Datenschutzanforderungen in konkreten Fällen
- Datenschutzanforderungen in konkreten Fällen
-
Im Zusammenhang mit der Nutzung von ICT – auch an Schulen – werden gewisse datenschutzrechtliche Fragen von den Beteiligten immer wieder aufgeworfen. An dieser Stelle sollen beispielhaft einige dieser Fragen aufgegriffen werden.
BYOD
Als Beispiel ist hier auf die datenschutzrechtliche Problematik bei Situationen einzugehen, bei denen Lehrpersonen private ICT-Arbeitsgeräte für Unterrichtszwecke verwenden (BYOD).
Ein grundsätzliches Problem ist der Kontrollverlust betreffend Kommunikation und auf dem Gerät bearbeiteten Daten. Dies kann bereits bei alltäglichen Situationen zu Komplikationen und Problemen führen, so beispielsweise bei Ende der Lehrtätigkeit an einer Schule.
Im Bereich von BYOD, ein weiteres datenschutzrechtliches Thema, ist die Schwierigkeit, zwischen privaten und geschäftlichen Daten zu unterscheiden. Sind diese, was in der Praxis oft der Fall sein dürfte, kaum mehr auseinanderzuhalten, verkompliziert dies auch die Überprüfung von Missbrauchs- oder Betrugsverdachtsfällen. Es ist in diesen Situationen noch schwieriger, den relevanten Sachverhalt zu ermitteln, als dies ohnehin bereits der Fall sein dürfte. Das liegt einerseits an der faktischen Schwierigkeit, auf das entsprechende Gerät zuzugreifen, andererseits aber auch an der Vermischung von privaten und geschäftlichen Daten, die in vielen Fällen wohl noch intensiver sein dürfte als auf Geräten, die die Schule zur Verfügung stellt.
Für die Minimierung von Datenschutz- und Sicherheitsrisiken ist bei BYOD jedenfalls auf eine klare Trennung von schulischen und privaten Daten (technisch als auch logisch) zu achten und eine solche vorzuschreiben. Um dies umzusetzen, empfiehlt sich eine separate schulische Softwareumgebung, in der Daten und Programme in einer Cloud oder mittels sog. Container-Apps und anderen Visualisierungstechniken separiert von den privaten Daten des Arbeitnehmers zur Verfügung gestellt werden.
Welche einzelnen Punkte in einer BYOD-Richtlinie geregelt werden sollten, finden Sie unter Cloud-Dienste.WLAN
Möchte eine Schule ein WLAN in ihren Räumlichkeiten einrichten und öffentlich oder den Schülerinnen und Schülern zur Verfügung stellen, nennt die DSB ZH in seinem Merkblatt WLAN-Angebot durch öffentliche Organe Massnahmen, die von der Schule dabei zu berücksichtigen sind.
Soziale Medien
Ähnliches gilt auch im Umgang mit sozialen Medien wie Facebook, Google Plus, Instagram und Ähnliches. Wenn Schulen Informationen über solche soziale Medien und/oder im Klassenverband über Schulblogs auf der Webseite veröffentlichen und austauschen möchten und welche datenschutzrechtlichen Aspekte und Vorgaben dabei von der Schule zu beachten sind, sowohl beim Einrichten der Accounts als auch beim «Posten» der Nachrichten, sind im Datenschutzlexikon sowie im Merkblatt Daten-schutzkonforme Nutzung sozialer Medien durch öffentliche Organe erhältlich.
Beispiel Whatsapp
Bei der Nutzung von Whatsapp ist aus datenschutzrechtlicher Sicht vor allem die Tatsache problematisch, dass auch die Kontaktdaten von Personen weitergeleitet werden, die selbst Whatsapp gar nicht nutzen und damit auch nicht automatisch in die Bekanntgabe ihrer Daten eingewilligt haben.
Da es derart umfassende Einwilligungen, wie sie für die rechtmässige Datenbearbeitung für eine schulische Nutzung von Whatsapp zwingend notwendig wäre, in der Praxis gar nicht gibt, hält die Datenschutzbeauftragte des Kantons Zürich im Datenschutzlexikon Volksschule, nebst weiteren Ausführungen zum Thema Whatsapp, ausdrücklich fest, dass die Nutzung von Whatsapp durch Lehrpersonen und andere schulische Mitarbeitende aus datenschutzrechtlicher Sicht als nicht rechtmässig anzusehen ist.
Tipp: Für datenschutzkonforme Lösungen im Kommunikationsbereich allgemein, kann das Merkblatt Messenger und Videokonferenzsysteme konsultiert werden. In diesem findet sich eine Analyse diverser Kommunikationssoftware mit Blick auf die technischen Anforderungen im Bereich des Datenschutzes. Zudem kann der Navigator von educa Hinweise bezüglich Sicherheit und Datenschutz bei Applikationen (Filtermöglichkeit für Kommunikationsanwendungen) geben.