortmanager selbst kann dann über ein komplexes Passwort abgesichert werden. Vorteile liegen hierbei darin, dass ich mir nur noch ein Passwort merken muss, zur Absicherung meiner Dienste und Dateien aber beliebig viele verschiedene Passwörter einrichten kann. Dies bringt bedeutend mehr Sicherheit, als überall das gleiche Passwort einzusetzen.
Im Rahmen von sogenannten Doxxing-Angriffen hatte Linus Neumann hierzu einen interessanten Beitrag geschrieben: https://linus-neumann.de/2019/01/lehren-aus-den-doxing-angriffen/
Ich persönlich komme mit https://keepassxc.org/ sehr gut zurecht.
Verschlüsselung von Festplatten und Ordnern
Mit dem in Windows 10 Pro integrierten Bitlocker lassen sich Festplatten gut verschlüsseln. Alternativ kann mit VeraCrypt eine Verschlüsselung von Festplatten / Datenspeichern und Ordnern eingerichtet werden: https://www.veracrypt.fr/en/Home.html
Backups
Für Backups nutze ich je nach Anwendungsfall unterschiedliche Tools. Dabei haben sich insbesondere FreeFileSync sowie Duplicati 2.0 bewährt:
Schutz vor Schadprogrammen
Hier können sich alle Windows 10 User dank des integrierten und mittlerweile auch von verschiedenen Medien empfohlenen Windows Defender zurücklehnen. Dieser stellt erstmal einen validen Schutz her und ist standardmäßig aktiv.
Insgesamt sollten aber einige Spielregeln im täglichen Umgang mit Dateien aus dem Internet eingehalten werden. Dazu ist der Vortrag „Hirne Hacken“ vom 36C3 meines Erachtens Pflichtprogramm für alle IT-System einsetzenden Personen: https://media.ccc.de/v/36c3-11175-hirne_hacken