Viele Webseiten von Schulen im Kanton Zürich weisen Sicherheitsmängel auf. In einem Fall hätten sogar sensitive Daten wie schulpsychologische Berichte von aussen eingesehen werden können, stellte der kantonale Datenschutzbeauftragte Bruno Baeriswyl bei Kontrollen fest.

Bei einer systematischen Überprüfung von zehn Schulwebseiten mittels eines speziellen Webscanning-Tools wiesen alle Sicherheitsmängel auf. Bei 20 Prozent wurden gar "kritische Sicherheitslücken" festgestellt.

Zu viele Datenlecks

Die meisten Schulen wüssten zwar, dass es einen guten Virenschutz brauche, stellte Baeriswyl fest. Häufig seien jedoch die Daten ungenügend geschützt. In Einzelfällen wäre es sogar möglich gewesen, von aussen auf sensitive schulinterne Daten zuzugreifen oder Inhalte der Webseiten zu verändern.

Die Gefahr von Missbräuchen besteht laut Baeriswyl bei der Online-Speicherung. Die wenigsten Cloud-Dienste, die den Schulen angeboten werden, erfüllten die gesetzlichen Anforderungen an den Datenschutz und die Informationssicherheit, stellte Baeriswyl fest.

In einem Fall hat der Zürcher Datenschützer einen Durchbruch erzielt. Mit Microsoft konnte er vereinbaren, dass dessen Cloud-Speicher dem schweizerischen Recht und damit dem strengeren schweizerischen Datenschutz unterstellt wird. Zudem werden die Daten ausschliesslich in Europa, nämlich in Holland und Irland, gespeichert.

Auf Granit stiess Baeriswyl mit seiner Forderung nach mehr Sicherheit bei Google. Den Schulen empfiehlt er deshalb, das Programm Google Classroom nur für allgemeine Informationen zu verwenden, aber keinesfalls für die Bearbeitung von Personendaten.

Um den Schulen einen datenschutzkonformen Umgang mit Informationen zu erleichtern, hat der Datenschutzbeauftragte ein Datenschutz-Lexikon für die Volksschule erarbeitet. Analoge Hilfsmittel sind auch für Berufs-, Mittel- und Hochschulen geplant.

Den ganzen Tätigkeitsbericht des vergangenen Jahres gibt es hier. (sda/mim)