iPads an Schulen – Datenschutz im Fokus des LDI-Berichts

 Gepostet am June 10, 2025  |  3 Minuten  |  638 Wörter  |  Stefan Fahl
Code

iPads an Schulen – Datenschutz im Fokus des LDI-Berichts

 Gepostet am June 10, 2025  |  3 Minuten  |  638 Wörter  |  Stefan Fahl

iPads an Schulen – Datenschutz im Fokus

Der 30. Tätigkeitsbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW, Drucksache 18/3948) enthält klare Aussagen zur Nutzung von iPads an Schulen. Im Mittelpunkt stehen dabei datenschutzrechtliche Anforderungen und Bedenken beim Einsatz sowohl privater als auch schulischer Geräte.

1. Private iPads (BYOD) – nur Übergangslösung

Die Nutzung privater iPads durch Schülerinnen und Schüler im Rahmen von “Bring Your Own Device” (BYOD) wird von der LDI kritisch bewertet:

  • Nur vorübergehend zulässig, bis schulische Geräte bereitgestellt sind.
  • Datenschutzrechtliche Risiken: Ohne zentrale Verwaltung (z. B. MDM) sind Datenschutz und Datensicherheit nicht ausreichend gewährleistet.
  • Freiwilligkeit erforderlich: Schüler dürfen nicht gezwungen werden, private Geräte zu nutzen. Es müssen gleichwertige schulische Alternativen angeboten werden.
  • Überwachung durch Lehrkräfte (z. B. via Apple Classroom) darf nicht dauerhaft und anlasslos erfolgen. Die Betroffenen müssen nachvollziehen können, wann welche Daten verarbeitet wurden (DSGVO Art. 15).
  • Fehlende AVV mit Apple: Ein weiterer kritischer Punkt ist das Fehlen einer wirksamen und datenschutzkonformen Auftragsverarbeitungsvereinbarung (AVV) mit Apple. Die Verarbeitung personenbezogener Daten über Apple-Dienste (iCloud, Classroom, App Store etc.) erfolgt somit auf rechtlich unsicherer Grundlage.

2. Dienstliche iPads für Lehrkräfte

Auch die dienstliche Nutzung von iPads durch Lehrkräfte unterliegt klaren Regeln:

  • Gleichbehandlung mit anderen Dienstgeräten (z. B. Laptops): Alle Anforderungen an Sicherheit, Datenschutz und Backup gelten auch für iPads.
  • Zentrale Verwaltung (MDM) ist erforderlich, um Kontrolle über Konfiguration, Updates und App-Nutzung sicherzustellen.
  • Regelmäßige Updates und Datensicherung sind verpflichtend – iCloud allein reicht nicht aus.
  • Fehlende AVV: Auch hier ist die datenschutzrechtliche Grundlage problematisch. Ohne gültige AVV mit Apple ist die Nutzung datenschutzkonformer Cloud-Funktionen faktisch nicht zulässig.
  • Förderung durch das Land NRW: Über die Richtlinie BASS 11-02 können Schulen Geräte zur dienstlichen Nutzung beschaffen.

3. Wann ist eine AVV erforderlich?

Immer wenn personenbezogene Daten im Auftrag der Schule durch externe Dienstleister verarbeitet werden, ist eine Auftragsverarbeitungsvereinbarung (AVV) nach Artikel 28 DSGVO zwingend vorgeschrieben.

Das betrifft z. B.:

  • iCloud-Speicherung von Schüler- oder Lehrerdaten,
  • Nutzung von Apple School Manager oder Apple Classroom,
  • App-Installationen, die auf personenbezogene Daten zugreifen.

Ohne eine solche AVV dürfen diese Dienste nicht genutzt werden, da die Schule datenschutzrechtlich verantwortlich bleibt.

4. Warum die AVV mit Apple problematisch ist

Wie schon bei Microsoft ist es auch bei Apple äußerst schwierig bis unmöglich, eine vollständig DSGVO-konforme AVV zu erhalten:

  • Intransparenz: Apple gibt keine ausreichenden Informationen über Verarbeitungsorte, Unterauftragsverarbeiter und Löschfristen.
  • Unverhandelbare Bedingungen: Apple bietet keine individuell verhandelbare AVV an, sondern verweist auf allgemeine Geschäftsbedingungen, die nicht den Anforderungen der DSGVO entsprechen.
  • US-Rechtslage: Durch den CLOUD Act und andere US-Gesetze besteht das Risiko, dass personenbezogene Daten von US-Behörden abgefragt werden können – auch ohne Wissen der Betroffenen.

5. Ausnahmefälle für private Geräte

Der Einsatz privater Geräte ist laut VO-DV I nur als Ausnahme auf Zeit erlaubt:

  • Sobald ein schulisches Gerät zur Verfügung steht, endet die Erlaubnis, ein privates Gerät für schulische Zwecke zu nutzen.
  • Schulen sind angehalten, schnellstmöglich eine einheitliche Ausstattung mit dienstlichen Endgeräten umzusetzen.

Grundlegende Fehlplanung

Der Bericht lässt erkennen, dass der aktuelle Zustand in vielen Schulen auf eine grundsätzliche Fehlplanung zurückzuführen ist:

  • Geräte wurden angeschafft, ohne vorherige rechtliche und technische Rahmenbedingungen zu klären.
  • Es fehlen zentrale Verträge (z. B. AVVs), verbindliche Verwaltungsrichtlinien und Datenschutzkonzepte.
  • Datenschutz wurde oft erst nachträglich berücksichtigt – anstatt in die Planung integriert zu werden.

Der LDI-Bericht macht deutlich:

  • Private iPads sind datenschutzrechtlich problematisch und nur als Übergangslösung vertretbar.
  • Der dauerhafte Einsatz digitaler Endgeräte im Unterricht muss ausschließlich über schulische, zentral verwaltete Geräte erfolgen.
  • Lehrkräfte müssen mit dienstlichen, datenschutzkonform eingerichteten iPads ausgestattet werden.
  • Ohne gültige AVV mit Apple besteht kein rechtssicherer Rahmen für die Verarbeitung personenbezogener Daten.
  • Die Situation ähnelt der bekannten Problematik bei Microsoft-Produkten – auch hier fehlen AVVs, die mit der DSGVO vereinbar wären.
  • Schulen und Schulträger sind gefordert, geeignete Verwaltungs- und Sicherheitskonzepte umzusetzen – am besten vor der Geräteanschaffung.

Quelle: 30. Tätigkeitsbericht der LDI NRW (Drucksache 18/3948), veröffentlicht 2025. LDI Bericht Vorlage https://archive.org/details/mmv-18-3948 LDI Bericht LDI Bericht Backup

DSGVO  Cloud  Datenschutz  Schule  iPad  AVV  Grundgesetz  LDI 

Siehe auch