Datenschutz – keine Panik? Keine Panik!

Im Umgang mit Daten herrscht an Schulen oft Unsicherheit. Was darf man? Was darf man nicht? Welche Risiken bestehen in der Cloud?
Danny Frischknecht

Eigentlich ist Datenschutz gar nicht so schwierig und die meisten Schulen verhalten sich schon relativ gut, was den Schutz von Daten anbelangt.

Im folgenden Beitrag zeige ich ein Vorgehen auf, das zwar einigen Aufwand bedeutet, aber hilft, einen Datenschutz zu gewährleisten, damit die Verantwortlichen ruhig schlafen können.

Datenklassifizierung

Zuerst müssen Sie eine Übersicht über die Daten Ihrer Schule erhalten. Dann müssen diese Daten klassifiziert werden. Welche Daten sind besonders schützenswert, welche schützenswert und welche unbedenklich?
Bei Unsicherheiten; allenfalls unterstützt Sie der Datenschutzbeauftragte Ihres Kantones oder Hochschulen und Verbände bieten solche Angebote.

Ablageort definieren

In den meisten Schulen stehen drei Datenablagen zur Verfügung:

Eine Schulverwaltungssoftware, welche üblicherweise vom Kanton zur Verfügung gestellt wird. Diese Lösung gilt als sicher und kann auch besonders schützenswerte Daten lagern und bearbeiten.
Eine Schuladministrationslösung. Das ist eine Software, welche die Ansprüche der Schulen in den Bereichen Leitung und Unterricht abdeckt. Bekannte Lösungen sind jene von CMI, ESCOLA oder PUPIL. Auch diese Plattformen gelten als sicher für die Lagerung von schützenswerten und besonders schützenswerten Daten.
Eine Datenablage, entweder «on premise», also lokal oder in der Cloud. Lokale Ablagen eignen sich aus technischer Sicht nur bedingt für sensible Daten. Eine hohe Sicherheit ist technisch sehr aufwändig und teuer.
Cloudablagen sind technisch sicherer, insbesondere bei grossen Anbietern, sogenannten «Hyperscalern». Datenschutzbeauftragte setzen Fragezeichen, insbesondere wegen gesetzlicher Grundlagen in anderen Staaten.

Wenn Sie ihre Daten klassifiziert haben und sie entsprechend den aufgeführten Ablagen zuordnen, sind Sie datenschutztechnisch bereits auf der guten Seite.

Ablagestruktur

Ablagen sind immer nur so gut, wie das Rechtemanagement. Hier wird definiert, wer auf welche Dokumente oder Ordner zugreifen darf und wer nicht.
Eine sauber definierte Zugriffsstruktur für zu einer hohen Sicherheit innerhalb der Ablage. Das bedeutet, dass auch Daten gut geschützt sind, die vielleicht nicht in der Cloud liegen sollten.

Mitarbeitende sensibilisieren und schulen

Das grösste Datenschutz – und Sicherheitsrisiko ist immer der Mensch. Entweder, weil wir nicht wissen, dass etwas gefährlich ist oder weil wir die Gefahr unterschätzen.
Werden Mitarbeiterinnen und Mitarbeiter geschult und regelmässig «getestet» (phishing-Kampagnen…) erhöht das die Sicherheitslage meist stärker als technische Lösungen.

awareness data loss data security datanschutz datensicherheit

M	D	M	D	F	S	S
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28