Softwarelösungen für die Schulverwaltung, insbesondere für die Schüleradministration, ermöglichen eine effiziente Verwaltung von Schülerdaten, wie An- und Abmeldungen, Noten, Absenzen und Zeugnisse. Diese Software verarbeitet und speichert eine Vielzahl von personenbezogenen und besonders schützenswerten Daten. Schulen müssen sicherstellen, dass die verwendete Software den datenschutzrechtlichen Anforderungen entspricht und die Daten sicher verwaltet werden. Dazu gehören die Implementierung von Zugriffsrechten, Datenverschlüsselung, regelmässige Updates und Sicherheitsüberprüfungen. Zudem sollten Softwarelösungen von europäischen Unternehmen beziehungsweise Unternehmen aus Ländern mit gleichwertigem Datenschutzniveau verwendet werden.

Vor der Nutzung einer Software oder der Übergabe einer Datenbearbeitung an Dritte ist genau zu prüfen, welche Daten offengelegt werden und ob dies rechtlich zulässig ist. Besonders bei der Auslagerung von sensiblen Daten wie Gesundheitsdaten oder allgemeinen Personendaten (z. B. Name, Adresse) sind Abklärungen nötig, um passende Schutzmassnahmen zu definieren. Diese richten sich nach der Art der Personendaten, dem Dienstleistungsbereich (z. B. IT oder Dritte) und dem Umfang der Weitergabe. Grundsätzlich gilt: Je grösser das Risiko, desto umfassender die Massnahmen. Besonders sensible Daten müssen dabei immer verschlüsselt werden.

Für neue Softwarelösungen ist gemäss dem kantonalen Datenschutzgesetz zu überprüfen, ob eine Datenschutzfolgenabschätzung vorzunehmen ist.

Fallbeispiele

• Sichere Verwaltung von Schülerdaten

Eine Schule führt eine neue Software für die Schüleradministration ein, die alle relevanten Schülerdaten zentral verwaltet. Die Software verfügt über strenge Zugriffsrechte, sodass nur autorisiertes Personal Zugriff auf sensible Daten hat. Zudem werden alle Daten verschlüsselt gespeichert und übertragen. Durch regelmässige Sicherheitsupdates wird sichergestellt, dass die Software stets gegen aktuelle Bedrohungen geschützt ist.

• Datenschutzkonforme Cloud-Lösung

Eine Schule entscheidet sich für eine Softwarelösung, die in der Cloud betrieben wird, jedoch ausschliesslich auf Servern in der Schweiz, die den schweizerischen Datenschutzgesetzen unterliegen. Vor der Einführung ist eine Datenschutzfolgenabschätzung zu erstellen; die Datenschutzrichtlinien der Schule sind sorgfältig zu überprüfen und alle erforderlichen Einwilligungen der Eltern und Schüler sind einzuholen.

• Datenleck durch eine Software-Sicherheitslücke

Eine Schule nutzt eine gängige Software für die Schüleradministration, in der kürzlich eine schwerwiegende Sicherheitslücke entdeckt wurde. Diese Lücke ermöglichte es Hackern, unbefugten Zugriff auf Schülerdaten zu erhalten. Obwohl der Softwareanbieter ein Sicherheitsupdate bereitstellte, versäumt es die Schule, dieses rechtzeitig zu installieren. Infolgedessen werden vertrauliche Schülerdaten wie Noten und persönliche Informationen gestohlen und im Internet veröffentlicht. Dieser Vorfall führt zu einer erheblichen Datenschutzverletzung und rechtlichen Konsequenzen, da die Schule ihrer Verantwortung zur Datensicherung nicht nachgekommen ist. In einem solchen Fall ist die Verletzung der Datensicherheit der Datenschutzbeauftragten des Kantons zu melden.

Rechtsgrundlagen

KDSG Uri, Art. 3, 4, 5, 7, 8, 12 und 13