Datenschützer erlassen Richtlinien für “Cloud-Computing” an Schulen

(Keystone-SDA) Die Vereinigung der Schweizerischen Datenschutzbeauftragten Privatim sorgt sich um den Datenschutz an den Schulen. Grund ist der zunehmende Einsatz von “Cloud Computing”. Mit einem Merkblatt weisen die Datenschützer nun auf den richtigen Umgang mit Datenwolken hin.

Das “Cloud Computing” befindet sich bei Unternehmen und Behörden auf dem Vormarsch. Dabei wird die Datenspeicherung nicht mehr vom Unternehmen oder der Behörde selber betrieben, sondern von einem Cloud-Service-Anbieter als Dienstleistung gemietet.

Die Daten befinden sich nicht mehr im firmeneigenen Netzwerk, sondern in einer sogenannten Wolke. Datenschützer befürchten dabei Verstösse gegen den Datenschutz.

Zu den bekannten Cloud-Diensten gehören etwa Dropbox, Microsoft Office 365 oder Google Drive. Schulen, welche über die Nutzung solcher Dienste nachdenken oder diese bereits nutzen, stehen im Fokus des Papiers, das die Datenschutzbeauftragten am Montag verabschiedeten.

Die Vereinigung Privatim hält darin fest, dass “grundsätzlich ein schriftlicher Vertrag zwischen der Schule und dem Cloud-Anbieter” erforderlich ist. Darunter fällt auch das einfache Akzeptieren von Nutzungsbedingungen.

Schlüssel muss beim Nutzer sein

Das Problem: Bei Standardprodukten können gemäss Privatim oft keine Verträge vereinbart werden oder aber die Nutzungsbedingungen entsprechen nicht den datenschutzrechtlichen Anforderungen.

Standardprodukte fallen für Schulen also faktisch weg. Es sei denn, es bestehe die Möglichkeit, die Daten zu verschlüsseln, teilte Privatim-Präsident Bruno Baeriswyl auf Anfrage mit. “Wichtig dabei ist, dass der Schlüssel beim Nutzer der Cloud liegt und nicht beim Cloud-Anbieter.” Dropbox oder Google Drive gehören gemäss Baeriswyl nicht zu den Anbietern, die diese Vorgabe erfüllen.

Mit anderen Worten: Passen Dropbox und Google Drive ihre Nutzungsbedingungen nicht an, kommen sie für einen Einsatz in den Schulen nicht mehr in Frage.

Konkret muss in den Nutzungsbedingungen etwa festgehalten sein, dass die Verfügungsmacht bei der Schule liegt und die Daten nur für die Zwecke der Schule bearbeitet werden können. Ausserdem soll das Schweizerische Recht angewendet werden und Streitfälle sollen zwingend vor Schweizer Gerichte kommen.

Kontrollen in den Schulen

Die Richtlinien, über die am Samstag der “Tages-Anzeiger” berichtet hatte, konkretisieren gemäss Baeriswyl die geltenden gesetzlichen Anforderungen. Die Datenschutzbeauftragten würden mittels Kontrollen überprüfen, ob die an den Schulen eingesetzten Cloud-Lösungen die gesetzlichen Bestimmungen erfüllten.