Seit Einführung der Datenschutzgrundverordnung DSGVO müssen sich Lehrerinnen und Lehrer mehr Gedanken machen, wie sie mit den personenbezogenen Daten ihrer Schülerinnen und Schüler umgehen. Viele Schulleiterinnen und Schulleiter bzw. deren Datenschutzbeauftragte schauen jetzt genauer hin und hinterfragen, welche Daten ihre Lehrer wo speichern. Und natürlich stellt sich dann die Frage:
Ist die Classroom-App DSGVO-konform?
Tatsächlich lässt sich diese Frage nicht mit Ja oder Nein beantworten. Ebenso könnten Sie fragen: Ist mein Windows-Rechner DSGVO-konform? Es hängt davon ab, wie Sie mit den Daten umgehen. Die Frage muss daher besser lauten:
Kann ich die Classroom-App DSGVO-konform verwenden?
Ja, aber Sie müssen auf die Einhaltung des Datenschutzes achten. Manche – vielleicht geschätzte – Funktion wie die Synchronisation über Dropbox dürfen Sie dann nicht verwenden, insbesondere wenn Sie die Datenbank nicht verschlüsselt haben. Detaillierte Informationen darüber, welche Daten die App wie und wo speichert, habe ich für Sie und Ihren Datenschutzbeauftragten hier zusammengestellt.
Grundsätzlich übermittelt die App keine Daten ohne Ihr ausdrückliches Zutun an irgendjemand. Es gibt kein Tracking Ihrer Nutzung, keine Registrierung und auch kein Online-Konto. Die Verarbeitung der Daten erfolgt ausschließlich auf Ihrem iPad oder iPhone. In Bezug auf die DSGVO ist dies gut, denn sonst müsste Ihre Schule einer Auftragsdatenverarbeitung zustimmen. So aber haben Sie als Nutzer es alleine in der Hand, ob Sie die App gemäß den Vorgaben der DSGVO einsetzen oder nicht.
Was muss ich beachten, wenn ich den Datenschutz beachten will?
- Verschlüsseln Sie die Datenbankdatei mit einem sicheren Passwort. Das sollte lang und schwer zu erraten sein, um eine Entschlüsselung mit der Brute-Force-Attacke zu verhindern. Die App verwendet den Algorithmus AES-256, der zurzeit als sicher und nicht brechbar gilt. Sie können dieses Passwort in der App hinterlegen, sodass die Ver- und Entschlüsselung vollständig im Hintergrund abläuft. Sie sollten aber das Passwort nicht dauerhaft (sondern nur für diese Sitzung) speichern und für jede Datenbank ein anderes Passwort setzen, um unbefugten Datenzugriff zu verhindern.
- Stellen Sie ein, dass Sie die App nur mittels TouchId oder Passworteingabe öffnen können, um unbefugten Datenzugriff durch Schülerinnen oder Schüler oder Kolleginnen oder Kollegen zu verhindern.
- Erstellen Sie regelmäßig Backups, die lokal auf dem Gerät (nicht in der iCloud oder Ihrer Dropbox) gespeichert werden, um unbeabsichtigte Änderungen von Daten rückgängig machen zu können.
- Erstellen Sie regelmäßig Systembackups von Ihrem Gerät über iTunes, die lokal auf diesem zweiten Computer gespeichert werden, um unbeabsichtigten Datenverlust verhindern zu können.
- Stellen Sie Ihr Gerät so ein, dass die Systembackups nicht in der iCloud gespeichert werden.
- Speichern Sie keine Dateien in der Dropbox oder iCloud, auch nicht verschlüsselt. Der verwendete Verschlüsselungsalgorithmus gilt zwar derzeit als sicher, aber es kann nicht mit Sicherheit ausgeschlossen werden, dass die Dateien in der Zukunft unbefugt entschlüsselt werden könnten. Sowohl die Server von Apple als auch die von Dropbox stehen nicht in Deutschland und ein Zugriff auf Ihre Daten in der Zukunft durch Hacker oder ausländische Regierungen oder Geheimdienste kann nicht ausgeschlossen werden.
- Verschicken Sie keine personenbezogenen Daten wie die Datenbankdatei oder einen CSV-Export per E-Mail. E-Mails sind unverschlüsselt und werden auf den Servern Ihres E-Mail-Betreibers gespeichert bzw. verarbeitet und damit ergeben sich die gleichen Bedenken wie bei der iCloud oder Dropbox.
- Erfassen Sie nur Daten (wie Noten und Klassenbucheinträge), die zur Berechnung der Zeugnisnote erforderlich sind.
- In manchen Bundesländern ist das Speichern von Bildern Ihrer Schüler auf privaten Geräten grundsätzlich nicht erlaubt. In diesem Fall dürfen Sie Ihre Schüler nicht fotografieren. In allen anderen Fällen benötigen Sie das Einverständnis der SchülerInnen bzw. deren Erziehungsberechtigten zur Speicherung der Bilder. Fragen Sie den Datenschutzbeauftragten Ihrer Schule, wie Sie hier vorgehen sollen. Exportieren Sie keine Bilder aus der App in die Fotomediathek Ihres Geräts, wenn diese mit der iCloud synchronisiert ist.
- Löschen Sie alte Datenbankdateien und auch deren Backups, wenn das Schuljahr beendet ist und die Daten nicht mehr benötigt werden.
Ich persönlich würde die Funktion, die Namen meiner Schülerinnen und Schüler anhand ihrer Fotos zu lernen, schmerzlich vermissen. Alle anderen Punkte sind im täglichen Umgang mit der Classroom-App – denke ich – leicht umzusetzen. Aber letzten Endes sind Sie als Nutzer selbst für den umsichtigen Umgang mit den Daten Ihrer Schülerinnen und Schüler verantwortlich.
Ich wünsche Ihnen weiterhin viel Freude bei der DSGVO-konformen Verwendung der Classroom-App!
Stefan Reißl
P.S. noch einmal der Link zu den Informationen für Ihren Datenschutzbeauftragten