LOGINEO

Schwerwiegende Mängel kurz vor dem Roll-Out

Oktober 2017. Die Medienberatung NRW kann die Plattform „Logineo NRW“ wegen technischer Mängel nicht wie geplant nach den Herbstferien bereitstellen. Das berichtet die Neue Westfälische in der Ausgabe vom 24.10.2017. Zitiert wird der Sprecher der Medienberatung NRW, Georg Weber: "Die Mängel sind so bedeutsam, dass eine Abnahme des Produkts nicht vorgenommen wrden konnte." Im Wesentlichen handelt es sich laut Weber bei den Mängeln um Probleme bei der Anpassung und Integration verschiedener Open Source Produkte in "Logineo NRW", "die unerlässlich und aufgrund der hohen datenschutzrechtlichen Sicherheitsanforderungen notwendig sind." Außerdem würden Fehler beim Schnittstellenmanagement bestehen.
Durch diese Eingeständnisse wird deutlich, dass es sich bei LOGINEO-NRW offensichtlich um ein Softwareprodukt handelt das sich noch in der Beta-Phase befindet. Für dieses mangelhafte Produkt wurden sogar die wichtigsten datenschutzrechtlichen Bestimmungen für Schulen in NRW mit den Stimmen aller Parteien (außer den Piraten die sich enthalten haben) geändert.

Was ist LOGINEO?

Diese Frage ist sehr berechtigt, denn der Begriff umschreibt sowohl ein Produkt als auch einen Prozess, eine Initiative zur Verbesserung des Lernens mit neuen Medien. Für das Produkt LOGINEO verwenden die Protagonisten unerschiedliche Begriffe: "Arbeitsplattform", "geschützter Vertrauensraum", "webbasierte Basis-IT-Infrastruktur" (Link...). Technisch gesehen ist LOGINEO im Kern eine Webapplikation für Schulen, also ein Softwareprodukt. Das Produkt ist ein Angebot der kommunalen Systemhäuser „LVR-InfoKom“, dem „Kommunalen Rechenzentrum Niederrhein (KRZN)“ und „regio iT“-Aachen – eine „Allianz“, oder anders ausgedrückt ein sog. „Inhouse-Geschäft“ bei sich der Staat selbst ein Auftrag gibt ohne auf Konkurrenten oder Mitbewerber achten zu müssen.
LOGINEO wurde erstmals 2012 in Schulen in Hamburg und NRW "erprobt". In Hamburg wurde die Webapplikation den allgemeinbildenden Schulen unter dem Namen eduport (powered by LOGINEO) angeboten, und zwar nur den Lehrkräften. eduPort ist der Name für ein schulisches Zugangsportal der allgemeinbildenden Schulen in Hamburg. Die Beruflichen Schulen in Hamburg nutzen ein eigenes System (WiBes= Wissensmanagement für Berufliche Schulen). In NRW soll die Applikation allen Schulen unter dem Namen LOGINEO NRW angeboten werden, für Schülerinnen und Schüler und für Lehrkräfte.

Weniger Datenschutz dank LOGINEO NRW

Am 8.2.2017 beschließt der Landtag in NRW das größte Änderungspaket im Bereich des schulischen Datenschutzes der letzten Jahre. Die Begründung: Einführung von LOGINEO NRW, die sog. "Basis-IT-Infrastruktur", die NRW-Lösung zur Digitalisierung des Lernens. Jetzt wird deutlich: Das Projekt entpuppt sich als Trojanisches Pferd mit dem der Schutz von personenbezogenen Daten von Schülerinnen und Schülern sowie von Lehrkräften an Schulen durch die Hintertür verringert werden soll. Gutachten, Gesundheitszeugnisse, Anwesenheitslisten, Mahnbriefe,- alles soll in einer "NRW-Cloud" gespeichert werden dürfen, auch von privaten Endgeräten der Lehrkräfte. Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI) formulierte "durchgreifende datenschutzrechtliche Bedenken". Die Datenschutzänderungen wurden trotzdem beschlossen....

Begründungszusammenhänge

Ausgangspunkt für die Erstellung und Einführung von LOGINEO ist die These, dass die Digitalisierung von Schulen ohne geschützte Räume für pädagogische Prozesse stattgefunden hat und auch weiterhin stattfindet. Link...
Begründet wird diese These mit Nutzungsbeispielen aus Schulen für soziale Netzwerke, Messenger- und Cloud-Diensten (Facebook, WhatsApp, Dropbox u.s.w.) ohne Hinweise auf die empirische Relevanz dieser Beispiele. Aufbauend auf einer pauschalen Kritik an den "verwendeten Diensten" die sich nur unzureichend "einer europäischen bzw. deutschen Regulierung" unterwerfen würden, wird die Notwendigkeit eines eigenen, sicheren Alternative propagiert. Verknüpft wird diese Begründungslinie mit Auszügen aus dem 21. Datenschutz- und Informationsfreiheitsbericht 2013 der LDI (Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (Link...). Dort wird zum Thema "Transparenz der Verwaltung" im Zusammenhang mit der Bereitstellung von Informationen für Bürgerinnen und Bürger über eine Plattform mit Nachdruck dazu geraten, "eine solche Plattform ausschließlich in eigener, öffentlicher Regie zu errichten" (LDI 2013, S. 105). Dieser LDI-Rat aus dem Jahr 2013 wird von den LOGINEO-Protagonisten so umgedeutet:
"Der Landesbeauftragte für Datenschutz und Informationsfreiheit NRW weist in seinem 21. Datenschutz- und Informationsfreiheitsbericht 2013 darauf hin, dass bei Datenverarbeitungen mit Auslandsbezug besonders kritisch zu prüfen sei, ob Datenschutz und informationelle Selbstbestimmung gewährleistet werden können. Er rät deshalb dringend dazu, Informations- und Kommunikationsplattformen im öffentlichen Bereich, wie z. B. für Schule, „ausschließlich in eigener, öffentlicher Regie zu errichten“. (vgl. Link zum 21. Datenschutz- und Informationsfreiheitsbericht). Mit LOGINEO NRW wird das Land NRW seinen Schulen ein solches System anbieten." (Link... als Beweis für Fake-News!)
Ein aus dem Zusammenhang gerissenen Satz einer LDI-Veröffentlichung, angereichert mit Sachzusammenhängen ohne LDI -Urheberschaft muss herhalten um ein millonenschweres "Inhouse-Geschäft" zu begründen!

Datenschutz

Die datenschutzrechtliche Problematik konzentriert sich auf die Nutzung einer Cloud zu Speicherung von sensiblen Schülerdaten mit privaten Endgeräten der Lehrkräfte. Hier steht nach wie vor die LDI-NRW-Stellungnahme vom 30.6.2015 im Raum, die grundsätzliche datenschutzrechtliche Bedenken gegen die Nutzung privater Endgeräte zur Verarbeitung und Speicherung sensibler Daten von Schülern erhebt. Begründet werden diese Bedenken im Wesentlichen mit dem technischen Fortschritt der heimischen Endgeräte der Lehrerinnen und Lehrer in Netzwerkumgebungen mit WLAN und mobilen Endgeräten (Smartphones, Tablets), deren Sicherheit nicht mehr so nebenbei von Schulleitern geprüft werden kann. Dieser haftet dann wenn sensible Schülerdaten über den heimischen PC seiner Lehrkräfte ins Internet gelangen würden.

Ohne eine systematische datenschutzrechtliche Prüfung der Endgeräte der Lehrkräfte im heimischen Arbeitszimmer können aber Plattformen wie LOGINEO NRW/ Eduport-Hamburg überhaupt nicht rechtskonform betrieben werden.

Transparent wurden die datenschutzrechtlichen Probleme erst durch die 15-seitige LDI-Stellungnahme vom 30.6.2015, die von den maßgeblichen Akteuren , wie eine „geheime Verschlusssache“ behandelt worden ist. Weder die zuständigen Mitbestimmungsgremien noch die regionalen Datenschutzbeauftragten wurden informiert.

In der aktuellen Diskussion wird die LDI-Stellungnahme als „alter Sachstand“ abgetan. Diese Einschätzung war wohl etwas voreilig. In einem aktuellen Zeitschriftenaufsatz hat der Richter Dr. Ohrmann (vormals abgeordnet zur LDI) eine ausführliche rechtliche Bewertung abgegeben, die deutlich macht, dass LOGINEO auf privaten Endgeräten nicht rechtskonform betrieben werden kann. (SchVw NRW 2017, 47)
Zu dieser Einschätzung kommt auch der IT-Medienanwalt Christian Solmecke in einem Blog-Beitrag und der Datenschutzverein Digitalcourage e.V. aus Bielefeld: Link...

Ungeachtet der datenschutzrechtlichen Bedenken hat die Landesregierung NRW am 8.2.2017 die maßgeblichen Datenschutzbestimmungen für Schulen angepasst und sieht die Schulleitungen weiterhin in der Pflicht private Endgeräte für Lehrerinnen und Lehrer in ihrem Arbeitszimmer zu prüfen. Endsprechende „Handreichungen“ wurden an alle Schulleitungen verschickt. Sie sollen unterstützt werden durch die regionalen Datenschutzbeauftragten vor Ort in den Kommunen, die noch entsprechend fortgebildet werden müssen. Insgesamt eine Mammutaufgabe. Allein über 100.000 datenschutzrechtliche Verfahrensverzeichnisse müssen in NRW geschrieben werden. Jeder PC und jedes Tablet und jedes Smartphone muss exakt aufgeführt und geprüft werden. Eine Aktualisierung ist erforderlich sobald sich die Lehrkräfte mit neuen Geräten ausstatten.