DigitalPakt Schule

So gelingt der Spagat zwischen Cloud und Datenschutz

13.10.2020 von Ralf Koenzen
Der "DigitalPakt Schule" soll der Digitalisierung von rund 43.000 Schulen auf die Sprünge helfen. Der Bund stellt Fördergelder in Milliardenhöhe bereit, um die die Versorgung mit WLAN, Smartboards und Cloud-Diensten zu finanzieren.
In Schulen sollte nur DSGVO-konforme Cloud-Lösungen zum Einsatz gelangen,
Foto: Rawpixel.com - shutterstock.com

Laut einer Untersuchung des Focus von Mitte Juni 2020 wurden bis heute erst 2,5 Prozent der Fördergelder des Digitalpakts Schule abgerufen. Daran wurde Kritik laut, doch ist sie berechtigt? Tatsächlich muss die Schulinfrastruktur sorgsam ausgewählt werden, vor allem in Hinblick auf den Datenschutz. Denn müssen WLAN & Co. aufgrund fehlender DSGVO-Konformität wieder abgeschaltet werden, droht Schulträgern die Rückforderung der Gelder.

Herausforderung Datenschutz

Zeit- und Kostendruck sind bei der Digitalisierung des Bildungswesens hoch. Deshalb sind Cloud-Lösungen oft das Mittel der Wahl: Sie sparen Kosten, erfordern keine lokale Installation und stehen schnell und flexibel zur Verfügung. Darüber hinaus müssen die Schulen selbst kein qualifiziertes IT-Personal für Pflege und Wartung vorhalten.

Doch Cloud-Lösungen bergen datenschutzrechtliche Herausforderungen. Bei vielen außereuropäischen Diensten haben Datenschützer erhebliche Zweifel an der Konformität mit dem hiesigen Datenschutzrecht. Das betrifft zum Beispiel Angebote aus den USA, die dem so genannten US CLOUD Act unterliegen. Er verpflichtet US-Anbieter dazu, nationalen Sicherheitsbehörden Zugriff auf Anwenderdaten zu gewähren - selbst wenn diese auf Servern in Deutschland oder Europa gespeichert sind. Der DSGVO-konforme Schutz dieser Daten? Nicht gewährleistest.

unter Umständen auch für Sie relevant: Conrad fokussiert Education-Geschäft

Folgerichtig haben mehrere Bundesländer diese Datenschutzbedenken zum Anlass genommen, die Pflicht zur Verwendung DSGVO-konformer Lösungen zu unterstreichen. So geben Sachsen-Anhalt und Thüringen als Leitlinie vor, nur auf Cloud-Anbieter zurückzugreifen, deren Sitz in der EU liegt. Auch das Kultusministerium in Schleswig-Holstein hält die Nutzung von Nicht-EU-Cloud-Diensten durch Schulen für datenschutzrechtlich unzulässig. Ähnlich äußert sich der Freistaat Sachsen in seiner "Verwaltungsvorschrift Schuldatenschutz" - und das Bundesland Thüringen geht mit einem expliziten Verbot sogar noch einen Schritt weiter.

Sie finden Unterstützung bei der Verbraucherzentrale Bundesverband: "Ausländische Anbieter können aufgrund ihrer nationalgesetzlichen Regelungen nicht ausschließen, dass die Daten auch durch Sicherheitsbehörden ausgewertet werden. Oder die Anbieter behalten sich selbst vor, die Daten zu eigenen Zwecken zu analysieren, um beispielsweise Werbung zu schalten," hielten die Verbraucherschützer bereits im Herbst 2019 fest.

Schulnetzwerke aus der Cloud verwalten

Während die datenschutzrechtlichen Herausforderungen bei Lernplattformen und Videolösungen aus der Cloud noch offensichtlich sein mögen, muss der Blick jedoch auch auf die Basisinfrastruktur in den Schulen gelenkt werden: Das Schul-WLAN.

Lesetipp: Schlechtes Zeugnis bei der Digitalisierung von Schulen

Experten schätzen, dass rund die Hälfte der Schulnetze aus Effizienzgründen heute aus der Cloud gemanagt werden. Ein solches Cloud-Management löst eine der zentralen Herausforderungen - die laufende Wartung und Pflege der Infrastruktur - und sorgt hochautomatisiert für einen unterbrechungsfreien Betrieb bei niedrigen Kosten.

Dabei verlassen jedoch fortlaufend Daten das lokale Schulnetz. Diese "Produktivdaten" werden zur Netzwerkverwaltung benötigt. Betroffen sind zum Beispiel Schlüssel und Zugangsdaten zum Netzwerk, aber auch Metadaten (z. B. IP- und MAC-Adressen, Internet-Protokoll, Media Access Control) werden protokolliert und ausgewertet. So lassen sich unter Umständen direkte Rückschlüsse auf das Nutzungsverhalten von Schülerschaft und Lehrkräften im Schul-WLAN ziehen.

Auf der sicheren Seite: Heimische Cloud-Lösungen

Die Entscheidungsträger in den Schulen müssen also ganz genau hinsehen, welche Cloud-managed WLAN Access Points (APs) sie sich ins Haus holen. Zentrale Fragen, die sie sich stellen müssen, sind: Welcher nationalen Gesetzgebung unterliegen der Cloud- und der Netzwerkanbieter? Halten die Lösungen den strengen EU-Datenschutzvorgaben stand? Dazu stellt der Jurist und Datenschutzexperte Dr. Eric Heitzer in einem Gutachten zu den datenschutzrechtlichen Herausforderungen im Kontext des DigitalPakt Schule fest, dass: "[…] Anbieter aus Drittstaaten diese Voraussetzungen oft nicht [erfüllen], dies gilt insbesondere für Anbieter aus den USA aber auch aus China, die in erheblichem Umfang Zugriffen staatlicher Stellen ausgesetzt sind."

auch lesenswert: DigitalPakt Schule nimmt Gestalt an

Konkret heißt das: Wenn Schulen Cloud-Lösungen aus Nicht-EU-Ländern einsetzen, riskieren sie schwerwiegende Datenschutzverstöße mit schmerzhaften Folgen. Da die Mittel aus dem DigitalPakt zweckgebunden sind, droht Schulträgern eine Rückforderung der Zuwendungen, wenn digitale Infrastruktur aufgrund fehlender DSGVO-Konformität wieder abgeschaltet werden muss. In der Praxis hieße es dann: WLAN aus, Geld weg, Zurück in die Kreidezeit!

Eine rechtssichere Alternative sind Cloud-Angebote und Schul-WLANs von Herstellern mit Sitz innerhalb der EU, die auch in der Bevölkerung auf hohe Zustimmung stoßen. So forderten in einer repräsentativen Umfrage des Meinungsforschungsinstituts YouGov im Herbst 2020 fast 73 Prozent der Befragten, dass Cloud-Dienste an Schulen zum Schutz sensibler Daten aus Deutschland oder wenigstens Europa stammen sollen.

Chance für Fachhändler mit Einblick ins Schulwesen

Fachhändler und Systemhäuser, die mit den Anforderungen von Schulnetzen vertraut sind und sich mit technischem Datenschutz auskennen, können hier zu ganz wichtigen Beratern und Partnern für die Träger werden und elementare Fragen beantworten: Wie gestalte ich ein Schul-WLAN (rechts)sicher aus und vermeide Zuwendungsrückforderungen? Welche Anforderungen müssen Access Points und Cloud-Lösungen erfüllen, welche Konzepte gibt es für Wartung und Betrieb? Wie viele Geräte braucht es überhaupt, und welche Hersteller bieten die geforderten Update-Garantien und den nötigen Support?

das könnte Sie auch interessieren: DigitalPakt Schule - wie das Systemhaus Axians es angeht

Ein professioneller Partner sorgt am Ende nicht nur dafür, dass das Netzwerk richtig dimensioniert ist und entsprechend lange zukunftsfähig bleibt. Er bietet sich auch als langfristiger Dienstleister für die Verwaltung und Überwachung des Netzwerks an. Die Punkte Wartung, Management und Monitoring sollten unbedingt geklärt werden, bevor das Drahtlosnetzwerk in die Schule kommt - also bereits in der Konzeptionsphase. Auch in diesem Bereich sind Fachhändler und Systemhäuser Experten. Sie können nach einer erfolgten Planung auf dem "Reißbrett" sehr genau sagen, welche Folgekosten auf Schulen oder Schulträger zukommen.

Wie Systemhäuser Schulen helfen können

Schulen und Träger sollten ein starkes Eigeninteresse daran haben, in sichere und rechtskonforme Cloud-Lösungen zu investieren - nicht nur aufgrund der drohenden Rückforderung der lang ersehnten Fördergelder.

Ihre Anbieter-Wahl trägt direkt dazu bei, dass "Lernen in der digitalen Welt" kein Schnellschuss wird, sondern langfristig und nachhaltig gelingt. Das bedeutet, dass sie jetzt mit der gleichen Sorgfalt an diese Frage herangehen müssen wie an die Ausarbeitung pädagogischer Konzepte. Beides ist notwendig, damit die Schule auch im Digitalen ein geschützter Raum bleibt.