Datenschutz

Datenschutz

Nicht nur Private, sondern auch der Staat, die Gemeinden und insbesondere die Schulen erheben, verwalten, bearbeiten und nutzen zur Erfüllung ihrer Aufgaben Personendaten. Darunter befinden sich bspw. Daten über Eltern, Schülerinnen und Schüler sowie Lehrpersonen. Das IDG enthält hierbei Regeln, welche bezwecken, dass die jeweiligen Grundrechte der Personen, über welche die öffentlichen Organe Daten bearbeiten, geschützt werden. Bei der Bearbeitung dieser Personendaten sind die jeweiligen rechtlichen Bestimmungen zum Datenschutz zu beachten. Im Kanton Zürich ist der Datenschutz insbesondere im Gesetz über die Information und den Datenschutz (IDG)  sowie in der dazugehörigen Verordnung über die Information und den Datenschutz (IDV) geregelt.
Tipp: Im schulischen Alltag stellen sich diverse datenschutzrechtliche Fragen in teilweise sehr unterschiedlichen Bereichen und Situationen. Als Hilfestellung hat die Datenschutzbeauftragte des Kantons Zürich ein Datenschutzlexikon erstellt, das sich an Lehrpersonen, Angehörige der Schulleitungen, Schulverwaltungen, Schulbehörden, Fachpersonen und Eltern richtet. Das Lexikon enthält kurze Antworten auf häufig gestellte Fragen sowie Links zu nützlichen Merkblättern aus dem Schul- und Datenschutzbereich.  Weitere Informationen sind auf dem Jugendportal «Youngdata» und bei educa zumDatenschutz in der Schule zu finden. 

Rechtsgrundlagen und Geltungsbereich  

Für die Schulen im Kanton Zürich ist das Gesetz über die Information und den Datenschutz (IDG)  sowie die dazugehörige Verordnung über die Information und den Datenschutz (IDV)  massgebend.  Für Angestellte und Lehrpersonen des Kantons Zürich gelten überdies die § 1a Lehrpersonalgesetz (LPG), §§ 34 bis 36 des Personalgesetzes (PG)  und die §§ 21 bis 31 der Vollzugsverordnung zum Personalgesetz (VVO). Diese Bestimmungen regeln die Bearbeitung von Personendaten im Arbeitsverhältnis.  Ferner regelt das Volksschulgesetz (VSG)  den Datenschutz in den §§ 3a bis 3d. Für die Archivierung gelten das Archivgesetz  und die Archivverordnung.  Die genannten Erlasse und Bestimmungen bilden den rechtlichen Rahmen für den Umgang mit Informationen und speziell das Bearbeiten von Personendaten. Sie regeln zudem die Rechte und Pflichten der betroffenen Personen und des bearbeitenden öffentlichen Organs.

Datenschutzerklärung  

Datenschutzerklärungen (nachfolgend «DSE») sind heute auf fast jeder Webseite oder App vorzufinden. Sie stellen (in der Regel) eine einseitige und vorformulierte Information für die Nutzenden dar. Aus rechtlicher Sicht dienen DSE primär der Erfüllung von Informationspflichten resp. des Transparenzgrundsatzes. Die Datenschutzbeauftragte des Kantons Zürich weist darauf hin, dass das Gesetz bestimme, wie öffentliche Organe (wie bspw. Schulen) Daten bearbeiten. Öffentliche Organe müssen ihren Internetauftritt ausserdem datenschutzkonform gestalten und verzichten auf personenbezogene Auswertungen des Nutzerverhaltens. Unter diesen Voraussetzungen sind DSE aus Sicht der Datenschutzbeauftragten nicht erforderlich. Datenschutzerklärungen sind deshalb nicht zwingend erforderlich. Um mehr Transparenz zu schaffen, kann dennoch überlegt werden, ob eine Datenschutzerklärung verfasst werden soll. So kann es bspw. sinnvoll sein, auf einer Webseite über deren technische Gestaltung und Datenschutzaspekte zu informieren. In diesem Fall sollte die DSE klar und präzise formuliert sowie konkret auf die durchzuführenden Datenbearbeitungen abgestimmt sein. Dementsprechend können gemäss der Datenschutzbeauftragten den Nutzern trotzdem Informationen über die Website zur Verfügung gestellt werden, solange nicht der Eindruck erweckt wird, es werde eine Einwilligung verlangt (siehe dazu Datenschutzerkärung auf Webseiten von öffentlichen Organen, DSB Zürich). 

Geheimhaltungs- und Schweigepflichten  

Im Zusammenhang mit der Nutzung von ICT-Geräten erscheint das Verhalten der Nutzer manchmal weniger formell zu sein als in der analogen Welt. Dabei kann rasch einmal vergessen gehen, dass auch in der digitalen Welt Geheimhaltungs- und Schweigepflichten gewahrt werden müssen. Lehrpersonen, Mitglieder der Schulverwaltung, Schulleitung und der Schulpflege sowie weitere mit Aufgaben der öffentlichen Schule betraute Personen unterstehen dem Amtsgeheimnis. Dessen Verletzung ist gemäss Art. 320 des Schweizerischen Strafgesetzbuches (StGB) unter Strafe gestellt. Das Amtsgeheimnis untersagt es den Mitarbeitenden der Schule schulische Angelegenheiten bekannt zu machen, die sie aufgrund ihrer amtlichen oder dienstlichen Stellung erlangt haben (also nicht aus privater Stellung), ausser es liegt ein segenannter Rechtfertigungsgrund vor. Zu schulischen Angelegenheiten gehören bspw. nicht offenkundige, schulinterne Angelegenheiten oder auch solche von Schülerinnen und Schülern. Mögliche Rechtfertigungsgründe können sein: gesetzlich statuierte Meldepflichten, Amtshilfehandlungen, das Vorliegen einer Entbindung durch die vorgesetzte Behörde oder unter Umständen auch die Einwilligung Betroffener. Wenn also beispielsweise eine Lehrperson eine geheime Information auf  Social-Media teilt, könnte sie sich unter Umständen strafbar machen, im Falle der Offenbarung einer "geheimen" Tatsache. Für die Strafbarkeit genügt es bereits, wenn nichtermächtigte Dritte die Möglichkeit haben davon Kenntnis zu nehmen. Selbst das Bekanntgeben von solchen Informationen an andere Lehrpersonen derselben Schule kann eine Verletzung des Amtsgeheimnisses darstellen. Nur wenn die Offenbarung gesetzlich vorgesehen oder dienstlich gerechtfertigt ist (beispielsweise schwere Lebensmittelallergie einer Schülerin oder eines Schülers), kann die Verpflichtung zur amtsinternen Geheimniswahrung entfallen.  Auch bei der Nutzung von Social Media oder im E-Mail-Verkehr sind die Geheimhaltungs- und Schweigepflichten zu beachten. Schulärztinnen und -ärzte sowie Schulpsychologinnen und -psychologen und deren Hilfspersonen unterstehen zusätzlich dem Berufsgeheimnis (Art. 321 StGB).

Datenschutzfolgenabschätzung und Vorabkontrolle

Datenschutzfolgenabschätzung
Das IDG bezwecken u.a., die Grundrechte von Personen zu schützen, über welche die öffentlichen Organe Daten bearbeiten. Öffentliche Organe wie Schulen müsssen deshalb bei einer beabsichtigten Bearbeitung von Personendaten deren Risiken für die Grundrechte der betroffenen Personen beurteilen und hierfür eine Datenschutz-Folgenabschätzung erstellen. Diese dient dazu, in einem Dokument die Risiken der geplanten Bearbeitung von Personendaten für die Grundrechte zu erkennen, zu bewerten und geeignete Massnahmen festzulegen, um diese Risiken zu reduzieren. 
Die Pflicht zur Erstellung einer Datenschutz-Folgenabschätzung besteht bei beabsichtigten Bearbeitungen, wie bspw. bei beabsichtigten neuen Bearbeitungen von Personendaten für ein Digitalisierungsprojekt oder die Einführung einer neuen KI-Anwendung sowie bei wesentlichen Änderungen von solchen Bearbeitungen (bspw. neuer Online-Zugriff für andere Behörden). 
Das Formular der Datenschutzbeauftragten für die Durchführung einer Datenschutz-Folgenabschätzung findet sich hier.
Darüber hinaus stellt die Datenschutzbeauftragte diverse weitere Merkblätter und Formulare zu diesem Thema zur Verfügung (Link).


Vorabkontrolle
Beabsichtigte Bearbeitungen von Personendaten mit besonderen Risiken für die Grundrechte der betroffenen Personen sind vorab der Datenschutzbeauftragten zur Prüfung zu unterbreiten (Vorabkontrolle). Allfällige besondere Risiken wären in der Datenschutz-Folgenabschätzung zu identifizieren. Bestehen solche besonderen Risiken, ist die Datenschutzbeauftragte (möglichst bereits in der Konzeptphase) zu konsultieren. 
Gerade bei der geplanten Nutzung von KI-Anwendungen kann eine Vorabkontrolle erforderlich sein. Siehe die Anmerkungen der Datenschutzbeauftragten zum «Einsatz von KI in öffentlichen Organen».
Weitere Informationen der Datenschutzbeauftragten zur Vorabkontrolle findet sich hier.

Cloud-Dienste und Datenschutz  

Das Bearbeiten von Personendaten in einer Cloud bzw. die Nutzung eines Cloud-Dienstes resp. in der rechtlichen Fachsprache eines Cloud-Services ist aus (datenschutz-)rechtlicher Sicht oftmals ein «Bearbeiten im Auftrag». Die Zulässigkeit richtet sich daher nach § 6 IDG sowie § 25 IDV. Die Schulen bleiben dabei für die Datenbearbeitung verantwortlich. Sie müssen ihren Pflichten in Bezug auf Datenschutz und Informationssicherheit auch bei der Nutzung von Cloud-Services nachkommen.  
Die Datenschutzbeauftragte stellt umfangreiche Informationen betreffend Cloud-Dienste und Datenschutz zur Verfügung, Insbesondere diverse Merkblätter, wie bspw. Merkblatt Cloud Computing ; Leitfaden Nutzung externer Cloud-Dienste; Merkblatt Online-Speicherdienste; Leitfaden Microsoft 365 in der Volksschule  sowie weitere.
Ausgangspunkt der Nutzung eines Cloud-Services ist eine fundierte Risikoanalyse im Rahmen der Datenschutz-Folgenabschätzung. Aus dieser Analyse resultieren die Faktoren für die Wahl des Cloud-Anbieters und die Anforderungen, die er erfüllen muss. Neben den datenschutzrechtlichen Regelungen ist auch im Auge zu behalten, ob allenfalls Geheimhaltungspflichten wie beispielsweise das Berufsgeheimnis bei Schulpsychologen oder ein Amtsgeheimnis weitere Anforderungen an den Beizug von Cloud-Services.Vertragsgestaltung oder Prüfung der Nutzungsbedingungen/AGB: Wenn ein Cloud Services genutzt werden sollen, ist u.a. detailliert und schriftlich in einem Vertrag festzuhalten, wer wofür im Sinne des IDG verantwortlich ist, gerade weil die Schule ihre Verantwortung gemäss IDG auch bei der Nutzung solcher Services wahrnehmen können muss.  Nach dem «Merkblatt Cloud Computing» der Datenschutzbeauftragten sind folgenden Punkten besondere Beachtung zu schenken: Kontrolle; Rechte Betroffener; Ort der Datenbearbeitung; Gleichwertiges Datenschutzniveau; Unterauftragsverhältnisse; Anwendbares Recht und Gerichtsstand; Organisatorische und technische Sicherheitsmassnahmen.
Tipp: Die AGB «Auslagerung Informatikleistungen» ist ein Anwendungsbeispiel für die Umsetzung der oben genannten Punkte und kann auch als Vorlage genutzt werden.  
Tipp: Betreffend Cloud-Services und Datenschutz existieren zahlreiche Merkblätter und Guides. An dieser Stelle sei auf das Merkblatt «Cloud Computing im Schulbereich» von privatim, sowie der Leitfaden «Bearbeiten im Auftrag»  der Datenschutzbeauftragten des Kantons Zürich und den Guide von educa.ch «Datenschutz, Massnahmen betreffend Cloud Services»  zu verweisen. Darüber hinaus bestehen weitere Merkblätter zu spezifischen Cloud-Themen wie das Merkblatt «Online-Speicherdienste»  und der Leitfaden «Microsoft 365 im Bildungsbereich» sowie "Google Workspace for Education" der Datenschutzbeauftragten des Kantons Zürich.

Aktenführung, Aufbewahrung, Backup

Die Informationsverwaltung lässt sich in drei Hauptphasen (laufende Ablage, ruhende Ablage und Archiv) unterteilen. Eine Schule darf ihre Akten (unabhängig davon, ob diese in Papier- oder elektronischer Form vorliegen) solange aufbewahren, wie sie diese für das Erfüllen ihrer Aufgabe benötigt (sogenannte laufende Ablage). Die darauffolgende Aufbewahrungsfrist (sogenannt ruhende Ablage) wird gemäss Gesetz (IDG) von den Schulen selbst festgelegt, ausser es existieren spezialgesetzliche Regelungen (vgl. bspw. Regelung für Zeugnisse; RRB-2021-0923). Werden keine Fristen festgelegt, gilt die im Gesetz statuierte maximale Frist von zehn Jahren. Danach sind die Informationen gemäss § 5 Abs. 3 IDG in Übereinstimmung mit dem Archivrecht (§§ 6–8 des Archivgesetzes des Kantons Zürich vom 24. September 1995, LS 432.11 ) dem zuständigen Archiv anzubieten. Diejenigen Akten, die nicht archiviert werden, müssen vernichtet werden. Siehe dazu das Merkblatt «Vernichten elektronischer Daten» der DSB ZH.  Mehr zum Lebenszyklus von Informationen sowie zu den Grundsätzen der Informationsverwaltung, die sowohl bei der klassischen Aktenführung in Papierform als auch bei der elektronischen Aktenführung gelten, finden Sie im Merkblatt «Informationsverwaltung» des DSB ZH.  Das Staatsarchiv berät sodann auch die Schulgemeinden in allen Fragen der Informationsverwaltung und Archivierung und stellt Ihnen auf der Website ihrer Website nebst einer Liste mit Ansprechpersonen auch zahlreiche Hilfsmittel und Unterlagen in Schriftform zur Verfügung. Diese können von der Gemeinde und allenfalls unter Beratung durch das Staatsarchiv an eigene Bedürfnisse und Strukturen angepasst werden (beispielsweise Musteraktenplan zur Übernahme ins Laufwerk vorbereitete Ordnerstruktur).  Den allgemeinen Umgang mit Informationen der Zürcher Verwaltung regeln also das Gesetz über die Information und den Datenschutz (IDG, LS 170.4) sowie die Verordnung über die Information und den Datenschutz (LS 170.41), während die Archivierung des Schriftguts der Zürcher Verwaltung im kantonalen Archivgesetz (LS 432.11) und in der kantonalen Archivverordnung (LS 432.111) geregelt ist. Gemäss § 7 der Archivverordnung hat denn auch jedes öffentliche Organ, also auch die Schule, «eine für die Aktenablage verantwortliche Person» zu bezeichnen. Diese Person ist verantwortlich für die Umsetzung der gesetzlichen Bestimmungen zur Informationsverwaltung, die im Archivgesetz, der Archivverordnung und im IDG enthalten sind.  Während der Aufbewahrung und Archivierung müssen die Akten durch angemessene technische und organisatorische Massnahmen geschützt werden. Diese haben sich nach dem Schutzbedarf zu richten. Die Massnahmen müssen gewährleisten, dass nur berechtigte Personen Zugang zu den Inhalten haben. So müssen die in den Unterlagen enthaltenen Personendaten vom öffentlichen Organ in angemessener Weise geschützt werden. Auch sind die Schutzvorkehrungen abhängig von der Wahl des Mediums.  

Datenschutzbeauftragte des Kantons Zürich

Die Datenschutzbeauftragte des Kantons Zürich (DSB) ist für Anliegen im Zusammenhang mit Datenbearbeitungen durch öffentliche Organe, wozu auch die Volksschulen gehören, im Kanton Zürich zuständig. Schulen können ihre Fragen oder Anliegen zum Datenschutz direkt an die DSB richten, beispielsweise über das Kontaktformular. Bei Fragen zur Datenbearbeitung der Schulen der Städte Zürich und Winterthur darf man sich auch direkt an die kommunalen Datenschutzstellen wenden.  Soweit dies für ihre Tätigkeit notwendig ist, kann die DSB bei Behörden und Amtsstellen (betroffen davon können auch Schulen sein) auch von sich aus Auskunft über die Datenbearbeitung einholen und Einsicht in Daten nehmen, ohne dass ihr Geheimhaltungspflichten entgegengehalten werden können. Stellt sie sodann Verletzungen von Datenschutzbestimmungen fest, gibt sie aber lediglich Empfehlungen ab in Bezug auf die zu ergreifenden Massnahmen. Folgt das öffentliche Organ bei einer erheblichen Verletzung von Bestimmungen über den Datenschutz einer Empfehlung nicht, kann die Datenschutzbeauftragte verfügen, dass die Bearbeitung ganz oder teilweise angepasst, unterbrochen oder abgebrochen wird und die Personendaten ganz oder teilweise gelöscht oder vernichtet werden (§35 und 36 IDG).   Tipp: Eine Zusammenfassung der Aufgaben der Datenschutzbeauftragten des Kantons Zürich finden sie hier. 
 

Rechtsgrundlagen und Geltungsbereich  

Für die Schulen im Kanton Zürich ist das Gesetz über die Information und den Datenschutz (IDG)  sowie die dazugehörige Verordnung über die Information und den Datenschutz (IDV)  massgebend.  Für Angestellte und Lehrpersonen des Kantons Zürich gelten überdies die §§ 34 bis 36 des Personalgesetzes (PG)  und die §§ 21 bis 31 der Vollzugsverordnung zum Personalgesetz (VVO). Diese Bestimmungen regeln die Bearbeitung von Personendaten im Arbeitsverhältnis.  Ferner regelt das Volksschulgesetz (VSG)  den Datenschutz in den §§ 3a bis 3d. Für die Archivierung gelten das Archivgesetz  und die Archivverordnung.  Die genannten Erlasse und Bestimmungen bilden den rechtlichen Rahmen für den Umgang mit Informationen und speziell das Bearbeiten von Personendaten und regeln die Rechte und Pflichten der betroffenen Personen und der bearbeitenden öffentlichen Organe.

Geheimhaltungs- und Schweigepflichten  

Im Zusammenhang mit der Nutzung von ICT-Geräten erscheint das Verhalten der Nutzer manchmal weniger formell zu sein als in der analogen Welt. Dabei kann rasch einmal vergessen gehen, dass auch in der digitalen Welt Geheimhaltungs- und Schweigepflichten gewahrt werden müssen.   Lehrpersonen, Mitglieder der Schulverwaltung, Schulleitung und der Schulpflege sowie weitere mit Aufgaben der öffentlichen Schule betraute Personen unterstehen dem Amtsgeheimnis. Dessen Verletzung ist gemäss Art. 320 des Schweizerischen Strafgesetzbuches (StGB) unter Strafe gestellt.   Das Amtsgeheimnis untersagt den Mitarbeitenden der Schule das Bekanntgeben von Amtsgeheimnissen, beispielsweise nicht offenkundige schulinterne Angelegenheiten oder solche von Schülerinnen und Schülern, die im Rahmen der amtlichen oder dienstlichen Stellung wahrgenommen werden (nicht privat!), ausser es liegt ein sogenannter Rechtfertigungsgrund vor. Mögliche Rechtfertigungsgründe können sein: gesetzlich statuierte Meldepflichten, Amtshilfehandlungen, das Vorliegen einer Entbindung durch die vorgesetzte Behörde oder unter Umständen auch die Einwilligung Betroffener. Wenn also beispielsweise eine Lehrperson eine geheime Information auf  Social-Media teilt, könnte sie sich unter Umständen strafbar machen, da die Tathandlung im Offenbaren der geheimen Tatsache besteht, womit bereits die Möglichkeit zur Kenntnisnahme einer nichtermächtigten Drittperson genügt. Selbst das Bekanntgeben von solchen Informationen an andere Lehrpersonen derselben Schule kann eine Verletzung des Amtsgeheimnisses darstellen. Nur wenn die Offenbarung gesetzlich vorgesehen oder dienstlich gerechtfertigt ist (beispielsweise schwere Lebensmittelallergie einer Schülerin oder eines Schülers), kann die Verpflichtung zur amtsinternen Geheimniswahrung entfallen.  Auch bei der Nutzung von Social Media oder im E-Mail-Verkehr sind die Geheimhaltungs- und Schweigepflichten zu beachten. Schulärztinnen und -ärzte sowie Schulpsychologinnen und -psychologen und deren Hilfspersonen unterstehen zusätzlich dem Berufsgeheimnis (Art. 321 StGB).

Aktenführung, Aufbewahrung und Backup

Den allgemeinen Umgang mit Informationen der Zürcher Verwaltung regeln das Gesetz über die Information und den Datenschutz (IDG, LS 170.4) sowie die Verordnung über die Information und den Datenschutz (LS 170.41), während die Archivierung des Schriftguts der Zürcher Verwaltung im kantonalen Archivgesetz (LS 432.11) und in der kantonalen Archivverordnung (LS 432.111) geregelt ist.

Verantwortung und Zuständigkeit

Gemäss § 7 der Archivverordnung hat denn auch jedes öffentliche Organ, also auch die Schule, «eine für die Aktenablage verantwortliche Person» zu bezeichnen. Diese Person ist verantwortlich für die Umsetzung der gesetzlichen Bestimmungen zur Informationsverwaltung, die im Archivgesetz, der Archivverordnung und im IDG enthalten sind.  Während der Aufbewahrung und Archivierung müssen die Akten durch angemessene technische und organisatorische Massnahmen geschützt werden. Diese haben sich nach dem Schutzbedarf zu richten. Die Massnahmen müssen gewährleisten, dass nur berechtigte Personen Zugang zu den Inhalten haben. So müssen die in den Unterlagen enthaltenen Personendaten vom öffentlichen Organ in angemessener Weise geschützt werden. Auch sind die Schutzvorkehrungen abhängig von der Wahl des Mediums.  

Laufende Ablage, ruhende Ablage und Archiv

Die Informationsverwaltung lässt sich in drei Hauptphasen (laufende Ablage, ruhende Ablage und Archiv) unterteilen. Eine Schule darf ihre Akten (unabhängig davon, ob diese in Papier- oder elektronischer Form vorliegen) solange aufbewahren, wie sie diese für das Erfüllen ihrer Aufgabe benötigt (sogenannte laufende Ablage). Die darauffolgende Aufbewahrungsfrist (sogenannt ruhende Ablage) wird gemäss Gesetz (IDG) von den Schulen selbst festgelegt, ausser es existieren spezialgesetzliche Regelungen. Werden keine Fristen festgelegt, gilt die im Gesetz statuierte maximale Frist von zehn Jahren. Danach sind die Informationen gemäss § 5 Abs. 3 IDG in Übereinstimmung mit dem Archivrecht (§§ 6–8 des Archivgesetzes des Kantons Zürich vom 24. September 1995, LS 432.11 ) dem zuständigen Archiv anzubieten. Diejenigen Akten, die nicht archiviert werden, müssen vernichtet werden. Siehe dazu das Merkblatt «Vernichten elektronischer Daten» der DSB ZH.  

Backup

Mit einem regelmässigen Back-up wird sichergestellt, dass die Informationen auch bei einem Vorfall verfügbar bleiben. Im Rahmen der Informationssicherheits-Strategie wird festegelegt, wie das Back-up-Konzept aussieht. Die zu beachtenden Punkte sind in der Umsetzung von Informationssicherheit erläutert (Link).

Weiterführende Informationen und Unterstützung

  • Mehr zum Lebenszyklus von Informationen sowie zu den Grundsätzen der Informationsverwaltung, die sowohl bei der klassischen Aktenführung in Papierform als auch bei der elektronischen Aktenführung gelten, finden Sie im Merkblatt «Informationsverwaltung» des DSB ZH.  
  • Das Staatsarchiv berät sodann auch die Schulgemeinden in allen Fragen der Informationsverwaltung und Archivierung und stellt Ihnen auf der Website ihrer Website nebst einer Liste mit Ansprechpersonen auch zahlreiche Hilfsmittel und Unterlagen in Schriftform zur Verfügung. Diese können von der Gemeinde und allenfalls unter Beratung durch das Staatsarchiv an eigene Bedürfnisse und Strukturen angepasst werden (beispielsweise Musteraktenplan zur Übernahme ins Laufwerk vorbereitete Ordnerstruktur).  
Cloud-Dienste und Datenschutz  

Das Bearbeiten von Personendaten in einer Cloud bzw. die Nutzung eines Cloud-Dienstes resp. in der rechtlichen Fachsprache eines Cloud-Services ist aus (datenschutz-)rechtlicher Sicht oftmals ein «Bearbeiten im Auftrag». Die Zulässigkeit richtet sich daher nach § 6 IDG sowie § 25 IDV. Die Schulen bleiben dabei für die Datenbearbeitung verantwortlich. Sie müssen ihren Pflichten in Bezug auf Datenschutz und Informationssicherheit auch bei der Nutzung von Cloud-Services nachkommen.  

Das gilt es zu beachten bei der Nutzung von Cloud-Diensten

Ausgangspunkt der Nutzung eines Cloud-Services ist eine fundierte Risikoanalyse im Rahmen der Datenschutz-Folgenabschätzung (Verlinkung). Aus dieser Analyse resultieren die Faktoren für die Wahl des Cloud-Anbieters und die Anforderungen, die er erfüllen muss. Neben den datenschutzrechtlichen Regelungen ist auch im Auge zu behalten, ob allenfalls Geheimhaltungspflichten wie beispielsweise das Berufsgeheimnis bei Schulpsychologen oder ein Amtsgeheimnis weitere Anforderungen an den Beizug von Cloud-Services.Vertragsgestaltung oder Prüfung der Nutzungsbedingungen/AGB: Wenn ein Cloud Services genutzt werden sollen, ist u.a. detailliert und schriftlich in einem Vertrag festzuhalten, wer wofür im Sinne des IDG verantwortlich ist, gerade weil die Schule ihre Verantwortung gemäss IDG auch bei der Nutzung solcher Services wahrnehmen können muss.  

Nach dem «Merkblatt Cloud Computing» Link der Datenschutzbeauftragten sind folgenden Punkten besondere Beachtung zu schenken: Kontrolle; Rechte Betroffener; Ort der Datenbearbeitung; Gleichwertiges Datenschutzniveau; Unterauftragsverhältnisse; Anwendbares Recht und Gerichtsstand; Organisatorische und technische Sicherheitsmassnahmen. Die AGB «Auslagerung Informatikleistungen» ist ein Anwendungsbeispiel für die Umsetzung der oben genannten Punkte und kann auch als Vorlage genutzt werden (Verweis auf Vorlage Regierungsrat Zürich).  

In ihrem Jahresbericht 2024 hat die Datenschutzbeauftragte klare Aussagen gemacht, was bei der Nutzung von digitalen Hilfsmittel in der Schule zu beachten ist. Wichtig: vor jeder Einführung einer neuen digitalen Applikation ist eine Datenschutzfolgenabschätzung zu machen, wenn nicht nur Informationen bearbeitet werden. Details dazu finden sich im Bericht (Link).
 

Weiterführende Informationen und Hilfsmittel

Die Datenschutzbeauftragte stellt umfangreiche Informationen betreffend Cloud-Dienste und Datenschutz zur Verfügung, Insbesondere diverse Merkblätter:

  • Merkblatt Cloud Computing: (https://docs.datenschutz.ch/u/d/publikationen/formulare-merkblaetter/merkblatt_cloud_computing.pdf);
  • Leitfaden Nutzung externer Cloud-Dienste (https://docs.datenschutz.ch/u/d/publikationen/leitfaeden/leitfaden_nutzung_externer_cloud_dienste.pdf);
  • Merkblatt Online-Speicherdienste (https://docs.datenschutz.ch/u/d/publikationen/formulare-merkblaetter/merkblatt_online_speicherdienste.pdf);
  • Leitfaden Microsoft 365 in Gemeinden (https://docs.datenschutz.ch/u/d/publikationen/leitfaeden/leitfaden_microsoft365_gemeinden.pdf)
  • Merkblatt «Cloud Computing im Schulbereich» von privatim,
  • Leitfaden «Bearbeiten im Auftrag»  der Datenschutzbeauftragten des Kantons Zürich
  • Guide von educa.ch «Datenschutz, Massnahmen betreffend Cloud Services»  
  • Google Workspace for Education der Datenschutzbeauftragten des Kantons Zürich.
  • sowie weitere (https://datenschutz.ch/datenschutz-in-oeffentlichen-organen/auslagerung).
Datenschutzerklärung  

Datenschutzerklärungen (nachfolgend «DSE») sind heute auf fast jeder Webseite oder App vorzufinden. Sie stellen (in der Regel) eine einseitige und vorformulierte Information für die Nutzenden dar. Aus rechtlicher Sicht dienen DSE primär der Erfüllung von Informationspflichten resp. des Transparenzgrundsatzes.   Die Datenschutzbeauftragte des Kantons Zürich weist darauf hin, dass das Gesetz bestimme, wie öffentliche Organe (wie bspw. Schulen) Daten bearbeiten. Öffentliche Organe müssen ihren Internetauftritt ausserdem datenschutzkonform gestalten und verzichten auf personenbezogene Auswertungen des Nutzerverhaltens. Unter diesen Voraussetzungen sind DSE aus Sicht der Datenschutzbeauftragten nicht erforderlich. Datenschutzerklärungen sind deshalb nicht zwingend erforderlich.   Um mehr Transparenz zu schaffen, kann dennoch überlegt werden, ob eine Datenschutzerklärung verfasst werden soll. So kann bspw. sinnvoll sein, auf einer Webseite über deren technische Gestaltung und Datenschutzaspekte zu informieren. In diesem Fall sollte die DSE klar und präzise formuliert sowie konkret auf die durchzuführenden Datenbearbeitungen abgestimmt sein. Dementsprechend können gemäss der Datenschutzbeauftragten den Nutzern trotzdem Informationen über die Website zur Verfügung gestellt werden, solange nicht der Eindruck erweckt werde, es werde eine Einwilligung verlangt. Die genauen Ausführungend der Datenschutzbeauftragten sind hier zu finden.