Aktuelles, Branche - geschrieben von dp am Mittwoch, Mai 18, 2022 16:04 - noch keine Kommentare
MS 365: Drohender Datenschutznotstand an Schulen
Landesbeauftragte für Datenschutz und Informationsfreiheit setzen DSGVO und Schrems-II-Urteil um
[datensicherheit.de, 18.05.2022] Schulen in Deutschland könnte ein Datenschutznotstand drohen: Jedenfalls hat laut Dr. Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, verordnet, „die Nutzung von ,MS 365‘ an Schulen zu beenden“ oder den datenschutzkonformen Betrieb eindeutig nachzuweisen. Er erwartet demnach von Schulen, dass sie den Schülern bis zu den Sommerferien 2022 Alternativen zum „Cloud“-Dienst „MS 365“ für den Schulbetrieb anbieten oder aber diesen Dienst mit geeigneten Mitteln absichern. Damit ziehe er Konsequenzen aus der Datenschutzgrundverordnung (DSGVO) und dem sogenannten Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH), welche schließlich eine Einhaltung ihrer Vorgaben nicht ins Belieben von Unternehmen oder Behörden stellen, sondern eindeutig verlangen.
Elmar Eperiesi-Beck: Es wird höchste Zeit, dass Datenschutzbeauftrage und Schulen aktiv werden!
Datenschutzbeauftragte hörten nun auf, ein Auge zuzudrücken
Ähnliche Situationen kämen auch auf Schulen in anderen Bundesländern zu, denn die dortigen Datenschutzbeauftragten hörten ebenfalls auf, „ein Auge zuzudrücken“, was sie vor allem wegen der „Pandemie“ getan hätten, und wendeten nunmehr schlicht geltendes Recht an. In der Vergangenheit habe Dr. Brink schon häufiger eine Vorreiterrolle gespielt.
Das Problem sei, dass einerseits die meisten Nutzer mit den Alternativen zu „MS 365“ unzufrieden seien. So habe ein zuständiger Lehrer berichtet, er kenne keinen an seiner Schule, der den Umstieg weg von „Microsoft Teams“ nicht bedauere. Andererseits scheine gar nicht ernsthaft über die zweite von DSGVO und vom Schrems-II-Urteil vorgesehene Lösung nachgedacht zu werden, nämlich die Nutzung von „MS 365“ datenschutzrechtkonform abzusichern.
In einer aktuellen Stellungnahme des Kultusministeriums Baden-Württemberg finde sich die Feststellung, dass es bislang nicht gelungen sei, „eine Lösung vor Ort zu finden, die den Interessen von Schülerinnen und Schülern, Eltern, Lehrkräften und Schule gerecht wird“. Diesen Beschwerden nachzugehen sei indes die Pflicht des LfDI [Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg]. Mittlerweile seien 40 Schulen angeschrieben und eine Lösung angemahnt worden. Der Datenschutzexperte Elmar Eperiesi-Beck, Gründer und „CEO“ von eperi, zeigt sich in seiner Stellungnahme hierzu alles andere als begeistert.
Seit Beginn der Pandemie Tools und Lösungen weitgehend an geltenden Datenschutzbestimmungen vorbei genutzt
Eperiesi-Beck kommentiert: „Die Initiative von Dr. Stefan Brink ist eindeutig zu begrüßen. Er zieht die von der EU geforderten Konsequenzen aus DSGVO und Schrems-II-Urteil und schafft zweifelsfrei Klarheit für alle Beteiligte.“ Seit dem Beginn der „Pandemie“ vor über zwei Jahren würden Tools und Lösungen wie „MS 365“ weitgehend an geltenden Datenschutzbestimmungen vorbei genutzt.
Die Tatsache, dass es den Kultusministerien in mehr als zwei Jahren nicht gelungen sei, „eine Lösung […] zu finden, die den Interessen von Schülerinnen und Schülern, Eltern, Lehrkräften und Schule gerecht wird“ sei einer der schlechteren Witze in der behördlichen Nutzung von IT. „Das ärgert mich auch als Vater schulpflichtiger Kinder“, betont Eperiesi-Beck.
Dabei sei die Lösung, welche von der Europäischen Datenschutzbehörde vorgegeben werde, „ganz einfach“ und die zuständigen Stellen müssten „keinesfalls das Rad neu erfinden“. Privatunternehmen machten seit Jahren vor, wie sich US-amerikanische „Cloud“-Dienste DSGVO-konform nutzen ließen – durch den Einsatz von Verschlüsselungstechnologien.
Über ein Gateway Cloud-Dienste auch US-amerikanischer Anbieter datenschutzkonform nutzen
Es biete sich vor allem der Einsatz eines „Cloud“-Verschlüsselungs-Gateways an. Ein solches Gateway sei ein Tool, das zwischen einem „Cloud“-System und einem In-House-System platziert sei und die Verschlüsselung oder Anonymisierung von Daten vor der Übertragung durchführe. „Wenn das Gateway von der Schule selbst betrieben oder in einem deutschen Rechenzentrum gehostet wird, ist die Einhaltung der DSVGO gewährleistet, weil niemals unverschlüsselte oder personenbezogene Daten in die ,MS-Cloud‘ geraten“, erläutert Eperiesi-Beck.
Über ein derartiges Gateway lasse sich prinzipiell jeder „Cloud“-Dienst auch US-amerikanischer Anbieter datenschutzkonform nutzen (gewisse Anpassungen an den jeweiligen Dienst am Gateway seien allerdings notwendig). Verschlüsselungs-Gateways böten genau den Schutz personenbezogener Daten „auf dem Stand der Technik“, den die DSGVO und das Schrems-II-Urteil forderten.
„Viele Schulen verfügen zugegebenermaßen nicht über die Ressourcen, ein solches Verschlüsselungs-Gateway selbst zu betreiben, oder sie wollen sich nicht mit der erforderlichen Technik auseinandersetzen. Für diesen Fall gibt es IT-Dienstleister, welche die Verschlüsselung als ,Managed Service‘ anbieten.“ Dazu gehöre z.B. T-Systems mit seinem „Cloud Privacy Service“. Eperiesi-Beck abschließend: „Technische Gründe, weshalb der Datenschutz an deutschen Schulen noch immer weitgehend vernachlässigt wird, bestehen jedenfalls nicht. Es wird höchste Zeit, dass Datenschutzbeauftrage und Schulen aktiv werden.“
Weitere Informationen zum Thema:
Ministerium für Kultus, Jugend und Sport Baden-Württemberg, 11.05.2022
Schulleitungen der Öffentlichen Schulen in Baden-Württemberg / MS365 im Einsatz an öffentlichen Schulen in Baden-Württemberg
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, 25.04.2022
Nutzung von MS 365 an Schulen
Aktuelles, Experten - Apr 26, 2024 20:46 - noch keine Kommentare
eco-Stellungnahme zum Verschlüsselungsverbot – praktisch nicht umsetzbar und Verstoß gegen Grundrechte
weitere Beiträge in Experten
- Schleswig-Holstein: Datenschutzbericht 2023 vorgestellt
- Bundesdatenschutzgesetz: DSK-Stellungnahme zum Gesetzentwurf zur Änderung veröffentlicht
- Digitalministerkonferenz: Digitalverband Bitkom benennt Herausforderungen an die neue Institution
- Digitalministerkonferenz sollte Schnellboot der Digitalisierung in Deutschland sein
- World Cybercrime Index: Identifizierung globaler Brennpunkte der Cyber-Kriminalität
Aktuelles, Branche, Studien - Mai 3, 2024 21:30 - noch keine Kommentare
Faktor Mensch bleibt der am häufigsten genutzte Angriffsvektor
weitere Beiträge in Branche
- NIS-2: Verpasste Chance oder Wegweiser für mehr IT-Sicherheit
- Soziale Medien: Booster oder Cyber-Achillesferse für Politiker
- DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher
- Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024
- DDoS-Attacken: Check Point warnt vor neue Wellen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren