Family Educational Rights and Privacy Act (FERPA)

FERPA-Übersicht

Der Family Educational Rights and Privacy Act (FERPA) ist ein US-Amerikanisches Bundesgesetz, das die Privatsphäre der Bildungsdatensätze der Schüler schützt, einschließlich persönlich identifizierbarer Informationen und Verzeichnisinformationen. FERPA wurde eingeführt, um sicherzustellen, dass Eltern und Schüler ab 18 Jahren auf diese Datensätze zugreifen, Änderungen an ihnen anfordern und die Offenlegung von Informationen kontrollieren können, außer in bestimmten und begrenzten Fällen, in denen FERPA die Offenlegung ohne Zustimmung zulässt.

Das Gesetz gilt für Schulen, Schulbezirke und jede andere Institution, die vom US-Bildungsministerium finanziert wird , d. h. praktisch alle öffentlichen K-12-Schulen und Schulbezirke sowie die meisten post-sekundären Einrichtungen, sowohl öffentliche als auch private.

Sicherheit ist von zentraler Bedeutung für die Einhaltung von FERPA, die den Schutz der Schülerinformationen vor nicht autorisierten Offenlegungen erfordert. Bildungseinrichtungen, die Cloud Computing verwenden, benötigen vertragliche Sicherheiten, dass ein Technologieanbieter sensible Schülerdaten angemessen verwaltet.

Microsoft und FERPA

FERPA erfordert oder erkennt keine Audits oder andere Zertifizierungen an, sodass jede akademische Einrichtung, die FERPA unterliegt, selbst beurteilen muss, ob und wie sich die Nutzung eines Clouddiensts auf seine Fähigkeit auswirkt, FERPA-Anforderungen zu erfüllen. Im Datenschutz-Addendum (DPA) der Online services Terms (DPA) stimmt Microsoft zu, als "Schulbeamter" mit "legitimen Bildungsinteressen" an Kundendaten benannt zu werden, wie unter FERPA definiert. Kundendaten enthalten alle Schülerdatensätze, die über die Verwendung von Azure durch eine Bildungseinrichtung bereitgestellt werden. Wenn Microsoft Aufzeichnungen zu Bildungseinrichtungen von Schülern und Studenten verarbeitet, stimmt Microsoft zu, die Einschränkungen und Anforderungen von 34 CFR 99.33(a) genau wie Schulbeamte einzuhalten. Microsoft hat eine Anleitungsdokumentation veröffentlicht, um Azure-Kunden bei der Erfüllung ihrer FERPA-Complianceanforderungen zu unterstützen.

Zu Microsoft gehörende Cloudplattformen und -dienste

Zu den Diensten, für die Microsoft zustimmt, als "Schulbeamter" mit "legitimen Bildungsinteressen" in Kundendaten benannt zu werden, gehören:

  • Azure und Azure Government
  • Azure DevOps Services
  • Dynamics 365
  • Intune
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government - High und Office 365 US Government Defense

Azure-Anleitungsdokumente

Sie können die folgenden Dokumente herunterladen, um Unterstützung bei der Erfüllung der FERPA-Complianceanforderungen zu erhalten:

Office 365 und FERPA

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Microsoft Entra ID, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender for Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do für Web, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Cloud App Security, Office 365 Gruppen, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage
GCC Microsoft Entra ID, Compliance-Manager, Delve, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance Add-On, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC High Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, Office 365 Advanced Compliance Add-On, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business
DoD Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, Office 365 Advanced Compliance Add-On, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business

Office 365-Audits, -Berichte und -Zertifikate

FERPA erfordert oder erkennt keine Audits oder Zertifizierungen an.

Häufig gestellte Fragen

Warum ist FERPA wichtig?

Dieses US-Bundesgesetz schreibt den Schutz der Privatsphäre der Bildungsdatensätze der Studenten vor. Außerdem erhalten Eltern und berechtigte Schüler Zugang zu diesen Aufzeichnungen und die Möglichkeit, sie zu korrigieren, sowie bestimmte Rechte im Zusammenhang mit der Freigabe von Aufzeichnungen an Dritte.

Welche Auswirkungen haben COPPA und CIPA auf Azure?

COPPA und CIPA sind zusätzliche Gesetze zum Schutz der Privatsphäre von Kindern; Sie gelten jedoch nicht direkt für Azure. Der Children es Online Privacy Protection Act (COPPA) ist ein US-Bundesgesetz, das zum Schutz der Privatsphäre von Kindern unter 13 Jahren erlassen wurde. Die Federal Trade Commission (FTC) verwaltet COPPA. COPPA gilt für Websites und Onlinedienste, die an Kinder gerichtet sind, und legt fest, dass diese Websites und Dienste die Zustimmung der Eltern für die Erfassung und Verwendung von personenbezogenen Daten von Kindern erfordern müssen. Das Children's Internet Protection Act (CIPA) wurde erlassen, um Bedenken hinsichtlich des Zugriffs von Kindern auf schädliche Inhalte über das Internet auszuräumen. Die Federal Communications Commission (FCC) hat Regeln zur Umsetzung der CIPA erlassen und Anforderungen für Schulen und Bibliotheken definiert, die der CIPA unterliegen. Kunden mit Fragen zu COPPA und CIPA im Kontext der Azure-Einführung sollten den Abschnitt Bildungseinrichtungen in den Online services Terms DPA lesen, in dem wir erklären, dass Kunden dafür verantwortlich sind, die elterliche Zustimmung für die Nutzung von Microsoft Onlinedienste durch Endbenutzer einzuholen.

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen