Inhalt

Die Anlaufstelle für Datennutzung und Datenschutz unterstützt bei diesen Fragen und generiert so eine kollektive Wissensbasis für den digitalen Bildungsraum Schweiz. Die Antworten erarbeiten wir gemeinsam mit Fachpersonen. Ethische Perspektiven und die bildungspolitischen Rahmenbedingungen fliessen ebenso in unsere Antworten ein wie die Tauglichkeit für die Bildungspraxis und deren Anschlussfähigkeit an bestehende Systemkomponenten. Die nachfolgenden Fragen wurden uns von Schulleitungen, Lehrpersonen und Bildungsverwaltung gestellt. Wir ergänzen die Themengebiete laufend.

Fragen erwünscht

Haben Sie Fragen zu Datennutzung und Datenschutz, die hier nicht beantwortet werden? Schicken Sie uns Ihre Anfrage.

Weitergabe von Personendaten

Eine Schule überlegt, Informationen wie Klassenlisten, Stundenpläne und Kontaktdaten der Lehrpersonen auf einem Elternportal zugänglich zu machen. Ist dies aus datenschutzrechtlicher Sicht zulässig und was ist dabei zu beachten?

Die Frage, ob und in welchem Umfang Informationen wie Klassenlisten veröffentlicht und den Eltern zugänglich gemacht werden sollen, ist kritisch zu betrachten. Im Folgenden sind die wichtigsten Punkte aufgeführt, die für einen datenschutzkonformen Umgang zu beachten sind.

Einholen der Einwilligung: Es muss vorab die Einwilligung aller Betroffenen eingeholt werden sowie möglichst klar und transparent kommuniziert werden, wer alles Zugriff auf das Portal hat. Die Einwilligung ist aktuell zu halten und sorgfältig zu dokumentieren.

Beschränkung der Publikation: Falls eine Veröffentlichung auf dem Schulportal erfolgt (auch wenn ein Login erforderlich ist), sollte diese möglichst auf den Klassenverband beschränkt werden.

Zweckbindung und Datenminimierung: Lässt sich eine klassenübergreifende Veröffentlichung nicht vermeiden, ist darauf zu achten, dass die Zweckbindung und die Verhältnismässigkeit eingehalten werden. Das bedeutet, dass die Schule transparent machen muss, zu welchem Zweck sie die Daten benötigt. Personenbezogene Daten dürfen nur zu dem Zweck bearbeitet werden, zu dem sie erhoben wurden, und nur so lange, wie dies zur Erfüllung dieses Zwecks erforderlich ist. Danach sind sie zu vernichten oder zu anonymisieren.

Transparenz: Die betroffenen Personen müssen wissen, wie, wo und warum ihre Daten bearbeitet werden. Dies setzt voraus, dass alle Informationen über die Bearbeitung von Personendaten klar, zugänglich, nachvollziehbar und verständlich sind.

Unterschiedliche Einwilligungen für unterschiedliche Zwecke: Werden personenbezogene Daten für unterschiedliche Zwecke erhoben werden, z.B. für schulische Leistungen oder Ausflüge, ist für jeden Zweck eine gesonderte Einwilligung erforderlich. Pauschale Einwilligungen genügen in der Regel den gesetzlichen Anforderungen nicht.

Ein Anbieter von Sommerlagern möchte von Ihrer Schule die Namen und Mail- bzw. Postadressen von Schülerinnen und Schülern erhalten, um jenen Informationen und einen Flyer zum diesjährigen Sommerlager schicken zu können. Geben Sie als Schulsekretär die Daten heraus?

Sie dürfen als Schule die Personendaten wie Namen und Adressen der Schülerinnen und Schüler gemäss dem Volksschulgesetz Ihres Kantons für die Schulorganisation sammeln und bearbeiten. Es ist Ihnen jedoch nicht erlaubt, die Daten ausserhalb dieses Zwecks zu benutzen und an Dritte weiterzugeben. Die Werbung für ein ausserschulisches Sommerlager gehört nicht zum vom Volksschulgesetz abgedeckten Zweck der Schule. Beispielsweise können Sie dem Anbieter erlauben, ein Plakat des Sommerlagers am Schwarzen Brett anzupinnen und dort Flyer auszulegen. Denkbar wäre auch, dass die Klassenlehrpersonen die Informationen und den Flyer (freiwillig) verteilen, wenn das Angebot grundsätzlich mit dem Schulzweck vereinbar ist.

Betreffend der Verarbeitung von Personendaten gilt für öffentliche Schulen das jeweilige kantonale Datenschutzgesetz.

Lernende haben persönliche Informationen über mich als Lehrperson auf Social Media geteilt. Wie kann ich hier vorgehen?

Zunächst kommt es darauf an, um was für Informationen es sich handelt: falsche Informationen, frei zugängliche Informationen, Beleidigungen, Videos oder anderes? Vorab empfiehlt es sich, die entsprechenden Schülerinnen und Schüler, um die Löschung des Inhalts zu bitten.

Wenn Sie als Lehrperson einen Text oder ein Bild von sich von den sozialen Medien entfernt haben möchten, da diese Ihre Persönlichkeitsrechte verletzen, haben Sie die Möglichkeit sich bei der entsprechenden Social-Media-Plattform zu melden. Die Anbieterin respektive der Anbieter wird die Meldung prüfen und basierend auf ihrem Standard entsprechende Massnahmen ergreifen.

Sind durch die Publikation Persönlichkeitsrechte verletzt (z.B. unvorteilhafte oder unrichtige Darstellungen), greift der Persönlichkeitsschutz gemäss Art. 28 des Zivilgesetzbuchs (ZGB). Sie können dann vor dem Zivilgericht auf Unterlassung bzw. Beseitigung klagen. Zivilprozesse sind jedoch beweismässig und finanziell aufwändig.

Unter Umständen liegt sogar eine strafrechtliche Ehrverletzung gemäss Art. 173 Strafgesetzbuch (StGB) (üble Nachrede) vor – nämlich dann, wenn Sie als Lehrperson durch den Beitrag auf den sozialen Medien als nicht ehrbarer Mensch erscheinen. Sie müssten dann innert 3 Monaten Strafanzeige erstatten. Jedoch stellt nicht jede als ehrverletzend empfundene Aussage einen Straftatbestand dar.

Speicherung von Daten in der Cloud

Was muss ich als Schulleiterin oder Schulleiter beachten, wenn Klassenlisten, Schulnoten, Notfallblätter, etc. in einer Cloud, z.B. von Microsoft Office 365 Education, gespeichert werden?

Die Schule ist auch bei einer Auslagerung in eine Cloud vollumfänglich für die Datenbearbeitung verantwortlich. Es handelt sich hierbei um eine Auftragsdatenbearbeitung, da die Schule die Bearbeitung von Daten einem Dritten in Auftrag gibt. Sie bearbeitet die Daten somit nicht (nur) selber.

Die Schule muss sicherstellen, dass der Cloud-Anbieter in der Lage ist, die Datensicherheit zu gewährleisten. Die in verschiedenen Bereichen bestehenden Risiken bei Cloud-Lösungen müssen durch die Schule mittels Massnahmen ausgeschlossen oder zumindest auf ein tragbares Mass reduziert werden.

Die Daten sind zumindest bei der Übertragung nach dem aktuellen Stand der Technik zu verschlüsseln. Bei der Bearbeitung der Daten durch den Cloud-Anbieter ist die Vertraulichkeit durch geeignete Massnahmen angemessen zu schützen. Weiteres findet sich auf dem Merkblatt Cloud-spezifische Risiken und Massnahmen von privatim.

Der Transport sowie die Speicherung der Daten sind bei Microsoft 365 bereits verschlüsselt, wobei Microsoft über den Schlüssel verfügt. Für die Verschlüsselung in der Cloud bestehen verschiedene Ansätze wie eine in Microsoft 365 integrierte Bearbeitung mit Hoheit über die verwendeten Schlüssel bei der Schule (diese Lösung ist technisch anspruchsvoll und teuer), Verschlüsselung via Lösung eines Drittanbieters, Verschlüsselung manuell über eine Lösung einer lokal genutzten Applikation oder über einen Dienst eines Drittanbieters (s. Leitfaden Microsoft 365 im Bildungsbereich, Ziff. 4 der Datenschutzbeauftragten des Kanton Zürich). Für die konkrete Anwendung kann sich auch eine Beratung bei der zuständigen kantonalen Datenschutzaufsichtsstelle lohnen.

Einsatz von eigenen Geräten für schulische Zwecke (BYOD)

An unserer Schule besteht der Verdacht, dass über die gemischt finanzierten Geräte Mobbing stattfindet. Dürfen wir als Schule die Nachrichten auf den Geräten einsehen? Und was können wir sonst noch tun, um damit umzugehen?

Jeder Verdacht auf Mobbing muss ernst genommen werden und erfordert sofortiges Handeln. Bevor Einsicht in die digitalen Geräte verlangt wird, sollte das Gespräch mit den betroffenen Schülerinnen und Schülern gesucht werden. Die Ernsthaftigkeit der Situation ist sorgfältig zu prüfen. Beispielsweise sollten folgende Fragen geklärt werden: Ist der Mobbingverdacht begründet? Gibt es Drohungen? Welche konkreten Anzeichen gibt es? Häufen sich solche Vorfällen?

Sollte sich der Verdacht erhärten, kann der Zugriff auf die Geräte geprüft werden. Manchmal erlauben es die Lizenzrechte der verwendeten Software, auf die Inhalte zuzugreifen. Beispielsweise kann eine Schullizenz für MS Teams der Schule spezielle Zugriffsrechte einräumen.

Es ist zu überprüfen, ob die Eltern bei der Inbetriebnahme der Geräte eine Einverständniserklärung unterschrieben haben, die das Recht auf Einsichtnahme auf alle Anwendungen beinhaltet. Damit behält sich die Schulleitung das Recht vor, in besonderen Fällen auf die Geräte der Schülerinnen und Schüler zuzugreifen.

Für die Beweisführung ist es wichtig, dass die Einsicht in die Geräte erfolgt, bevor die Daten gelöscht worden sind. Wenn Einsichtsrechte seitens des Lizenzgebers und der Eltern bestehen, ist dies wie erwähnt möglich. Darüber hinaus sollten alle relevanten Beweise, die sich auf den gemischt finanzierten Geräten befinden, gesichert werden. Dies können Textnachrichten, Bilder oder andere digitale Kommunikation sein.

Wenn der Verdacht besteht, dass die fraglichen Inhalte strafrechtlich relevant sind, sollte die Polizei eingeschaltet werden. Dies kann zum Beispiel bei Drohung, Nötigung oder Drogenhandel der Fall sein.

Die meisten Schul- bzw. Bildungsgesetze und die jeweiligen Verordnungen sehen vor, dass gegen Lernende disziplinarische Massnahmen ergriffen werden können. Unter bestimmten Umständen können Geräte auch eingezogen werden. Regelungen zum Fehlverhalten finden sich jeweils auch in Reglementen der Schule oder der Gemeinde.
 

Unsere Schülerinnen und Schüler benutzen im Unterricht IT-Geräte, die teilweise privat finanziert werden. Gibt es dabei etwas Besonderes zu beachten?

Wenn (teilweise) private Geräte (Smartphones, Notebooks, Tablets) zur Erfüllung der schulischen Aufgaben eingesetzt werden, müssen die Informationen mit den geeigneten organisatorischen und technischen Massnahmen (TOM) geschützt werden. Folgende Massnahmen sind mindestens erforderlich:

  • Ein Passwort- oder PIN-Schutz
  • Die Installation eines Virenschutzes
  • Eine aktuelle Firewall
  • Regelmässige Updates
  • Verschlüsselung bei der Speicherung und Übermittlung sensibler Daten

Auch vollständig von der Schule finanzierte Geräte sind gemäss den Erlassen betreffend Nutzung von Hardware und Software der Schule oder der Gemeinde zu schützen.

Urheberrechte von Bildern, Text und Musik

Bei einer Theateraufführung der Schule haben eine Fotografin und Eltern Fotos und Videos gemacht. Die Klassenlehrperson möchte jedem Kind den Film der Aufführung auf einem Speichermedium zur Verfügung stellen. Auch Eltern haben Fotos und Videos gemacht und diese in sozialen Netzwerken veröffentlicht. Die Eltern eines Schülers, der auf den Videos zu sehen ist, beschweren sich. Wie ist die Aufnahme und Veröffentlichung von Bildmaterial durch die Schule zu beurteilen? Inwieweit ist die Schule für die Aufnahmen verantwortlich?

Das zivilrechtlich geschützte Recht am eigenen Bild (Art. 28 ZGB) ist stets zu wahren und bedarf im vorliegenden Fall immer einer Rechtfertigung in Form einer Einwilligung der betroffenen Person oder einer gesetzlichen Grundlage.

Aus urheberrechtlicher Sicht ist zwischen der Aufnahme einerseits und der Bereitstellung (Veröffentlichung) von Bildmaterial andererseits zu unterscheiden: Für die Aufnahme als solche ist aus urheberrechtlicher Sicht keine Einwilligung der Betroffenen erforderlich, wohl aber für die Veröffentlichung.

Zu unterscheiden ist auch zwischen den verschiedenen Personen, die fotografieren (Eltern, Lehrperson, Fotografin/Fotograf). Ebenso wie auch nach dem jeweiligen Zweck des Fotografierens oder Filmens, da dies für die spätere Beurteilung der Zweckbestimmung von Bedeutung ist. Je nachdem, wer zu welchem Zweck fotografiert oder filmt, bestehen unterschiedliche rechtliche Anforderungen (gesetzliche Grundlage, Einwilligung).

Für die Vorführung des Films vor der Klasse oder die Bereitstellung auf einem Speichermedium für jedes Kind genügt in der Regel das Schulgesetz als Rechtsgrundlage aus. Für weitere Veröffentlichungen ist die ausdrückliche Einwilligung der Erziehungsberechtigten sowie der beteiligten Schülerinnen und Schüler erforderlich. Bei Veröffentlichungen durch die Schule ist es wichtig, die Einwilligungen möglichst frühzeitig zu Beginn des Schuljahres einzuholen. Die Einverständniserklärung muss den Zweck der Bildherstellung oder -bearbeitung beinhalten. Je nach Situation muss für den aktuellen und konkreten Fall eine neue Einwilligung eingeholt werden. Die Eltern und das Kind können ihre Einwilligung jederzeit ohne Angabe von Gründen widerrufen.

Die Veröffentlichung in den sozialen Medien durch die Eltern liegt nicht im Verantwortungsbereich der Schule. Im Sinne der Prävention und Sensibilisierung könnte die Schule vor einer Theateraufführung darauf hinweisen, dass das Fotografieren der Kinder durch die Eltern bzw. die Veröffentlichung in den sozialen Medien nicht gestattet ist.
 

Auf unserer Schulwebseite möchten wir in einem kurzen Videoclip unsere Schule vorstellen. Im Hintergrund soll dabei die Musik von Herbert Grönemeyer spielen. Wie müssen wir vorgehen, damit wir die verwendete Musik legal verwenden können?

An der Musik besitzt Herbert Grönemeyer beziehungsweise allenfalls seine Produktionsfirma die Urheberrechte. Da die Schulwebseite öffentlich ist, können Sie die Musik nicht ohne Lizenz verwenden. Sie müssen die Musiknutzung melden und lizenzieren. Dies geschieht in der Schweiz bei der SUISA, welche schweizweit die Urheberrechte von Musikschaffenden sowie Verlegerinnen und Verlegern vertritt. Die SUISA sorgt dafür, dass Komponistinnen, Textautoren oder Verlegerinnen Urheberrechtsentschädigungen erhalten, wenn ihr Werk öffentlich genutzt wird. Bei der SUISA können Sie die Zugänglichmachung, sowie die Einspeicherung von Audiodateien auf einem Server lizenzieren lassen. Es fällt eine Entschädigung an.

Unter Umständen kommt diese Lösung mit einem Song von Grönemeyer für eine Schule zu teuer. Dann können Sie auch auf lizenzfreie Musik ausweichen oder selbst eine musikalische Unterlegung produzieren.

Weitere Informationen zur Nutzung von urheberrechtlich geschützten musikalischen Werken in Schulen finden sich auf der Webseite der SUISA.


Unser Physiklehrer hat während seiner Laufbahn an unserer Schule ein Skript für den Unterricht erstellt. Da er nun die Schule verlässt, will er uns jenes nicht weiter zur Verfügung stellen und verweist dabei auf seine Urheberrechte. Ist das Urheberrecht für Unterrichtsmaterialien ebenfalls anwendbar?

Das Urheberrechtsgesetz (URG) gilt auch für Unterrichtsmaterialien. Bei Lehrpersonen ist es allerdings so, dass sie auch für das Erarbeiten und das Bereitstellen von Unterrichtsmaterialien angestellt und entlöhnt werden. Die Urhebernutzungsrechte werden daher regelmässig via Personalgesetz, Schulordnung oder Anstellungsvertrag an die Schule übertragen. Somit kann in der Regel die Schule über die Weiterverwendung von durch Lehrpersonen erstellte Unterrichtsmaterialien wie Skripte und dergleichen entscheiden.

Ausnahmen bestehen bei privat (und in der Freizeit) erstellten Werken, denn dort verbleibt das Urhebernutzungsrecht bei der Lehrperson. So kann sie bestimmen, ob und wo das Werk weiterverwendet wird.

Informations- und Datensicherheit in der Schule oder im Lehrbetrieb

Wie können wir als Schule sicherstellen, dass die Entsorgung von Geräten wie Computern und Tablets datenschutzkonform und fachgerecht erfolgt? Was ist zusätzlich zu beachten, wenn wir die Geräte an andere Institutionen weitergeben wollen?

Auch bei der Entsorgung von Altgeräten, insbesondere bei der Weitergabe an Dritte ist der Datenschutz zu gewährleisten.

In der Regel erfolgt die Entsorgung von Geräten über Swico, ein nicht gewinnorientiertes Rücknahmesystem für ausgediente Elektro- und Elektronikgeräte aus den Bereichen Informatik, Unterhaltungselektronik, Büro, Kommunikation, grafische Industrie sowie Mess- und Medizinaltechnik.

Schulen können Altgeräte ab einer Menge von 250 Kilogramm oder Grossgeräte ab einer Mindesthöhe von 80 Zentimetern kostenlos abholen lassen. Alle Swico-Vertragspartner sind verpflichtet, die Daten auf den abgegebenen Geräten vor unbefugtem Auslesen zu schützen. Weitere Informationen finden Sie auf der Website von Swico.

Um den Datenschutz zu gewährleisten, empfiehlt es sich, unabhängig vom Entsorgungsunternehmen, das Vorgehen idealerweise vor Auftragserteilung vertraglich oder zumindest schriftlich festzuhalten. Zudem sollte nach der Entsorgung ein entsprechendes Protokoll verlangt werden.

Die Art der Löschung hängt vom Gerätetyp und vom Betriebssystem ab. Kostenlose Anleitungen hierzu sind auf seriösen IT-Medienportalen im Internet zu finden. Bei der Verwendung von Löschprogrammen bleibt jedoch ein Restrisiko, da einige Speicherbereiche möglicherweise nicht erfasst werden. Aus diesem Grund wird empfohlen, vor der Weitergabe von Geräten alle Speicher zu demontieren und zu entsorgen.

Dies gewährleistet nicht nur den Datenschutz, sondern verhindert auch die ungewollte Weitergabe eigener Software-Lizenzen. Auch wenn Lehrpersonen die Geräte beruflich nutzen, muss die Schule in jedem Fall für eine sichere Löschung sorgen.

Sollen die Geräte aus Gründen der Nachhaltigkeit weitergegeben oder weiterverkauft werden, empfiehlt sich die Zusammenarbeit mit einem auf den Wiederverkauf von IT-Geräten spezialisierten Unternehmen, um die ordnungsgemässe Löschung und datenschutzkonforme Weitergabe der Geräte sicherzustellen.
 

Was ändert sich mit der Einführung des nDSG am 1. September 2023 für meine Schule? Muss ich als Schulleiterin selbst aktiv werden und/oder unterstützt mich eine andere Stelle?

Am 1. September 2023 ist das neue Datenschutzgesetz des Bundes in Kraft getreten (nDSG). Dieses ist für Bundesbehörden und Private anwendbar, nicht jedoch für kantonale und kommunale Stellen – wie es öffentliche Schulen darstellen. Für öffentliche Schulen gilt primär das jeweilige kantonale Datenschutzgesetz.

Am besten ist es, auf Gemeindeebene zu prüfen, ob eine Schule etwas (z.B. die Datenschutzerklärung auf ihrer Webseite) anpassen muss (siehe auch unser Beitrag «Folgen des neuen Datenschutzgesetzes für Schulen»).

Welche wesentlichen Änderungen müssen wir als Privatschule unter dem neuen Datenschutzgesetz beachten?

Am 1. September 2023 ist das revidierte Bundesgesetz über den Datenschutz in Kraft getreten (neues Datenschutzgesetz). Dieses ist nur für Bundesorgane und private Personen (inkl. Unternehmen) anwendbar. Für Bundesbehörden und Private gelten im Wesentlichen folgende Änderungen:

  • Ausweitung der Informationspflichten: Es muss unter anderen eine Datenschutzerklärung erstellt werden, die insbesondere den Bearbeitungszweck und die verantwortliche Person mit deren Kontaktdaten nennt.
  • Neu gibt es eine Pflicht, ein Datenbearbeitungsverzeichnis zu erfassen (mit Ausnahmen).
  • Die Sanktionen wurden verschärft, unter anderen gibt es neu Bussen von bis zu CHF 250'000.
  • Bei Verletzung der Datensicherheit mit voraussichtlich hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person muss die Privatschule (z.B. durch die Schulleitung oder verantwortliche Person) den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) so rasch wie möglich informieren.

Als Lehrperson würde ich gerne künstliche Intelligenz (KI) einsetzen, um die Arbeiten meiner Schülerinnen und Schüler zu beurteilen. Was muss ich aus rechtlicher Sicht beachten?

Wenn Sie als Lehrperson KI einsetzen möchten, um Arbeiten zu bewerten, müssen Sie neben den datenschutzrechtlichen auch die urheberrechtlichen Bestimmungen einhalten. Dies bedeutet, dass Sie zum Beispiel keine schöpferischen Daten von Lernenden in ChatGPT eingeben dürfen. Auch dürfen KI-Systeme bei der Bewertung nur als Hilfsmittel eingesetzt werden. Als Lehrperson sind Sie weiterhin verpflichtet, das Resultat gemäss Bewertungsraster zu überprüfen.

Umfassende Informationen zu KI/ChatGPT bietet der Digital Learning Hub des Kantons Zürich. Unter anderem erarbeitete der Digital Learning Hub auch Handreichungen und Empfehlungen für Schulen, Schülerinnen und Schüler und Lehrpersonen zum Einsatz von KI bei Vertiefungs- und Abschlussarbeiten.