Kontakt
26. Februar 2026

Die neue EdTech-Landschaft: Wie Datenhoheit Plattformentscheidungen beeinflusst

Adam De Gree
Bewertung Technologie
Ein Notizbuch-Symbol überlagert ein Foto eines Laptops, auf dessen Tastatur Hände tippen, und veranschaulicht damit das Konzept einer sicheren EdTech-Landschaft.

DSGVO, CCPA, LGDP, CPRA … Es ist schwer, bei den Vorschriften zur Datenhoheit den Überblick zu behalten. Doch sie sind auch aus ethischer Sicht wichtig: Als Minderjährige sind Schüler besonders anfällig für Identitätsdiebstahl, und Schulen sowie Behörden haben ein Interesse daran, ihre Daten zu schützen. 

In diesem Artikel erläutern wir die wichtigsten Vorschriften zur Datenhoheit, die Administratoren und IT-Fachleute kennen müssen. Vor allem zeigen wir Ihnen, wie sich diese Vorschriften in konkrete Anforderungen an Plattformen umsetzen lassen, damit Sie bei der nächsten Bewertung einer EdTech-Lösung genau wissen, worauf Sie achten müssen. Ganz gleich, ob Sie ein Schulsystem in Lateinamerika leiten oder in Frankreich nach Sicherheitslücken suchen – dieser Leitfaden soll Ihnen helfen, das Thema Datenhoheit für Ihren Arbeitsalltag verständlich zu machen. 

Wichtigste Erkenntnisse

  • Datensouveränität bringt nicht nur rechtliche Verpflichtungen mit sich. Sie schränkt auch die Auswahl an Plattformen ein, die Ihre Einrichtung bedenkenlos einsetzen kann, sodass die Einhaltung der Vorschriften zu einer Grundvoraussetzung bei jedem Auswahlverfahren wird.  
  • Das massive Datenwachstum an Schulen hat die Anforderungen erhöht, sodass Transparenz und die Einwilligung zur Speicherung unverzichtbar geworden sind. Plattformen, die nicht klar darlegen können, wo und wie sie Daten speichern, sollten nicht in die engere Auswahl kommen.
  • Geschlossene Black-Box-Lösungen machen die Einhaltung von Vorschriften zu einem Ratespiel, während offene Systeme eine echte Überprüfung ermöglichen, was für Cloud-Plattformen unerlässlich ist. Achten Sie bei der Bewertung cloudbasierter Tools vorrangig auf Plattformen, die ihre Architektur und Datenflüsse transparent machen. 
  • Regionale Vorschriften, von der DSGVO über die LGPD bis hin zum CCPA, unterscheiden sich in vielerlei Hinsicht. Sie schreiben jedoch alle eine konfigurierbare Datenhoheit, überprüfbare Datenpipelines, Einwilligungsmanagement und die Meldung von Datenschutzverletzungen vor.

Datenhoheit: Die Grundlagen

Datensouveränität erweitert die Zuständigkeit der Regierung auf Daten, die in einem bestimmten Gebiet generiert oder erhoben werden. So hat beispielsweise die Europäische Union die Befugnis, Vorschriften und Regelungen zu erlassen, wie etwa die Datenschutz-Grundverordnung (DSGVO), , die für Daten gelten, die in den Mitgliedstaaten erstellt oder gespeichert werden. 

Datensouveränität ist jedoch nicht dasselbe wie Datenschutz. Letzterer bezieht sich auf die Rechte, die Einzelpersonen hinsichtlich der Erhebung, Nutzung und Weitergabe ihrer personenbezogenen Daten haben. In der Regel umfasst dies die Einwilligung, den Zugriff und die Löschung. Datensouveränität ist hingegen weiter gefasst und befasst sich mit der Frage, welche Regierung überhaupt die Zuständigkeit für die Daten hat – und welche Datenschutzvorschriften infolgedessen gelten. 

In der Praxis bedeutet dies, dass eine bestimmte EdTech-Plattform zwar die Datenschutzanforderungen eines Landes erfüllen, gleichzeitig aber die Souveränität eines anderen Landes verletzen könnte. Für Entscheidungsträger ist es wichtig, sicherzustellen, dass Lösungen sowohl den Anforderungen an den Datenschutz als auch an die Datenhoheit genügen. 

Wie Datenhoheit die EdTech-Landschaft prägt

Da sich Schulsysteme zunehmend EdTech-Lösungen zuwenden, um adaptive Tests, KI-Bewertung und Fernunterricht setzen, generieren sie riesige Datenmengen. Laut The Data Scientisterzeugen britische Schulen an einem einzigen Tag mehr Daten als das gesamte Internet im Jahr 2000. Auf der Ebene einer einzelnen Schule mit 1.200 Schülern sind das durchschnittlich 10 GB Daten pro Tag

Mit einer derart großen Reichweite geht eine große Verantwortung einher. Die Schulsysteme müssen die Datenschutzbestimmungen einhalten und benötigen EdTech-Lösungen , die speziell für diesen Zweck entwickelt wurden. Hier sind die wichtigsten Anforderungen an eine EdTech-Lösung zur Einhaltung der Datenhoheit sowie Fragen, die Sie bei der Bewertung einer Plattform stellen sollten.

Transparente Aufbewahrung

Viele Länder verlangen, dass sensible Daten, die auf ihrem Staatsgebiet generiert werden, dort gespeichert werden. Diese Vorschrift, bekannt als Datenresidenz, ermöglicht es den Aufsichtsbehörden, die Einhaltung nationaler Gesetze zu überprüfen. Theoretisch sollte dies personenbezogene Daten (PII) besser schützen als eine Speicherung über Landesgrenzen hinweg.

Um die Einhaltung von Vorschriften zur Datenlokalisierung zu gewährleisten, müssen EdTech-Lösungen ihre Speicherrichtlinien transparent darlegen. Wenn Softwareanbieter nicht offenlegen, wo und wie Daten gespeichert werden, sind ihre Systeme nicht überprüfbar, sodass sich nicht feststellen lässt, ob sie die Vorschriften einhalten.  

Worauf Sie achten sollten: Können Anbieter die Region(en) angeben, in der/denen Ihre Daten gehostet werden? Können Sie diese Informationen anhand von Unterlagen oder einer unabhängigen Prüfung verifizieren, oder müssen Sie sich auf deren Angaben verlassen?

Einverständnis

Auch wenn die Vorschriften je nach Rechtsordnung variieren, ist die Einwilligung ein durchgängiges Thema. Seit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) sind Einwilligungsfelder zu einem festen Bestandteil des Interneterlebnisses geworden. Auch der EdTech-Bereich bildet hier keine Ausnahme – bevor Sie Schülerdaten speichern, müssen Sie die Einwilligung einholen, um die gesetzlichen Anforderungen zu erfüllen.

Worauf Sie achten sollten: Verfügt die Plattform, die Sie prüfen, über integrierte Einwilligungsworkflows, die an die Anforderungen Ihrer Rechtsordnung angepasst werden können, oder muss Ihr Team diesen Prozess separat einrichten?

Elterlicher Zugriff

In vielen Regionen haben Eltern das Recht, auf Schülerdaten zuzugreifen und diese zu korrigieren. In den Vereinigten Staaten ist dieses Recht im Family Educational Rights and Privacy Act(FERPA) festgeschrieben. Um FERPA und ähnliche weltweite Vorschriften einzuhalten, müssen EdTech-Lösungen es Administratoren einfach machen, Eltern (oder volljährigen Schülern) Zugriff auf Daten zu gewähren.

Worauf Sie achten sollten: Bietet die Plattform rollenbasierte Zugriffskontrollen, die es einfach machen, den elterlichen Zugriff zu gewähren, zu widerrufen und zu überprüfen, ohne den Anbieter einzubeziehen?

Einblicke in Open Source

Wie können Sie die Einhaltung der Vorschriften überprüfen, wenn Sie bei Ihrer EdTech-Plattformnicht „unter die Haube schauen“? Das geht nicht. Deshalb ist Open-Source-Software weithin für ihre Widerstandsfähigkeit gegenüber behördlicher Kontrolle anerkannt. Da Open-Source-Lösungen ihren Quellcode öffentlich machen, können Unternehmen Systeme prüfen, anpassen und weiterentwickeln, um Datenvorschriften zu erfüllen, ohne sich um Lizenzen oder Urheberrechte sorgen zu müssen. 

Worauf Sie achten sollten: Ist der Quellcode der Plattform offen und überprüfbar? Falls nicht, welche unabhängige Überprüfung bietet der Anbieter an, um nachzuweisen, dass seine Datenverarbeitung seinen Angaben entspricht?

Datenhoheit und Cloud-Plattformen

Die Cloud-Infrastruktur ist mittlerweile der Standard für die meisten EdTech-Tools, doch sobald Schülerdaten in eine kommerzielle Cloud-Umgebung gelangen, tauchen Fragen auf: In welcher Region werden die Daten gehostet? Wer hat noch Zugriff auf die zugrunde liegenden Systeme? Welche Dienste von Drittanbietern sind stillschweigend an der Verarbeitung beteiligt? 

Administratoren sind oft überrascht, wenn sie erfahren, dass ein einzelner Workflow ein Flickwerk aus Speicher-Buckets, Protokollierungstools und Analysediensten umfassen kann, die über mehrere Länder verteilt sind.

Hier kollidieren Gesetze zur Datenhoheit mit den praktischen Grenzen großer Cloud-Plattformen. Selbst wenn Anbieter regionale Hosting-Optionen anbieten, gewähren sie Schulen selten das Maß an Kontrolle, das erforderlich ist, um strenge Anforderungen hinsichtlich des Datenstandorts oder der Rechnungsprüfung zu erfüllen. Grenzüberschreitende Replikation (das Kopieren von Daten auf Server in mehreren Ländern für den Fall eines Serverausfalls), automatisierte Backup-Routinen und Modelle der geteilten Verantwortung können die Einhaltung von Vorschriften eher erschweren, als dass sie helfen. Beispielsweise könnte eine Plattform Primärdaten im Inland speichern, während Backups in eine ausländische Gerichtsbarkeit repliziert werden, was technisch gesehen gegen Residenzvorschriften verstößt, ohne dass Sie dies jemals bemerken. 

Leider sind nicht alle Cloud-Plattformen mit strengen Souveränitätsanforderungen kompatibel. Um die Einhaltung dieser Anforderungen zu überprüfen, benötigen Sie ein EdTech-System, das auf offenen Standards basiert und anpassbare Bereitstellungsoptionen bietet, mit denen Sie Ihre eigene Cloud wählen, Residenzvorschriften durchsetzen und die Kontrolle über die gesamte Bewertungspipeline behalten können. 

Wichtige Vorgaben zur Datenhoheit nach Region

Trotz der oben aufgeführten Gemeinsamkeiten spiegelt die Datenhoheit die jeweiligen Rechtssysteme der einzelnen Rechtsordnungen wider. Anstatt jedoch jede einzelne Vorschrift aufzulisten, ist es sinnvoller, die Gemeinsamkeiten zu erkennen und die Bereiche hervorzuheben, in denen Abweichungen für die Beschaffung von Bedeutung sind. 

In verschiedenen Rechtsrahmen wie der DSGVO, FERPA, dem California Consumer Privacy Act (CCPA), das Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente (PIPEDA), das brasilianische Datenschutzgesetz (LGPD) sowie Japans Gesetz zum Schutz personenbezogener Daten (APPI) gibt es mehrere übereinstimmende Anforderungen:

  1. Einwilligung und Benachrichtigung: Nahezu alle Rechtsordnungen verlangen eine Einwilligung nach Aufklärung vor der Erhebung personenbezogener Daten und schreiben vor, dass betroffene Personen über Datenschutzverletzungen informiert werden müssen. Eine Plattform, die keine konfigurierbaren Einwilligungsabläufe und keine automatisierte Benachrichtigung bei Datenschutzverletzungen bietet, stellt in praktisch allen diesen Märkten ein Risiko dar.
  2. Rechte auf Auskunft und Berichtigung: Schüler und/oder Eltern haben fast immer das Recht, ihre Daten einzusehen, zu korrigieren und in vielen Fällen zu löschen. Das bedeutet, dass Plattformen rollenbasierten Zugriff und eine selbstständige Datenverwaltung unterstützen müssen.
  3. Nachprüfbarkeit: Regulierungsbehörden weltweit erwarten von Organisationen, dass sie die Einhaltung von Vorschriften nachweisen und nicht nur behaupten. Dies erfordert überprüfbare Datenflüsse, eine klare Dokumentation und im besten Fall offene Codebasen, die eine unabhängige Überprüfung ermöglichen.

Regionsspezifische Vorschriften

In einigen Rechtsräumen, darunter China und die EU, müssen Daten innerhalb der jeweiligen Landesgrenzen verbleiben. Andere, wie beispielsweise Japan, lassen grenzüberschreitende Übermittlungen zu, allerdings muss das Zielland bestimmte Mindestqualitätsstandards erfüllen. Wenn eine Plattform also mehrere Regionen bedient, benötigt sie konfigurierbare Bereitstellungsoptionen.

Die Durchsetzung unterscheidet sich von Ort zu Ort erheblich. Die DSGVO ist bekannt für ihre konsequente Durchsetzung und hohe Geldbußen, doch die Aufsichtsbehörden in Lateinamerika und Südasien verfügen über geringere Kapazitäten. Allerdings sehen Brasiliens LGPD und Indiens Gesetz zum Schutz personenbezogener Daten sehen jedoch eine strengere Aufsicht vor, sodass Plattformen nachweisen müssen, dass sie in diesen Regionen höhere Standards erfüllen können.

Schließlich gelten in föderalen Staaten wie den USA und Kanada häufig mehrschichtige Vorschriften auf Landes- und Bundesebene. Kaliforniens CCPA und Albertas Gesetz zum Schutz personenbezogener Daten (PIPA) von Alberta erfordern zusätzliche Auflagen, die über die Bundesvorschriften hinausgehen. Das bedeutet, dass Plattformen, die lediglich nationale Standards erfüllen, den Vorschriften auf Bundesstaatsebene möglicherweise nicht genügen. 

Schlussfolgerung 

Angesichts immer strengerer Vorschriften zur Datenhoheit wird die Wahl der Plattform zu einer Frage der Unternehmensführung. Wenn Vorschriften festlegen, wo Daten gespeichert werden, wer darauf zugreifen darf und wie Datenschutzverletzungen gemeldet werden müssen, wird die von Ihnen gewählte Plattform den Rahmen für Ihre Zusammenarbeit mit Eltern und Aufsichtsbehörden auf Jahre hinaus bestimmen.

Um eine langfristige Einhaltung der Vorschriften zu gewährleisten, müssen Beschaffungsverantwortliche neben den eher traditionellen Aufgaben im Bildungsbereich auch Datenschutz, Transparenz und Kontrolle in den Vordergrund stellen. Da sich die Vorschriften ständig weiterentwickeln und bis zu einem gewissen Grad unvorhersehbar sind, ist eine auf offenen Standards basierende Plattform die sinnvollste Wahl, da diese flexibel genug ist, um sich an neue Vorgaben anzupassen. 

Um zu erfahren, wie Plattformen auf Basis offener Standards die Datenhoheit in unterschiedlichen regulatorischen Umfeldern unterstützen können, sehen Sie sich diese hilfreichen Ressourcen von TAO an:

Erfahren Sie, wie Open-Source-EdTech Ihre Compliance stärken kann

Wenn Sie bis hierher gelesen haben, wissen Sie bereits, dass die Debatte um Datenhoheit keine reine Theorie ist. Sie beeinflusst jede Entscheidung, die Sie hinsichtlich der Tools treffen, die Sie in Ihrem Unternehmen einsetzen. Anstatt den Versprechungen anderer blind zu vertrauen, vereinbaren Sie eine Demo, um zu erfahren, wie TAO Bewertungsdaten verwaltet, ohne diese an ein Gewirr externer Dienste weiterzugeben. Eine kurze Sitzung wird Ihnen mehr sagen als ein Dutzend Marketingfloskeln jemals könnten. Vereinbaren Sie noch heute Ihre Demo.

FAQs

Was versteht man unter Datenhoheit im Bildungswesen?
Datensouveränität bedeutet, dass Daten von Lernenden den Gesetzen des Landes unterliegen, in dem sie erhoben oder gespeichert werden. Schulen und Anbieter müssen diese lokalen Vorschriften befolgen und nicht das, was einer Plattform gerade gelegen kommt.

Warum ist der Speicherort von Daten für EdTech von Bedeutung?
In einigen Ländern ist vorgeschrieben, dass Schülerdaten innerhalb der Landesgrenzen verbleiben müssen. Kann eine Plattform den Speicherort nicht garantieren, riskiert die Einrichtung einen Verstoß gegen die Vorschriften und verliert möglicherweise den Zugriff auf die Schülerdaten.

Wie können Bildungseinrichtungen überprüfen, ob eine EdTech-Plattform den Vorschriften entspricht?
Überprüfen Sie, ob die Dokumentation klar verständlich ist, stellen Sie sicher, dass die Systeme überprüfbar sind, und sorgen Sie dafür, dass Sie vollständige Transparenz und Kontrolle darüber haben, wo und wie Daten gespeichert werden. 

 

Mit TAO können Sie technologische Silos aufbrechen, den einfachen Datenaustausch fördern und Kosten einsparen. Klicken Sie hier, um mit einem Spezialisten von TAO Solutions Kontakt aufzunehmen und Ihre EdTech-Landschaft zu optimieren.

TAO
Angetrieben von GDPR Cookie Compliance
Datenschutz Übersicht

Diese Website verwendet Cookies, damit wir Ihnen die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in Ihrem Browser gespeichert und erfüllen Funktionen wie die Wiedererkennung, wenn Sie auf unsere Website zurückkehren, und helfen unserem Team zu verstehen, welche Bereiche der Website Sie am interessantesten und nützlichsten finden.