Datenschutz – Restriktionen trotz Ende-zu-Ende-Verschlüsselung

Welche gesetzlichen Bestimmungen regeln die Nutzung des ByCS-Messengers?

Von zentraler rechtlicher Bedeutung für die Nutzung des ByCS-Messengers ist die Verarbeitung personenbezogener Daten (z. B. von Schülerinnen und Schülern oder Lehrkräften) durch bayerische Schulen. Die Verarbeitung personenbezogener Daten ist in verschiedenen Normen geregelt. Neben den Vorgaben der Datenschutz-Grundverordnung (DSGVO) sind insbesondere die Regelungen des Bayerischen Gesetzes über das Erziehungs- und Unterrichtswesen (BayEUG) und der Bayerischen Schulordnung (BaySchO) zu beachten.

• Auf Grundlage des Art. 85 BayEUG dürfen Schulen zur Aufgabenerfüllung erforderliche Daten von Schülerinnen und Schülern, deren Erziehungsberechtigten und allen Beschäftigten verarbeiten.

• Gemäß § 46 BaySchO dürfen Schulen personenbezogene Daten in Verfahren verarbeiten, die den Vorgaben der Anlage 2 zu § 46 BaySchO entsprechen.

• In der Anlage 2 zu § 46 BaySchO sind insgesamt acht Verarbeitungsverfahren detailliert aufgeführt. Die Vorgaben für den Messenger finden sich im Abschnitt 7 der Anlage 2.

In Abschnitt 7 der Anlage 2 (§ 46 BaySchO) werden neben den Zwecken der Verarbeitung, den betroffenen Personenkreisen, den zulässigen Stamm- und Inhaltsdaten, Profilinformationen und Vorgaben zur Löschung der Daten unter Ziff. 3.4 auch „Ausgeschlossene Daten“ aufgeführt. Die zuletzt genannten Daten dürfen (derzeit noch) nicht durch die Nutzung des Messengers verarbeitet werden. Die ausgeschlossenen Daten werden weiter unten gesondert betrachtet.

Eine wichtige Sicherheitsanforderung ist, dass es keine Möglichkeit für den Betreiber der Server geben darf, Nachrichten, die über den Messenger gesendet werden, abzufangen und mitzulesen. Diese Voraussetzung wird nur durch eine durchgehende Ende-zu-Ende-Verschlüsselung erfüllt.

Für Lehrkräfte, die den ByCS-Messenger auf ihrem privaten Endgerät nutzen wollen, gilt Folgendes zu beachten:

Die Lehrkraft muss die Einhaltung der Sicherheitsstandards in der Erklärung zur Nutzung privater Endgeräte für dienstliche Zwecke bestätigen. Die Benennung von Einzelgeräten in der Erklärung entfällt, da die Liste der tatsächlich verwendeten Geräte im Admin-Portal aktualisiert wird.

Beim Gebrauch des Messengers durch Schülerinnen und Schüler handelt es sich nicht um eine dienstliche Nutzung. Deshalb dürfen Kinder und Jugendliche den ByCS-Messenger auf ihrem privaten Endgerät verwenden, ohne dies der Schule vorher mitteilen zu müssen. 

Wie funktioniert die Ende-zu-Ende-Verschlüsselung beim ByCS-Messenger?

Ende-zu-Ende-Verschlüsselung bedeutet, dass eine Nachricht auf dem Gerät des Senders verschlüsselt und erst wieder auf dem Gerät des Empfängers entschlüsselt wird. Folglich kann niemand, der die Nachricht auf dem Übertragungsweg abfängt, deren Inhalt lesen. Auch auf dem Server, den Nachrichten als Zwischenstation passieren müssen, können diese nicht entschlüsselt und gelesen werden.

Beim ByCS-Messenger wird zum Verschlüsseln von Nachrichten der Matrix-Standard, ein asymmetrisches Verschlüsselungsverfahren, verwendet. Kennzeichnend ist, dass die Schlüssel zum Dekodieren der Nachricht immer auf den Geräten der Nutzenden verbleiben. Eine Speicherung oder Entschlüsselung auf den Matrix-Servern findet nicht statt.

Das asymmetrische Verschlüsselungsverfahren funktioniert nach folgendem Prinzip: Der Empfänger der Nachricht erzeugt zwei Schlüssel, einen öffentlichen und einen privaten. Der private Schlüssel bleibt auf dem Endgerät des Empfängers. Der öffentliche Schlüssel ist auf einem Server des Messengers gespeichert und wird vom Sender der Nachricht abgerufen. Dieser verwendet den öffentlichen Schlüssel, um die Nachricht zu verschlüsseln. Die verschlüsselte Nachricht kann nun einzig mithilfe des privaten Schlüssels entschlüsselt werden, den wiederum nur der Empfänger (bzw. dessen Endgerät) besitzt (siehe Abbildung).

Welche Informationen dürfen und welche dürfen nicht über den ByCS-Messenger verschickt werden?

Der ByCS-Messenger ist ein Angebot für alle Schulen und darf von Schülerinnen und Schülern aller Jahrgangsstufen genutzt werden. Einer der größten Vorteile des ByCS-Messengers gegenüber anderen Messengern ist, dass hier aufgrund der klaren vertraglichen Regelungen mit dem Anbieter des Messengers die meisten personenbezogenen Informationen (z. B. Namen), datenschutzrechtlich konform – d. h. rechtssicher –verschickt werden können. Darüber hinaus gibt es aber auch sogenannte „ausgeschlossene Daten”, die besonders schützenswert sind und derzeit (noch) nicht über den ByCS-Messenger verarbeitet werden dürfen. Sie sind in Abschnitt 7 der Anlage 2 zu § 46 BaySchO unter Ziffer 3.4 aufgeführt.

Dabei handelt es sich zum einen um Daten, die dem strafrechtlichen Geheimnisschutz unterliegen, und zum anderen um Daten nach Art. 9 DSGVO, insbesondere Gesundheitsdaten.

Es dürfen also keine Nachrichten, die beispielsweise Krankheiten benennen, gesendet werden (z. B. „Bitte nehmt Rücksicht auf Schüler A, sein Vater hat mich gestern darüber informiert, dass bei ihm ein Krebsleiden vorliegt.“). 

Insbesondere für Schulpsychologinnen und Schulpsychologen, deren Kommunikation neben der beamtenrechtlichen Schweigepflicht zusätzlich dem strafrechtlich relevanten beruflichen Geheimnisschutz gemäß § 203 StGB unterliegen kann, ist die Messengernutzung ohne Gesundheitsdaten von eingeschränktem Nutzen. Ohne entsprechende rechtliche Grundlage kann eine Nutzung schwerwiegende juristische Konsequenzen haben.

Anmerkung: Aktuell wird eine Bekanntmachung des Kultusministeriums (KMBek) erarbeitet, die eine Versendung besonders schützenswerter Daten gemäß Art. 9 Abs. 1 DSGVO aufgrund des hohen Sicherheitsstandards des ByCS-Messengers möglicherweise erlaubt. Sobald dies der Fall sein sollte, wird dieser Abschnitt entsprechend geändert.

Praxisbericht des Gymnasiums Unterföhring

In dem nachfolgenden Audiobeitrag beleuchtet Frau StRin Anne Hoi-Sušak vom Gymnasium Unterföhring das Thema Datenschutz anhand von Erfahrungen, die ihre Schule bei der Einführung des ByCS-Messengers gemacht hat.