Die Beschaffung von IT-Systemen, die für die schulische bzw. unterrichtliche Nutzung bestmöglich geeignet sind, muss unter Berücksichtigung der Anforderungen aus den schulspezifischen Zielen und Einsatzszenarien vorbereitet und entschieden werden. Die allgemeinen schulartübergreifenden Ziele und Inhalte der Medienbildung und Digitalen Bildung sind in der Bekanntmachung des Bayerischen Staatsministeriums für Unterricht und Kultus vom 24. Oktober 2012 Az.: III.4-5 S 1356-3.18- 725 „Medienbildung – Medienerziehung und informationstechnische Bildung in der Schule“ festgehalten
(siehe https://www.verkuendung-bayern.de/amtsblatt/dokument/kwmbl-2012-22-357/).
Rechtliche Hinweise und Ausführungen zur Datensicherheit finden sich insbesondere in der Bekanntmachung des Bayerischen Staatsministeriums für Unterricht und Kultus vom 14. Juli 2022 Az.: I.3-BO4000.0/45/59 „Hinweise zur Nutzung der IT-Infrastruktur und des Internetzugangs an Schulen (Schulische IT-Infrastruktur und Internetzugang)“ (siehe https://www.verkuendung-bayern.de/baymbl/2022-436/) sowie der Bekanntmachung des Bayerischen Staatsministeriums für Unterricht und Kultus vom 14. Juli 2022, Az. I.3-V0781.4/96/30 „Vollzug des Datenschutzrechts an staatlichen Schulen (VollzBek DS – Schulen)“ (siehe https://www.verkuendung-bayern.de/baymbl/2022-435/).
- Konzeption von Schulnetzen
Die Konzeption eines Schulnetzes beeinflusst nachhaltig die pädagogische und verwaltungsbezogene Arbeit der Lehrkräfte bzw. des sonstigen pädagogischen Personals, die Nutzung durch die Schülerinnen und Schüler sowie die Anforderung an dessen technische Administration. Das Schulnetz muss deshalb insbesondere nach pädagogischen, didaktischen und auch rechtlichen Überlegungen konzipiert werden. Es stellt die infrastrukturelle Basis zur Umsetzung des schulischen Medienkonzepts dar.
Die Konzeption des Schulnetzes ist eine zentrale Aufgabe der Schule (Schulleitung, pädagogische Systembetreuung, Datenschutzbeauftragter, Lehrerkollegium, Medienkonzept-Team) in unmittelbarer Zusammenarbeit mit dem zuständigen Schulaufwandsträger.
Die nachfolgend aufgeführten Elemente und Grundstrukturen sind in Schulen vorhanden. Abwandlungen und Mischformen ergeben sich aus den spezifischen Anforderungen der jeweiligen Einsatzumgebung. Es wird darauf hingewiesen, dass mit der folgenden Darstellung keine pädagogisch begründeten Entscheidungen vorweggenommen werden oder rechtliche Prüfungen einhergehen. Rechtliche, insbesondere datenschutzrechtliche Aspekte, die bei der Planung von IT-Systemen an der Schule beachtet werden müssen, sind in Kapitel 1 c) unter dem Punkt Datenschutzrechtliche Aspekte bei Planung und Einsatz von IT-Systemen dargestellt.
Grundlegendes zur Netzwerkstruktur
Die dem Schulnetz zugrundeliegende Netzwerkstruktur bestimmt im Wesentlichen die Funktionalität sowie die Sicherheit im Netz und in den einzelnen Teilnetzen:
- Aufbau eines Netzwerks nach den gängigen Richtlinien (Primär-, Sekundärverkabelung in Glasfaser, Tertiärverkabelung in Kupfer, flächendeckendes WLAN) (siehe Kapitel 7 a))
- Trennung von Verwaltungsnetz und Unterrichtsnetz z. B. logisch mit VLANs- und definierten Übergängen durch entsprechende Firewall-Regeln oder über separate Internetanschlüsse
- falls erforderlich weitere Segmentierung des Unterrichtsnetzes in Teilnetze bzw. VLANs, (z. B. Unterrichtsnetz, Lehrernetz, u. a.) die jeweils kabelgebundenen und/oder drahtlosen Zugang ermöglichen (siehe Kapitel 7 c)).
- Breitbandiger Internetanschluss (siehe Kapitel 8)
Verwaltungsnetz
Im Verwaltungsnetz wird mit sensiblen und personenbezogenen Daten gearbeitet. Diese werden vollständig oder zum Teil dort gespeichert (z. B. auf einem Server innerhalb des Verwaltungsbereichs).
Das Verwaltungsnetz ist ein besonders geschütztes Netzwerk, in dem erhöhte Sicherheitsrichtlinien gelten, z. B. Zugang nur über individuelle Benutzerauthentifizierung mit klar geregelten Zugriffsrechten und einer physischen Zutrittskontrolle zum Verwaltungsbereich der Schule. Es können noch weitere strengere Sicherheitsrichtlinien definiert werden, z. B. kein WLAN-Zugang zum Verwaltungsnetz.
Das Verwaltungsnetz benötigt Zugang zum Internet. Gegebenenfalls können einzelne Verwaltungsdienste (z. B. ASV) in eine Cloud oder zu einem externen Dienstleister ausgelagert werden. In diesem Fall ist ein entsprechender Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO notwendig.
Externer Zugang zum Verwaltungsnetz
Ein externer Zugang zum Verwaltungsnetz kann unter Berücksichtigung entsprechender Sicherheitsrichtlinien für berechtigte Personen gewährt werden (z. B. VPN-Zugang mit Zwei-Faktor-Authentifizierung).
Unterrichtsnetz
Im Unterrichtsnetz steht die Eröffnung möglichst vielfältiger Einsatzszenarien und unterrichtlicher Methoden im Vordergrund. Nicht erforderliche Restriktionen sind in diesem Netz hinderlich und können das pädagogische Wirken beeinträchtigen. Die Verzahnung digitalen Arbeitens zuhause, an außerschulischen Lernorten sowie in der Schule soll problemlos möglich sein. Dies kann z. B. durch einen orts- und zeitunabhängigen Zugriff auf unterrichtliche Dateien erreicht werden.
Zentral angebotene Dienste, z. B. innerhalb der BayernCloud Schule (siehe Kapitel
6 a)), erweitern die pädagogischen Möglichkeiten und entlasten zugleich die pädagogische Systembetreuung und die Schulaufwandsträger bei der Pflege und Administration. Dazu ist es nötig, dass die Schule über einen möglichst performanten, breitbandigen Zugang zum Internet verfügt.
Authentifizierung
Schülerinnen, Schüler und Lehrkräfte sowie sonstiges pädagogisches Personal können mit schuleigenen oder privaten Geräten auf das Netzwerk der Schule und darüber auf das Internet zugreifen. Eine individuelle Authentifizierung im Netzwerk der Schule ist dazu nicht notwendig. Eine benutzerbezogene Anmeldung innerhalb der Schule kann sinnvoll sein, wenn auf Ressourcen und Dienste (z. B. Schulserver) innerhalb der Schule zugegriffen werden soll.
Die Authentifizierung bei Clouddiensten erfolgt, sofern dies notwendig ist, beim Zugriff. Die Angebote der BayernCloud Schule verfügen über eine zentrale Nutzerauthentifizierung (Single Sign-On). Die Datensicherheit wird durch den Anbieter des zentralen Dienstes gewährleistet und vertraglich mit diesem vereinbart.
Protokollierung
Eine umfassende Protokollierung der Aktivitäten der Schülerinnen und Schüler, der Lehrkräfte sowie des sonstigen an der Schule tätigen Personals innerhalb der Schule ist in der Regel nicht notwendig und in den meisten Fällen auch nicht sinnvoll (z. B. Protokollierung der Internetzugriffe). Falls diese aus spezifischem Anlass dennoch erfolgen soll, muss die datenschutzrechtliche Zulässigkeit der Protokollierung nach üblichen Kriterien wie Zweck, Erfordernis, Erlaubnis und Datensparsamkeit gewährleistet sein (siehe Kapitel 3 e)).
Innerhalb der genutzten Clouddienste kann eine Protokollierung der Schüleraktivitäten erfolgen (z. B. Protokollierung der Anmeldeversuche oder Protokollierung von Lernaktivitäten). Dies ist üblicherweise in den Nutzungsbedingungen des Clouddienstes geregelt.
Zugang zum WLAN
Wenn der Zugang zum WLAN ausschließlich dem Internetzugriff dient, sind keine erhöhten Sicherheitsanforderungen notwendig. Es genügt z. B. eine WPA2/WPA3-Verschlüsselung mit einem gemeinsamen Schlüssel (Pre-Shared Key). Eine zusätzliche Authentifizierung mit persönlichen Zugangsdaten ist nicht notwendig. Der gemeinsame Schlüssel kann innerhalb der Schule bekannt gegeben werden und sollte regelmäßig, z. B. zum Schuljahreswechsel, geändert werden.
Internetzugang mit Webfilter
Der Zugang zum Internet sollte auch bei Nutzung eines Webfilters möglichst frei und ohne merkliche Beeinträchtigung möglich sein. Grundsätzlich ist es geboten beispielsweise jugendgefährdende Inhalte und Schadsoftware (z. B. Phishing-Requests, Malware, Command and Control Requests) abzuwehren. Dies kann technisch über eine entsprechende Firewall oder eine DNS-Filterung sichergestellt werden (siehe Kapitel
8 c)).