Wie erleben Sie die aktuelle Situation bezogen auf den Datenschutz allgemein und den Datenschutz im Schulwesen?

Im ersten Moment hat man das Gefühl, der Datenschutz spiele bei dieser ausserordentlichen Lage keine Rolle. Doch sehr schnell wird klar, dass mit Homeoffice und Fernunterricht die Art und Weise der Datenbearbeitungen sich stark ändert, ohne dass hierfür grosse Vorbereitungen getroffen werden konnten. Mit privaten Computern, die meist keinen hohen Sicherheitsstandard aufweisen, und neuen Anwendungen für die Zusammenarbeit, die in Bezug auf die Verwendung und die Sicherheit der Daten sehr intransparent sind, bewegen sich viele Nutzerinnen und Nutzer in einem digitalen Umfeld, das viele offene Türen für Cyberkriminelle hat. Eine Erpressungs-Software («Ransomware») auf einem privaten Computer oder der Missbrauch von vertraulichen Daten kann rasch den ganzen (Schul-)betrieb lahmlegen oder betroffene Personen ungewollt exponieren. Die öffentlichen Organe und die Schulen befinden sich mitten in einem geplanten digitalen Umbruch. Die ausserordentliche Lage zwingt nun, neue Anwendungen bereits jetzt einzuführen und Massnahmen zu priorisieren. Zu diesen Massnahmen gehören auch der Datenschutz und die Datensicherheit.

Was müssen Bildungseinrichtungen hinsichtlich des Datenschutzes bei der Umstellung auf Fernunterricht konkret beachten?

Die meisten Schulen müssen erst noch eine Infrastruktur für einen umfassenden Fernunterricht aufbauen. Die Zeit für die Erstellung von grossen Konzepten fehlt. In erster Linie ist es deshalb wichtig, dass man Anwendungen auswählt, die grundsätzlich den Datenschutz und eine angemessene Datensicherheit gewährleisten. Zum Glück konnte privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, in den letzten zwei Jahren mit den drei grossen Anbietern Apple, Microsoft und Google vertragliche Bedingungen für einen datenschutzkonformen Einsatz ihrer Produkte im Bildungsbereich aushandeln. Diese sind auch Grundlage der Rahmenverträge von Educa. In der Umsetzung verlangen diese Produkte aber auch entsprechende Anpassungen, um den Schutz und die Sicherheit der Daten zu gewährleisten. Dies kann der zuständige Informatikverantwortliche der Schule zentral vornehmen. Wichtig erscheint mir auch, dass die Infrastruktur für den Fernunterricht vom administrativen Bereich der Schule getrennt ist, da hier wiederum andere Anforderungen bestehen und häufiger auch vertrauliche Daten bearbeitet werden.

Was unternehmen Sie gerade, um Bildungseinrichtungen bei der Einhaltung des Datenschutzes zu helfen?

Neben den erwähnten gibt es natürlich noch viele weitere Produkte, die für den Einsatz im Fernunterricht in Frage kommen. educa.ch leistet hier ja grosse Arbeit mit der Evaluation und Auswahl solcher Produkte. Es freut mich, dass educa.ch hier die Zusammenarbeit mit den Datenschutzbeauftragten gesucht hat. Wir beurteilen die uns vorgelegten Produkte nach den datenschutzrechtlichen und sicherheitstechnischen Kriterien. Zahlreiche Produkte waren schon vor der jetzigen Corona-Krise als datenschutzkonform im Einsatz. Schwieriger ist es mit anderen Produkten, insbesondere von globalen Anbietern, die die datenschutzrechtlichen Anforderungen nicht erfüllen. Wir prüfen sie, ob sie jetzt nicht dennoch für einen beschränkten Einsatz während der Krisenzeit in Frage kommen. Der Einsatz dieser Produkte ist später dann im Rahmen einer Risikoanalyse nach den datenschutzrechtlichen Kriterien zu beurteilen. Auch hier werden wir Unterstützung anbieten.

ähnliche Beiträge

Mit der stärkeren Verbreitung von KI-Systemen im Bildungssystem tauchen viele rechtliche Fragen auf. Antworten auf einige der drängendsten Fragen gibt ein neuer Bericht, der von uns in Auftrag gegeben wurde.

Schulen bearbeiten, speichern und verwalten viele schützenswerte (Personen-) Daten. Unser neues Dossier «Datenschutzkonforme Schule» unterstützt Schulen mit praxisnahen Hilfsmitteln im Umgang mit Personendaten. So soll Vertrauen in Schulen gestärkt und der Datenschutz verbessert werden. 

Bei digitalen Lehrmitteln und Lernapplikationen gibt es im föderalen Bildungssystem unterschiedliche Zuständigkeiten beim Datenschutz. Dies führt zu Unsicherheiten bei den Verantwortlichkeiten, wie das Datennutzungsprojekt im Kanton Aargau zeigt. Notwendig sind klare Verantwortlichkeiten und Sensibilisierung.

Die bestehende Vereinbarung (ehemals «Rahmenvertrag» genannt) mit Microsoft wurde bis Ende Juli 2025 verlängert. Ein externes Rechtsgutachten hält fest, dass die Rahmenvereinbarungen keine vergaberechtliche Grundlage darstellen.