Fragen an die Anlaufstelle für Datennutzung und Datenschutz

Ein Anbieter von Sommerlagern möchte von Ihrer Schule die Namen und Mail- bzw. Postadressen von Schülerinnen und Schülern erhalten, um jenen Informationen und einen Flyer zum diesjährigen Sommerlager schicken zu können. Geben Sie als Schulsekretär die Daten heraus?

Sie dürfen als Schule die Personendaten wie Namen und Adressen der Schülerinnen und Schüler gemäss dem Volksschulgesetz Ihres Kantons für die Schulorganisation sammeln und bearbeiten. Es ist Ihnen jedoch nicht erlaubt, die Daten ausserhalb dieses Zwecks zu benutzen und an Dritte weiterzugeben. Die Werbung für ein ausserschulisches Sommerlager gehört nicht zum vom Volksschulgesetz abgedeckten Zweck der Schule. Beispielsweise können Sie dem Anbieter erlauben, ein Plakat des Sommerlagers am Schwarzen Brett anzupinnen und dort Flyer auszulegen. Denkbar wäre auch, dass die Klassenlehrpersonen die Informationen und den Flyer (freiwillig) verteilen, wenn das Angebot grundsätzlich mit dem Schulzweck vereinbar ist.

Betreffend der Verarbeitung von Personendaten gilt für öffentliche Schulen das jeweilige kantonale Datenschutzgesetz.

Lernende haben persönliche Informationen über mich als Lehrperson auf Social Media geteilt. Wie kann ich hier vorgehen?

Zunächst kommt es darauf an, um was für Informationen es sich handelt: falsche Informationen, frei zugängliche Informationen, Beleidigungen, Videos oder anderes? Vorab empfiehlt es sich, die entsprechenden Schülerinnen und Schüler, um die Löschung des Inhalts zu bitten.

Wenn Sie als Lehrperson einen Text oder ein Bild von sich von den sozialen Medien entfernt haben möchten, da diese Ihre Persönlichkeitsrechte verletzen, haben Sie die Möglichkeit sich bei der entsprechenden Social-Media-Plattform zu melden. Die Anbieterin respektive der Anbieter wird die Meldung prüfen und basierend auf ihrem Standard entsprechende Massnahmen ergreifen.

Sind durch die Publikation Persönlichkeitsrechte verletzt (z.B. unvorteilhafte oder unrichtige Darstellungen), greift der Persönlichkeitsschutz gemäss Art. 28 des Zivilgesetzbuchs (ZGB). Sie können dann vor dem Zivilgericht auf Unterlassung bzw. Beseitigung klagen. Zivilprozesse sind jedoch beweismässig und finanziell aufwändig.

Unter Umständen liegt sogar eine strafrechtliche Ehrverletzung gemäss Art. 173 Strafgesetzbuch (StGB) (üble Nachrede) vor – nämlich dann, wenn Sie als Lehrperson durch den Beitrag auf den sozialen Medien als nicht ehrbarer Mensch erscheinen. Sie müssten dann innert 3 Monaten Strafanzeige erstatten. Jedoch stellt nicht jede als ehrverletzend empfundene Aussage einen Straftatbestand dar.

Was muss ich als Schulleiterin oder Schulleiter beachten, wenn Klassenlisten, Schulnoten, Notfallblätter, etc. in einer Cloud, z.B. von Microsoft Office 365 Education, gespeichert werden?

Die Schule ist auch bei einer Auslagerung in eine Cloud vollumfänglich für die Datenbearbeitung verantwortlich. Es handelt sich hierbei um eine Auftragsdatenbearbeitung, da die Schule die Bearbeitung von Daten einem Dritten in Auftrag gibt. Sie bearbeitet die Daten somit nicht (nur) selber.

Die Schule muss sicherstellen, dass der Cloud-Anbieter in der Lage ist, die Datensicherheit zu gewährleisten. Die in verschiedenen Bereichen bestehenden Risiken bei Cloud-Lösungen müssen durch die Schule mittels Massnahmen ausgeschlossen oder zumindest auf ein tragbares Mass reduziert werden.

Die Daten sind zumindest bei der Übertragung nach dem aktuellen Stand der Technik zu verschlüsseln. Bei der Bearbeitung der Daten durch den Cloud-Anbieter ist die Vertraulichkeit durch geeignete Massnahmen angemessen zu schützen. Weiteres findet sich auf dem Merkblatt Cloud-spezifische Risiken und Massnahmen von privatim.

Der Transport sowie die Speicherung der Daten sind bei Microsoft 365 bereits verschlüsselt, wobei Microsoft über den Schlüssel verfügt. Für die Verschlüsselung in der Cloud bestehen verschiedene Ansätze wie eine in Microsoft 365 integrierte Bearbeitung mit Hoheit über die verwendeten Schlüssel bei der Schule (diese Lösung ist technisch anspruchsvoll und teuer), Verschlüsselung via Lösung eines Drittanbieters, Verschlüsselung manuell über eine Lösung einer lokal genutzten Applikation oder über einen Dienst eines Drittanbieters (s. Leitfaden Microsoft 365 im Bildungsbereich, Ziff. 4 der Datenschutzbeauftragten des Kanton Zürich). Für die konkrete Anwendung kann sich auch eine Beratung bei der zuständigen kantonalen Datenschutzaufsichtsstelle lohnen.

Unsere Schülerinnen und Schüler benutzen im Unterricht IT-Geräte, die teilweise privat finanziert werden. Gibt es dabei etwas Besonderes zu beachten?

Wenn (teilweise) private Geräte (Smartphones, Notebooks, Tablets) zur Erfüllung der schulischen Aufgaben eingesetzt werden, müssen die Informationen mit den geeigneten organisatorischen und technischen Massnahmen (TOM) geschützt werden. Folgende Massnahmen sind mindestens erforderlich:

• Ein Passwort- oder PIN-Schutz
• Die Installation eines Virenschutzes
• Eine aktuelle Firewall
• Regelmässige Updates
• Verschlüsselung bei der Speicherung und Übermittlung sensibler Daten

Auch vollständig von der Schule finanzierte Geräte sind gemäss den Erlassen betreffend Nutzung von Hardware und Software der Schule oder der Gemeinde zu schützen.

Auf unserer Schulwebseite möchten wir in einem kurzen Videoclip unsere Schule vorstellen. Im Hintergrund soll dabei die Musik von Herbert Grönemeyer spielen. Wie müssen wir vorgehen, damit wir die verwendete Musik legal verwenden können?

An der Musik besitzt Herbert Grönemeyer beziehungsweise allenfalls seine Produktionsfirma die Urheberrechte. Da die Schulwebseite öffentlich ist, können Sie die Musik nicht ohne Lizenz verwenden. Sie müssen die Musiknutzung melden und lizenzieren. Dies geschieht in der Schweiz bei der SUISA, welche schweizweit die Urheberrechte von Musikschaffenden sowie Verlegerinnen und Verlegern vertritt. Die SUISA sorgt dafür, dass Komponistinnen, Textautoren oder Verlegerinnen Urheberrechtsentschädigungen erhalten, wenn ihr Werk öffentlich genutzt wird. Bei der SUISA können Sie die Zugänglichmachung, sowie die Einspeicherung von Audiodateien auf einem Server lizenzieren lassen. Es fällt eine Entschädigung an.

Unter Umständen kommt diese Lösung mit einem Song von Grönemeyer für eine Schule zu teuer. Dann können Sie auch auf lizenzfreie Musik ausweichen oder selbst eine musikalische Unterlegung produzieren.

Weitere Informationen zur Nutzung von urheberrechtlich geschützten musikalischen Werken in Schulen finden sich auf der Webseite der SUISA.

Unser Physiklehrer hat während seiner Laufbahn an unserer Schule ein Skript für den Unterricht erstellt. Da er nun die Schule verlässt, will er uns jenes nicht weiter zur Verfügung stellen und verweist dabei auf seine Urheberrechte. Ist das Urheberrecht für Unterrichtsmaterialien ebenfalls anwendbar?

Das Urheberrechtsgesetz (URG) gilt auch für Unterrichtsmaterialien. Bei Lehrpersonen ist es allerdings so, dass sie auch für das Erarbeiten und das Bereitstellen von Unterrichtsmaterialien angestellt und entlöhnt werden. Die Urhebernutzungsrechte werden daher regelmässig via Personalgesetz, Schulordnung oder Anstellungsvertrag an die Schule übertragen. Somit kann in der Regel die Schule über die Weiterverwendung von durch Lehrpersonen erstellte Unterrichtsmaterialien wie Skripte und dergleichen entscheiden.

Ausnahmen bestehen bei privat (und in der Freizeit) erstellten Werken, denn dort verbleibt das Urhebernutzungsrecht bei der Lehrperson. So kann sie bestimmen, ob und wo das Werk weiterverwendet wird.

Was ändert sich mit der Einführung des nDSG am 1. September 2023 für meine Schule? Muss ich als Schulleiterin selbst aktiv werden und/oder unterstützt mich eine andere Stelle?

Am 1. September 2023 tritt das neue Datenschutzgesetz des Bundes in Kraft (nDSG). Dieses ist für Bundesbehörden und Private anwendbar, nicht jedoch für kantonale und kommunale Stellen – wie es öffentliche Schulen darstellen. Für öffentliche Schulen gilt primär das jeweilige kantonale Datenschutzgesetz.

Am besten ist es, auf Gemeindeebene zu prüfen, ob eine Schule etwas (z.B. die Datenschutzerklärung auf ihrer Webseite) anpassen muss.