DigitalPakt
„Schulen, seid wachsam, wenn ihr in die Cloud geht!“
| Autor / Redakteur: Ralf Koenzen* / Susanne Ehneß
Cloud-Lösungen aus Deutschland
Ist Cloud dabei gleich Cloud? Nein, diese Rechnung geht nicht auf. Von elementarer Bedeutung ist, welcher nationalen Gesetzgebung der Cloud-Anbieter unterliegt und ob seine Lösung den strengen EU-Datenschutzvorgaben standhält. So kommt der Jurist Dr. Eric Heitzer in einem Gutachten zu den datenschutzrechtlichen Herausforderungen im Kontext des DigitalPakt Schule zu dem klaren Ergebnis, dass „Anbieter aus Drittstaaten diese Voraussetzungen oft nicht [erfüllen], dies gilt insbesondere für Anbieter aus den USA aber auch aus China, die in erheblichem Umfang Zugriffen staatlicher Stellen ausgesetzt sind.“
Der Einsatz von Cloud-Lösungen, die nicht aus der EU stammen, wird damit zum realen Risiko für getätigte Investitionen, und die für den Datenschutz an den Schulen verantwortlichen Schulleiter riskieren empfindliche Bußgelder und gegebenenfalls Schadenersatzforderungen.
Eine sichere Alternative sind heimische Cloud-Dienste. Ihre Anbieter – im datenschutzrechtlichen Sinne Dienstleister – sind nicht verpflichtet, sensible Daten offenzulegen und ermöglichen einen DSGVO-konformen Betrieb.
Auch für die Deutschen sind heimische Cloud-Lösungen die erste Wahl. Das zeigt eine aktuelle Umfrage des Meinungsforschungsinstituts YouGov zur Akzeptanz des DigitalPakts und von Cloud-Lösungen an Schulen: Werden Cloud-Dienste an Schulen eingesetzt, so fordern 73 Prozent, dass diese zum Schutz sensibler Daten aus Deutschland oder wenigstens Europa stammen sollen.
Datenschützer und Politik sind gefordert
Schulen dürfen mit der Herausforderung Datenschutz und Cloud nicht alleine gelassen werden. 76 Prozent der in der YouGov-Umfrage befragten Deutschen erwarten von der Politik verbindliche Vorgaben, wie sie beim Einsatz einer Cloud den Schutz sensibler Daten sicherstellen können.
Bund, Länder und Datenschützer leisten bereits Aufklärungsarbeit für Schulen und Schulträger. Mit verschiedenen Initiativen versuchen sie, Fragen zu beantworten wie:
- Wie werden Daten anonymisiert?
- Wie wird sichergestellt, dass sie nicht an Dritte weitergegeben werden?
- Wo und wie werden die Daten verarbeitet?
Auch Vorgaben zum Einsatz der Cloud sind in vielen Bundesländern keine Seltenheit mehr. Oftmals bleibt es jedoch bei Empfehlungen. Es ist an der Zeit, dass Landesdatenschützer und Kultusministerien verbindliche Kriterienkataloge für einen DSGVO-konformen Einsatz digitaler Infrastruktur entwickeln, die letztlich ausschreibungsrelevant sind. Dazu zählen auch Kriterienkataloge für einen datenschutzrechtlich sauberen Einsatz digitaler Infrastruktur – vor allem dann, wenn diese aus der Cloud verwaltet wird.
Schließlich kann „alleine die Auswahl eines unqualifizierten Cloud-Dienstleisters einen Verstoß gegen datenschutzrechtliche Bestimmungen darstellen und ein Bußgeld nach sich ziehen“, wie Datenschutzexperte Dr. Eric Heitzer weiter feststellt. Und da muss es noch nicht einmal zu einem konkreten Verstoß gekommen sein, der dann noch deutlich weitreichendere Konsequenzen für die Schulleiter nach sich zöge.
Fazit
„Lernen in der digitalen Welt“ ist die zentrale Zukunftsaufgabe des Förderprogramms DigitalPakt Schule, zentral sollte auch der Schutz der schulischen Daten sein. Doch ohne klare Vorgaben seitens der Politik kann der Sprung in das digitale Bildungs-Zeitalter nicht gelingen. Nur durch die Zusammenarbeit von Schulverantwortlichen, Ländern, Kommunen und Datenschützern können Schulen eine sichere, digitale Lerninfrastruktur mit datenschutzkonformen Cloud-Lösungen schaffen. Denn auch in der digitalen Welt muss die Schule weiterhin ein geschützter Ort sein: So, wie nicht jeder ein Schulhaus betreten und ungehinderten Zugang zu sensiblen Informationen haben darf, müssen die Daten von bundesweit mehr als acht Millionen Schülern auch in der Cloud effektiv vor unautorisiertem Zugriff geschützt sein.
*Der Autor: Ralf Koenzen, Gründer und Geschäftsführer LANCOM Systems