© SFIOCRACHO / Shutterstock
Schulcloud
Werbung

Investitionen müssen DSGVO-konform sein

Der Trend zur Cloud setzt sich auch bei Schulen weiter fort. IT-Dienste aus der Wolke sind oft eine bevorzugte Alternative zu lokalen Anwendungen, weil sie quasi „auf Knopfdruck“ zur Verfügung stehen, mit geringen Erstinvestitionen verbunden sind und die IT-Fachkraft vor Ort sowie teure Wartungsverträge überflüssig machen.

DigitalPakt Schule: Investitionen müssen DSGVO-konform sein

Schulen, die mit der Cloud liebäugeln, dürfen jedoch ein ganz zentrales Kriterium nicht außer Acht lassen: den Datenschutz. In Schulnetzen werden unzählige sensible, personenbezogene Daten wie Zensuren, Logins zu pädagogischen Plattformen sowie E-Mails und IP-Adressen verarbeitet, die es zu schützen gilt.

Von elementarer Bedeutung ist, welcher nationalen Gesetzgebung der Cloud-Anbieter unterliegt und ob seine Lösung den strengen EU-Datenschutzvorgaben standhält. Der Einsatz einer nicht DSGVO-konformen Lösung kann sonst zu einem realen Risiko für getätigte Investitionen werden. 

Cloud ist nicht gleich Cloud

Generell stehen die Deutschen der Cloud in Schulen eher skeptisch gegenüber. Das zeigt eine repräsentative Umfrage des Meinungsforschungs­instituts YouGov. Kommen Cloud-Dienste zum Einsatz, fordern 73 %, dass diese zum Schutz sensibler Daten aus Deutschland oder wenigstens Europa stammen.

Cloud-Angebote aus den USA sind besonders kritisch, da sie dem US CLOUD Act unterliegen. Dieser verpflichtet US-Anbieter, nationalen Diensten jederzeit Zugriff auf Anwenderdaten zu gewähren, selbst wenn diese in Rechenzentren in Deutschland oder Europa liegen. Der DSGVO-konforme Schutz sensibler Schuldaten ist damit nicht gegeben.

Auch der Bundesverband der Verbraucherzentrale sieht das Thema Schule und US-Clouds kritisch. Im seinem Bericht „Schülerdaten im Visier: Das Ringen um sichere Schul-Clouds“ bezieht Marit Hansen, Landesbeauftragte für Datenschutz in Schleswig-Holstein, Stellung: „Ausländische Anbieter können aufgrund ihrer nationalgesetzlichen Regelungen nicht ausschließen, dass die Daten auch durch Sicherheitsbehörden ausgewertet werden.“

Cloud-Lösungen aus Deutschland als sichere Alternative

Eine echte Alternative sind Cloud-Lösungen von deutschen oder europäischen Anbietern. Diese sind nicht verpflichtet, sensible Daten offenzulegen und ermöglichen einen DSGVO-konformen Betrieb.

Besonders wichtig ist dies beim Schul-WLAN. In vielen Schulen kommen heute aus Effizienzgründen WLANs zum Einsatz, die aus der Cloud gesteuert werden. Sind diese nicht ausreichend geschützt – bzw. deren Anbieter durch den US CLOUD Act oder andere nationale Regelungen zur Offenlegung von Daten verpflichtet – können im Fall der Fälle sogar Rückschlüsse auf das konkrete Nutzerverhalten einzelner Schüler und Lehrer gezogen werden. Ein hochaktuelles Risiko, das mit der schnell voranschreitenden Digitalisierung des Bildungswesens die Privatsphäre von mehr als acht Millionen Schülern in Deutschland bedroht.

Fazit: DSGVO-Konformität ist Pflicht 

Datenschutz und Cloud sind große Herausforderungen für Schulen und Schulträger. Wenn sie DigitalPakt-Fördergelder für Infrastrukturinvestitionen beantragen, sollten sie sich umfassend informieren und beraten lassen. Hier ist auch die Politik gefordert: 76 % der befragten Deutschen erwarten von ihr verbindliche Vorgaben, wie Schulen beim Einsatz einer Cloud den Schutz sensibler Daten sicher­stellen können.

Kultusministerien müssen klare Vorgaben für einen DSGVO-konformen Einsatz digitaler Infrastruktur entwickeln, durchsetzen und als ausschreibungsrelevant festschreiben. Sonst kann es passieren, dass Eltern oder Schüler wegen Datenschutzmängeln klagen und Schulen im schlimmsten Fall ihre über den DigitalPakt finanzierte Infrastruktur wieder abschalten müssen.

Von didacta DIGITAL • 23.10.2019

Dirk Hetterich

ist Director Public von LANCOM Systems.

Partner

eMag didacta DIGITAL