Cloud-Dienste kommen in Schulen rege zum Einsatz – doch der Datenschutz hinkt oft hinterher.
Microsoft erfüllt mit seinem Office- und Cloud-Paket für Schulen künftig die Schweizer Datenschutzbestimmungen. Kommt damit frischer Wind in die Nutzung von Cloud-Diensten an Schulen?
Dropbox, iCloud, GoogleDrive, Wuala: Wer seine Daten online speichert, um sie orts- und geräteunabhängig zu nutzen und zu bearbeiten, muss seinem Anbieter vertrauen können. Denn er ist ihm faktisch ausgeliefert. Was für den persönlichen Gebrauch im eigenen Ermessen liegt, ist für die Schule als Institution kein einfacher Entscheid. Ob man einen Cloud-Dienst zum Speichern von Daten, zur Kommunikation oder zur Kooperation nutzt: In jedem Fall muss die Schule ihre Datenschutzpflicht wahrnehmen, sie bleibt für die Bearbeitung der Daten verantwortlich. Noch im vergangenen Herbst liess der Luzerner Datenschützer Reto Fanger das Programm Microsoft Office 365 am Gymnasium Alpenquai absetzen. Hauptgrund war, dass die Schule nicht in der Lage war, zu kontrollieren, wie Microsoft die Schülerdaten nutzte.
Am diesem Beispiel manifestiert sich das Cloud-Dilemma, im welchem Lehrpersonen und Schulen zu landen drohen. Zahlreiche Dienste und Programme, die US-amerikanische Unternehmen wie Dropbox, Google oder Apple anbieten, genügen den hiesigen Datenschutzvorschriften nicht. Doch da diese Dienste den erwünschten Mehrwert bringen – einfacher Austausch, kostenlose Nutzung, mobiler Zugriff – wird dieser “Tolggen im Reinheft” geflissentlich übersehen. Das hat privatim, die Schweizer Vereinigung der Datenschutzbeauftragten, auf den Plan gerufen. Im Oktober 2013 hat privatim eine Empfehlung zu Cloud Computing in der Schule veröffentlicht und darin deutlich gemacht, was vor der Nutzung eines Cloud-Dienstes zu klären ist.
Microsoft hat die Hausaufgaben gemacht
Die Forderungen der Datenschützer haben bei Microsoft Schweiz dazu geführt, die Nutzungsbedingungen von Office 365 anzupassen. Gemeinsam mit privatim hat der Softwarehersteller eine nur für den Schweizer Bildungsbereich geltende Vertragsergänzung ausgearbeitet. Diese grenzt den Ort der Datenbearbeitung auf Europa ein, bietet Kontrollmöglichkeiten für die Schule, macht schweizerisches Recht anwendbar und legt den Gerichtsstand in der Schweiz fest. Damit erfüllt Microsoft die Anforderungen für einen datenschutzkonformen Einsatz. Das neu unter dem Namen “Office 365 ProPlus Benefit” laufende Paket ermöglicht Lehrpersonen, Schülerinnen und Schüler Office-Programme wie Word, Excel, PowerPoint, Outlook oder Publisher kostenlos herunterzuladen und lokal auf bis zu fünf unterschiedlichen Geräten zu installieren. Für Lehrpersonen wird “Office 365 ProPlus Benefit” voraussichtlich ab 1. Dezember verfügbar sein, Schülerinnen und Schülern steht das Angebot bereits offen.
Ergänzt wird diese Arbeitsumgebung mit einem kostenlosen und unbegrenzten Online-Speicher für jeden User. So lassen sich Dokumente im Schulalltag ablegen, teilen oder gemeinsam bearbeiten. “Mit der Unterzeichnung einer Zusatzvereinbarung zum Educa-Rahmenvertrag gelten die angepassten Nutzungsbedingungen automatisch für alle Schweizer Schulen, welche mit Microsoft einen Volumenlizenzvertrag abgeschlossen haben”, erklärt Marc Weder, Geschäftsleiter des Bildungssektors bei Microsoft Schweiz. “Wir merken, dass vor allem der datenschutzkonforme Online-Speicher ein schlagkräftiges Argument für Office 365 ist. Von Schulen hören wir immer wieder, dass ihre Lehrpersonen Dropbox, iCloud oder Google Drive verwenden, sich die IT-Verantwortlichen dabei punkto Datenschutz aber nicht wohl fühlen.” Entsprechend zuversichtlich ist Marc Weder, mit dieser neuen Strategie die Bedürfnisse der Schulen und Lehrpersonen zu erfüllen. Und da Tausende von Schulen in der Schweiz einen Volumenlizenzvertrag mit Microsoft führen, erhofft sich Weder auch eine starke Nutzung: “Ich erwarte innerhalb weniger Monate eine sechsstellige Zahl von Downloads von Office 365 ProPlus Benefit.”
“Vertragsschutz ist nur eine Seite”
„Der Nutzung von Online-Diensten kommt wachsende Bedeutung zu. Deshalb haben wir den bestehenden Rahmenvertrag mit Microsoft um datenschutzrechtliche Bestimmungen ergänzt”, bestätigt Markus Willi, Wissenschaftlicher Mitarbeiter der Schweizerischen Fachstelle für Informationstechnologie im Bildungswesen SFIB. “Der vertragliche Schutz von persönlichen und institutionellen Daten stellt für uns aber nur eine Seite der Medaille dar, die andere Seite betrifft die Sensibilisierung von Lehrpersonen und Schulen im Umgang mit ihren digitalen Daten.” Noch sei es vor allem die gelebte Erfahrung einzelner Lehrpersonen, die definiere, welcher Anbieter und welche Tools beispielsweise für Cloud-Lösungen in Schulen zum Einsatz kämen. Hier will die SFIB Hand bieten. “In unseren Augen ist es sinnvoll, wenn Schulen ihren Umgang mit Daten und Dokumenten in einem Nutzungskonzept definieren. Dieses soll beispielsweise festhalten, nach welchen Kriterien und Datenschutzbestimmungen man persönliche Daten und Schuldokumente verarbeitet und nutzt, welche Sicherheitsvorkehrungen auf den Geräten einzuhalten sind und wer für welchen Zweck auf Daten zugreift”, sagt Markus Willi. Die SFIB prüfe, inwieweit sie den Schulen Hilfestellungen in Form von Leitfäden oder Merkblättern bieten könne.
Personendaten besonders betroffen
Doch welche Daten sind nun delikat? Ist es aus Sicht des Datenschutzes dasselbe, wenn eine Lehrerin ihre Arbeitsblätter in der Cloud speichert und abruft oder wenn sie dort Daten zu ihren Schülerinnen und Schülern ablegt? “Nein”, sagt Sandra Husi, stellvertretende Datenschutzbeauftragte des Kantons Basel-Stadt und bei privatim Leiterin der Arbeitsgruppe Schule. “Es gilt zwischen Sachdaten, ‘gewöhnlichen’ Personendaten und besonders schützenswerten Personendaten zu unterscheiden.” Fällt das Arbeitsblatt unter die Sachdaten, gehört eine Klassenliste in der Regel zu den ‘gewöhnlichen’ Personendaten. Zu den besonders schützenswerten Personendaten zählen beispielsweise Berichte des Schulpsychologischen Dienstes oder eine Notiz einer Lehrerin, der ein Schüler von teilweise gewalttätigen Auseinandersetzungen zuhause berichtet hat.
Grundsätzlich lasse sich in den Schulen ein grosser Wille ausmachen, neue Medien und auch Cloud-Dienste produktiv zu nutzen, erläutert Sandra Husi. Dem Datenschutz werde dabei aber nicht immer genügend Beachtung geschenkt. "Darauf hinzuweisen, dass Daten, beispielsweise in der Dropbox, ja zugangsgeschützt sind, reicht nicht. Die Geschäftsbedingungen dieses Anbieters schränken zu wenig ein, was mit den Daten passiert. Deshalb ist ein Lernbericht, eine Schülerakte oder auch ein personenbezogener Bericht der Schulsozialarbeit auf einem solchen Cloud-Dienst tabu.”
Der Datenschutz des Kantons Zürich führt eine aktuelle Liste an Hard- und Softwarelösungen, die das datenschutzkonforme Bearbeiten von Personendaten berücksichtigen. Unter den Cloud-Speichern findet sich dort auch die Open-Source-Lösung “Own Cloud”, welche diese Bedingungen erfüllt. Schulen, die auf Microsofts “Office 365 ProPlus Benefit” und den dazugehörigen Cloud-Speicher setzen, empfiehlt privatim, auf den neuen Rahmenvertrag von educa.ch zurückzugreifen.
Ob andere internationale Player sich den Schweizer Datenschutzanforderungen beugen, ist noch nicht absehbar. Bei privatim sind keine Klärungen mit anderen Anbietern im Gange. Auf Anfrage von BILDUNG SCHWEIZ erklärte Apple, dies stehe derzeit nicht zur Diskussion. Google beantwortete die Anfrage nicht.
Tipps bei aus Auswahl eines Cloud-Dienstes
Die Schweizer Vereinigung der Datenschutzbeauftragten, privatim, führt eine Liste aller kantonaler Datenschutzbeauftragten. Diese unterstützen Schulen bei der Beurteilung von konkreten Cloud-Lösungen. Von der Auswahl bis zur Nutzung eines Cloud-Services gilt es laut privatim fünf Schritte zu bedenken:
- Die Schule muss prüfen, ob ihre Daten überhaupt auf einem Cloud-Dienst gespeichert werden dürfen. So unterliegen beispielsweise Daten von schulpsychologischen Diensten einer besonderen Geheimhaltungspflicht.
- Die Schule muss entscheiden, ob die Daten „cloudtauglich“ sind. Lassen sich die Daten so speichern und von anderen bearbeiten, dass deren Vertraulichkeit, Verfügbarkeit und Integrität trotzdem gewährleistet bleibt?
- Ist der Schutzbedarf der Daten geklärt und stimmt mit den Bedingungen von Cloud-Anbietern überein? Dann kann ein Cloud-Dienst ausgewählt werden.
- Erforderlich ist grundsätzlich ein schriftlicher Vertrag zwischen der Schule und dem Cloud-Anbieter. Dies ist auch über das Akzeptieren der Nutzungsbedingungen, respektive der AGB möglich.
- Der laufende Betrieb muss regelmässig überprüft werden. Hält der Cloud-Anbieter die organisatorischen, technischen und vor allem rechtlichen Vertragsbedingungen ein?
Weiter im Netz
Der neue Rahmenvertrag zwischen der SFIB und Microsoft
http://rahmenvertraege.educa.ch/de
Cloud Computing im Schulbereich: Die Vorgaben von privatim
www.goo.gl/ZjscNM
Eine Liste datenschutzkonformer Cloud-Dienste, zusammengestellt vom Datenschutzbeauftragten des Kantons Zürich
www.goo.gl/OIKWWN
Informationen zu Microsofts “Office ProPlus Benefit”
www.innovativeschools.ch/office365