DÜSSELDORF. Zum Start des neuen Schuljahres gibt die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (LDI NRW), Bettina Gayk, Schulen und Schulträgern deutliche Hinweise zum Einsatz von iPads. Das Problem: Die Geräte des US-Konzerns Apple sind weit verbreitet im Unterricht – ihre datenschutzkonforme Nutzung allerdings nur über Hürden möglich.
„Schulen und Schulträger, die iPads einsetzen wollen, sind damit faktisch nicht in der Lage, die Kontrolle über die Verarbeitung der Daten von Schüler*innen und Lehrkräften zu gewährleisten, wenn sie die iCloud uneingeschränkt nutzen“, betont Gayk. Hintergrund: Vertragsunterlagen und Datenschutzrichtlinien von Apple legen nahe, dass Nutzungsdaten aus den Geräten über die iCloud auch in die USA übermittelt werden – und dort zur Produktentwicklung genutzt werden. Eine Praxis, die Schulen rechtlich untersagt ist: Sie dürfen personenbezogene Daten nicht für Unternehmenszwecke weitergeben.
Darüber hinaus gebe es Hinweise, dass Daten auch in weitere Drittländer ohne angemessenes Datenschutzniveau übertragen werden. „Das Problem besteht darin, dass die Schulen aufgrund der vertraglichen Regelungen, die sich Apple derzeit noch vorbehält, ihrer eigenen Verantwortung zum Schutz der Daten der Schüler*innen und Lehrkräfte nicht gerecht werden können,“ erläutert Gayk.
Technisch mögliche Auswege – aber mit Hürden
Ganz ohne iCloud gehe es zwar, doch auch das sei kompliziert. Laut LDI lässt sich die Übermittlung personenbezogener Daten in die USA „weitestgehend verhindern“, wenn iPads ohne iCloud-Funktionen eingerichtet werden. Dann aber fehlt das automatische Backup, sodass Schulen zusätzliche Lösungen implementieren müssen. Alternativ bleiben ansonsten nur sehr aufwändige Lösungen, um die Schuldaten zu schützen. Dazu muss mit pseudonymen Accounts und verschlüsselten Inhaltsdaten gearbeitet werden, auf die Apple keinen Zugriff hat.
Gayk empfiehlt den Einsatz datenschutzfreundlicherer Anwendungen, etwa alternativer Cloud-Systeme. „Die Datenschutzkonferenz hat Kriterien für Souveräne Clouds aufgestellt, die bei der Auswahl eines geeigneten Cloud-Anbieters herangezogen werden können“, erklärt sie. Alternativ bleibe nur der Einsatz pseudonymer Accounts und verschlüsselter Inhaltsdaten – technisch aufwendig, aber rechtlich notwendig.Immerhin: Apple habe in Gesprächen zugesagt, künftig neue Vertragswerke vorzulegen. Gayk: „Insofern hoffe ich, dass auch die iCloud-Nutzung bald möglich sein wird.“ Bis dahin aber gelten hohe Hürden für Schulen, die iPads einsetzen.
Datenschutzproblem über Schulen hinaus
Die Datenschutzbeauftragte weist darauf hin, dass die Problematik nicht nur Bildungseinrichtungen betrifft. „Die geschilderten Probleme haben im Übrigen nicht nur Schulen, sondern die gesamte Verwaltung, die Geräte oder Programme nutzt, bei denen die Anbieter für eigene Zwecke auf Nutzungsdaten zugreifen wollen.“ Die öffentliche Hand dürfe personenbezogene Nutzungsdaten nicht an Unternehmen weitergeben – weder im Bildungsbereich noch anderswo.
Auch in der Fachwelt sorgt die Warnung für Resonanz. Christopher Lück, IT-Sicherheitsberater beim Beratungsunternehmen Viama, macht deutlich: iPads könnten zwar wertvolle Werkzeuge sein, doch dürfe dies nicht zulasten des Datenschutzes gehen. Die uneingeschränkte Nutzung der iCloud sei aus seiner Sicht schlicht nicht schulgeeignet, da sie eine Übermittlung sensibler Daten in Drittländer und deren Nutzung zu kommerziellen Zwecken ermögliche.
Für Schulen bedeute das, betont er auf Linkedin, dass ihre Verantwortung weit über die Anschaffung von Geräten hinausreiche. Wer personenbezogene Daten von Kindern und Lehrkräften verwalte, müsse Lösungen einsetzen, die rechtlich tragfähig und technisch souverän seien – auch wenn diese zunächst umständlicher erscheinen. „Digitale Bildung braucht mehr als Geräte“, so Lück. „Sie braucht Souveränität – und klare Grenzen für kommerzielle Plattformen.“ News4teachers
Wer weitere Details sucht, findet ab Seite 48 des aktuellen Tätigkeitsberichts der LDI NRW eine ausführliche Darstellung der Problematik: Tätigkeitsbericht 2025 der LDI NRW
Dann gebt den Schulen ausgebildete Informatiker, die sich um solche Dinge kümmern. An allen mir bekannten Schulen ist die IT an Lehrkräfte ausgelagert, die meist wie die Mutter zum Kinde an ihre Aufgabe gekommen sind und in Überstunden irgendwie schauen, wie sie mehrere 100 Tablets überhaupt verwaltet bekommen.
Während der Pandemie merkte man auch schon, wie der „Datenschutz“ über allem stand und Schulen (in Deutschland) auf wackelige Notlösungen ausweichen mussten, anstelle funktionierende Systeme aus Übersee zu nutzen. „Zoom“ funktionierte einwandfrei. Als plötzlich zu „Big Blue Button“ gewechselt werden musste, wars erst mal vorbei mit reibungslosen Videokonferenzen.
BBB und Jitsi funktionieren wunderbar. Aber auch hier kommt es auf das Backend an, welches mit der Dienstleistung betraut wurde.
MS Teams konnte hier nicht unter Windows ans laufen gebracht werden, aber in einer Linux VM auf dem gleichen Windows lief es dann; wenn auch nicht so perfomant wie BBB und Jitsi direkt im Browser des Windows Systems.
In Firmen muss es eine spezielle IT-Abteilung geben, sobald mind.?300? Geräte im Haus sind. (Ich bin nicht sicher bei dieser Zahl). Ein Kollege hat bei uns so neben des Unterrichts ohne Extradeputat 500 Geräte zu versorgen.
so lange das Land kein Geld in die Hand nehmen will, werde ich entweder keine Arbeiten mit dem digitalen verrichten oder mit dem Datenschutz laxer umgehen müssen. Das KMK soll sich entscheiden, was es möchte.
ich kann die Datenschutzdiskussion nicht mehr hören. Bildet entsprechendes Fachleute aus, schickt sie in die Schulen und macht den Schei***** dann selbst. Lebensweltbezug gehört scheinbar nicht zu den Merkmalen der Stelenausschreibung Datenschutz.
Umgekehrt! Das heißt doch, dass Leute mit Zeit und Expertise an die Schulen sollen, um den Datenschutz zu gewährleisten, und nicht, dass man den Datenschutz aufgibt, weil keine ITler kommen.
In Wahrheit steckt doch hinter der Einlassung: “Auf, Lehrer, kümmere dich um den Datenschutz deiner Schüler, wenn sie mit dem iPad arbeiten!”
Es kommen keine ITler und die Lehrkräfte sollen es mal wieder richten, obwohl sie weder Zeit, noch (in den meisten Fällen) die Expertise dazu haben. Vielleicht schwenken wir doch wieder zu Stift und Papier, da kann nichts schiefgehen.
Und was Sie vergessen haben: Die Lehrer haben auch nicht die Verantwortung dafür, sondern der Schulträger!
Es ist schlicht und ergreifend nicht unser Kram, wenn der Schulträger hier Mist baut.
Die Schulleiter tragen die Verantwortung. Auch wenn sie, wie die EU-Kommission, nicht wirklich wissen, wie die Daten fließen. Der Schulleiter wäre dran, die EU Kommission durfte Experten dafür engagieren
Verantwortlich ist (wie immer) der Schulleiter.
Ich denke, der oberste Dienstherr ist nach DSGVO in der Verantwortung, und das ist nicht die Schulleitung.
Und wofür gibt’s jetzt Parteibücher?
Die Fachleute müssen aber bezahlt werden und da stehen dann die Kommunen in direkter Konkurrenz zur freien Wirtschaft und dem dort sehr oft üblichen Homeoffice. Finanziell haben die Kommunen dann keine Chance, ganz zu schweigen von den Arbeitsbedingungen.
Naja … es würde schon helfen, wenn der TVL und der TVÖD wieder zusammenfließen und sich bei dem “Außerverwaltungstechnischen Bereich” auf deutlich bessere Bezahlungen (die dann zu höreren Steuern führen würden) einigen könnten. Alles was unter EG13 ist, sollte auf EG13 angehoben werden.
Dann könnte auch wieder Erziehungsarbeit zuhause geleistet werden.
Die Trump Regierung lässt gerade verlauten, dass sie die Existenz von Menschen zerstören wird, die den ermordeten Rechtsextremisten Kirk kritisieren.
Man kann Probleme bei der Einreise in die USA bekommen, wenn man sich kritisch über den MAGA-Präsidenten geäußert hat.
Insofern ist Datenschutz kein Nice-to-Have, sondern die Schulen schulden es ihren Schülern und Schülerinnen ihre Daten zu schützen.
Es ist ja durchas realistisch, dass Schüler im Rahmen des Englisch-, Politk- oder Philosphieunerrichts über die oben angesprochene Themen schriftlich diskutieren und dass diese Daten in der Cloud landen.
Wer sich heute noch über die Zumutungen des Datenschutzes beschwert, hat den Knall nicht gehört.
Und die oberen Stellen schulden es den Schulen, das dafür ausgebildete und geeignete Personal zur Verfügung zu stellen. Das gilt sowohl für die gesamte Medienverwaltung an jeder einzelnen Schule, als auch für die Entwicklung und Bereitstellung eigener Plattformen. Sich nur hinter dem Datenschutz zu verstecken und Schulen die Vorgaben zu machen, löst das Problem nicht.
Datenschutz geht jeden an. Man dann Datenschutz nicht “erledigt bekommen”, genausowenig, wie Schüler/innen gelernt werden. Geht nur durch selber richtig lernen, selber richtig handeln. Und manchmal auch “einfache Dinge” nicht machen, und dafür etwas komplizierte Wege nutzen.
Quer über die Autobahn rennen, kann man machen: Sollte man aber nicht : und man darf sich nicht wundern, wenn man über die Autobahn rennt, dass es zu Unfällen kommt.
Der beste Datenschützer, der beste IT’ler nützt vorort nichts, wenn sich alle übrigen Beteiligten nicht entsprechend der Hinweise verhalten wollen.
Und wer sich nicht so verhalten kann, der muss dem Dienstherrn entsprechend mitteilen, dass Schulungen nötig sind, und wenn es diese nicht gibt, dass man dann aus Schutzgründen eben mit den Materialien arbeitet, mit denen man zuarbeiten gelernt hat.
Wer keinen passenden Maschinen-Schein hat, darf auch bestimmte Maschinen nicht nutzen.
PS: Schauen Sie gerne mal in sozialen Medien, was viele Kinder (!), Jugendliche und deren Eltern außerhalb irgendwelcher Clouds so alles teilen, veröffentlichen, kommentieren und posten. Da brauchts keinen Blick des Secret Service in die Cloud, um eine Einreise in die USA zu erschweren.
Was die Schüler außerhalb der Schule so teilen, liegt nicht in unserem Verantwortungsbereich.
Schulen müssen aber Verantwortung für die IT-Infrastruktur übernehmen, die die Schüler nutzen sollen.
Wir sagen ja auch nicht: “Guck mal wie die Schüler außerhalb der Schule krank werden. Da kümmern wir uns als Schule auch nicht mehr um Ungezieferbefall und meldepflichtige, ansteckende Krankheiten.”
@Walter Hasenbrot … sehr richtig
Es wäre schön, wenn sich der Datenschutzbeauftragte mal mit denjenigen unterhalten würde, welche die Vorzüge der digitalisierten Schule hinsichtlich der freien Wahl des Arbeitsplatzes (und der Arbeitszeit), der kollaborativen modernen Arbeitsformen und der individuellen KI gestützten Förderung preisen, denn in diesen Bereichen stößt man sehr schnell auf Datenschutzprobleme (oder/und auf Kosten).
Es wäre schön, wenn alle freundlich miteinander wären – und es keine Personen mit böser Absicht gäbe.
Leider ist der Mensch so nicht, also braucht es Spielregeln.
Datenschutz ist eine Spielregel, die sich in Deutschland schon unmittelbar aus dem Grundgesetz ergibt. (Es braucht hier eigentlich keine DSGVO.)
Die Würde des Menschen ist unantastbar.
Das ist ein Individual-Recht. Deutlich vor der Erkenntnis formuliert, dass sich Vorkommisse wie zur Nazi-Zeit nie-wieder(!!) auf deutschem Boden ereignen dürfen!
Die DSGVO ist aber auf europäischer Ebene nötig, da eben nicht in jeder Verfassung der individual Schutz in gleicherweise gegeben ist.
Und schaut man über den Teich, dann gehören die Personen-Daten nicht den Personen, sondern den Unternehmen. Also ein Wirtschaftsgut.
Die Bereitstellung einer ordentlichen Lösung ist Aufgabe der Schulträger. Bieten diese eine Lösung an, sollte ich diese auch nutzen können. Man kann von mir nicht erwarten, dass ich mich zum Fachmann für Datenschutz ausbilden lasse. Sprich: Wenn der Schulträger so etwas einführt und implementiert, dann ist er dafür auch verantwortlich und begeht auch den Datenschutzverstoß, solange er mich nicht aufklärt.
Man muss kein Fachmann für Datenschutz sein, um das Gefühl dafür zuhaben,
dass Dinge, die man vor etwa 40 Jahren in jedemfall im Schulgebäude (ggf zuhause) behalten hat, auch heute nicht deutlich wo anders liegen sollten: Dabei ist es ganz egal ob in analoger Form oder als digitales Objekt.
Zu “Dazu muss mit pseudonymen Accounts und verschlüsselten Inhaltsdaten gearbeitet werden, auf die Apple keinen Zugriff hat.”
Das gilt eigentlich für jede Verwendung von nicht-lokalen Diensten, insbesondere aber auch für jeden Internet-Dienst.