Die ursprüngliche Textfassung wurde erstellt unter CC-BY-Lizenz, Quellenangabe: https://www.datenschutz-schule.info
Welche Maßnahmen insgesamt getroffen werden müssen, um die Verarbeitung von personenbezogenen Daten auf dienstlich genutzten iPads abzusichern, hängt, wie oben beschrieben, von verschiedenen Faktoren ab. Sollen Lehrkräfte mit von der Schule zugewiesenen managed Apple IDs arbeiten? Möchte man Lehrkräften die Nutzung von privaten Apple IDs und die Installation von privat erworbenen Apps gestatten? Soll iCloud durch die Möglichkeiten des MDM maximal eingeschränkt bzw. deaktiviert werden oder soll iCloud für unterrichtliche Zwecke eingesetzt werden? Soll es möglich sein, auf den iPads dienstliche E-Mails lokal abzurufen?
Technische Maßnahmen alleine können eine sichere und datenschutzkonforme Verarbeitung von personenbezogenen Daten auf den dienstlichen Endgeräte nicht gewährleisten. Sie müssen immer auch von organisatorischen Maßnahmen ergänzt werden. Je weniger durch Einschränkungen über das MDM in die Funktionen des dienstlichen iPads eingegriffen wird, etwa um die pädagogische Nutzbarkeit der dienstlichen iPads nicht zu sehr einzuschränken, desto mehr Bedeutung gewinnen organisatorische Maßnahmen, um dadurch entstehende Risiken für die auf dem Gerät verarbeiteten personenbezogenen Daten einzuschränken. Dabei ergänzen sich verschiedene Formen von organisatorischen Maßnahmen.
Auch wenn viele Lehrkräfte privat ein iPhone oder iPad nutzen, so kann von durchschnittlichen Nutzern nicht erwartet werden, dass sie ausreichende Kenntnisse haben, wie ein iPad sicher genutzt wird. Lehrkräfte, die privat andere Smartphones oder Tablets nutzen, kennen sich mit iOS vielfach gar nicht aus. Deshalb sind Schulungen und praktische Unterstützung bei der Umsetzung der Vorgaben ein essentieller Bestandteil des gesamten Konzeptes zum Schutz und zur Sicherheit der Verarbeitung von personenbezogenen Daten auf dienstlichen iPads. Wer Lehrkräfte hier alleine stehen lässt, kann nicht erwarten, dass Lehrkräfte ihrer Verantwortung gerecht werden können. Eine Dienstanweisung alleine reicht nicht. Das sollte allen Beteiligten klar sein. Der Erfolg des Einsatzes von dienstlichen iPads im Sinne der Richtlinie wird nicht zuletzt auch wesentlich davon abhängen, wie gut Schule und Schulträger ihre Lehrkräfte hier unterstützen.
In Schulungen lernen Lehrkräfte, wie sie ein iPad sicher benutzen. Dazu gehören je nach zulässigem Nutzungsszenario:
In Praxis Workshops werden die Lehrkräfte an die Hand genommen, welche praktische Hilfe bei der Umsetzung der Vorgaben zur Wahrung von Datenschutz und Datensicherheit für die auf den dienstlichen iPads verarbeiteten personenbezogenen Daten, benötigen. Dazu gehören je nach zulässigem Nutzungsszenario folgende Inhalte:
Schulleitungen sollten über eine Dienstanweisung rechtlich verbindliche Vorgaben für die Nutzung der dienstlichen iPads machen. Damit ergänzen und präzisieren sie die Nutzungsvereinbarungen der Schulträger und sichern sich darüber hinaus in datenschutzrechtlicher Hinsicht als Verantwortliche zusätzlich ab. Mit einer Dienstanweisung werden den Lehrkräften verbindliche Vorgaben gemacht, welche Einstellungen sie als Nutzer der dienstlichen iPads treffen müssen, um die Vorgaben durch das MDM zu ergänzen, wo das MDM selbst keine Einflussmöglichkeiten hat. Bestimmt werden muss außerdem, welche Arten von personenbezogenen Daten in welchen Apps verarbeitet werden dürfen und, falls erforderlich, welche Daten in verwalteten und welche in nicht verwalteten Apps verarbeitet werden dürfen. Geregelt werden kann in einer Dienstanweisung auch, welche Apps Lehrkräfte zur Verarbeitung von personenbezogenen Daten installieren und nutzen dürfen bzw. über welches Verfahren eine Zulässigkeit bestimmt wird. Da das MDM keinen Einfluss auf Sicherheitsfunktionen von Apps selbst hat, sind auch hier Vorgaben zu machen. Dazu gehört die Verpflichtung, den Zugriffsschutz zu den im App verarbeiteten Daten durch Passwort und/ oder Touch ID zu sichern.