Eine Cloud stellt Speicherplatz auf eine dynamische Art und Weise zur Verfügung. Es ist unklar, wo genau Daten bearbeitet und gespeichert werden.
Werden Daten in der Cloud gespeichert oder bearbeitet, ist dies eine Auslagerung. Sie birgt höhere Risiken als eine Datenbearbeitung durch Dritte im konventionellen Sinn. Oft fehlt es an Transparenz, wo, wie und durch wen Daten bearbeitet werden. Die Kontrolle über die Daten geht damit verloren. Produkte, die Daten in der Cloud bearbeiten, müssen deshalb sorgfältig auf die Anforderungen des Datenschutzes überprüft werden.
Da die Gemeinden mit ihren Schulen für den Umgang und die Sicherheit der Daten ihrer Schulen verantwortlich sind, müssen die Schulen tätig werden, um ihre Daten adäquat schützen zu können. Die Merkblätter vermitteln einen groben Überblick über die Vorgehensweise, über nötige Vorabklärungen und über Massnahmen, die zu ergreifen sind, um die Cloud-Dienste möglichst datenschutzkonform nutzen zu können.
Es wird ausdrücklich empfohlen, folgende Punkte zu beachten:
- Dateninventar und Klassifizierung sind zu definieren: welche Daten sind schützenswert und welche nicht.
- Mit dem Dienst Ampelsystem erhält man Hinweise zum Umgang mit verschiedenen Daten im Schulkontext aus verschiedenen Perspektiven.
- Besonders schützenswerte Personendaten sind in sichere Fachapplikationen des Kantons Bern oder entsprechende Datenverwaltungssysteme auszulagern:
- BU21 (Beurteilungsapplikation des Kantons Bern)
- ePM (elektronische Pensenmeldung)
- STEZE = Kantonaler Stellenmarkt für Lehrpersonen (KSML)
- Arbeitszeugnismanagement für Lehrpersonen (AZMS LP)
- Rückerstattungen Weiterbildungen (REWB, nur für Regelschulen)
- Kommerzielle Cloud-Lösungen sind lediglich für Daten mit geringerem Schutzbedarf (beispielsweise Personendaten wie Name, Vorname, Emailadresse, usw. von Schülerinnen und Schülern) einzusetzen.
Sollen kommerzielle Cloudlösungen auch für besonders schützenswerte Personendaten eingesetzt werden, müssen aufwändigere Sicherheitsmassnahmen wie die Grundverschlüsselung für den Transport und die Speicherung (inklusive Verschlüsselung mit eigenem Schlüssel) eingesetzt werden.