IT und Datensicherheit (II)

27. März 2010

Zu meinem ersten Beitrag zum Thema [Update: es er­schien be­reits ei­ne an­de­re Er­gän­zung] gibt es eine Er­gän­zung: Es gibt nun „von oben“ eine An­wei­sung, sich an das Da­ten­schutz­ge­setz des Bun­des­lan­des zu hal­ten. Die­ses schreibt vor, daß Leh­rer eine Ge­neh­mi­gung be­nö­ti­gen, wenn sie per­sön­li­che Da­ten von Schü­lern (und El­tern) elek­tro­nisch spei­chern und ver­ar­bei­ten wol­len. Die­se Ge­neh­mi­gung muß bei der Schul­lei­tung be­an­tragt wer­den, und für die Ge­neh­mi­gung muß man ein paar Auf­la­gen er­fül­len.

Zunächst einmal darf man als Nicht-Klas­sen­leh­rer kei­ne Te­le­fon- und Adreß­li­sten (von Schü­lern und El­tern) elek­tro­nisch an­le­gen und spei­chern. Schü­ler- und No­ten­li­sten (oh­ne Adres­se usw.) sind er­laubt. Der ei­ge­ne Rech­ner muß zu­min­dest paß­wort­ge­schützt sein; Ver­schlüs­se­lung der Da­ten wird em­pfoh­len. Falls Fa­mi­lien­mit­glie­der den Com­pu­ter nut­zen, müs­sen die Da­ten auf ei­nem be­son­de­ren be­ruf­li­chen Nut­zer­kon­to ge­spei­chert wer­den, auf das nur der Leh­rer Zu­griff hat. Wenn die Da­ten auf USB-Sticks o. ä. trans­por­tiert wer­den, müs­sen sie ver­schlüs­selt wer­den. Der Ge­neh­mi­gungs­an­trag fragt all die­se Um­stän­de ab; und die Schul­lei­tung ließ durch­blicken, daß sie die ge­mach­ten An­ga­ben nicht über­prü­fen kann und wird.

Ich sehe diese An­ge­le­gen­heit mit ge­misch­ten Ge­füh­len. Die Vor­ga­ben des Da­ten­schutz­ge­set­zes be­für­wor­te ich; ich hal­te sie so­gar für nicht aus­rei­chend; denn für den von mir als be­son­ders kri­tisch em­pfun­de­nen Be­reich gibt es keine Re­ge­lung: Der Ver­sand der Da­ten per E-Mail ist in der An­wei­sung nicht ein­mal er­wähnt! Noch im­mer ha­ben es die mei­sten Leu­te nicht ver­stan­den, daß eine un­ver­schlüs­sel­te E-Mail ei­ner Post­kar­te ent­spricht, die un­ter­wegs je­der le­sen kann. Wei­ter­hin gibt es kei­ne Re­ge­lun­gen hin­sicht­lich der Nut­zung ex­ter­ner Dien­ste, wie z. B. der Google-Dienste (an­ge­fan­gen bei Google-Mail bis hin zu ser­ver­sei­ti­gen Of­fice-An­wen­dun­gen und Spei­cher­plät­zen)!.
   Die Reaktionen ei­ni­ger Kol­le­gen auf die­se neue An­ord­nung spra­chen Bän­de. So wur­de z. B. ge­fragt, ob man den Rech­ner auch mit ei­nem Paß­wort schüt­zen müs­se, wenn man in sei­ner Woh­nung al­lei­ne le­be. (Ich he­ge den star­ken Ver­dacht, daß der Fra­ge­stel­ler auf sei­nem Win­dows-Rech­ner kein ei­ge­nes Be­nut­zer­kon­to ein­ge­rich­tet hat, son­dern mit Ad­mi­ni­stra­tor­rech­ten ar­bei­tet und surft.) Ei­ni­ge Kol­le­gen wol­len nun auf die elek­tro­ni­sche Ver­ar­bei­tung der Schü­ler­da­ten kom­plett ver­zich­ten. Prin­zi­piell die bes­se­re Wahl bei sol­chen Schwie­rig­kei­ten.

Insgesamt er­scheint mir die­se zwar nicht neue, aber nun end­lich an­ge­wand­te Re­ge­lung als nicht aus­rei­chend. An­de­rer­seits ist das gan­ze in­so­fern ein Witz, als daß das le­dig­lich für die elek­tro­ni­sche Spei­che­rung und Ver­ar­bei­tung von Da­ten gilt. Mei­ne No­ten­li­ste im pa­pie­re­nen Leh­rer­ka­len­der in­ter­es­siert die Da­ten­schüt­zer weit we­ni­ger und ist nicht ge­neh­mi­gungs­pflich­tig. Und ich kann mei­ne Ta­sche ge­nau­so ir­gend­wo ver­ges­sen oder mir steh­len las­sen wie ei­nen USB-Stick. Letz­te­ren ha­be ich we­nig­stens ver­schlüs­selt; mei­ne Ta­sche mit dem pa­pie­re­nen Leh­rer­ka­len­der nicht.
   Das Haupt­problem liegt in mei­nen Au­gen ein­fach da­rin, daß es für Leh­rer an Schu­len (im Ge­gen­satz zu Hoch­schu­len) kei­nen Ar­beits­platz gibt. An ei­nem sol­chen könn­ten ent­spre­chen­de Si­che­rungs­maß­nah­men des Ar­beit­ge­bers grei­fen, und der Trans­port von per­so­nen­be­zo­ge­nen Da­ten von zu­hau­se zur Ar­beits­stel­le wä­re hin­fäl­lig. Egal ob in ana­lo­ger oder di­gi­ta­ler Form.