Digitale Basiskompetenzen: Rechtliche Aspekte
Sensible Daten
 |  |  |  |  |
Daten begegnen uns im Alltag an allen erdenklichen Stellen, beispielsweise wenn wir eine Website aufrufen, wenn wir persönliche Daten in ein physisches oder elektronisches Formular eintragen, wenn wir uns auf sozialen Netzwerken bewegen oder ein Foto mit dem Smartphone knipsen.
Auch im Unterricht haben Daten einen hohen Stellenwert, wie das folgende Beispiel zeigt.
Bea verwendet im Unterricht eine virtuelle Pinnwand. Jedes Kind erhält ein eigenes, kostenloses Konto. Bea gibt den Kindern den Auftrag, einen Steckbrief auf der gemeinsamen Pinnwand anzulegen. Die Steckbriefe können später im Internet aufgerufen werden.
Bei diesem Beispiel entstehen gleich mehrere Schwierigkeiten:
Zum einen geben die Schüler:innen auf der virtuellen Pinnwand ihre Personendaten bekannt, indem sie einen Steckbrief anfertigen. Die Schule muss sicherstellen, dass die virtuelle Pinnwand über ein angemessenes Datenschutzniveau verfügt. Dazu muss die Lehrperson respektive die Schule eine Risikoabwägung vornehmen und prüfen, ob der Onlinedienst die Anforderungen hinsichtlich des Datenschutzes erfüllt. Dies ist notwendig, weil die Schule ihre Pflichten in Bezug auf Datenschutz und Informationssicherheit auch dann wahrnehmen muss, wenn die Daten ausgelagert werden (mehr dazu siehe unten).
Problematisch ist ausserdem die Publikation dieser Steckbriefe im Internet. Zum Schutz der Schüler:innen dürfen persönliche Daten wie Name, Vorname, Hobby, Adressen, Geburtsdatum usw. für Aussenstehende niemals zugänglich sein. Die Inhalte dürfen ausserdem nicht von Suchdiensten indiziert und über Suchmaschinen auffindbar sein. Da das Risiko besteht, dass durch automatisches Crawling und Indexieren auch kryptisch erscheinende Links durch Suchmaschinen erfasst werden, sollte der Zugang nur über einen individuellen Usernamen und ein sicheres Passwort möglich sein.
Auch so bleiben datenschutzrechtliche Problematiken bestehen, haben doch Familienangehörige von Schüler:innen kein Anrecht darauf, Daten, besondere Personendaten oder gar Persönlichkeitsprofile einsehen zu dürfen.
Aufgrund der vielen Personendaten, die bei einem Steckbrief preisgegeben werden, kann also nicht einfach ein beliebiges Tool eingesetzt werden. Wesentlich unproblematischer ist dagegen die Vorbereitung einer Präsentation, wofür die Schüler:innen ausschliesslich Sachdaten aufbereiten und in einer Onlinepräsentation zusammenstellen. Dabei gilt es allerdings das Urheberrecht zu berücksichtigen (vgl. Kap. 2).
Haben Sie bereits digitale Tools im Unterricht eingesetzt? Haben Sie sich vorgängig Gedanken über den Datenschutz gemacht? Welche Daten haben Sie oder Ihre Schüler:innen dort hochgeladen oder hinterlassen?
Was sind Daten?
Technische Sichtweise auf Daten
Aus informatischer Sicht handelt es sich bei Daten um digitale Repräsentationen von Informationen, die von Computern gelesen und bearbeitet werden können. Daten werden einerseits zwischen Nutzer:in und Computer ausgetauscht, zum Beispiel wenn wir einen Post in einem sozialen Netzwerk schreiben oder unsere Adresse bei einer Bestellung ins Formular des Onlineshops eintragen. In diesen Fällen geben wir Daten bewusst bekannt. Andererseits können Daten auch unter Computern gänzlich ohne Zutun von Benutzenden ausgetauscht werden. Dies geschieht zum Beispiel, wenn ein Smartphone selbstständig ein Software-Update vom Server herunterlädt oder wenn ein Endgerät beim Aufruf einer Website seine IP-Adresse (die eindeutige Adresse eines Gerätes im Internet) an den Webserver übermittelt.
Die wenigen Beispiele zeigen bereits, wie unterschiedlich Daten und deren Bearbeitung sind. Allerdings wird auch deutlich, dass Betreiber von Websites und Plattformen einiges über die Nutzenden erfahren. Aus Sicht der Nutzenden lässt sich zwischen Daten unterscheiden, die Menschen bewusst produzieren und auf Websites preisgeben, und solchen, die für Nutzende unsichtbar im Hintergrund an die Betreiber von Websites übermittelt werden.
- Daten, die Nutzende bewusst im Internet preisgeben (unten links)
- Daten, die für die Nutzenden unsichtbar im Hintergrund ausgetauscht werden (unten rechts)
Daten aus juristischer Sicht
- Sachdaten enthalten keine personenbezogenen Informationen. (Beispiel: Wetterprognose, Zellaufbau, Lebensraum der Frösche, Satz von Pythagoras usw.)
- Personendaten sind Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen. (Beispiel: Name, Vorname, Alter, Geschlecht)
- Besondere Personendaten sind sensible Informationen, weil besondere Gefahr einer Persönlichkeitsverletzung besteht. Es handelt sich unter anderem um Angaben zu religiösen, weltanschaulichen oder politischen Ansichten, zur Gesundheit und Intimsphäre, zur ethnischen Herkunft oder zu Massnahmen der sozialen Hilfe. Zu den besonders schützenswerten Personendaten gehören auch Zusammenstellungen von Informationen, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit zulassen.
Überdenken Sie hierzu Notenzeugnisse, die überfachlichen Kompetenzen, wie sie im Zeugnis auf der Rückseite aufzuführen sind, Absenzen, Schullaufbahnentscheide, sonderpädagogische Massnahmen. Sind Lehrpersonen also Datensammler:innen besonderer Personendaten?
Daten bearbeiten
Die Schule darf diejenigen Personendaten erheben und bearbeiten, die sie benötigt, um ihre gesetzlichen Aufgaben zu erfüllen. Häufig nehmen Schulen für die Datenbearbeitung Dienstleistungen von Dritten in Anspruch. Wenn eine Lehrperson oder eine Schule Sach-, Personen- oder besondere Personendaten durch Private oder andere öffentliche Organe bearbeiten lässt, handelt es sich um ein «Bearbeiten im Auftrag» (vgl. Leitfaden Bearbeiten im Auftrag). Dies geschieht, sobald im Unterricht Onlinedienste (Cloud-Services) eingesetzt werden. Dabei nimmt die Lehrperson Informatikdienstleistungen von Dritten in Anspruch. Die Lehrperson bleibt allerdings weiterhin für die Datenbearbeitung verantwortlich, unabhängig davon, ob die Cloud-Services zum Speichern von Daten oder zur Kommunikation und Kooperation eingesetzt werden. Dementsprechend muss die Schule ihre Pflichten in Bezug auf Datenschutz und Informationssicherheit weiterhin wahrnehmen und in jedem Einzelfall eine Risikoabwägung durchführen. Dabei gilt grundsätzlich: Je sensibler die Daten, desto umfangreicher müssen die technischen, rechtlichen und organisatorischen Anforderungen sein, die der Cloud-Service zu erfüllen hat (vgl. Merkblatt Privatim Cloud-Computing im Schulbereich).
Während einige Dienste anonym und ohne Registrierung genutzt werden können, braucht es bei anderen ein Benutzungskonto, das üblicherweise mit der E-Mail-Adresse und anderen Personendaten (Name, Geburtsdatum u. Ä.) verknüpft wird. Solange die hinterlegten E-Mail-Adressen der Schüler:innen keine Rückschlüsse auf die Person zulassen (Pseudonyme), stellt dies keine Schwierigkeit dar. Sind hingegen Rückschlüsse möglich oder müssen weitere Personendaten hinterlegt werden, so steigen auch die Anforderungen an den Cloud-Service. Die Eltern respektive die Erziehungsberechtigten sollten über die Nutzung des Cloud-Services informiert werden. Grundsätzlich sollen die Schüler:innen anonym bleiben und Personendaten sehr sparsam eingegeben werden.
Risikoabschätzung und Massnahmen bei der Auslagerung
Um einen Cloud-Service datenschutzkonform in der Schule einsetzen zu können, bedarf es einer umfassenden Risikoanalyse. Es gilt zu prüfen, ob die Sensitivität der Daten und die damit verbundenen Risiken und Massnahmen es überhaupt erlauben, die Daten in die Cloud auszulagern. Falls dies bejaht wird, so kann der Schutzbedarf bestimmt werden. Ob dann der Anbieter eines Cloud-Dienstes die Anforderungen erfüllt und der Cloud-Dienst somit eingesetzt werden kann, hängt massgeblich davon ab, welche Sach- und/oder Personendaten bearbeitet werden sollen. Werden beispielsweise besondere Personendaten der Schüler:innen bearbeitet, so sind die Anforderungen höher und es müssen umfangreichere Massnahmen zur Gewährleistung der Sicherheit getroffen werden, als dies bei Personen- und Sachdaten der Fall wäre.
Um zu beurteilen, ob ein Cloud-Service datenschutzkonform eingesetzt werden kann, gibt es eine Reihe von Kriterien und Massnahmen, die abhängig vom Einsatz des Dienstes ermittelt und definiert werden müssen.
- Merkblatt von Privatim: https://www.privatim.ch/wp-content/uploads/2013/10/privatimMerkblattCloudComputinginSchulen.pdf
- Leitfaden der Datenschutzbeauftragten des Kantons Zürich: https://docs.datenschutz.ch/u/d/publikationen/formulare-merkblaetter/merkblatt_cloud_computing.pdf
Weiterführende Informationen
Links
Schweizerische Kriminalprävention (SKP)
Broschüren und Faltblätter:
https://www.skppsc.ch/de/downloads/warengruppe/broschueren-und-faltblaetter/
Lehrmittel «Selbstbestimmt digital unterwegs»
Die PHZH und die Datenschutzbeauftragte des Kt. Zürich haben zum Thema Datenschutz Lehrmittel für alle Zyklen entwickelt.
Datenschutzlernen
Gesetz über die Information und den Datenschutz (IDG)
https://www.zh.ch/de/politik-staat/gesetze-beschluesse/gesetzessammlung/zhlex-ls/erlass-170_4-2007_02_12-2008_10_01-109.html
ICT-Coach
Datenschutz und Öffentlichkeitsprinzip:
https://ict-coach.ch/zh/risikokultur/datenschutz-und-oeffentlichkeitsprinzip/
Privatim
Merkblatt Cloud-spezifische Risiken und Massnahmen:
https://www.privatim.ch/wp-content/uploads/2019/12/privatim-Cloud-Papier_v2_1_20191217.pdf
Datenschutzlexikon Volksschule
https://datenschutz.ch/lexika/volksschule/
Datenschutzbeauftragte des Kantons Zürich
Broschüren, Merkblätter und Leitfäden:
https://datenschutz.ch/datenschutz-in-oeffentlichen-organen#alle-publikationen-8a1902dc-65dd-4ff2-a7aa-e87505cf5655