Eine interessante Nachricht für Schulen, die mit iPads arbeiten, gibt es aus Bremen. Dort hat die Senatorin für Kinder und Bildung am 24.09.2021 ein PDF Mitteilung Nr.296/2021 iCloud-Nutzung (pdf,332.8 KB) veröffentlicht. In Bremen war bei den in Schulen eingesetzten iPads die iCloud Nutzung stark eingeschränkt. Eine Nutzung von personenbezogenen Daten auf den Geräten war per Nutzungsordnung für Schüler und Lehrkräfte untersagt. Es war auch keine Speicherung von Nutzerdaten in iCloud-Drive zulässig und deshalb technisch unterbunden. Da die Funktionen der iCloud jedoch eine wesentliche technische Voraussetzung für die Unterstützung des kollaborativen Arbeitens wie auch des Dateiaustauschs ist, beauftragte die Senatorin eine Prüfung der Risiken und Möglichkeiten zur Ausweitung der Datenspeicherung in der iCloud. Man war dazu auch mit Apple im Austausch.
Im Ergebnis heißt es nun:
„Auf Grundlage der von Apple in einem Prüfgespräch gelieferten Informationen und der Dokumentation der technischen und organisatorischen Maßnahmen, sowie den vertraglichen Rahmenbedingungen wird im Ergebnis von der SKB eine Nutzung der iCloud im schulischen Kontext auch für die Verarbeitung personenbezogener Daten mit normalem Schutzbedarf als vertretbar eingestuft.„
Das bedeutet, iCloud kann für pädagogische Zwecke genutzt werden, solange es nur um personenbezogene Daten mit einem normalen Schutzbedarf geht. Dazu gehören nach Bremer Auffassung:
- Namen
- Kontaktinformationen (E-Mail-Adressen, Telefonnummern, etc.)
- Gruppenzugehörigkeiten (Klassen, Kurse, Arbeitsgruppen, etc.)
- Arbeitsergebnisse (Arbeitsblätter, Ausarbeitungen, etc.)
- Lernstände (absolvierte Lektionen in Lernapps, u.ä.)
Eine Nutzung ist auch für einige Schulverwaltungszwecke möglich. Genannt werden hier:
- Organisation von Unterricht und schulischen Veranstaltungen (Exkursionen, Feiern, usw.)
- Durchführung und Dokumentation von Unterricht und schulischen Veranstaltungen
Unter die beiden letzten Kategorien dürften zumindest einmal digitale Klassenbücher und vermutlich auch Apps wie TeacherTool fallen.
Von Seiten der Bremer Schulverwaltung werden zum Schutz der Daten auf den iPads und bei der Speicherung/ Sicherung in iCloud Sicherheitsfunktionen von iOS wie Gerätesperre und Verschlüsselung der Daten auf dem Gerät genutzt. Apps von Drittanbietern dürfen auf den Geräten nur nach Prüfung durch die Verwaltung genutzt werden. Hier geht es um Sicherheit, also den Schutz der mit der jeweiligen App verarbeiteten personenbezogenen Daten.
Bewertung
Bremen zeigt, wie Datenschutz pragmatisch gehandhabt werden kann. Apple ist als Datenverarbeiter nicht unumstritten, da iCloud Daten auf Servern liegen, die nicht nur in Europa stehen, sondern weltweit verteilt sind und auch in den USA lokalisiert sind, und als US Anbieter unterliegt Apple auch mit Serverstandorten außerhalb der USA dem CLOUD-Act. Mit den Schutzmaßnahmen, die iOS bietet, lassen sich die Daten, welche Nutzer auf iPads verarbeiten, recht gut schützen, auch wenn dieser Schutz nicht perfekt ist. Blickt man dann orientiert am Risiko auf die Sache, erscheint eine Speicherung von Daten mit einem normalen Schutzbedarf in iCloud durchaus möglich.
Das heißt, solange die iCloud nur im Rahmen der Speicherung und Sicherung von personenbezogenen Daten mit normalem Schutzbedarf sowie zum kollaborativen Arbeiten unter Verwendung von personenbezogenen Daten mit normalem Schutzbedarf genutzt und durch entsprechende technische und organisatorische Maßnahmen begleitet wird, ist dieses voraussichtlich ohne hohe Risiken für die Betroffenen möglich und von daher vertretbar.
Der Bremer Weg kann auch für Schulen in anderen Bundesländern hilfreich sein, da er den Verantwortlichen eine Richtschnur für eigene Entscheidungen bezüglich der Freigabe von iCloud auf schulischen iPads gibt.
_________________________
Hinweis: Wie in der Bekanntmachung der Senatorin für Kinder und Bildung beschrieben, wurde die Prüfung der Risiken und Möglichkeiten zur Ausweitung der Datenspeicherung in der iCloud durch den behördlichen Datenschutzbeauftragten der Dienststelle vorgenommen. Es handelt sich dabei um Dr. Uwe Schläger, der als externer Datenschutzbeauftragter der datenschutz nord GmbH die Rolle des behördlichen Datenschutzbeauftragten übernimmt. Das heißt auch, die Bremer Aufsichtsbehörde war an diesem Prozess nicht beteiligt.
Ein Hinweis zum Update:
Im 6. Tätigkeitsbericht der Landesbeauftragten für Datenschutz in Bremen wird in Punkt 10.3 erläutert, dass das Vorgehen der Senatorin in Bremen nicht korrekt war und die Nutzung der iCloud nicht datenschutzkonform ungesetzt wurde/wird.