29. Tätigkeitsbericht der LDI NRW 2023: Datenschutzrechtliche Verantwortlichkeiten von Schulträgern und IT-Sicherheitsrisiken

Im 29. Tätigkeitsbericht für das Jahr 2023 setzt sich Bettina Gayk ,Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), intensiv mit der Rechtsauffassung des Oberverwaltungsgerichts NRW (OVG NRW) auseinander. Das Gericht hat in einem seiner Protokolle vom 22. Februar 2023 (Az. 19 B 417/22) eine bemerkenswerte Entscheidung getroffen, die zu vielen Nachfragen führte. Der Bericht wurde am 08.07.2024 durch das LDI NRW veröffentlicht und ist der aktuellste Bericht für NRW.

Verantwortung der Schulträger für digitale Plattformen

Laut OVG NRW liegt die Verantwortung für die datenschutzgerechte Ausstattung der Schulen mit digitalen Arbeits- und Kommunikationsplattformen nicht bei der Schulleitung, sondern beim kommunalen Schulträger. Dies bedeutet, dass die Schulträger nicht nur für die technische Bereitstellung solcher Plattformen verantwortlich sind, sondern auch sicherstellen müssen, dass die eingesetzten Lösungen den datenschutzrechtlichen Vorgaben entsprechen.

Diese Entscheidung hat erhebliche Auswirkungen auf die Praxis, da sie die Verantwortung der Schulträger für den Schutz von Schüler- und Lehrerdaten in den Vordergrund rückt. Insbesondere sind Schulträger verpflichtet, bei der Auswahl und Implementierung von digitalen Plattformen Vorsichtsmaßnahmen zu ergreifen und datenschutzrechtliche Vorgaben, wie die Datenschutz-Grundverordnung (DSGVO), zu beachten. Für NRW ist das Urteil bindend und es geht auch über die Software “Google Workspace for Education Plus” hinaus, weil es allgemein auf “digitale Arbeits- und Kommunikationsplattformen” in der Schule abzielt. Dagegen kann auch nicht mehr beim Bundesverwaltungsgericht vorgegangen werden, weil “Dieser Beschluss ist unanfechtbar (§ 152 Abs. 1 VwGO, § 66 Abs. 3 Satz 3, § 68 Abs. 1 Satz 5 GKG).”

In dem Urteil stützt sich das Oberverwaltungsgericht NRW maßgeblich auf SchulG NRW. Insofern ist es nach meinem Verständnis nur dann auf andere Bundesländer grundsätzlich übertragbar, wenn sehr ähnliche Rahmenbedingungen im dortigen Schulgesetz vorliegen.

Die Schulleitung ist aber immer noch in der Verantwortung. Die datenschutzrechtliche Verantwortung für die Verarbeitung personenbezogener Daten in inneren Schulangelegenheiten liegt andererseits bei den Schulen. Dies folgt aus § 5 Abs. 1 Satz 2 DSG NRW. Hiernach gelten Schulen 29. Bericht 2024 LDI NRW50 der Gemeinden und Gemeindeverbände, soweit sie in inneren Schulangelegenheiten personenbezogene Daten verarbeiten, als (eigenständige) öffentliche Stellen im Sinne dieses Gesetzes. Die mit dem Einsatz der Arbeits- und Kommunikationsplattformen bezweckte Erfüllung des Bildungs- und Erziehungsauftrags ist eine innere Schulangelegenheit. Das bedeutet, dass allein die Schulen für die im Zusammenhang mit dem Einsatz der Arbeits- und Kommunikationsplattformen stattfindende Verarbeitung personenbezoge- ner Daten verantwortlich sind.

Risiken bei der Nutzung von Cisco-Hardware

Ein weiterer wichtiger Aspekt, den Schulträger bei der Wahl ihrer digitalen Infrastruktur beachten sollten, sind Sicherheitslücken in der verwendeten Hardware und Software. Besonders kritisch ist hierbei die Nutzung von Cisco-Hardware. Laut der CVEdetails-Datenbank weist Cisco regelmäßig schwerwiegende Sicherheitslücken auf, die von Cyberkriminellen ausgenutzt werden können. Diese Lücken betreffen unter anderem Router, Switches und Firewalls, die in vielen schulischen Netzwerken zum Einsatz kommen.

Zu den potenziellen Risiken gehören:

• Unbefugter Zugriff auf Netzwerke: Schwachstellen in Cisco-Geräten können es Angreifern ermöglichen, unbefugt auf Netzwerke zuzugreifen und sensible Daten wie Schülerakten oder Lehrmaterialien zu stehlen.
• Manipulation und Datenverluste: Sicherheitslücken können zu Datenverlusten oder -manipulation führen, was besonders im schulischen Umfeld katastrophale Folgen haben könnte.
• Verletzung von Datenschutzvorgaben: Der Einsatz unsicherer Hardware gefährdet nicht nur die IT-Sicherheit, sondern kann auch zur Verletzung der DSGVO führen, was hohe Bußgelder nach sich ziehen könnte.

Empfehlungen der LDI NRW

Bettina Gayk betont in ihrem Bericht, dass Schulträger eine umfassende Risikoanalyse vornehmen sollten, bevor sie IT-Infrastrukturen bereitstellen. Es ist ratsam, auf Hardware und Software zu setzen, die regelmäßige Sicherheitsupdates bietet und einen hohen Standard an Datenschutz erfüllt.

Ein wichtiger Schritt ist die Durchführung von Datenschutz-Folgenabschätzungen, wie sie in Art. 35 der DSGVO vorgesehen sind. Hierbei sollten Schulträger eng mit Datenschutzbeauftragten und IT-Sicherheitsbeauftragten zusammenarbeiten, um die Risiken durch unsichere Hardware zu minimieren.

Der vollständige Tätigkeitsbericht der LDI NRW für das Jahr 2023 kann auf der offiziellen Website der LDI NRW eingesehen werden.

Quellen:

1. OVG NRW
2. DSGVO
3. LDI NRW Tätigkeitsbericht 2023
4. Cisco-Sicherheitslücken bei CVEdetails

Siehe auch

• Angriff auf den Datenschutz: Wie NRW-Ministerpräsident Wüst nach dem Microsoft-Deal die unabhängige Aufsicht beseitigen will
• Datenschutz ist ein Grundrecht – Warum diese Wahrheit so oft geleugnet wird
• Die DSGVO als Reaktion auf Snowden: Eine Theorie über symbolische Datensouveränität und ihre Grenzen
• Datenschutz-Erfolg gegen Microsoft: Warum Deutschland diesem Beispiel folgen sollte
• Die Illusion der digitalen Souveränität: Europas großer Selbstbetrug