NAS Server in Schule

    Zitat von UpSpin

    Das sind Schuldaten und keine personenbezogene Daten.

    Das kann man so pauschal nicht sagen. Denn


    Zitat
    Nach europäischem Recht und Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben.

    Quelle


    Entsprechend kann man nie so genau sagen, was alles gespeichert wird. Aus diesem Grund darf auch eine Lehrperson nicht einfach auf die Daten der Schüler zugreifen.

    Zitat von UpSpin

    In jeder Firma hat der Admin Zugriff auf die Nutzerdaten.

    Das ist technisch gesehen korrekt, heißt aber lange nicht, dass das erlaubt ist. Wenn ein Mitarbeiter zum Beispiel die Firma verlässt und ein Zugriff auf die Daten erforderlich ist, geht meistens ein langer Fackelzug über Abteilungsleiter/Geschäftsführung, Betriebsrat und Datenschutzbeauftragter los. Letzten Endes sitzen meistens diese drei Instanzen mit dem Administrator hinter einem Bildschirm und kontrollieren sich gegenseitig. Wird das missachtet, kann auf die betreffenden Personen und den Betrieb viel ärger zu kommen. Gerade bei den neuen Regelungen in der DSGVO kann ein Unternehmen mit den entstehenden Geldstrafen Bankrott gehen.


    Gruß,

    Eric

    Ich denke, die Frage nach Datenschutz und Privatsphäre wird der Datenschutzbeauftragte in Bezug auf das geplante Vorhaben von Cloud77 beantworten.


    Nehmen wir mal an, es kommt zu einer Umsetzung des Vorhabens auf einem Nas-System. Ich denke, dass es notwendig sein wird, die Eltern darüber zu informieren, dass der nutzbare Datenspeicher lediglich für die zu erledigenden Aufgaben genutzt werden darf und die Lehrer jederzeit auf die Daten Zugriff haben. Dazu müsste man sich dann zumindest die Kenntnisnahme, vielleicht sogar eine Einverständniserklärung unterschreiben lassen.


    Natürlich enthalten auch Hausaufgaben/Fachaufgaben persönliche Daten der Schüler. Zum Teil sogar sehr detailliert. Nehmen wir ein Beispiel aus dem Biologie-Unterricht: Familienstammbaum erstellen.


    Würde das Nas-System korrumpiert werden, wäre die Schule nach der DSGVO verpflichtet die Betroffenen möglichst detailliert zu unterrichten. Mit Nas mal eben platt machen und wieder neuaufsetzen ist es nicht getan.


    Man muss halt abwägen, welche Verantwortung man sich aufladen möchte. Bei meinen Kids findet der Datenaustauch zwischen Zuhause und Schule noch "oldschool" mit USB-Sticks statt.

    Vielen Dank für die zahlreichen Kommentare und Hinweise zu meinem Vorhaben!


    Zitat von UpSpin


    Eine VPN Verbindung erfüllt nicht das, was Cloud77 will, nämlich, dass die Schüler von zu Hause darauf zugreifen können.

    Es ist schon richtig: das Non-Plus Ultra wäre eine es schon, wenn der Zugriff bzw vor allem das Hochladen auch von Zuhause funktionieren würde. Allerdings freunde ich mich immer mehr mit der VPN Lösung an, denn:

    Der Server soll ja OneNote2016 Notizbücher speichern.

    Zitat von Cloud77


    Auf den Server werden die Notizbücher von OneNote 2016 gelegt. Man kann OneNote ja auch ohne Verbindung (also nur mit lokalen Dateien) nutzen. Diese würden dann Synchronisiert werden, wenn man in der Schule ist, OneNote öffnet und sich mit dem WLan verbindet.

    Was sonst so gespeicht wird kann ja durchaus wie bei jedem anderen Schüler auch bei Iserv in seinem persönlichen Dateibereich bleiben. Ich denke ich werde es so machen.

    Die Diskussion hier hat mich sehr viel weiter gebracht.


    Ich brauche eventuell noch Ratschläge, wie ich den NAS genau zusammensetzen soll und welche Möglichkeiten die Software in Sachen inkrementelles Backup biete. Dafür mache ich aber noch ein neuen Thema auf.

    Cloud77

    Ich nehme mal an, das ihr schon Microsoft Education verwendet. Gibt es für das was Du machen möchtest nicht eine Lösung von Microsoft die im besten Fall gratis zur Verfügung gestellt wird? Es dürfte ja zumindest gratis 25TB pro Lehrkraft geben, eventuell gibt es auch was für gemeinsames Arbeiten? Sharepoint für die Laptopklasse?

    Zitat von Indriga

    Das kann man so pauschal nicht sagen. Denn

    Doch kann ich, denn zumindest in BW ist das recht klar, in anderen Bundesländern sicherlich ähnlich:

    https://it.kultus-bw.de/site/p…Architektur%20Schulen.pdf

    Dort wird zwischen drei Netzen im Idealfall unterschieden, auf jeden Fall jedoch zwischen zwei Netzen, dem Netz auf das Schüler von ihren Station zugreifen können und dem Netz in dem personenbezogene Daten verarbeitet werden. Im Netz der Schüler wird es nicht! Daher braucht man dort auch keine 2FA, d.h. bei ihm werden keine personenbezogene Daten verarbeitet. Wenn nun eine Lehrkraft dennoch Noten dort abspeichert, dann ist das ein Verstoß. Wenn Schüler dort ihre Hausaufgaben ablegen, so sind dies keine personenbezogene Daten. Wenn die Lehrkraft dort hinein aber deren Noten speichert, so sind es wieder personenbezogene Daten.


    Zitat von Indriga

    Wenn ein Mitarbeiter zum Beispiel die Firma verlässt und ein Zugriff auf die Daten erforderlich ist, geht meistens ein langer Fackelzug

    Kommt ganz darauf an, auf welche Daten. Natürlich darft man keinen Bowserverlauf, ... einsehen. Sind es aber Teamporjekte, was bei den Schülern es immer der Fall ist, im kleinsten Fall ein zwei-Mann Team bestehende aus Schüler und Lehrer, sollten die anderen Teammitglieder wohl darauf zugreifen dürfen!


    Zitat von phoneo

    Ich denke, dass es notwendig sein wird, die Eltern darüber zu informieren, dass der nutzbare Datenspeicher lediglich für die zu erledigenden Aufgaben genutzt werden darf und die Lehrer jederzeit auf die Daten Zugriff haben.

    Wie schon gesagt, da es bei ihm keine 2FA gibt, sollte es in seinem Schulnetz schon jetzt so der Fall sein.


    Zitat von phoneo

    Natürlich enthalten auch Hausaufgaben/Fachaufgaben persönliche Daten der Schüler. Zum Teil sogar sehr detailliert. Nehmen wir ein Beispiel aus dem Biologie-Unterricht: Familienstammbaum erstellen.

    Da gebe ich dir recht. Und irgendwann kommt man an einen Punkt an, da sagt man dann: Dann lass ich es eben, weil es nicht umsetzbar ist. Hier ist so ein Punkt. Das ist nicht umsetzbar, ohne einen Aufwand zu betreiben, der keine Schule, kein Schüler und kein Lehrer mehr leisten kann. Und wenn man dann sieht, dass das Dokument vom Schüler mit Office 365 auf US Servern erstellt wurde, wie PuraVida auch noch als Vorschlag bringt, sagt man sich ihr spinnt ja.


    Zitat von phoneo

    Bei meinen Kids findet der Datenaustauch zwischen Zuhause und Schule noch "oldschool" mit USB-Sticks statt.

    Was wohl der unsicherste Weg überhaupt ist. Es sei denn, der USB Stick ist verschlüsselt, was kaum der Fall ist, da die wenigsten eine Ahnung davon haben und es die Nutzung des Sticks ungemein erschwert. Oder wie ist der Stick gegen Diebstahl, vergessen lassen, verloren gehen geschützt? Oder ist der Stammbaum darauf einzeln verschlüsselt?

    Der Unterschied ist, dass es in der Verantwortung des Schülers liegt, wenn ihm der Stick abhanden kommt. Wenn das Nas gekapert wird, liegt die Verantwortung bei der Schule. Der entstandene "Schaden" wäre dann um ein Vielfaches größer.


    Sei es drum. Der Drops ist gelutscht. Cloud77 hat sich für eine Nas-Lösung entschieden.

    Ich finde solche Themen wie dieses hier interessant. Ich beanspruche aber weder den Stein der Weisen zu besitzen, noch liegt es mir fern andere von meiner Meinung überzeugen zu wollen. Obwohl ich eigentlich sehr gerne diskutiere ...;)

    Zitat von UpSpin

    Dort wird zwischen drei Netzen im Idealfall unterschieden, auf jeden Fall jedoch zwischen zwei Netzen, dem Netz auf das Schüler von ihren Station zugreifen können und dem Netz in dem personenbezogene Daten verarbeitet werden. Im Netz der Schüler wird es nicht!

    Das Schaubild ist ja von der angehenden Planung her in Ordnung, hält aber trotzdem keinen Schüler davon ab dort Daten zu speichern. Im Schaubild steht, dass dort personenbezogene Daten nicht verarbeitet werden dürfen. Dort wird aber zumindest mit dem Satz nicht verboten, dass sie dort abgelegt werden dürfen. Wenn auf solche Daten Zugriff von Administratoren / Lehrern oder ähnlichen Personen besteht, fällt das ganz klar unters Datenschutzrecht.

    Zitat von UpSpin

    Sind es aber Teamporjekte, was bei den Schülern es immer der Fall ist, im kleinsten Fall ein zwei-Mann Team bestehende aus Schüler und Lehrer, sollten die anderen Teammitglieder wohl darauf zugreifen dürfen!

    Korrekt - es handelt sich hier um zweierlei Schuhe, die vorher noch nicht erwähnt wurden. In dem Fall dürfen die Teammitglieder natürlich die Daten einsehen. Hier entscheiden die Macher eines Projektes wer auf den Ordner zugreifen darf. Auch hier bleibt es aber dabei, dass wenn hier Zugriff durch einen Lehrer ohne Einverständnis erfolgt, dass unter Datenschutz fällt.

    Das ganze könnte sich vielleicht entschärfen lassen wenn die Schüler eine entsprechende Erklärung unterschreiben müssen in der erläutert wird, dass auf die Daten bei Bedarf von außen zugegriffen werden darf. In wie weit das rechtlich Bestand hat, kann ich aber nicht beantworten.


    Zitat von UpSpin

    Und wenn man dann sieht, dass das Dokument vom Schüler mit Office 365 auf US Servern erstellt wurde, wie PuraVida auch noch als Vorschlag bringt, sagt man sich ihr spinnt ja.

    Bei der Erstellung eines Office 365 Tenants gibt man an, wo die die Daten gespeichert werden sollen. Gibt man Europa an, bleiben die Daten auch in europäischen Rechenzentren. Mal davon abgesehen, dass Microsoft Millionen für die Datensicherheit investiert. Wer sich mal angesehen hat wie die Rechenzentren abgesichert werden wird feststellen, dass man das mit einer einfachen QNAP bzw. einem eigenen Rechenzentrum / Serverraum bei weitem nicht abbilden kann.

    Zitat von phoneo

    Der Unterschied ist, dass es in der Verantwortung des Schülers liegt, wenn ihm der Stick abhanden kommt. Wenn das Nas gekapert wird, liegt die Verantwortung bei der Schule. Der entstandene "Schaden" wäre dann um ein Vielfaches größer.

    So ist es. In meiner Schulzeit hatte ich auch immer einen Stick in der Tasche auf dem sämtliche Schuldaten und manchmal auch der ein oder andere Schwachsinn gespeichert waren. Damit lag es in meiner Verantwortung, dass ich das Gerät vor Diebstahl schütze, bzw. dabei habe wenn ein Referat gehalten wird.



    Wie phoneo schon meint, sind Diskussionen gut, aber irgendwann ist alles gesagt.


    Als Abschluss möchte ich nochmal mitgeben, dass ich durch die eigene IT-Rechtsabteilung bei uns im Systemhaus sehe, wie verdammt aufwändig es ist, ein Unternehmen, eine Schule oder sonst eine Organisation nach DSGVO abzusichern. Das Thema sollte und darf nicht auf die leichte Schulter genommen werden. Wer hier Sicherheit haben will bzw. haben muss, benötigt eine Beratung durch einen Datenschutzbeauftragten.



    Gruß,

    Eric

    Interessant, aber das hattest du ursprünglich kaum meinen können, denn der Threadersteller will nun eine Lösung und nicht erst im ersten Quartal 2020 und das ist dann auch nicht mehr Office 365 sondern Office 365 Deutschland für das evtl. gesonderte Lizenzen nötig sind, da es ein unabhängiges Produkt darstellen soll, so wie ich es verstanden habe.


    Zitat von Indriga

    So ist es. In meiner Schulzeit hatte ich auch immer einen Stick in der Tasche auf dem sämtliche Schuldaten und manchmal auch der ein oder andere Schwachsinn gespeichert waren. Damit lag es in meiner Verantwortung, dass ich das Gerät vor Diebstahl schütze, bzw. dabei habe wenn ein Referat gehalten wird.

    Es geht aber nicht darum, was ein Schüler macht, sondern darum, was die Lehrkraft macht und vom Schüler erwartet. Und die Lehrkraft darf da drauf keine personenbezogene Daten verarbeiten. Sie darf sie auch nicht auf einem unverschlüsseltem USB Stick herumtragen. Oder auf einem unverschlüsseltem Laptop.


    Ihr habt keine Ahnung was in eurem System gespeichert ist. Trojaner, Pornos, ... Das ist kein privater Speicher eines Schülers der damit, wie es bei euch momentan ist, tun und machen kann was er will. Das ist der Speicher eurer Schule und ihr seid dafür verantwortlich. Wenn von eurer Schule aus ein Waffenhandel gemacht wird, dann müsst ihr die Kette zum Schüler zurückverfolgen können, was ihr hoffenltich mit einer inhaltsbasierten Firewall auch könnt. (hier kommt dann der Affenzirkus von dem zuvor mal die Rede war und das darfst du natürlich nicht machen dürfen/können). Und wenn dann auf eurem Server die dazu nötigen Daten lagern, dann wird man euch fragen, wie so etwas möglich ist.


    Ich verstehe nur eine Sache nicht: Auf der einen Seite wird an alles mögliche gedacht um ja alles Gesetzeskonform zu machen, auf der anderen Seite werden Dinge (verloren gegangen unverschlüsselte USB Sticks, keine Kontrolle über den Schuleigenen Speicher) gut geredet, die einfach zehn mal schlimmer sind.

    Einmal editiert, zuletzt von UpSpin ()

    Ich habe es weder speziell gemeint noch speziell nicht gemeint. Nachdem ich weder Lehrer bin noch Schüler kann ich das alles nicht nutzen und bei vielen Dingen steht auf der Microsoft Seite, dass man als Schule den Vertrieb kontaktieren soll. Was ich auch nicht kann.


    Es war also mehr als Erinnerung für den TE gedacht damit er sich dort schlau machen kann. Soweit ich das gesehen habe ist das alles für Schulen so gut wie kostenlos.


    Und nachdem ich vor kurzem erst selbst MS 365 abgeschlossen habe wusste ich, dass es MS 365 Deutschland gibt.

    Zitat von PuraVida

    Soweit ich das gesehen habe ist das alles für Schulen so gut wie kostenlos.

    Nein, die Schulen müssen dafür jährlich zahlen und haben dafür meist einen sogenannten FWU Vertrag abgeschlossen, damit es für die Schüler und Lehrer "kostenlos" wird.