Service-Navigation

Suchfunktion

Cloud-Dienste im schulischen Bereich

Cloud Computing beschreibt den Ansatz, allgemeine IT-Infrastrukturen, wie Datenspeicher, Rechenkapazität, Netzwerkkapazitäten oder auch Anwendungssoftware, sowie die Verarbeitung der Datenbestände des Kunden dynamisch an den Bedarf angepasst über ein Netzwerk durch einen Dienstleister zur Verfügung zu stellen.

Bei der Verwendung von Cloud-Diensten im Bereich der Schul-IT ist folgendes zu beachten:

Wenn Sie Cloud-Dienste, verwenden möchten und dabei personenbezogene Daten verarbeiten, sollten Sie genau auf die Datenschutzrichtlinien des Anbieters achten. Es handelt sich auch hier, wie bei Drittanbietern bei Lernplattformen, um eine "Datenverarbeitung im Auftrag". Der Auftrag ist schriftlich zu vergeben (Inhalt des Auftrages richtet sich nach §7 Absatz 2 Satz 4 LDSG) und die Schule oder Lehrkraft als Kunde ist und bleibt für die ausgelagerten personenbezogenen Daten verantwortlich. In der Regel genügt die Einwilligung in AGBs bzw. Nutzungsbedingungen nicht dieser Anforderung. Vorlagen für einen solchen Vertrag finden Sie unter Datenschutz an Schulen.

Auf jeden Fall müssen vom Auftragnehmer insbesondere folgende Informationen vorliegen bzw. im Vertrag aufgeführt sein:

  • Eine konkrete Benennung der eingesetzten Hardware, Software und Vernetzung.
  • Eine präzise Darstellung der bereits durch den Anbieter getroffenen technischen und organisatorischen Datenschutzmaßnahmen.
  • Die Möglichkeit, dass der Auftraggeber, also die Schule, Weisungen hinsichtlich der Verarbeitung personenbezogener Daten erteilen darf.
  • Der Vertrag darf keine Aussage darüber enthalten, dass die AGBs bzw. andere Vertragsbestandteile einseitig geändert werden können.
  • Eine abschließende und vollständige Auflistung aller Stellen, Personen oder Firmen an die Daten übermittelt werden.
  • Die Schule muss sich von den vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen. Wenn die Schule nicht die Mittel und Möglichkeiten hat, die ordnungsgemäße Verarbeitung ihrer Daten beim Cloud-Anbieter zu überprüfen, könnten aktuelle und aussagekräftige Nachweise, beispielsweise Zertifikate von anerkannten und unabhängigen Prüfungsorganisationen, herangezogen werden.

Sollten diese Information nicht vorliegen oder sollte die Schule nicht in der Lage sein, diese Punkte zu beurteilen, so ist eine Beauftragung nicht zu empfehlen.

In der Regel entspricht nur ein kleiner Anbieterkreis den Vorgaben des Landesdatenschutzgesetzes für Baden-Württemberg. Eine Verarbeitung personenbezogener Daten von Schulen außerhalb des europäischen Wirtschaftsraumes (EWR) sollte grundsätzlich unterbleiben und ist nur im Ausnahmefall (z.B. Auslandsschule) mit Zustimmung des KM zulässig.

Bei US-amerikanischen Anbietern ist noch eine Besonderheit zu beachten: Diese Anbieter sind auch bei Rechenzentren, die im europäischen Wirtschaftsraum liegen, der Gesetzeslage in ihren Heimatländern verpflichtet. Dies bedeutet im konkreten Fall, dass Daten aus diesen Rechenzentren US-Sicherheitsbehörden zugänglich gemacht werden können. Aus der Sicht des Landesbeauftragten für den Datenschutz Baden-Württemberg (LfD) stellt die mögliche Datenweitergabe aus dem EU-Gebiet heraus die Inanspruchnahme derartiger Cloud-Angebote grundsätzlich in Frage (siehe 30. Tätigkeitsbericht des LfD)

Auf den nachfolgenden Seiten werden unterschiedliche cloudbasierte Dienste vorgestellt, die in unterschiedlichen nicht scharf voneinander trennbaren Kategorien anhand von Anbieterbeispielen betrachtet werden.

Das Ministerium für Kultus, Jugend und Sport ist bemüht, immer datenschutzrechtlich zulässige Alternativen zu Anbietern oder Diensten aufzuzeigen, die rechtlich mit den europäischen, deutschen oder landeseigenen Gesetzen in Einklang zu bringen sind und somit Rechtssicherheit für unsere Lehrkräfte und Schulen bedeuten.

Nachfolgend werden die Kategorien

Lernplattformen,

Kollaborationsplattformen,

Onlinespeicheranbieter und

Kommunikationsplattformen genauer aufgeführt.

Fußleiste