Flucht zurück ins analoge Zeitalter

Die Cloud als Lösung für DSGVO-geplagte Lehrer

| Autor: Elke Witmer-Goßner

Schulzeugnisse schreiben per Hand: Die DSGVO treibt seltsame Blüten.
Schulzeugnisse schreiben per Hand: Die DSGVO treibt seltsame Blüten. (Bild: gemeinfrei © A_Different_Perspective - Pixabay / CC0)

Seit Ende Mai ist die Europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Doch was eigentlich klar geregelt sein sollte, verunsichert viele Berufsgruppen in Deutschland. Fotografen sind unsicher, ob sie jetzt noch Menschenmengen ablichten dürfen. Freiberufler und Handwerker, selbst Privatpersonen müssen ihre Alltagshandlungen aufwändig dokumentieren.

Die Verunsicherung geht soweit, dass einige inzwischen sogar die digitale Datenerhebung vermeiden, wo es nur geht. So haben beispielsweise die Lehrer der Düsseldorfer Gemeinschaftsschule an der Fliednerstraße im Stadtteil Kaiserswerth die diesjährigen Zeugnisse für die rund 300 Schüler wieder mit der Hand geschrieben – wegen der Unklarheiten um den Schutz von Schülerdaten. Nach Angaben der Gewerkschaft Erziehung und Wissenschaft (GEW) ist das kein Einzelfall - auch andere Schulen in NRW wollten so verfahren.

Datenschutz ad absurdum geführt

Grund hierfür ist die EU-Datenschutzgrundverordnung. Diese verlangt von den Lehrern, die wie gewohnt die Zeugnisse weiterhin auf ihrem privaten Rechner zu Hause verfassen wollen, die Unterzeichnung einer 11-seitigen Erklärung, in der sie versichern, dass ihre PCs so sicher seien wie es der Datenschutz verlange. So müssen sie zum Beispiel sicherstellen, dass ihr privates Betriebssystem regelmäßig aktualisiert wird, dass ein hinreichender Zugriffsschutz auf die gespeicherten Daten besteht (etwa durch einen Passwortschutz und/oder ein abschließbares Arbeitszimmer) oder dass personenbezogene Daten der Schüler verschlüsselt abgespeichert werden. Für die Sicherheit der Schülerdaten sind sie also nicht nur persönlich verantwortlich, sondern bei Regelverstößen auch haftbar. Für viele sind die datenschutzrechtlichen Hürden zu hoch, weshalb viele Lehrer sich auch scheuen, die geforderte Erklärung zu unterschreiben. Zu Recht findet die GEW, die den Lehrkräften bisher dazu geraten hat, das Dokument im Zweifelsfall lieber nicht zu unterschreiben, um ein Risiko von vorneherein auszuschließen. Und auch der Philologen-Verband empfahl Lehrern ebenfalls, diese Datenschutzerklärung nicht zu unterzeichnen.

Theoretisch könnten die Lehrer nun ja auch Dienst-PCs an ihren Schulen nutzen. Praktisch nahezu unmöglich, weil es davon einfach zu wenig gibt. Das Schulamt geht von einem Zuteilungsschlüssel von einem Rechner für zehn Lehrer aus. Im Falle der Düsseldorfer Schule heißt das dann auch tatsächlich, dass dort zwei Computer für 21 Lehrer bereitstehen. Und da besonders die Zeugnisse für die ersten beiden Klassen sehr ausführlich ausformuliert werden, hätte man – so hat man es in Kaiserswerth ausgerechnet – schon im Februar mit dem Verfassen der Zeugnisse beginnen müssen, um noch rechtzeitig zu den Sommerferien damit fertig zu werden.

Nicht nur Lehrer sind betroffen

Die Lage ist verworren: Während das Schulamt auf „neue diesbezügliche Erkenntnisse in den nächsten Monaten“ bei der Landesregierung hofft (und nun prüfen will, ob die handgeschriebenen Zeugnisse überhaupt gültig seien), reagiert das Land irritiert auf die Aktion der Düsseldorfer Schule und verweist darauf, dass „bis zum heutigen Tag keine Fälle bekannt seien, wo Lehrerinnen und Lehrer für mögliche Missachtungen von datenschutzrechtlichen Vorgaben belangt worden seien“, erklärt Mathias Richter, Staatssekretär im Ministerium für Schule und Bildung des Landes NRW. Da greifen die Lehrer dann doch vorsichtshalber lieber zum dokumentenechten Kugelschreiber. Dass natürlich handgeschriebene Zeugnisse ebenfalls Unbefugten in die Hände kommen können, bleibt dahingestellt.

Nun sind allerdings nicht nur die Lehrer betroffen. In Zeiten, in denen das Kürzel „BYOD“ („Bring your own device“) geradezu zum Schlachtruf hipper Unternehmen etwa aus dem Kreativ- und Startup-Bereich geworden ist und damit immer mehr Firmen erlauben, auch private Notebooks am Arbeitsplatz zu nutzen, landen auch immer häufiger sensible Kundendaten in den vier Wänden der Angestellten. Auch die BYOD-Praxis bewegt sich aktuell in einer Grauzone und betroffene Mitarbeiter müssten eigentlich eine Erklärung zur DSGVO-Konformität ihrer privaten IT unterzeichnen.

Die Cloud als Alternative zur Alternative

Mit dem digitalen Prestigeprojekt sollten die NRW-Schulen bereits 2016 flächendeckend eine Plattform bekommen, über die unter anderem die 5.800 Schulen digital Lerninhalte unter einander austauschen und vertrauliche Daten in einer Cloud gespeichert werden können. Wegen gravierender technischer Probleme und erheblicher Mängel bei Sicherheit und Datenschutz wollte die zuständige Medienberatung das Projekt „NRW LOGINEO“ dann aber nicht genehmigen, so dass die neue Landesregierung im Oktober 2017 das Projekt, das bis dahin schon gut vier Millionen Euro gekostet hatte, stoppte und überarbeiten ließ. Ab Oktober 2018 soll LOGINEO NRW nun endlich versuchsweise eingeführt werden – erst einmal an zwanzig Schulen, wo es vier Monate lang getestet werden soll. Ab Februar 2019 ist dann die schrittweise Umsetzung im Regelbetriebs geplant. Es dürfte also noch geraume Zeit vergehen, bis alle Schulen in Nordrhein-Westfalen von LOGINEO profitieren werden.

Bleibt eher die Frage, warum die Schulen nicht gleich eine bereits erprobte Cloud nutzen, um die Datenschutzproblematik einfach zu lösen. Allerdings ist hierfür noch nicht jede angebotene Cloud geeignet. DSGVO-Konformität als erste Anforderung erfüllen noch nicht alle Anbieter. Die abgelegten Daten müssen verschlüsselt und der Zugang durch ein Passwort geschützt werden. Zudem muss der Cloud-Anbieter eine revisionssichere Ablage personenbezogener Daten gewährleisten können, über die jede Änderung genau nachvollzogen werden kann. Und schließlich ist auch der Server-Standort relevant. So dürfen nach dem Cloud-Act beispielsweise US-Behörden von nationalen Cloud-Providern die Herausgabe sämtlicher Daten einer Person oder eines Unternehmens verlangen. Dieses Recht erstreckt sich zwar auch auf europäische Tochtergesellschaften von US-Firmen, kollidiert da aber mit der EU-DSGVO, so dass im Wirkungsbereich der Europäischen Union gehostete Daten sicher sein sollten.

Besser ist es, wenn Cloud-Anbieter und Server ihren Standort in Deutschland haben. Für das spezielle Düsseldorfer Problem wirft sich die dort ansässige dal33t GmbH mit ihrer cloud-basierten Sync&Share-Lösung PowerFolder ins Rennen. Die Lehrer hätten bei dieser Lösung die Möglichkeit, mobil auf Daten zuzugreifen und Dokumente online in der Cloud zu bearbeiten, auch mit ausgewählten Kollegen zusammen – tatsächlich eine rechtskonforme und dazu gesündere Alternative, um Sehnenscheidenentzündungen durch die ungewohnte Schreibarbeit per Hand vorzubeugen.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45402684 / Archivierung)