Fragen an die Anlaufstelle für Datennutzung und Datenschutz

Ein Anbieter von Sommerlagern möchte von Ihrer Schule die Namen und Mail- bzw. Postadressen von Schülerinnen und Schülern erhalten, um jenen Informationen und einen Flyer zum diesjährigen Sommerlager schicken zu können. Geben Sie als Schulsekretär die Daten heraus?

Sie dürfen als Schule die Personendaten wie Namen und Adressen der Schülerinnen und Schüler gemäss dem Volksschulgesetz Ihres Kantons für die Schulorganisation sammeln und bearbeiten. Es ist Ihnen jedoch nicht erlaubt, die Daten ausserhalb dieses Zwecks zu benutzen und an Dritte weiterzugeben. Die Werbung für ein ausserschulisches Sommerlager gehört nicht zum vom Volksschulgesetz abgedeckten Zweck der Schule. Beispielsweise können Sie dem Anbieter erlauben, ein Plakat des Sommerlagers am Schwarzen Brett anzupinnen und dort Flyer auszulegen. Denkbar wäre auch, dass die Klassenlehrpersonen die Informationen und den Flyer (freiwillig) verteilen, wenn das Angebot grundsätzlich mit dem Schulzweck vereinbar ist.

Betreffend der Verarbeitung von Personendaten gilt für öffentliche Schulen das jeweilige kantonale Datenschutzgesetz.

Lernende haben persönliche Informationen über mich als Lehrperson auf Social Media geteilt. Wie kann ich hier vorgehen?

Zunächst kommt es darauf an, um was für Informationen es sich handelt: falsche Informationen, frei zugängliche Informationen, Beleidigungen, Videos oder anderes? Vorab empfiehlt es sich, die entsprechenden Schülerinnen und Schüler, um die Löschung des Inhalts zu bitten.

Wenn Sie als Lehrperson einen Text oder ein Bild von sich von den sozialen Medien entfernt haben möchten, da diese Ihre Persönlichkeitsrechte verletzen, haben Sie die Möglichkeit sich bei der entsprechenden Social-Media-Plattform zu melden. Die Anbieterin respektive der Anbieter wird die Meldung prüfen und basierend auf ihrem Standard entsprechende Massnahmen ergreifen.

Sind durch die Publikation Persönlichkeitsrechte verletzt (z.B. unvorteilhafte oder unrichtige Darstellungen), greift der Persönlichkeitsschutz gemäss Art. 28 des Zivilgesetzbuchs (ZGB). Sie können dann vor dem Zivilgericht auf Unterlassung bzw. Beseitigung klagen. Zivilprozesse sind jedoch beweismässig und finanziell aufwändig.

Unter Umständen liegt sogar eine strafrechtliche Ehrverletzung gemäss Art. 173 Strafgesetzbuch (StGB) (üble Nachrede) vor – nämlich dann, wenn Sie als Lehrperson durch den Beitrag auf den sozialen Medien als nicht ehrbarer Mensch erscheinen. Sie müssten dann innert 3 Monaten Strafanzeige erstatten. Jedoch stellt nicht jede als ehrverletzend empfundene Aussage einen Straftatbestand dar.

Was muss ich als Schulleiterin oder Schulleiter beachten, wenn Klassenlisten, Schulnoten, Notfallblätter, etc. in einer Cloud, z.B. von Microsoft Office 365 Education, gespeichert werden?

Die Schule ist auch bei einer Auslagerung in eine Cloud vollumfänglich für die Datenbearbeitung verantwortlich. Es handelt sich hierbei um eine Auftragsdatenbearbeitung, da die Schule die Bearbeitung von Daten einem Dritten in Auftrag gibt. Sie bearbeitet die Daten somit nicht (nur) selber.

Die Schule muss sicherstellen, dass der Cloud-Anbieter in der Lage ist, die Datensicherheit zu gewährleisten. Die in verschiedenen Bereichen bestehenden Risiken bei Cloud-Lösungen müssen durch die Schule mittels Massnahmen ausgeschlossen oder zumindest auf ein tragbares Mass reduziert werden.

Die Daten sind zumindest bei der Übertragung nach dem aktuellen Stand der Technik zu verschlüsseln. Bei der Bearbeitung der Daten durch den Cloud-Anbieter ist die Vertraulichkeit durch geeignete Massnahmen angemessen zu schützen. Weiteres findet sich auf dem Merkblatt Cloud-spezifische Risiken und Massnahmen von privatim.

Der Transport sowie die Speicherung der Daten sind bei Microsoft 365 bereits verschlüsselt, wobei Microsoft über den Schlüssel verfügt. Für die Verschlüsselung in der Cloud bestehen verschiedene Ansätze wie eine in Microsoft 365 integrierte Bearbeitung mit Hoheit über die verwendeten Schlüssel bei der Schule (diese Lösung ist technisch anspruchsvoll und teuer), Verschlüsselung via Lösung eines Drittanbieters, Verschlüsselung manuell über eine Lösung einer lokal genutzten Applikation oder über einen Dienst eines Drittanbieters (s. Leitfaden Microsoft 365 im Bildungsbereich, Ziff. 4 der Datenschutzbeauftragten des Kanton Zürich). Für die konkrete Anwendung kann sich auch eine Beratung bei der zuständigen kantonalen Datenschutzaufsichtsstelle lohnen.

An unserer Schule besteht der Verdacht, dass über die gemischt finanzierten Geräte Mobbing stattfindet. Dürfen wir als Schule die Nachrichten auf den Geräten einsehen? Und was können wir sonst noch tun, um damit umzugehen?

Jeder Verdacht auf Mobbing muss ernst genommen werden und erfordert sofortiges Handeln. Bevor Einsicht in die digitalen Geräte verlangt wird, sollte das Gespräch mit den betroffenen Schülerinnen und Schülern gesucht werden. Die Ernsthaftigkeit der Situation ist sorgfältig zu prüfen. Beispielsweise sollten folgende Fragen geklärt werden: Ist der Mobbingverdacht begründet? Gibt es Drohungen? Welche konkreten Anzeichen gibt es? Häufen sich solche Vorfällen?

Sollte sich der Verdacht erhärten, kann der Zugriff auf die Geräte geprüft werden. Manchmal erlauben es die Lizenzrechte der verwendeten Software, auf die Inhalte zuzugreifen. Beispielsweise kann eine Schullizenz für MS Teams der Schule spezielle Zugriffsrechte einräumen.

Es ist zu überprüfen, ob die Eltern bei der Inbetriebnahme der Geräte eine Einverständniserklärung unterschrieben haben, die das Recht auf Einsichtnahme auf alle Anwendungen beinhaltet. Damit behält sich die Schulleitung das Recht vor, in besonderen Fällen auf die Geräte der Schülerinnen und Schüler zuzugreifen.

Für die Beweisführung ist es wichtig, dass die Einsicht in die Geräte erfolgt, bevor die Daten gelöscht worden sind. Wenn Einsichtsrechte seitens des Lizenzgebers und der Eltern bestehen, ist dies wie erwähnt möglich. Darüber hinaus sollten alle relevanten Beweise, die sich auf den gemischt finanzierten Geräten befinden, gesichert werden. Dies können Textnachrichten, Bilder oder andere digitale Kommunikation sein.

Wenn der Verdacht besteht, dass die fraglichen Inhalte strafrechtlich relevant sind, sollte die Polizei eingeschaltet werden. Dies kann zum Beispiel bei Drohung, Nötigung oder Drogenhandel der Fall sein.

Die meisten Schul- bzw. Bildungsgesetze und die jeweiligen Verordnungen sehen vor, dass gegen Lernende disziplinarische Massnahmen ergriffen werden können. Unter bestimmten Umständen können Geräte auch eingezogen werden. Regelungen zum Fehlverhalten finden sich jeweils auch in Reglementen der Schule oder der Gemeinde.
 

Unsere Schülerinnen und Schüler benutzen im Unterricht IT-Geräte, die teilweise privat finanziert werden. Gibt es dabei etwas Besonderes zu beachten?

Wenn (teilweise) private Geräte (Smartphones, Notebooks, Tablets) zur Erfüllung der schulischen Aufgaben eingesetzt werden, müssen die Informationen mit den geeigneten organisatorischen und technischen Massnahmen (TOM) geschützt werden. Folgende Massnahmen sind mindestens erforderlich:

• Ein Passwort- oder PIN-Schutz
• Die Installation eines Virenschutzes
• Eine aktuelle Firewall
• Regelmässige Updates
• Verschlüsselung bei der Speicherung und Übermittlung sensibler Daten

Auch vollständig von der Schule finanzierte Geräte sind gemäss den Erlassen betreffend Nutzung von Hardware und Software der Schule oder der Gemeinde zu schützen.

Bei einer Theateraufführung der Schule haben eine Fotografin und Eltern Fotos und Videos gemacht. Die Klassenlehrperson möchte jedem Kind den Film der Aufführung auf einem Speichermedium zur Verfügung stellen. Auch Eltern haben Fotos und Videos gemacht und diese in sozialen Netzwerken veröffentlicht. Die Eltern eines Schülers, der auf den Videos zu sehen ist, beschweren sich. Wie ist die Aufnahme und Veröffentlichung von Bildmaterial durch die Schule zu beurteilen? Inwieweit ist die Schule für die Aufnahmen verantwortlich?

Das zivilrechtlich geschützte Recht am eigenen Bild (Art. 28 ZGB) ist stets zu wahren und bedarf im vorliegenden Fall immer einer Rechtfertigung in Form einer Einwilligung der betroffenen Person oder einer gesetzlichen Grundlage.

Aus urheberrechtlicher Sicht ist zwischen der Aufnahme einerseits und der Bereitstellung (Veröffentlichung) von Bildmaterial andererseits zu unterscheiden: Für die Aufnahme als solche ist aus urheberrechtlicher Sicht keine Einwilligung der Betroffenen erforderlich, wohl aber für die Veröffentlichung.

Zu unterscheiden ist auch zwischen den verschiedenen Personen, die fotografieren (Eltern, Lehrperson, Fotografin/Fotograf). Ebenso wie auch nach dem jeweiligen Zweck des Fotografierens oder Filmens, da dies für die spätere Beurteilung der Zweckbestimmung von Bedeutung ist. Je nachdem, wer zu welchem Zweck fotografiert oder filmt, bestehen unterschiedliche rechtliche Anforderungen (gesetzliche Grundlage, Einwilligung).

Für die Vorführung des Films vor der Klasse oder die Bereitstellung auf einem Speichermedium für jedes Kind genügt in der Regel das Schulgesetz als Rechtsgrundlage aus. Für weitere Veröffentlichungen ist die ausdrückliche Einwilligung der Erziehungsberechtigten sowie der beteiligten Schülerinnen und Schüler erforderlich. Bei Veröffentlichungen durch die Schule ist es wichtig, die Einwilligungen möglichst frühzeitig zu Beginn des Schuljahres einzuholen. Die Einverständniserklärung muss den Zweck der Bildherstellung oder -bearbeitung beinhalten. Je nach Situation muss für den aktuellen und konkreten Fall eine neue Einwilligung eingeholt werden. Die Eltern und das Kind können ihre Einwilligung jederzeit ohne Angabe von Gründen widerrufen.

Die Veröffentlichung in den sozialen Medien durch die Eltern liegt nicht im Verantwortungsbereich der Schule. Im Sinne der Prävention und Sensibilisierung könnte die Schule vor einer Theateraufführung darauf hinweisen, dass das Fotografieren der Kinder durch die Eltern bzw. die Veröffentlichung in den sozialen Medien nicht gestattet ist.
 

Auf unserer Schulwebseite möchten wir in einem kurzen Videoclip unsere Schule vorstellen. Im Hintergrund soll dabei die Musik von Herbert Grönemeyer spielen. Wie müssen wir vorgehen, damit wir die verwendete Musik legal verwenden können?

An der Musik besitzt Herbert Grönemeyer beziehungsweise allenfalls seine Produktionsfirma die Urheberrechte. Da die Schulwebseite öffentlich ist, können Sie die Musik nicht ohne Lizenz verwenden. Sie müssen die Musiknutzung melden und lizenzieren. Dies geschieht in der Schweiz bei der SUISA, welche schweizweit die Urheberrechte von Musikschaffenden sowie Verlegerinnen und Verlegern vertritt. Die SUISA sorgt dafür, dass Komponistinnen, Textautoren oder Verlegerinnen Urheberrechtsentschädigungen erhalten, wenn ihr Werk öffentlich genutzt wird. Bei der SUISA können Sie die Zugänglichmachung, sowie die Einspeicherung von Audiodateien auf einem Server lizenzieren lassen. Es fällt eine Entschädigung an.

Unter Umständen kommt diese Lösung mit einem Song von Grönemeyer für eine Schule zu teuer. Dann können Sie auch auf lizenzfreie Musik ausweichen oder selbst eine musikalische Unterlegung produzieren.

Weitere Informationen zur Nutzung von urheberrechtlich geschützten musikalischen Werken in Schulen finden sich auf der Webseite der SUISA.

Unser Physiklehrer hat während seiner Laufbahn an unserer Schule ein Skript für den Unterricht erstellt. Da er nun die Schule verlässt, will er uns jenes nicht weiter zur Verfügung stellen und verweist dabei auf seine Urheberrechte. Ist das Urheberrecht für Unterrichtsmaterialien ebenfalls anwendbar?

Das Urheberrechtsgesetz (URG) gilt auch für Unterrichtsmaterialien. Bei Lehrpersonen ist es allerdings so, dass sie auch für das Erarbeiten und das Bereitstellen von Unterrichtsmaterialien angestellt und entlöhnt werden. Die Urhebernutzungsrechte werden daher regelmässig via Personalgesetz, Schulordnung oder Anstellungsvertrag an die Schule übertragen. Somit kann in der Regel die Schule über die Weiterverwendung von durch Lehrpersonen erstellte Unterrichtsmaterialien wie Skripte und dergleichen entscheiden.

Ausnahmen bestehen bei privat (und in der Freizeit) erstellten Werken, denn dort verbleibt das Urhebernutzungsrecht bei der Lehrperson. So kann sie bestimmen, ob und wo das Werk weiterverwendet wird.

Was ändert sich mit der Einführung des nDSG am 1. September 2023 für meine Schule? Muss ich als Schulleiterin selbst aktiv werden und/oder unterstützt mich eine andere Stelle?

Am 1. September 2023 ist das neue Datenschutzgesetz des Bundes in Kraft getreten (nDSG). Dieses ist für Bundesbehörden und Private anwendbar, nicht jedoch für kantonale und kommunale Stellen – wie es öffentliche Schulen darstellen. Für öffentliche Schulen gilt primär das jeweilige kantonale Datenschutzgesetz.

Am besten ist es, auf Gemeindeebene zu prüfen, ob eine Schule etwas (z.B. die Datenschutzerklärung auf ihrer Webseite) anpassen muss (siehe auch unser Beitrag «Folgen des neuen Datenschutzgesetzes für Schulen»).

Welche wesentlichen Änderungen müssen wir als Privatschule unter dem neuen Datenschutzgesetz beachten?

Am 1. September 2023 ist das revidierte Bundesgesetz über den Datenschutz in Kraft getreten (neues Datenschutzgesetz). Dieses ist nur für Bundesorgane und private Personen (inkl. Unternehmen) anwendbar. Für Bundesbehörden und Private gelten im Wesentlichen folgende Änderungen:

• Ausweitung der Informationspflichten: Es muss unter anderen eine Datenschutzerklärung erstellt werden, die insbesondere den Bearbeitungszweck und die verantwortliche Person mit deren Kontaktdaten nennt.
• Neu gibt es eine Pflicht, ein Datenbearbeitungsverzeichnis zu erfassen (mit Ausnahmen).
• Die Sanktionen wurden verschärft, unter anderen gibt es neu Bussen von bis zu CHF 250'000.
• Bei Verletzung der Datensicherheit mit voraussichtlich hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person muss die Privatschule (z.B. durch die Schulleitung oder verantwortliche Person) den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) so rasch wie möglich informieren.

Als Lehrperson würde ich gerne künstliche Intelligenz (KI) einsetzen, um die Arbeiten meiner Schülerinnen und Schüler zu beurteilen. Was muss ich aus rechtlicher Sicht beachten?

Wenn Sie als Lehrperson KI einsetzen möchten, um Arbeiten zu bewerten, müssen Sie neben den datenschutzrechtlichen auch die urheberrechtlichen Bestimmungen einhalten. Dies bedeutet, dass Sie zum Beispiel keine schöpferischen Daten von Lernenden in ChatGPT eingeben dürfen. Auch dürfen KI-Systeme bei der Bewertung nur als Hilfsmittel eingesetzt werden. Als Lehrperson sind Sie weiterhin verpflichtet, das Resultat gemäss Bewertungsraster zu überprüfen.

Umfassende Informationen zu KI/ChatGPT bietet der Digital Learning Hub des Kantons Zürich. Unter anderem erarbeitete der Digital Learning Hub auch Handreichungen und Empfehlungen für Schulen, Schülerinnen und Schüler und Lehrpersonen zum Einsatz von KI bei Vertiefungs- und Abschlussarbeiten.