Datenschutz und MDM-Systeme: Analyse und empfohlene Maßnahmen für den Einsatz von Jamf im Schulbetrieb
Die Datenschutzbehörde Rheinland-Pfalz hat das Mobile-Device-Management (MDM)-System Jamf genauer untersucht, das von vielen Schulträgern zur Verwaltung von iPads genutzt wird. Der Fokus der Analyse lag auf Zugriffsberechtigungen, Datenschutzrisiken bei der Einbindung privater Geräte (BYOD) und der Protokollierung von Daten. Dieser Beitrag beleuchtet die zentralen Datenschutzprobleme und gibt Handlungsempfehlungen.
1. Problematik: Zugriffsberechtigungen auf private Apps
Ein zentraler Kritikpunkt ist die Möglichkeit der Administratoren, privat installierte Apps auf Geräten der Schüler:innen und Eltern einzusehen. Auch wenn keine Inhalte der Apps abrufbar sind, erlaubt bereits die Anzeige von App-Namen Rückschlüsse auf sensible persönliche Informationen (z. B. Gesundheits- oder Lifestyle-Apps). Diese Funktionalität birgt erhebliche Risiken für den Schutz der Privatsphäre.
Empfohlene Maßnahmen:
- Rechtebeschränkungen umsetzen: Zugriffsrechte sollten strikt auf schulische Apps beschränkt werden. Administratoren dürfen keine Einsicht in private Apps haben.
- Unabhängige Rechtevergabe etablieren: Eine übergeordnete, von den Administratoren unabhängige Stelle sollte die Rechtevergabe kontrollieren und regeln.
- Systemkonfiguration anpassen: Die MDM-Konfiguration sollte durch Hersteller oder Anbieter überprüft und optimiert werden, um unnötige Zugriffsrechte zu entfernen.
Relevante Urteile und Rechtsgrundlagen:
- Laut DSGVO Artikel 5 Absatz 1 (Grundsätze der Datenverarbeitung) darf nur auf Daten zugegriffen werden, die für den vorgesehenen Zweck erforderlich sind.
- Das Urteil des Bundesverfassungsgerichts zur informationellen Selbstbestimmung (Volkszählungsurteil, 1983) verdeutlicht die hohe Bedeutung der Privatsphäre auch bei technischen Systemen.
2. Problematik: Ortung privater Geräte im „Lost-Modus“
Die Möglichkeit, private Geräte mittels GPS zu orten, wurde kritisch geprüft. Der Schulträger präsentierte eine datenschutzfreundliche Lösung: Die Ortung erfolgt nur auf schriftlichen Antrag der Eltern.
Empfohlene Maßnahmen:
- Verfahren dokumentieren: Schulen sollten den Prozess zur GPS-Ortung schriftlich festlegen und dokumentieren.
- Einwilligungsmanagement optimieren: Die Einwilligung der Eltern sollte präzise, freiwillig und widerruflich sein. Eine digitale Plattform könnte diesen Prozess erleichtern.
- Schulungen für Administratoren: Verantwortliche sollten regelmäßig geschult werden, um datenschutzfreundliche Handlungen sicherzustellen.
3. Problematik: Protokollierung und Speicherdauer
Die Standardkonfiguration von Jamf speichert Protokolldaten seit der Einführung und enthält Namen von Schüler:innen im Klartext. Dies widerspricht dem Grundsatz der Datensparsamkeit.
Empfohlene Maßnahmen:
- Speicherdauer begrenzen: Eine Speicherdauer von maximal sechs Monaten sollte implementiert werden. Diese Frist orientiert sich an der Zweckbindung der Daten (DSGVO Artikel 5 Absatz 1 Buchstabe e).
- Anonymisierung prüfen: Wo möglich, sollten Protokolldaten anonymisiert oder pseudonymisiert werden, um die Identifizierbarkeit von Personen zu reduzieren.
- Interne Richtlinien entwickeln: Jede Schule sollte ein Datenschutzkonzept mit klaren Vorgaben für Protokollierungspraktiken und deren Überprüfung erstellen.
Relevante Fachbeiträge und Praxisfälle:
- Die Datenschutzkonferenz (DSK) empfiehlt in ihren Orientierungshilfen für Protokolldaten konkrete Maßnahmen zur Reduktion der Datenmenge.
- Vergleichbare Fälle aus der Industrie zeigen, dass die Anonymisierung ein bewährtes Mittel zur Einhaltung datenschutzrechtlicher Vorgaben ist.
Die Analyse des MDM-Systems Jamf zeigt erhebliche Schwachstellen bei Zugriffsberechtigungen, der Einbindung privater Geräte und der Protokollierung. Datenschutzfreundliche Maßnahmen wie die Beschränkung von Rechten, transparente Prozesse und eine klare Regelung der Speicherdauer können diese Risiken minimieren. Schulen und Schulträger sind gefordert, nicht nur die rechtlichen Vorgaben der DSGVO einzuhalten, sondern auch den Schutz der Privatsphäre von Schüler:innen und Eltern aktiv zu gewährleisten.
Quelle: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Fragen Sie sich, ob Sie als Unternehmen bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Kontakt aufnehmen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
Dieser Absatz enthält Affiliatelinks/Werbelinks