Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Montag, 31. Juli 2017

7: FAQ - Häufig gestellte Fragen

Warum wird die Zwei-Faktor-Authentifizierung (2FA) beim Einsatz eines digitalen Klassen- und Notizbuchs in der Schule verlangt?

Für den Einsatz eines digitalen Klassen- und Notizbuchs (Anwendung) schreibt § 17 Abs. 2 Nr. 3 Schul-Datenschutzverordnung (SchulDSVO) den Identitätsnachweis der Nutzerin oder des Nutzers (z. B. der Lehrkraft) mittels einer Kombination von mindestens zwei verschiedenen und unabhängigen Komponenten vor.

Der Zugang zu den Daten ist damit nur mit zwei verschiedenen informationstechnischen Geräten möglich.

Beispiel:

Mittels eines Desktop-Rechners, eines Tablets oder eines Notebooks (worüber Login und Passwort eingegeben werden) wird die Anwendung in einem Webbrowser aufgerufen und das Login und das Passwort eingegeben. Mit z. B. einem Smart­phone wird dann eine PIN erzeugt, die zusätzlich eingegeben werden muss.

Wenn eine Schule ein digitales Klassen- und Notizbuch anstelle des klassischen Klassenbuches einsetzt, muss sichergestellt werden, dass die dort vorgenommenen Eintragungen nur von den dazu befugten Lehrkräften erfolgen und nicht durch Unbefugte manipuliert werden können. Im papierenen Klassenbuch lassen sich Fälschungsversuche leicht feststellen. Wenn z. B. eine Schülerin oder ein Schüler versuchen sollte, den Eintrag über ein Unterrichtsversäumnis zu entfernen, dürfte dies schon mit etwas Aufwand verbunden sein, um diese Manipulation nicht erkennbar zu machen. Sind diese Daten aber elektronisch gespeichert, erhöht sich das Risiko der Manipulation.

Im digitalen Klassen- und Notizbuch können weitere personenbezogene Daten bereitgestellt werden, die im papierenen Klassenbuch nicht gespeichert werden dürfen, weil das klassische Klassenbuch vor dem Zugang der (unbefugten) Schülerinnen und Schüler oder anderer Personen nicht ausreichend geschützt werden kann.

Im digitalen Klassen- und Notizbuch dürfen neben den Namen der Schülerinnen und Schüler auch komplette Adressdaten (Namen der Eltern mit Wohnadresse einschließlich privater Telefonnummern und E-Mail-Adressen) gespeichert werden. Abhängig vom gewählten Funktionsumfang, können auch von den Lehrkräften vergebene Zwischennoten und weitere Bemerkungen zum Leistungsverhalten der Schülerinnen und Schüler gespeichert werden. Das digitale Klassen- und Notizbuch kann dann sogar den klassischen Lehrerkalender ersetzen.

Da digitale Klassen- und Notizbücher wie z. B. WebUntis Klassenbuch als Webanwendung über das Internet erreichbar sind, hat sich das Bildungsministerium als Verordnungsgeber entschlossen, dem Rat des ULD zu folgen und mit § 17 Abs. 2 Nr. 3 SchulDSVO eine 2FA zum Schutz der im digitalen Klassenbuch gespeicherten personenbezogenen Daten vorzuschreiben.

Diese Vorgabe ist dem Umstand geschuldet, dass der größte Risikofaktor bei der Nutzung von informationstechnischen Geräten immer der Mensch ist.

Der Einsatz eines digitalen Klassen- und Notizbuchs ist im Schulalltag nur dann sinnvoll, wenn die Lehrkräfte mit unterschiedlichen informationstechnischen Geräten auf die Anwendung zugreifen können. Die IT-Ausstattung in den Schulen ist heterogen. Schulen haben in den Klassenräumen z. B. einen Desktop-Rechner für die Lehrkraft, der mit dem Internet verbunden ist. Andere Schulen statten ihre Lehrkräfte mit Tablets oder Notebooks aus, die über WLAN mit dem Internet verbunden sind. Daneben nutzen Lehrkräfte von der Schulleitung nach § 18 SchulDSVO genehmigte private informationstechnische Geräte (Tablets, Notebooks, Smartphones) für dienstliche Zwecke.

Wird in der Schule z. B. im Klassenraum während des Unterrichts von der Lehrkraft auf das digitale Klassen- und Notizbuch zugegriffen, ist nicht auszuschließen, dass sich Schülerinnen oder Schüler durch geschicktes Vorgehen Kenntnis über die Zugangsdaten (z. B. Schulterblick bei der Eingabe von Login und Passwort durch die Lehrkraft) verschaffen. Würde kein zweiter Faktor zum Schutz des Zugangs eingesetzt werden, könnte sich die Schülerin oder der Schüler in Kenntnis der Zugangsdaten jederzeit mit jedem beliebigen Gerät Zugriff auf die gespeicherten Daten verschaffen.

Da solche Szenarien nicht auszuschließen sind, wurde der Einsatz der 2FA zum Schutz der personenbezogenen Daten in digitalen Klassen- und Notizbüchern als zwingend notwendig angesehen.

Häufig wird aus den Schulen, die bereits das digitale Klassen- und Notizbuch im Pilotbetrieb einsetzen, zurückgemeldet, dass viele Lehrkräfte die 2FA als lästig und umständlich empfinden und damit argumentieren, sie müssten so etwas im Privatbereich auch nicht einsetzen.

Diese Reaktion zeigt, dass es diesen Lehrkräften offensichtlich nicht bewusst ist, dass sie solche Verfahren bereits seit langem im Alltag benutzen.

Wikipedia (https://de.wikipedia.org/wiki/Zwei-Faktor-Authentifizierung) beschreibt die 2FA folgendermaßen:

„Die Zwei-Faktor-Authentifizierung (2FA) dient dem Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Das kann typischerweise etwas sein, das er weiß, etwas, das er besitzt, oder etwas, das untrennbar zu ihm gehört. Aus dem Alltag ist dies zum Beispiel vom Geldautomaten bekannt. Erst die Kombination aus Bankkarte und PIN ermöglicht die Transaktion.“

Die Nutzung von Geldautomaten ist mittlerweile für jeden Kontoinhaber selbstverständlich. Aber auch beim Online-Banking wird mit zwei Faktoren gearbeitet.

Die 2FA ist also im Alltag längst geübte Praxis!

Große Internet-Dienstleister bieten mittlerweile ebenfalls die 2FA zum Schutz der Daten ihrer Kunden an. Dieses Angebot nehmen immer mehr Kunden in Anspruch, weil sie die zunehmenden Risiken (z. B. durch Hackerangriffe) für ihre eigenen Daten (z. B. Kontodaten, Kreditkartendaten, andere Daten wie private Bilder usw.) erkannt haben.

Deshalb ist es also nicht außergewöhnlich, wenn die personenbezogenen Daten der Schülerinnen und Schüler im digitalen Klassen- und Notizbuch ebenfalls durch eine 2FA gewährleistet wird.

Diese Vorgehensweise ist auch dem Umstand geschuldet, dass die Betroffenen verpflichtet sind, die für die Schule erforderlichen personenbezogenen Daten mitzuteilen. Die Schule verarbeitet diese personenbezogenen Daten der Schülerinnen und Schüler aufgrund der Regelungen des Schulgesetzes und der Schul-Datenschutz-verordnung. Damit wird das Recht auf informationelle Selbstbestimmung der Betroffenen berührt.

Um diesen Eingriff in die Grundrechte der Betroffenen „auszubalancieren“, trifft die Schulen die Verpflichtung, sicherzustellen, dass die personenbezogenen Daten nur Befugten zugänglich sind. Insbesondere im Hinblick darauf, dass im digitalen Klassen- und Notizbuch neben Adressdaten auch Daten über das Leistungsverhalten gespeichert werden können, die ansonsten elektronisch grundsätzlich nur in der Schulverwaltung auf Landesnetzrechnern verarbeitet werden dürfen, bedarf es für die Webanwendung ein höheres Maß an Datensicherheit. Dies wird durch die 2FA erreicht.