Zürcher Datenschützer bemängelt Schul-Websites
Datenschutzkonformität von Applikationen
Unter den Applikationen, die der Datenschützer untersucht hat, waren Google Classroom und Microsoft Office 365. Bei beiden Applikationen verlassen die Daten das Schulzimmer und werden im Auftrag der Schule durch Dritte bearbeitet. Dafür sind vertragliche Vereinbarungen erforderlich, die unter anderem die Verantwortlichkeiten und die Verfügungsmacht, die Zweckbindung, Geheimhaltungsverpflichtungen, Informationssicherheitsmassnahmen, Kontrollmöglichkeiten, Unterauftragsverhältnisse, den Ort der Datenbearbeitung, das anwendbare Recht und den Gerichtsstand regeln müssen.
Im Fall von Microsoft Office 365 konnte die Vereinigung der schweizerischen Datenschutzbeauftragten, Privatim, mit Microsoft die vertraglichen Bedingungen so anpassen, dass Office 365 im Schulbereich eingesetzt werden darf. Bei Google Classroom hingegen werden die Daten weltweit bearbeitet. Es ist nicht transparent, an wen Google Daten weitergibt. Der Gerichtsstand befindet sich in den USA, und es gilt US-amerikanisches Recht. Weil keine individuellen Vertragsvereinbarungen möglich sind, genügt Google Classroom aus Sicht des Zürcher Datenschützers den Anforderungen nicht.
Umgang mit Personendaten
Zum Umgang mit Personendaten stellte der Zürcher Datenschützer fest, dass die Schulen die technischen Massnahmen zum Schutz der Personendaten meist angemessen implementiert hatten. Hingegen fehlten ausreichende organisatorische Massnahmen. So sind zum Beispiel die Rollen, Verantwortlichkeiten und Berechtigungen im Umgang mit Personendaten oft nicht genügend klar definiert.
Unsichere Websites
Bei der Untersuchung der Schul-Websites stellte der Datenschützer fest, dass viele Schulen Dritt-Dienste nicht datenschutzkonform einsetzten: 80 Prozent der Schul-Websites enthielten Programmcodes der Firma Google, wie Google Maps oder Google Analytics. Diese eingebundenen Codes bewirken, dass Daten der Website-Besucher/-innen an Google in die USA geschickt werden. Die Schule müsste deshalb eigentlich mit Google den Umgang mit diesen Daten vertraglich regeln. Unter anderem müssten Geheimhaltungsverpflichtungen, Sicherheitsmassnahmen, Kontrollen und die Löschung der Daten geregelt werden. Solche Vereinbarungen fehlten jedoch.
Zu Google Analytics hält der Zürcher Datenschützer allgemein fest, dass dieses Statistik-Instrument die IP-Adresse und weitere Informationen der Website-Besucher/-innen „direkt an die Firma Google in die USA“ schickt. Die IP-Adresse erlaubt Rückschlüsse auf die Person der Website-Besucher/-innen. Zwar bietet Google Analytics eine Funktion zur Anonymisierung der IP-Adresse an, die das interne Datenschutzproblem beim Betreiber der Website entschärft. Die IP-Adresse werde aber erst nach der Daten-Übermittlung in die USA anonymisiert, und Google sei nicht zu vertraglichen Vereinbarungen bereit. Google Analytics ist deshalb aus datenschützerischer Sicht als Statistik-Instrument grundsätzlich nicht geeignet.
Empfehlungen an die Schulen
Der Datenschützer forderte die betroffenen Schulen zu Verbesserungen auf. Aufgrund der grossen Zahl der Mängel will er weitere Schulwebsites überprüfen. Weil er oft Fragen zum Schulbereich beantworten muss, hat der Zürcher Datenschützer zudem ein Datenschutz-Lexikon für die Volksschule erarbeitet. Er will damit den verschiedenen Beteiligten den Umgang mit den oft sensitiven Personendaten im Schulumfeld erleichtern. Das Datenschutz-Lexikon ist auf der Website des Zürcher Datenschützers abrufbar . Für die anderen Schulstufen seien analoge Hilfsmittel in Planung.
Weitere Informationen:
Datenschutzbeauftragter Kanton Zürich: Tätigkeitsbericht 2014: Dank Kontrollen mehr Sicherheit, Medienmitteilung vom 17. Juni 2015
Datenschutzbeauftragter Kanton Zürich: Tätigkeitsberichte
Computerworld: Zürcher Schulen fallen beim Datenschützer durch, 17. Juni 2015
Datenschutzbeauftragter Kanton Zürich: Datenschutzlexikon Volksschule