Ausgabe der Halbjahresinformationen und Elternsprechtage

Hallo zusammen,

wie viele andere stehen wir vor der Aufgabe die Halbjahresinformationen an den Schüler zu bringen. Nachdem ich im Forum zu Moodle auf lehrerfortbildung-bw gelesen habe, dass die Phantasien, Noten auf Moodle für die Schüler abzulegen nur mit Zwei-Faktor-Authentifizierung realisierbar sind, haben wir uns (kleine Schule mit 120 Schülern) dazu entschieden, die Halbjahresinformationen ohne Unterschrift und Stempel per Post zu verschicken. Da reicht wohl ein verschlossener Umschlag.

So, jetzt kommt’s:
Die Schule meines Sohnes arbeitet mit MS Teams. Heute verschicken die eine Mail an die Schüler, die sie bitte an die Eltern weiterleiten. Die Halbjahresinformation werden per „verschlüsselter Mail“ über das E-Mail-Konto bei Microsoft direkt an die Schüler verschickt. Wer das nicht will, kann es ja später an der Schule abholen.
Bei mir hat der Schluckauf schon bei der verschlüsselten Mail angefangen. In der Praxis wird zwischen Client und Server verschlüsselt und dann wieder vom Server zum Client. Auf dem Server liegt die Mail dann wahrscheinlich unverschlüsselt rum.
Dann noch die Vorgehensweise … die Eltern, die von ihren Sprösslingen die Mail nicht weitergeleitet bekommen, werden dann damit überrascht, dass die Noten nun bei Microsoft liegen.
Da liegen sie schon, denke ich, oder wie wurden wohl die Notenkonferenzen abgehalten? Muss ich mal nachhaken.
Mit dem Elternsprechtag geht es grad so weiter. Über das Schülerkonto auf MS Teams. Meine Herren, war das nicht bei Moodle total verboten, dass die Eltern über den Schüleraccount irgendwas machen?

Ich würde mich freuen, wenn jemand ein paar Quellen hätte, wie ein legales Vorgehen aussieht. Ich habe nicht vor, jemandem ans Bein zu pinkeln, sind ja Kollegen, aber da wird nach meinem unvollkommenen Rechtsverständnis der Datenschutz mit einer Dreistigkeit ausgehebelt, der Seinesgleichen sucht.

VG
Christian

Hallo Christian,

Bei mir hat der Schluckauf schon bei der verschlüsselten Mail
angefangen. In der Praxis wird zwischen Client und Server verschlüsselt
und dann wieder vom Server zum Client. Auf dem Server liegt die Mail
dann wahrscheinlich unverschlüsselt rum.

korrekt.
Ende zu Ende nur mit PGP oder S/MIME
Ich würde mal bei der Schule nachfragen, was die meinen mit „verschlüsselt“.

und dann noch ein Schmankerl: bei MS Teams darfst du nur mit Pseudonamen
arbeiten: also nicht: Max Müller hat den Nutzernamen max.mueller und die
email Adresse max.mueller@deineschule.de

Wenn die da "personenbezogene Daten (Zeugnis) unverschlüsselt rein
legen, dann ist die pseudonymisierung hin …
Denn auch wenn das Zeugnis keinen Stempel hat, dann steht da doch
trotzdem im Kopf „Zeugnis von Max Müller“

Wenn die das nicht ordentlich verschlüsseln, dannist das sowas von illegal.
Ich würde dann einfach mal beim Datenschutzbeauftragten der Schule
nachfragen, ob das so OK ist … und wenn der nicht reagiert, eine Ebene
drüber (LfD)

LG

Holger

Hallo Holger,

danke, das mit den Klarnamen ist da natürlich durch die E-Mail in der Form vorname.nachname schon hinfällig.
Ich habe zunächst an die Schulleitung geschrieben, ob das datenschutzrechtlich geprüft wurde.
Mal sehen, was kommt. Dann gibt es immer noch höhere Stellen.
Andrerseits will ich gar nicht so quengeln, solange mein Sohn dort auf der Schule ist.
VG

Christian

Hallo,

mir fällt dazu nur ein Wort ein: Unfassbar.

Wie kann man auch nur auf den Gedanken kommen?!?
Selbst wenn man als gesamte Schule technisch keine Ahnung hat und tatsächlich glaubt, Mails seien „vertrauliche“ Kommunikation. Aber dann auch noch über M$ ?!? Kopfschüttel.

Ach so klar: M$ ist ja sicher und datenschutzkonform - sagt Frau Eisenmann. Na dann muss das natürlich so sein :rofl:

:rofl:

Viele Grüße
Steffen

Hallo!

@Christian: Das geht jetzt nicht gegen dich persönlich, aber genau das ist der Grund warum die Eisermanns dieser Welt so verfahren können, wie sie es tun:

Eigentlich ist doch schon alles gesagt. :frowning:

Nachtrag: Aber ich verstehe schon Christians Bedenken in der Situation in der er und seine Familie steckt. Es darf erst gar nicht durch Entscheidungen der „Führung“ zu solch einer Zwangslage kommen! Um es frei nach Shakespeare zu sagen: „Es ist etwas faul in diesem Land!“ Betonung liegt auf Land nicht nur auf Ländle.

Beste Grüße

Thorsten

Da sind ja immer mehrere SMTP-Server involviert und es ist immer noch nicht selbstverstaendlich, dass diese alle untereinander verschluesseln, da tauchen in der Kette immer wieder welche auf, die keine Verschluesselung unterstuetzen, das steht im Mailheader. Deshalb sind ja S/MIME bzw. GnuPG so wichtig fuer wirklich authentifizierte, geheime, verbindliche und integere Mails (hahaha…Lehrer macht Unterricht, „Nennen Sie vier Merkmale von „sicherer“ Kommunikation.“

Gruss Harry

Hallo Holger,
in Bayern sehen die Datenschutzrichtlinien vor, dass eine E-Mail-Adresse max.mueller@deineschule.de heißen darf. Der Name gehört zu den Daten, die als notwendige Datenweitergabe angesehen werden und viele Schulen (wir selbst nutzen MS Teams nicht) machen das auch genau nach dem Muster. Gibt es da eine Vorschrift in der DSGVO, die das verbietet, weil du das so sagst?
Das mit den Zeugnissen ist davon völlig unbenommen etwas, was nicht geht, das ist absolut eindeutig geregelt…
Liebe Grüße
Harald

Danke für eure Hinweise und Überlegungen.
Hat jemand eine Richtlinie von oben bekommen, wie man die Halbjahresinformationen verteilen darf oder muss das jede Schule selbst rausfinden?
VG
Christian

Hallo Christian,

hier Niedersachsen:

  1. Die Ausgabe der Zeugnisse kann gestaffelt von Mittwoch, d. 27.01.2021
    bis Freitag, d. 05.02.2021 stattfinden. Das auf dem
    Zeugnis zu vermerkende Datum ist der 29.01.2021. Dies Datum ist
    unabhängig davon zu verwenden, wann Sie die Zeugnisse
    an die Schülerinnen und Schüler verteilen.
    Die Schulen organisieren die Ausgabe der Zeugnisse bitte vor Ort
    eigenverantwortlich in dem oben erwähnten Zeitraum.
    Eine Versendung der Zeugnisse per Post ist ebenfalls möglich.

Ist also bei uns schon Geschichte und wird dir wohl nicht weiterhelfen. Also nix E-Mail!

Beste Grüße

Thorsten

Hallo Thorsten,

für BW habe ich nun auch Informationen:

  • im Laufe des Februars analog möglich (bis 28.2.)
  • auch: Verschicken einer nicht unterschriebenen Zeugniskopie (Sach-und Personalkosten)
  • bei Ausgabe in Präsenz: gestaffelt, durch Schule gesteuert, unter Berücksichtigung des ÖPNV
  • per Scan im geschützten Moodle-/BBB-Bereich, auch über Cloud per Link und passwortgeschütztem Dokument
  • NICHT datenschutzkonform: per Kettenbrief (i.e. Email) über ASV

Unsere neue Sekretärin ist sehr fix, sie hat schon alle Halbjahresinformationen versandbereit auf dem Tisch, also wie ganz oben geschrieben, gehen die per Post raus.
Moodle wäre wohl auch gegangen, es steht zumindest nichts von zwingender Zwei-Faktor-Authentifizierung für Lehrer drin.

VG
Christian

Hallo Harry,

In der Praxis wird zwischen Client und Server verschlüsselt und dann
wieder vom Server zum Client.

Da sind ja immer mehrere SMTP-Server involviert und es ist immer noch
nicht selbstverstaendlich, dass diese alle untereinander verschluesseln,
da tauchen in der Kette immer wieder welche auf, die keine
Verschluesselung unterstuetzen, das steht im Mailheader.

… da hätte ich im Jahr 2021 eigentlich wenig Angst: ich glaube, dass
die untereinander inzwischen alle verschlüsseln.

Ist aber auch gar nicht nötig: es reicht dass die Mails beim Provider
selbst unverschlüsselt liegen.
Man kann ja mal Nutzer fragen, was vom Briefgeheimnis ihrer Meinung nach
übrigbleibt, wenn die Briefe in allen Poststellen die sie durchlaufen
geöffnet werden und gelesen werden können (macht keiner … ist schon
klar, gell? … ach so: außer google: die lassen BOTs drüber laufen und
Schlüsselbegriffe zu finden um das „Erlebnis bei Werbung“ zu verbessern
… da haben sich die Leute mal drüber aufgeregt … ist aber lange her
und die meisten haben es vergessen … Würde „heiligenschein“ Apple
natürlich nie machen … und MS auch nicht … nee…)

LG

Holger

Hallo!
Wir geben die Informationen (es sind bei uns ja keine Zeugnisse, außer in der Kursstufe) in Schichten auf dem Schulhof aus. Wer nicht kommen mag, muss es nicht abholen. Finde ich eine vernünftige gesundheits- und datensichere Lösung.
LG
Max

Hallo Holger!

Da bin ich mir nicht so sicher. Selbst wenn sie die verschlüsselt annehmen und auch verschlüsselt weiterleiten, was passiert auf dem Host?

Also perse -> unsicher!

LG

Thorsten

Hallo,

Wir geben die Informationen (es sind bei uns ja keine Zeugnisse, außer
in der Kursstufe) in Schichten auf dem Schulhof aus. Wer nicht kommen
mag, muss es nicht abholen. Finde ich eine vernünftige gesundheits- und
datensichere Lösung.

so macht es meine Schule auch und die Realschule auch (anderer Schulhof).

LG

Holger

Hallo Thorsten,

… da hätte ich im Jahr 2021 eigentlich wenig Angst: ich glaube, dass
die untereinander inzwischen alle verschlüsseln.

Da bin ich mir nicht so sicher. Selbst wenn sie die verschlüsselt
annehmen und auch verschlüsselt weiterleiten, was passiert auf dem Host?

… aber genau das habe ich doch gesagt?
Auf dem SMTP Host sind sie unverschlüsselt: und das ist schlimm genug.

Also perse -> unsicher!

meine Rede …

LG

Holger

Hallo!

Übrigens darf die Schule auch nicht gegen den Datenschutz verstoßen,
wenn die Betroffenen zugestimmt haben.
(„Eine Einwilligung der betroffenen Mitarbeiter im
Beschäftigungsverhältnis oder der Schüler in die Weitergabe von
Nutzungsdaten an Microsoft scheidet wegen des klaren Ungleichgewichts
zwischen Schule und Mitarbeiter bzw. Schüler aus (vgl. Erwägungsgrund 43
der Datenschutzgrundverordnung – DSGVO).“)

Wenn die Zeugnisse unverschlüsselt auf US-amerikanischen Servern liegen,
dann ist das illegal und ich hoffe, dass dieser Rechtsbruch die
entsprechenden Konsequenzen nach sich zieht, auch wenn führende
Politiker dazu ermuntert haben.

Sollte sich niemand dagegen wehren, sei es auch nur um seine
Schutzbefohlenen zu schützen, dann wäre das die Bankrotterklärung
unseres Rechtsstaats.

Gruß - Rainer

Hallo,

Sollte sich niemand dagegen wehren, sei es auch nur um seine
Schutzbefohlenen zu schützen, dann wäre das die Bankrotterklärung
unseres Rechtsstaats.

… kann ich da nicht beschwerde beim LfD einreichen und ihm sagen, dass
er meinen Namen nicht nennen darf (er darf ihn wissen, aber er darf ihn
der Schule/ dem KM nicht sagen).
Der sollte ja fähig sein diese Information zu schützen …

LG

Holger

Hallo,

auch wenn ich und viele andere es nicht glauben wollen. Es gibt in Microsoft 365 die Funktion der verschlüsselten Mails, die auch auf den Server unterwegs nicht lesbar sind.

Also auf dem Papier erfüllt Microsoft 365 wirklich viele Anforderungen. Das ist doch zumindest rechtlich eine sichere Sache.
Umgekehrt frage ich mich, wie man die Zwei-Faktor-Authentifizierung in Moodle umsetzt bzw. umsetzen soll? Geht das nur mit TOTP? Dann bräuchte man zwingend immer ein Smartphone/Tablet dabei und das am Besten kein Privatgerät.
VG
Christian

Hallo Christian,

hm. Aber unabhängig davon müssen wir das so oder so bald nutzen, und die große Mehrheit der KuK und SuS sind begeistert.

Ich habe 2FA mal versucht, beim Belwü-Moodle für meinen Account zu aktivieren. Das Modul ist da, es hat aber nicht funktioniert.
Würde glaube ich auch nur mit TOTP gehen.

Viele Grüße
Steffen

Verschlüsselung ist wirklich kein triviales Thema. Drum frage ich nach, ob ich diese „verschlüsselten Mails“ von Microsoft richtig verstanden habe.
Jemand legt mir einen Briefumschlag in den Briefkasten meiner Wohnung in der Wohnanlage. Der Briefkastenschlüssel hängt in meiner Wohnung. Nun kann ich mit diesem Schlüssel den Briefkasten aufmachen und dann den Brief öffnen. Oder ich frage den Hausmeister, ob er mir den Briefkasten aufmacht, was er nur tut, wenn er weiß, dass ich zu dem Briefkasten gehöre.
Eigentlich super. Das Problem ist halt, dass der Hausmeister jeden Briefkasten aufmachen kann, wann er will. Ist das so?
VG
Christian