Datenschutz-Reviews in Primar- und Sekundarschulen
Aufgrund der laufenden Digitalisierung steigen die Anforderungen an die organisatorischen und technischen Massnahmen, um den Schutz der Privatsphäre von Schülerinnen und Schülern sowie Lehrpersonen zu gewährleisten. Dabei wird von den Schulen eine Vielzahl sensitiver Daten in Form von Lernfortschritten oder heilpädagogischen Sondermassnahmen bearbeitet.
Die Datenschutzbeauftragte hat im Jahr 2025 den Schwerpunkt bei den Kontrollen auf Schulen gelegt. Aufgrund der einfacheren Verwaltung werden die Daten dabei vermehrt in Software as a Service (SaaS) und in Cloud-Lösungen bearbeitet. Um den erfolgreichen Schutz der Privatsphäre zu gewährleisten, sind entsprechende organisatorische, technische und rechtliche Massnahmen unabdingbar.
Das primäre Ziel der Datenschutz-Reviews war eine Ermittlung des aktuellen Umsetzungsstands technischer und organisatorischer Massnahmen an den Schulen, orientiert am Stand der Technik gemäss dem Gesetz über die Information und den Datenschutz (IDG). Dabei wurde festgestellt, dass die Schulen dem Datenschutz eine hohe Priorität beimessen – vor allem durch gute organisatorische Massnahmen. Dies zeigt sich beispielsweise durch vorhandene Weisungen, welche den Umgang mit Fotos von Schulkindern oder das Speichern von sensitiven Daten regeln. Zudem sind heilpädagogische Sondermassnahmen in fast allen kontrollierten Schulen nicht digitalisiert, sondern als Papierakten verschlossen abgelegt.
Das primäre Ziel der Datenschutz-Reviews war eine Ermittlung des aktuellen Umsetzungsstands technischer und organisatorischer Massnahmen an den Schulen, orientiert am Stand der Technik gemäss IDG.
Dagegen fehlten in vielen Fällen wichtige technische Massnahmen. Dies zeigte sich vor allem in der Abwesenheit von Grundlagen und Konzepten im Bereich der Informationssicherheit. Verbesserungspotenzial besteht insbesondere bei der IKT-Risikoanalyse, der Schutzbedarfsanalyse, der Informationssicherheitsleitlinie, dem Informationssicherheitskonzept, der Informationsklassifizierung, dem Rollen- und Berechtigungskonzept, den IKT-Weisungen für die Benutzenden, dem Back-up-Konzept, den Vorgaben zur sicheren Konfiguration der IKT-Systeme, dem Prozess für Security Incident Management (IM) sowie dem Schwachstellenmanagement.
Deshalb wurden bislang in den wenigsten Schulen Schulungen oder Sensibilisierungsmassnahmen im Bereich der Informationssicherheit durchgeführt.
Um die Schulen bei der Implementierung sowie bei der kontinuierlichen Verbesserung im Informationssicherheitsmanagement zu unterstützen, stellt die Datenschutzbeauftragte auf ihrer Website zahlreiche Merkblätter und Vorlagen zur Verfügung. Zudem tauschen sich die Datenschutzbeauftragte und das Volksschulamt regelmässig aus, um den Schulen eine angepasste Unterstützung zu bieten.