Finden Sie Fragen und Antworten zu Datenschutz-Themen.
Sollten Sie eine Information nicht finden, hilft Ihnen unser Support-Team gerne weiter.
Im Rahmen der Nutzung dieser App sind zwei Fragen zu beantworten. Erstens, was kann diese App und zweitens, welche Datenbearbeitungen der Schule sind noch datenschutzkonform.
Was kann M365 Insights?
Insights in Microsoft Teams ermöglicht eine präzise Auswertung über das Schülerverhalten per Knopfdruck. Alle Daten, die in Teams anfallen (Aktivitäten, Hinweise zu der Ausführung der Hausaufgaben, Noten, Meldungen usw.) lassen sich visualisieren. Diese App ermöglicht der Schule somit eine Vielfalt von Auswertungen. Zwar könnte die Schule diese Auswertungen im Einzelfall auch mit einer Liste vornehmen, jedoch nur mit zusätzlichem Aufwand.
Welche Auswertungen darf eine Schule vornehmen?
Die Vielzahl von Auswertungen können ein detailliertes Bild des Verhaltens eines Schülers/einer Schülerin ergeben und deuten in Richtung eines Persönlichkeitsprofils. Dies ist jedoch von den Rechtsgrundlagen nicht gedeckt und somit nicht datenschutzkonform.
Wir erachten deshalb die Nutzung von Insights in Microsoft Teams als nicht erforderlich und somit als nicht datenschutzkonform.
Grundsätzlich nein.
Vertrauliche Daten dürfen nicht ohne weitere Schutzmassnahmen in Teams abgelegt/versendet werden.
Eine Möglichkeit ist es, einen Datentresor zu erstellen und diesen dann in Teams abzulegen. Es gibt Lösungen, welche auch das Teilen von Dateien über eine Tresorlösung zulassen.Abklärungen im AFI haben ergeben: Im Kanton Zürich wird von den Gerichten eine Lösung eingesetzt: LanCrypt. Diese Lösung ist aber «End-of-Life» und wird nicht länger unterstützt. Im AFI wurde nun ein Projekt gestartet, ein Nachfolge-Lösung zu finden. Dazu hat meine Anfrage beim AFI ergeben, dass AFI ebenso am Klären ist, ob der «Azure Information Manager» (Weitere Informationen) eingesetzt werden soll bzw. kann. Dies ist eine Lösung von Microsoft, die genau das abdeckt. Basierend auf einer Inhaltsanalyse bei der Speicherung wird die Vertraulichkeitsstufe vorgeschlagen und kann mittels Mausklick bestätigt/ausgewählt werden. Das Problem dabei ist nur, dass die Datenschützerin des Kt. ZH bemängelt, dass für die Analyse die Daten an Microsoft übermittelt werden müssen, was aus Datenschutzsicht kritisch ist.
Wir schlagen deshalb vor, die Ergebnisse dieser beiden Projekt abzuwarten, bevor sie die Lehrer(innen) grossflächig informiert werden.
Einzelfälle können weiterhin als verschlüsselte/passwortgeschützte Dateien in separaten Bereichen von M365/One Drive, welche nicht allen Personen zur Verfügung stehen, abgelegt werden.
Wir von der MBA her haben das Bedürfnis bei AFI platziert und streben an, dass eine Tresor-Lösung innerhalb der IKT Sek II zur Verfügung gestellt wird. Bei den erwähnten Projekten sind wir mit dabei oder lassen uns regelmässig informieren.
Sollten sensitive Daten über einen Teams-Chat versendet werden?
Sensitive Personendaten sollten nur über den Chat versendet werden, wenn noch eine zusätzliche Sicherheit vorhanden ist (z.B. sichere Dateiverschlüsselung). Nur ist es so, dass z.B. eine passwortgeschützte Datei von Word relativ einfach geknackt werden kann.
Warum ist das passwortgesicherte Mail sicherer als das doch ebenso passwortgesicherte Chatten in Teams? D.h. wo ist ein Passwort "wertvoller"?
Die Kommunikation in Office ist grundsätzlich verschlüsselt, das ist korrekt. Da ist also schon einmal ein Schutz «gegen aussen» vorhanden, was sehr zu begrüssen ist. Aber – Microsoft verfügt über den Schlüssel und damit auch US-Regierungsbehörden, das ist der kritische Punkt bei M365. Somit ist ein verschlüsseltes Mail, welches durch ein Drittprodukt (z.B. mit Outlook Plug-In) erstellt bzw. verschlüsselt wird, sicherer. Da ist der Schlüssel dann nicht bei Microsoft vorhanden.
Nutzungsrichtlinien richten sich an die Benutzenden (Lernende, LP, MA), und legen offen, welches Verhalten betreffend Datenschutz und Informatiksicherheit wir erwarten.
Verhalten wie private Nutzung, Sorgfalt, etc. Umgang mit Zugangsdaten, aktive Schutzmassnahmen durch Benutzende, Regelverstösse, Sanktionen.
Datenschutzerklärung beschreibt, wie die Schulen, MBA und AFI mit den Daten der Benutzerinnen und Benutzer umgehen und welche Rechte diese haben. Auch was die Benutzenden tun können, um ihre Daten zu schützen.
Rechtsgrundlagen, Datenerhebung, Datenverwendung, Datenweitergabe und Auswertung durch Dritte, Datensicherheit, verschiedene zentrale Applikationen im Detail (MS365, Google, Social Media, etc.), Rechte, Haftungsausschluss
Die Daten von Forms als «Produkt» werden im EU-Raum gespeichert. Dies wird datenschutzrechtlich mit der Schweiz gleichgestellt. Von dieser Seite her also problemlos.
Was es beim Wunsch, die Datenerfassung digital zu erledigen, zu beachten gibt:
- Die Seite muss über eine sichere Verbindung (https) zur Verfügung gestellt werden (ist bei der Nutzung des M365-Tenant gegeben).
- Es müssen Mechanismen vorhanden sein, um die Identität der ausfüllenden Person zu verifizieren (bsp. eine Schülernummer, die nur dieser Familie vorgängig kommuniziert wurde). So kann auch «ausgeschlossen» werden, dass jemand für eine andere Person Daten erfasst.
- Die Einsichtnahme in die erfassten Daten muss den selben Zugriffbeschränkungen unterliegen wie auch bei der Papierversion. Der Zugriff soll nur Personen möglich sein, die über ein berechtigtes Interesse verfügen (z.B. Schulleitung und Klassenlehrperson).
Antwort von Educa: privatim und Educa haben zusammen mit Classtime vertragliche Grundlagen erarbeitet, damit Schulen den Dienst datenschutzkonform nutzen können. Als Ergebnis der Verhandlungen hat Classtime das Angebot durch eine Reihe von Massnahmen angepasst. Diese Vertragsbedingungen erlangen nur bei einem Beitritt zum Rahmenvertrag (Educa) Gültigkeit.
Padlet wird aus Sicht Datenschutz als nicht sicher beurteilt. Serverstandort ist USA, was an sich schon problematisch ist. Es gibt auch noch weitere Aspekte, welche nicht den Datenschutzanforderungen entsprechen (Datenweitergabe an Google, Youtube, etc.) oder zumindest unklar ist, ob sie sauber umgesetzt werden. Es gibt dazu eine Untersuchung der TU Dresden (https://tu-dresden.de/gsw/forschung/projekte/weitere-forschungsprojekte-an-den-fakultaeten/unischule/datenschutzinformation-padlet ) und auch von Datenschutz-Schule.info (https://datenschutz-schule.info/datenschutz-check/padlet-digitale-pinnwand/ ).
Aus letzterem auch das Fazit zum möglichen Einsatz von Padlet:
«Bei einer Nutzung mit schulischen Endgeräten in der Schule ohne gleichzeitiges Login an anderen Plattformen, kann man sicher davon ausgehen, dass für Schüler keine Risiken durch eine Nutzung entstehen, auch wenn externe Inhalte eingebunden sind in das Padlet. Werden private Endgeräte genutzt, ist ein gewisses Risiko nicht sicher auszuschließen. Eltern, die ihren Kindern erlauben, zu Hause YouTube Videos am eigenen Smartphone oder Computer zu schauen oder kostenfreie Spiele auf den zahlreichen durch Werbung gesponserten Portalen zu spielen, können davon ausgehen, dass die Risiken für ihre Kinder dort um einige Größenordnungen größer sind.
Mit einem sicheren Browser wie Brave Browser oder dem DuckDuckGo Browser auf einem Mobilgerät lassen sich die oben beschriebenen Aktivitäten von Dritten (Indicative, Alexametrics, GoogleTagManager) nicht komplett unterbinden, aber reduzieren.
Im Hinblick auf die Standorte der vom Anbieter genutzten Server in den USA sollte darauf geachtet werden, Padlet ohne weitere personenbezogene Daten zu nutzen, um hier keine unnötigen Risiken entstehen zu lassen.»
Auf Beschluss des Bundesrats ist per 1. April 2025 die Meldepflicht für Cybervorfälle auf kritische Infrastrukturen in Kraft getreten. Diese gilt unter anderem für kantonale Behörden und Organisationen.
Die kantonalen Schulen und das Mittelschul- und Berufsbildungsamt sind folglich verpflichtet, dem Bundesamt für Cybersicherheit (BACS) Cybervorfälle innerhalb von 24 Stunden nach deren Entdeckung zu melden. Bei den Schulen obliegt die Meldepflicht den Rektorinnen und Rektoren.
Cybervorfälle können mittels entsprechendem Online-Formular auf der Website des BACS gemeldet werden.
Sind bei einem Cybervorfall auch Personendaten betroffen, so muss zusätzlich eine Meldung an die Datenschutzbeauftragte des Kantons Zürich erfolgen: Datenschutzvorfall melden | DSB Kanton Zürich
Weitere Informationen sind auf der Wissensdatenbank unter «Informationssicherheit & Datenschutz» -> «IKT Sek II» und auf der Website des Bundes einsehbar.
Lehrpersonen und Mitarbeitende an Mittel- und Berufsfachschulen erhalten immer wieder Mails, bei denen Kriminelle sich als Rektor/in ausgeben. Sie wollen die angeschriebenen Personen zum Kauf von Geschenkkarten oder zur Auslösung von Zahlungen bewegen. Wenn eine CEO-Fraud Mail eingeht, sofort den IT-Support vor Ort informieren. Die IT kann dann die E-Mail-Adresse sperren und alle Lehrpersonen und Mitarbeitende informieren. Nicht auf die Mail antworten, sondern löschen.
Das Verwenden von generativen KI-Systemen ist immer mehr verbreitet. Bevor KI-Lösungen genutzt werden können, sind Abklärungen zu treffen. Verschiedene Fragen stellen sich. Das DSC Sek II hat dafür ein Projekt genKI gestartet. Alle aktuellen Infos sind auf der Projekt Seite zu finden https://help.mba.zh.ch/projekt-genki.html
