Inhalt

Die Anlaufstelle für Datennutzung und Datenschutz unterstützt bei diesen Fragen und generiert so eine kollektive Wissensbasis für den digitalen Bildungsraum Schweiz. Die Antworten erarbeiten wir gemeinsam mit Fachpersonen. Ethische Perspektiven und die bildungspolitischen Rahmenbedingungen fliessen ebenso in unsere Antworten ein wie die Tauglichkeit für die Bildungspraxis und deren Anschlussfähigkeit an bestehende Systemkomponenten. Die nachfolgenden Fragen wurden uns von Schulleitungen, Lehrpersonen und Bildungsverwaltung gestellt. Wir ergänzen die Themengebiete laufend.

Fragen erwünscht

Haben Sie Fragen zu Datennutzung und Datenschutz, die hier nicht beantwortet werden? Schicken Sie uns Ihre Anfrage.

Weitergabe von Personendaten

Als Schule möchten wir eine neue digitale Lernanwendung für den Mathematikunterricht einsetzen. Der Anbieter verlangt folgende Personendaten für das Erstellen von Benutzerkonten:

  • Benutzername 

  • Schule 

  • Alter

  • Geburtsdatum

  • Geschlecht

Dürfen wir diese Daten an den Anbieter herausgeben?

Schulleitungen tragen die Verantwortung für die Datenschutzkonformität der von ihnen verwendeten Lernanwendung. Bei der Entscheidung, ob personenbezogene Daten an Anbieter weitergegeben werden dürfen, gilt es mehrere datenschutzrechtliche Aspekte zu berücksichtigen.

Personendaten dürfen nur im Rahmen des schulischen Auftrags bearbeitet werden (definiert im Volksschulgesetz). Die Bearbeitung muss sich nach den Prinzipien des jeweiligen kantonalen Datenschutzgesetzes richten. Grundsätzlich gilt das Prinzip der Zweckbindung. Beispielsweise dürfen Daten nicht an private Online-Dienste übermittelt werden. Oftmals sind Alter, Geburtsdatum und Geschlecht für die Auftragserfüllung durch den Anbieter nicht notwendig und dürfen aus diesem Grund auch nicht weitergegeben werden.

Für jede Datenbekanntgabe an Dritte gilt als oberstes Prinzip die Verhältnismässigkeit. Das bedeutet, dass nur die Informationen weitergegeben werden dürfen, die für die jeweilige Aufgabenerfüllung notwendig sind.

Aufgrund der unterschiedlichen Voraussetzungen ist bei der Bekanntgabe von schulischen Informationen zu unterscheiden zwischen

  • der internen Weitergabe,
  • der externen Bekanntgabe,
  • der Art der Informationen, 
  • dem bekannt gebenden Organ,
  • dem Datenempfänger.

Bei der Bekanntgabe von Personendaten gegenüber Anbietern handelt es sich um eine externe Bekanntgabe. Auskünfte an Dritte im öffentlich-rechtlichen Kontext dürfen nur bei Vorliegen einer ausdrücklichen Einwilligung der Eltern oder für die Erfüllung einer gesetzlichen Pflicht (gegenüber der Polizei, dem Migrationsamt, dem Schulpsychologischen Dienst usw.) erteilt werden.

Entscheidet sich eine Schulleitung für den Einsatz einer Lernanwendung, müssen die Schülerinnen und Schüler bzw. deren Erziehungsberechtigte ausreichend über die Lernanwendung informiert werden. Dazu gehören auch Informationen über mögliche Datenschutzeinstellungen.

Edulog

Im Auftrag der Kantone bietet Edulog eine einfache, sichere und mobile Lösung. Mit Edulog wird für Schülerinnen und Schüler, für Lernende sowie für die Mitarbeitenden von Bildungseinrichtungen der Zugang zu Online-Diensten in Schule und Unterricht vereinfacht und vereinheitlicht.

Edulog speichert selber keine Informationen. Diese bleiben unter der Kontrolle der Identitätsanbieter (Kanton, Gemeinde oder Schule). Beim Login übermittelt Edulog nur die wesentlichen Daten, die für eine Autorisierung beim Dienst notwendig sind. Welche Informationen an einen Dienst weitergeleitet werden, hält Edulog vertraglich fest. Den Nutzerinnen und Nutzer steht ein Dashboard zur Verfügung. Auf diesem Dashboard können sie jederzeit einsehen, welche Informationen Edulog während des Login-Vorgangs an welchen Dienst übermittelt hat. Zudem setzt Edulog alle zum Schutz der Daten notwendigen technischen und organisatorischen Massnahmen (TOM) um. Edulog analysiert laufend, welchen neuen Risiken die Daten potentiell ausgesetzt sein könnten und verbessert deren Schutz. 

Unser Schulsekretariat erhielt in den letzten Monaten vermehrt Anfragen von Erziehungsberechtigten, die wissen möchten, welche Daten in der Schule über ihr Kind vorliegen und wie wir diese verwenden oder allenfalls auch weitergeben. Vor allem auch den Übertritt in die Sekundarstufe I betreffend. 

Gerne möchten wir erfahren, ob und in welcher Form wir solche Anfragen beantworten sollen. Für uns stellen diese Anfragen einen erheblichen Zeitaufwand dar und wir sind an konkreten Handlungsempfehlungen interessiert. 

Ihre Frage betrifft das Auskunftsrecht, das zu den Betroffenenrechten (Art. 25 ff. des Bundesgesetzes über den Datenschutz bzw. entsprechende Bestimmungen in den kantonalen Datenschutzgesetzen) gehört. Es gibt den betroffenen Personen Instrumente an die Hand, um ihre Rechte aus dem Datenschutzgesetz gegenüber dem Verantwortlichen geltend zu machen. Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden. Das Auskunftsrecht gewährleistet eine transparente Datenbearbeitung. Bei Minderjährigen stehen die Betroffenenrechte den Sorgeberechtigten zu. Wenn in einer Schule regelmässig Betroffenenrechte geltend gemacht werden, lohnt es sich, interne Prozesse zu implementieren und Musterantwortschreiben vorzubereiten. Dies setzt voraus, dass in der Schule jede Datenbearbeitung bekannt ist und sie so weiss, welche Personendaten bearbeitet werden. Dafür bietet sich zum Beispiel ein Bearbeitungsverzeichnis oder Datenschutzmanagementsystem (DSMS) an.

Das Verzeichnis der Bearbeitungstätigkeiten enthält insbesondere:

  1. die Identität der verantwortlichen Person
  2. den Zweck der Bearbeitung
  3. den Zeitraum der Aufbewahrung
  4. die Beschreibung der technischen und organisatorischen Datensicherheitsmassnahmen (TOM), wobei am besten auf die internen IT-Sicherheitsrichtlinien verwiesen wird.

Das Auskunftsrecht kann jederzeit und grundsätzlich ohne Begründung geltend gemacht werden. In der Regel ist das Auskunftsbegehren schriftlich zu stellen. Die Auskunft muss grundsätzlich innerhalb von 30 Tagen kostenlos erteilt werden. 

Eine Musterantwort zum Auskunftsbegehren bietet der Kanton St. Gallen. Weitere Informationen zum Auskunftsrecht finden sich im Lexikon der Datenschutzbeauftragten des Kantons Zürich, auf der Website des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten wie auch im Leitfaden zu Datenschutz in den Schulen des Kantons Basel-Landschaft

Eine Schule überlegt, Informationen wie Klassenlisten, Stundenpläne und Kontaktdaten der Lehrpersonen auf einem Elternportal zugänglich zu machen. Ist dies aus datenschutzrechtlicher Sicht zulässig und was ist dabei zu beachten?

Die Frage, ob und in welchem Umfang Informationen wie Klassenlisten veröffentlicht und den Eltern zugänglich gemacht werden sollen, ist kritisch zu betrachten. Im Folgenden sind die wichtigsten Punkte aufgeführt, die für einen datenschutzkonformen Umgang zu beachten sind.

Einholen der Einwilligung: Es muss vorab die Einwilligung aller Betroffenen eingeholt werden sowie möglichst klar und transparent kommuniziert werden, wer alles Zugriff auf das Portal hat. Die Einwilligung ist aktuell zu halten und sorgfältig zu dokumentieren.

Beschränkung der Publikation: Falls eine Veröffentlichung auf dem Schulportal erfolgt (auch wenn ein Login erforderlich ist), sollte diese möglichst auf den Klassenverband beschränkt werden.

Zweckbindung und Datenminimierung: Lässt sich eine klassenübergreifende Veröffentlichung nicht vermeiden, ist darauf zu achten, dass die Zweckbindung und die Verhältnismässigkeit eingehalten werden. Das bedeutet, dass die Schule transparent machen muss, zu welchem Zweck sie die Daten benötigt. Personenbezogene Daten dürfen nur zu dem Zweck bearbeitet werden, zu dem sie erhoben wurden, und nur so lange, wie dies zur Erfüllung dieses Zwecks erforderlich ist. Danach sind sie zu vernichten oder zu anonymisieren.

Transparenz: Die betroffenen Personen müssen wissen, wie, wo und warum ihre Daten bearbeitet werden. Dies setzt voraus, dass alle Informationen über die Bearbeitung von Personendaten klar, zugänglich, nachvollziehbar und verständlich sind.

Unterschiedliche Einwilligungen für unterschiedliche Zwecke: Werden personenbezogene Daten für unterschiedliche Zwecke erhoben werden, z.B. für schulische Leistungen oder Ausflüge, ist für jeden Zweck eine gesonderte Einwilligung erforderlich. Pauschale Einwilligungen genügen in der Regel den gesetzlichen Anforderungen nicht.

Ein Anbieter von Sommerlagern möchte von Ihrer Schule die Namen und Mail- bzw. Postadressen von Schülerinnen und Schülern erhalten, um jenen Informationen und einen Flyer zum diesjährigen Sommerlager schicken zu können. Geben Sie als Schulsekretär die Daten heraus?

Sie dürfen als Schule die Personendaten wie Namen und Adressen der Schülerinnen und Schüler gemäss dem Volksschulgesetz Ihres Kantons für die Schulorganisation sammeln und bearbeiten. Es ist Ihnen jedoch nicht erlaubt, die Daten ausserhalb dieses Zwecks zu benutzen und an Dritte weiterzugeben. Die Werbung für ein ausserschulisches Sommerlager gehört nicht zum vom Volksschulgesetz abgedeckten Zweck der Schule. Beispielsweise können Sie dem Anbieter erlauben, ein Plakat des Sommerlagers am Schwarzen Brett anzupinnen und dort Flyer auszulegen. Denkbar wäre auch, dass die Klassenlehrpersonen die Informationen und den Flyer (freiwillig) verteilen, wenn das Angebot grundsätzlich mit dem Schulzweck vereinbar ist.

Betreffend der Verarbeitung von Personendaten gilt für öffentliche Schulen das jeweilige kantonale Datenschutzgesetz.

Lernende haben persönliche Informationen über mich als Lehrperson auf Social Media geteilt. Wie kann ich hier vorgehen?

Zunächst kommt es darauf an, um was für Informationen es sich handelt: falsche Informationen, frei zugängliche Informationen, Beleidigungen, Videos oder anderes? Vorab empfiehlt es sich, die entsprechenden Schülerinnen und Schüler, um die Löschung des Inhalts zu bitten.

Wenn Sie als Lehrperson einen Text oder ein Bild von sich von den sozialen Medien entfernt haben möchten, da diese Ihre Persönlichkeitsrechte verletzen, haben Sie die Möglichkeit sich bei der entsprechenden Social-Media-Plattform zu melden. Die Anbieterin respektive der Anbieter wird die Meldung prüfen und basierend auf ihrem Standard entsprechende Massnahmen ergreifen.

Sind durch die Publikation Persönlichkeitsrechte verletzt (z.B. unvorteilhafte oder unrichtige Darstellungen), greift der Persönlichkeitsschutz gemäss Art. 28 des Zivilgesetzbuchs (ZGB). Sie können dann vor dem Zivilgericht auf Unterlassung bzw. Beseitigung klagen. Zivilprozesse sind jedoch beweismässig und finanziell aufwändig.

Unter Umständen liegt sogar eine strafrechtliche Ehrverletzung gemäss Art. 173 Strafgesetzbuch (StGB) (üble Nachrede) vor – nämlich dann, wenn Sie als Lehrperson durch den Beitrag auf den sozialen Medien als nicht ehrbarer Mensch erscheinen. Sie müssten dann innert 3 Monaten Strafanzeige erstatten. Jedoch stellt nicht jede als ehrverletzend empfundene Aussage einen Straftatbestand dar.

Speicherung von Daten in der Cloud

Was muss ich als Schulleiterin oder Schulleiter beachten, wenn Klassenlisten, Schulnoten, Notfallblätter, etc. in einer Cloud, z.B. von Microsoft Office 365 Education, gespeichert werden?

Die Schule ist auch bei einer Auslagerung in eine Cloud vollumfänglich für die Datenbearbeitung verantwortlich. Es handelt sich hierbei um eine Auftragsdatenbearbeitung, da die Schule die Bearbeitung von Daten einem Dritten in Auftrag gibt. Sie bearbeitet die Daten somit nicht (nur) selber.

Die Schule muss sicherstellen, dass der Cloud-Anbieter in der Lage ist, die Datensicherheit zu gewährleisten. Die in verschiedenen Bereichen bestehenden Risiken bei Cloud-Lösungen müssen durch die Schule mittels Massnahmen ausgeschlossen oder zumindest auf ein tragbares Mass reduziert werden.

Die Daten sind zumindest bei der Übertragung nach dem aktuellen Stand der Technik zu verschlüsseln. Bei der Bearbeitung der Daten durch den Cloud-Anbieter ist die Vertraulichkeit durch geeignete Massnahmen angemessen zu schützen. Weiteres findet sich auf dem Merkblatt Cloud-spezifische Risiken und Massnahmen von privatim.

Der Transport sowie die Speicherung der Daten sind bei Microsoft 365 bereits verschlüsselt, wobei Microsoft über den Schlüssel verfügt. Für die Verschlüsselung in der Cloud bestehen verschiedene Ansätze wie eine in Microsoft 365 integrierte Bearbeitung mit Hoheit über die verwendeten Schlüssel bei der Schule (diese Lösung ist technisch anspruchsvoll und teuer), Verschlüsselung via Lösung eines Drittanbieters, Verschlüsselung manuell über eine Lösung einer lokal genutzten Applikation oder über einen Dienst eines Drittanbieters (s. Leitfaden Microsoft 365 im Bildungsbereich, Ziff. 4 der Datenschutzbeauftragten des Kanton Zürich). Für die konkrete Anwendung kann sich auch eine Beratung bei der zuständigen kantonalen Datenschutzaufsichtsstelle lohnen.

Einsatz von eigenen Geräten für schulische Zwecke (BYOD)

An unserer Schule besteht der Verdacht, dass über die gemischt finanzierten Geräte Mobbing stattfindet. Dürfen wir als Schule die Nachrichten auf den Geräten einsehen? Und was können wir sonst noch tun, um damit umzugehen?

Jeder Verdacht auf Mobbing muss ernst genommen werden und erfordert sofortiges Handeln. Bevor Einsicht in die digitalen Geräte verlangt wird, sollte das Gespräch mit den betroffenen Schülerinnen und Schülern gesucht werden. Die Ernsthaftigkeit der Situation ist sorgfältig zu prüfen. Beispielsweise sollten folgende Fragen geklärt werden: Ist der Mobbingverdacht begründet? Gibt es Drohungen? Welche konkreten Anzeichen gibt es? Häufen sich solche Vorfällen?

Sollte sich der Verdacht erhärten, kann der Zugriff auf die Geräte geprüft werden. Manchmal erlauben es die Lizenzrechte der verwendeten Software, auf die Inhalte zuzugreifen. Beispielsweise kann eine Schullizenz für MS Teams der Schule spezielle Zugriffsrechte einräumen.

Es ist zu überprüfen, ob die Eltern bei der Inbetriebnahme der Geräte eine Einverständniserklärung unterschrieben haben, die das Recht auf Einsichtnahme auf alle Anwendungen beinhaltet. Damit behält sich die Schulleitung das Recht vor, in besonderen Fällen auf die Geräte der Schülerinnen und Schüler zuzugreifen.

Für die Beweisführung ist es wichtig, dass die Einsicht in die Geräte erfolgt, bevor die Daten gelöscht worden sind. Wenn Einsichtsrechte seitens des Lizenzgebers und der Eltern bestehen, ist dies wie erwähnt möglich. Darüber hinaus sollten alle relevanten Beweise, die sich auf den gemischt finanzierten Geräten befinden, gesichert werden. Dies können Textnachrichten, Bilder oder andere digitale Kommunikation sein.

Wenn der Verdacht besteht, dass die fraglichen Inhalte strafrechtlich relevant sind, sollte die Polizei eingeschaltet werden. Dies kann zum Beispiel bei Drohung, Nötigung oder Drogenhandel der Fall sein.

Die meisten Schul- bzw. Bildungsgesetze und die jeweiligen Verordnungen sehen vor, dass gegen Lernende disziplinarische Massnahmen ergriffen werden können. Unter bestimmten Umständen können Geräte auch eingezogen werden. Regelungen zum Fehlverhalten finden sich jeweils auch in Reglementen der Schule oder der Gemeinde.
 

Unsere Schülerinnen und Schüler benutzen im Unterricht IT-Geräte, die teilweise privat finanziert werden. Gibt es dabei etwas Besonderes zu beachten?

Wenn (teilweise) private Geräte (Smartphones, Notebooks, Tablets) zur Erfüllung der schulischen Aufgaben eingesetzt werden, müssen die Informationen mit den geeigneten organisatorischen und technischen Massnahmen (TOM) geschützt werden. Folgende Massnahmen sind mindestens erforderlich:

  • Ein Passwort- oder PIN-Schutz
  • Die Installation eines Virenschutzes
  • Eine aktuelle Firewall
  • Regelmässige Updates
  • Verschlüsselung bei der Speicherung und Übermittlung sensibler Daten

Auch vollständig von der Schule finanzierte Geräte sind gemäss den Erlassen betreffend Nutzung von Hardware und Software der Schule oder der Gemeinde zu schützen.

Urheberrechte von Bildern, Text und Musik

Unsere Schule setzt ChatGPT in unterschiedlichen Anwendungskontexten als unterstützendes Tool im Unterricht ein. Aktuell liest man oft, dass beim Einsatz von KI das Urheberrecht zu beachten ist. Wie muss unsere Schule vorgehen, damit wir das Schweizerische Urheberrecht nicht verletzen?

Das Urheberrechtsgesetz regelt insbesondere den Schutz der Urheberinnen und Urheber von Werken der Literatur und Kunst. Bei der Nutzung von KI wird das Urheberrecht unterschiedlich tangiert. Einerseits sammeln und bereiten KI-Systeme sehr viele Daten – zum Teil auch von urheberrechtlich geschützten Werken – auf. Andererseits entstehen unter Umständen neue urheberrechtlich geschützte Werke. Somit stellen sich folgende Fragen: 

  • Ist die Nutzung von KI-Systemen per se legal mit Blick auf das Urheberrechtsgesetz?
  • Wie sollen neue durch KI-Systeme erstellte Ergebnisse urheberrechtlich behandelt werden?

Das Urheberrecht ist beim Einsatz von KI während des «Sammelns und Verbreitens von Daten» und der «konkreten Verwendung dieser Daten für das Training einer KI» betroffen. Eine Sammlung von Daten durch Kopieren, ohne die Quellen anzugeben, wie auch deren Speicherung sind gemäss schweizerischem Urheberrecht nicht zulässig. Diese Daten dann für das Verbreiten von Daten respektive das Training von einer KI zu verwenden, ist aus folgender Überlegung trotzdem legal: Ein Teil der juristischen Praxis vertritt die Ansicht, dass der Begriff der technischen Reproduktion beziehungsweise der Vervielfältigung aktuell auf längerfristige technische Kopierverfahren ausgerichtet ist. Im Zusammenhang mit dem Abrufen von Dateien und der Verwendung von Software im Allgemeinen kommen oft eher kurzzeitige Kopierverfahren vor. Das Training der KI selber würde somit keine urheberrechtlich relevante Vervielfältigungshandlung darstellen. Würde sich eine Vervielfältigung doch bejahen, könnte ein Ausnahmetatbestand herbeigezogen werden (z. B. die vorübergehende Vervielfältigung oder die technisch bedingte Vervielfältigung im Rahmen der wissenschaftlichen Forschung). 

Beim Training einer KI besteht in der juristischen Praxis keine Einigkeit, ob es sich dabei grundsätzlich um einen urheberrechtlich relevanten Umgang handelt. Eine gerichtliche Klärung steht dazu aus. Zudem hängt es wesentlich vom konkret anwendbaren Urheberrecht ab. 

Momentan ist davon auszugehen, dass mit dem Einsatz von KI-Tools und dem Zugriff auf urheberrechtlich geschützte Werke oder sonstige Arbeitsergebnisse das geltende schweizerische Urheberrecht nicht verletzt wird. ChatGPT kann somit aus urheberrechtlicher Sicht im Unterricht legal eingesetzt werden.

Betreffend KI-generierten Ergebnissen ist nicht eindeutig zu beantworten, ob es sich in diesen Fällen grundsätzlich um neu geschaffene und durch das Urheberrecht geschützte Werke handelt. In jedem Fall wird empfohlen, bei neuen Inhalten darauf hinzuweisen, dass sie von einer KI erzeugt wurden, und das Datum anzugeben, an dem sie erzeugt wurden (Beispiel: OpenAI’s ChatGPT, 14.6.2024). Hinsichtlich neuer Werke werden damit die Anforderungen ans Urheberrecht, falls anwendbar, gewahrt.

Quellen: 

Bei einer Theateraufführung der Schule haben eine Fotografin und Eltern Fotos und Videos gemacht. Die Klassenlehrperson möchte jedem Kind den Film der Aufführung auf einem Speichermedium zur Verfügung stellen. Auch Eltern haben Fotos und Videos gemacht und diese in sozialen Netzwerken veröffentlicht. Die Eltern eines Schülers, der auf den Videos zu sehen ist, beschweren sich. Wie ist die Aufnahme und Veröffentlichung von Bildmaterial durch die Schule zu beurteilen? Inwieweit ist die Schule für die Aufnahmen verantwortlich?

Das zivilrechtlich geschützte Recht am eigenen Bild (Art. 28 ZGB) ist stets zu wahren und bedarf im vorliegenden Fall immer einer Rechtfertigung in Form einer Einwilligung der betroffenen Person oder einer gesetzlichen Grundlage.

Aus urheberrechtlicher Sicht ist zwischen der Aufnahme einerseits und der Bereitstellung (Veröffentlichung) von Bildmaterial andererseits zu unterscheiden: Für die Aufnahme als solche ist aus urheberrechtlicher Sicht keine Einwilligung der Betroffenen erforderlich, wohl aber für die Veröffentlichung.

Zu unterscheiden ist auch zwischen den verschiedenen Personen, die fotografieren (Eltern, Lehrperson, Fotografin/Fotograf). Ebenso wie auch nach dem jeweiligen Zweck des Fotografierens oder Filmens, da dies für die spätere Beurteilung der Zweckbestimmung von Bedeutung ist. Je nachdem, wer zu welchem Zweck fotografiert oder filmt, bestehen unterschiedliche rechtliche Anforderungen (gesetzliche Grundlage, Einwilligung).

Für die Vorführung des Films vor der Klasse oder die Bereitstellung auf einem Speichermedium für jedes Kind genügt in der Regel das Schulgesetz als Rechtsgrundlage aus. Für weitere Veröffentlichungen ist die ausdrückliche Einwilligung der Erziehungsberechtigten sowie der beteiligten Schülerinnen und Schüler erforderlich. Bei Veröffentlichungen durch die Schule ist es wichtig, die Einwilligungen möglichst frühzeitig zu Beginn des Schuljahres einzuholen. Die Einverständniserklärung muss den Zweck der Bildherstellung oder -bearbeitung beinhalten. Je nach Situation muss für den aktuellen und konkreten Fall eine neue Einwilligung eingeholt werden. Die Eltern und das Kind können ihre Einwilligung jederzeit ohne Angabe von Gründen widerrufen.

Die Veröffentlichung in den sozialen Medien durch die Eltern liegt nicht im Verantwortungsbereich der Schule. Im Sinne der Prävention und Sensibilisierung könnte die Schule vor einer Theateraufführung darauf hinweisen, dass das Fotografieren der Kinder durch die Eltern bzw. die Veröffentlichung in den sozialen Medien nicht gestattet ist. 
 

Auf unserer Schulwebseite möchten wir in einem kurzen Videoclip unsere Schule vorstellen. Im Hintergrund soll dabei die Musik von Herbert Grönemeyer spielen. Wie müssen wir vorgehen, damit wir die verwendete Musik legal verwenden können?

An der Musik besitzt Herbert Grönemeyer beziehungsweise allenfalls seine Produktionsfirma die Urheberrechte. Da die Schulwebseite öffentlich ist, können Sie die Musik nicht ohne Lizenz verwenden. Sie müssen die Musiknutzung melden und lizenzieren. Dies geschieht in der Schweiz bei der SUISA, welche schweizweit die Urheberrechte von Musikschaffenden sowie Verlegerinnen und Verlegern vertritt. Die SUISA sorgt dafür, dass Komponistinnen, Textautoren oder Verlegerinnen Urheberrechtsentschädigungen erhalten, wenn ihr Werk öffentlich genutzt wird. Bei der SUISA können Sie die Zugänglichmachung, sowie die Einspeicherung von Audiodateien auf einem Server lizenzieren lassen. Es fällt eine Entschädigung an.

Unter Umständen kommt diese Lösung mit einem Song von Grönemeyer für eine Schule zu teuer. Dann können Sie auch auf lizenzfreie Musik ausweichen oder selbst eine musikalische Unterlegung produzieren.

Weitere Informationen zur Nutzung von urheberrechtlich geschützten musikalischen Werken in Schulen finden sich auf der Webseite der SUISA.


Unser Physiklehrer hat während seiner Laufbahn an unserer Schule ein Skript für den Unterricht erstellt. Da er nun die Schule verlässt, will er uns jenes nicht weiter zur Verfügung stellen und verweist dabei auf seine Urheberrechte. Ist das Urheberrecht für Unterrichtsmaterialien ebenfalls anwendbar?

Das Urheberrechtsgesetz (URG) gilt auch für Unterrichtsmaterialien. Bei Lehrpersonen ist es allerdings so, dass sie auch für das Erarbeiten und das Bereitstellen von Unterrichtsmaterialien angestellt und entlöhnt werden. Die Urhebernutzungsrechte werden daher regelmässig via Personalgesetz, Schulordnung oder Anstellungsvertrag an die Schule übertragen. Somit kann in der Regel die Schule über die Weiterverwendung von durch Lehrpersonen erstellte Unterrichtsmaterialien wie Skripte und dergleichen entscheiden.

Ausnahmen bestehen bei privat (und in der Freizeit) erstellten Werken, denn dort verbleibt das Urhebernutzungsrecht bei der Lehrperson. So kann sie bestimmen, ob und wo das Werk weiterverwendet wird.

Informations- und Datensicherheit in der Schule oder im Lehrbetrieb

Als Schule interessieren wir uns für eine Anwendung, die DSGVO-konform ist. Wir möchten sicherstellen, dass diese auch die Schweizer Gesetzgebung abdeckt. Können wir davon ausgehen, dass eine Anwendung, die die europäische Gesetzgebung einhält, auch die Schweizer Gesetze abdeckt oder müssen wir weitere rechtliche Abklärungen treffen? 

Vorab ist es wichtig zu wissen, dass für öffentlich-rechtliche Schulen die kantonalen Datenschutzgesetze gelten und nicht das Bundesgesetz über den Datenschutz (DSG). Dennoch verweisen wir auf die Bestimmungen des DSG, da die Regelungen häufig in die kantonalen Erlasse aufgenommen wurden.

Das schweizerische Datenschutzgesetz ist nicht deckungsgleich mit der europäischen Datenschutzgrundverordnung. Oft geht das revidierte Datenschutzgesetz weniger weit, ist weniger formalistisch oder weniger detailliert. In einigen Fällen gibt das Schweizer Datenschutzgesetz jedoch höhere Anforderungen vor. Ist eine Anwendung DSGVO-konform, so kann mit kleinem Aufwand geprüft werden, ob die Anwendung auch das Schweizer (oder die kantonalen Datenschutzgesetze) einhält.

Praxisrelevante Unterschiede finden sich in folgenden Bereichen:

  • Informationspflicht: Zur Erfüllung der Informationspflicht und im Sinne der Transparenz müsste die Schule gemäss DSG bei einer Datenbekanntgabe ins Ausland den betroffenen Personen das Empfängerland mitteilen. Eine weitere Möglichkeit ist, dass das Schulgesetz die Übermittlung ins Ausland bereits vorsieht.
  • Auftragsdatenbearbeitung: Wenn die Unternehmen oder Bundesbehörden eine Auftragsdatenbearbeitung in Anspruch nehmen (z.B. Auslagerung in eine Cloud), muss der Auftragnehmer die Datensicherheit ebenso gewährleisten können wie der Auftraggeber. Die Anforderungen an eine Auftragsdatenbearbeitung gehen im DSG weniger weit als die Vorgaben gemäss DSGVO. Verträge mit Auftragsbearbeitenden müssen somit nur redaktionell an das DSG angepasst werden, beispielsweise durch Verweisen auf die entsprechenden Artikel.
  • Meldung einer Datensicherheitsverletzung: Nach dem DSG muss eine Verletzung der Datensicherheit weniger rasch und nach leicht anderen Kriterien gemeldet werden als nach der DSGVO. Allerdings sind die Definitionen von besonders schützenswerten Personendaten im DSG weiter gefasst als in der DSGVO. Diese Unterschiede können je nach Schule und Anwendung eine Rolle spielen.

In unseren Beiträgen «Folgen des neuen Datenschutzgesetzes für Schulen» wie auch «Folgen des neuen Datenschutzgesetzes für Private und Bundesbehörden» haben wir uns mit den Anpassungen des revidierten Schweizer Datenschutzgesetzes auseinandergesetzt.

Die Passwortverwaltung unserer Schülerinnen und Schüler ist für unsere Schule eine Herausforderung. Insbesondere die korrekte Vorgehensweise beim Umgang mit «vergessenen» Passwörtern ist für Lehrpersonen wie auch für das Schulsekretariat mit hohem administrativen Aufwand verbunden. Auch die Zugriffsberechtigungen von Lehrpersonen und Schulverwaltung auf die Passwörter der Schülerinnen und Schüler sind unklar. Unser Passwortmanagement soll sicher und datenschutzkonform sein und den Schulalltag erleichtern. Wie gehen wir am Besten vor?

Um ein sicheres und datenschutzkonformes Passwortmanagement an Schulen zu gewährleisten, können verschiedene technische und organisatorische Massnahmen (TOM) ergriffen werden. Mögliche Massnahmen sind:

  • Erarbeitung eines Rollen- und Berechtigungskonzepts: Es ist ratsam, in den entsprechenden Anwendungen festzulegen, welche Personen Zugriff auf die Passwortdokumentationen benötigen (z.B. Schulleitung, Sekretariat, IT-Verantwortliche, Lehrpersonen).
  • Erstellung einer Weisung zu den Verantwortlichkeiten: Eine schriftliche Weisung sollte die Verantwortlichkeiten, Rechte und Pflichten der zugangsberechtigten Personen klar festhalten und von diesen unterzeichnet werden.
  • Zugangsbeschränkungen: Der Zugang zu Passwortdokumenten sollte auf die im Rollen- und Berechtigungs-Konzept festgelegten Personenkreis beschränkt werden. Dies kann entweder durch Rechtevergabe in der Dateiablage oder durch Verschlüsselung der Passwortdokumente erfolgen.
  • Verwaltung der Passwörter durch Lehrpersonen: Eine weitere Möglichkeit ist die Verwaltung der Passwörter durch Lehrpersonen. Auch hier ist am Besten, ein Rollen- und Berechtigungskonzept zu erstellen.
  • Passwortverwaltung über einen separaten Dienst: Passwörter können über einen separaten Dienst, entweder online oder lokal, verwaltet werden. Passwortmanager bieten eine gute Passwortübersicht sowie Verwaltungsmöglichkeiten.

Durch die Implementierung dieser Massnahmen kann eine sichere und datenschutzkonforme Verwaltung von Kennwörtern an Schulen gewährleistet werden. Je nach Dienst kann das Passwort zudem eigenständig zurückgesetzt werden. Dies hängt von den technischen Möglichkeiten ab.

Der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bietet einen Leitfaden zu den technischen und organisatorischen Massnahmen. Die Datenschutzbeauftragte des Kantons Zürich thematisiert im Leitfaden Microsoft 365 im Bildungsbereich das Rollen- und Berechtigungskonzept (vgl. Abschnitt 3.4.4) und informiert zu Passwortmanagern. Eine Übersicht über die Kennwortzurücksetzung bietet Microsoft 365 (siehe auch diese Praxisanleitung). 

Wie können wir als Schule sicherstellen, dass die Entsorgung von Geräten wie Computern und Tablets datenschutzkonform und fachgerecht erfolgt? Was ist zusätzlich zu beachten, wenn wir die Geräte an andere Institutionen weitergeben wollen?

Auch bei der Entsorgung von Altgeräten, insbesondere bei der Weitergabe an Dritte ist der Datenschutz zu gewährleisten.

In der Regel erfolgt die Entsorgung von Geräten über Swico, ein nicht gewinnorientiertes Rücknahmesystem für ausgediente Elektro- und Elektronikgeräte aus den Bereichen Informatik, Unterhaltungselektronik, Büro, Kommunikation, grafische Industrie sowie Mess- und Medizinaltechnik.

Schulen können Altgeräte ab einer Menge von 250 Kilogramm oder Grossgeräte ab einer Mindesthöhe von 80 Zentimetern kostenlos abholen lassen. Alle Swico-Vertragspartner sind verpflichtet, die Daten auf den abgegebenen Geräten vor unbefugtem Auslesen zu schützen. Weitere Informationen finden Sie auf der Website von Swico.

Um den Datenschutz zu gewährleisten, empfiehlt es sich, unabhängig vom Entsorgungsunternehmen, das Vorgehen idealerweise vor Auftragserteilung vertraglich oder zumindest schriftlich festzuhalten. Zudem sollte nach der Entsorgung ein entsprechendes Protokoll verlangt werden.

Die Art der Löschung hängt vom Gerätetyp und vom Betriebssystem ab. Kostenlose Anleitungen hierzu sind auf seriösen IT-Medienportalen im Internet zu finden. Bei der Verwendung von Löschprogrammen bleibt jedoch ein Restrisiko, da einige Speicherbereiche möglicherweise nicht erfasst werden. Aus diesem Grund wird empfohlen, vor der Weitergabe von Geräten alle Speicher zu demontieren und zu entsorgen.

Dies gewährleistet nicht nur den Datenschutz, sondern verhindert auch die ungewollte Weitergabe eigener Software-Lizenzen. Auch wenn Lehrpersonen die Geräte beruflich nutzen, muss die Schule in jedem Fall für eine sichere Löschung sorgen.

Sollen die Geräte aus Gründen der Nachhaltigkeit weitergegeben oder weiterverkauft werden, empfiehlt sich die Zusammenarbeit mit einem auf den Wiederverkauf von IT-Geräten spezialisierten Unternehmen, um die ordnungsgemässe Löschung und datenschutzkonforme Weitergabe der Geräte sicherzustellen.

Was ändert sich mit der Einführung des nDSG am 1. September 2023 für meine Schule? Muss ich als Schulleiterin selbst aktiv werden und/oder unterstützt mich eine andere Stelle?

Am 1. September 2023 ist das neue Datenschutzgesetz des Bundes in Kraft getreten (nDSG). Dieses ist für Bundesbehörden und Private anwendbar, nicht jedoch für kantonale und kommunale Stellen – wie es öffentliche Schulen darstellen. Für öffentliche Schulen gilt primär das jeweilige kantonale Datenschutzgesetz.

Am besten ist es, auf Gemeindeebene zu prüfen, ob eine Schule etwas (z.B. die Datenschutzerklärung auf ihrer Webseite) anpassen muss (siehe auch unser Beitrag «Folgen des neuen Datenschutzgesetzes für Schulen»).

Welche wesentlichen Änderungen müssen wir als Privatschule unter dem neuen Datenschutzgesetz beachten?

Am 1. September 2023 ist das revidierte Bundesgesetz über den Datenschutz in Kraft getreten (neues Datenschutzgesetz). Dieses ist nur für Bundesorgane und private Personen (inkl. Unternehmen) anwendbar. Für Bundesbehörden und Private gelten im Wesentlichen folgende Änderungen:

  • Ausweitung der Informationspflichten: Es muss unter anderen eine Datenschutzerklärung erstellt werden, die insbesondere den Bearbeitungszweck und die verantwortliche Person mit deren Kontaktdaten nennt.
  • Neu gibt es eine Pflicht, ein Datenbearbeitungsverzeichnis zu erfassen (mit Ausnahmen).
  • Die Sanktionen wurden verschärft, unter anderen gibt es neu Bussen von bis zu CHF 250'000.
  • Bei Verletzung der Datensicherheit mit voraussichtlich hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person muss die Privatschule (z.B. durch die Schulleitung oder verantwortliche Person) den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) so rasch wie möglich informieren.

Als Lehrperson würde ich gerne künstliche Intelligenz (KI) einsetzen, um die Arbeiten meiner Schülerinnen und Schüler zu beurteilen. Was muss ich aus rechtlicher Sicht beachten?

Wenn Sie als Lehrperson KI einsetzen möchten, um Arbeiten zu bewerten, müssen Sie neben den datenschutzrechtlichen auch die urheberrechtlichen Bestimmungen einhalten. Dies bedeutet, dass Sie zum Beispiel keine schöpferischen Daten von Lernenden in ChatGPT eingeben dürfen. Auch dürfen KI-Systeme bei der Bewertung nur als Hilfsmittel eingesetzt werden. Als Lehrperson sind Sie weiterhin verpflichtet, das Resultat gemäss Bewertungsraster zu überprüfen.

Umfassende Informationen zu KI/ChatGPT bietet der Digital Learning Hub des Kantons Zürich. Unter anderem erarbeitete der Digital Learning Hub auch Handreichungen und Empfehlungen für Schulen, Schülerinnen und Schüler und Lehrpersonen zum Einsatz von KI bei Vertiefungs- und Abschlussarbeiten.

Cybermobbing

An unserer Schule wird eine Schülerin seit etwa drei Monaten gemobbt. Mitschülerinnen und Mitschüler verbreiten über TikTok beleidigende Kommentare. Ausserdem werden Fotos veröffentlicht, die auf dem Schulgelände aufgenommen wurden und die betroffene Schülerin in peinlichen Situationen zeigen – teilweise bearbeitet und verfälscht. Welche rechtlichen Möglichkeiten hat die Schülerin und was können wir als Schule gegen Cybermobbing unternehmen?

Die Schülerin kann sich auf das Datenschutzgesetz (DSG) berufen. Das Gesetz schützt die Persönlichkeit und die Grundrechte von natürlichen Personen, deren persönliche Daten bearbeitet werden. Die Manipulation von Bildern, auf denen Personen abgebildet sind, stellt eine Bearbeitung von Personendaten dar.

Zudem schützt die Strafbestimmung des Identitätsdiebstahls (Art. 179decies StGB) die Schülerin. Es geht dabei um die Verwendung der Identität einer anderen Person ohne deren Einwilligung, um dieser zu schaden oder einem Dritten einen unrechtmässigen Vorteil zu verschaffen. Möglicherweise liegt auch ein Ehrverletzungsdelikt vor.

Der Schülerin wird empfohlen, ein Strafverfahren zu eröffnen. Im Gegensatz zu einem zivilrechtlichen Verfahren, das einen Kostenvorschuss erfordert, kann eine Strafanzeige in der Regel kostenfrei eingereicht werden. Zudem gilt die Offizialmaxime. Das bedeutet, dass die Strafverfolgungsbehörden von Amtes wegen ermitteln.

Schliesslich besteht die Möglichkeit, sich auf eine zivilrechtliche Persönlichkeitsverletzung nach Art. 28 ZGB zu berufen. Die Beseitigung der Verletzung, die Veröffentlichung des Urteils sowie gegebenenfalls Schadenersatz und finanzielle Ansprüche können dabei geltend gemacht werden. Ein Zivilverfahren ist jedoch wesentlich aufwändiger als ein Strafverfahren. Es ist für die Klägerin teurer und verlangt von ihr mehr Beweismittel. Zudem muss die beklagte Partei bekannt sein.

Verschiedene Kantone, der Dachverband Lehrerinnen und Lehrer Schweiz (LCH) sowie weitere Fachstellen bieten detaillierte Informationen zum konkreten Vorgehen und zur Prävention von Cybermobbing in Schulen. Hier eine Liste mit verfügbaren Materialien zum Thema Cybermobbing: