Aussagen LDI NRW zu iPads und iCloud

Posted on by mrtee

An vielen Schulen nutzen Schülerinnen und Schülern aktuell iPads im Unterricht. Entsprechend nutzen auch Lehrkräfte diese Geräte, vielfach auch als Dienstgeräte. Das iPad kann zwar komplett offline mit vielen seiner Basisfunktionen genutzt werden, doch das Gerät und sein Betriebssystem iPadOS (iOS) sind eng mit Apple Diensten wie dem Apple School Manager, dem VPN Store und iCloud. Über die Einrichtung von managed Apple IDs, also verwalteten Apple Nutzer Konten, können weitere Funktionen abgebildet werden. Diese reichen von der Sicherung von Nutzerdaten in iCloud über die Zuweisung von personalisierten Profilen und Apps bis zur Steuerung von Unterricht über Apple Classroom. Die mit dem Apple Ökosystem verbundene Unsicherheit bei Schulen und Schulträgern ist groß und führt dazu, dass es regional höchst unterschiedliche Freiheiten bzw. Einschränkungen bei der Nutzung gibt. Primär geht es dabei um managed Apple IDs und iCloud. Während einige Schulträger hier gar nichts zulassen, sehen andere keine Probleme. Schulen, die ohne persönliche Nutzerkonten und iCloud auskommen müssen, haben nur eingeschränkte Möglichkeiten in Bezug auf Datensicherung und kollaborative Arbeitsformen.  Technisch ist es zwar möglich, einige Daten auch manuell auf einen Schulserver oder sogar passendes USB Medium zu speichern, doch eine komplette Gerätesicherung oder Sicherung eines Nutzerkontos ist so nicht möglich. Wie steht man bei der LDI NRW zu managed Apple IDs und iCloud?

In ihrem 30. Tätigkeitsbericht für das Jahr 2024 äußert sich die LDI NRW in Reaktion auf vielfache Anfragen zur Thematik und schickt direkt die Aussage voraus, dass Schulen bei ihren Pflichten zum Schutz der personenbezogenen Daten von Schülerinnen und Schülern und Lehrkräften vor großen Herausforderungen stehen: „Denn Vertragsunterlagen und Datenschutzrichtlinie des US-Konzerns legen nahe, dass auf dem iPad erfasste Nutzungsdaten auch in die USA übermittelt werden.“ Mit dem Beitrag im Tätigkeitsbericht möchte man Antwort auf die gängigsten Fragen geben. Bei der Ausarbeitung der Antworten orientierte man sich neben der Vorgaben der DS-GVO auch am Schulgesetz NRW, welche Schulen auch beim Einsatz von iPads einhalten müssen. Diese werden dann in Kurzform wiedergegeben. Hervorzuheben sind hier die Pflicht zum Abschluss eines Vertrags zur Auftragsverarbeitung, wenn die Schule personenbezogene Daten nicht selbst verarbeitet, und die Rechenschaftspflicht gem. Art. 5 DS-GVO. In der Bewertung der von Apple vorgelegten Rechtsdokumente zur Verarbeitung personenbezogener Daten (insbesondere der Apple-Datenschutzrichtlinie und des Apple-Business-Manager-Vertrags) kommt die LDI NRW zu dem Schluss, dass Apple Nutzungsdaten zu eigenen Zwecken nicht nur in die USA, sondern auch in weitere Drittländer übermittelt. Hinsichtlich der Übermittlung in die USA fehlt es an einer gültigen Selbstzertifizierung im Rahmen des EU-US Data Privacy Framework (DPF), so dass Apple nicht vom EU-Angemessenheitsbeschluss für Datenübermittlungen erfasst ist. Zudem besteht in den weiteren Drittländern kein angemessenes Datenschutzniveau.

Die LDI NRW sieht drei Möglichkeiten, iPads datenschutzgerecht in der Schule einzusetzen:

  1. Um „mögliche unzulässige Datenübermittlungen“ und die Verarbeitung der personenbezogenen Daten der Nutzer auf die EU einzuschränken, sollten Schulen auf die Nutzung der iCloud verzichten.
  2. Schülerinnen und Schüler sollten keine privat genutzten iPads für schulische Zwecke einsetzen, um Apple keine Möglichkeit zu geben, Daten aus der privaten Nutzung in Verbindung mit einem privaten Apple Konto mit Daten aus der schulischen Nutzung zu verknüpfen.
  3. Schulische iPads sollten ohne personalisiertes Apple Konto genutzt werden.

Etwas ausführlicher befasst sich der Beitrag im Tätigkeitsbericht mit der Frage, ob es möglich ist, die Daten von Schülerinnen und Schülern per Backup in der iCloud zu speichern. Hierbei sieht die LDI NRW große Probleme. Sie schließt eine Nutzung nicht direkt aus, setzt jedoch die Hürden sehr hoch, die Schulen überwinden müssten, um Schülerdaten in der iCloud zu sichern. Um die Backup Funktion nutzen zu können, ist die Einrichtung von personalisierten Apple Konten (managed Apple IDs) erforderlich. Dies wiederum bedeutet jedoch, dass personenbezogene Daten potentiell im Zugriff von Apple und Ermittlungsbehörden liegen und davor geschützt sein müssen. Das jedoch schätzt die LDI NRW als nicht gegeben ein, da Apple das DPF nicht für sich nutzt und damit „der entsprechende EU-Angemessenheitsbeschluss für Über-
mittlungen personenbezogener Daten in die USA für Apple nicht gilt.“ Für die LDI NRW ergeben sich daraus zwei Anforderungen, die erfüllt sein müssen, um iCloud schulisch nutzen zu können:

    1. Eine Pseudonymisierung von managed Apple IDs muss so gestaltet sein,
      • dass ohne weitere Informationen keine Identifizierung möglich ist,
      • dass keine Namensbestandteile im Pseudonym enthalten sind, da diese meist ungeeignet sind,
      • und dass die zusätzlichen Informationen (zum Beispiel Zuordnungstabellen oder Schlüssel), mit denen eine Zuordnung zur Person möglich ist, getrennt und nur berechtigten Personen zugänglich aufbewahrt werden.

      Dabei sollten die entsprechenden technischen Richtlinien, wie vom BSI oder ENISA vorgegeben, beachtet werden.

    2. eine Verschlüsselung von Inhaltsdaten mit Schlüsseln auf welche die Nutzer, nicht aber Apple Zugriff haben.Die LDI NRW weist darauf hin, dass es derzeit nicht möglich ist, dass Apple die Verschlüsselungsschlüssel der Nutzer nicht kennt. Deshalb sollten Schulen und Schulträger aktiv das Gespräch mit Apple suchen, um dies zu ändern.

Ergänzend empfiehlt die Aufsichtsbehörde alternative Möglichkeiten, Daten zu sichern. Dies könne einmal in der Cloud bei Dienstleistern erfolgen, mit welchen die Schule einen Vertrag zur Auftragsverarbeitung abgeschlossen hat, oder sonst auf einem USB-Datenträger, welcher über Adapter an das iPad angeschlossen wird.

Bewertung

Mit ihren Aussagen zur Nutzung von iPads und iCloud ist die LDI NRW die dritte Aufsichtsbehörde, welche sich zur schulischen Nutzung von Apple Produkten nach Bremen und Berlin öffentlich äußert. In Bremen war es um die iCloud gegangen und die Datenschutzbeauftragte hatte die Kategorisierung von Schülerdaten durch den Datenschutzbeauftragten der Senatorin für Bildung als Daten mit normalem Schutzbedarf abgelehnt, während es in Berlin um den Abfluss möglicher Telemetriedaten von den Geräten selbst gegangen war, welchen die dortige Datenschutzbeauftragte kritisch sah.

In ihrer Beschreibung der datenschutzrechtlichen Herausforderungen, welchen sich Schulen und Schulträger gegenübersehen, wenn sie iPads im Unterricht datenschutzgerecht einsetzen wollen, ist die LDI NRW so eindeutig wie bei der Erläuterung der begrenzten Möglichkeiten, technisch und organisatorisch ein den rechtlichen Vorgaben vollständig entsprechendes Datenschutzniveau zu gewährleisten. Was die LDI NRW einfordert, ist letztlich so nicht alltagstauglich umsetzbar. Pseudonymisierte managed Apple IDs, wie von der LDI NRW beschrieben, mögen zwar die Identität von Schülerinnen und Schülern schützen, sind aber für den Unterrichtsgebrauch unhandlich und lösen das Problem der Inhaltsdaten nicht. Apple bietet den „Extended Privacy Mode“ (erweiterter Datenschutz) aktuell nicht für den Bildungsbereich und speziell nicht für verwaltete Apple IDs an. Ein Grund ist, dass verwaltete Apple IDs speziell für Schulen so entwickelt wurden, dass Administratoren über Apple School Manager oder Mobile Device Management (MDM) bestimmte Kontroll- und Verwaltungsfunktionen behalten können. Dazu zählt etwa, dass Schulen Accounts zurücksetzen, prüfen oder bei Bedarf auf Inhalte zugreifen können – was mit dem erweiterten Datenschutz, bei dem nur Nutzer selbst die Schlüssel zur Verschlüsselung halten, nicht vereinbar wäre.1https://support.apple.com/de-de/102123#:~:text=auf%20die%20Inhalte%20des%20jeweiligen%20Benutzers%20zugreifen

Einige Schulen speichern Inhalte, welche mit Apps erstellt werden, welche Dateien ausgeben, auf Schulservern. Das MDM Relution war ursprünglich genau damit an den Markt gegangen, hier eine datenschutzfreundliche Möglichkeit ohne iCloud anzubieten. Allerdings hat diese Lösung eben ihre Grenzen. Apps, welche z.B. Lernfortschritte in eigenen Verzeichnissen speichern, verlieren ihre Daten bei jedem Benutzerwechsel auf einem iPad.

Fazit: die Aussagen der LDI NRW sind eindeutig und liefern Antworten auf die Fragen von Verantwortlichen, helfen aber im Alltag leider nicht unbedingt weiter. Es sind Empfehlungen. Mancher wird die datenschutzrechtliche Situation vielleicht anders bewerten und weniger Risiken sehen, zumal Apple als ein sehr datenschutzfreundlicher Anbieter gilt2und sich auch als solcher vermarktet in Abgrenzung zu anderen US Anbietern., andere werden mit den Aussagen der LDI NRW ihre eigene Einschätzung bestätigt sehen und nun Änderungen an ihrer Schule einfordern.

Hinweis: Die LDI NRW bezieht sich in ihren Aussagen auf den Apple-Business-Manager-Vertrag, der allerdings für den Bildungsbereich nicht relevant ist. Apple stellt hier den Apple School Manager Vertrag  (ASM) zur Verfügung, der einige spezielle Zusagen bezüglich der Verarbeitung der personenbezogenen Daten von Kindern macht.3 Bis vor wenigen Jahren waren auch die Standardvertragsklauseln Bestandteil des ASM. Sie finden sich jetzt unter Data Transfer Aggreement – Europe, English (PDF) und sind anders als in Vorversionen nur noch in englischer Sprache verfügbar. Eine Übersicht über Unterauftragsverarbeiter ist auf Anfrage bei Apple erhältlich unter dpo@apple.com. Bei der Bewertung durch die LDI NRW dürfte das aber keinen Unterschied machen, da die kritisierte Verwendung von Nutzungsdaten zu eigenen Zwecken und Übermittlung in die USA nicht Gegenstand des ASM ist sondern der Apple-Datenschutzrichtlinie.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert