Hier (NDS) gab es noch keine Infos. Ich werde Anfang des nächsten Schuljahres unseren neuen Datenschutzbeauftragten befragen.
Persönlich werde ich nächstes Jahr mal wieder analog btw. deutlich weniger digital mit Schülerdaten/Noten arbeiten. Hat aber nichts mit der DSGVO zu tun sondern mit einem neuen System zu tun, das ich ausprobiere.
Umsetzung Dienstanweisung personenbezogene Daten NRW (und andere Bundesländer?)
-
-
Hallo,
an unserer Schule sind viele sehr skeptisch gegenüber der Dienstanweisung. Unter anderem wird auch über Notenapps diskutiert. Ich nutze z.B. eine Notenapp, die ich per Bluetooth synchronisiere und die mit einem Passwort gesichert ist. Folglich habe ich ein Passwort auf dem Handy, dem PC und jeweils für die App. Inwiefern ist so etwas sicher? Kann ich überhaupt garantieren, dass ich bei einer solchen Notenapp die Daten in Sicherheit sind?
Über eine Einschätzung würde ich mich sehr freuen.
Liebe Grüße,
Elmo
-
Nein.
Android ist was die Sicherheit angeht ein Desaster. Erfuellt das Passwort die Kriterien eines sicheren Passwortes? Schaetze ich nicht...
-
Ich würde schon sagen, dass es der Definition eines sicheren Passworts entspricht. Gibt es zu dieser Thematik eine offizielle Aussage o.ä.?
Ich bin diesbezüglich etwas perplex, da es m.E. einfacher ist einen Notenkalender zu klauen, als ein Handy zu hacken. Oder irre ich da so sehr?
-
Nach der alten Erklärung war es eine Grauzone, in der neuen Erklärung sind mobile Geräte explizit erwähnt.
Man kann sie (unter Wahrung der in der Erklärung angegebenen Maßnahmen und Vorgaben (zum Löschen)) nutzen.Bzgl. Passwort: In der Erklärung wird ein "ausreichend sicheres Passwort" gefordert. Auch in der Handreichung dazu steht nicht mehr. Also: Zahlen, Groß/Kleinbuchstaben, Sonderzeichen, alles schön durchgemischt
kl. gr. frosch
P.S.: speziell bei mobilen Geräten (die machen das halt gerne) solltest du darauf achten, dass die Daten der Notenapp nicht voreingestellt in eine Cloud hochgeladen werden.
-
Bei meinem Android gehört die besagte App zu den gesperrten Apps (durch ein Antivirenprogramm) und kann nur durch meinen Fingerabdruck oder ein Muster geöffnet werden. Zusätzlich ist ein Passwort in der Notenapp selbst vorhanden. Eine Synchronisation erfolgt bei mir nur per Bluetooth.
-
Ich rede nur JETZT nur von der Theorie und gebe nicht meine persönliche Meinung hier wieder:
Android ist ein offenes System, sprich man kann über ans Dateisystem kommen. Wenn man die App mit Fingerabdruck aufmacht, ist die Datenbank verschlüsselt oder nur die App?
Welche andere Apps haben Zugriff aufs Dateisystem? Können diese ggfs. auf die ggfs. nicht verschlüsselte Datenbank kommen?
Cloud? Sync?Als Informatiker könnte ich Unmengen an Möglichkeiten auflisten...
-
Du brauchst gar nicht ans Programm selber kommen. Es reicht ein anderes Programm, das regelmäßig Screenshots per Internet an einen Server schickt, um alle anderen Programme auszuspionieren.
-
Sagst du einmal, welche Apps du benutzt?
undichbinweg: den Cloud-Sync muss er abstellen.
kl. gr. frosch
-
Alles anzeigen
Ich rede nur JETZT nur von der Theorie und gebe nicht meine persönliche Meinung hier wieder:
Android ist ein offenes System, sprich man kann über ans Dateisystem kommen. Wenn man die App mit Fingerabdruck aufmacht, ist die Datenbank verschlüsselt oder nur die App?
Welche andere Apps haben Zugriff aufs Dateisystem? Können diese ggfs. auf die ggfs. nicht verschlüsselte Datenbank kommen?
Cloud? Sync?Als Informatiker könnte ich Unmengen an Möglichkeiten auflisten...
Die Datenbank der App ist verschlüsselt und erlaubt keinen Zugriff durch fremde Apps. Der Fall eines Virus, der Screenshots erstellt, kann natürlich eintreten. Allerdings habe ich zumindest einen Antivirenschutz.
Meine persönliche Meinung:
Ich denke, dass ich alles tue, um die Daten zu schützen. Wenn jemand mich wirklich hacken will und dazu in der Lage ist, wird er das auch tun. Allerdings empfinde ich es als noch einfacher einen Lehrerkalender zu klauen. Ob man da bald einen Tresor zu Hause braucht?
Letztlich geht es ja auch darum, ab wann man der Dienstanweisung entsprechend handelt. Mehr fällt mir tatsächlich nicht ein, um die Daten zu schützen.
PS: Die Cloud-Synch ist aus. Der Datenaustausch zwischen Laptop und Handy erfolgt per Bluetooth.
PPS: Teacherstudio soll bald genutzt werden. Noch nutze ich Notenbox.
-
Notenbox:
ZitatAuf dem mobilen Gerät, also in der NotenBox-App für Android, der NotenBox-App für iPad/iPhone und der NotenBox Windows Store App, sind die Daten AES256 verschlüsselt. Sie werden in der NotenBox für iPad/iPhone so gekennzeichnet, dass sie nicht in der iCloud gesichert werden. Auch die Klassen der NotenBox für Android und der NotenBox Windows Store App sind in einem eigenen Ordner von uns gespeichert, der nicht für eine Sicherung bei Google oder Microsoft vorgesehen ist.
Okay.
Teachertool:
ZitatSämtliche von TeacherTool auf dem Festspeicher dauerhaft abgelegten personenbezogenenDaten von Schülern werden grundsätzlich und ausnahmslos mit dem Algorithmus AES-256symmetrisch verschlüsselt (symmetrisch bedeutet, dass zum Ver- und Entschlüsseln dergleiche Schlüssel benutzt wird). Die Daten werden ausschließlich beim Laden durch dieSoftware entschlüsselt (diese benutzt dazu Betriebssystemfunktionen).
Passt.
<off-topic>
Soll es teachertool demnächst auch für Android geben? Oder wechselst du auch das mobile Gerät?kl. gr. frosch
-
Ich meinte Teacherstudio und nicht TeaherTool. Bin seit jeher Androide
-
Tapucate verschlüsselt auch und arbeitet komplett offline, das größte Problem bei Android dürften die mangelhaften OS-Updates seitens der Gerätehersteller darstellen. Ich bin froh, dass ich seit neuestem 8.0 mit Patchlevel Juni 2018 habe, aber der Großteil der Geräte dürfte ohne Sicherheitsupdates bei Android 5 oder 6 rumkrabbeln...
-
das größte Problem bei Android dürften die mangelhaften OS-Updates seitens der Gerätehersteller darstellen
Und genau das war auch für mich das KO-Kriterium gegen Android und fürs iPhone.
-
Über Noten-Apps:
Ich habe vollstes Verständnis dafür, dass man als Lehrer besseres zu tun hat, als sich über dubiose Dienstanweisungen den Kopf zu zerbrechen.
RPs, die zentrale Datenschutz-Beauftragte einzelnen Schulen zuordnen, weil sich dort niemand mehr findet, der diesen Job machen will, zeigen, dass hier etwas schief läuft.Aber: Noten-Apps von kommerziellen Anbietern, bei denen niemand weiß was drin steckt - das ist für mich datenschutzmäßig der Super-GAU!
Dass ich deren Software für nicht sicher halte ist dabei gar nicht das Argument, ich finde es grundsätzlich falsch Schülerdaten irgendwelchen Firmen in die Hand zu geben.Randnotiz:
In manchen Bundesländern gibt es eine "amtliche" Schulverwaltungs-Software, bei der auch Noten "bequem" webbasiert via Smartphone etc. vom Fachlehrer eingetragen werden können,
Wie sicher diese Software ist, wird sich (leider) noch zeigen. Der bisherige track record von Bund und Ländern, was digitale "Projekte" angeht, ist katastrophal: De-Mail, elektronische Gesundheitskarte, Modesta, JobCard/Elena, PC-Wahl, beA, ella, und wie sie alle heißen. -
In manchen Bundesländern gibt es eine "amtliche" Schulverwaltungs-Software, bei der auch Noten "bequem" webbasiert via Smartphone etc. vom Fachlehrer eingetragen werden können
Diese Software gibt es bei uns in NRW auch, nennt sich "SchilD".
Problem dabei: Die Software ist dermaßen buggy und mit irgendwelchen Funktionen überladen, die hier und da immer weiter an die Datenbank drangebaut wurden, daß man die Software kaum bedienen kann. Das fängt schon damit an, daß die Namen nach schwedischem Alphabet sortiert werden (Umlaute sind ganz hinten im Alphabet), wohl weil die Entwickler beim ersten Wurf der Software in den 1980ern eine schwedische Tastaturbelegung oder so eingestellt hatten. Weiter geht es mit einer falschen Berechnung der zusammengesetzten Abschlußnoten usw. usw. ...
Außerdem haben wir mit der Software massive Probleme, weil sie unser Virenscanner regelmäßig als Virus erkennt und in die Quarantäne schickt oder gleich löscht.
-
RPs, die zentrale Datenschutz-Beauftragte einzelnen Schulen zuordnen, weil sich dort niemand mehr findet, der diesen Job machen will
Es müsste sich erstmal jemand finden, der den Job machen kann. Dazu braucht man nicht unerhebliche juristische und technische Kenntnisse. Auf dem Posten sind die Kollegen, die sich dazu breit schlagen lassen, nur Feigenblätter.
Projekte" angeht, ist katastrophal: De-Mail, elektronische Gesundheitskarte, Modesta, JobCard/Elena, PC-Wahl, beA, ella, und wie sie alle heißen.
Toll Collect (läuft zwar mittlerweile, ging aber mit arger Verspätung an den Start. Danach wurde sich jahrelang um die Abeechung gestritten), elektronisches Anwaltspostfach (hattest du wohl schon), Logineo ...
-
Ich hab ehrlich gesagt lieber einen kommerziellen Anbieter, bei dem ich genau nachvollziehen kann was passiert (keinerlei Internetverbindung ist für mich das wichtigste Sicherheitsmerkmal), weil er ansonsten finanziell ruiniert ist, als dass die öffentliche Hand irgendetwas programmiert, bei dem man hinten und vorne den fehlenden Sachverstand bemerkt...
-
Ich hab ehrlich gesagt lieber einen kommerziellen Anbieter, bei dem ich genau nachvollziehen kann was passiert (keinerlei Internetverbindung ist für mich das wichtigste Sicherheitsmerkmal), weil er ansonsten finanziell ruiniert ist, als dass die öffentliche Hand irgendetwas programmiert, bei dem man hinten und vorne den fehlenden Sachverstand bemerkt...
Wie kannst Du bei einem kommerziellen Anbieter "genau nachvollziehen was passiert"? Der Code ist Betriebsgeheimnis.
Teilweise ist ja ganz überraschend, was da ans Licht kommt, wenn z.B. schon ein Programm wie MS Word sich mit 15 verschiedenen Außenstellen in Verbindung setzt, ohne, dass der User davon etwas mitbekommt.
-
Und der Code bei öffentlich-rechtlichen Programmen ist Open Source?
Natürlich kann ich nachvollziehen ob ein Programm Daten ins Internet rausschickt. Wie gesagt: Wenn ein Programm die Klappe hält, ist mir das erst einmal Sicherheitsfeature genug und die korrekte Implementierung von Verschlüsselung ist üblicherweise auch keine Raketentechnik, das kriegen die schon hin.
