Was muss ich als Schulleiterin oder Schulleiter beachten, wenn Klassenlisten, Schulnoten, Notfallblätter, etc. in einer Cloud, z.B. von Microsoft Office 365 Education, gespeichert werden?

Die Schule ist auch bei einer Auslagerung in eine Cloud vollumfänglich für die Datenbearbeitung verantwortlich. Es handelt sich hierbei um eine Auftragsdatenbearbeitung, da die Schule die Bearbeitung von Daten einem Dritten in Auftrag gibt. Sie bearbeitet die Daten somit nicht (nur) selber.

Die Schule muss sicherstellen, dass der Cloud-Anbieter in der Lage ist, die Datensicherheit zu gewährleisten. Die in verschiedenen Bereichen bestehenden Risiken bei Cloud-Lösungen müssen durch die Schule mittels Massnahmen ausgeschlossen oder zumindest auf ein tragbares Mass reduziert werden.

Die Daten sind zumindest bei der Übertragung nach dem aktuellen Stand der Technik zu verschlüsseln. Bei der Bearbeitung der Daten durch den Cloud-Anbieter ist die Vertraulichkeit durch geeignete Massnahmen angemessen zu schützen. Weiteres findet sich auf dem Merkblatt Cloud-spezifische Risiken und Massnahmen von privatim.

Der Transport sowie die Speicherung der Daten sind bei Microsoft 365 bereits verschlüsselt, wobei Microsoft über den Schlüssel verfügt. Für die Verschlüsselung in der Cloud bestehen verschiedene Ansätze wie eine in Microsoft 365 integrierte Bearbeitung mit Hoheit über die verwendeten Schlüssel bei der Schule (diese Lösung ist technisch anspruchsvoll und teuer), Verschlüsselung via Lösung eines Drittanbieters, Verschlüsselung manuell über eine Lösung einer lokal genutzten Applikation oder über einen Dienst eines Drittanbieters (s. Leitfaden Microsoft 365 im Bildungsbereich, Ziff. 4 der Datenschutzbeauftragten des Kanton Zürich). Für die konkrete Anwendung kann sich auch eine Beratung bei der zuständigen kantonalen Datenschutzaufsichtsstelle lohnen.

Fragen erwünscht

Haben Sie Fragen zu Datennutzung und Datenschutz, die hier nicht beantwortet werden? Schicken Sie uns Ihre Anfrage.