DatenschutzDSGVOSouveränität

Souveräne Schul-IT: Warum On-Premise mehr ist als eine technische Entscheidung

Wenn Schüler- und Lehrerdaten in US-amerikanischen Rechenzentren landen, ist das kein Datenschutzproblem — es ist ein Souveränitätsproblem. Ein Plädoyer für digitale Selbstbestimmung an deutschen Schulen.

Dr. Sarah Ahlbrecht Dr. Sarah Ahlbrecht · 4. Juni 2026 · 4 Min. Lesezeit

Stellen Sie sich vor, das Klassenbuch Ihrer Schule liegt in einem Rechenzentrum in Virginia. Die Noten Ihrer Schülerinnen und Schüler, Fehlzeiten, Elternkontakte — alles auf Servern, für die ein US-amerikanisches Gericht mit einem einzigen Beschluss Zugriff anordnen kann, ohne dass Sie es erfahren. Nicht in zehn Jahren. Heute, mit den meisten verbreiteten Schulsoftware-Lösungen.

Das ist kein Horrorszenario. Das ist der rechtliche Alltag von Cloud-Diensten, die dem US CLOUD Act unterliegen.

Was der CLOUD Act bedeutet

Der Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, verpflichtet US-amerikanische Unternehmen seit 2018, auf Anfrage US-amerikanischer Behörden Zugriff auf Daten zu gewähren — unabhängig davon, wo diese Daten gespeichert sind. Ein Server in Frankfurt schützt nicht, wenn der Betreiber eine US-Tochtergesellschaft ist.

Das betrifft nicht nur Microsoft 365. Google Workspace, Zoom, viele LMS-Plattformen und Kommunikationstools fallen darunter. Die DSGVO bietet in diesem Konflikt keinen vollständigen Schutz — europäisches Datenschutzrecht und US-Bundesrecht stehen sich direkt gegenüber, und im Zweifel entscheiden US-Gerichte.

Was das konkret bedeutet: Schulen, die sich auf diese Dienste verlassen, können keine vollständige Kontrolle über die Daten ihrer Schülerinnen und Schüler garantieren. Nicht weil sie fahrlässig handeln, sondern weil die rechtlichen Rahmenbedingungen es strukturell verhindern.

Souveränität ist kein Luxus

Digitale Souveränität wird oft als technisches Thema behandelt: Wer hostet die Server? Welche Software läuft? In Wirklichkeit ist es eine pädagogische und demokratische Frage.

Schulen sind Orte, an denen Kinder und Jugendliche lernen, mündig zu handeln — in der Gesellschaft, im Beruf, im digitalen Raum. Welches Signal sendet eine Schule, die ihre eigene digitale Infrastruktur nicht kontrolliert?

„Datenschutz ist nicht Selbstzweck. Es ist die Grundlage dafür, dass Kinder in einem geschützten Raum lernen und scheitern können, ohne dass jeder Fehler dauerhaft dokumentiert wird.”

Pädagogisch schützenswerter Raum und datenschutzrechtliche Anforderungen sind kein Gegensatz — sie sind zwei Seiten derselben Medaille.

Was On-Premise wirklich bedeutet

On-Premise heißt nicht zwingend, dass ein Server im Keller der Schule steht und ein Administrator jeden Dienstag Abend Updates einspielt. Es bedeutet, dass die Infrastruktur unter der Kontrolle der Schule oder des Schulträgers liegt.

Das kann sein:

  • Ein gemeinsamer Schulträger-Serverraum
  • Eine kommunale Rechenzentrumsinfrastruktur
  • Ein zertifizierter europäischer Hosting-Partner ohne US-Rechtsbindung

Entscheidend ist nicht der physische Ort, sondern die Rechtsbeziehung: Wer hat Zugriff? Wer kann diesen Zugriff ohne Ihr Wissen gewähren? Wer entscheidet, wenn Behörden anfragen?

Die Architektur macht den Unterschied

Eine Schulsoftware, die für On-Premise gebaut ist, unterscheidet sich grundlegend von einer, bei der On-Premise nachträglich als Option angeboten wird.

Bei openschooldesk ist die Architektur von Grund auf für den Betrieb im eigenen Netz oder beim Schulträger ausgelegt:

  • Identitäten bleiben lokal: UCS@school verwaltet Nutzerkonten direkt auf der Schulinfrastruktur. Es gibt keinen externen Identitätsprovider, dem man vertrauen muss.
  • Tokens nie im Browser: Zugriffe auf die Kelvin API laufen über einen serverseitigen Proxy. Kein Passwort, kein Access Token verlässt den Vertrauensbereich.
  • Keine Telemetrie: Die Software sendet keine Nutzungsdaten nach Hause. Es gibt kein “Zuhause” — der Quellcode ist öffentlich.

Was das für Schulträger bedeutet

Schulträger, die heute auf vollständig cloudbasierte Lösungen setzen, gehen eine strukturelle Abhängigkeit ein, die schwer rückgängig zu machen ist: proprietäre Datenformate, steigende Lizenzkosten pro Nutzer, keine Verhandlungsmacht.

Open Source kehrt dieses Verhältnis um. Die Software gehört niemandem — und damit allen. Schulträger zahlen für Betrieb und Support, nicht für die Software selbst. Sie können den Anbieter wechseln, ohne die Daten zu verlieren. Sie können den Code prüfen lassen.

Das ist keine Ideologie. Das ist Haushaltsdisziplin.

Fazit

Digitale Souveränität an Schulen ist kein Thema für IT-Administratoren allein. Es ist eine politische, pädagogische und haushälterische Entscheidung. Wer sie vertagt, zahlt später — in Form von Abhängigkeiten, die teuer zu lösen sind, und in Form von Vertrauen, das schwer zurückzugewinnen ist.

On-Premise-Lösungen auf Open-Source-Basis sind kein Rückschritt in die IT-Steinzeit. Sie sind die Antwort auf eine Welt, in der Daten Macht bedeuten — und in der Schulen entscheiden müssen, auf wessen Seite sie stehen.

Dr. Sarah Ahlbrecht
Dr. Sarah Ahlbrecht
Promoviert in Erziehungswissenschaften mit Schwerpunkt Mediendidaktik. Nach der Promotion als wissenschaftliche Referentin in der Bildungspolitik tätig, mit Fokus auf die Koordination erster Digitalisierungsprojekte auf Länderebene. Wechsel in die Beratung über ein Forschungsprojekt zur DSGVO-konformen Lernplattformauswahl im Auftrag eines Landesministeriums. Heute freiberufliche Beraterin für Schulträger und Kultusministerien bei der strategischen Planung digitaler Infrastrukturen. Lehrauftrag für „Digitale Bildung und Schulentwicklung" an einer niedersächsischen Hochschule. Privat betreibt sie eine kleine Imkerei — und ist überzeugt, dass man beim Umgang mit Bienen sehr viel über Geduld und Systemdenken lernt.

openschooldesk für Ihre Schule

Souveräne Schul-IT, DSGVO-konform und Open Source — wir zeigen Ihnen die Plattform live an Ihrer Schule.

Demo anfragen arrow_forward
arrow_back Alle Artikel