Scharfe Cloud-Richtlinien für Schweizer Schulen

Die Vereinigung der Schweizerischen Datenschutzbeauftragten hat Richtlinien veröffentlicht, die den Einsatz von Cloud-Services, Google, Dropbox, Microsoft und Co. zumindest stark in Frage stellen.
 
Die Vereinigung der Schweizerischen Datenschutzbeauftragten Privatim sorgt sich um den Datenschutz an den Schulen. Grund ist der zunehmende Einsatz von Cloud Computing. Mit einem Merkblatt weisen die Datenschützer nun auf den richtigen Umgang mit Datenwolken hin.
 
Zu den bekannten Cloud-Diensten gehören etwa Dropbox, Microsoft Office 365 oder Google Drive. Schulen, welche über die Nutzung solcher Dienste nachdenken oder diese bereits nutzen, stehen im Fokus des Papiers, das die Datenschutzbeauftragten am Montag verabschiedeten.
 
Die Vereinigung Privatim hält darin unter anderem fest, dass "grundsätzlich ein schriftlicher Vertrag zwischen der Schule und dem Cloud-Anbieter" erforderlich ist. Darunter fällt auch das einfache Akzeptieren von Nutzungsbedingungen.
 
Schlüssel muss beim Nutzer sein
Das Problem: Bei Standardprodukten können gemäss Privatim oft keine Verträge vereinbart werden oder aber die Nutzungsbedingungen entsprechen nicht den datenschutzrechtlichen Anforderungen. Standardprodukte fallen für Schulen also faktisch weg. Es sei denn, es bestehe die Möglichkeit, die Daten zu verschlüsseln, teilte Privatim-Präsident Bruno Baeriswyl auf Anfrage mit. "Wichtig dabei ist, dass der Schlüssel beim Nutzer der Cloud liegt und nicht beim Cloud-Anbieter." Dropbox oder Google Drive gehören gemäss Baeriswyl nicht zu den Anbietern, die diese Vorgabe erfüllen.
 
Mit anderen Worten: Passen Dropbox und Google Drive ihre Nutzungsbedingungen nicht an, kommen sie für einen Einsatz in den Schulen nicht mehr in Frage. Konkret muss in den Nutzungsbedingungen etwa festgehalten sein, dass die Verfügungsmacht bei der Schule liegt und die Daten nur für die Zwecke der Schule bearbeitet werden können. Ausserdem soll das Schweizerische Recht angewendet werden und Streitfälle sollen zwingend vor Schweizer Gerichte kommen.
 
Weitere Vetragsanforderungen, die den Einsatz der Standardservices der grossen Anbieter zumindest fragwürdig machen, sind die Einrichtung von Kontrollmöglichkeiten durch die Schule selbst oder externe Prüfstellen sowie der Ort der Datenverarbeitung. Letzterer muss bekannt sein, und ein Ortswechsel müsste von der Schule bewilligt werden. Eine der Eigenschaften der grossen Cloud-Services ist es aber gerade, dass Daten um die Verfügbarkeit zu sichern an vielen verschiedenen Orten gelagert und dynamisch verschoben werden können.
 
Gegenüber inside-it.ch erklärt Baeriswyl dazu dass die Schulen den Entscheid, ob Cloud Computing beziehungsweise ein bestimmtes Produkt oder ein bestimmter Anbieter für sie in Frage kommen, aus einer Gesamtbetrachtung heraus fällen müssen. "Die zu treffenden Massnahmen sind unterschiedlich zu gewichten, je nachdem was für Daten in der Cloud bearbeitet werden sollen oder wie der Umfang der Datenbearbeitung ist. Nach dieser Risikoanalyse müssen insbesondere Standardprodukte danach evaluiert werden, ob sie die Bedingungen erfüllen. Bei umfangmässig grossen Auslagerungen sind Verhandlungen mit den Anbietern meistens notwendig. Aber es gibt auch Standardprodukte, die sich dank der Möglichkeit der Verschlüsselung der Daten und der Tatsache, dass der Anwender über den Schlüssel verfügt, einsetzen lassen. Dazu gehören Google Drive oder Dropbox nicht, aber beispielsweise ownCloud, Wuala, SecureSafe oder TeamDrive."

Ein Schweizer Anbieter, fügt Baeriswyl an, könne einen Marktvorteil haben, sofern er die Bedingungen standardmässig erfüllt.
 
Kontrollen in den Schulen
Die Richtlinien konkretisieren gemäss Baeriswyl die geltenden gesetzlichen Anforderungen. Die Datenschutzbeauftragten würden mittels Kontrollen überprüfen, ob die an den Schulen eingesetzten Cloud-Lösungen die gesetzlichen Bestimmungen erfüllten. Bei Verstössen, so erklärte Baeriswyl heute in einem kurzen Radiointerview, würde zuerst die betreffende Schule gemahnt (Die Aussagen von Baeriswyl hört man im "Nachruf auf Bundesrat Friedrich") ab Minute 10:30).
 
Das Merkblatt hält weiter fest, dass die Anforderungen an den Cloud-Service grundsätzlich steigen, je sensitiver die Daten sind. Zu den besonders schützenswerten Daten gehören etwa solche aus der Schulpsychologie, die dem Berufsgeheimnis unterstehen. (hjm/sda)