Wie gut wurde Ihrer Meinung nach der Datenschutz während dem Lockdown in Bildungsinstitutionen gewährleistet? Und sollte es in der Zukunft zu einer ähnlichen Situation kommen – was sollte man aus Sicht der Bildungseinrichtungen besser machen?

Cécile Kerboas (C.K.): Angesichts der aktuellen Krise war der Bildungsbereich gezwungen, sich neu zu erfinden und dringend neue Lösungen zu finden, um die pädagogische Kontinuität in all diesen Aspekten zu gewährleisten (Fernunterricht, Anwesenheitskontrolle in der obligatorischen Schule, Überprüfung der Lernerfolge usw.). Wie in den Medien erwähnt wurde, haben einige von den Institutionen eingesetzte Lösungen zu Recht Fragen aus der Sicht des Datenschutzes aufgeworfen. Die Einhaltung der Datenschutzbestimmungen konnte nicht immer garantiert werden. In einigen Fällen war sogar das Eingreifen der zuständigen Behörden erforderlich. Es ist jedoch wichtig, darauf hinzuweisen, dass Lehrpersonen, Institutionen und die betreffenden Abteilungen regelmässig die Meinung unserer Behörde eingeholt haben. Was die Zukunft anbelangt, so sollte das Auftreten einer ähnlichen Situation vorweggenommen werden, damit konforme Lösungen eingesetzt werden können. Die Regeln für die Auslagerung sind komplex, und es ist schwierig, wenn nicht gar unmöglich, eine Lösung in einem Notfall richtig einzuschätzen. Dies ist umso wichtiger, als die Frage des Fernunterrichts nicht auf die aktuelle Krise beschränkt ist, sondern Teil eines globaleren Ansatzes für den digitalen Wandel ist.

Dominika Blonski (D.B.): Die Situation kam für uns alle überraschend und unvorhergesehen. Sie stellte daher für alle auf ganz verschiedenen Ebenen eine Herausforderung dar und es entstand eine grosse Unsicherheit. In den Schulen war der Fernunterricht bis zu diesem Zeitpunkt nicht vorgesehen, musste aber dennoch rasch angeboten werden. Es zeigte sich dabei, dass ganz grundsätzlich eine Sensibilisierung für datenschutzrechtliche Fragen vorhanden war, aber auch, dass viele bei technischen Fragen an die Grenzen kamen. Diese Erfahrungen sollten wir für die Zukunft nutzen: Die Strukturen sollten gestärkt und die Lehrpersonen besser unterstützt werden – nicht nur in Krisensituationen. Es ist jetzt an der Zeit, zu prüfen, was wie umgesetzt werden darf. Welche Anwendungen dürfen für welche Zwecke eingesetzt werden? Welche Daten dürfen wie übermittelt werden? Wenn klar ist, was wie gemacht werden darf und was nicht, sind in einer zukünftigen ähnlichen Situation insbesondere auch die Lehrpersonen entlastet.

Das öffentliche Leben kommt allmählich zur Normalität zurück. D. h. Software-Lösungen, die während dem Lockdown aufgrund der Risikoabwägung als zulässig bewertet wurden, unterstehen jetzt wieder den normalen Anforderungen – was heisst das konkret für Bildungseinrichtungen?

C.K.: Konkret bedeutet dies, dass Software-Lösungen, die während des Lockdowns eingesetzt wurden, neu evaluiert werden müssen. Je nach den Ergebnissen werden einige Anwendungen beibehalten, während andere aufgegeben werden müssen. Es ist auch möglich, dass einige Anwendungen weiterhin eingesetzt werden, jedoch in einem anderen Rahmen als dem ursprünglich im Zusammenhang mit der Krise geplanten. Es ist in der Tat wichtig, daran zu erinnern, dass die Frage der Übereinstimmung einer Lösung immer im Hinblick auf den Gebrauch, der von ihr gemacht wird, und die Vertragsbedingungen, die sie regeln, analysiert werden muss. Daher sind die Nutzungsarten und die Art der verarbeiteten Daten im Zusammenhang mit der Analyse der Einhaltung der Vorschriften, insbesondere unter dem Gesichtspunkt der Sicherheit, von erheblicher Bedeutung.

D.B.: Es sind nicht die Anforderungen, die sich in dieser Zeit veränderten, sondern die Risikoabwägung ist nun eine andere. Die datenschutzrechtlichen und -technischen Anforderungen gelten immer – mit oder ohne Lockdown. Während der Krisensituation konnte eine Schule bei der Risikoabwägung vor dem Einsatz eines Tools zum Schluss kommen, dass der Einsatz vorübergehend möglich ist. Nach der akuten Krisensituation kann eine Risikoabwägung allerdings zu einem anderen Schluss führen. Die Verantwortung liegt in jedem Fall bei der Schule, das die Dienste und Produkte einsetzt. Bei der Entscheidung ist zu berücksichtigen, welche Art von Personendaten bearbeitet wird, ob und an wen die Daten weitergegeben werden, wie und wo die Daten gespeichert werden, welches Recht im Streitfall Anwendung findet und wo dieses durchgesetzt werden kann. Weiter sind die technischen Aspekte zu evaluieren. Hier stellen sich beispielsweise Fragen dazu, ob eine Verschlüsselung der Personendaten möglich ist und wo sich das Schlüsselmanagement befindet, ob eine 2-Faktor-Authentifizierung vorgesehen ist oder ob Tracking-Tools oder Cookies eingesetzt werden.

Wie beurteilen Sie allgemein die Gewährleistung des Datenschutzes in Bildungsinstitutionen und wo sehen Sie Herausforderungen für die Zukunft?

C.K.: Verbesserungen vornehmen, unabhängig von der Frage der verwendeten Instrumente. In der Zukunft werden die Institutionen vor vielen Herausforderungen stehen, insbesondere in Bezug auf den Fernunterricht und die digitale Ausbildung von Lehrpersonen und Studierenden. Auch wenn der digitale Wandel von wesentlicher Bedeutung ist, wird es notwendig sein, die Einhaltung der Datenschutzgesetze zu gewährleisten. Wie in vielen Bereichen kann jedoch mit der ständig zunehmenden Entwicklung digitaler Dienstleistungsangebote die Versuchung gross sein, leistungsstarke Werkzeuge zu verwenden, die von Dritten zur Verfügung gestellt werden und die eine massive und unverhältnismässige Erhebung personenbezogener Daten ermöglichen. Die Sensibilität der Daten, um die es hier geht, sollte jedoch die Bildungsakteure zur Wachsamkeit auffordern.

D.B.: Die Sensibilisierung für Datenschutzfragen nimmt zu. Bei der konkreten Umsetzung bleiben aber teilweise Fragen noch offen. Die Digitalisierung stellt eine grössere Herausforderung dar. Sie erfordert Ressourcen, sowohl finanzieller Art wie auch beim Know-How, die für kleinere Institution kaum zu stemmen sind.

Anwendung für Schulen

Wie können Bildungseinrichtungen eine Software-Lösung bezüglich Datenschutz prüfen?

C.K.: Bevor man mit der Prüfung einer Software-Lösung beginnt, ist es wichtig, an die Einhaltung von Datenschutzprinzipien zu denken. Dies bedeutet, dass insbesondere folgende Überlegungen zu berücksichtigen sind: die Art der verarbeiteten Daten, die betroffenen Personen, die Art der geplanten Verarbeitung und die Auswirkungen, die eine solche Verarbeitung auf die betroffenen Personen haben könnte. Im Rahmen des Bildungswesens, insbesondere wenn es um die Verarbeitung von Daten minderjähriger Kinder geht, kann auf eine vorherige Analyse der Risiken und Bedingungen der Verarbeitung personenbezogener Daten nicht verzichtet werden. In ihrer beratenden Funktion können die Datenschutzbehörden den betroffenen Stellen Orientierungshilfen geben, weshalb diese dringend gebeten werden, sich mit ihnen in Verbindung zu setzen.

D.B.: Unsere Behörde wird in Kürze ein Merkblatt publizieren, das die wichtigsten Kriterien für die Prüfung einer Software-Lösung aufzeigt. Anhand dieser Kriterien kann eine Bildungseinrichtung entscheiden, welche Software sie für welche Datenbearbeitung einsetzen kann. Die Datenschutzbeauftragten der jeweiligen Kantone stehen für Beratung bei dieser Prüfung zur Verfügung.

Die meisten kantonalen Datenschutzbeauftragten publizieren Richtlinien und sonstige Hilfestellungen zu verschiedenen Software-Lösungen. Wie weiss ich als Schule X, welche Richtlinien für mich gelten?

C.K.: In der Tat ist es für Schulen nicht immer einfach zu bestimmen, welche Gesetzgebung auf die von ihnen durchgeführte Datenverarbeitung anwendbar ist. Generell gilt, dass Privatschulen dem Bundesgesetz über den Datenschutz und der Zuständigkeit des Eidgenössischen Datenschutzbeauftragten unterstehen, während öffentliche Schulen der kantonalen Datenschutzgesetzgebung und der Zuständigkeit des kantonalen Datenschutzbeauftragten unterstehen. Darüber hinaus erlassen die kantonalen Stellen, die für die Ausbildung zuständig sind, oft Richtlinien zum Datenschutz, insbesondere im Zusammenhang mit dem Einsatz von Lehrplattformen. Bei Zweifeln oder Fragen sollte man nicht zögern, sich an die für die Ausbildung zuständige kantonale Stelle oder direkt an die zuständigen Datenschutzbehörden zu wenden, die die betroffenen Personen gegebenenfalls weiterleiten werden.

D.B.: Die Datenbearbeitungen einer Schule haben sich bei einer Privatschule nach dem Bundesgesetz über den Datenschutz, bei einer öffentlichen Schule nach dem kantonalen Datenschutzgesetz zu richten. Entsprechend kann sich eine Schule an die oder den zuständigen Datenschutzbeauftragten des Bundes bzw. ihres Kantons wenden. Es gelten entsprechend die Vorgaben der zuständigen Datenschutzbehörde.

Wenn eine Lösung als nicht datenschutzkonform eingestuft wird – was für Möglichkeiten als Schule habe ich?

C.K.: Die Schulen haben in ihrer Eigenschaft als Verantwortliche für die Datenbearbeitung ein gewisses Mass an Autonomie in Bezug auf den Datenschutz. Es liegt daher an ihnen, die entsprechenden Entscheidungen zu treffen. Es ist jedoch zu bedenken, dass die Verarbeitung von Daten unter Verletzung der Datenschutzgesetze einen unrechtmässigen Eingriff in die Persönlichkeit der betroffenen Personen darstellt. In einem solchen Fall könnte der zuständige Beauftragte eine Empfehlung gegen die betreffende Schule aussprechen und die Angelegenheit an die Justizbehörden weiterleiten. Daher sollten die betroffenen Stellen im Zweifelsfall den Dialog bevorzugen und sich systematisch mit der zuständigen Datenschutzbehörde in Verbindung setzen, um festzustellen, inwieweit die geplante Datenverarbeitung konform ist oder nicht. Datenschutzbehörden bevorzugen im Allgemeinen einen kooperativen und kundennahen Ansatz.

D.B.: In diesem Fall muss sich die Schule zunächst die Frage stellen, was sie mit dem Einsatz dieser nicht datenschutzkonformen Lösung genau erreichen will. Ist es absolut notwendig, genau diese Anwendung zu nutzen? In einem weiteren Schritt kann sie nach Alternativen suchen. Es ist oft so, dass gewisse Aufgaben bisher auch auf andere Art und Weise erledigt werden konnten. Wenn eine Schule diese bisherige Aufgabenerfüllung abändern möchte, sollte sie sich überlegen, weshalb sie die Änderung vornehmen möchte. Nicht alles, was neu ist, ist auch geeignet für eine beabsichtigte Veränderung.