Was sind besonders schützenswerte Daten? Dürfen wir Informationen zu Schülerinnen und Schülern, beispielsweise über ihre Gesundheit oder Lernschwierigkeiten, in einer Cloud speichern?
Informationen über die Gesundheit oder zu Lernschwierigkeiten zählen beispielsweise zu besonders schützenswerten Personendaten. Im Schweizer Datenschutzgesetz werden gewisse Kategorien von Personendaten aufgrund ihrer Sensitivät unter besonderen Schutz gestellt (ähnlich den kantonalen Datenschutzgesetzen). Weitere Beispiele für besonders schützenswerte Personendaten sind Informationen über religiöse oder politische Ansichten, Informationen zur Intimsphäre, ethnische Zugehörigkeit, genetische und biometrische Daten, Daten über verwaltungs- oder strafrechtliche Sanktionen sowie Massnahmen der sozialen Hilfe. Durch die Bearbeitung dieser Daten existiert ein erhöhtes Risiko, dass die Persönlichkeitsrechte der Betroffenen verletzt werden.
Position der kantonalen Datenschutzbeauftragten
In Bezug auf die Bearbeitung besonders schützenswerter Personendaten raten die meisten kantonalen Datenschutzbeauftragten klar von der Nutzung einer Public Cloud ab.
Die kantonalen Datenschutzbeauftragten sind daher mehrheitlich der Auffassung, dass Onlinedienste im Unterricht datenschutzkonform eingesetzt werden können. Denn dort werden in der Regel keine sensitiven Daten erstellt.
In der Schulverwaltung finden sich besonders schützenswerte Daten im Schulkontext in Dossiers zu Schülerinnen und Schülern wie auch in Personaldossiers (z.B. schulpsychologische Gutachten und Arztzeugnisse, diagnostische Berichte usw., Angaben zu disziplinarischen Verfahren, Angaben zur Gesundheit oder Intimsphäre). Es gilt zu beachten, dass zu den besonders schützenswerten Personendaten auch solche Angaben zählen, aus denen sich indirekte Schlüssen zur Person ziehen lassen, beispielsweise wie der Gesundheitszustand einer Person ist.
Zum Schutz dieser Daten müssen entsprechende technische und organisatorische Massnahmen (TOM) definiert und umgesetzt werden. Weitere Massnahmen sind zum Beispiel Schulung und Sensibilisierung der Mitarbeitenden, Informationen klar kennzeichnen (vgl. auch unser Dossier «
Weitere Hinweise in Bezug auf den Umgang mit Daten mit höherem Schutzbedarf – finden sich ebenso in den Empfehlungen in dem Merkblatt zu cloud-spezifischen Risiken und Massnahmen von privatim.
Was muss ich als Schulleiterin oder Schulleiter beachten, wenn Klassenlisten, Schulnoten, Notfallblätter, etc. in einer Cloud, z.B. von Microsoft Office 365 Education, gespeichert werden?
Die Schule ist auch bei einer Auslagerung in eine Cloud vollumfänglich für die Datenbearbeitung verantwortlich. Es handelt sich hierbei um eine Auftragsdatenbearbeitung, da die Schule die Bearbeitung von Daten einem Dritten in Auftrag gibt. Sie bearbeitet die Daten somit nicht (nur) selber.
Die Schule muss sicherstellen, dass der Cloud-Anbieter in der Lage ist, die Datensicherheit zu gewährleisten. Die in verschiedenen Bereichen bestehenden Risiken bei Cloud-Lösungen müssen durch die Schule mittels Massnahmen ausgeschlossen oder zumindest auf ein tragbares Mass reduziert werden.
Die Daten sind zumindest bei der Übertragung nach dem aktuellen Stand der Technik zu verschlüsseln. Bei der Bearbeitung der Daten durch den Cloud-Anbieter ist die Vertraulichkeit durch geeignete Massnahmen angemessen zu schützen. Weiteres findet sich auf dem Merkblatt Cloud-spezifische Risiken und Massnahmen von privatim.
Der Transport sowie die Speicherung der Daten sind bei Microsoft 365 bereits verschlüsselt, wobei Microsoft über den Schlüssel verfügt. Für die Verschlüsselung in der Cloud bestehen verschiedene Ansätze wie eine in Microsoft 365 integrierte Bearbeitung mit Hoheit über die verwendeten Schlüssel bei der Schule (diese Lösung ist technisch anspruchsvoll und teuer), Verschlüsselung via Lösung eines Drittanbieters, Verschlüsselung manuell über eine Lösung einer lokal genutzten Applikation oder über einen Dienst eines Drittanbieters (s. Leitfaden Microsoft 365 im Bildungsbereich, Ziff. 4 der Datenschutzbeauftragten des Kanton Zürich). Für die konkrete Anwendung kann sich auch eine Beratung bei der zuständigen kantonalen Datenschutzaufsichtsstelle lohnen.
Haben Sie Fragen zu Datennutzung und Datenschutz, die hier nicht beantwortet werden? Schicken Sie uns Ihre Anfrage.