Datenschutz: Zertifizierung für virtuelles Lernen
Karlsruhe, Dezember 2021 - Fernunterricht gehört seit Beginn der Corona-Pandemie für Kinder und Jugendliche zum Schulalltag. Der Markt für entsprechende schulische Informationssysteme und Lernsoftware boomt weltweit. Bei Lernplattformen, Chatprogrammen, Videokonferenz-Tools oder Cloudspeichern fürs virtuelle Klassenzimmer hapert es laut Medienberichten aber oft beim Datenschutz. Forschende des Karlsruher Instituts für Technologie (KIT) wollen mit einer Datenschutzzertifizierung Abhilfe schaffen.
"Wenn neue Technologien in der Lehre Einzug halten, muss Datenschutz selbstverständlich garantiert sein", sagt Professor Ali Sunyaev vom Institut für Angewandte Informatik und Formale Beschreibungsverfahren (AIFB) des KIT. So müssten laut EU-Datenschutz-Grundverordnung (DSGVO) Anbieter schulischer Informationssysteme sicherstellen, dass ihre Produkte alle datenschutzrechtlichen Anforderungen erfüllten, gleichzeitig dürften Schulen eigentlich nur solche Systeme nutzen, die den Datenschutz garantierten. "Es gab Fälle, in denen etwa die Vertraulichkeit der Daten nicht sichergestellt war", berichtet der Leiter der Forschungsgruppe Critical Information Infrastructures.
Erste Datenschutzzertifizierung im Bildungswesen
Ein Weg, dieser Problematik zu begegnen, seien Datenschutzzertifizierungen für schulische Informationssysteme. Eine solche entwickeln die Wissenschaftlerinnen und Wissenschaftler des KIT nun im Projekt DIRECTIONS (steht für Data Protection Certification for Educational Information Systems).
Das Ziel der Forschenden ist es, eine nachhaltig anwendbare Datenschutzzertifizierung für schulische Informationssysteme zu entwerfen, beispielhaft umzusetzen und schließlich zu erproben. Denn Zertifizierungen haben sich als Mittel zur Überprüfung von Cloud-Diensten bewährt, Gütesiegel kennt man insbesondere schon aus dem Online-Handel.
"Die DIRECTIONS-Zertifizierung wird als allererste Datenschutzzertifizierung im Bildungswesen entwickelt, um die Konformität zur DSGVO rechtssicher nachzuweisen", kündigt Sunyaev an.
Klare Kriterien für Schulen bei Anschaffung von Lernsoftware
"Ein Problem ist, dass es an den Schulen zum Teil an Wissen und Erfahrung fehlt, um zu beurteilen, ob Online-Dienste und IT-Produkte den Anforderungen des Datenschutzes überhaupt genügen", konstatiert Sunyaev. Dazu komme der Transfer von Daten in Drittländer außerhalb der EU, wenn Anbieter von Lerntools beispielsweise in Amerika säßen.
"Die Kontrolle darüber zu behalten, was mit den Daten der Schülerinnen und Schüler passiert, ist dadurch um einiges erschwert", warnt der Experte. Eine gravierende Sicherheitslücke sieht er außerdem in der oftmals fehlenden Verschlüsselung der Daten: "Personenbezogene Daten werden teilweise im Klartext abgelegt oder übermittelt, sodass diese im Prinzip gelesen werden können."
Dazu mangele es an klaren Entscheidungsrichtlinien für die Bewertung einzelner Produkte, Empfehlungen unterschieden sich in den einzelnen Bundesländern. "Das führt dazu, dass schulische Informationssysteme gar nicht oder nur begrenzt eingesetzt werden und somit viele Potenziale des digitalisierten Unterrichts nicht ganzheitlich ausgeschöpft werden", so Sunyaev. "Mit einer entsprechenden Zertifizierung, wie wir sie nun entwickeln, kann ein Anbieter nachweisen, dass alle Anforderungen eingehalten werden. Zertifizierungen schaffen somit Transparenz und verbessern die Vergleichbarkeit von Systemen."
Eine Zertifizierung umfasst eine Prüfung durch eine unabhängige und akkreditierte Zertifizierungsstelle wie etwa TÜV oder DEKRA. Diese stellt fest, ob ein System und der Anbieter alle Anforderungen des Zertifizierungskriterienkatalogs erfüllen. Überprüft werden dabei etwa technische Sicherheitsmaßnahmen wie eine Firewall oder die Verwendung von Verschlüsselungs- und Anonymisierungsverfahren, aber auch organisatorische Maßnahmen, wie die Schulung von Mitarbeitenden des Anbieters oder die Benennung eines oder einer Datenschutzbeauftragten. Bei erfolgreicher Prüfung werden ein Zertifikat und ein Gütesiegel vergeben, womit der Anbieter werben kann.
Das BMBF fördert das Projekt mit insgesamt knapp 6,5 Millionen Euro. Das KIT erhält davon knapp vier Millionen Euro. An dem Projekt beteiligt sind außerdem die Universität Kassel und die datenschutz cert GmbH.