Das Bundesgesetz über den Datenschutz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, deren Personendaten bearbeitet werden. Das geltende Gesetz stammt von 1992, als das Internet noch nicht kommerziell genutzt wurde und die digitale Realität von heute nicht vorhersehbar war. Das neue Datenschutzgesetz trägt den veränderten Bedingungen Rechnung. Weiter erfüllt das nDSG auch den Zweck der Harmonisierung des Datenschutzgesetzes mit der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Für die Aufsicht, ob die bundesrechtlichen Datenschutzvorschriften eingehalten werden, ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) zuständig.

Wichtige Unterscheidung zwischen Bundes- und Kantonsrecht im Bereich des Datenschutzes

Das neue Datenschutzgesetz des Bundes gilt – wie bis anhin das bestehende Datenschutzgesetz – nur für das Bearbeiten von Daten durch Bundesbehörden und private Personen (inkl. Unternehmen), nicht jedoch durch kantonale und kommunale Stellen. Bei öffentlichen Schulen handelt es sich um kantonale oder kommunale Institutionen. Somit gilt für sie das jeweilige kantonale Datenschutzgesetz, zum Beispiel im Kanton Bern das Datenschutzgesetz (KDSG) oder im Kanton Zürich das Gesetz über die Information und den Datenschutz (IDG).

Massnahmen an öffentlichen Schulen

Per se sind die öffentlichen Schulen somit nicht vom neuen Datenschutzgesetz betroffen. Nichtsdestotrotz lohnt es sich, dem anwendbaren kantonalen Datenschutzrecht genügend Aufmerksamkeit zu schenken sowie offene Fragen anzugehen und Lösungen entsprechend umzusetzen.

Je nach Schule auf Volksschulstufe und Sekundarstufe II (Berufsbildung oder Gymnasium) ist auf Gemeinde- oder Kantonsebene zu prüfen, ob in Bezug auf den Datenschutz in der Schule etwas angepasst werden muss. Eine mögliche Massnahme ist zum Beispiel eine freiwillige Ernennung einer Datenschutzberaterin oder eines Datenschutzberaters durch die Schule.

Datenbearbeitung durch private Unternehmen

Für Privatschulen, Ed-Tech-Unternehmen oder ähnliche Institutionen gilt das neue Datenschutzgesetz. In diesem Zusammenhang gibt es eine Reihe von wichtigen Änderungen, die beachtet werden müssen. Die wichtigsten sind:

  • Erweiterter Umfang: Neu gelten auch genetische und biometrische Daten als besonders schützenswert.
  • Verbesserte Transparenz: Klare Informationen über jede Datenbeschaffung, die Identität und die Kontaktdaten der für die Datenbearbeitung verantwortlichen Person, den Bearbeitungszweck, die (Kategorien von) Empfangenden und das Empfängerland bei Datenexport ins Ausland sowie klare Kommunikation der Rechte und Möglichkeiten von Nutzerinnen und Nutzern.
  • Verzeichnis der Bearbeitungstätigkeiten: Unternehmen sind verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen mit den vorgeschriebenen Angaben. Dafür entfällt die Pflicht zur Führung eines Verzeichnisses der Datensammlungen.
  • Datenschutz-Folgenabschätzung (DSFA): Unternehmen sind neu verpflichtet, eine (dokumentierte) Datenschutz-Folgenabschätzung durchzuführen, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt.
  • Privacy by Design und by Default: Die aktuellen Datenschutz- und Bearbeitungsgrundsätze müssen bereits ab Beginn, das heisst schon in die Planung und das Design von Applikationen, einfliessen.
  • Profiling: Das nDSG regelt auch das Profiling, das heisst die automatisierte Datenbearbeitung, um bestimmte persönliche Aspekte einer Person wie wirtschaftliche Lage, Gesundheit, Interessen, Verhalten, Aufenthaltsort usw. zu bewerten. Das nDSG sieht im Unterschied zur DSGVO keine allgemeine Pflicht zur Einholung einer Einwilligung vor. Diese besteht nur bei Profiling mit hohem Risiko.
  • Härtere Konsequenzen: Der EDÖB hat mehr Befugnisse, Sanktionen gegenüber fehlbaren Unternehmen rascher durchzusetzen. Insgesamt gelten strengere Strafbestimmungen.
  • Meldepflicht: Umgehende Meldung von Verletzungen der Datensicherheit an den EDÖB.

Strafrechtliche Sanktionen

Im neuen Datenschutzgesetz gelten höhere Anforderungen an die Strafregelungen und Sanktionen. Ausserdem fallen Bussen im Vergleich zur DSGVO der EU weniger streng aus.

Hilfestellungen bezüglich Datenschutzrisiken

Im Rahmen der Entwicklung einer Datennutzungspolitik eruieren wir den Unterstützungsbedarf im Bildungssystem beim Erkennen und Bewerten von Datenschutzrisiken. Wir stellen zwei Hilfsmittel zur Verfügung, mit denen Schulen Datenschutzrisiken identifizieren und das Datenschutzniveau gezielt verbessern können. Dabei werden zwei Perspektiven betrachtet: eine datenorientierte mit dem «Bearbeitungsverzeichnis» und eine anwendungsorientierte mit einer «Applikationscheckliste». 

Des Weiteren betreiben wir eine Anlaufstelle für Fragen im Umgang mit Daten. Wir unterstützen Schulen und Bildungsverwaltung in den Bereichen Datennutzung und Datenschutz. In diesem Rahmen haben wir auch bereits Fragen zum neuen Datenschutzgesetz beantwortet. Verschiedene Kantone bieten zudem Informationsmaterial zum Datenschutz an.

ähnliche Beiträge

Die vierte Folge der Podcast-Serie «Daten im digitalen Bildungsraum» thematisiert die Befragung zur «Digitalisierung in der Schweizer Bildung». Anhand konkreter Beispiele wird klar, wie das Schliessen von Datenlücken zu evidenzbasierten Politikentscheiden beitragen kann.

Schulen bearbeiten, speichern und verwalten viele schützenswerte (Personen-) Daten. Unser neues Dossier «Datenschutzkonforme Schule» unterstützt Schulen mit praxisnahen Hilfsmitteln im Umgang mit Personendaten. So soll Vertrauen in Schulen gestärkt und der Datenschutz verbessert werden. 

Im Rahmen des Datennutzungsprogramms haben wir gemeinsam mit dem Kanton Aargau dessen Lehrmittelsteuerung aus einer Datenschutzperspektive durchleuchtet. Nun liegen die Erkenntnisse aus dem Projekt vor. Es zeigen sich sowohl kantonale als auch interkantonale Lösungsansätze.