1. Rechtliche Rahmenbedingungen
Obwohl mittlerweile in die Jahre gekommen und nicht mehr ganz aktuell, gilt die Verordnung über die Verarbeitung personenbezogener Daten in Schulen und statistische Erhebungen an Schulen aus dem Jahr 2009 nach ihrer Entfristung nach wie vor.
In § 1 Abs. 5 und § 3 sind die grundlegenden Voraussetzungen für die Verarbeitung von Daten von Schülern und Eltern auf privaten Endgeräten der Lehrkräfte vorgegeben. In der Anlage 6 ist der Katalog der Daten benannt, die im häuslichen Bereich der Lehrkraft verarbeitet werden dürfen.
Die Verantwortung für die Verarbeitung der Daten verbleibt jedoch bei der Schule bzw. der Schulleitung.
Zulässig ist eine häusliche Datenverarbeitung nur dann, wenn sie sich an den sonst üblichen Standards orientiert, die für die Datenverarbeitung außerhalb der Daten verarbeitenden Stelle gelten. Maßgeblich sind hier die Rahmenbedingungen der alternierenden Telearbeit für den Bereich der Landesverwaltung.
2. Technisch-organisatorische Maßnahmen
Der Erlass fordert, dass die Speicherung von personenbezogenen Daten der Schüler und Eltern auf einem separaten und verschlüsselten Datenträger erfolgt, der ausschließlich für diese Zwecke verwendet wird. Neben USB-Geräten wie z.B. Festplatte oder Stick ist auch eine Speicherung der Daten auf einer ggf. vorhandenen Plattform der Schule oder des Schulträgers möglich, soweit die hierfür erforderlichen Sicherheitsmaßnahmen umgesetzt sind. Bei der zur Verschlüsselung verwendeten Software für die USB-Komponenten ist darauf zu achten, dass ein aktuell als sicher anerkannter Algorithmus mit entsprechender Schlüssellänge verwendet wird.
3. Verschlüsselung der Daten
Das Hessische Kultusministerium hat seinerzeit in Absprache mit meinem Haus auf die Software Truecrypt verwiesen, mit der nicht nur einzelne Dateien verschlüsselt werden können, sondern die auch einen verschlüsselten Container zur sicheren Dateiablage anlegen kann. Daneben können auch andere Produkte mit einem entsprechenden Funktionsumfang eingesetzt werden.
Obwohl die Entwicklung der Verschlüsselungssoftware Truecrypt eingestellt wurde, erfüllt nach einer Veröffentlichung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) die Truecrypt-Version 7.1a die vorgeschriebenen Standards. Es bietet sich aber an, bei der Neueinrichtung eines verschlüsselten Speichermediums neuere Produkte (z.B. Veracrypt) zu verwenden. Auch in diesem Fall können die jeweils aktuellen Erkenntnisse und Empfehlungen zu Verschlüsselungsprodukten des BSIÖffnet sich in einem neuen Fenster verwendet werden.
Seit einigen Jahren werden alternativ sog. hardwareverschlüsselte USB-Sticks mit unterschiedlichen Leistungsmerkmalen und Zusatzfunktionen angeboten. Die Hersteller verweisen dabei je nach Produktlinie auf unterschiedliche internationale Zertifizierungen wie z.B. FIPS des NIST (National Institute of Standards and Technology).
In Anbetracht der verfügbaren technischen Möglichkeiten stellt der Verzicht auf eine Verschlüsselung der Daten eine Fahrlässigkeit dar. Art 32 DS-GVO (Sicherheit der Verarbeitung) beschreibt die Verschlüsselung personenbezogener Daten als eine der möglichen Maßnahmen, die im Bereich der Datenverarbeitung durch Lehrkräfte am häuslichen Arbeitsplatz als zwingend geboten anzusehen ist.
4. Schüler- und Elterndaten
Zum Schutz der Schüler- und Elterndaten mit normalem Schutzbedarf nach Anlage 1 A Nr. 6.1-6.13 vor unbefugtem Zugriff und zur Sicherstellung der Verfügbarkeit sind die Lehrkräfte durch die Schulen über die Verarbeitungsbedingungen zu unterrichten und auf die Einhaltung der folgenden organisatorischen und technischen Maßnahmen zu verpflichten:
- Die Lehrkräfte melden die Verarbeitung der Daten bei der Schulleitung an und hinterlegen, soweit eine Verschlüsselung der Daten erfolgt, für Notfälle das persönliche Passwort für die Verschlüsselung in einem verschlossenen Umschlag, der in der Schule gesichert aufbewahrt wird.
- Arbeitsergebnisse sind zeitnah auf die Systeme der Schulverwaltung zu übertragen.
- Daten, die nach der Übertragung in die Systeme der Schulverwaltung nicht mehr lokal benötigt werden, sind, soweit die Aufbewahrung nicht explizit geregelt ist, unverzüglich zu löschen.
- Der häusliche Arbeitsplatz ist so einzurichten, dass Daten und Unterlagen von Unbefugten nicht eingesehen werden können.
- Sämtliche Unterlagen sind außerhalb der Bearbeitungsphase verschlossen aufzubewahren.
- Es ist den Lehrkräften untersagt, die verarbeiteten Daten auf den lokalen Festplatten ihres Systems abzulegen.
- Wird die Bearbeitung unterbrochen, ist der Zugang zum Rechner und insbesondere zu den Daten zu sperren.
- Der eingesetzte Rechner muss durch einen aktuellen Virenscanner geschützt werden.
5. Förderdiagnostische und sonderpädagogische Gutachten
Bei den in § 3 Abs. 4 der Rechtsverordnung genannten Daten, die im Zusammenhang mit der Erstellung von Gutachten anfallen, ist ein höherer Schutzbedarf gegeben. Insbesondere für die Verarbeitung dieser Daten ist der Einsatz dienstlicher Geräte anzustreben.
Ist das nicht umzusetzen, sind für das Erstellen von Fördergutachten mit privaten Geräten Verfahren zu wählen, die weitgehend jede Speicherung der Daten auf den privaten Datenverarbeitungsgeräten der Lehrkräfte technisch ausschließen.
Stand: 06.11.2019