Wie gut wurde Ihrer Meinung nach der Datenschutz während dem Lockdown in Bildungsinstitutionen gewährleistet? Und sollte es in der Zukunft zu einer ähnlichen Situation kommen – was sollte man aus Sicht der Bildungseinrichtungen besser machen?

Cécile Kerboas (C.K.): Angesichts der aktuellen Krise war der Bildungsbereich gezwungen, sich neu zu erfinden und dringend neue Lösungen zu finden, um die pädagogische Kontinuität in all diesen Aspekten zu gewährleisten (Fernunterricht, Anwesenheitskontrolle in der obligatorischen Schule, Überprüfung der Lernerfolge usw.). Wie in den Medien erwähnt wurde, haben einige von den Institutionen eingesetzte Lösungen zu Recht Fragen aus der Sicht des Datenschutzes aufgeworfen. Die Einhaltung der Datenschutzbestimmungen konnte nicht immer garantiert werden. In einigen Fällen war sogar das Eingreifen der zuständigen Behörden erforderlich. Es ist jedoch wichtig, darauf hinzuweisen, dass Lehrpersonen, Institutionen und die betreffenden Abteilungen regelmässig die Meinung unserer Behörde eingeholt haben. Was die Zukunft anbelangt, so sollte das Auftreten einer ähnlichen Situation vorweggenommen werden, damit konforme Lösungen eingesetzt werden können. Die Regeln für die Auslagerung sind komplex, und es ist schwierig, wenn nicht gar unmöglich, eine Lösung in einem Notfall richtig einzuschätzen. Dies ist umso wichtiger, als die Frage des Fernunterrichts nicht auf die aktuelle Krise beschränkt ist, sondern Teil eines globaleren Ansatzes für den digitalen Wandel ist.

Dominika Blonski (D.B.): Die Situation kam für uns alle überraschend und unvorhergesehen. Sie stellte daher für alle auf ganz verschiedenen Ebenen eine Herausforderung dar und es entstand eine grosse Unsicherheit. In den Schulen war der Fernunterricht bis zu diesem Zeitpunkt nicht vorgesehen, musste aber dennoch rasch angeboten werden. Es zeigte sich dabei, dass ganz grundsätzlich eine Sensibilisierung für datenschutzrechtliche Fragen vorhanden war, aber auch, dass viele bei technischen Fragen an die Grenzen kamen. Diese Erfahrungen sollten wir für die Zukunft nutzen: Die Strukturen sollten gestärkt und die Lehrpersonen besser unterstützt werden – nicht nur in Krisensituationen. Es ist jetzt an der Zeit, zu prüfen, was wie umgesetzt werden darf. Welche Anwendungen dürfen für welche Zwecke eingesetzt werden? Welche Daten dürfen wie übermittelt werden? Wenn klar ist, was wie gemacht werden darf und was nicht, sind in einer zukünftigen ähnlichen Situation insbesondere auch die Lehrpersonen entlastet.

Das öffentliche Leben kommt allmählich zur Normalität zurück. D. h. Software-Lösungen, die während dem Lockdown aufgrund der Risikoabwägung als zulässig bewertet wurden, unterstehen jetzt wieder den normalen Anforderungen – was heisst das konkret für Bildungseinrichtungen?

C.K.: Konkret bedeutet dies, dass Software-Lösungen, die während des Lockdowns eingesetzt wurden, neu evaluiert werden müssen. Je nach den Ergebnissen werden einige Anwendungen beibehalten, während andere aufgegeben werden müssen. Es ist auch möglich, dass einige Anwendungen weiterhin eingesetzt werden, jedoch in einem anderen Rahmen als dem ursprünglich im Zusammenhang mit der Krise geplanten. Es ist in der Tat wichtig, daran zu erinnern, dass die Frage der Übereinstimmung einer Lösung immer im Hinblick auf den Gebrauch, der von ihr gemacht wird, und die Vertragsbedingungen, die sie regeln, analysiert werden muss. Daher sind die Nutzungsarten und die Art der verarbeiteten Daten im Zusammenhang mit der Analyse der Einhaltung der Vorschriften, insbesondere unter dem Gesichtspunkt der Sicherheit, von erheblicher Bedeutung.

D.B.: Es sind nicht die Anforderungen, die sich in dieser Zeit veränderten, sondern die Risikoabwägung ist nun eine andere. Die datenschutzrechtlichen und -technischen Anforderungen gelten immer – mit oder ohne Lockdown. Während der Krisensituation konnte eine Schule bei der Risikoabwägung vor dem Einsatz eines Tools zum Schluss kommen, dass der Einsatz vorübergehend möglich ist. Nach der akuten Krisensituation kann eine Risikoabwägung allerdings zu einem anderen Schluss führen. Die Verantwortung liegt in jedem Fall bei der Schule, das die Dienste und Produkte einsetzt. Bei der Entscheidung ist zu berücksichtigen, welche Art von Personendaten bearbeitet wird, ob und an wen die Daten weitergegeben werden, wie und wo die Daten gespeichert werden, welches Recht im Streitfall Anwendung findet und wo dieses durchgesetzt werden kann. Weiter sind die technischen Aspekte zu evaluieren. Hier stellen sich beispielsweise Fragen dazu, ob eine Verschlüsselung der Personendaten möglich ist und wo sich das Schlüsselmanagement befindet, ob eine 2-Faktor-Authentifizierung vorgesehen ist oder ob Tracking-Tools oder Cookies eingesetzt werden.

Wie beurteilen Sie allgemein die Gewährleistung des Datenschutzes in Bildungsinstitutionen und wo sehen Sie Herausforderungen für die Zukunft?

C.K.: Verbesserungen vornehmen, unabhängig von der Frage der verwendeten Instrumente. In der Zukunft werden die Institutionen vor vielen Herausforderungen stehen, insbesondere in Bezug auf den Fernunterricht und die digitale Ausbildung von Lehrpersonen und Studierenden. Auch wenn der digitale Wandel von wesentlicher Bedeutung ist, wird es notwendig sein, die Einhaltung der Datenschutzgesetze zu gewährleisten. Wie in vielen Bereichen kann jedoch mit der ständig zunehmenden Entwicklung digitaler Dienstleistungsangebote die Versuchung gross sein, leistungsstarke Werkzeuge zu verwenden, die von Dritten zur Verfügung gestellt werden und die eine massive und unverhältnismässige Erhebung personenbezogener Daten ermöglichen. Die Sensibilität der Daten, um die es hier geht, sollte jedoch die Bildungsakteure zur Wachsamkeit auffordern.

D.B.: Die Sensibilisierung für Datenschutzfragen nimmt zu. Bei der konkreten Umsetzung bleiben aber teilweise Fragen noch offen. Die Digitalisierung stellt eine grössere Herausforderung dar. Sie erfordert Ressourcen, sowohl finanzieller Art wie auch beim Know-How, die für kleinere Institution kaum zu stemmen sind.