Schulen setzen digitale Bildungsinstrumente für die unterschiedlichsten Zwecke ein. Der Anbietermarkt stellt eine große Palette gezielt für den Unterricht entwickelter Software und Dienste bereit. Häufig basieren diese Anwendungen auf Cloud-Komponenten. Gerade wenn die Daten der Schülerinnen und Schüler sowie der Lehrkräfte somit das Schulnetz verlassen, ist ein Blick auf die Datenflüsse und Speicherorte wichtig.

In der Vergangenheit hatte der Europäische Gerichtshof hierzu entsprechende Urteile gefällt (vgl. die Diskussion um das EU-U.S.-Privacy-Shield, „Schrems I“ und „Schrems II“), die insbesondere den Drittstaatentransfer betrafen. Mit dem Inkrafttreten des EU-U.S. Data Privacy Framework besteht nun für die Verantwortlichen zumindest wieder eine Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA.

Darüber hinaus ist es jedoch fraglich, inwieweit bestimmte Datenverarbeitungen durch die jeweiligen Anbieter selbst mit der Europäischen Datenschutzgrundverordnung konform sind. Dies gilt insbesondere für die Verarbeitung sogenannter „Metadaten“, die bei der Nutzung der Produkte erhoben werden und die zum Teil tiefe Einblicke in das Nutzungsverhalten ermöglichen. Damit verbunden ist auch die Frage, inwieweit diese Daten durch die Anbieter für eigene Zwecke verarbeitet oder gar an Dritte weitergegeben werden.

Hinzu kommt, dass die Datenschutz-Grundverordnung dem Schutz personenbezogener Daten von Kindern einen besonders hohen Stellenwert beimisst.

Einen sicheren Weg stellen daher sogenannte On-Premise-Lösungen dar, bei denen die Datenverarbeitung durch Eigenbetreib der Software in der Hoheit der Schulen oder des Schulträgers bleibt. Darüber hinaus bietet das Land Rheinland-Pfalz mit dem Bildungsportal RLP allen Schulen eine kostenlose Plattform mit rechtssicheren Anwendungen.