Navigieren auf Schulinfo Zug

Inhaltsnavigation auf dieser Seite

Navigation
  • Schule
  • Up in the clouds... there's no privacy?

Up in the clouds... there's no privacy?

04.11.2015
Cloud-Lösungen in der Schule beschäftigen die Datenschutzbeauftragten. Noch ist vieles im Argen, das soll sich im Kanton Zug aber bald ändern. Von Claudia Mund* Lehrpersonen und Schulen äussern ...
Bild Legende:

Cloud-Lösungen in der Schule beschäftigen die Datenschutzbeauftragten. Noch ist vieles im Argen, das soll sich im Kanton Zug aber bald ändern.

Von Claudia Mund*

Lehrpersonen und Schulen äussern gegenüber der Datenschutzstelle vermehrt den Wunsch nach Nutzung von Cloud-Lösungen. Cloud-Lösungen bieten den Vorteil, dass Dateien ohne grossen administrativen Aufwand ausgetauscht und synchronisiert werden können. Sie erlauben mehreren Nutzern einen unabhängigen Datenzugriff über das Internet. Längst schon nutzen wir in unserem Alltag Cloud-Lösungen, um Ferienfotos mit unseren Liebsten auszutauschen oder eigene Dateien jederzeit per Internet zur Verfügung zu haben. Es ist verständlich, dass diese Entwicklung nicht vor dem Arbeitsplatz bzw. dem Schulzimmer halt macht.

Die Crux bei Cloud-Lösungen
IT-Administratoren und Datenschutzbeauftragte stellt diese Entwicklung vor grosse Herausforderungen. Bei Cloud-Lösungen lagern die Daten in einer Art «Datenwolke» auf fremden Rechnern, die weltweit verstreut sein können. Was wir im privaten Bereich aus unseren Händen geben und in Eigenverantwortung in eine uns unbekannte Cloud stellen, ist eine Sache. Was die Schulen als staatliche Organe mit administrativen (Schüler- oder Lehrer-)Daten machen, jedoch eine andere. Denn rechtlich gesehen handelt es sich bei der Benutzung einer Cloud-Anwendung durch Schulbehörden um eine Datenbearbeitung im Auftrag (auch Auslagerung oder Outsourcing). Sie untersteht strengen gesetzlichen Datenschutz- und Datensicherheitsanforderungen. Die Verantwortung für die Einhaltung dieser Anforderungen tragen die Schulen bzw. die Lehrpersonen. Gerade bei den gängigsten Cloud-Lösungen wie Dropbox, iCloud, OneDrive oder GoogleDrive werden jedoch die technischen und organisatorischen Details des Betriebs von den Cloud-Anbietern diktiert. Es stehen den Schulen keinerlei Gestaltungs- oder Kontrollrechte zu. Zudem ist gänzlich unbekannt, wo die Daten abgelegt sind. Befindet sich der Rechner im Ausland, ist auch die Durchsetzung des nationalen Rechts nicht mehr gewährleistet.

Dürfen Daten überhaupt in die Cloud?
Gesetzliche Schweigepflichten können einer Cloud-Lösung entgegenstehen. Zu denken ist hier an das Amtsgeheimnis der Lehrpersonen, an das Berufsgeheimnis im Schulpsychologischen Dienst oder die Schweigepflicht in der Schulsozialarbeit. Es muss auch immer die Frage nach der «Cloud-Tauglichkeit» gestellt werden. Denn bei Cloud-Lösungen kann nicht ausgeschlossen werden, dass auch Unberechtigte auf die Daten zugreifen können. Je sensibler die Daten sind, desto höher ist der Schutzbedarf. So sind etwa Unterrichtsmaterialien, Folien oder Stundenpläne anders zu behandeln als Aufsätze oder Noten von Schülerinnen und Schülern, Arztzeugnisse oder psychologische Gutachten. Je höher der Schutzbedarf ist, desto höher sind die technischen, organisatorischen und rechtlichen Anforderungen, die ein Cloud-Anbieter erfüllen muss. Gerade die gängigsten Cloud-Lösungen wie Dropbox, iCloud, OneDrive oder GoogleDrive erfüllen diese Anforderungen nicht. Diese Anbieter verwenden vorgegebene Vertragsbestimmungen, die nicht verhandelbar sind und jederzeit einseitig abgeändert werden können. Die Schulen können ihre Verantwortung für die Sicherheit und Vertraulichkeit der Daten somit gar nicht wahrnehmen. Um die gesetzlichen Anforderungen zu gewährleisten, ist grundsätzlich ein schriftlicher Vertrag zwischen der Schule und dem Cloud-Anbieter erforderlich. Auch muss die Umsetzung und Einhaltung der organisatorischen, technischen und rechtlichen Rahmenbedingungen von den Schulen laufend überprüft werden. Bei den gängigsten Cloud-Lösungen stehen den Schulen jedoch keinerlei Kontrollrechte zu.

Zusatzvereinbarung für Office 365
Privatim, die Vereinigung der schweizerischen Datenschutzbeauftragten, hat zwei Merkblätter zur Cloud-Nutzung durch öffentliche Organe und durch Schulen herausgegeben . Zudem hat Microsoft dank Privatim seine Vertragsbedingungen für die Cloud-Lösung Office 365 für Schweizer Bildungsinstitutionen so angepasst, dass der Einsatz von Office 365 im Schulbereich datenschutzkonform möglich ist. Die Schulbehörden können mit Unterzeichnung dieser Zusatzvereinbarung erreichen, dass die Verantwortlichkeiten klar geregelt sind, die Datenbearbeitung in Europa erfolgen muss, Kontrollmöglichkeiten der Schulbehörden bestehen, schweizerisches Recht anwendbar ist und der Gerichtsstand in der Schweiz liegt. Es ist aber wichtig zu betonen, dass trotz dieser Zusatzvereinbarung die Schulbehörden nicht davon befreit sind, organisatorische und technische Massnahmen zu ergreifen, um die damit bearbeiteten Personendaten vor unberechtigten Zugriffen zu schützen, beispielsweise durch zusätzliche Verschlüsselungssoftware.

Das Thema ist aktuell und wichtig. Die Datenschutzbeauftragte wird sich der Cloud-Thematik annehmen, mit dem Ziel, für die Schulen mehr Rechtssicherheit und Klarheit im Umgang mit Cloud-Lösungen zu schaffen. Sie wird zu gegebener Zeit ihre Ergebnisse präsentieren.

*Dr. iur. Claudia Mund ist Juristin und seit Januar 2015 die neue Datenschutzbeauftragte des Kantons Zug. Sie steht Schülerinnen und Schülern bzw. deren Eltern, Lehrpersonen sowie den Schulbehörden für Auskünfte und Beratung im Umgang mit Personendaten zur Verfügung. Weitere Informationen zum Thema Datenschutz und Datensicherheit erhalten Sie unter www.datenschutz-zug.ch oder Tel. 041 728 31 87.

Weitere Informationen

hidden placeholder

behoerden

Fusszeile