Welche Maßnahmen insgesamt getroffen werden müssen, um die Verarbeitung von personenbezogenen Daten auf dienstlich genutzten iPads abzusichern, hängt, wie oben beschrieben, von verschiedenen Faktoren ab. Sollen Lehrkräfte mit von der Schule zugewiesenen managed Apple IDs arbeiten? Möchte man Lehrkräften die Nutzung von privaten Apple IDs und die Installation von privat erworbenen Apps gestatten? Soll iCloud durch die Möglichkeiten des MDM maximal eingeschränkt bzw. deaktiviert werden oder soll iCloud für unterrichtliche Zwecke eingesetzt werden? Soll es möglich sein, auf den iPads dienstliche E-Mails lokal abzurufen?

Technische Maßnahmen alleine können eine sichere und datenschutzkonforme Verarbeitung von personenbezogenen Daten auf den dienstlichen Endgeräte nicht gewährleisten. Sie müssen immer auch von organisatorischen Maßnahmen ergänzt werden. Je weniger durch Einschränkungen über das MDM in die Funktionen des dienstlichen iPads eingegriffen wird, etwa um die pädagogische Nutzbarkeit der dienstlichen iPads nicht zu sehr einzuschränken, desto mehr Bedeutung gewinnen organisatorische Maßnahmen, um dadurch entstehende Risiken für die auf dem Gerät verarbeiteten personenbezogenen Daten einzuschränken. Dabei ergänzen sich verschiedene Formen von organisatorischen Maßnahmen.

Auch wenn viele Lehrkräfte privat ein iPhone oder iPad nutzen, so kann von durchschnittlichen Nutzern nicht erwartet werden, dass sie ausreichende Kenntnisse haben, wie ein iPad sicher genutzt wird. Lehrkräfte, die privat andere Smartphones oder Tablets nutzen, kennen sich mit iOS vielfach gar nicht aus. Deshalb sind Schulungen und praktische Unterstützung bei der Umsetzung der Vorgaben ein essentieller Bestandteil des gesamten Konzeptes zum Schutz und zur Sicherheit der Verarbeitung von personenbezogenen Daten auf dienstlichen iPads. Wer Lehrkräfte hier alleine stehen lässt, kann nicht erwarten, dass Lehrkräfte ihrer Verantwortung gerecht werden können. Eine Dienstanweisung alleine reicht nicht. Das sollte allen Beteiligten klar sein. Der Erfolg des Einsatzes von dienstlichen iPads im Sinne der Richtlinie wird nicht zuletzt auch wesentlich davon abhängen, wie gut Schule und Schulträger ihre Lehrkräfte hier unterstützen.

In Schulungen lernen Lehrkräfte, wie sie ein iPad sicher benutzen. Dazu gehören je nach zulässigem Nutzungsszenario:

• Sicherheitsfunktionen des iPads,
• iCloud und Datenschutz,
• Von Lehrkräften umzusetzende Maßnahmen zum Schutz und zur Sicherheit der Verarbeitung von personenbezogenen Daten auf dem Dienstgerät,
• Welche Daten dürfen auf dem dienstlichen iPad verarbeitet werden und wie müssen sie geschützt werden. Klassifizierung von Daten nach Schutzbedarf.
• Zulässige und unzulässige Verarbeitung von personenbezogenen Daten auf dem dienstlichen iPad,
• Trennung von Unterricht (pädagogische Daten) von pädagogischer Dokumentation und schulinterner Verwaltung,
• Schutz von privaten Apple Kontos, um schulische Daten zu schützen,
• Kriterien für die Auswahl von privat installierten Apps, mit denen personenbezogene Daten verarbeitet werden sollen.

In Praxis Workshops werden die Lehrkräfte an die Hand genommen, welche praktische Hilfe bei der Umsetzung der Vorgaben zur Wahrung von Datenschutz und Datensicherheit für die auf den dienstlichen iPads verarbeiteten personenbezogenen Daten, benötigen. Dazu gehören je nach zulässigem Nutzungsszenario folgende Inhalte:

• Erstanmeldung am Gerät,
• Abmeldung der managed Apple ID vom App Store und Anmeldung der privaten Apple ID,
• Anmeldung nur am App Store,
• Ändern des persönlichen Codes,
• Einrichten von Touch ID/ Face ID,
• Sperren und Entsperren des Gerätes,
• Deaktivierung von iCloud für System-Apps,
• Deaktivierung von iCloud für privat installierte Apps,
• Einrichtung eines dienstlichen E-Mail Kontos,
• Einrichtung eines privaten Apple Store Kontos,
• Anmelden am Apple Store auf dem iPad und Installation von Apps,
• Berechtigungen von Apps anpassen,
• Manuelles Auslösen von Updates für Apps,
• Manuelles Auslösen von System Updates,
• Sicherung von Daten außerhalb des iPads,
• Löschung von Daten vom iPad,
• Konfiguration von Mitteilungen für privat installierte Apps,
• Absichern eines privaten Apple Kontos.

Schulleitungen sollten über eine Dienstanweisung rechtlich verbindliche Vorgaben für die Nutzung der dienstlichen iPads machen. Damit ergänzen und präzisieren sie die Nutzungsvereinbarungen der Schulträger und sichern sich darüber hinaus in datenschutzrechtlicher Hinsicht als Verantwortliche zusätzlich ab. Mit einer Dienstanweisung werden den Lehrkräften verbindliche Vorgaben gemacht, welche Einstellungen sie als Nutzer der dienstlichen iPads treffen müssen, um die Vorgaben durch das MDM zu ergänzen, wo das MDM selbst keine Einflussmöglichkeiten hat. Bestimmt werden muss außerdem, welche Arten von personenbezogenen Daten in welchen Apps verarbeitet werden dürfen und, falls erforderlich, welche Daten in verwalteten und welche in nicht verwalteten Apps verarbeitet werden dürfen. Geregelt werden kann in einer Dienstanweisung auch, welche Apps Lehrkräfte zur Verarbeitung von personenbezogenen Daten installieren und nutzen dürfen bzw. über welches Verfahren eine Zulässigkeit bestimmt wird. Da das MDM keinen Einfluss auf Sicherheitsfunktionen von Apps selbst hat, sind auch hier Vorgaben zu machen. Dazu gehört die Verpflichtung, den Zugriffsschutz zu den im App verarbeiteten Daten durch Passwort und/ oder Touch ID zu sichern.