Schulen, die iPads einsetzen, stehen vor einer großen Herausforderung. Wie sollen sie ihre datenschutzrechtlichen Pflichten gegenüber Schüler*innen und Lehrkräften erfüllen? Vertragsunterlagen und Datenschutzrichtlinie des US-Konzerns Apple legen nahe, dass auf dem iPad erfasste Nutzungsdaten über die iCloud auch in die USA übermittelt werden, weil Apple sie zur Produktentwicklung verwenden möchte. Schulen ist es aber nicht erlaubt, Nutzungsdaten einem Unternehmen für eigene Zwecke zur Verfügung zu stellen. Darüber hinaus gibt es Hinweise auf eine Datenübermittlung in weitere Drittländer ohne angemessenes Datenschutzniveau.
„Schulen und Schulträger, die iPads einsetzen wollen, sind damit faktisch nicht in der Lage, die Kontrolle über die Verarbeitung der Daten von Schüler*innen und Lehrkräften zu gewährleisten, wenn sie die iCloud uneingeschränkt nutzen“, betont die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW, Bettina Gayk. „Wir beteiligen uns aber an konstruktiven Gesprächen mit Apple, um hier auf Dauer eine Lösung zu schaffen.“
Die Übermittlung personenbezogener Daten in die USA und damit auch die Verarbeitung zu eigenen Zwecken durch Apple lässt sich weitestgehend verhindern, wenn die iPads ohne Nutzung der iCloud-Funktionalitäten eingerichtet werden. In diesem Fall sind aber zusätzliche Maßnahmen erforderlich, um Datenverluste zu vermeiden, da das iCloud-Backup dann nicht zur Verfügung steht. Die Beauftragte empfiehlt, bis auf Weiteres datenschutzfreundlichere Anwendungen für ein Backup zu verwenden. So kann die Nutzung alternativer Clouds in Betracht kommen. „Die Datenschutzkonferenz hat Kriterien für Souveräne Clouds aufgestellt, die bei der Auswahl eines geeigneten Cloud-Anbieters herangezogen werden können“, so Gayk. Die Datenschutzkonferenz ist der Zusammenschluss der Datenschutzaufsichtsbehörden von Bund und Ländern.
Alternativ bleiben ansonsten nur sehr aufwändige Lösungen, um die Schuldaten zu schützen. Dazu muss mit pseudonymen Accounts und verschlüsselten Inhaltsdaten gearbeitet werden, auf die Apple keinen Zugriff hat. „Das Problem besteht darin, dass die Schulen aufgrund der vertraglichen Regelungen, die sich Apple derzeit noch vorbehält, ihrer eigenen Verantwortung zum Schutz der Daten der Schüler*innen und Lehrkräfte nicht gerecht werden können,“ erläutert die Landesbeauftragte. Deswegen müssten sie technische umständlichere Lösungen nutzen, solange Apple nicht für Schulen geeignete Verträge anbietet. „In unseren Gesprächen hat Apple allerdings zugesagt, neue Verträge vorzulegen. Insofern hoffe ich, dass auch die iCloud-Nutzung bald möglich sein wird.“
Die geschilderten Probleme haben im Übrigen nicht nur Schulen, sondern die gesamte Verwaltung, die Geräte oder Programme nutzt, bei denen die Anbieter für eigene Zwecke auf Nutzungsdaten zugreifen wollen. Die öffentliche Verwaltung darf personenbeziehbare Nutzungsdaten, die bei ihrer Aufgabenerfüllung entstehen, nicht für Unternehmenszwecke weitergeben.
Wer weitere Hinweise zu dem Thema sucht, findet ab Seite 48 des neuesten Tätigkeitsberichts der LDI NRW eine ausführliche Darstellung dazu, welche Regeln Schulen und Schulträger beim Einsatz von iPads kennen und einhalten sollten.