Als Schule stellen wir immer wieder fest, dass der Umgang mit Passwörtern für Lehrpersonen, Schülerinnen und Schüler wie auch für das Schulsekretariat eine Herausforderung darstellt. Welches sind die wichtigsten Punkte beim Passwortmanagement?

Ein sicherer Umgang mit Passwörtern ist in Schulen von grosser Bedeutung. Nicht nur im Umgang mit sensitiven Daten, sondern allgemein ist es wichtig, Daten von Lehrpersonen, Schülerinnen und Schülern sowie dem Schulsekretariat zu schützen. Die wichtigsten Punkte, die es beim Passwortmanagement zu beachten gilt, sind:

Verwendung starker Passwörter 
Passwörter sollten aus mindestens acht Zeichen bestehen, wobei 12 Zeichen noch sicherer sind. Sie sollten eine Kombination aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Vermeiden Sie einfache oder leicht zu erratende Passwörter wie «123456», «password» oder Namen von Familienmitgliedern.

Regelmässiger Wechsel der Passwörter 
Passwörter sollten regelmässig geändert werden, um das Risiko eines Missbrauchs zu minimieren. Zudem sollten alte Passwörter nicht wiederverwendet werden.

Keine Mehrfachverwendung von Passwörtern 
Dasselbe Passwort sollte nicht für mehrere Konten verwendet werden. So wird das Risiko verringert, dass bei einem erfolgreichen Angriff auf ein Konto, auch andere Konten kompromittiert werden.

Passwort-Merksätze als Hilfestellung 
Um sich komplexe Passwörter besser merken zu können, kann ein Passwort-Merksatz oder eine Passphrase verwendet werden. Bei einem Passwort-Merksatz wird ein Satz als Grundlage für das Passwort genommen, z.B. «Um8-uHrOEffne!chmeine3M@ils?». Eine Passphrase ist eine längere Zeichenkette, die aus Wörtern und Begriffen besteht. Wenn ein System kurze Passwörter verlangt, können die ersten Buchstaben der Wörter eines Satzes verwendet werden. Zum Beispiel: «Mein Hund liebt es, im Garten zu spielen» wird zu «MHleiGz».

Schutz der E-Mail-Konten 
E-Mail-Konten sollten besonders gut geschützt sein, da darüber Passwortänderungen für andere Dienste initiiert werden können. Komplexe Passwörter und regelmässige Änderungen sind besonders wichtig.

Verwendung von Zwei-Faktor-Authentifizierung  
Wo möglich, sollte die Zwei-Faktor-Authentifizierung (2FA) aktiviert werden. Diese verlangt neben dem Passwort einen zusätzlichen Code, der per SMS oder über eine Applikation gesendet wird.

Sichere Aufbewahrung von Passwörtern 
Passwörter sollten nicht ungeschützt gespeichert werden. Verschlüsselte Passwort-Manager ermöglichen eine sichere, zentrale Verwaltung von Passwörtern und bieten die Möglichkeit, Berechtigungen gezielt zu vergeben. Achten Sie darauf, dass der Zugang zum Passwort-Manager selbst durch ein starkes Passwort gesichert ist.

Bewusstsein und Schulung 
Lehrpersonen, Schülerinnen und Schüler sowie das Schulsekretariat sollten regelmässig zu sicherem Passwortmanagement informiert und geschult werden.

Das Bundesamt für Cybersicherheit (BACS) gibt weitere Tipps zum Schutz der Konten vor fremden Zugriffen wie auch zur Passwortsicherheit und bietet eine Grundausbildung im Bereich Cybersicherheit für Behörden. Um einschätzen zu können, was es braucht, um ein sicheres Passwort zu generieren, bietet sich der Passwortcheck an. Bei der Verwendung von Passwortcheck wird das eingegebene Passwort lokal überprüft und nie an den Server übermittelt.

Eine Lehrperson hat vorgeschlagen, dass Lernende im Unterricht fiktive Daten für die Registrierung bei digitalen Anwendungen verwenden sollen, um ihre Daten zu schützen (beispielsweise erfundene Namen, Geburtstage). Ist diese Praxis rechtlich zulässig und entspricht sie den Datenschutzbestimmungen?

In der Schweiz gibt es kein ausdrückliches Recht auf Anonymität. Auch existiert zur Zeit kein entsprechender Gerichtsentscheid. Deswegen betrachten wir im vorliegenden Fall die europäische Datenschutzgrundverordnung (DSGVO), die sich, wie in der Schweiz, auch nach dem Gebot der Datensparsamkeit richtet.

Gemäss Datenschutzgrundverordnung muss eine pseudonyme Nutzung sozialer Netzwerke ausdrücklich ermöglicht werden (Art. 5 Abs. 1 lit. c DSGVO), soweit nicht Klarnamen für die Diensterbringung erforderlich sind. Der Bundesgerichtshof (BGH) in Deutschland hat sich zudem dafür ausgesprochen, dass Nutzerinnen und Nutzer unter einem Pseudonym auf einer Plattform auftreten dürfen. Der richtige Name muss nur gegenüber dem Plattformbetreiber – z. B. Meta – genannt werden. Wenn alle verpflichtet wären, in sozialen Netzwerken unter ihrem Klarnamen aufzutreten, dann würden weitaus mehr Datenspuren im Internet erzeugt. Gegen eine gesetzlich vorgeschriebene Klarnamenpflicht spricht daher bereits das Gebot der Datensparsamkeit. Der Gerichtsentscheid in Deutschland betraf soziale Netzwerke. Er kann jedoch gleichermassen auf digitale Anwendungen übertragen werden.

Auch in der Schweiz gilt, wie erwähnt, das Gebot der Datensparsamkeit. Dieses ist beispielsweise im Schweizer Datenschutzgesetz (Art. 6 Abs. 2 DSG) oder in den kantonalen Datenschutzgesetzen festgehalten. In Anbetracht derselben Praxis und derselben Umstände, sollte es auch für die Schweiz genügen, dass einzig die digitale Anwendung oder das soziale Netzwerk die wahre Identität der Person kennt, um Missbräuche zu verhindern. Für die Nutzerinnen und Nutzer wäre es grundsätzlich freigestellt, ob sie Pseudonyme verwenden wollen. Es ist somit davon auszugehen, dass die Verwendung von Pseudonymen bei der Registrierung von Diensten zulässig ist.

Eine weitere Lösung bietet Edulog. Edulog ermöglicht den Zugriff auf mehrere Online-Dienste mit Hilfe eines Pseudonyms. Dadurch wird ein sicherer Zugang zu Online-Diensten gewährleistet und die digitalen Identitäten geschützt. 

Unsere Schule plant die Beschaffung einer neuen Softwareanwendung. Bei der Beschaffung möchten wir sicherstellen, dass der Datenschutz gewährleistet ist. Müssen wir explizit festlegen, dass die Daten nicht durch Dritte bearbeitet werden dürfen? Welche weiteren Sicherheitsmassnahmen sind nötig?

Digitale Anwendungen können eine Vielzahl personenbezogener Daten von Lernenden, Lehrpersonen und weiteren Schulmitarbeitenden bearbeiten. Insbesondere bei selbst beschafften Applikationen lohnt sich eine datenschutzrechtliche Abklärung. Wichtig ist es, die Datenschutzrisiken abschätzen zu können. Ist die Anwendung an Edulog angeschlossen, so ist ein datenschutzkonformer Zugang gewährleistet. 

Um sicherzustellen, dass der Datenschutz eingehalten wird, gilt es in einem ersten Schritt zu erfassen, welche Daten von welchen Personen in welchem Umfang mit welchem Schutzbedarf bearbeitet werden. Zu diesem Zweck ist es hilfreich, ein Bearbeitungsverzeichnis zu erstellen.

In einem nächsten Schritt empfiehlt es sich, die Anwendung auf datenschutz- und vertragsrechtliche Aspekte sowie auf Informationssicherheit zu prüfen. Unsere Applikationscheckliste ermöglicht es Schulen, potenzielle Datenschutzrisiken frühzeitig und schnell zu erkennen. Meist sind in der Datenschutzerklärung und in den Nutzungs- und allgemeinen Geschäftsbedingungen (AGB) der Anbieterin die notwendigen Informationen zu finden.

Ergeben sich aus der Analyse wenig bis keine Risiken, steht einer Nutzung der Anwendung nichts im Weg. Ergeben sich aus der Prüfung jedoch mittlere oder hohe Risiken, sind vor einer Nutzung der zu beschaffenden Lösung detailliertere Abklärungen notwendig. Ansätze hierzu können sein:

Ergeben die weiteren Abklärungen, dass ein datenschutzkonformer Einsatz grundsätzlich zulässig ist, sind technische und organisatorische Massnahmen (TOM) zur Risikominderung zu definieren und umzusetzen. Werden beispielsweise entsprechende Rechte und Pflichten aus den kantonalen Allgemeinen Geschäftsbedingungen für Informationssicherheit und den Datenschutz (AGB ISDS) vertraglich auf die Anbieterin überbunden, so muss nicht mehr explizit erwähnt werden, dass die Daten nicht durch Dritte bearbeitet werden dürfen (vgl. AGBs ISDS des Kantons Zürich und Kantons Bern). Weiter können Geheimhaltungspflichen, Werbung und anwendbares Recht und Gerichtsstand festgelegt werden.

Diese vertraglich vereinbarten Bestimmungen sind im Hinblick auf technische und organisatorische Massnahmen ein erster Schritt. In Bezug auf weitere Sicherheitsmassnahmen sind allgemeingültige Aussagen schwierig zu treffen. Jede Applikation und deren Nutzungsszenario ist im Einzelfall zu prüfen. Die Datenschutzbeauftragte des Kantons Zürich bietet beispielsweise einen Leitfaden für Informationssicherheit und weitere Informationen für die Volksschule an.

Als Schule interessieren wir uns für eine Anwendung, die DSGVO-konform ist. Wir möchten sicherstellen, dass diese auch die Schweizer Gesetzgebung abdeckt. Können wir davon ausgehen, dass eine Anwendung, die die europäische Gesetzgebung einhält, auch die Schweizer Gesetze abdeckt oder müssen wir weitere rechtliche Abklärungen treffen? 

Vorab ist es wichtig zu wissen, dass für öffentlich-rechtliche Schulen die kantonalen Datenschutzgesetze gelten und nicht das Bundesgesetz über den Datenschutz (DSG). Dennoch verweisen wir auf die Bestimmungen des DSG, da die Regelungen häufig in die kantonalen Erlasse aufgenommen wurden.

Das schweizerische Datenschutzgesetz ist nicht deckungsgleich mit der europäischen Datenschutzgrundverordnung. Oft geht das revidierte Datenschutzgesetz weniger weit, ist weniger formalistisch oder weniger detailliert. In einigen Fällen gibt das Schweizer Datenschutzgesetz jedoch höhere Anforderungen vor. Ist eine Anwendung DSGVO-konform, so kann mit kleinem Aufwand geprüft werden, ob die Anwendung auch das Schweizer (oder die kantonalen Datenschutzgesetze) einhält.

Praxisrelevante Unterschiede finden sich in folgenden Bereichen:

  • Informationspflicht: Zur Erfüllung der Informationspflicht und im Sinne der Transparenz müsste die Schule gemäss DSG bei einer Datenbekanntgabe ins Ausland den betroffenen Personen das Empfängerland mitteilen. Eine weitere Möglichkeit ist, dass das Schulgesetz die Übermittlung ins Ausland bereits vorsieht.
  • Auftragsdatenbearbeitung: Wenn die Unternehmen oder Bundesbehörden eine Auftragsdatenbearbeitung in Anspruch nehmen (z.B. Auslagerung in eine Cloud), muss der Auftragnehmer die Datensicherheit ebenso gewährleisten können wie der Auftraggeber. Die Anforderungen an eine Auftragsdatenbearbeitung gehen im DSG weniger weit als die Vorgaben gemäss DSGVO. Verträge mit Auftragsbearbeitenden müssen somit nur redaktionell an das DSG angepasst werden, beispielsweise durch Verweisen auf die entsprechenden Artikel.
  • Meldung einer Datensicherheitsverletzung: Nach dem DSG muss eine Verletzung der Datensicherheit weniger rasch und nach leicht anderen Kriterien gemeldet werden als nach der DSGVO. Allerdings sind die Definitionen von besonders schützenswerten Personendaten im DSG weiter gefasst als in der DSGVO. Diese Unterschiede können je nach Schule und Anwendung eine Rolle spielen.

In unseren Beiträgen «Folgen des neuen Datenschutzgesetzes für Schulen» wie auch «Folgen des neuen Datenschutzgesetzes für Private und Bundesbehörden» haben wir uns mit den Anpassungen des revidierten Schweizer Datenschutzgesetzes auseinandergesetzt.

Die Passwortverwaltung unserer Schülerinnen und Schüler ist für unsere Schule eine Herausforderung. Insbesondere die korrekte Vorgehensweise beim Umgang mit «vergessenen» Passwörtern ist für Lehrpersonen wie auch für das Schulsekretariat mit hohem administrativen Aufwand verbunden. Auch die Zugriffsberechtigungen von Lehrpersonen und Schulverwaltung auf die Passwörter der Schülerinnen und Schüler sind unklar. Unser Passwortmanagement soll sicher und datenschutzkonform sein und den Schulalltag erleichtern. Wie gehen wir am Besten vor?

Um ein sicheres und datenschutzkonformes Passwortmanagement an Schulen zu gewährleisten, können verschiedene technische und organisatorische Massnahmen (TOM) ergriffen werden. Mögliche Massnahmen sind:

  • Erarbeitung eines Rollen- und Berechtigungskonzepts: Es ist ratsam, in den entsprechenden Anwendungen festzulegen, welche Personen Zugriff auf die Passwortdokumentationen benötigen (z.B. Schulleitung, Sekretariat, IT-Verantwortliche, Lehrpersonen).
  • Erstellung einer Weisung zu den Verantwortlichkeiten: Eine schriftliche Weisung sollte die Verantwortlichkeiten, Rechte und Pflichten der zugangsberechtigten Personen klar festhalten und von diesen unterzeichnet werden.
  • Zugangsbeschränkungen: Der Zugang zu Passwortdokumenten sollte auf die im Rollen- und Berechtigungs-Konzept festgelegten Personenkreis beschränkt werden. Dies kann entweder durch Rechtevergabe in der Dateiablage oder durch Verschlüsselung der Passwortdokumente erfolgen.
  • Verwaltung der Passwörter durch Lehrpersonen: Eine weitere Möglichkeit ist die Verwaltung der Passwörter durch Lehrpersonen. Auch hier ist am Besten, ein Rollen- und Berechtigungskonzept zu erstellen.
  • Passwortverwaltung über einen separaten Dienst: Passwörter können über einen separaten Dienst, entweder online oder lokal, verwaltet werden. Passwortmanager bieten eine gute Passwortübersicht sowie Verwaltungsmöglichkeiten.

Durch die Implementierung dieser Massnahmen kann eine sichere und datenschutzkonforme Verwaltung von Kennwörtern an Schulen gewährleistet werden. Je nach Dienst kann das Passwort zudem eigenständig zurückgesetzt werden. Dies hängt von den technischen Möglichkeiten ab.

Der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bietet einen Leitfaden zu den technischen und organisatorischen Massnahmen. Die Datenschutzbeauftragte des Kantons Zürich thematisiert im Leitfaden Microsoft 365 im Bildungsbereich das Rollen- und Berechtigungskonzept (vgl. Abschnitt 3.4.4) und informiert zu Passwortmanagern. Eine Übersicht über die Kennwortzurücksetzung bietet Microsoft 365 (siehe auch diese Praxisanleitung). 

Wie können wir als Schule sicherstellen, dass die Entsorgung von Geräten wie Computern und Tablets datenschutzkonform und fachgerecht erfolgt? Was ist zusätzlich zu beachten, wenn wir die Geräte an andere Institutionen weitergeben wollen?

Auch bei der Entsorgung von Altgeräten, insbesondere bei der Weitergabe an Dritte ist der Datenschutz zu gewährleisten.

In der Regel erfolgt die Entsorgung von Geräten über Swico, ein nicht gewinnorientiertes Rücknahmesystem für ausgediente Elektro- und Elektronikgeräte aus den Bereichen Informatik, Unterhaltungselektronik, Büro, Kommunikation, grafische Industrie sowie Mess- und Medizinaltechnik.

Schulen können Altgeräte ab einer Menge von 250 Kilogramm oder Grossgeräte ab einer Mindesthöhe von 80 Zentimetern kostenlos abholen lassen. Alle Swico-Vertragspartner sind verpflichtet, die Daten auf den abgegebenen Geräten vor unbefugtem Auslesen zu schützen. Weitere Informationen finden Sie auf der Website von Swico.

Um den Datenschutz zu gewährleisten, empfiehlt es sich, unabhängig vom Entsorgungsunternehmen, das Vorgehen idealerweise vor Auftragserteilung vertraglich oder zumindest schriftlich festzuhalten. Zudem sollte nach der Entsorgung ein entsprechendes Protokoll verlangt werden.

Die Art der Löschung hängt vom Gerätetyp und vom Betriebssystem ab. Kostenlose Anleitungen hierzu sind auf seriösen IT-Medienportalen im Internet zu finden. Bei der Verwendung von Löschprogrammen bleibt jedoch ein Restrisiko, da einige Speicherbereiche möglicherweise nicht erfasst werden. Aus diesem Grund wird empfohlen, vor der Weitergabe von Geräten alle Speicher zu demontieren und zu entsorgen.

Dies gewährleistet nicht nur den Datenschutz, sondern verhindert auch die ungewollte Weitergabe eigener Software-Lizenzen. Auch wenn Lehrpersonen die Geräte beruflich nutzen, muss die Schule in jedem Fall für eine sichere Löschung sorgen.

Sollen die Geräte aus Gründen der Nachhaltigkeit weitergegeben oder weiterverkauft werden, empfiehlt sich die Zusammenarbeit mit einem auf den Wiederverkauf von IT-Geräten spezialisierten Unternehmen, um die ordnungsgemässe Löschung und datenschutzkonforme Weitergabe der Geräte sicherzustellen.

Was ändert sich mit der Einführung des nDSG am 1. September 2023 für meine Schule? Muss ich als Schulleiterin selbst aktiv werden und/oder unterstützt mich eine andere Stelle?

Am 1. September 2023 ist das neue Datenschutzgesetz des Bundes in Kraft getreten (nDSG). Dieses ist für Bundesbehörden und Private anwendbar, nicht jedoch für kantonale und kommunale Stellen – wie es öffentliche Schulen darstellen. Für öffentliche Schulen gilt primär das jeweilige kantonale Datenschutzgesetz.

Am besten ist es, auf Gemeindeebene zu prüfen, ob eine Schule etwas (z.B. die Datenschutzerklärung auf ihrer Webseite) anpassen muss (siehe auch unser Beitrag «Folgen des neuen Datenschutzgesetzes für Schulen»).

Welche wesentlichen Änderungen müssen wir als Privatschule unter dem neuen Datenschutzgesetz beachten?

Am 1. September 2023 ist das revidierte Bundesgesetz über den Datenschutz in Kraft getreten (neues Datenschutzgesetz). Dieses ist nur für Bundesorgane und private Personen (inkl. Unternehmen) anwendbar. Für Bundesbehörden und Private gelten im Wesentlichen folgende Änderungen:

  • Ausweitung der Informationspflichten: Es muss unter anderen eine Datenschutzerklärung erstellt werden, die insbesondere den Bearbeitungszweck und die verantwortliche Person mit deren Kontaktdaten nennt.
  • Neu gibt es eine Pflicht, ein Datenbearbeitungsverzeichnis zu erfassen (mit Ausnahmen).
  • Die Sanktionen wurden verschärft, unter anderen gibt es neu Bussen von bis zu CHF 250'000.
  • Bei Verletzung der Datensicherheit mit voraussichtlich hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person muss die Privatschule (z.B. durch die Schulleitung oder verantwortliche Person) den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) so rasch wie möglich informieren.

Als Lehrperson würde ich gerne künstliche Intelligenz (KI) einsetzen, um die Arbeiten meiner Schülerinnen und Schüler zu beurteilen. Was muss ich aus rechtlicher Sicht beachten?

Wenn Sie als Lehrperson KI einsetzen möchten, um Arbeiten zu bewerten, müssen Sie neben den datenschutzrechtlichen auch die urheberrechtlichen Bestimmungen einhalten. Dies bedeutet, dass Sie zum Beispiel keine schöpferischen Daten von Lernenden in ChatGPT eingeben dürfen. Auch dürfen KI-Systeme bei der Bewertung nur als Hilfsmittel eingesetzt werden. Als Lehrperson sind Sie weiterhin verpflichtet, das Resultat gemäss Bewertungsraster zu überprüfen.

Umfassende Informationen zu KI/ChatGPT bietet der Digital Learning Hub des Kantons Zürich. Unter anderem erarbeitete der Digital Learning Hub auch Handreichungen und Empfehlungen für Schulen, Schülerinnen und Schüler und Lehrpersonen zum Einsatz von KI bei Vertiefungs- und Abschlussarbeiten.

Weitere Informationen im Educa Dossier «KI in der Bildung»

Fragen erwünscht

Haben Sie Fragen zu Datennutzung und Datenschutz, die hier nicht beantwortet werden? Schicken Sie uns Ihre Anfrage.