Im Bereich Medien und Informatik sind die Empfehlungen an die Gemeinden und Schulleitungen zu beachten.
Die Schule muss ihre Daten mit angemessenen organisatorischen und technischen Sicherheitsmassnahmen schützen. Die umzusetzenden Massnahmen richten sich nach der Art der Daten, nach Art und Zweck der Bearbeitung und nach dem jeweiligen Stand der Technik. Je schützenswerter die Daten, desto umfassender sind die Massnahmen, die zu treffen sind. Sie richten sich nach den wichtigsten Schutzzielen (auch Sicherheitsziele genannt) der Datenschutzgesetzgebung:
- Vertraulichkeit
Es muss verhindert werden, dass Unberechtigte Kenntnis von den Daten erlangen.
Mögliche Massnahmen: Zugriffskonzept und Beschränkung der Zugriffe auf die für die Ausübung der Funktion notwendigen Daten, Verschlüsselung der Daten, Virenschutz, Firewall, Verwendung sicherer Passwörter (vgl. Punkt Passwörter). Papierakten, die besonders schützenswerte Personendaten beinhalten (beispielsweise solche der Erziehungsberatungsstellen) sind unter Verschluss zu halten.
- Integrität
Daten müssen richtig und vollständig sein.
Mögliche Massnahme: Protokollierung der Änderungen
- Verfügbarkeit
Daten müssen bei Bedarf vorhanden sein.
Mögliche Massnahme: Sicherung der Daten (Back-up)
- Zurechenbarkeit
Jede Bearbeitung von Daten muss einer Person zugerechnet werden können.
Mögliche Massnahmen: Protokollierung der Zugriffe, persönliche Benutzerkonten
- Nachvollziehbarkeit
Veränderungen von Daten müssen erkennbar und nachvollziehbar sein.
Mögliche Massnahme: Protokollierung der Änderungen und der Zugriffe
Weitere Informationen sind bei der kommunalen Datenschutzaufsichtsstelle erhältlich. Die kommunale Datenschutzaufsichtsstelle kann sich mit datenschutzrechtlichen Fragen an die kantonale Datenschutzaufsichtsstelle wenden.
E-Mails
Bei der Übermittlung von sensiblen Daten ist umsichtig vorzugehen. Mail-Services von privaten Anbietern (Swisscom, GMX, G-Mail etc.) ohne Verschlüsselung gelten grundsätzlich als unsicher, da E-Mails «unterwegs» durch Dritte abgefangen werden können. Besonders schützenswerte Personendaten dürfen deshalb keinesfalls mit diesen Services versendet werden.
E-Mails mit allgemeinen Hinweisen, Einladungen usw., welche keine besonders schützenswerten Personendaten enthalten, dürfen auch unverschlüsselt versendet werden. Dabei ist wichtig, dass keine Rückschlüsse auf Schülerinnen oder Schüler möglich sind, selbst wenn die Namen abgekürzt oder anonymisiert sind.
Verwendung der E-Mail-Adresse der Schule/ Verwaltung
E-Mails, welche nicht über das Internet via Drittanbieter (Microsoft, Google, GMX, Swisscom etc.), sondern im Netz der Schulverwaltung (mit den internen Systemen der Schule/Verwaltung versendet werden), gelten grundsätzlich als sicher. In jedem Fall ist es zentral, dass die Daten in den E-Mails immer an die richtige(n) Empfangsadresse(n) versendet werden.
Private E-Mail-Accounts von Lehrpersonen, Schulleitung, Schulkommission
Es wird aus den oben genannten Sicherheitsgründen davon abgeraten, private E-Mail-Accounts für berufliche Zwecke zu verwenden oder eine automatische Um- oder Weiterleitung von der Schuladresse auf die private Adresse einzurichten.
E-Mail-Adressen für Schülerinnen und Schüler
Grundsätzlich ist es möglich, Schülerinnen und Schüler eine mit ihrem Namen verbundene schulische E-Mail-Adresse zu erstellen. Die Eltern sind über die Vergabe und die damit verfolgten Zwecke zu informieren.
Es ist von Vorteil, auf den vollständigen Namen zu verzichten und Abkürzungen zu benützen. Bei Bedenken oder auf Wunsch kann mit Pseudonymen gearbeitet werden.
Die Schülerinnen und Schüler sind in diesem Zusammenhang über den sicheren Umgang mit persönlichen Daten zu sensibilisieren.
Private Geräte / Bring Your Own Device (BYOD)
Werden private Geräte (Smartphones, Notebooks, Tablets) zur Erfüllung der schulischen Aufgaben eingesetzt, müssen die Daten mit geeigneten organisatorischen und technischen Massnahmen geschützt werden. Bei einer BYOD-Einführung sind viele Aspekte zu beachten. Falls BYOD in der Schule in Erwägung gezogen wird, sind die Empfehlungen zur Einführung von BYOD der Schulen der Sekundarstufe II auch für Volksschulen sehr hilfreich.
Sichere Passwörter
Sichere Passwörter sind ein wichtiger Teil beim Schutz des Zugriffs auf sensible Daten. Passwörter und PINs sind immer persönlich zu wählen und dürfen Drittpersonen nicht bekannt gegeben werden. Auf der Homepage der Datenschutzbeauftragte des Kantons Zürich können Passwörter schnell und einfach auf ihre Sicherheit überprüft werden.
VPN-Zugang
Für den Zugriff auf besonders schützenswerte Personendaten per VPN, beispielsweise auf Berichte der Erziehungsberatung, sind neben den üblichen Sicherheitsmassnahmen die folgenden Massnahmen erforderlich:
- Eine Zwei-Faktor-Authentisierung (beispielsweise mittels SMS-Code und Passwort, Chipkarte mit PIN usw.)
- Transport über das Internet nur mit einer sicheren Verschlüsselung
- Protokollierung und regelmässige Überprüfung der externen Zugriffe