23. Juni 2015
Der Zürcher Datenschützer hat sich mit diversen Fragen zum Datenschutz in Schulen befasst. Bei einer Stichproben-Untersuchung von Schul-Websites bemängelte er in 80 Prozent der Fälle eine unrechtmässige Einbindung der Dienste Dritter.
Der Zürcher Datenschützer hat bei seinen Untersuchungen im Jahr 2014 einen Schwerpunkt im Schulbereich gelegt. Einerseits hat er viele Anfragen von Schulen zur Sicherheit verschiedenster Applikationen und Gratis-Tools beantwortet. Andererseits hat er von sich aus den Umgang ausgewählter Schulen mit Personendaten geprüft und die Websites diverser Schulen auf mögliche Sicherheitslücken hin untersucht:

Datenschutzkonformität von Applikationen


Unter den Applikationen, die der Datenschützer untersucht hat, waren Google Classroom und Microsoft Office 365. Bei beiden Applikationen verlassen die Daten das Schulzimmer und werden im Auftrag der Schule durch Dritte bearbeitet. Dafür sind vertragliche Vereinbarungen erforderlich, die unter anderem die Verantwortlichkeiten und die Verfügungsmacht, die Zweckbindung, Geheimhaltungsverpflichtungen, Informationssicherheitsmassnahmen, Kontrollmöglichkeiten, Unterauftragsverhältnisse, den Ort der Datenbearbeitung, das anwendbare Recht und den Gerichtsstand regeln müssen.

Im Fall von Microsoft Office 365 konnte die Vereinigung der schweizerischen Datenschutzbeauftragten, Privatim, mit Microsoft die vertraglichen Bedingungen so anpassen, dass Office 365 im Schulbereich eingesetzt werden darf. Bei Google Classroom hingegen werden die Daten weltweit bearbeitet. Es ist nicht transparent, an wen Google Daten weitergibt. Der Gerichtsstand befindet sich in den USA, und es gilt US-amerikanisches Recht. Weil keine individuellen Vertragsvereinbarungen möglich sind, genügt Google Classroom aus Sicht des Zürcher Datenschützers den Anforderungen nicht.

Umgang mit Personendaten


Zum Umgang mit Personendaten stellte der Zürcher Datenschützer fest, dass die Schulen die technischen Massnahmen zum Schutz der Personendaten meist angemessen implementiert hatten. Hingegen fehlten ausreichende organisatorische Massnahmen. So sind zum Beispiel die Rollen, Verantwortlichkeiten und Berechtigungen im Umgang mit Personendaten oft nicht genügend klar definiert.

Unsichere Websites


Bei der Untersuchung der Schul-Websites stellte der Datenschützer fest, dass viele Schulen Dritt-Dienste nicht datenschutzkonform einsetzten: 80 Prozent der Schul-Websites enthielten Programmcodes der Firma Google, wie Google Maps oder Google Analytics. Diese eingebundenen Codes bewirken, dass Daten der Website-Besucher/-innen an Google in die USA geschickt werden. Die Schule müsste deshalb eigentlich mit Google den Umgang mit diesen Daten vertraglich regeln. Unter anderem müssten Geheimhaltungsverpflichtungen, Sicherheitsmassnahmen, Kontrollen und die Löschung der Daten geregelt werden. Solche Vereinbarungen fehlten jedoch.

Zu Google Analytics hält der Zürcher Datenschützer allgemein fest, dass dieses Statistik-Instrument die IP-Adresse und weitere Informationen der Website-Besucher/-innen „direkt an die Firma Google in die USA“ schickt. Die IP-Adresse erlaubt Rückschlüsse auf die Person der Website-Besucher/-innen. Zwar bietet Google Analytics eine Funktion zur Anonymisierung der IP-Adresse an, die das interne Datenschutzproblem beim Betreiber der Website entschärft. Die IP-Adresse werde aber erst nach der Daten-Übermittlung in die USA anonymisiert, und Google sei nicht zu vertraglichen Vereinbarungen bereit. Google Analytics ist deshalb aus datenschützerischer Sicht als Statistik-Instrument grundsätzlich nicht geeignet.

Empfehlungen an die Schulen


Der Datenschützer forderte die betroffenen Schulen zu Verbesserungen auf. Aufgrund der grossen Zahl der Mängel will er weitere Schulwebsites überprüfen. Weil er oft Fragen zum Schulbereich beantworten muss, hat der Zürcher Datenschützer zudem ein Datenschutz-Lexikon für die Volksschule erarbeitet. Er will damit den verschiedenen Beteiligten den Umgang mit den oft sensitiven Personendaten im Schulumfeld erleichtern. Das Datenschutz-Lexikon ist auf der Website des Zürcher Datenschützers abrufbar . Für die anderen Schulstufen seien analoge Hilfsmittel in Planung.


Weitere Informationen:
Datenschutzbeauftragter Kanton Zürich: Tätigkeitsbericht 2014: Dank Kontrollen mehr Sicherheit, Medienmitteilung vom 17. Juni 2015
Datenschutzbeauftragter Kanton Zürich: Tätigkeitsberichte
Computerworld: Zürcher Schulen fallen beim Datenschützer durch, 17. Juni 2015
Datenschutzbeauftragter Kanton Zürich: Datenschutzlexikon Volksschule