Digitale Lehrmittel und Lernapplikationen bearbeiten verschiedene Daten. Darunter auch Personendaten, was neue Anforderungen an den Umgang mit ihnen stellt. Dies zeigt der Bericht «Aargauer Lehrmittelsteuerung aus einer Datenschutzperspektive» auf. In diesem wird der gesamte Lehrmittelprozess von der Evaluation bis zum konkreten Einsatz an den Aargauer Volksschulen analysiert. Die Ergebnisse dienen dazu, Massnahmen für einen datenschutzkonformen und sicheren Umgang mit digitalen Lehrmitteln zu erarbeiten.

Rechtliche Vorgaben unter der Lupe

Die Grundlage des Berichts bildet eine juristische Analyse der Aargauer Rechtsgrundlagen zu den Lehrmitteln und zum Datenschutz. Sie führt aus, wie eine datenschutzkonforme Bearbeitung von Daten konkret ausgestaltet werden muss und wer dabei welchen Aufgaben nachzukommen hat. Dabei zeigt sich, dass die datenschutzrechtliche Verantwortlichkeit mit der Organisation der Lehrmittelsteuerung zusammenhängt. 

Für die Evaluation, Implementation und den Einsatz sind je nach Lehrmitteltyp (unterrichtsleitende versus weitere Lehrmittel und Lernapplikationen) verschiedene staatliche Ebenen bzw. Verwaltungseinheiten verantwortlich. Somit entscheiden auch unterschiedliche Stellen über Mittel und Zweck einer schulischen Datenbearbeitung. Dies führt zu einer geteilten Verantwortlichkeit in datenschutzrechtlichem Sinne.

Schema Datenschutzrechtliche Verantwortlichkeitskette
Datenschutzrechtliche Verantwortlichkeitskette bei Lehrmitteln, die vom Kanton geprüft werden.

Grafik in hoher Auflösung herunterladen

Die Verantwortlichkeiten werden jeweils auf rechtsgültiger Grundlage entlang der staatlichen Ebenen delegiert (zum Beispiel Volksschulgesetz, Gemeindegesetz oder im Rahmen des Personalrechts). Innerhalb dieser komplexen Verantwortlichkeitskette ist es für den Datenschutz wesentlich, stets Klarheit über die eigene Verantwortung zu haben. Dies gilt insbesondere, wenn Datenbearbeitungen an Dritte respektive an Lehrmittelverlage übertragen werden. Denn die Verantwortung bleibt bei der entsprechenden staatlichen Ebene. Dieser ist verpflichtet, mittels Auftragsdatenbearbeitungsvertrag (ADV) vorzusehen, dass die datenschutzrechtliche Verantwortung vom Dienstleistungsanbieter im gleichen Masse eingehalten wird.

Geteilte Verantwortlichkeit bei unterrichtsleitenden Lehrmitteln

Wird ein Lehrmittel vom Kanton für obligatorisch erklärt, bedeutet dies für die Schule, dass sie es benutzen muss. Die Entscheidung über die Mittel der Datenbearbeitung – respektive das konkrete Lehrmittel – liegt damit beim Kanton. Dem Kanton kommt somit die Verantwortung zu, eine Applikationsprüfung durchzuführen und risikominierende Massnahmen zu empfehlen. Der Kanton ist aber zu weit entfernt von der tatsächlichen Datenbearbeitung – sprich vom Einsatz im Unterricht –, sodass der Gemeinde beziehungsweise der Schule in zweierlei Hinsicht auch Verantwortung zukommen. Einerseits sind sie – je nach Zuständigkeit – gefordert, eine adäquate digitale Umgebung zur Verfügung zu stellen, in der es möglich ist, Lehrmittel und Lernapplikationen datenschutzkonform einzusetzen. Dafür müssen die bereits bestehenden technischen und organisatorischen Massnahmen (TOM) überprüft und allenfalls ergänzt werden. Andererseits ist während des Einsatzes des Lehrmittels sicherzustellen, dass diese Massnahmen umgesetzt werden. Dafür müssen Lehrpersonen sowie Schülerinnen und Schüler und allenfalls Erziehungsberechtigte angemessen geschult und sensibilisiert werden.

Exemplarischer Einblick in die Praxis

Anhand von Interviews mit Schulverantwortlichen wurde anschliessend ermittelt, wie die Praxis mit dem Datenschutz bei digitalen Lehrmitteln und Lernapplikationen umgeht. Insgesamt hat sich ein sehr heterogenes Bild gezeigt. Je grösser eine Schule ist und je mehr Ressourcen zur Verfügung stehen, desto einfacher scheint es, Prozesse (Datenschutzprüfungen, Schulungen etc.) aufzubauen und Hilfsmittel (z.B. einen Datenschutzleitfaden) zu erarbeiten. Allerdings wurde in allen Interviews deutlich, dass man sich Unterstützung vom Kanton oder einer kompetenten Stelle wünscht. Die Thematik sei zu komplex und ressourcenintensiv, als dass jede Schule für sich alleine nach Lösungen suchen könne.

Lösungsansätze

Um den identifizierten Herausforderungen zu begegnen, bieten sich folgende Lösungsansätze an: 

  • Zuständigkeiten klar entlang der Verantwortlichkeitskette zu definieren und transparent zu kommunizieren; 
  • iterative Applikationsprüfungen durchzuführen, um gezielte risikominimierende Massnahmen ergreifen zu können; 
  • die dafür notwendigen technischen und rechtlichen Fachkompetenzen an den entsprechenden Stellen aufzubauen.
  • Darüber hinaus sollte durch breit angelegte Sensibilisierungsmaßnahmen das Bewusstsein für Datenschutz- und Datensicherheitsthemen (kurz ISDS) gestärkt und bei der Einführung neuer Lehrmittel eine spezifische Schulung angeboten werden. 
  • Schließlich ist eine verstärkte kantonale und interkantonale Zusammenarbeit anzustreben, um Synergien bei Applikationsprüfungen und allenfalls Beschaffungsprozessen zu nutzen. Bei letzteren geht es unter anderem darum, bereits beim Kauf von Lehrmitteln klare Anforderungen hinsichtlich Datenschutz- und Datensicherheitskriterien an die Dienstleistungsanbietenden zu richten.

Ausblick

Die Erkenntnisse werden nun im Rahmen der Entwicklung einer Datennutzungspolitik für den Bildungsraum Schweiz aufgenommen und weiter in Form von konkreten Entwicklungsansätzen geschärft.

ähnliche Beiträge

Bei digitalen Lehrmitteln und Lernapplikationen gibt es im föderalen Bildungssystem unterschiedliche Zuständigkeiten beim Datenschutz. Dies führt zu Unsicherheiten bei den Verantwortlichkeiten, wie das Datennutzungsprojekt im Kanton Aargau zeigt. Notwendig sind klare Verantwortlichkeiten und Sensibilisierung.

Die vierte Folge der Podcast-Serie «Daten im digitalen Bildungsraum» thematisiert die Befragung zur «Digitalisierung in der Schweizer Bildung». Anhand konkreter Beispiele wird klar, wie das Schliessen von Datenlücken zu evidenzbasierten Politikentscheiden beitragen kann.

Die zweite Folge unserer Podcast-Serie «Daten im digitalen Bildungsraum» befasst sich mit künstlicher Intelligenz in der Bildungsverwaltung. Wird KI bereits eingesetzt? Was sind die Fragen und (schwierigen) Antworten, die man darauf geben kann?

Die bestehende Vereinbarung (ehemals «Rahmenvertrag» genannt) mit Microsoft wurde bis Ende Juli 2025 verlängert. Ein externes Rechtsgutachten hält fest, dass die Rahmenvereinbarungen keine vergaberechtliche Grundlage darstellen.