In diesem Beitrag geht es ums „Ländle“ beziehungsweise um die Digitalisierung des Bildungswesens in Liechtenstein. Die Problematiken bei diesem Thema sind sehr ähnlich gelagert wie in dem von mir am 28. Juni publizierten Republik-Artikel: es geht um Abhängigkeiten von BigTech-Firmen wie Microsoft, unklare Verantwortlichkeiten, übergangene Eltern.
Interessant dabei: Obwohl das Fürstentum sich auf Schweizer Regelwerke beruft, gilt in Datenschutzfragen in letzter Instanz doch Europa-Recht, wie das folgende Beispiel zeigt.
Der Vater eines Gymnasiasten in Vaduz führte einen zähen Kampf mit den örtlichen Schulbehörden. So wurde sein minderjähriger Sohn dazu aufgefordert sich ein Microsoft-Konto anzulegen, um sich auf der Plattform schulen.li zu registrieren. Die Site ist nämlich ohne Microsoftkonto gar nicht aufrufbar. Auf schulen.li wird in den Nutzungsbedingungen auf einen Service-Vertrag mit dem Big Tech-Konzern aus Redmond hingewiesen. Diese enthielten zwei „Killer-Bestimmungen“ :“Sie versichern, dass Sie in dem Land, in dem Sie leben, entweder volljährig sind oder das Einverständnis eines Elternteils haben (…).“
Denn: Weder das Eine noch das Andere war zutreffend im Fall des Gymnasiasten.
Der Vater widersetzte sich einer Kontoerstellung für seinen Sohn. Er berief sich dabei auf die DSGVO (Artikel 6 und 7) und behauptet in seiner Beschwerde, dass der Microsoft-Servicevertrag nur mit Einwilligung der Eltern abgeschlossen werden könnte. Die liechtensteinische Datenschutzbehörde gab dem Vater recht: sie hat am 27. November eine Verfügung gegen das lokale Schulamt eingereicht. Diese Verfügung liegt DNIP.ch vor.
Darin wird festgehalten, dass die Microsoft-Tools als digitale Lehrmittel datenschutzkonform – gemäss EU-Recht- auszugestalten seien. Alleine schon der Umstand dass die Seite Schulen.li nicht ohne entsprechendes Microsoft-Konto genutzt werden könne, widerspreche der Wahlfreiheit und Freiwilligkeit (Artikel 7 DSGVO).
Das Schulamt liess diese Begründung kalt. Die Behörde verwies in seiner Korrespondenz mit dem betroffenen Vater auf den Schweizer Rahmenvertrag von Educa mit Microsoft (Gültigkeit von 2020-2023), der auch für Liechtensteinische Schulen gilt. Educa ist die Fachagentur für den digitalen Bildungsraum Schweiz.
Eine Informationspflicht käme demnach „nur bei urteilsunfähigen Kindern zum Tragen“, argumentiert das Schulamt. Doch der betroffene Vater widerspricht und beruft sich auf EU-Recht: denn gemäss Artikel 13 DSGVO müsse die Informationspflicht bereits bei der Erstnutzung, also ab dem Zeitpunkt in dem Daten erhoben werden, erfolgen.
Das Schulamt findet, es habe in genügender Form über die Nutzung informiert. Fast schon absurd ist dabei die Aussage der Schulbehörde (in der Korrespondenz mit dem betroffenen Vater), er sei ja mündlich informiert worden von der Lehrperson (über die Datennutzung durch Microsoft). Andernfalls hätte er seine Mail an die Schulbehörden 28. August gar nicht verfassen können (weil der Kenntnisstand gefehlt hätte). Die Beschwerde alleine sei also Beleg genug für eine ausreichende Information, so die Interpretation.
In der Verfügung wird interessanterweise erwähnt, dass der Rahmenvertrag, auf den sich das Schulamt berufe, gar nicht der Behörde vorliege. Die Liechtensteinische Datenschutzstelle musste diesen erst anfordern bei der massgebenden Fachagentur Educa. Das bedeutet: die Liechtensteinischen Schulbehörden stützten sich im schulischen Alltag auf ein Regelwerk, dessen Inhalte sie gar nicht vor sich liegen haben. Man geht offenbar davon aus, dass Eltern und SchülerInnen diesen kennen und selber anfordern.
Doch zurück zum Rechtskonflikt: DSG/Educa versus DSGVO.
Bemerkenswert ist dabei Seite 9 der Verfügung: Die Liechtensteinische Schulbehörde beruft sich auf den Rahmenvertrag und findet, dieser allein genüge als rechtliche Grundlage für die Bearbeitung von Schülerinnendaten. Dem widerspricht die Liechtensteinische Datenschutzbehörde: für den Kleinstaat gelte die DSGVO in erster Linie, Educa-Rahmenvertrag hin oder her.
„Dazu ist auszuführen, dass dieser Rahmenvertrag Schweizer Recht untersteht und folglich nicht die Anforderungen der DSGVO erfüllen muss. In Fürstenstum besteht die Informationspflicht gemäss Artikel 13 DSGVO, unbeschadet anderslautender Bestimmungen in diesem Rahmenvertrag.“
Datenschutzstelle Liechtenstein in der Verfügung
Dr. Marie-Louise Gächter, Leiterin der Datenschutzstelle Liechtenstein, bestätigt auf Anfrage dass die DSGVO massgebend ist fürs Ländle:
„Liechtenstein ist Teil des Europäischen Wirtschaftsraums (EWR), und die DSGVO gilt unmittelbar im EWR, sprich gleichermassen wie in der EU. In der Schweiz ist dies anders. Der Rahmenvertrag von educa.ch werde daher derzeit auf DSGVO-Tauglichkeit überprüft.„
Dr. Marie-Louise Gächter, Leiterin der Datenschutzstelle Liechtenstein
Der Fall beschäftigt nun auch die Politik. Am 6. Juni reichte der Landtagsabgeordnete Pascal Ospelt eine „Kleine Anfrage“ ein: „Verwendung von Microsoft 365 und Apple-Lösungen an unseren Schulen.“
Die Regierungsrätin Dominique Hasler (Partei Vaterländische Union) bestätigte 5 Tage später – am 11. Juni- dass man sich derzeit intensiv mit diesem Thema auseinandersetze. Der rechtliche Status der Educa-Rahmenverträge in Liechtenstein ist also bis heute immer noch ungeklärt.
„.. prüft die Datenschutzstelle (DSS), ob in Bezug auf «www.schulen.li» alle Anordnungen der DSS erfüllt wurden. Diese Prüfung ist noch nicht vollends abgeschlossen. Konkret geht es darum festzustellen, ob der Rahmenvertrag zwischen Microsoft und der Educa, an dem Liechtenstein durch die Mitgliedschaft in der EDK (Schweiz. Konferenz der kantonalen Erziehungsdirektoren) beteiligt ist, alle Voraussetzungen der Datenschutzgrundverordnung (DSGVO) erfüllt.“
Antwort von Regierungsrätin Dominique Hasler auf die Kleine Anfrage von Ospelt
Gemäss der Verfügung vom 27. November 2020 sollte das Schulamt den Einsatz der Microsoft-Tools datenschutzkonform gemäss DSGVO ausgestalten. Und zwar innert 12 Wochen.
Doch: das ist bis heute nicht geschehen. Es werde einfach „weitergewurschtelt“ mit Microsoft, wie der betroffene Vater sagt.
Gächter von der Datenschutzstelle Liechtenstein nimmt die Schulbehörde jedoch in Schutz. Sie hätte ihre Hausaufgaben gemacht, die Prüfung von deren Legitimität liegt nun in den Händen des Watchdogs beziehungsweise bei den lokalen Datenschutzbehörden:
„Das Schulamt hat für die Umsetzung der Anweisungen in der Verfügung der Datenschutzstelle viel Arbeit geleistet. Wir sind im Moment dabei, diese zu prüfen. Es ist allerdings ein sehr komplexer Prozess, da sich im Moment auf diesem Gebiet sehr viel tut und wir diese neuen Erkenntnisse auch in unserer Prüfung mitberücksichtigen müssen.“
Dr. Marie-Louise Gächter, Leiterin Datenschutzstelle Liechtenstein
Liechtenstein ist ein Beispiel dafür, wie verschiedene Rechtsordnungen miteinander kollidieren können. Denn obwohl die DSGVO massgebend ist für das EWR-Mitglied Liechtenstein, orientiert sich Liechtenstein seit jeher an den Gesetzen und Auflagen der Schweiz. Interessant an diesem Fall: Die Frage ob der Schweizer Educa-Rahmenvertrag mit Microsoft nun EU/dgsvo-Konform ist oder nicht, ist auch immer wieder Gegenstand hiesiger Debatten.
Das „Ländle“ wird diese Frage nun voraussichtlich noch vor der Schweiz rechtlich klären.