Schutz der Privatsphäre bei BYOD und dem Zugriff auf Cloud-Dienste bei Schulen

Heute verfügen die Lehrpersonen und Schülerinnen und Schüler in einer grossen Mehrheit der Fälle über Laptops oder Tablets ihrer Schule, damit sie ihre Aufgaben erfüllen können. Da sie überall und jederzeit auf die Daten in der Cloud zugreifen, nutzen sie doch auch hin und wieder ihr privates Gerät. Dieser Nutzung von privaten Geräten im schulischen Umfeld und grundsätzlich dem Zugriff auf Cloud-Diensten muss gemäss der Datenschützerin des Kantons Zürich besondere Beachtung geschenkt werden, denn es gilt, die Daten mit der gegebenen Vorsicht zu bearbeiten und zu schützen.

So viel wie nötig, so wenig wie möglich lautet die goldene Regel für einen sparsamen und bewussten Umgang mit Daten, insbesondere solche mit Personenbezug. Denn beim Datenschutz geht es nicht um den Schutz der Daten, sondern um den Schutz der Privatsphäre und die informationelle Selbstbestimmung von Personen (Quelle: Adrian Lobsiger in «Die Volkswirtschaft»). Durch den technologischen Fortschritt, wird der Schutz der Privatsphäre und somit der Datenschutz immer bedeutsamer.

Educa hat die Datenschutzthemen 2021 der verschiedenen kantonalen Datenschutzbeauftragten ausgewertet und es zeigt sich, dass insbesondere durch den Einsatz von privaten Geräten und einer Vielzahl von Applikationen Schulen vor neuen Herausforderungen stehen. Besondere Hinweise für den Kanton Zürich gibt die kantonale Datenschutzbeauftragte Dr. Dominika Blonski in ihrem Tätigkeitsbericht von 2021.

BYOD an Schulen

Immer öfters nutzen zudem Mitarbeitende ihre privaten mobilen Geräte am Arbeitsplatz. Man spricht dann von «Bring Your Own Device (BYOD)». Gemäss dem Tätigkeitsbericht der Datenschutzbeauftragten des Kantons Zürichs stellt dies Schulen vor neue Herausforderungen. Sie hält fest, dass der Einsatz von BYOD klarer Regeln bedarf, da Schulen für deren Einsatz verantwortlich bleiben.

Wenn SuS ihre privaten Geräte in der Schule nutzen dürfen, gilt es eine besondere Weisung zu erlassen, in welchen konkreten Fällen Lehrpersonen und weitere Mitarbeitende der Schule auf die Geräte der Lernenden zugreifen dürfen.

Private Geräte von Mitarbeitenden der Schule

Schulen haben verschiedenste Fragen zu klären, bevor sie Mitarbeitenden den Einsatz ihrer privaten Geräte für schulische Zwecke erlauben. Dies geht von der Kostentragung, über Haftungsfragen bis zum Datenschutz. Eine Zusammenstellung wesentlicher Fragen hat die Fachstelle in diesem Dokument gemacht. Zusätzlich ist im ICT-Coach eine Vorlage für die Nutzungsregelung von privaten Geräten der Mitarbeitenden abgelegt.

Minimalstandards bei Geräten der Lernenden

Aus dem Datenschutzlexion für die Volksschule im Kanton Zürich ergeben sich folgende Minimalstandards bei privaten Geräten von SuS in der Schule (siehe Link).

Werden private Geräte (Smartphones, Notebooks, Tablets) zur Erfüllung der schulischen Aufgaben eingesetzt, muss der Zugang zu den auf den Geräten gespeicherten Informationen mit den geeigneten organisatorischen und technischen Massnahmen geschützt werden. Unbeaufsichtigte, vergessene oder unsichere Geräte bergen Risiken.
Minimummassnahmen sind:

• Passwort- oder PIN-Schutz
• Installation eines Virenschutzes
• aktuelle Firewall
• regelmässige, zeitnahe Updates
• Verschlüsselung sensibler Daten bei der Speicherung und Übermittlung

Einen weiteren wichtigen Hinweis gibt die Datenschützerin in ihrem Tätigkeitsbericht von 2021 für Geräte von Schülerinnen und Schüler:

„Wenn Schulen den Einsatz privater Geräte im Unterricht erlauben, müssen dafür klare Regeln definiert werden. Sie bleiben auch in diesem Fall verantwortlich für den Schutz der Personendaten. Die Schule kann aber die Sicherheit der privaten Geräte nicht direkt gewährleisten. Deshalb sind die Schülerinnen und Schüler zu verpflichten, die grundlegenden Schutzmassnahmen umzusetzen. Das Gerät muss mit einem Passwort geschützt sein. Die Daten müssen verschlüsselt gespeichert werden. Die Software muss immer auf dem neusten Stand gehalten werden. In einer Weisung ist festzuhalten, welche Mitarbeitenden der Schule unter welchen Umständen Zugriff auf das private Gerät haben. Dies kann nötig sein, wenn bei einer Situation der Bedrohung der lokalen Sicherheit beispielsweise Analyse- und Auswertungsdaten abgefragt werden müssen.“(Quelle: Bericht Datenschützerin Kt. ZH 2021)

Die Fachstelle empfiehlt, dass ein solcher Zugriff auf ein privates Gerät immer in Anwesenheit der Schülerin oder des Schülers, eines Erziehungsberechtigten und einer Person der Schule stattfindet.

Zwei-Faktor-Authentifizierung bei Cloud-Diensten

Wie die Datenschützerin weiter ausführt, sind auch bei der Nutzung von Cloud-Diensten besondere Vorkehrungen zu treffen. „Nicht nur bei Fernunterricht greifen Lehrpersonen, Schülerinnen und Schüler häufig über das Internet auf Ressourcen der Schule zu. Sowohl bei der Nutzung von Cloud-Diensten als auch beim Zugriff auf den Schulserver ist eine Zwei-Faktor-Authentifizierung notwendig.“ (Quelle: Bericht Datenschützerin Kt. ZH 2021). Weitere Informationen zur Zwei-Faktor-Authentifizierung sind im ICT-Coach zu den digitalen Identitäten beschrieben (Link).

Sowohl die Nutzung von privaten Geräten in der Schule als auch der Zugang zu Cloud-Diensten sind als Teil der umfassenden Informationssicherheit an Schulen zu sehen. Die Verantwortung für die Regelung liegt bei der Schulpflege.