Auslagerung

Allgemeines
Die Schule kann das Bearbeiten von Informationen Dritten übertragen, also auslagern. Dies ist beispielsweise bei der Nutzung von Produkten wie Microsoft 365 oder einer anderen Software der Fall. Auch das Betreiben der Website durch externe Dienstleister, Abklärungen durch externe Fachpersonen oder das Verfassen von Berichten durch Externe gehören zu den Auslagerungen.

Vor der Inanspruchnahme eines Produkts oder der Vergabe einer Datenbearbeitung an einen Dritten ist genau zu überlegen, welche Daten dadurch bekannt gegeben werden und ob dies mit den rechtlichen Anforderungen vereinbar ist. Insbesondere bei der Auslagerung von besonders sensiblen Daten wie Gesundheitsdaten aber auch bereits bei Personendaten wie Name und Adresse sind genaue Abklärungen zu treffen und Massnahmen zum Schutz der Daten umzusetzen. Die Massnahmen richten sich nach der Art der Informationen (Sachdaten, Personendaten, besondere Personendaten), nach der Art des Bearbeitens (Informatikleistung, Datenbearbeitung durch Dritte, Inanspruchnahme einer anderen Dienstleistung) und nach dem Umfang. Je höher die durch eine solche Auslagerung entstehenden Risiken sind, desto umfassender sind die Massnahmen. Besondere Personendaten müssen beispielsweise immer verschlüsselt werden.

Die Datenschutzbeauftragte überprüft gerne die datenschutzrechtlichen Aspekte Ihres ausgewählten Produkts.
§ 6 IDG
§ 25 IDV

Siehe Leitfaden Bearbeiten im Auftrag. Checklisten und Übersichten zu Vorgehen, Vertragsinhalt und Massnahmen finden Sie auf den Seiten 10 bis 14.
Siehe Leitfaden Verschlüsselung der Daten im Rahmen der Auslagerung
Siehe Leitfaden CLOUD Act
Siehe Merkblatt Online-Speicherdienste
Siehe Merkblatt Messenger und Videokonferenzsysteme

Für die AGB des Regierungsrates und weitere Informationen zum Thema Auslagerung siehe auf der Website der Datenschutzbeauftragten.

Cloud Computing
Werden Daten in der Cloud gespeichert oder bearbeitet, ist dies eine Auslagerung. Sie birgt aber höhere Risiken als eine Datenbearbeitung durch Dritte im konventionellen Sinn. Oft fehlt es an Transparenz, wo und wie die Daten bearbeitet werden. Die Kontrolle über die Daten geht verloren. Produkte wie Microsoft Office 365, Dropbox, Google Drive, Lehrer Office und Evernote, die Informationen in der Cloud bearbeiten, müssen deshalb sorgfältig auf die Anforderungen überprüft werden. Mit dem Anbieter muss ein datenschutzkonformer Vertrag abgeschlossen oder es müssen datenschutzkonforme allgemeine Geschäftsbedingungen vereinbart werden.
Aufgrund der hohen Risiken darf das Bearbeiten sensitiver, also gemäss IDG-Terminologie besonderer Personendaten wie Informationen über die Gesundheit oder je nach Kontext über das Verhalten nicht ohne die Umsetzung besonderer Massnahmen ins Ausland ausgelagert werden. Im Fokus steht namentlich die Verschlüsselung der Daten.

Produkte, welche die datenschutzrechtlichen Anforderungen nicht erfüllen wie Dropbox, können nur für das Bearbeiten von nicht sensitiven Daten eingesetzt werden. Ausgetauscht werden können beispielsweise Unterrichtsmaterialien, Arbeitsblätter und Fotos. Aufsätze, in denen persönliche Erlebnisse beschrieben werden, dürfen nicht mit diesen Produkten bearbeitet werden.

Zu berücksichtigen ist weiter, dass gewisse Dienste verlangen, Daten über sich bekannt zu geben. Werden beispielsweise E-Mail-Adressen mit dem Namen verknüpft, sollte die Schule die Schülerinnen und Schüler respektive ihre Eltern darüber informieren und bei Bedenken Pseudonyme für die E-Mail-Adressen verwenden.

Siehe Merkblatt privatim Cloud-spezifische Risiken und Massnahmen
Siehe Merkblatt privatim Cloud Computing im Schulbereich

Siehe unter Apple School Manager.
Siehe unter Google Workspace for Education.
Siehe unter Microsoft 365.

Auslagerung

Allgemeines
Die Schule kann das Bearbeiten von Informationen Dritten übertragen, also auslagern. Dies ist beispielsweise bei der Nutzung von Produkten wie Microsoft 365 oder einer anderen Software der Fall. Auch das Betreiben der Website durch externe Dienstleister, Abklärungen durch externe Fachpersonen oder das Verfassen von Berichten durch Externe gehören zu den Auslagerungen.

Vor der Inanspruchnahme eines Produkts oder der Vergabe einer Datenbearbeitung an einen Dritten ist genau zu überlegen, welche Daten dadurch bekannt gegeben werden und ob dies mit den rechtlichen Anforderungen vereinbar ist. Insbesondere bei der Auslagerung von besonders sensiblen Daten wie Gesundheitsdaten aber auch bereits bei Personendaten wie Name und Adresse sind genaue Abklärungen zu treffen und Massnahmen zum Schutz der Daten umzusetzen. Die Massnahmen richten sich nach der Art der Informationen (Sachdaten, Personendaten, besondere Personendaten), nach der Art des Bearbeitens (Informatikleistung, Datenbearbeitung durch Dritte, Inanspruchnahme einer anderen Dienstleistung) und nach dem Umfang. Je höher die durch eine solche Auslagerung entstehenden Risiken sind, desto umfassender sind die Massnahmen. Besondere Personendaten müssen beispielsweise immer verschlüsselt werden.

Die Datenschutzbeauftragte überprüft gerne die datenschutzrechtlichen Aspekte Ihres ausgewählten Produkts.
§ 6 IDG
§ 25 IDV

Siehe Leitfaden Bearbeiten im Auftrag. Checklisten und Übersichten zu Vorgehen, Vertragsinhalt und Massnahmen finden Sie auf den Seiten 10 bis 14.
Siehe Leitfaden Verschlüsselung der Daten im Rahmen der Auslagerung
Siehe Leitfaden CLOUD Act
Siehe Merkblatt Online-Speicherdienste
Siehe Merkblatt Messenger und Videokonferenzsysteme

Für die AGB des Regierungsrates und weitere Informationen zum Thema Auslagerung siehe auf der Website der Datenschutzbeauftragten.

Cloud Computing
Werden Daten in der Cloud gespeichert oder bearbeitet, ist dies eine Auslagerung. Sie birgt aber höhere Risiken als eine Datenbearbeitung durch Dritte im konventionellen Sinn. Oft fehlt es an Transparenz, wo und wie die Daten bearbeitet werden. Die Kontrolle über die Daten geht verloren. Produkte wie Microsoft Office 365, Dropbox, Google Drive, Lehrer Office und Evernote, die Informationen in der Cloud bearbeiten, müssen deshalb sorgfältig auf die Anforderungen überprüft werden. Mit dem Anbieter muss ein datenschutzkonformer Vertrag abgeschlossen oder es müssen datenschutzkonforme allgemeine Geschäftsbedingungen vereinbart werden.
Aufgrund der hohen Risiken darf das Bearbeiten sensitiver, also gemäss IDG-Terminologie besonderer Personendaten wie Informationen über die Gesundheit oder je nach Kontext über das Verhalten nicht ohne die Umsetzung besonderer Massnahmen ins Ausland ausgelagert werden. Im Fokus steht namentlich die Verschlüsselung der Daten.

Produkte, welche die datenschutzrechtlichen Anforderungen nicht erfüllen wie Dropbox, können nur für das Bearbeiten von nicht sensitiven Daten eingesetzt werden. Ausgetauscht werden können beispielsweise Unterrichtsmaterialien, Arbeitsblätter und Fotos. Aufsätze, in denen persönliche Erlebnisse beschrieben werden, dürfen nicht mit diesen Produkten bearbeitet werden.

Zu berücksichtigen ist weiter, dass gewisse Dienste verlangen, Daten über sich bekannt zu geben. Werden beispielsweise E-Mail-Adressen mit dem Namen verknüpft, sollte die Schule die Schülerinnen und Schüler respektive ihre Eltern darüber informieren und bei Bedenken Pseudonyme für die E-Mail-Adressen verwenden.

Siehe Merkblatt privatim Cloud-spezifische Risiken und Massnahmen
Siehe Merkblatt privatim Cloud Computing im Schulbereich

Siehe unter Apple School Manager.
Siehe unter Google Workspace for Education.
Siehe unter Microsoft 365.