Daten

Daten sind die Materie der digitalen Welt, ja der Sauerstoff für digitales Lernen und Lehren. Sie sind gleichzeitig der Rohstoff des 21. Jahrhunderts. Daten müssen gewonnen, gespeichert, verwaltet und nutzbar gemacht werden können. Sie können somit einerseits geteilt, müssen anderseits aber auch geschützt werden. Dies gilt für Daten, die auf dem Server im Schulhaus gespeichert sind, wie auch für Daten in der Cloud.

Bis anhin gibt es in der Schule punktuelle Ansätze, umfassend über Daten und deren Umgang zu sprechen. Da Daten jedoch ein zentraler Teil des digitalen Wandels sind, wird ihnen ein ganzes Kapitel gewidmet. Die Schulen sind gefordert, einen bewussten und sensibilisierten Umgang mit Daten zu erlernen und umzusetzen. Die Datenschutzbeauftragte des Kantons Zürich (DSB) stellt einen Leitfaden, eine Anleitung sowie Vorlagen und Checklisten zur Verfügung, um die Informationssicherheit an Volksschulen mit verhältnismässigem Aufwand rechtskonform umzusetzen. 

Grundlagen zu Daten

Datenarten

Es hat sich als nützlich erwiesen, die Daten im Kontext der Schule in Stammdaten, Inhaltsdaten und Metadaten zu unterscheiden. 

• Stammdaten (manchmal auch als Bestandsdaten bezeichnet) sind Namen, Postadresse, Telefonnummer, E-Mail-Adressen, Klassenzuteilung etc.
• Inhaltsdaten sind der Nachrichtenstrom, das Telefongespräch oder der Inhalt des Textdokumentes an und für sich.
• Metadaten sind die Daten, die darüber Auskunft geben, wer mit wem von wann bis wann und von wo nach wo kommuniziert. 

Grade der Öffentlichkeit von Daten in Cloud-Diensten

Inhalte auf Cloud-Diensten haben vier verschiedene Grade von Öffentlichkeit:

• Privat sind Inhalte nur, wenn sie verschlüsselt sind.
• Pseudoprivat sind Inhalte, die unverschlüsselt sind und damit durch die Cloudbetreiber automatisisert ausgewertet und/oder durch technische Administratoren eingesehen werden können. Pseudoprivate Inhalte können geleaked oder wegen technischer Fehler versehentlich veröffentlicht werden. 
• Halböffentlich sind Inhalte, die in Gruppen (Klasse, Fachlehrer, Schulhaus intern etc.) geteilt werden. Durch die einfache Kopierbarkeit digitaler Inhalte muss davon ausgegangen werden, dass die Inhalte jederzeit einer erweiterten Nutzungsgruppe zur Verfügung gestellt werden können. Deshalb werden sie halböffentlich genannt. Wegen der einfachen Kopierbarkeit digitaler Daten muss die Nicht-Weiterverbreitung halböffentlicher Inhalte oft explizit durch mündliche oder schriftliche Vereinbarungen – bis hin zu einer Geheimhaltungsvereinbarung – eingefordert werden. 
• Öffentlich sind die Inhalte, die für Mensch und Maschine ohne Hürde einzusehen sind.

Verschiedene Grade der Öffentlichkeit bedingen einen anderen Umgang mit den Inhalten bezüglich: 

• Qualität: Private Inhalte müssen nicht über die selbe Qualität verfügen, wie öffentliche Inhalte (z.B. bzgl. Rechtschreibeprüfung).
• Copyright: Bei privater, pseudoprivater und halböffentlicher Verarbeitung sind Benutzende frei in der Nutzung fremder Inhalte (Texte, Bilder etc.). 
• Datenschutz: Für das Teilen von Informationen (Fotos, Texte etc.) anderer Personen wird bei pseudoprivaten und halböffentlichen Daten deren Einverständnis benötigt.
   

Datennutzung

Damit Daten für die Schule nutzbar gemacht werden können, sind mehrere Schritte notwendig:

1. Daten erfassen: Zuerst müssen die Daten erhoben, erfasst, geschürft, gewonnen, gesammelt werden.
2. Daten verfügbar machen: Anschliessend müssen die Daten verfügbar und zugänglich sein.   
3. Daten beherrschbar machen: Daten analysieren lernen, visualisieren, aufbereiten.
4. Daten nutzbar machen: Zuletzt kann man die Daten nutzen, um administrative Prozesse zu optimieren. Daten aus Learning-Analytics-systemen könnten auch den personalisierten Lernprozess unterstützen.

Die Datennutzung steht oft im Konflikt mit dem Datenschutz.

Zugänglichkeit

Es ist zentral, dass jederzeit ein vollständiger Zugang zu den Daten garantiert ist. Die Schule muss die Möglichkeit haben, ihre Daten inkl. allen Metadaten in einem weitverbreiteten, standardisierten Format jederzeit vollständig herunterladen und eine Sicherungskopie erstellen zu können.

Dies ist notwendig zur Vorkehrungen für die folgenden Fälle:

• Verlust der Daten beim Datenhoster
• Verschlüsselung der Daten ohne Schlüssel (z.B. Schlüsselverlust, Verschlüsselungstrojaner)
• Sperrung des Zugangs aus technischen, politischen oder juristischen Gründen

Interoperabilität

Interoperabilität bedeutet, dass die Daten in einem vereinbarten, standardisierten Format zugänglich sind. Interoperabilität dient dem Transfer von Daten zwischen verschiedenen Systemen. So sollten zum Beispiel die Daten im Schulverwaltungssystem in einem vereinbarten, standardisierten Format exportiert werden können und in ein anderes Schulverwaltungssystem importiert werden können.

Die Qualität der Interoperabilität kann verschieden ausgestaltet sein und muss überprüft werden. Wenn die Interoperabilität nicht zu 100 Prozent gewährleistet ist, bedeutet dies viel Handarbeit, um die Daten in einem neuen System verfügbar zu machen.

Schnittstellen

Damit Daten nicht nur durch Export und Import, sondern auch automatisiert und dynamisch ausgesucht und geändert werden können, bedarf es definierter Schnittstellen, sogenannter APIs. Eine Schulverwaltung sollte ein API anbieten, damit z. B. Benutzerdaten mit einem anderen System synchronisiert werden können. Digitale, individuelle Stundenpläne sollten ebenfalls eine API beinhalten, damit Stundenplandaten von Schülerinnen und Schülern und Erziehungsberechtigten in andere Systeme importiert werden können.

Offene Daten

Einige Daten kann die Schule ihrerseits in anonymisierter Form der Öffentlichkeit zur Verfügung stellen und dafür auch Schnittstellen anbieten. Dabei könnte es sich um Ferienpläne, anonymisierte Stundenpläne, Gebäudepläne und  Schülerzahlen handeln.

Datenhunger

Die Schule bewegt sich in einem Gerangel um digitale Daten. Der Wunsch nach Daten aus der Bildung wird sich in den kommenden Jahren verstärken. Datensammlung und deren Analyse kennt man im kommerziellen Bereich unter den Begriffen «Big Data» oder «Data Mining» und existiert bereits seit einiger Zeit.

Der Fachbegriff «Learning Analytics» bezieht sich auf Bildungsdaten. «Mit Learning Analytics» wird die automatisierte Erhebung, Verarbeitung und Auswertung unterschiedlichster Daten aus Lehr- und Lernprozessen bezeichnet. Es geht darum, Lernaktivitäten und Lernprozesse sichtbar zu machen und diese besser unterstützen zu können. Werden Daten über längere Zeit gesammelt, entstehen Profile für alle Lernenden. Die Daten erlauben aber auch Vorhersagen, indem bereits gesammelte Daten mit jenen früherer Lernender automatisiert verglichen werden.» (Quelle: ILZ: LEHRMITTEL IN EINER DIGITALEN WELT; S. 64)

Mit dem Eintritt der grossen digitalen Player (Google, Microsoft, Apple und Facebook) in den Bildungsmarkt ist eine Vermischung von «Big Data» und «Learning Analytics» voraussehbar. Es wird deshalb zentral sein, die Daten der Lernenden zu schützen und deren Nutzung soweit möglich im Sinne der Schule zu koordinieren.

Datenschutztechnik

Datenschutztechnik ist der erste der folgenden drei Aspekte des Datenschutzes:

1. Technischer Aspekt: Dieser bezieht sich auf technische Massnahmen und Mittel, die eingesetzt werden, um den Schutz der Daten umzusetzen. 
2. Rechtlicher Aspekt: Dieser bezieht sich auf die rechtlichen Mittel der Schule. Das Datenschutzrecht gibt Pflichten und Rechte vor. Zum Datenschutzrecht ist mehr zu finden im Kapitel Risikokultur.
3. Vertrauens-Aspekt: Das Vertrauen ist zentral. Die Frage, ob der Anbieter und die Technik vertrauenswürdig ist, muss vom Individuum beantwortet werden. Indikatoren dafür sind der Umgang mit persönlichen Daten der Kunden in der Vergangenheit, die eingesetzte Technik, um die Daten zu schützen, sowie die Wertehaltung des Anbieters bezüglich persönlicher Daten. Das Beurteilen des Anbieters und der eingesetzten Technik durch unabhängige Stellen kann Vertrauen schaffen. 

Die technischen Vorkehrungen bezüglich des Datenschutzes sind demzufolge ein wesentlicher Teil der schulischen Basisinfrastruktur.

Die Schule stellt die technischen Komponenten und Tools zur Umsetzung des Datenschutzes zur Verfügung. Die Benutzenden, die schützenswerte Daten bearbeiten, setzen diese Techniken und Tools selbstverantwortlich ein. Dafür müssen sie entsprechend instruiert werden. Dies betrifft insbesondere die

• Schulleiterinnen und Schulleiter (SL)
• Fachpersonen der Schulverwaltungen (SV)
• Lehrpersonen für Schülerinnen und Schüler mit besonderen Bedürfnissen
• Schulsozialarbeiterinnen und -arbeiter (SSA)
• Lehrpersonen und Mitarbeitende beim Bearbeiten von «personensensitiver Daten»

Unterschied zwischen Datenschutz vor Menschen und Datenschutz vor Maschinen

• Datenschutz vor Menschen sorgt dafür, dass höchst persönliche Informationen vor Menschen in der näheren Umgebung geschützt sind. 
• Datenschutz vor Maschinen ist besorgt, dass keine Profilbildung und keine maschinelle Analyse von Daten möglich sind. 

Ein persönlicher Text in einem verschlüsselten Computer ist aus Sicht des Datenschutzes vor Menschen sicherer als ein Notizpapier auf dem Pult. Will man maschinelle Datenanalyse verhindern, ist hingegen die Notiz auf dem Papier die sicherere Variante. Dies bedeutet, dass der Umgang mit analogen Daten bezüglich des Datenschutzes ebenso analysiert und allenfalls verändert werden muss wie digitale Abläufe und Sicherung. 

Auch Metadaten gehören geschützt

Nicht nur Inhaltsdaten enthalten schützenswerte Informationen, sondern auch Metadaten. Metadaten sind strukturierte Daten, die übergreifende Informationen über eine Ressource wie Bücher, Webdokumente, Videos oder Bilder beinhalten. Durch sie wird die Informationsressource mit zusätzlichen Daten beschrieben, um sie maschinell und automatisiert verarbeiten zu können. Sie ermöglichen Vorgänge wie Data Mining, Information Retrieval, Crawling oder Indexing. Metadaten sind speziell für die Profilbildung äusserst interessant.

Die Mittel des technischen Datenschutzes

Datensparsamkeit sowie Verschlüsselung und Anonymisierung von Daten sind zentrale Mittel des technischen Datenschutzes. Die folgenden Aufzählungen bieten Hinweise, wie Daten geschützt werden können.

• Datensparsamkeit
  • durch Vermeiden geht es darum, Daten und Infromationen, die nicht digital benötigt werden, gar nicht erst digital zu erfassen.
  • durch Filtern kann z.B. Webbrowser genutzen werden, der Werbung und damit die Weitergabe persönlicher Daten filtert.
  • durch Löschen 
  • durch Vergessen werden die Daten zeitlich beschränkt gespeichert und mit einem Ablaufkriterium (z.B. Datum) versehen. Beim Eintreten dieses Kriteriums werden die Daten gelöscht.
  • durch Need to Know (Zugangsbeschränkung)
  • durch Einschränken des Zugangs zu digitalen Daten. Aufgrund der Kopierbarkeit und damit der einfachen Distribution digitaler Daten ist dieser Weg schwierig.
     
• Verschlüsselung
  Die Verschlüsselung der Daten findet einerseits Anwendung bei der Speicherung von Daten und andererseits beim Transport von Daten, also bei der Kommunikation.
  • Verschlüsseln bei der Speicherung
    • Bei der Dokumentenverschlüsselung werden einzelne Dokumente verschlüsselt (z.B. PDF oder via ZIP)
    • Bei der Ordnerverschlüsselung werden ganze Ordner verschlüsselt (z.B via ZIP). Ein einzelner verschlüsselter Ordner wird manchmal auch Datentresor bezeichnet. Ein Datentresor ist nützlich für das Verschlüsseln in der Cloud oder auf dem Memorystick, insbesondere für besondere Personendaten
    • Bei der Speicherverschlüsselung werden die Daten auf der Harddisk, auf der SD-Karte etc. verschlüsselt. Heute ist es Standard, dass der Speicher von Endgeräten (Laptops, Smartphones, Tablets etc.) verschlüsselt ist. Falls dies nicht der Fall ist, sollte dies für alle Speicher, die persönliche Daten enthalten, umgesetzt werden.
  • Verschlüsseln bei der Kommunikation
    • Bei der Transportverschlüsselung (z.B. tls, ssl) werden die Daten beim Transport einer (Teil-)Strecke von Punkt A zu Punkt B verschlüsselt.
    • Bei der Ende-zu-Ende-Verschlüsselung (z.B. pgp) werden Daten von Endgerät zu Endgerät verschlüsselt.
    • Bei der Metadatenverschlüsselung (z.B. doh, dot) werden nebst den Inhaltsdaten insbesondere auch die Metadaten (wer kommuniziert mit wem, wann und wie lange etc.) verschlüsselt.
  • Bei der Verschlüsselung ist relevant zu verstehen, wer für die Entschlüsselung einen Zugang zum Schlüssel hat und braucht.
  •  
• Anonymisierung
  Bei der Anonymisierung personenbezogener Daten werden diese derart verändert, dass die Daten nicht mehr einer Person zugeordnet werden können. 

Bei allen Datenschutztechniken besteht ein ständiger Wettlauf zwischen dem Schutz der Daten und der Hackbarkeit der Datenschutztechniken. Deshalb müssen die beiden Datenschutztechniken «Verschlüsselung» und «Anonymisierung» regelmässige überprüft, aktualisiert und verbessert werden. 

Massnahmenliste zur Verbesserung des technischen Datenschutzes

Datenschutz ist ein Gebiet mit viel Verbesserungspotenzial. Der Wert eines guten Datenschutzes wird jedoch meist nur indirekt oder zu spät erkannt, das heisst, erst dann, wenn ein Datenleck zu einer Panne geführt hat. Die Schule ist gut beraten, wenn sie eine Massnahmenliste erstellt. Darin sollen Massnahmen zum Schutz der Daten nach erwartetem Aufwand/Nutzen-Verhältnis priorisiert aufgelistet werden. Die Liste ist als etwas Dynamisches zu verstehen, das sich dem zunehmendem Verständnis der gesammelten Erkenntnisse sowie den aktuellen Entwicklungen und Möglichkeiten anpasst. 

Die Massnahmenliste dokumentiert die Verbesserungen, die zugunsten des Datenschutzes unternommen wurden und zeigt, dass dem Datenschutz in der Schule Beachtung geschenkt wird.

Beispiel einer Massnahmenliste

Eine noch nicht priorisierte Massnahmenliste könnte wie folgt aussehen:

• Übersicht erstellen, welche häufig genutzten Apps welche Daten wo speichern und inwiefern dies aus Sicht des Datenschutzes bedenklich sein könnte
• Abklären, ob Microsoft 365-Dienste auf Server in der Schweiz verschoben werden können
• Evaluation und Beschaffung von Möglichkeiten zur Verschlüsselung von E-Mails und E-Mail-Anhängen etc.
• Schulung in der Anwendung von Verschlüsselungstechniken
• Evaluation und Beschaffung von Möglichkeiten der Nutzung von Datentresoren
• Schulung in der Nutzung von Datentresoren für Mitarbeitende, die besondere Personendaten bearbeiten
• Schulung in der Verschlüsselung von Mails für Mitarbeitende, die besondere Personendaten bearbeiten 
• Einführung und Schulung in den Umgang mit Browsern, die Tracking und Werbung filtern
• Telefonie auf ein verschlüsseltes Angebot umstellen, das die Inhaltsdaten verschlüsselt
• Chatkommunikation auf einen neuen Dienst wechseln, der auch die Metadaten verschlüsselt
• Abklären, ob durch den Verkauf des MDM-Dienstes an ein amerikanisches Unternehmen der Datenschutz noch erfüllt ist
• Abklären, ob die von der Schule genutzten Cloud-Dienste den Anforderungen des schweizerischen Datenschutzgesetzes genügen

Zum Thema «Datenschutz in der Volksschule» hat die Datenschutzbeauftragte des Kantons Zürich ein Datenschutzlexikon zusammengestellt.  

Sie erarbeitete Grundlagen zur Thematik der Nutzung von Cloud-Diensten am Beispiel von Microsoft 365. Sie geben detailliert Auskunft über die Klassifizierung von Daten und wie mit hochsensiblen Daten, wie zum Beispiel Berichten von Schulpsychologinnen und -psychologen zu verfahren ist. Die für Microsoft 365 beschriebenen Anforderungen müssen auch Cloud-Dienste, die auf Open Source Lösungen basieren, erfüllen. 

Datenhaltung

Der strategische, konforme Umgang mit digitalen Daten enthält für Schulen ein grosses Entwicklungspotential.

Datenhaltung Grundlagen

Bei der Datenhaltung wird zwischen redundanter Datenhaltung, Änderungsaufzeichnung, Sicherungskopie (Backup), Aufbewahrung und Archivierung unterschieden. Jedes dieser Verfahren ist für unterschiedliche Zeithorizonte gedacht. 

• Redundante Datenhaltung bedeutet, dass die Daten auf redundanten Systemen mit automatischer Fehlerkorrektur für einen quasi-unterbrechungsfreien Betrieb jederzeit zur Verfügung stehen. 
• Die Änderungsaufzeichnung (Undo/Redo) ermöglicht, dass Benutzenden Änderungen jederzeit rückgängig machen können.  «Gelöschte» Daten (Dateien, E-Mails, etc.) werden typischerweise 30 bis 90 Tage oder bis auf Weiteres im Papierkorb aufbewahrt.
• Einer Sicherungskopie (Backup) ermöglicht es, gelöschte, zerstörte oder nicht mehr zugängliche Daten wieder zu nutzen.
• Unter Aufbewahrung (auch ruhende Ablage) (gemäss IDG) wird die Aufbewahrungspflicht der rechtsrelevanten Daten für die Dauer von 10 Jahren verstanden. Dies betrifft z.B. Zeugnisse, Protokolle, Verträge, Auszüge der E-Mail-Kommunikation der Schulverwaltung und Schulleitung. 
  Idealerweise besteht die Aufbereitung zur Aufbewahrung aus der Bereinigung, der Fixierung und der Verschlüsselung der aufzubewahrenden Daten
  • Bereinigung meint das Löschen von nicht rechts-relevanten Daten oder das Selektieren der rechtsrelevanten Daten.
  • Fixierung bedeutet das Signieren der Daten, so dass sie nicht mehr verändert werden können
  • Verschlüsselung der Daten schützt sie so, dass sie nur von befugten Personen gelesen werden können.
• Die Archivierung (gemäss IDG) bezeichnet die Phase nach der gesetzlich vorgeschriebenen Aufbewahrung von 10 Jahren. Sie dient in erster Linie historischen Zwecken und der Geschichtsforschung. Bei der Archivierung unterscheiden wir zwischen Archivierung im 
  • Staatsarchiv des Kantons. Das Staatsarchiv sichtet die Daten und entscheidet welche Daten das Staatsarchiv archiviert resp. welche Daten durch die Schule vernichtet werden müssen. 
  • Gemeindearchiv
  • Schularchiv

Bei allen oben genannten Punkten hat die Schule die Aufgabe, die Verantwortlichkeiten, Berechtigungen und die Schnittstellen zu definieren.

Datenhaltung heute konkret

Es ist davon auszugehen, dass die Aufbewahrung und die Archivierung der Daten heute meist noch in Papierform durchgeführt werden. Im Schulumfeld sind wenig Erfahrung und kaum Lösungen vorhanden, wie Archivierungsprozesse digital effizient und nachhaltig umgesetzt werden können.

Gemäss den Ausführungen der Datenschutzbeauftragten des Kantons Zürich gelten die folgenden Grundsätze: «Die Akten müssen während der Aufbewahrung und Archivierung durch angemessene technische und organisatorische Massnahmen geschützt werden. Die Massnahmen richten sich nach dem Schutzbedarf. Je sensibler die Information, desto höher ist der Schutzbedarf. Akten, die besondere Personendaten beinhalten, beispielsweise solche der schulpsychologischen Dienste, sind unter Verschluss zu halten. Elektronische Akten sind durch sichere Passwörter zu schützen.»

Die Datensicherung steht oft ihm Widerspruch zum Datenschutz. Daten müssen deshalb nicht nur gespeichert, gesichert, aufbewahrt und archiviert werden, sondern auch vergessen, gefiltert, gelöscht oder anonymisiert werden können.

Entwicklung der Datenhaltung

Der Speicherplatz wird - wie vieles in der Informatik - exponentiell günstiger. Wegen der anfänglich hohen Speicherkosten waren früher technische Aspekte bestimmend für das Design von Datenhaltungssystemen, während in neuerer Zeit vermehrt die Benutzererfahrung und gesellschaftliche Aspekte die Diskussion um Funktionalitäten von Datenhaltungssystemen bestimmen. 

Der technische Fortschritt führt dazu, dass Datensysteme im Verlaufe der Zeit immer

• dynamischer werden. Dies bedeutet, dass Daten automatisch zwischen verschiedenen Typen von Speichersystemen verschoben werden, um Kosten und Zugriffszeiten zu optimieren
• automatisierter werden. Dadurch selektieren Datensysteme die Daten und archivieren sie selbstständig

Die Automatisierung und Dynamisierung befreien die Benutzenden von vielen Aufgaben. Der Zustand und der Verbleib der Daten ist für die Benutzenden jedoch schwieriger nachvollziehbar. Die Diskussion verschiebt sich demzufolge von der Frage «wie viel Speicher haben die Benutzenden in der Datenablage», zu «welche Daten wollen wir wie lange aufbewahren, wann fixieren, wann verschlüsseln und wann löschen?».

Je dynamischer die Datenhaltungssysteme werden, desto mehr überlagern sich die verschiedenen Modi. Redundanz und Änderungsaufzeichnung übernehmen heute oft die Funktion, die früher die Sicherungskopie (Backup) hatten, nämlich:
 

• Versehentlich oder zu früh gelöschte Daten lassen sich wieder zurück zu holen.
• Nicht mehr aktiv benötigte Daten werden auf kostengünstigere Datenträger verlagert.

Die Sicherungskopie ist heute deshalb meist nur noch für die Wiederherstellung bei Totalverlust oder Verlust des Zugangs der Daten nötig. Dabei ist wichtig, dass die Sicherungskopien nicht im selben System laufen und sich physisch an einem anderen Ort befinden. Damit werden die Gefahren von Verlust bei Brand und Wasserschaden ausgeschlossen. Zudem sollten sie nicht mit dem Schulnetzwerk verbunden sein, um den Gefahren von Verschlüsselungs- und Erpesssungstrojanern entgegenzuwirken.