News

Digitale Endgeräte sind aus dem Unterricht nicht mehr wegzudenken. iPads sind an vielen Schulen Standard, und Mobile-Device-Management-Systeme (MDM) sorgen dafür, dass Geräte sicher, einsatzbereit und pädagogisch sinnvoll verwaltet werden können. Doch immer deutlicher zeigt sich: Nicht jedes MDM ist für den schulischen Einsatz datenschutzrechtlich geeignet. Insbesondere wenn Schulen auf Apple-Geräte setzen, wird häufig JAMF verwendet – eine verbreitete und technisch ausgereifte Lösung. Doch die wenigsten wissen, welche Konsequenzen dies für die Datenhoheit hat.

Apple und JAMF: Wer kontrolliert wirklich die Daten?

Sobald ein iPad über JAMF verwaltet wird, greifen zwei Mechanismen ineinander:

1. Apple kontrolliert Betriebssystem und iCloud-Struktur, inklusive Telemetrie- und Device-Informationen.
2. JAMF stellt das Verwaltungsframework bereit, das eng mit Apples APIs verzahnt ist.

Damit entsteht ein System, bei dem die Schule zwar Verwaltungsrechte besitzt – Apple aber jederzeit Einblick in eine Vielzahl gerätebezogener Informationen hat. Dazu zählen unter anderem:

• Geräte-IDs
• Nutzungs- und Diagnosedaten
• Konfigurationsinfos
• und – besonders sensibel – Standortdaten

Genau diese Standortdaten gelten nach europäischem und schweizerischem Datenschutzrecht als hochgradig schützenswerte personenbezogene Daten. Sie erlauben Rückschlüsse auf Bewegungsmuster, Aufenthaltsorte und sogar den Tagesablauf eines Kindes. Wer weiß, wo ein Kind ist – weiß viel zu viel.

Schweizer privatim-Resolution: Ein deutliches Warnsignal

Die neue privatim-Resolution (Konferenz der schweizerischen Datenschutzbeauftragten) hat deshalb unmissverständlich formuliert:
Schulen dürfen besonders schützenswerte Daten – insbesondere Standortdaten – nicht in Infrastrukturen speichern oder verarbeiten lassen, die für US-Anbieter zugänglich sind.

Der Hintergrund ist klar:
Auch wenn ein US-Anbieter Rechenzentren in der EU oder der Schweiz nutzt, kann er aufgrund des US Cloud Act weiterhin verpflichtet werden, Daten offenzulegen. Das betrifft Apple, Google, Microsoft und alle US-Anbieter – unabhängig vom Serverstandort.

Damit wird der Einsatz vieler gängiger MDM-Lösungen in Schulen rechtlich problematisch. Wer mit JAMF arbeitet, nutzt zwangsläufig Apples Infrastruktur – und damit auch das Risiko einer Datenübermittlung in ein Umfeld außerhalb der schweizerischen Hoheitszone.

Was bedeutet das für Schulen?

• Standortdaten gelten als besonders sensibel – und gehören nicht in die Hände ausländischer Plattformbetreiber.
• Die privatim-Vorgaben machen deutlich: Schulen müssen Lösungen wählen, bei denen die Datenverarbeitung vollständig in ihrem Einflussbereich bleibt.
• Ein MDM, das Daten an US-Konzerne weiterleitet oder technisch nicht vollständig unabhängige Infrastruktur bereitstellt, widerspricht zunehmend den Anforderungen an den Kinderdatenschutz.

Die Alternative: Ein unabhängiges MDM wie SOTI MobiControl

SOTI MobiControl bietet im Vergleich zu Apple-basierten MDM-Systemen einen entscheidenden Vorteil:

Es ist plattformunabhängig, datensparsam und vollständig kontrollierbar, ohne dass Daten in Ökosysteme großer US-Technologiekonzerne abfließen.

Zu den wichtigsten Vorteilen gehören:

• Keine Weitergabe von Standortdaten an Apple, Google oder andere Plattformbetreiber
• Selbst wählbarer Hosting-Standort (on-premise oder in einer rechtlich kontrollierten Cloud)
• Minimale Telemetrie, keine versteckten Hintergrunddienste
• Autarke Verwaltung ohne Abhängigkeit von US-APIs für Diagnosedaten
• Transparenz und Nachvollziehbarkeit, welche Daten wohin fließen

Fazit: Verantwortung übernehmen – Daten schützen

Wenn Schulen digitale Lernumgebungen bereitstellen, tragen sie eine enorme Verantwortung. Es geht nicht nur um Geräteverwaltung, sondern um die Sicherheit von Kindern. Die privatim-Resolution zeigt klar: Standortdaten und andere sensible Informationen von Schülerinnen und Schülern dürfen US-Anbietern nicht zugänglich sein.

Ein freies, datenschutzfreundliches und kontrollierbares MDM wie SOTI MobiControl schafft genau das:
Datensouveränität für Schulen – und echten Schutz für Kinder.

Der Einsatz von Smartphones an Schulen bleibt ein kontrovers diskutiertes Thema. Dies zeigt sich an zwei gegensätzlichen Positionen aus den Kantonen Uri und Aargau – und zeigt, wie stark Schulen zwischen pädagogischer Freiheit, gesellschaftlichen Erwartungen und technologischen Entwicklungen stehen.

Zwei Positionen – ein gemeinsames Ziel

Georg Simmen (Regierungsrat Uri, FDP) argumentiert, dass generelle Handyverbote wenig bringen. Sie seien oft Symbolpolitik, würden im Alltag umgangen und förderten heimliche Nutzung statt verantwortlichen Umgang. Handys seien Teil des Lebens junger Menschen — in der Freizeit, in der Familie und in der Kommunikation. Daher müsse Schule Orientierung bieten, statt zu verbieten.

Simmen fordert klare Regeln statt Totalverbote:

• Smartphones sollen nutzbar sein, wo sie didaktisch sinnvoll sind.
• Sie sollen schweigen, wenn sie stören.
• Medienkompetenz müsse aktiv vermittelt werden.

Die Schule sei ein Ort, an dem junge Menschen lernen, Verantwortung zu übernehmen — auch digital.

Martina Bircher (Regierungsrätin Aargau, SVP) sieht es anders: Kinder benötigen klare Grenzen und Begleitung, gerade wenn Technologie schnell voranschreitet. Viele Kinder seien mit der permanenten Vernetzung überfordert. Ein kantonal einheitliches Regelwerk schaffe Orientierung, ermögliche ruhigen Unterricht und fördere soziale Interaktion in den Pausen.

Sie betont:

• Die Kompetenzvermittlung bleibt altersgerecht und eingebettet in Medienerziehung.
• Ein kantonales Rahmenwerk schützt, ohne die digitale Zukunft zu ignorieren.
• Rückmeldungen aus Schulen und Elternschaft seien überwiegend positiv.

Ihre Sicht: Klare kantonale Leitlinien stärken Schulen, ohne deren pädagogische Freiheit einzuschränken.

Fazit

Beide Positionen zeigen dieselbe Herausforderung:

Wie schaffen Schulen den Spagat zwischen Schutz, klaren Regeln und zeitgemäßer Medienkompetenz?

Während Simmen auf pädagogische Verantwortung und Bildung zielt, setzt Bircher auf Regelklarheit und Schutzräume. Gemeinsamer Nenner:

Schülerinnen und Schüler brauchen Orientierung — durch Regeln, Begleitung und schrittweise Medienkompetenz.
Was in beiden Perspektiven fehlt: Wie Schulen den sicheren, pädagogisch sinnvollen und datenschutzkonformen Umgang technisch gewährleisten können. Hier kommt BYOD und Mobile Device Management ins Spiel.

Moderner BYOD-Ansatz für Schulen – sicher umgesetzt mit SOTI MobiControl

Viele Schulen möchten Smartphones nicht komplett verbieten, sondern sie unter klaren Rahmenbedingungen erlauben und kontrollieren. BYOD („Bring Your Own Device“) kann dabei ein sinnvoller Mittelweg sein — wenn es technisch sauber umgesetzt wird.

SOTI MobiControl als BYOD-Lösung für Schulen

SOTI MobiControl ist eine professionelle Mobile-Device-Management-Plattform, die Schulen erlaubt, private Geräte der Schüler sicher und kontrolliert einzubinden — ohne Privatsphäre zu verletzen.

So könnte ein BYOD-Modell aussehen:

1.Kontrollierter Zugang statt Wildwuchs

• Nur registrierte Geräte kommen ins Schulnetz.
• MobiControl prüft automatisch Betriebssystem, Sicherheitsstatus und Compliance.

2.Klare Nutzungseinschränkungen

Während des Unterrichts oder auf dem Schulgelände können z.B. automatisiert aktiviert werden:

• Sperrung von Social-Media-Apps
• Abschalten der Kamera (Schutz der Privatsphäre)
• Blockierung von Games, Streaming oder privaten Messengern
• Aktivierung eines „Schulmodus“ zu festen Zeiten

Diese Regeln lassen sich pro Klasse, Jahrgang oder Unterrichtsfach flexibel steuern.

3.Datenschutz: Trennung von privat & schulisch

Mit einem „Container-Konzept“:

• Schul-Apps + schulische Daten bleiben klar getrennt.
• Private Fotos, Nachrichten oder Apps sind für die Schule nicht einsehbar.
• Beim Austritt kann der Schul-Container remote gelöscht werden.

4.Sicherheit & Compliance

• Erzwingen von Geräteverschlüsselung
• Sichere Anmeldung (z. B. MFA)
• Automatische Updates und Patch-Verteilung
• Remote-Sperren oder Entfernen bei Verlust

5.Transparente Richtlinien & Medienpädagogik

Die Schule definiert:

• wann und wie Geräte erlaubt sind
• welche Funktionen aktiv sein dürfen
• wie Datenschutz garantiert wird
• wie Medienkompetenz systematisch vermittelt wird

Diese Kombination aus pädagogischer Begleitung + technischer Absicherung erfüllt die Ziele beider oben zitierter Regierungsräte.

Schlussfolgerung für die Praxis

• Ein reines Handyverbot greift zu kurz.
• Eine unregulierte Nutzung überfordert viele Schüler.
• Der nachhaltigste Weg ist ein regelbasiertes System, das pädagogische Freiheit, Schutz der Kinder und digitale Realität verbindet.

Mit einer BYOD-Strategie auf Basis von SOTI MobiControl können Schulen:

• sicheren Unterricht gewährleisten
• Ablenkungen minimieren
• Datenschutz einhalten
• Medienkompetenz praxisnah vermitteln
• gleichzeitig flexibel bleiben

Das macht eine kantonale Regelung konkret umsetzbar, ohne dass Verbote zur Symbolpolitik verkommen.

Grundlage neue privatim Resolution vom 24.11.2025

Hintergrund

Mit der neuen privatim-Resolution zur Nutzung internationaler Cloud-Dienste stehen Schweizer Schulen vor der Frage, wie sie sensible personenbezogene Daten rechtskonform verarbeiten können. Internationalen SaaS-Anbietern wird nur dann Vertrauen ausgesprochen, wenn echte Ende-zu-Ende-Verschlüsselung mit Schlüsselhoheit beim Schulträger gewährleistet ist – etwas, das die meisten Plattformen (inkl. Microsoft 365) derzeit nicht bieten, ohne dass kollaboratives Arbeiten massiv eingeschränkt wird.

Zentrale Herausforderungen bei US Cloud-Lösungen

1. Problem: Fehlende echte Verschlüsselung bei M365

• Für besonders schützenswerte Personendaten fordert privatim eine Client-seitige Verschlüsselung mit Schlüsselhoheit bei der Behörde
• M365 erlaubt zwar Verschlüsselung, aber keine vollwertige Ende-zu-Ende-Verschlüsselung, wenn kollaborativ gearbeitet werden soll.
• Wird verschlüsselt → keine Zusammenarbeit mehr möglich
• Wird nicht verschlüsselt → nicht datenschutzkonform für viele Schultypen und Datenkategorien.

1. Verschlüsselung ist technisch aufwendig

• Verschlüsselungsverfahren altern und müssen laufend angepasst werden.
• Für Schulen ist dieser Aufwand praktisch nicht realistisch, besonders bei knappen IT-Ressourcen.

Pragmatischer Lösungsansatz für Schweizer Schulen

Konsens: Bevor man versucht, komplexe Verschlüsselungsprobleme in der Cloud zu lösen, sollte man die Basis sauber aufbauen.

Die empfohlene Basis-Architektur

1.IDM (Identity Management) auf eigenem Server betreiben

• Schulen oder Schulträger behalten die volle Kontrolle über Identitäten der Lernenden und Lehrpersonen.
• Keine externen Datenabflüsse bei Login-/Account-Verwaltung.
• Ein solides IDM bildet das Rückgrat für alle weiteren digitalen Dienste.

2.MDM (Mobile Device Management) selbst hosten

• Geräteverwaltung und -steuerung bleiben in Hoheit der Schule.
• Mit einer systemoffenen Lösung ist gewährleistet, dass die Schule sich nicht von einem Hersteller/ System abhängig macht.
• Keine schützenswerten Gerätedaten (z. B. installierte Apps, Zertifikate, Nutzungsverhalten) gelangen an internationale Anbieter.
• Erlaubt sichere Integration eigener Apps und zukünftiger Plattformen.

3.Sensible Kommunikation und Daten in andere Systeme auslagern

• Über Klapp, IServ, CMI und weitere Module können diese Daten an entsprechend DSG-konforme Systeme ausgelagert werden
• Durch das unabhängige IDM als zentrale Schlüsselstelle erhalten die einzelnen Module nur die nötigsten Daten
• Für die Benutzerinnen und Benutzer ist der Wechsel zwischen den einzelnen Modulen nicht merkbar, da auch diese über SSO angebunden sind.
• Dank des zentralen IDM können Benutzerinnen und Benutzer nur die Module und Daten sehen, für die sie passende Rechte und Rollen haben.

Der Vorteil dieser Architektur

Sind IDM + MDM sauber intern aufgebaut:

• Daten bleiben bei der Schule.
• Keine globale Cloud-Abhängigkeit für zentrale Identitätsdaten.
• M365 kann angebunden werden, aber nur mit den nötigsten, nicht-sensiblen Daten.
• Bestehende und zukünftige Systeme können jederzeit flexibel integriert werden.
• Datenschutzanforderungen werden strukturell erfüllt – nicht durch komplizierte, fehleranfällige Zusatzverschlüsselung.

Fazit

Statt zu versuchen, internationale Cloud-Dienste datenschutzrechtlich passend zu verschlüsseln (was technisch kaum umsetzbar ist und kollaboratives Arbeiten verhindert), sollten Schulen auf eine robuste Eigeninfrastruktur für IDM und MDM setzen. Damit bleibt man souverän, erfüllt die Anforderungen von privatim und kann trotzdem moderne Tools wie M365 selektiv und kontrolliert einbinden.

To Do

Lassen Sie uns gemeinsam Ihre individuell passende Lösung erarbeiten.