Grundschule

In einem weiteren Schritt kann ein Konzept zu einer aufgabengerechten Rechtezuweisung an die Schulleitungen erarbeitet werden.

Außer diesem grundsätzlichen Konzeptfehler zeigten sich neben weiteren Details noch zwei wichtige Problembereiche:

- Durch die Vereinheitlichung der Hardware wurde es erforderlich, die Festplatten der Altrechner vor einer Wiederverwendung oder Entsorgung der Geräte sicher zu löschen. Die Schulträger hatten zwar ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziertes Verfahren dafür vorgesehen, aber nicht bedacht, dass dieser Vorgang bei älteren Geräten deutlich länger als 24 Stunden dauern kann. Das hätte bei den mehreren hundert Geräten der drei Schulträger einen immensen personellen Aufwand erfordert. Daher wurden neue Überlegungen angestellt, wie man die Festplatten, deren weitere Verwendung nicht wirtschaftlich ist, mit geringerem Aufwand bzw. zu geringeren Kosten entsorgen kann. Ich habe die Schulträger darauf hingewiesen, dass dafür nur noch eine physikalische, thermische oder magnetische Zerstörung der Datenträger in Frage kommt, die in jedem Fall dazu führt, dass die Magnetisierungsschicht der einzelnen Festplatten-Scheiben nicht mehr lesbar ist. Eine solche Dienstleistung wird fachgerecht in aller Regel nur durch spezialisierte Entsorgungsfirmen erbracht.

- Einsatz einer Fernzugriffs-(Remote-Support-)Software in einer nicht zulässigen Konfiguration

Um innerhalb einer Schule möglichst effizient die einzelnen Verwaltungsrechner administrieren zu können, hatten die erwähnten drei Schulträger mit der Neukonzeption der LUSD-Arbeitsplatzrechner die Verwendung einer Software zum Fernzugriff vorgesehen, bei der das Monitorbild eines entfernten Rechners über das interne Netzwerk an das lokale System übertragen wird und die lokalen Mausbewegungen und die Tastaturanschläge zur Steuerung des anderen Gerätes eingesetzt werden. Man kann dann mit wenigen Einschränkungen so arbeiten, wie an einem lokalen Gerät.

Die hier eingesetzte Variante der Software VNC (Virtual Network Computing) wurde allerdings nicht richtig konfiguriert. Remote-Controle-Software darf nur eingesetzt werden, wenn der Benutzer des fernadministrierten Rechners aktiv einer Abfrage zur Aufschaltung zugestimmt hat und danach ständig durch einen entsprechenden optischen Hinweis auf die Aktivität des Programms aufmerksam gemacht wird. Er muss ferner jederzeit die Möglichkeit haben, die Verbindung zum administrierenden Rechner zu unterbrechen. Darüber hinaus sollten die Einstellungen und die anfallenden Anwendungsprotokolle der Software nach Möglichkeit in einem geschützten Bereich hinterlegt werden, der idealerweise nur nach dem Vier-Augen-Prinzip zugänglich ist. Insbesondere die Frage nach dem Schutz der Einstellungen und der Protokolle ist nur mit zusätzlichem Aufwand zu realisieren. Die Schulträger haben sich nach meiner Kritik dazu entschlossen, die Software komplett auf allen ausgelieferten Rechnern zu deinstallieren.

Am geschilderten Beispiel wird deutlich, dass die Schulen und Schulträger auf die Fragestellungen, wie die Sicherheit der LUSD-Arbeitsplätze insgesamt auszugestalten ist, nur unzureichend vorbereitet waren und in diesen Punkten einer stärkeren allgemeinen Hilfestellung durch das federführende HKM bedurft hätten. Ich gehe davon aus, dass sich mit der Erstellung der bereits in Ziff. 5.6.1.4.3, letzter Absatz angesprochenen Mustersicherheitskonzepte die Situation landesweit auch für verschiedenste Vor-Ort-Konstellationen auf ein einheitliches Niveau heben lässt.

5.6.1.4.2 Unberechtigte Zugriffe auf die Daten der LUSD

Im August des vergangenen Jahres unterrichtete mich das HKM über einen Programmfehler im Modul "Passwortmanagement". Bei Namensgleichheiten sei ein unberechtigter Zugriff auf die Datenbank möglich gewesen. Der Fehler sei erkannt und bereits behoben.

Im September wurde ich mit dem Problem abermals konfrontiert, als sich ein Schulleiter an mich wandte. Zwei Kollegen anderer Schulen hatten ihm mitgeteilt, dass es ihnen möglich wäre, von ihren Schulen auf die Daten seiner Schule zuzugreifen. Die Vorfälle seien unverzüglich dem zentralen LUSD-Support, den zuständigen staatlichen Schulämtern und dem HKM zur Kenntnis gegeben worden, aber noch nicht abgestellt. Ich wandte mich an das HKM und bat um sofortige Aufklärung. Es ergab sich folgender Sachverhalt:

- Entgegen ursprünglicher Konzeptüberlegungen wurde auf Grund netzwerktechnischer Gegebenheiten darauf verzichtet zu prüfen, ob eine Benutzeranmeldung an die zentrale LUSD und der Standort des Rechners, von dem diese Anmeldung erfolgt, zueinander passen. Dadurch können die Benutzerkennungen landesweit an allen schulischen Arbeitsplätzen mit LUSD-Anbindung zum Zugang benutzt werden, sofern das entsprechende Passwort bekannt ist. Dies ist in Fällen, in denen Bedienstete für mehrere Schulen tätig sind, u.U. auch von praktischer Bedeutung, birgt aber Risiken, die ich bei der Fortentwicklung des Verfahrens noch gesondert betrachten werde.

- Bei der Festlegung des Standards für die Benutzerkennungen hat die Projektleitung entschieden, den Benutzernamen nicht mit dem Schulnamen bzw. einer Referenznummer zu verbinden, wie das in anderen landesweiten Systemen der Fall ist, bei denen die Dienststellennummer dem Benutzernamen vorangestellt ist. Da zusätzlich in den Anmeldenamen nur der erste Buchstabe des Vornamens einfließt, kommt es bei häufig vertretenen Nachnamen zu Namensdubletten, wie z.B.: AMustermann, AMustermann1, AMustermann2, AMustermann11, AMustermann12.

Die zur Unterscheidung vom System ergänzte, laufende Ziffer verhindert nicht, dass es bei einer Fehleingabe relativ schnell zum Aufruf einer falschen Benutzerkennung kommt (z.B. wenn AMustermann11 versehentlich nur AMustermann1 eintippt).

- Diese Rahmenbedingungen allein würden aber bei einem korrekt funktionierenden Verfahren nur dann zu einem unberechtigten Zugriff führen, wenn zu einer irrtümlich aufgerufenen Benutzerkennung das richtige Passwort bekannt ist.

Die Gewährung des Zugriffs auf fremde Datenbestände kam letztendlich zu Stande, weil ein Fehler im Ablauf der Passwort-Wechselroutinen beim Testen und Freigeben nicht aufgefallen war. Dadurch wurde bei einer Kennung, deren Passwort fristgemäß abgelaufen war, die Passwortwechselroutine ausgeführt, ohne dass der Benutzer durch das Altpasswort am System authentifiziert wurde. Der versehentliche Aufruf einer Benutzerkennung, deren Passwort abgelaufen war, führte also mit dessen Neuvergabe zu einem umfassenden Zugriff.

Wie uns das Hessische Kultusministerium mitgeteilt hat, wurde dieser Fehler durch eine Programmänderung am 27. August 2007 behoben. Leider bestand das Problem über diesen Zeitpunkt fort bei allen Benutzerkennungen, deren Passwort vorher durch einen anderen Benutzer geändert wurde. Der jeweils zuständige schulische Administrator musste bei allen Kennungen, von denen er nicht sicher sein konnte, dass sie von den jeweils Berechtigten seiner Schule eingesetzt wurden, das Passwort überschreiben.

Auch wenn mir bis Redaktionsschluss keine weiteren Fälle bekannt geworden sind, die auf dem geschilderten Programmfehler beruhen, werde ich bei der Fortentwicklung der Anwendung darauf hinwirken, dass in das Verfahren eine Plausibilitätskontrolle integriert wird, mit der die landesweite Verwendung der Anwenderkennungen eingeschränkt werden kann, und die zu einer auswertbaren Protokollierung im zentralen Verfahren führt.

Auffälligkeiten können dann schneller erkannt und hinterfragt werden.

5.6.1.4.3 Internet-Nutzung

Mit der Einführung der LUSD und dem Aufbau eines landesweiten Schulnetzes ist es allen Schulen möglich, den gesicherten Internetzugang über die HZD zu nutzen. In dem Sicherheitskonzept "Internetzugang" ist den Schulnetzen ein weiterer ungesicherter Netzzugang untersagt. Bei meinen Prüfungen musste ich aber feststellen, dass diese Vorgabe nicht eingehalten wurde.

Ausblick:

Die vorliegenden technischen Konzepte sind nicht zu beanstanden. Wenn alle dort beschriebenen Maßnahmen umgesetzt werden und die Ergebnisse und Forderungen meiner Prüfungen berücksichtigt werden, bestehen keine datenschutzrechtlichen Bedenken gegen den Einsatz der LUSD in der 1. Stufe.

Änderung der Meldedatenübermittlungsverordnung zur Überwachung der Schulanmeldungen

Zur effektiven Kontrolle der rechtzeitigen Anmeldung schulpflichtig werdender Kinder durch die Schulen, soll der Datenaustausch zwischen den Meldeämtern und den Schulen in eine datenschutzrechtlich korrekte und überwiegend automatisierte Verfahrensweise überführt werden.

Das HMDIS beteiligte mich bei dem Entwurf zur Änderung des § 17 Abs. 1 der MeldDÜVO. Diese Vorschrift erlaubt die Datenübermittlung zwischen den Meldeämtern und den Schulen zur Überwachung der Schulanmeldung schulpflichtig gewordener Kinder durch die Schulen. Nach § 58 HSchulG tritt die Schulpflicht grundsätzlich mit Vollendung des sechsten Lebensjahres ein, und zwar zum 1. August des jeweiligen Jahres. Die Eltern haben entsprechend die Schulanmeldung vorzunehmen. Dies ergibt sich aus § 67 Abs. 1 HSchulG. § 67 Abs. 1 HSchulG

(1) Die Eltern sind dafür verantwortlich, dass die Schulpflichtigen am Unterricht und an den Unterrichtsveranstaltungen der Schule regelmäßig teilnehmen. Sie sind verpflichtet, die Schulpflichtigen bei der zuständigen Schule an- und abzumelden und sie für den Schulbesuch angemessen auszustatten.

Soweit die Eltern diesen schulrechtlichen Pflichten nicht nachkommen, kann dies zu einem Bußgeldtatbestand führen nach § 181 Abs. 1 Nr. 2 HSchulG.

Die Erfüllung dieser Pflicht muss von der jeweils örtlich zuständigen Grundschule überwacht werden. Dies wurde bisher ermöglicht, indem die Meldeämter den zuständigen Schulen über die staatlichen Schulämter digitalisierte Datensätze zu den betroffenen Kindern überließen, die in das schulische Standardverwaltungsprogramm LUSD dort eingespielt wurden.

Im Zuge der generellen Aktualisierung der MeldDÜVO war beabsichtigt, den hier betroffenen § 17 Abs. 1 den neuen ITStrukturen in der Schulverwaltung anzupassen.

Im Rahmen meiner Stellungnahme zum Entwurf nahm ich zugleich die Gelegenheit wahr, den Weg des Datentransfers datenschutzrechtlich zu korrigieren. Der letzte Satz des Abs. 1 sah bisher nämlich vor, dass die Datensätze über die jeweils zuständigen staatlichen Schulämter an die Schulen weitergeleitet wurden. Da das Schulgesetz im Zusammenhang mit der Überwachung der Erfüllung der Schulpflicht nur der örtlich jeweils zuständigen Grundschule, nicht aber den staatlichen Schulämtern Aufgaben zuweist, ist der Datenweg über diese Ämter datenschutzrechtlich nicht zulässig. Nach § 58 Abs. 1 sind schulpflichtige Kinder bei der örtlich zuständigen Grundschule, nicht beim Schulamt anzumelden. Die ursprünglich vom HKM in der Neufassung des § 17 Abs. 1 geforderte Variante, dass der Datenweg über das HKM gehen solle, habe ich aus diesem Grund abgelehnt.

Im Zuge der Neufassung des § 17 Abs. 1 prüfte ich auch die Frage der Erforderlichkeit der insgesamt sieben Einzeldaten zum betroffenen Kind:

- Familiennamen

- Vornamen

- Tag und Datum der Geburt

- Geschlecht

- gesetzliche Vertreterin/gesetzlicher Vertreter (Vor- und Familiennamen, Doktorgrad, Anschrift, Tag der Geburt)

- Staatsangehörigkeiten

- gegenwärtige und frühere Anschriften. Haupt- und Nebenwohnung, bei Zuzug aus dem Ausland auch die letzte frühre Anschrift im Inland.

Zu diskutieren war u.a. die Frage, inwieweit auch die Angabe der Haupt- und Nebenwohnung eines Kindes erforderlich ist.

Das HKM erläuterte dazu, dass die Schulleitung danach beurteilen könne, wo sich der räumliche Lebensmittelpunkt des Kindes befindet. Dieser ist nach § 60 Abs. 4 HSchulG relevant für die Frage der örtlich zuständigen Grundschule, weshalb die Übermittlung erforderlich ist.

Im Gegensatz zur bisherigen Regelung soll der neue § 17 Abs. 1 nicht mehr Weg und Technik der Datenübermittlung festlegen. Bei den Erörterungen erhielt ich die Auskunft, dass dieser Datentransfer künftig direkt erfolgen soll, über eine Einspielung der jeweiligen Datensätze pro Schule in die bei der HZD zentral verarbeiteten LUSD-Daten der Schulen (vgl. Ziff. 5.6.1). Die Meldeämter haben insoweit künftig eine entsprechende Lieferpflicht gegenüber der HZD, die allerdings noch programmtechnisch zu entwickeln ist. Den datenschutzrechtlichen Erfordernissen ist dadurch entsprochen.

Verfahren zum Nachteilsausgleich für schwerbehinderte Lehrkräfte gemäß der Pflichtstundenverordnung

Das förmliche Verfahren zur Beantragung einer Pflichtstundenermäßigung für schwerbehinderte Lehrkräfte ist datenschutzrechtlich nicht zu beanstanden. Allerdings war das von einem Staatlichen Schulamt verwendete Formular einer Erklärung der Entbindung von der ärztlichen Schweigepflicht unpräzise bzw. missverständlich formuliert. Meinen Vorschlag zur Änderung der Erklärung hat das Schulamt übernommen.

Die Eingabe eines schwerbehinderten Lehrers

Ein schwerbehinderter Lehrer wandte sich an mich, weil er im Zusammenhang mit einer beantragten Stundenermäßigung vom Gesundheitsamt ein Formular zur Unterschrift vorgelegt bekommen hatte, wonach er seine Zustimmung zur Aufhebung der ärztlichen Schweigepflicht geben solle, um medizinische Informationen zu seiner Person an das RP Gießen übermitteln zu können. Der Betroffene verweigerte dies mit dem Hinweis, seinen Arbeitgeber bzw. das RP gingen diese Informationen nichts an. Mich bat er hierzu um eine datenschutzrechtliche Stellungnahme.

Das Verfahren zur Ermäßigung der Pflichtstundenzahl

Gemäß § 17 der Verordnung über die Pflichtstunden der Lehrkräfte, über die Anrechnung dienstlicher Tätigkeiten und über Pflichtstundenermäßigungen (Pflichtstundenverordnung) vom 20. Juli 2006 (ABl. Nr. 08/2006, S. 631) kann das Staatliche Schulamt auf Antrag eine Pflichtstundenermäßigung von zwei Wochenstunden gewähren, wenn die Notwendigkeit dieses Nachteilsausgleichs vom Gesundheitsamt bescheinigt wird.

§ 17 Verordnung über die Pflichtstunden der Lehrkräfte Lehrkräften sowie Sozialpädagoginnen und Sozialpädagogen, die Schwerbehinderte nach § 2 Abs. 2 SGB IX sind, kann das Staatliche Schulamt auf Antrag eine Pflichtstundenermäßigung von zwei Wochenstunden gewähren, wenn die Notwendigkeit dieses Nachteilsausgleichs vom Gesundheitsamt bescheinigt wird. Wenn das Gesundheitsamt eine höhere Pflichtstundenermäßigung empfiehlt und der Medizinaldienst des Regierungspräsidiums Gießen dieser Empfehlung zustimmt, kann eine weitere Ermäßigung von bis zu drei Wochenstunden gewährt werden. Die Pflichtstundenermäßigungen sind je nach Art der Behinderung zu befristen. Jede Änderung des Gesundheitszustandes oder der dienstlichen Voraussetzungen ist dem Staatlichen Schulamt zu melden; dieses kann seine Entscheidung jederzeit ändern oder aufheben.

Die Beantragung durch den Betroffenen erfolgt formlos und gegenüber dem Schulamt. Dieses erteilt einen Untersuchungsauftrag beim Gesundheitsamt mit der Maßgabe, Mitteilung darüber zu machen, ob und in welchem Umfang eine Pflichtstundenermäßigung in Frage kommt. Wird vom Gesundheitsamt eine Reduzierung von mehr als zwei Stunden empfohlen, soll es den Betroffenen eine Erklärung zur Entbindung von der Schweigepflicht unterschreiben lassen, damit eine Weiterleitung der Unterlagen an die dann zuständige Medizinalaufsicht beim RP Gießen erfolgen kann.

Der Antragsteller erhält vom Schulamt vor dem Untersuchungstermin ein Schreiben, in dem auf die Einschaltung des Gesundheitsamtes hingewiesen wird. Auch wird ihm mitgeteilt, welche Unterlagen vom Gesundheitsamt benötigt werden.

Außerdem wird auf die Schweigepflichtentbindungserklärung mit dem Hinweis verwiesen, diese zu unterschreiben, wenn die Ermäßigung drei Stunden betragen solle.

Ist dies nämlich der Fall, gehen die Unterlagen zusammen mit der Empfehlung des Gesundheitsamtes zur Medizinalaufsicht beim RP Gießen, die hessenweit zuständig ist. Dort wird im weiteren Verlauf des Verfahrens in der Regel nach Aktenlage entschieden. Zur Beurteilung des Sachverhaltes fordert die Medizinalaufsicht folgende Daten vom Betroffenen an, soweit sich diese nicht bereits in den vom Gesundheitsamt gelieferten Unterlagen befinden: