Datenschutz vs. Datensicherheit

Datensicherheit bedeutet nicht automatisch Datenschutz

In der gegenwärtigen Krise suchen viele Schulen händeringend nach Möglichkeiten mit digitalen Unterrichtsmethoden den Schulalltag bestmöglich aufrechtzuerhalten. Hierbei zeigt sich, dass viele Bildungseinrichtungen mit der an sie gestellten Anforderung, ihren Unterricht ad hoc digital durchzuführen, überfordert sind.

In einer schon fast panikartigen Reaktion wurden viele Schulen gezwungen, sich mit allerlei verschiedenen digitalen Hilfsmitteln zu bewaffnen, um ihren Unterricht möglichst schnell digital durchführen zu können. Das Ergebnis ist dabei oft mehr als unbefriedigend. Hieran zeigt sich, dass die Digitalisierung der Schulen ohne ein klares technisch-pädagogisches Konzept nicht erfolgreich sein kann. Analoges Lernen kann nicht einfach eins zu eins digital abgebildet werden.

Dieses durch die äußeren Umstände bedingt häufig konzeptlose Vorgehen führt dazu, dass dem Thema Datenschutz oft nur eine geringe oder sogar keinerlei Bedeutung beigemessen wird. Anders lässt es sich nicht erklären, dass Schulen im Angesicht der Krise plötzlich Dienste wie WhatsApp oder Zoom zur Benutzung freigeben, obwohl diese offensichtlich gegen geltende Datenschutzrichtlinien wie das DSG und die DSGVO verstossen. Dies ist sicherlich auch der mangelnden Aufklärung der Lehrerschaft durch die Politik und die Schulbehörden geschuldet, Unwissenheit darf aber nicht zur Aussetzung des Datenschutzes führen!   

Oft werden die Begriffe Datensicherheit und Datenschutz miteinander verwechselt oder gar synonym verwendet. Dabei unterscheiden sich die zwei Begriffe elementar voneinander. Während es bei der Datensicherheit um den Schutz der Daten allgemein geht, sollen beim Datenschutz personenbezogene Daten vor Missbrauch geschützt werden. Die Datensicherheit wird mit Hilfe von technischen Lösungen gewährleistet. Der Datenschutz dagegen wird durch gesetzliche Vorschriften definiert.

So kann gesagt werden, dass Datensicherheit zwar eine Voraussetzung für den Datenschutz ist, sie aber nicht automatisch die Erfüllung aller Datenschutzrichtlinien bedeutet.

Datensicherheit

Die Datensicherheit kann in drei Punkte unterteilt werden:

• Zutrittsschutz: Vergleichbar mit einem Schloss an einer Tür
• Zugangsschutz: Wird durch ein Passwort geregelt, vergleichbar mit dem passenden Schlüssel für das Schloss
• Zugriffsschutz: Regelt die Berechtigung der Benutzung (Schlüsselinhaber, Firewall)

Den Kern der Datensicherheit bilden also Massnahmen, die den Schutz sämtlicher Daten vor Missbrauch (Kontrollierbarkeit), Verfälschung (Integrität), Verlust (Verfügbarkeit) und unberechtigter Zugriffe (Vertraulichkeit) gewährleisten. 

Datenschutz

Unter dem Begriff Datenschutz versteht man primär den Schutz der Persönlichkeit in Bezug auf den Umgang bzw. die Verarbeitung von persönlichen und personenbezogenen Daten. Es geht um die informelle Selbstbestimmung der Person, den Schutz der Privatsphäre. Es ist das individuelle Recht eines jeden Menschen, dass er grundsätzlich darüber entscheiden darf, welche persönlichen Daten wann und für wen zugänglich sind. Klare Richtlinien in Form von verbindlichen Gesetzen und Verordnungen regeln die Bedingungen.

In der Schweiz regelt das Datenschutzgesetz (DSG) und in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO) die Bestimmungen zum Schutz personenbezogener Daten, wobei sich die schweizerische Gesetzgebung an die europäische DSGVO anlehnt. Diese Gesetze regeln die Verarbeitung personenbezogener Daten durch private und öffentliche Datenverarbeiter mit dem Ziel einen besseren Schutz der Persönlichkeitsrechte jedes Einzelnen zu garantieren. Dies besagt im Kern, dass alle Informationen nur noch mit Zustimmung der betreffenden Person gesammelt und verarbeitet werden dürfen sowie die Zustimmung hierzu jederzeit widerrufen werden kann.

Konflikt unseres Datenschutzes mit dem US-CLOUD-Act

Mit der DSGVO und dem DSG haben wir also klare gesetzliche Grundlagen, auf denen unsere Privatsphäre geschützt werden soll. Jedoch wurde in den USA im Zusammenhang mit dem Patriot Act und dem Freedom Act im Jahre 2018 der CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) verabschiedet. Im CLOUD-Act werden IT-Dienstleister mit Sitz in den USA verpflichtet, bei behördlicher oder richterlicher Anordnung Daten auch dann herauszugeben, wenn diese außerhalb der USA gespeichert sind. Ein entsprechendes Rechtshilfeabkommen existiert weder zwischen der EU und den USA noch zwischen der Schweiz und den USA.

Dies stellt US-Firmen vor das Problem, dass sie sich entweder dem Recht ihres Heimatlandes widersetzen oder das Gesetz ihres Gastlandes brechen.

Die europäische Datenschutzgrundverordnung (DSGVO) verbietet zum Beispiel explizit die Übermittlung und Herausgabe von Daten an die Gerichte von Drittstaaten, wenn dies nicht im Rahmen eines Rechtshilfeabkommens geschieht (Art. 48 DSGVO). Auch das Schweizer Gesetz (Art. 61 des schweizerischen Datenschutzgesetzes DSG) setzt enge Richtlinien für eine Weitergabe von persönlichen Daten ins Ausland und fordert unter anderem eine gleichwertige Datenschutzgesetzgebung oder ein internationales Abkommen.

Somit entstehen ungewollt dann Konflikte mit dem Datenschutz, wenn Bildungseinrichtungen auf Cloud-Dienste von US-Anbietern zurückgreifen, da diese Anbieter dem US CLOUD-Act unterstellt sind. In seinem Rechtsgutachten «Der Digitalpakt Schule – eine datenschutzrechtliche Herausforderung» betont Dr. Eric Heitzer, dass die Herausgabepflicht von Daten nach US-amerikanischem Gesetz mit dem europäischen Datenschutz (DSGVO) kollidiert. So sind zwar die personenbezogenen Daten von Schülerinnen und Schülern in einer Cloud, wie sie bei Office365 von Microsoft integraler Bestandteil ist, im Bezug auf Datensicherheit sicher, aber in Bezug auf den Datenschutz eben nicht.

Der Education Cloud Online-Konfigurator

Wie können sich Schulen nun sicher sein, dass ihre Investitionen in die digitale Bildung nicht gegen bestehende Richtlinien zum Datenschutz verstossen und so die Digitalisierung der Schule zusätzliches Konfliktpotential generiert?

Wir von Education Cloud haben es uns zum Ziel gesetzt, das digitale Klassenzimmer konform mit der DSG und DSGVO anbieten zu können. Dazu arbeiten wir mit sorgfältig ausgesuchten Partnern zusammen.

Unser Online-Konfigurator unterstützt Schulen und Schulkommissionen, bzw. Schulträger bei der Digitalisierung und gibt erste technische und pädagogische Anhaltspunkte für ein funktionierendes digitales Klassenzimmer. Über die Konfiguration hinaus beraten und helfen wir Schulen bei der Ausarbeitung des technisch-pädagogischen Einsatzkonzepts für den sinnvollen Einsatz digitaler Geräte. Zudem unterstützen wir die Schulen und Schulträger in Deutschland bei der Erstellung des Medienentwicklungsplans sowie bei der Antragsstellung im Rahmen des DigitalPakt Schule.

Alles konform mit dem DSG und der DSGVO.