Digitale Schule

Datenschutz mangelhaft?

Elmar Eperiesi-Beck leitet die von ihm gegründete eperi GmbH als CEO. Eine seiner Kernkompetenzen ist die Beratung von Unternehmen in Bezug auf die sichere und rechtskonforme Speicherung personenbezogener Daten in der Cloud. In den letzten Jahren hat er sich als geschätzter Berater für Cloud-Sicherheitsfragen auf Landes-, Bundes- und EU-Ebene etabliert. Angetrieben wird er von dem Bestreben, Menschen dabei zu unterstützen, zu jedem Zeitpunkt die Kontrolle über ihre personenbezogenen Daten zu erhalten.

Digitalisierung an Schulen: Zwischen Schatten-IT und DSGVO

Auch die Technik, die aktuell im Unterreicht auf Abstand weithin zum Einsatz kommt, ist bedenklich. Das beginnt bei den Videokonferenzdiensten, die für die Kommunikation zwischen Lehrern und SchülerInnen benutzt werden. Hierbei handelt es sich größtenteils um US-amerikanische Cloud-Dienste. Der Anbieter Zoom ist bereits wegen seines laxen Umgangs mit Datenschutzvorschriften in die Kritik geraten, hat er doch beispielsweise Mitschnitte von Videokonferenzen angefertigt und den Datenverkehr nicht ausreichend gegen unbefugten Zugriff gesichert. Auch wenn das Unternehmen inzwischen nachgebessert hat, warnte der Bundesdatenschutzbeauftragte Kelber vor der Nutzung der Plattform. Berlins Datenschutzbeauftragte Maja Smoltczyk erneuerte am 3. Juli 2020 ihre Warnung vor Videokonferenz-Lösungen wie Microsof Teams, Skype, Zoom, Google Meet, GoToMeeting, Blizz und Cisco WebEx. Kritisiert wird unter anderem, dass sich das Verhalten US-amerikanischer Anbieter nur schwer kontrollieren ließe, laufen die Datenströme doch häufig über Server in den USA. Zudem - so die Kritik - können US-Unternehmen in letzter Instanz immer durch US-Behörden zur Herausgabe von Daten gezwungen werden, sofern das politisch opportun erscheine. Übrigens nehmen US-Behörden ihre eigenen LehrerInnen und SchülerInnen gegen unerlaubten Datenzugriff entsprechend in Schutz und haben am 04. April in vielen Bezirken (wie bspw. NYC) den Einsatz von Zoom in Schulen verboten.

Lesetipp: Datenschutz in den USA - Shield Act Reloaded

Neben dem Einsatz von Videokonferenzdiensten aus der Cloud erfreuen sich viele andere Cloud-Dienste verständlicherweise gerade aktuell großer Beliebtheit. Ein anderes gutes Beispiel ist die Nutzung der Büroanwendungen von Microsoft 365, auch bekannt als Office 365. In Hessen beispielsweise ist die Nutzung von Microsoft 365 an Schulen aktuell nicht ohne weiteres gestattet. Wie sich auch auf der Internetseite des Datenschutz Hessen lesen lässt. Und doch kenne ich allein in meinem Heimat-Landkreis fünf Schulen, bei denen Microsoft 365 "einfach so" im Einsatz ist.

Nun ist der Einsatz von Cloud-Diensten nicht an sich unsicher oder sicher und es ist zweifelsohne möglich Microsoft 365 auf sichere Weise zu nutzen. Die unkoordinierte Nutzung dieser Dienste allerdings birgt erhebliche Risiken. Die Situation ist aus manchem Unternehmen bekannt, das seinen MitarbeiterInnen nicht die nötigen IT-Mittel an die Hand gibt, um bestimmte Aufgaben einfach auszuführen. Die Betroffenen greifen dann gerne auf Möglichkeiten außerhalb der offiziellen Unternehmens-IT zurück, um beispielsweise Dateien im Internet zu speichern und zu teilen oder mit Kollegen und Dritten zu chatten. In der Unternehmenswelt ist das Phänomen hinlänglich als "Schatten-IT" bekannt und gilt seit vielen Jahren als wesentliches Sicherheitsproblem.

Wovon reden wir überhaupt, wenn wir von Sicherheit und Datenschutz in der Cloud reden? Ein wichtiges Regelwerk zu diesem Thema ist die Europäische Datenschutzgrundverordnung (EU-DSGVO). Die Vorschrift regelt das Datenschutzrecht, den Umgang mit personenbezogenen Daten, einheitlich für ganz Europa. Ihr Ziel ist mehr Kontrolle der Bürger über ihre Daten und gleiche Wettbewerbsbedingungen für alle Unternehmen, die in der EU tätig sind. Zu den personenbezogenen Daten, die vor unbefugtem Zugriff zu schützen sind, zählen zum Beispiel:

  • Name,

  • Geburtsdatum,

  • E-Mail-Adresse,

  • IP-Adresse,

  • Steuernummer,

  • Autokennzeichen

  • oder Kontoverbindung.

Die Verantwortung für den Schutz der Daten in der Cloud liegt dabei bei der Organisation, die den Cloud-Dienst nutzt, nicht beim Anbieter des Cloud-Dienstes. Dies gilt bis auf die persönliche Ebene, sodass beispielsweise Geschäftsführer persönlich haftbar sein können, wenn ihr Unternehmen gegen die EU-DSGVO verstößt. Für unsere Diskussion der Nutzung von Schatten-IT durch LehrerInnen und SchülerInnen ist zu befürchten, dass die Verantwortung letztlich bei den LehrerInnen gefunden werden kann. Da bleibt zu hoffen, dass sich kein Kläger finden wird, damit sich kein Richter findet. Es ist klar, dass wir Bürger uns über den Datenschutz bei der Nutzung von Cloud-Diensten an Schulen Sorgen machen und es ist auch klar, bei wem wir die Verantwortlichkeit sehen: Laut einer Umfrage von YouGov sehen 76 Prozent der Befragten die Politik in der Pflicht, verbindliche Vorgaben zum Schutz sensibler Daten in der Cloud zu machen.

Zur Startseite