Im Saarland werden zur Zeit mit Hochdruck Schultablets eingeführt. Im Herbst 2021 werden die Schüler der sechsten Klassen mit Leihgeräten ausgestattet, bis Ende des Schuljahres sollen alle Klassen an weiterführenden Schulen folgen. Dabei gibt es eine Reihe von Bedenken hinsichtlich des Datenschutzes, die auftreten können, wenn eine Schule iPads an ihre Schüler ausgibt.
Einige dieser Bedenken umfassen die:
- Datenerfassung: Schulen können Daten von den iPads der Schüler sammeln, z. B. ihren Standort, ihren Browserverlauf und die von ihnen verwendeten Apps. Diese Daten können für eine Vielzahl von Zwecken verwendet werden, z. B. um die Fortschritte der Schüler zu verfolgen oder ihre Internetnutzung zu überwachen. Es ist wichtig, dass die Schulen über klare Richtlinien verfügen, in denen festgelegt ist, wie diese Daten erfasst, verwendet und gespeichert werden, und dass sie sicherstellen, dass die Schüler und ihre Eltern über diese Richtlinien informiert sind.
- Datensicherheit: Die Schulen sollten Maßnahmen ergreifen, um sicherzustellen, dass die von den iPads der Schüler gesammelten Daten sicher sind, um unbefugten Zugriff oder Verstöße zu verhindern. Dazu können Maßnahmen wie die Verschlüsselung der Daten, die Verwendung sicherer Server und die Verwendung starker Passwörter gehören.
- Überwachung: Manche Schulen verwenden auf den iPads der Schüler Überwachungssoftware, um deren Internetnutzung zu verfolgen oder bestimmte Websites oder Apps zu sperren. Es ist wichtig, dass die Schulen ihre Überwachungspraktiken transparent machen und sicherstellen, dass sie angemessen und verhältnismäßig zu den Bedürfnissen der Schule sind.
- Weitergabe von Informationen an Dritte: Die Schulen sollten transparent über alle Dritten sein, die Zugang zu den Daten der Schüler haben, und sicherstellen, dass dieser Zugang notwendig und angemessen ist.
Technische Basis für den Verleih, der analog der Schulbuchausleihe funktionieren soll, sind iPads des Herstellers Apple. Diese werden gegen Übergabeprotokoll, Leihvertrag und Haftungsfreistellung dem Schüler ausgehändigt – die Teilnahme soll freiwillig sein, zumindest in der Testphase.
Administriert werden die Geräte über ein sogenanntes Mobile-Device-Management (MDM). Das ermöglicht den Geräten über Mobilfunk oder WLAN mit Steuerungsrechnern des Schulträgers zu kommunizieren und aus der Ferne Aktionen auf dem Tablet auszulösen. In den „Nutzungsbedingungen“ wird dies auf kurz umrissen:
- Das Leihgerät wird zentral mit Hilfe einer Software über eine Mobilgeräteverwaltung administriert. Mit Hilfe der Mobilgeräteverwaltung überwacht und verwaltet der Verleiher Implementierungen mobiler Endgeräte. Der Verleiher behält sich vor, über die Mobilgeräteverwaltung mobile Endgeräte wie folgt zu administrieren:
– Entsperrcode zurücksetzen;
– Gerät sperren (Entsperrcode aktivieren);
– Benutzersperrung
– Unternehmensdaten löschen;
– Gerät auf Werkseinstellungen zurücksetzen;
– Übertragung von Nachrichten auf die Geräte;
– Konformitätsregeln (Profile) erstellen, um so erforderlichen Update- oder Datensicherungsbedarf oder Verstöße durch den Entleiher etwa in Bezug auf nicht-autorisierte Entfernen bestehender Nutzungsbeschränkungen festzustellen; - Der Verleiher behält sich vor, auf zur Verfügung gestellten Leihgeräte gespeicherte Daten jederzeit durch technische Maßnahmen (z.B. Virenscanner) zur Aufrechterhaltung der Informationssicherheit und zum Schutz der IT-Systeme automatisiert zu analysieren.
- Der Verleiher kann zur Filterung bestimmter illegaler, verfassungsfeindlicher, rassistischer, gewaltverherrlichender oder pornografischer Internetinhalte einen Contentfilter einsetzen. Mittels dieses Contentfilters werden die Inhalte von Webseiten während des Browserbetriebs hinsichtlich einzelner Wörter, Phrasen, Bilder oder Links, die auf einen entsprechenden Inhalt hindeuten, automatisiert gefiltert und ggf. der Zugriff auf Inhalte über das mobile Endgerät blockiert.
Soweit die Liste der legitimen Möglichkeiten, die für den Einsatz eines MDM zur Verwaltung der Geräte notwendig sind. In einem weiteren Absatz wird die weitergehende Problematik der Fernadministration ganz kurz angerissen, aber nicht vertieft:
- Eine Auswertung der durch die Analyse oder die Überwachung der Leihgeräte erfassten Daten zum Zwecke der Anwesenheits- ,Leistungs- oder Verhaltenskontrolle gleich welcher Art ist unzulässig.
Zum einen fehlt der Adressat der Regelung, denn die Schüler werden zu einer solchen Analyse aufgrund der Restriktionen auf dem Gerät nicht in der Lage sein. Zum anderen zeigen sich hier die Auswertungsmöglichkeiten, die mit den anfallenden Nutzungsdaten der Geräte theoretisch möglich wären.
Ein weiteres Problem stellt der Drittstaat-Transfer der Daten dar. Ein Großteil der anfallenden Daten wird in der Apple-Cloud in den USA verarbeitet. Darauf weist Apple auch in seinen Unterlagen für iPads an Schulen hin:
- Apple stellt sicher, dass persönliche Daten, die aus dem Europäischen Wirtschaftsraum oder der Schweiz an die Vereinigten Staaten von Amerika übermittelt werden, vom von der Europäischen Kommission genehmigtem Model Contractual Clauses/Swiss Transborder Data Flow Agreement geregelt werden – oder durch ein operatives Privacy Shield Zertifizierungsprogramm, für das Apple Inc. vielleicht (sic!) zertifiziert wird.
Im Jahr 2021 schlossen die Europäische Union (EU) und die Vereinigten Staaten (USA) ein Abkommen mit der Bezeichnung EU-US-Datenschutzschild („Privacy Shield“), das einen Rahmen für den Schutz der personenbezogenen Daten von EU-Bürgern bei der Übermittlung in die USA schafft. Das Privacy Shield verlangt von den teilnehmenden Unternehmen, dass sie sich zu einer Reihe von Datenschutzgrundsätzen verpflichten und einen starken Schutz für personenbezogene Daten bieten.
Apple hat erklärt, dass iCloud mit dem EU-US-Datenschutzschild konform ist. In einer Erklärung auf seiner Website weist Apple darauf hin, dass es sich selbst für das Privacy Shield zertifiziert hat und sich verpflichtet, dessen Anforderungen zu erfüllen. Apple weist auch darauf hin, dass es zusätzliche Schutzmaßnahmen zum Schutz der Privatsphäre seiner Nutzer eingeführt hat, darunter eine starke Verschlüsselung und sichere Server.
Insgesamt hat es den Anschein, dass iCloud mit dem EU-US-Datenschutzschild konform ist und dass Apple die Privatsphäre seiner Nutzer ernst nimmt. Es ist jedoch immer wichtig, dass die Nutzer die Datenschutzrichtlinien und -praktiken eines Unternehmens sorgfältig prüfen, bevor sie ihm ihre persönlichen Daten anvertrauen. Auch sollte im Blick behalten werden, dass eine eventuelle Zertifizierung durch das Privacy Shield ist seit dem SchremsII-Urteil des EuGH hinfällig sein kann.