Cloud-Dienste konkret

Die Fachstelle Bildung und ICT erarbeitete mit drei externen Beraterfirmen für die Schule Musterhausen drei erweiterte Daten-Cloud-Lösungen. Diese Beispiellösungen bilden den ganzen Prozess – von der Idee bis zur Realiserung – ab und formulieren relevante Fragen, die Schulen für sich beantworten sollten, falls sie eine Daten-Cloud-Lösung in Betracht ziehen.

Aufgrund der Verbreitung im Schulumfeld und der absehbaren Entwicklungen wurden folgende Produkte für die Prozessabbildung gewählt:

• anyCloud– Nextcloud – der Firma anykey,
• Microsoft 365 Education von Microsoft 
• Google Workspace for Education Plus von Google

Die drei Anbieter stellen dem VSA jeweils eine Umgebung für die Schule Musterhausen zur Verfügung, in der interessierte Entscheidungsträgerinnen und -träger von Volksschulen die Cloud-Dienste ausprobieren können. 

Alle hier vorgestellten Cloud-Dienste eignen sich für den schulischen Alltag. Sie werden bereits von vielen Schulen in der Schweiz eingesetzt und entwickeln sich schnell weiter. Im Detail bestehen Unterschiede, was den Datenschutz, die Einfachheit der Bedienung, die Inbetriebnahme, den Support, den Funktionsumfang der Tools und die Eignung für die spezifischen Bedürfnisse einer Schule betrifft.  

Die hier vorgestellten Cloud-Dienste wurden nicht speziell für den schulischen Einsatz entwickelt und enthalten in ihren Paketen eine grosse Vielfalt an Tools. Schulen sind gut beraten, sich von einer Person begleiten zu lassen, die langjährige Erfahrung mit diesen Tools in der Schule besitzt und sich mit den Konfigurations- und Anwendungsmöglichkeiten auskennt. 

Die vorgestellten Cloud-Dienste decken gemäss den Kategorien des ICT-Coaches in erste Linie folgende zwei Bereiche ab:  

• Cloud-Dateiablagen mit Online-Editoren 
• Kommunikationsdienste 

Teilweise kann mit den Cloud-Diensten auch folgender Bereich abgedeckt werden: 

•  Schulische-Lehrumgebung

Die drei Cloud-Dienste sind weniger geeignet für die

• Schulverwaltungsdienste
• Verwaltung digitaler Lernressourcen (eBooks, Videos, Audio)
• Lehr- und Lerntools, die spezifisch für die Schule entwickelt wurden (Prüfungs-, Tutorats-, Übungs-, Wochenplan-Systeme usw.) 

Das schliesst allerdings nicht aus, dass die Cloud-Dienste auch für diese spezifischen schulischen Funktionen genutzt, konfiguriert und geskriptet werden können. So könnte z.B. die Notenverwaltung mit Excel, die Stammdatenverwaltung mit der Kontakt-Datenbank, die Ressourcenverwaltung mit dem Kalender-Tool usw. umgesetzt werden. Meist werden die Schulen aber schulspezifische Lösungen für die Schulverwaltung, Verwaltung von Lernressourcen usw. bevorzugen.

Funktionsumfang der Cloud-Dienste

	Microsoft 365	Google Workspace	anyCloud
ID-Dienst	Ja (Azure ID)	Ja (Google Identity)	Nein, anbindbar
E-Mail	Ja (Exchange Online)	Ja (Gmail)	Nur Frontend1
Kontakte	Ja (Exchange Online)	Ja (Google Contacts)	Ja (Nextcloud Groupware)
Kalender	Ja (Exchange Online)	Ja (Google Calendar)	Ja (Nextcloud Groupware)
Text-Chat	Ja (Teams)	Ja (Google Chat)	Ja (Nextcloud Talk)
Audio/Video-Chat  für ganze Klassen	Ja (Teams)	Ja (Google Meet)	Nein, ist nicht Teil des anyCloud-Angebots. Add-On: möglich mit Nextcloud Talk HPS2
Dateiablage Benutzende	Ja (OneDrive)	Ja (Google Drive)	Ja (Nextcloud File)
Dateiablage Organisation	Ja (SharePoint, Teams)	Ja (Google Drive)	Ja (Nextcloud File)
Co-Editoren Basic	Ja (Word-, Excel-, PowerPoint-Online bzw. Apps für Windows, macOS und Android)	Ja (Google Docs, Tabellen, Präsentation)	Ja (OnlyOffice Online Dokument, Tabelle, Präsentation). Dieses Add-on muss installiert werden.
Co-Editoren Weitere	MS Whiteboard,  MS OneNote, MS Lists, MS Project, usw.	Google Jamboard, Google Zeichnungen, Google Classroom, Google myMaps, Google Sites, usw.	OnlyOffice Diagramm
Umfrage-Tool	Ja (Forms)	Ja (Formulare)	Nein, nicht Teil des anyCloud-Angebotes. Add-On:Nextcloud Forms
Video-Streaming	Ja (MS Stream)	Ja (Youtube)	Nein, nicht Teil des anyCloud-Angebotes. Add-On: Nanoo.tv (kostenpflichtig)

¹Bei der anyCloud fehlt der E-Mail-Dienst. Dieser muss bei einem anderen Dienstleistungsanbieter bezogen werden. Da Kalender und Kontakte bereits in der anyCloud enthalten sind, reicht ein einfacher E-Mail-Dienst ohne Kontakt und Kalenderfunktionalitäten.

Die verschiedenen Funktionen der drei Cloud-Dienst-Anbieter unterscheiden sich in ihrem Funktionsumfang und ihrer Ausgereiftheit. ICT-affine Schulen erwägen aus unterschiedlichen Gründen die eine oder andere Funktion der drei Cloud-Dienstanbieter, ersetzen resp. ergänzen. Alternative Cloud-Dienste, die fehlende oder unausgereifte Funktionen der obigen Cloud-Dienste ergänzen können, sind:

• Gruppen-Chat: Threema Education, Slack^*
• Audio/Video-Chat für ganze Klassen: Zoom^*, Jitsi, BigBlueButton 
• Online Whiteboard mit Co-Editing: Miro^*
• Notizen: Notion^*
• Video-Streaming: Nanoo.tv

^*Für Slack, Zoom, Miro, Notion, usw. gibt es zurzeit keine Rahmenverträge. Die Schule muss deshalb mit den jeweiligen Anbietern individuell Verträge abschliessen, die den Anforderungen des Schweizerischen Datenschutzes genügen.

Einschätzung der Cloud-Dienste

Um sich ein besseres Bild der drei Cloud-Dienste machen zu können, offerieren wir im Folgenden unsere Einschätzungen der Cloud-Dienste bezüglich Kompatibilität, Benutzerfreundlichkeit, Datenschutz und Digitale Souveränität.

Kompatibilität

	Microsoft 365	Google Workspace	anyCloud
Unterstützte Betriebssysteme (Windows, Mac OS, Linux, Android, iOS)	gut	gut Mobile-App für iOS, Android. Web für Windows, Mac OS, Linux	gut Mobile-App für iOS, Android. Desktop-App für Windows, Mac OS, Linux
Benötigte zusätzliche Software	Linux: Dateisynchronisation (z.B. Insync), E-Mail-, Kontakt- und Kalender-Synchronisation (z.B. Exquillia for Exchange)	Linux: Dateisynchronisation (z.B. Insync)	Android: DAVx5 für Kalender- und Kontakt- Synchronisation
Kompatibilität mit Microsoft Office	vollständig	nahezu vollständig für Word, Excel, PowerPoint	nahezu vollständig bei Word und bei Excel, zu ca. 75% bei PowerPoint
Kompatibilität mit OpenDocument und anderen Formaten	Herunterladen als PDF und als ODF-Formate	Herunterladen als PDF und als ODF-Formate	Unterstützung von ODF-Formaten (ODT, ODS, ODP) und EPUB
Online-Editoren Funktionsumfang	reduzierter Umfang z.B. kein Inhaltsverzeichnis erstellen	gut	gut

Benutzerfreundlichkeit

	Microsoft 365	Google Workspace	anyCloud
Verfügbarkeit	sehr gut	sehr gut	gut
Geschwindigkeit und Reaktivität	keine Einschätzung möglich	Keine Einschätzung möglich	Keine Einschätzung möglich
Speicher	sehr gut 1 TB pro Benutzerin/Benutzer	beschränkt 100 TB gemeinsamer Speicher + 20 GB pro Lizenz	beschränkt Small: Total 50 TB für max. 10 Benutzer Midi: Total 100 TB für max. 50 Benutzer (SL, SV, SPF) Grande: Total 500 TB für max 250 Benutzer (komplette Organisation)
Cloudfirst und aktuelle Nutzungskonzepte	gut / sehr gut für Teams	sehr gut	gut
Konsistenz über Anwendungen	nicht vollständig gegeben	sehr gut	gut

Mit Cloudfirst ist gemeint, ob die Anwendungen speziell für die Zusammenarbeit in der Cloud entwickelt wurden und aktuelle Nutzungskonzepte umsetzen. Aktuelle Nutzungskonzepte sind zum Beispiel:

• Prinzip der Nutzung von Labeln, Kollektionen und Suche anstelle von hierarchischen Ordnern
• Automatische Speicherung und Versionierung

Datenschutz und Sicherheit

	Microsoft 365	Google Workspace	anyCloud
Rechtssicherheit	Rahmenvertrag educa (detaillierte Informationen unter educa)	Rahmenvertrag educa (detaillierte Informationen unter educa)	Sehr gut Serverstandort Schweiz
Datensicherheit	mittel	gut	gut
Vertrauen	Eingeschränkt	Eingeschränkt	gut
Werbefrei	ja	ja	ja

Zu Rechtssicherheit (Rechtlicher Aspekt des Datenschutzes)

Die Rahmenabkommen von educa mit Microsoft und Google bieten den Schulen die Sicherheit, dass sie die Cloud-Dienste weitgehend datenschutzrechtlich legal nutzen können.

Die Tragweite der Entscheide des Europäischen Gerichtshof (EuGH) von 2015 und 2020 zum EU-US Safe-Harbour-Abkommen und zum EU-US Privacy Shield ist die Datenschützerin des Kantons Zürich am Abklären. Es ist noch offen, welche Auswirkungen diese Entscheide auf die Gültigkeit der Swiss-US Privacy Shield und damit auch auf die Rahmenabkommen von educa mit Microsoft und Google hat. 

Weitere Ausführungen, welche die Auswirkungen des Entscheids des Europäischen Gerichtshofs zeigen, sind im Kapitel "Informationssicherheit Clouddienste" unter dem Titel "Informationen zu US-Cloud-Dienstanbietern" zu finden.
Grundsätzliche Ausführungen zum Thema Datenschutz und Risikokultur finden sich hier.

Zur Datensicherheit (technischer Aspekt des Datenschutzes)

Im Zusammenhang mit der Datensicherheit müssen unseres Erachtens folgende Fragen berücksichtigt werden:

• Wie sicher ist der Dienst technisch (auf Basis technischer Massnahmen sowie bekannter Hacks und Lücken)?
• Welche Verfahren unterstützt der Dienst zur Zweifaktor-Authentifizierung? SMS, TOT-APP, Security-Key (FIDO2)
• Welche schulrelevante Verschlüsselung unterstützt der Cloud-Dienst für Dateien, Mail, Text-Chat, Video-Chat usw. (Verbindungsverschlüsselung, Ordner und Dokumentverschlüsselung, Ende-zu-Ende Verschlüsselung usw.)?

Zum Vertrauen

Massgebend für das Vertrauen ist der Umgang des Cloud-Anbieters in der Vergangenheit mit den Kundendaten. Dies kann zum Beispiel die Reaktionszeit zwischen dem Eintreten eines Ereignisses und der Kommunikation des Ereignisses sein.

Zur Werbefreiheit

Alle drei Cloud-Dienste sind im Kontext der Rahmenverträge werbefrei und tragen damit auch zum Datenschutz bei. Inwieweit die Daten der Benutzerinnen und Benutzer bei Microsoft 365, Google Workplace  und der anyCloud-Nextcloud für zukünftige Profilbildung benutzt werden, ist nicht abschätzbar.

Digitale Souveränität und Zukunftssicherheit

	Microsoft 365	Google Workplace	anyCloud
Grad der Anbieter Unabhängigkeit	Anbieter nur einen, aber Datenmigration auf anderen Cloud-Dienst möglich	Anbieter nur einen, aber Datenmigration auf anderen Cloud-Dienst möglich	sehr gut, da verschiedene Anbieter, die  Produkte auf Basis der nextcloud anbieten
Offenheit	mittel Plattform kann mit Apps und Sripts erweitert werden	mittel GW ist skriptbar	gut Open Source
Zukunftssicherheit	gut	gut	gut

Das verstehen wir unter Anbieter-Unabhängigkeit:

• Mitgestaltungsmöglichkeit, Mitbestimmungsrecht
• Gibt es für den Cloud-Dienst verschiedene Anbieter und die Möglichkeit, zu einem anderen Anbieter zu wechseln oder den Dienst selbst zu betreiben?

Unter Offenheit verstehen wir:

• Frei verfügbare/Open Source Software & Hardware
• Standards (Formate usw.)
• Programmierbarkeit der Plattform. Möglichkeit, die Dienste um eigene Entwicklungen zu ergänzen
• Jederzeit die eigenen Daten herunterladen können
• Eine Schnittstelle zu haben für den Zugriff auf die Daten

Unter Zukunftssicherheit ist zu verstehen:

• Die verwendete Technologie der Dienste basiert auf einer Technologie, die nicht "End of Life" ist.
• Long Term Support (Updates): Den Cloud-Dienst gibt es in 5 Jahren noch (Abschätzung).
• Innovationssicherheit (Upgrades): Der Dienst wird kontinuierlich weiterentwickelt, um mit dem Stand der Technik mitzuhalten. Flexibilität, auf zukünftige Entwicklungen zu reagieren.

Google und Microsoft bestimmen, wie sich die Dienste weiterentwickeln und welche Teildienste geschlossen werden. Für Schulen gibt es keine Mitgestaltungsmöglichkeit oder gar ein Mitbestimmungsrecht. Updateprozesse werden unabhängig des Schuljahres (Ferien) durchgeführt. In Kombination mit dem starken Lock-in sind Schulen in hohem Grad abhängig vom Anbieter und dessen Wertvorstellung. Weder Microsoft noch Google sind bereit für Game B, für eine nachhaltige tiefe Zusammenarbeit.

Empfehlung für Schulen

Schulen haben im Bereich der digitale Datenablage und -bearbeitung Erfahrungen gesammelt. Dazu haben sie Lizenzen angeschafft, z.B. Office-Lizenzen von Microsoft, Google Workspace, anyCloud-Nextcloud oder von anderen Anbietern. Damit ist ein gewisser Weg vorgespurt, da nicht nur Lizenzen gekauft, sondern auch Kompetenzen in deren Anwendung und dem technischen Support erworben wurden. Oft ist es daher der logische Schritt, dass Schulen auf dem bereits eingeschlagenen Weg weitergehen.

Falls Ihre Schule Office-Lizenzen besitzt, ist Microsoft 365 für den Schritt in die Cloud die naheliegende Lösung. Schulen mit Erfahrung im Bereich von Google-Produkten können ihre Lösung mit Google Workspace for Education Plus erweitern. Falls die anyCloud-Nextcloud bereits im Einsatz ist, handelt es sich bereits um einen Cloud-Dienst, der durch weitere Applikationen ergänzt werden kann.

Möchten Sie sich als Schule bezüglich Cloud-Diensten neu orientieren, lohnt es sich, die Fragen im Bereich der Nutzung von Cloud-Diensten durchzugehen. Vertieft können Sie sich auch mit den drei aufgearbeiteten Cloud-Diensten Microsoft 365, Google Workspace for Education und der anyCloud-Nextcloud auseinandersetzen, indem Sie auf den entsprechenden Anbieter klicken und direkt dort mehr dazu erfahren.

Eine Cloud-Lösung, die alle Anforderungen einer Schule erfüllt, wird es kaum geben. Die Angebote decken unterschiedliche Aspekte ab. Daher kann es für eine Schule eine gute Lösung sein, die Stärken der verschiedenen Anbieter zu kombinieren. So kann z.B. die anyCloud-Nextcloud, die bezüglich des Datenschutzes hohe Standards erfüllt, durch die Kommunikations-/Kollaborationstools von Microsoft 365 oder Google Workspace for Education ergänzt werden. Dies erhöht allerdings die Komplexität sowohl bei den Lizenzen als auch die Kosten. 

Für Schulen, die Datenschutz, digitale Souveränität und digitale Nachhaltigkeit hoch gewichten, ist die anyCloud – Nextcloud eine vertiefte Betrachtung und Abwägung wert. Sie verzichten auf die neusten Features wie z.B. Spracheingabe und benötigen einen externen Mail-Anbieter sowie die Integration einiger weiterer Tools. Der höhere Preis gegenüber den anderen Lösungen ist durch den hohen Datenschutz und die digitale Nachhaltigkeit gerechtfertigt.

Bei Goolge Workplace und bei Microsoft 365 entscheidet sich die Schule für ein System mit starkem Lock-in-Effekt, das die Schule an diese Anbieter bindet.

Allen hier vorgestellten Cloud-Diensten sind allgemeine digitale Arbeitstools gemeinsam. Ihnen fehlen jedoch didaktisch-pädagogisch spezifische Cloud-Dienste, digitale Prüfungssysteme sowie Systeme zur systematischen Verwaltung von Lernressourcen (Audio, Video und Text).

Für alle hier aufgeführten Cloud-Dienste gilt: Eine Zusammenarbeit mit Expertinnen und Experten, die pädagogische und technische Erfahrung mit dem Aufbau schulspezifischer Cloud-Dienst mitbringen, lohnt sich. Schulen ersparen sich damit unnötigen Ärger.
 

Typischer Prozessablauf

1. Wahl des Cloud-Dienstes mithilfe der Informationen im ICT-Coach
2. Wahl eines Anbieters, der die Schule bei der schulspezifischen Implementation des Cloud-Dienstes begleitet.
3. Erstes Beratungsgespräch mit dem Anbieter. Kann der Cloud-Dienst die Bedürfnisse abdecken?
4. Klärungsgespräch: Folgende Fragen gilt es mit dem Anbieter zu klären:
   • Welche bestehende Lösung sollen in Cloud-Dienste migriert, welche angebunden werden? 
     • ID-System/AD
     • Dateiablage
     • Mail-System
     • E-Learning Systeme
     • Mobile Device Management Systeme
   • Für welche Benutzergruppe soll/muss eine 2-Faktor-Authentisierung umgesetzt werden?
   • Welches Domainname-Konzept (inkl. Mail-Adressen) hat die Schule? Und wie passen da die neuen Cloud-Dienste hinein? Oft sind Anpassungen am DNS und MX Record notwendig. Wer hat Zugang zum DNS-Server?

Ein detaillierter Ablaufplan ist im Bereich der jeweiligen Cloud-Dienste aufgelistet.

Informationssicherheit bei Cloud-Diensten

Der Leitfaden der Datenschutzbeauftragten des Kantons Zürich zur Informationssicherheit in der Volksschule unterstützt Schulen bei der Erarbeitung eines strukturierten Umgangs mit Informationen und dem Datenschutz. Folgende Dokumente sind dort verfügbar:

• Leitfaden Informationssicherheit / Informationssicherheit Volksschulen
• Sensibilisierung der Mitarbeitenden für Informationssicherheit
• Vorlage zur Erklärung über die Nutzung von Internet und E-Mail sowie zur Informationssicher in Volksschulen
• Vorlage Rollen- und Berechtigungskonzept in Volksschulen
• Beispiel für «Schutzbedarfsfeststellungen Fachanwendungen in Volksschulen"
• Vorlage zur Weisung "Informationssicherheit in Volksschulen" 
• Minimummassnahmenkatalog
• Glossar und Abkürzungen Informationssicherheit 

Spezifische Informationen zum datenschutzkonformen Einsatz schulischer Cloud-Produkte der Datenschutzbeauftragen des Kantons Zürich sind hier verfügbar:

• https://datenschutz.ch/datenschutz-in-oeffentlichen-organen#alle-publikationen-8a1902dc-65dd-4ff2-a7aa-e87505cf5655

Informationen zu den Rahmenverträgen mit educa

Google Workspace (ehemals G-Suite Enterprise for Education)

• https://navi.educa.ch/anwendung/gsuiteforeducation

Microsoft 365

• https://www.educa.ch/de/taetigkeiten/rahmenvereinbarungen
• https://www.educa.ch/de/taetigkeiten/rahmenvertraege/microsoft
• https://navi.educa.ch/anwendung/office365education

Sicherheits- und Datenschutzbedenken

bei Microsoft 365 education

• https://www.inside-it.ch/de/post/st-galler-datenschutz-ruegt-schulen-verwaltung-polizei-und-spital-20210504

bei Google Workspace for Education Plus

• Google Whitepaper zu Security and Compliance 
  https://static.googleusercontent.com/media/gsuite.google.com/en//intl/de/files/google-apps-security-and-compliance-whitepaper.pdf

Informationen zum Thema Datenschutz

Serverstandort

Bei der anyCloud-Nextcloud steht der Server in der Schweiz. Microsoft eröffnet neue Schulmandanten standardmässig im Schweizer Rechenzentrum. Es können noch nicht alle Dienste aus der Schweiz angeboten werden. In diesem Fall werden sie aus den europäischen Rechenzentren bezogen. Google Workspace erlaubt die Wahl einer Serverregion, z.B. Europa. Es gibt keine Möglichkeit, die Schweiz als Serverstandort zu wählen.

Der Serverstandort ist aus Sicht des schweizerischen Datenschutzes relevant für CH- und EU-Anbieter. Für US-Anbieter ist aufgrund von FISA 702 der Serverstandort datenschutzrechtlich quasi irrelevant. Weitere Ausführungen zu FISA und US-Cloud-Dienstanbietern finden sich weiter unten auf dieser Seite. 

Datenschutztechnisch ist der Serverstandort relevant, weil damit die Anzahl Netze und Netzknoten, die durchquert werden und bei denen Informationen abgefangen werden können, beeinflusst werden. Zudem ist der Serverstandort bei allen Anbietern relevant für kürzere Zugriffszeiten und höhere Geschwindigkeiten und damit für eine zusammenhängende und bessere Usability.

Verschlüsselung bei E-Mail-Cloud-Dienst

Interne Transportverschlüsselung (TLS)
Bei schulinternen Mails zwischen Lehrpersonen/Mitarbeitenden und Lernende, die auf demselben E-Mail-Cloud-Dienst laufen, ist die Verbindungsverschlüsselung (TLS) zwischen E-Mail-Client und E-Mail-Server meist genügend, da nur der Cloud-Dienst-Anbieter mitlesen kann. Für besondere Personendaten wird empfohlen, die folgenden Verschlüsselungsverfahren umzusetzen:

Externe Transportverschlüsselung (OME)
Microsoft Exchange Online bietet zudem OME (Office Message Encryption/Office Nachrichtenverschlüsselung) für die verschlüsselte Kommunikation mit externen Personen (Eltern, Behörden usw.) an. OME ist jedoch nicht Ende-zu-Ende-verschlüsselt und kann deshalb von Microsoft mitgelesen werden.

Nachteile:

• bei OME-Verfahren sind die Mails zwar transportverschlüsselt, jedoch nicht Ende-zu-Ende-verschlüsselt. Falls der Schlüssel von Microsoft kommt, kann Microsoft mitlesen. Bringt die Schule den Schlüssel mit, kann die Schule mitlesen.
• Der IT-Dienstleister muss OME für die Schule zuerst aktivieren.

Vorteile:

• Das Verfahren benötigt keine speziellen Voraussetzungen beim Adressaten (Eltern, Gemeindemitarbeitende usw.).
• Für die Schule besteht die Möglichkeit, einen eigenen Schlüssel mitzubringen (Bring Your Own Key).

Weitere Infos:

• https://docs.microsoft.com/de-ch/office365/securitycompliance/ome

Sowohl Microsoft Exchange Online als auch Gmail bieten zudem S/MIME (Secure/Multipurpose Internet-Mail Extensions) als Ende-zu-Ende-Verschlüsselung an. S/MIME eignet sich vor allem für die Verschlüsselung besonderer Personendaten in der schulinternen Kommunikation.

S/MIME enthält nur bedingt die Möglichkeit, Mails mit Externen (Eltern/Behörden/Beratern) zu verschlüsseln, dazu muss

• der externen Person auch S/MIME-Verschlüsselung zur Verfügung stehen.
• die Schule S/MIME aktiviert haben.
• die externe Person ihren öffentlichen Schlüssel mit der Schule geteilt haben.

Das dürfte äusserst selten der Fall sein. Wir empfehlen der Schule deshalb, bei der E-Mail-Kommunikation mit externen Personen (Eltern/Behörden/Beratern) die besonders schützenswerten Informationen in einem E-Mail-Anhang zu verschlüsseln (PDF/ZIP-Verschlüsselung) und das Passwort über einen zweiten Kanal (Bsp sichere Kurznachricht) zuzustellen.

Nachteile von S/MIME:

• Die Clientsoftware muss dieses Verschlüsselungsverfahren auf beiden Seiten unterstützen.
• Externe Personen (Eltern, Behörden, Beratende) verfügen oft nicht über S/MIME.
• Der Verschlüsselungsstandard hat einige Schwächen.

Vorteile von S/MIME:

• offizieller Standard
• Ende-zu-Ende-Verschlüsselung (Microsoft kann nicht mitlesen)
• Keine zusätzlichen Kosten für die Schule

Weitere Infos:

• https://support.google.com/a/answer/6374496?hl=en
• https://docs.microsoft.com/de-ch/office365/securitycompliance/email-encryption

E-Mail-Verschlüsselung anyCloud-Nextcloud
Da bei der anyCloud/Nextcloud der Mail-Dienst separat lizenziert werden muss, lohnt es sich, einen E-Mail-Dienst zu wählen, der Protokolle mit starker E-Mail-Verschlüsselung unterstützt. Zum Beispiel

• Protonmail: https://protonmail.com/

Das anyCloud-Nextcloud-Mail-Frontend unterstützt nur rudimentäre Transportverschlüsselung zwischen dem Frontend und dem E-Mail-Dienst.

Informationen zu US-Cloud-Dienstanbietern

Der CH-US Privacy Shield ist quasi ein Copy-Paste des EU-US Privacy Shield, wie die wörtliche Wiedergabe zeigt: «Der schweizerische Privacy Shield mit den USA könnte aufrechterhalten werden. Im Rahmen der formellen Prüfung des EuGHs war die EU-Grundrechtscharta die zentrale Grundlage. Diese gilt nicht in der Schweiz.» (Quelle https://www.inside-it.ch/de/post/lex-laux-der-europaeische-gerichtshof-in-sachen-schrems-ii-20200717)

Am 8. September 2020 hat der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) in einer Stellungnahme veröffentlicht, dass der Privacy Shield CH-USA kein adäquates Datenschutzniveau bietet.

Zurzeit ist es offen, ob die Rahmenverträge zwischen educa mit Microsoft und Google weiter gültig bleiben. Die Rahmenverträge werden aktuell (Januar 2021) durch educa neu evaluiert. Doch selbst eine Erneuerung der Rahmenverträge würden nur eine vermeintliche Rechtssicherheit bieten, solange FISA 702 in den USA in Kraft ist.

Weitere Informationen

• Swiss-US Privacy Shield: better protection for data transferred to the USA 
  https://www.admin.ch/gov/en/start/documentation/media-releases.msg-id-65210.html
• Pressemitteilung des EuGHs: Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig.
  https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf
• Privacy Shield CH-USA bietet nach Auffassung des EDÖB kein adäquates Datenschutzniveau
  https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-80318.html
• Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau
  SG https://www.edoeb.admin.ch/edoeb/de/home/kurzmeldungen/20210827_datenuebermittlung_ausland.html
• Google setzt auf Standardklauseln
  https://www.heise.de/news/Google-setzt-auf-Standarddatenschutzklauseln-nach-gekipptem-Privacy-Shield-4862466.html

FISA 702

FISA 702 ermöglicht es den amerikanischen Behörden, auf Daten in grossem Stil ohne Gerichtsbeschluss zuzugreifen, was sie gemäss den Leaks von Edward Snowden auch tun. Dabei ist es egal, wo die Server stehen. «FISA 702 und EO 12.333 haben keine territoriale Beschränkung. Sie gelten auch für Server in der EU (und der Schweiz), die von einem US-amerikanischen ‚Anbieter elektronischer Kommunikationsdienste‘ betrieben werden oder bei denen bestimmte Vorgänge an einen US-amerikanischen Anbieter ausgelagert werden. Der Standort für das Hosting ist daher irrelevant».

Quellen:

• https://de.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act
• https://noyb.eu/en/next-steps-users-faqs
• https://www.eff.org/702-spying