Cloud-Dienste und Datenschutz

Cloud-Dienste und Datenschutz  

Das Bearbeiten von Personendaten in einer Cloud bzw. die Nutzung eines Cloud-Dienstes resp. in der rechtlichen Fachsprache eines Cloud-Services ist aus (datenschutz-)rechtlicher Sicht oftmals ein «Bearbeiten im Auftrag». Die Zulässigkeit richtet sich daher nach § 6 IDG sowie § 25 IDV. Die Schulen bleiben dabei für die Datenbearbeitung verantwortlich. Sie müssen ihren Pflichten in Bezug auf Datenschutz und Informationssicherheit auch bei der Nutzung von Cloud-Services nachkommen.  

Das gilt es zu beachten bei der Nutzung von Cloud-Diensten

Ausgangspunkt der Nutzung eines Cloud-Services ist eine fundierte Risikoanalyse im Rahmen der Datenschutz-Folgenabschätzung (Verlinkung). Aus dieser Analyse resultieren die Faktoren für die Wahl des Cloud-Anbieters und die Anforderungen, die er erfüllen muss. Neben den datenschutzrechtlichen Regelungen ist auch im Auge zu behalten, ob allenfalls Geheimhaltungspflichten wie beispielsweise das Berufsgeheimnis bei Schulpsychologen oder ein Amtsgeheimnis weitere Anforderungen an den Beizug von Cloud-Services.Vertragsgestaltung oder Prüfung der Nutzungsbedingungen/AGB: Wenn ein Cloud Services genutzt werden sollen, ist u.a. detailliert und schriftlich in einem Vertrag festzuhalten, wer wofür im Sinne des IDG verantwortlich ist, gerade weil die Schule ihre Verantwortung gemäss IDG auch bei der Nutzung solcher Services wahrnehmen können muss.  

Nach dem «Merkblatt Cloud Computing» Link der Datenschutzbeauftragten sind folgenden Punkten besondere Beachtung zu schenken: Kontrolle; Rechte Betroffener; Ort der Datenbearbeitung; Gleichwertiges Datenschutzniveau; Unterauftragsverhältnisse; Anwendbares Recht und Gerichtsstand; Organisatorische und technische Sicherheitsmassnahmen. Die AGB «Auslagerung Informatikleistungen» ist ein Anwendungsbeispiel für die Umsetzung der oben genannten Punkte und kann auch als Vorlage genutzt werden (Verweis auf Vorlage Regierungsrat Zürich).  

In ihrem Jahresbericht 2024 hat die Datenschutzbeauftragte klare Aussagen gemacht, was bei der Nutzung von digitalen Hilfsmittel in der Schule zu beachten ist. Wichtig: vor jeder Einführung einer neuen digitalen Applikation ist eine Datenschutzfolgenabschätzung zu machen, wenn nicht nur Informationen bearbeitet werden. Details dazu finden sich im Bericht (Link).
 

Weiterführende Informationen und Hilfsmittel

Die Datenschutzbeauftragte stellt umfangreiche Informationen betreffend Cloud-Dienste und Datenschutz zur Verfügung, Insbesondere diverse Merkblätter:

  • Merkblatt Cloud Computing: (https://docs.datenschutz.ch/u/d/publikationen/formulare-merkblaetter/merkblatt_cloud_computing.pdf);
  • Leitfaden Nutzung externer Cloud-Dienste (https://docs.datenschutz.ch/u/d/publikationen/leitfaeden/leitfaden_nutzung_externer_cloud_dienste.pdf);
  • Merkblatt Online-Speicherdienste (https://docs.datenschutz.ch/u/d/publikationen/formulare-merkblaetter/merkblatt_online_speicherdienste.pdf);
  • Leitfaden Microsoft 365 in Gemeinden (https://docs.datenschutz.ch/u/d/publikationen/leitfaeden/leitfaden_microsoft365_gemeinden.pdf)
  • Merkblatt «Cloud Computing im Schulbereich» von privatim,
  • Leitfaden «Bearbeiten im Auftrag»  der Datenschutzbeauftragten des Kantons Zürich
  • Guide von educa.ch «Datenschutz, Massnahmen betreffend Cloud Services»  
  • Google Workspace for Education der Datenschutzbeauftragten des Kantons Zürich.
  • sowie weitere (https://datenschutz.ch/datenschutz-in-oeffentlichen-organen/auslagerung).