Metainformationen zur Seite
Datenschutzkonforme Konfiguration dienstlicher iPads
Zurzeit gibt es kein abgestimmtes Verfahren in Niedersachsen. Die Inhalte dieser Seite sind lediglich Empfehlungen, die von einem Dokument von https://www.datenschutz-schule.info übernommen wurde, bzw. es bildete die Basis für die Inhalte.
Eine Abstimmung mit dem RLSB oder Überprüfung durch die LfD hat nicht stattgefunden.
Ich erhoffe mir, durch die Nutzung dieser umfangreichen Vorarbeit Bewegung in die Diskussion zu bringen.
Die Inhalte gehen auf eine Vorlage von Dirk Thiede ( @damianduchamps ) zurück. Sie stehen unter einer CC-BY-Lizenz. Die Nennung des Urhebers hat in Form einer Verlinkung auf https://www.datenschutz-schule.info zu erfolgen.
Ich trenne die konkreten Einstellungen nach Schutzstufen vom übrigen Dokument. Die allgemeinen Aussagen und Beurteilungen gelten für jedes denkbare MDM. Das ermöglicht eine tabellarische Übersicht der Einstellungen bei den Payloads, die schnell und auf einen Blick übernommen werden kann. Zudem lassen sich so leichter Einstellungen für weitere MDM-Systeme einarbeiten und bereitstellen.
Was sind dienstliche iPads?
Dienstliche iPads haben den Status eines Dienstgerätes. In der Schulverwaltung von Niedersachsen gibt es dienstliche iPads mit einer geprüften Konfiguration für die Bedürfnisse der Verwaltung. Im Gegensatz zu einem privaten iPad ist die lokale Speicherung dienstlicher Daten darauf möglich. Für den Einsatz dienstlicher iPads an öffentlichen Schulen fehlt eine solche geprüfte Konfiguration.
iPads aus dem Förderprogramm „Leihgeräte für Lehrkräfte“ sind privaten Geräten gleichgestellt, dürfen also formal in Niedersachsen nicht als Dienstgeräte konfiguriert werden. Auf durch den Digitalpakt finanzierten Geräten dürfen daher keine dienstlichen Daten lokal gespeichert werden. Der Einsatz als reines Zugangsgerät zu einer DS-GVO-konform eingeführten Onlineplattform ist hingegen möglich.
Die lokale Speicherung dienstlicher Daten ist jedoch denkbar bei iPads, die von den Trägern selbst finanziert werden. Die Hinweise dieser Seite sollen zeigen und dabei unterstützen, wie das technisch realisiert werden kann. Die rechtliche Absicherung einer solchen Konfiguration muss durch die Justitiare der RLSB erfolgen. Diese Prüfung ist nicht erfolgt. Daher kann über die Rechtssicherheit der hier gezeigten Überlegungen keine fundierte Aussage getroffen werden.
Ohne rechtliche Absicherung durch die RLSB kann Schulträgern und Schulen derzeit nur dringend empfohlen werden, von einem Einsatz der Geräte aus dem Förderprogramm „Leihgeräte für Lehrkräfte“, der über die im Erlass "Verarbeitung personenbezogener Daten auf privaten Informationstechnischen Systemen (IT-Systemen) von Lehrkräften" definierten Regelungen hinausgeht, abzusehen.
Planungen zum Aufbau des Bereiches
Dokument | Link |
---|---|
Übersicht über die zugrundeliegenden Überlegungen | Allgemeine Überlegungen |
Nicht technische Maßnahmen | Organisatorische Maßnahmen |
Tipps zur praktischen Umsetzungen | Praktische Tipps |
Zuordnung von Daten zu Schutzstufen | Das Schutzstufenmodell |
Umsetzung (Profilkonfigurationen) für Apple Configurator 2 | Umsetzung (Beispielkonfiguration) für den Configurator 2 |
Umsetzung (Profilkonfigurationen) für Jamf School | Umsetzung (Beispielkonfiguration) für Jamf School |
Umsetzung (Profilkonfigurationen) für Relution | Umsetzung (Beispielkonfiguration) für Relution |
Umsetzung (Profilkonfigurationen) für IServ | Umsetzung (Beispielkonfiguration) für IServ |
Ressourcen
Empfehlungen des BSI
- AllgemeinBSI-Grundschutz-Kompendium
- dazu - Umsetzungshinweis INF.9 Mobiler Arbeitsplatz (Edition 2020)
- BSI SYS.3.2.3 iOS (for Enterprise)
- und dazu UH_SYS_3_2_3_iOS_CD.pdf
Andere
- Apple Developer - Device Management Restrictions
- National Cyber Security Centre - End user device (EUD) security guidance
- CIS - CIS Apple iOS 12 Benchmark (für iOS 14 nach Anmeldung verfügbar)