Schutz von Schülerdaten: Bund in der Verantwortung auch bei Firmen
Daten von Schülern liegen auf Servern ausländischer IT-Firmen. Wie gut sie dort geschützt sind, soll in der Verantwortung des Bundes liegen.

Das Wichtigste in Kürze
- Google, Microsoft, Apple: Schweizer Schülerdaten liegen auf Servern von Tech-Konzernen.
- Der Bund soll sich darum kümmern, dass diese Daten dort sicher sind, fordert Nik Gugger.
- Nationalratskollege Franz Grüter gibt ihm recht, weitet die Frage aber auf Firmen aus.
Schweizer Schulen arbeiten häufig mit Software und Geräten von amerikanischen IT-Firmen wie Google, Microsoft oder Apple. Auf den Servern dieser Firmen landen private Informationen. Über den Gesundheitszustand, Allergien, Noten, Verhalten und Religion der Schüler, bis zu Angaben über die Eltern wie Beruf, Herkunft, Zivilstand, AHV-Nummer, E-Mail-Adresse und Telefonnummer.
Es ist klar: Geraten diese Informationen in die falschen Hände, können sie für die Schüler später – als Erwachsene – zum Stolperstein werden. Google wertet diese Daten mutmasslich aus, dies ist das Geschäftsmodell des Tech-Konzerns. Im September hat Google in der Schweiz zudem eine eigene Job-Plattform lanciert.
US-Behörden haben Zugriff auf Daten von Schweizer Schülern
Umso entscheidender also, wo die Schulen und Behörden die sensiblen Informationen ihrer Schüler abspeichern. Die US-Regierung hat durch den sogenannten «Cloud Act» ein gesetzliches Recht auf den Zugang auf alle von US-Firmen gespeicherten Daten.
SVP-Nationalrat und IT-Unternehmer Franz Grüter bestätigt: «Der US Cloud Act erlaubt in der Tat die Herausgabe von Daten, selbst wenn diese exterritorial der USA gespeichert sind.»

Allerdings sieht er dies weniger problematisch als EVP-Nationalrat Nik Gugger, der vom Bundesrat eine nationale Strategie für den Schutz von Schülerdaten fordert. «Es gibt jedoch klare Regeln und Anforderungen für eine Datenherausgabe. So ist beispielsweise ein richterlicher Durchsuchungsbefehl notwendig. Einfach so ist also ein Zugriff nicht möglich», so Grüter.
Nik Gugger: Der Bund ist gefragt
Nik Gugger sieht die Datenschutzbeauftragten der Kantone und Schulen mit der juristischen Maschinerie der grossen IT-Unternehmen überfordert. Deshalb sei der Bund gefragt. Der Bundesrat jedoch sieht die Kantone in der Verantwortung.
Franz Grüter gibt Gugger nun teilweise recht. «Die Frage der Verantwortung stellt sich nicht nur für Schulen, sondern auch für Unternehmen. Insofern erachte ich das Thema als nationales Thema, das dementsprechend auch auf Bundesebene behandelt werden muss – sofern es denn eine staatliche Intervention erfordert.»

Dass sich auch Firmen mit Datensicherheit befassen müssen, ist auch Gugger bewusst. «Aber Unternehmen haben es selbst in der Hand – Eltern von Schülern dagegen haben keinen Einfluss», so Gugger.
Wird das Problem genügend Ernst genommen?
Doch wäre es einfacher, wenn der Bund den Kantonen, Gemeinden und Schulen ein eigenes Speichersystem zur Verfügung stellen würde? «Es stellt sich die Frage, ob die Daten dann sicherer sind vor unbefugten Zugriffen. Ich bezweifle dies», sagt Grüter.
Die grossen Cloud-Anbieter würden enorme Summen in die Daten- und Cybersicherheit investieren und diese seien daher «enorm sicher vor unbefugten Zugriffen». Kleine lokale Cloudanbieter können hier kaum mithalten, so Grüter. «Ich erachte daher die von den Schulen gewählte Lösung nicht als problematisch.»
Gugger dagegen glaubt, dass die meisten Akteure die Problematik zu wenig ernst nehmen, die Kantone machen zu wenig vorwärts. Auch Grüter findet, dass Cyberrisiken und Datenschutzproblematiken ernst genommen werden müssen. «Es ist gut, wenn alle Akteure auf Gefahren und Risiken sensibilisiert werden. Aber neue Gesetze braucht es dazu nicht.»