In seinem Tätigkeitsbericht für das Jahr 2023 berichtet der Landesbeauftragten für Datenschutz und Informationsfreiheit Rheinland Pfalz auf Seite 59 auch über eine Beratung zum Thema Mobile Device Management (MDM), hier Jamf. Es dürfte dabei um Jamf School, ehemals ZuluDesk, gehen, die online Version der Jamf Suite. Jamf School ist ein MDB zur Verwaltung von iPads und anderer Apple Hardware. Mitarbeiter des LFDI ließen sich die von vielen Schulträgern in Rheinland Pfalz genutzte Plattform vorführen. „Der Fokus lag hierbei auf den Zugriffsberechtigungen und Zugriffsmöglichkeiten auf der administrativen Ebene.“ Dabei wiesen die Mitarbeiter des LFDI auf einige Bereiche hin, bei denen es datenschutzrechtliche Bedenken gab.
Verwaltung von BYOD Geräten
Administratoren können zwar nicht Inhalte einsehen, welche bei der privaten Nutzung von elternfinanzierten iPads anfallen, sie können jedoch sehen, welche Apps durch die Nutzer privat installiert werden. „Der LfDI sieht hierfür keine Erforderlichkeit, da bereits die Kenntnis des Vorhandenseins einer App Rückschlüsse auf sensible persönliche Informationen geben kann (beispielsweise Schwangerschafts-App, Ramadan-Kalender, queere Kommunikations-Apps, Dating-Apps, AbnehmApps). Als Lösung wurde auf eine Beschränkung der entsprechenden Rechte verwiesen, beispielsweise durch eine von den Administratoren unabhängige übergeordnete Funktionsstelle zur Rechtevergabe.“
GPS Standort von verwalteten privaten iPads
Der exakte Standort von verwalteten privaten Endgeräten ist im sogenannten Lost-Mode einsehbar. Dieser Modus kann im Fall eines Geräteverlustes vom Administrator aktiviert werden, um das Gerät zu orten. Der Träger, bei welchem sich die Mitarbeiter des LFDI Jamf School im Echtbetrieb vorführen ließen, aktiviert den Lost-Mode bei verwalteten privaten iPads nur auf schriftlichen Antrag der Eltern, „um eine „Kontrolle“ durch die Schule oder den Träger auszuschließen.“
Protokollierung
In der Standardkonfiguration protokolliert Jamf School Ereignisse zu und auf den verwalteten iPads. Dabei werden auch Namen der Schülerinnen und Schülern im Klartext erfasst. Der LFDI empfiehlt, im Rahmen eines Datenschutzkonzeptes eine Speicherdauer für die Protokolldaten festzulegen. „Die hier festzulegenden Fristen sollten sich nach der zweckmäßigen Erforderlichkeit der vorgehaltenen Protokolldaten richten. Insofern scheint eine Speicherdauer von sechs Monaten angemessen.“
Bewertung
Wie interessant, dass eine Aufsichtsbehörde sich auf diese Art und Weise mit einer datenverarbeitenden Plattform auseinandersetzt. Im Bericht klingt es so, als habe ein Träger hier Fragen gehabt, „war insbesondere die Trennung zwischen privat installierten Apps und den schulischen Apps des Schulträgers eine zentrale Fragestellung.“ Es ging wohl auch aus diesem Grund nicht um eine tiefergehende Beschäftigung mit der Verarbeitung von personenbezogenen Daten bei der Verwaltung von iPads in einer 1:1 Ausstattung in einem Online MDM, welches zu einem US amerikanischen Anbieter gehört.
Die angemerkten Punkte sind in der Tat valide. Administratoren können sehen, welche privaten Apps von Schülerinnen und Schülern installiert werden und diese können gegebenenfalls Rückschlüsse auf sensible persönliche Informationen zulassen. Jamf School hat die Möglichkeit, Administrator Rollen zu definieren und diese mit sehr differenzierten Rechten auszustatten. Vor Administratoren können so die von Schülerinnen und Schülern privat installierten Apps verborgen werden, so wie etwa auch der aktuelle sehr grobe Standort eines iPads.
Der LFDI schlägt vor, das beschriebene Problem „durch eine von den Administratoren unabhängige übergeordnete Funktionsstelle zur Rechtevergabe“ lösen zu wollen, würde bedeuten, dass es eine solche von den Administratoren unabhängige übergeordnete Funktionsstelle erst einmal geben müsste. Wer soll das sein? Wenn der Schulträger für die Schule administriert, soll es dann ein nicht mit Administrationsaufgaben betrauter Verwaltungsmitarbeiter sein? Bei schulischen Administratoren könnte ein Administrator des Schulträgers die Rechte der schulischen Administratoren hier einschränken. Das Problem an der ganzen Lösung ist jedoch, dass es immer eine Person geben wird, welche die Möglichkeit hätte, sich die privat installierten Apps anzeigen zu lassen. Das wäre dann hier die Person, welche die unabhängige übergeordnete Funktionsstelle zur Rechtevergabe innehätte. Für schulische Admins lässt sich auf dem beschriebenen Weg die Anzeige von privat installierten Apps verbergen. Die Person mit der übergeordneten Funktionsstelle muss eine Administratorenverpflichtung unterzeichnen.
Die Lösung, welche der Träger für die Aktivierung des Lost-Mode gefunden hat, ist gut. Eltern bzw. Schülerinnen und Schüler entscheiden selbst, wann sie eine Aktivierung des Lost-Mode wünschen.
Die Begrenzung der Speicherung von Aktivitätsprotokollen dürfte sich etwas schwieriger gestalten, da es in Jamf School aktuell dazu keine Funktion gibt. Möglich ist lediglich eine Löschung von Hand in der Geräteübersicht. Diesen Job müsste dann alle sechs Wochen ein Administrator übernehmen. Eventuell kann man bei Jamf anfragen, ob der Anbieter eine entsprechende Funktion in die Plattform integriert.
