Wenn die Kasse klingelt, aber das Hausrecht fehlt
Bayerische Kommunen kennen das Spielfeld gut. Auf der einen Seite das BayDiG (Art. 43), das seit seinem Inkrafttreten unmissverständlich sagt: Ein funktionierendes Informationssicherheitskonzept muss her. Auf der anderen Seite steht die örtliche Schule. Die Kommune zahlt als Sachaufwandsträger nicht nur für die Technik, gelegentlich wartet sie auch die Server und administriert die Switches. Man hat den Schlüssel zum Serverraum, man kennt jede IP-Adresse. Gefühlt ist das eine Einheit. Was liegt also näher, als die Schule einfach in den Geltungsbereich (Scope) des kommunalen ISMS aufzunehmen?
Gefühlt. Genau da liegt das Problem. Dieser Reflex führt in die Irre – rechtlich, methodisch und haftungstechnisch.
1. Die rechtliche Falle: Wer zahlt, schafft NICHT an
Im bayerischen Schulrecht ist die Rollenverteilung strikt:
- Der Freistaat Bayern trägt den Personalaufwand (Lehrer sind Staatsbeamte, Dienstaufsicht liegt beim Ministerium).
- Die Kommune trägt den Sachaufwand (wie Gebäude und IT-Infrastruktur).
Die Finanzierungsverantwortung begründet jedoch keine Weisungsbefugnis. Der Schulleiter untersteht nicht dem Bürgermeister. Wenn die Kommune die Schule in ihr ISMS presst, argumentiert sie am Gesetz vorbei. Das BayDiG verpflichtet öffentliche Stellen, die eigene Organisation abzusichern – nicht fremde Institutionen.
Der Datenschutz-Check:
Wer ist „Verantwortlicher“ im Sinne der DSGVO? Die Schule entscheidet über Zwecke und Mittel der Datenverarbeitung. Die Kommune stellt nur das Werkzeug bereit. Was im Datenschutz eine Auftragsverarbeitung (AVV) wäre, kann im ISMS nicht plötzlich zur eigenen Verantwortung werden.
2. ISMS-Methodik: Scope follows Control (nicht Budget!)
Ein ISMS (egal ob nach ISO 27001 oder IT-Grundschutz) umfasst nur das, was man tatsächlich steuern und anweisen kann.
Informationssicherheit ist kein reines IT-Thema
Hier liegt der größte Denkfehler: Die Kommune schraubt an der Firewall und denkt, die Sicherheit steht. Also ab damit ins ISMS. Und die Schule denkt: “Praktisch!” Aber Informationssicherheit umfasst auch die organisatorische und personelle Dimension:
- Der Mensch klickt: Wenn eine Lehrkraft einen dubiosen Anhang öffnet, hat die Kommune keine Handhabe.
- Keine Weisung: Die Gemeinde kann keine Pflichtschulungen für staatliches Lehrpersonal anordnen oder Nutzungsrichtlinien verbindlich durchsetzen.
Wer die Schule in seinen Scope aufnimmt, betreibt Scheinabsicherung. Im Schadensfall haftet die Kommune (und der Bürgermeister oder Landrat sogar schlimmstenfalls persönlich) für Versäumnisse in einem Bereich, den sie faktisch gar nicht kontrollieren konnte.
Die Geltungsbereich-Falle: Wenn gut gemeinte ISMS-Überlappungen zu echten Haftungsrisiken werden.
3. Die Lösung: Saubere Trennung statt falscher Liebe
Trennung ist hier keine Kapitulation, sondern professionelles Risikomanagement. Die Kommune muss zwei Rollen strikt trennen:
- Rolle: Sachaufwandsträger (Gesetzlich fixiert).
- Rolle: IT-Dienstleister (Freiwillig und sinnvoll).
So funktioniert das Dienstleister-Modell:
- Technische Trennung: Getrennte Netze, getrennte Systeme. Was nicht im kommunalen Netz hängt, gehört nicht in den kommunalen Informationsverbund. Und kann dort auch nicht zum Risiko werden.
- Vertragliche Basis: Ein belastbarer Vertrag über den Leistungsumfang (Was macht die Kommune? Was macht die Schule?).
- AVV nach Art. 28 DSGVO: Unverzichtbar, wenn personenbezogene Daten im Auftrag verarbeitet werden.
Im kommunalen ISMS taucht die Schule dann nur noch als Schnittstelle zu einer externen Partei auf – methodisch sauber und revisionskonform.
Agentin Ciphers Fazit: Klartext zur Lage
„Hört auf, Verantwortung zu simulieren, wo ihr keine Befugnisse habt. Ein ISMS-Scope ohne Durchgriffsrecht ist kein Sicherheitskonzept, sondern eine Haftungsfalle mit Ansage. Die Grenze eures ISMS ist die Schultür. Technisch trennen, vertraglich sauber regeln, fertig. Alles andere ist grob fahrlässiges Wunschdenken auf Kosten der kommunalen Haftung.“
Weiterführende Informationen & Downloads
Du möchtest tiefer in die Materie eintauchen oder die Argumentation schwarz auf weiß für deine nächste Sitzung mitnehmen? Hier findest du die detaillierte Analyse und die Zusammenfassung für die Entscheider:
Diese detaillierte Analyse beleuchtet die strukturellen Fehlannahmen bei der Einbindung von Schulen in das Informationssicherheitsmanagement (ISMS) bayerischer Kommunen. Auf Basis von Art. 43 BayDiG, dem bayerischen Erziehungs- und Unterrichtsgesetz (BayEUG) sowie den Standards ISO 27001 und IT-Grundschutz wird dargelegt, warum die Rolle des Sachaufwandsträgers keine Weisungsbefugnis begründet. Das Dokument liefert eine fundierte Argumentationshilfe für die saubere Trennung von Verantwortlichkeiten und stellt ein rechtssicheres Dienstleistermodell vor.
Kompaktes Briefing für die Behördenleitung und Entscheidungsträger. Dieses Dokument fasst die wesentlichen Risiken einer fehlerhaften ISMS-Einbindung von Schulen zusammen und zeigt den Lösungsweg über ein Dienstleistermodell auf. Es dient als Entscheidungsvorlage, um die Haftung der Kommune und der Behördenleitung durch eine saubere strukturelle Trennung (Scope-Abgrenzung) zu minimieren.
Hahn IT Services, Schwaig
2 Responses
Vielen Dank. Das Thema kommt bei uns auch immer wieder auf.
Ich bin als interner ISB der Verwaltung benannt. Und soll jetzt auch die Schule als ISB mitbetreuen. Geht das denn überhaupt?
Schönes Wochenende, Micha
Guten Morgen!
Wenn die Zeitanteile es zulassen, kann man natürlich für mehrere Organisationen als ISB tätig sein. Das wäre aber meiner Meinung nach genau zu beobachten, ob die Zeitanteile da wirklich realistisch eingeschätzt sind. Es geht ja nicht darum, pro forma irgendwelche Funktionen zu vergeben.
Kritischer würde ich es aber sehen, wenn eure Kommune umfassend IT-Services für die Schule erbringt. Da würde ich einen Interessenskonflikt annehmen, den ihr nicht auflösen könnt.
LG Sascha