Aktuelles, Branche - geschrieben von dp am Mittwoch, Mai 18, 2022 16:04 - noch keine Kommentare
MS 365: Drohender Datenschutznotstand an Schulen
Landesbeauftragte für Datenschutz und Informationsfreiheit setzen DSGVO und Schrems-II-Urteil um
[datensicherheit.de, 18.05.2022] Schulen in Deutschland könnte ein Datenschutznotstand drohen: Jedenfalls hat laut Dr. Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, verordnet, „die Nutzung von ,MS 365‘ an Schulen zu beenden“ oder den datenschutzkonformen Betrieb eindeutig nachzuweisen. Er erwartet demnach von Schulen, dass sie den Schülern bis zu den Sommerferien 2022 Alternativen zum „Cloud“-Dienst „MS 365“ für den Schulbetrieb anbieten oder aber diesen Dienst mit geeigneten Mitteln absichern. Damit ziehe er Konsequenzen aus der Datenschutzgrundverordnung (DSGVO) und dem sogenannten Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH), welche schließlich eine Einhaltung ihrer Vorgaben nicht ins Belieben von Unternehmen oder Behörden stellen, sondern eindeutig verlangen.
Elmar Eperiesi-Beck: Es wird höchste Zeit, dass Datenschutzbeauftrage und Schulen aktiv werden!
Datenschutzbeauftragte hörten nun auf, ein Auge zuzudrücken
Ähnliche Situationen kämen auch auf Schulen in anderen Bundesländern zu, denn die dortigen Datenschutzbeauftragten hörten ebenfalls auf, „ein Auge zuzudrücken“, was sie vor allem wegen der „Pandemie“ getan hätten, und wendeten nunmehr schlicht geltendes Recht an. In der Vergangenheit habe Dr. Brink schon häufiger eine Vorreiterrolle gespielt.
Das Problem sei, dass einerseits die meisten Nutzer mit den Alternativen zu „MS 365“ unzufrieden seien. So habe ein zuständiger Lehrer berichtet, er kenne keinen an seiner Schule, der den Umstieg weg von „Microsoft Teams“ nicht bedauere. Andererseits scheine gar nicht ernsthaft über die zweite von DSGVO und vom Schrems-II-Urteil vorgesehene Lösung nachgedacht zu werden, nämlich die Nutzung von „MS 365“ datenschutzrechtkonform abzusichern.
In einer aktuellen Stellungnahme des Kultusministeriums Baden-Württemberg finde sich die Feststellung, dass es bislang nicht gelungen sei, „eine Lösung vor Ort zu finden, die den Interessen von Schülerinnen und Schülern, Eltern, Lehrkräften und Schule gerecht wird“. Diesen Beschwerden nachzugehen sei indes die Pflicht des LfDI [Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg]. Mittlerweile seien 40 Schulen angeschrieben und eine Lösung angemahnt worden. Der Datenschutzexperte Elmar Eperiesi-Beck, Gründer und „CEO“ von eperi, zeigt sich in seiner Stellungnahme hierzu alles andere als begeistert.
Seit Beginn der Pandemie Tools und Lösungen weitgehend an geltenden Datenschutzbestimmungen vorbei genutzt
Eperiesi-Beck kommentiert: „Die Initiative von Dr. Stefan Brink ist eindeutig zu begrüßen. Er zieht die von der EU geforderten Konsequenzen aus DSGVO und Schrems-II-Urteil und schafft zweifelsfrei Klarheit für alle Beteiligte.“ Seit dem Beginn der „Pandemie“ vor über zwei Jahren würden Tools und Lösungen wie „MS 365“ weitgehend an geltenden Datenschutzbestimmungen vorbei genutzt.
Die Tatsache, dass es den Kultusministerien in mehr als zwei Jahren nicht gelungen sei, „eine Lösung […] zu finden, die den Interessen von Schülerinnen und Schülern, Eltern, Lehrkräften und Schule gerecht wird“ sei einer der schlechteren Witze in der behördlichen Nutzung von IT. „Das ärgert mich auch als Vater schulpflichtiger Kinder“, betont Eperiesi-Beck.
Dabei sei die Lösung, welche von der Europäischen Datenschutzbehörde vorgegeben werde, „ganz einfach“ und die zuständigen Stellen müssten „keinesfalls das Rad neu erfinden“. Privatunternehmen machten seit Jahren vor, wie sich US-amerikanische „Cloud“-Dienste DSGVO-konform nutzen ließen – durch den Einsatz von Verschlüsselungstechnologien.
Über ein Gateway Cloud-Dienste auch US-amerikanischer Anbieter datenschutzkonform nutzen
Es biete sich vor allem der Einsatz eines „Cloud“-Verschlüsselungs-Gateways an. Ein solches Gateway sei ein Tool, das zwischen einem „Cloud“-System und einem In-House-System platziert sei und die Verschlüsselung oder Anonymisierung von Daten vor der Übertragung durchführe. „Wenn das Gateway von der Schule selbst betrieben oder in einem deutschen Rechenzentrum gehostet wird, ist die Einhaltung der DSVGO gewährleistet, weil niemals unverschlüsselte oder personenbezogene Daten in die ,MS-Cloud‘ geraten“, erläutert Eperiesi-Beck.
Über ein derartiges Gateway lasse sich prinzipiell jeder „Cloud“-Dienst auch US-amerikanischer Anbieter datenschutzkonform nutzen (gewisse Anpassungen an den jeweiligen Dienst am Gateway seien allerdings notwendig). Verschlüsselungs-Gateways böten genau den Schutz personenbezogener Daten „auf dem Stand der Technik“, den die DSGVO und das Schrems-II-Urteil forderten.
„Viele Schulen verfügen zugegebenermaßen nicht über die Ressourcen, ein solches Verschlüsselungs-Gateway selbst zu betreiben, oder sie wollen sich nicht mit der erforderlichen Technik auseinandersetzen. Für diesen Fall gibt es IT-Dienstleister, welche die Verschlüsselung als ,Managed Service‘ anbieten.“ Dazu gehöre z.B. T-Systems mit seinem „Cloud Privacy Service“. Eperiesi-Beck abschließend: „Technische Gründe, weshalb der Datenschutz an deutschen Schulen noch immer weitgehend vernachlässigt wird, bestehen jedenfalls nicht. Es wird höchste Zeit, dass Datenschutzbeauftrage und Schulen aktiv werden.“
Weitere Informationen zum Thema:
Ministerium für Kultus, Jugend und Sport Baden-Württemberg, 11.05.2022
Schulleitungen der Öffentlichen Schulen in Baden-Württemberg / MS365 im Einsatz an öffentlichen Schulen in Baden-Württemberg
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, 25.04.2022
Nutzung von MS 365 an Schulen
Aktuelles, Experten, Studien - Nov 8, 2024 19:30 - noch keine Kommentare
it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
weitere Beiträge in Experten
- KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf
- eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz
- US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position
- Neue Grundsatzentscheidung zwingt Notare zur Ermittlung von Daten für das Nachlassverzeichnis
- Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung
Aktuelles, Branche - Nov 11, 2024 11:34 - noch keine Kommentare
Fremd-Zugriff auf Standortdaten: Lauf-Apps können Gefahr für eigene Sicherheit bergen
weitere Beiträge in Branche
- JFrog-Analyse zur Gefährdung Maschinellen Lernens: Kritische Schwachstellen in ML-Frameworks entdeckt
- Sophos X-Ops analysieren Cyber-Attacken per Quishing
- ONEKEY-Report warnt Industrie vor Einkauf von Cyber-Sicherheitslücken
- SweetSpecter hatte OpenAI im Visier
- Smart Cities: Aspekte der Sicherheit in urbaner Zukunft
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren