27.04.2021 - 3 Datenschutz und Informationssicherheit an Schulen

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Frau Hartge führt aus, dass es Aufgabe der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht sei, Grundrechte zu schützen. Bei der  Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht würde es sich um eine Stelle handeln, die Beschwerden nachgeht, bei Schulen kämen die Beschwerden von den Eltern. Die Stelle würde öffentliche Stellen beraten. Es sei eine öffentliche Aufgabe, zu sensibilisieren. Mit Hilfe von Sanktionen könne der Datenschutz durchgesetzt werden. Im öffentlichen Bereich könnten Untersagungen ausgesprochen werden. Im Frühjahr 2020 sei geprüft worden, welche digitalen Mittel in den Schulen in Nutzung sind. Im Land Brandenburg sei die Schul-Cloud Brandenburg ganz wichtig für den Einstieg in das digitale Lernen. Bei der Schul-Cloud Brandenburg würde es sich um ein im Jahr 2017 auf den Weg gebrachtes Pilotprojekt handeln. Ziel war hierbei die Schaffung einer sicheren Cloud-Lösung. Auch war hierbei das Ziel, den Schulen für die Zukunft etwas zur Verfügung stellen zu können. Das Land Brandenburg hätte eine Schul-Cloud speziell für das Land Brandenburg gewollt. Ziel war die Loslösung von amerikanischen Anbietern. Vorteil und Service seitens des Landes sei, dass die Schulen eine einheitliche Dokumentation zum Datenschutz erhalten. Die Schulen seien verantwortlich für den Datenschutz. Hieraus würden sich viele Pflichten ergeben. Anfangs hätte es technische Probleme gegeben, aber es wäre nachgebessert worden. Inzwischen gebe es im Land Brandenburg 660 Schulen, die die Schul-Cloud Brandenburg nutzen. Aus technischer Sicht würde die Lösung laufen, auch wenn es Störungen geben würde. Die Schul-Cloud Brandenburg würde nach der Pilotphase weitergeführt werden. Es gebe Schulen, die die Schul-Cloud Brandenburg nicht nutzen. Es würden stattdessen Jitsi oder Moodle genutzt. Auch seien Google-Produkte und Microsoft-Produkte im Einsatz. Es hätte Beschwerden wegen der Nutzung von Microsoft-Produkten an den Schulen gegeben, da Eltern die Nutzung inakzeptabel gefunden hätten. Andererseits hätten Eltern die Schulen auch aufgefordert, Microsoft-Produkte zu nutzen. Es gebe drei Problembereiche, die in Bezug auf den Einsatz der Microsoft-Cloud-Produkte eine Rolle spielen. Diese seien die Auftragsverarbeitung, Telemetriedaten sowie das Urteil des Europäischen Gerichtshofs (EuGH) zur Übermittlung personenbezogener Daten in Drittländer („Schrems II“). Seit Dezember 2020 gebe es Gespräche mit dem Ziel, zu klären, ob Microsoft-Produkte datenschutzkonform genutzt werden können. Da es sich bei Microsoft um ein internationales Unternehmen handelt, seien Änderungen schwierig zu erreichen. Die Probleme seien flächendeckend. Die Schulen hätten eine Grundrechtsbindung, die Eltern hätten keine Wahl, aber ein Anrecht auf Einhaltung der Grundrechte und ein Recht auf Kontrolle der Einhaltung der Grundrechte. Dem Schutz von Kindern und Jugendlichen müssten die Schulen Rechnung tragen. Durch eine Datenpanne sei die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht auf die Schulen aufmerksam geworden. Eine Abfrage dazu, welches Produkt genutzt wird, würde nicht erfolgen. Im Land Brandenburg hätte man eine funktionierende Schul-Cloud. Andere Länder hätten eine Duldung ausgesprochen, in diesen Ländern hätte es allerdings keine Schul-Cloud gegeben. Die Schul-Cloud Brandenburg könne schnell auf Pannen reagieren.

Herr Salomon von der Grundschule Bruno H. Bürgel (Grundschule 16) führt aus, dass die Grundschule Bruno H. Bürgel (Grundschule 16) eine Pilotschule des Projekts des Hasso-Plattner-Instituts (HPI) „Schul-Cloud Brandenburg“ sei. Die Schulen hätten vor Problemen gestanden. Es gebe schlechtes Netz in den Schulen, Endgeräte würden fehlen. In den Schulen seien Pädagoginnen und Pädagogen und keine Expertinnen und Experten. Es sei wenig passiert. Herr Dörschel merkt an, dass es bei einer Untersagung keine Alternative geben würde. Herr Wollenberg möchte wissen, wie das Vorgehen bei Beschwerden ist. Zudem möchte er wissen, ob die Schulen beim richtigen Weg unterstützt werden. Herr Sima merkt an, dass die Lehrkräfte nicht für den digitalen Unterricht vorbereitet seien. Er möchte wissen, wie man an den Schulen die Diskrepanz zwischen den Beschäftigten des Landes und den Beschäftigten der Kommune schließen kann. Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Frau Hartge führt aus, dass bei Beschwerden zunächst der Sachverhalt aufgeklärt werden würde. Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht sei neutral. Bei einer Datenpanne würde schnell geschaut werden. Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht würde die Schulen im Einzelfall beraten. Mit dem vorhandenen Personal sei eine flächendeckende und umfassende Beratung der Schulen im Land Brandenburg nicht möglich. Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht hätte bisher keine Untersagungen gegenüber Schulen ausgesprochen, keine Schule sei in ein Loch gefallen. Eine Videokonferenz mit einer Schulleitung hätte die Nutzung der Schul-Cloud Brandenburg herbeigeführt. Einige der benannten Probleme seien auf fehlende Bandbreite und schlechte Anbindung der Schulen zurückzuführen. Im Bereich Medienbildung sei es erforderlich, mehr zu machen. Dem Ministerium für Bildung, Jugend und Sport (MBJS) sei dieses Thema bewusst. Bei der Schul-Cloud Brandenburg sei Hilfe möglich.

18:25 Uhr Frau Gutschmidt betritt die Sitzung.

Frau Bartelt fragt in Bezug auf Endgeräte, wie Datensicherheit gewährleistet werden kann. Frau Schkölziger lobt die Diskussion dazu, welches Produkt genutzt wird. Sie fragt nach der Sicherheit bei der Nutzung der Schul-Cloud Brandenburg. Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Frau Hartge führt aus, dass sich das Hasso-Plattner-Institut (HPI) um die Sicherheit der Schul-Cloud Brandenburg kümmern würde. Die Sicherheit der Endgeräte sei gegeben, wenn Schülerinnen und Schüler diese gestellt bekommen. Der Leiter des Bereichs Technik und Organisation der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Herr Dr. Reinke ergänzt, dass die Konfiguration bei den Eltern liegen würde. Dafür gebe es Hilfestellungen und Informationen. Checklisten, Muster und Empfehlungen für die Nutzung würden erarbeitet werden. Herr Morgenstern-Jehia vom Fachbereich E-Government ergänzt, dass die Verwaltung voraussichtlich am 28.04.2021 einen Vertrag in Bezug auf eine Mobile Device Management (MDM)-Lösung unterschreiben werden würde. Die Verwaltung würde versuchen, den Schülerinnen und Schülern Geräte in einem großen Umfang zur Verfügung zu stellen. Medienkompetenz würde auch Verantwortungsbewusstsein bedeuten.

18:30 Uhr Herr Viehrig verlässt die Sitzung.

Frau Dr. Gnadt vom Staatlichen Schulamt Brandenburg an der Havel führt aus, dass die Schulleitungen über den behördlichen Datenschutzbeauftragten des Staatlichen Schulamts Brandenburg an der Havel Herrn Leis informiert seien. Die benötigte Hilfe sei durch ihn rein kapazitätsmäßig nicht möglich. Die Schul-Cloud Brandenburg hätte nicht alle Tools. Elternkonferenzen, Schulkonferenzen und Hospitationen seien über die Schul-Cloud Brandenburg nicht möglich. Es müsse ein System für alle Bundesländer geben. Herr Wollenberg fragt, ob es eine einheitliche Zusammenarbeit zwischen den Ländern gibt. Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Frau Hartge führt aus, dass es eine einheitliche Zusammenarbeit zwischen den Ländern geben würde. Es ginge um den Schutz der Kinder. Sie bittet um Vertrauen in die Systeme.

Herr Sima merkt an, dass es den Wunsch nach einem funktionierenden System geben würde. 

Herr Wollenberg regt an, dass die in der Sitzung gesammelten Anregungen an das Hasso-Plattner-Institut (HPI) weitergegeben werden sollen.

Der Leiter des CERT-Brandenburg (Computersicherheits-Ereignis- und Reaktionsteam) des Brandenburgischen IT-Dienstleisters Herr Deutschmann erläutert in einem Impulsvortrag den Komplex der Informationssicherheit. Er führt aus, dass es in der Landesverwaltung Schwachstellen in der Infrastruktur geben würde. Informationen könnten unterschiedlich vorliegen und gespeichert werden. Im Bereich der Informationssicherheit würde der Begriff der Integrität bedeuten, dass nur diejenigen, die Zugriff haben sollen, Zugriff haben. Die Integrität sei neben der Vertraulichkeit und der Verfügbarkeit eines der drei Schutzziele der Informationssicherheit. Es ginge darum, vor Gefahren und Bedrohungen zu schützen. Eine Informationssicherheitslinie würde die Standardschritte eines Sicherheitsprozesses beschreiben. Verantwortlichkeiten müssten durch Festlegungen geklärt werden. Hackerangriffe würden über manipulierten Internetseiten stehen. Die Nutzerinnen und Nutzer müssten sensibilisiert werden. Es gebe Sabotage, Spionage, Vandalismus und häufig Passwörter mit zu geringer Sicherheit. Naturgewalten seien Überschwemmungen, Sturm und Feuer. Im Land Brandenburg gebe es eine Meldepflicht gemäß des Gesetzes über die elektronische Verwaltung im Land Brandenburg (Brandenburgisches E-Government-Gesetz - BbgEGovG).

Herr Morgenstern-Jehia vom Fachbereich E-Government führt aus, dass die Informationssicherheit neben dem Datenschutz wichtig sei. Die Informationssicherheit würde den Datenschutz sichern, dies würde an den genannten Schutzzielen deutlich werden. Die Landeshauptstadt Potsdam würde mit dem CERT-Brandenburg (Computersicherheits-Ereignis- und Reaktionsteam) des Brandenburgischen IT-Dienstleisters zusammenarbeiten. Im Zusammenhang mit dem Cyberangriff im Januar 2020 seien viele Informationen an das CERT-Brandenburg (Computersicherheits-Ereignis- und Reaktionsteam) des Brandenburgischen IT-Dienstleisters gemeldet worden. Die Verantwortung für die Informationssicherheit läge beim Schulträger, mit der Unterstützung durch eine IT-Sicherheitsbeauftragte oder einen IT-Sicherheitsbeauftragten. Nichts schütze vor Angriffen, das Risiko müsse möglichst gering sein.

Frau Bartelt möchte wissen, ob das CERT-Brandenburg (Computersicherheits-Ereignis- und Reaktionsteam) des Brandenburgischen IT-Dienstleisters bei Vorfällen unterstützen kann. Frau Schkölziger fragt, was bei „Bring Your Own Device“-Konzepten (BYOD) zu beachten ist. Herr Porath fragt nach Penetrationstests. Er möchte wissen, ob die Konzepte des CERT-Brandenburg (Computersicherheits-Ereignis- und Reaktionsteam) des Brandenburgischen IT-Dienstleisters adaptiert sind und ob es eine ähnliche Ausführung in der Landeshauptstadt Potsdam gibt. Zudem möchte er wissen, wie die Zusammenarbeit zwischen der Landeshauptstadt Potsdam und dem CERT-Brandenburg (Computersicherheits-Ereignis- und Reaktionsteam) des Brandenburgischen IT-Dienstleisters funktioniert. Der Leiter des CERT-Brandenburg (Computersicherheits-Ereignis- und Reaktionsteam) des Brandenburgischen IT-Dienstleisters Herr Deutschmann führt aus, dass es ein IT-Grundschutz-Modell geben würde. Alle würden nach den gleichen Anforderungen arbeiten und der Prozess würde immer der gleiche sein. Zum Sicherheitskonzept würde ein Penetrationstest gehören. Die Mitarbeitenden würden alle zwei Jahre zur Einhaltung der Richtlinien sensibilisiert werden. Herr Morgenstern-Jehia vom Fachbereich E-Government ergänzt, dass die Landeshauptstadt Potsdam eigene Leitlinien und Vorgaben haben würde.  Eine Zusammenarbeit mit dem CERT-Brandenburg (Computersicherheits-Ereignis- und Reaktionsteam) des Brandenburgischen IT-Dienstleisters gebe es auf informeller Ebene.  

Die Landeshauptstadt Potsdam hätte externe Unterstützung durch einen Rahmenvertrag. Es gebe eine interkommunale Zusammenarbeit mit der TUI AG und künftig mit der DICOM GmbH & Co. KG. Der Schulträger könne nicht vollständig Endgeräte zur Verfügung stellen. Viele Schülerinnen und Schüler hätten keinen Bedarf und würden ein eigenes Gerät nutzen wollen. Private Endgeräte würden zugelassen werden.