Skip to content

Risikokultur im Schulalltag

Chancen und Risiken in der Nutzung digitaler Technologien liegen nahe beieinander. Damit die Chancen genutzt und die Risiken erkannt und minimiert werden können, ist eine Sensibilisierung für das Thema entscheidend. Digitale Technologien entwickeln und verändern sich schnell. Deshalb braucht es einen laufenden wiederkehrenden Prozess und klare Zuweisungen von Verantwortlichkeiten in der Schule.

Der Umgang mit Risiken im Schulalltag bedarf eines Zusammenspiels pädagogischer, technologischer, baulicher und organisatorischer Massnahmen. Die Grundlage bilden jedoch sowohl die Werte und Normen, die die Kultur einer Schule begründen, als auch die gesetzlichen Grundlagen. Dabei sollen die gewählten Massnahmen einerseits genügend Sicherheit bieten und andererseits aber auch massvoll und so offen wie möglich sein, damit sie kreative Lern- und Arbeitsprozesse zulassen. 

Im Schulalltag werden digitale Technologien sowohl von Schülerinnen und Schülern als auch von Lehrpersonen und den Mitarbeitenden der Schule genutzt. Jede Technologie prägt massgeblich die Kultur der zwischenmenschlichen Interaktion und birgt ihre spezifischen Risiken. Wie soll mit diesen umgegangen werden? Je nach Schulkultur wird jede Schule diese Frage leicht anders und individuell beantworten. Denn Risikokultur ist Teil der Schulkultur. 

Handlungen sowie Unterlassungen widerspiegeln persönliche, meist unbewusste Grundannahmen. Beispielsweise die Grundannahme, dass Menschen es grundsätzlich gut meinen oder dass Menschen grundsätzlich feindselige Absichten hegen. Demzufolge setzen die einen tendenziell mehr auf Vertrauen, die andern mehr auf Kontrolle. Zugespitzt ausgedrückt: Als Schule gilt es, punkto Risikokultur einen Weg zu finden zwischen Kontrollwahn und Naivität. Wichtig dabei: Der von der Schule eingeschlagene Weg soll von allen Beteiligten mitgetragen und eingehalten werden. Bei den sich rasch entwickelnden digitalen Technologie bedarf es einer immerwährenden Wachsamkeit für neue Risiken, die kommuniziert und minimiert werden müssen. Zu meinen, jederzeit alle Risiken ausschliessen zu können, wäre allerdings wenig realistisch. Mit dieser Tatsache muss eine Schule leben lernen. Neben eher unsichtbaren Elementen wie Haltungen, Werten und Normen sind es aber die Artefakte, die die Kultur manifestieren. Artefakte sind zum Beispiel die gemeinsam festgelegten, konkreten Regelungen im Umgang mit Risiken, die Rollenzuweisung oder angesetzte Weiterbildungen zum Umgang mit Risiken. Grundannahmen, Werte und Normen sowie Artefakte beeinflussen sich stets gegenseitig.

Kulturebenenmodell nach Schein

Die folgenden Akkordeonmenus zeigen auf, welche konkreten Elemente für eine gelebte Risikokultur wichtig sind.

Sensibilisierung

Schulführung und Mitarbeitende müssen erkennen, akzeptieren und verinnerlichen, dass die Schule durch den Einsatz digitaler Technologien zwangsläufig internen und externen Risiken ausgesetzt ist, die sie mehr oder weniger stark beeinflussen kann. Werden neue Technologien und Tools evaluiert und wird mit ihnen gearbeitet, sollten ob der Neugier und der Freude über neue Möglichkeiten stets auch die Risiken klar im Auge behalten werden. Zu einer Sensibilisierung gehören die Information über Sinn und Zweck der Massnahmen zur Minimierung der Risiken sowie über die Tragweite bei Schadensfall. Handeln die Mitarbeitenden nicht entsprechend den vereinbarten Regeln, liegt es in den meisten Fällen an Unwissenheit, Nichtbeachten von Sicherheitsmassnahmen, Sorglosigkeit im Umgang mit digitalen Technologien und fehlender Sensibilisierung durch die Führungspersonen an der Schule.

Daher sind folgende «Ws» für Mitarbeitende wichtig:

  • «worum geht es?»
  • «wo wird es relevant?»
  • «was ist nun zu tun?»

Auch hier gilt: Was nicht regelmässig aufgefrischt wird, verblasst. Damit die Sensibilisierung gelingt, muss an Beispielen alltägliches risikoreiches sowie risikominimierendes Verhalten aufgezeigt und erklärt werden. Am besten geschieht dies in gezielten Weiterbildungen für Lehrpersonen und Mitarbeitende. Im Sinne eines pädagogischen Doppeldeckers sollten idealerweise auch gleich die persönlichen Kompetenzen der Lehrpersonen für den Aufbau des eigenen Risikomanagements aufgebaut werden. 

Massnahmen im Detail

Konkrete Massnahmen, um die Risiken zu reduzieren, lassen sich den folgenden Bereichen zuordnen. In der Regel ist eine Kombination von Massnahmen aus verschiedenen Bereichen sinnvoll. 

  • Pädagogik
  • Organisation
  • Technik
  • Bau 

Die pädagogischen Massnahmen definieren sich über die Inhalte des Lehrplans 21 als Lernen über Medien und ihre Risiken sowie das Arbeiten mit diesen Medien und die Reflexion ihrer Nutzung. Organisatorische Massnahmen sind Verantwortlichkeiten und Prozesse, die klar geregelt sein müssen. Dazu gehört zum Beispiel ein klar definierter Ablauf mit bestehenden Vorlagen, wenn Bilder von Kindern publiziert werden sollen, oder die Zuständigkeit über die Anschaffung eines Logins für ein Blog-Tool. Technische Lösungen sind natürlich eine gute Möglichkeit, um Risiken zu reduzieren. Neben dem Wissen, wie zum Beispiel Zugriffe auf bestimmte Websites eingeschränkt werden, braucht es aber vor allem auch das Bewusstsein dafür, dass technische Lösungen auch ausfallen oder von gewitzten Nutzerinnen und Nutzern umgangen werden können. Anstatt die technischen Massnahmen immer strikter auszugestalten und die Freiheiten für alle immer mehr einzuschränken, kann es – innerhalb gewisser Grenzen – sinnvoller sein, auf Massnahmen aus anderen Bereichen auszuweichen, z.B. durch pädagogische Massnahmen wie das Thematisieren von Chancen und Risiken der Mediennutzung oder des unverschlüsselten Versendes von Daten beim Bau eines Schulhauses oder dessen Sanierung können bereits unterstützende Massnahmen angedacht werden wie zum Beispiel genügend sicherer Stauraum für Server oder Stromanschlüsse für die Geräte.

1. Pädagogische Vorkehrungen

Der Zürcher Lehrplan 21 enthält in den Modulen Medien und Informatik wichtige Aspekte sowohl zum Umgang mit Risiken als auch zur Nutzung von Chancen. Die direkte Anwendung im Schulalltag und hier insbesondere auch in den verschiedenen Fachbereichen ermöglicht es Schülerinnen und Schülern, den Umgang mit Risiken und Chancen zu üben und zu reflektieren. Folgende Kompetenzen aus dem Zürcher Lehrplan 21 unterstützen die Entwicklung einer Risikokultur:

- Stufengerechte Mediennutzung und -reflexion:

Schülerinnen und Schüler...

  • können spielerisch und kreativ mit Medien experimentieren. (Zyklus 1)
  • können in ihren Medienbeiträgen die Sicherheitsregeln im Umgang mit persönlichen Daten einbeziehen (z.B. Angaben zur Person, Passwort, Nickname). (Zyklus 2)
  • können Folgen medialer und virtueller Handlungen erkennen und benennen (z.B. Identitätsbildung, Beziehungspflege, Cybermobbing). (Zyklus 2)
  • können mittels Medien kommunizieren und dabei die Sicherheits- und Verhaltensregeln befolgen. (Zyklus 2)
  • können Medien für gemeinsames Arbeiten und für Meinungsaustausch einsetzen und dabei die Sicherheitsregeln befolgen. (Zyklus 2)
  • können Regeln und Wertesysteme verschiedener Lebenswelten unterscheiden, reflektieren und entsprechend handeln (z.B. Netiquette, Werte in virtuellen Welten). (Zyklus 3)
  • können Chancen und Risiken der Mediennutzung benennen und Konsequenzen für das eigene Verhalten ziehen (z.B. Vernetzung, Kommunikation, Cybermobbing, Schuldenfalle, Suchtpotenzial). (Zyklus 3)
  • können Verflechtungen und Wechselwirkungen zwischen physischer Umwelt, medialen und virtuellen Lebensräumen erkennen und für das eigene Verhalten einbeziehen (z.B. soziale Netzwerke und ihre Konsequenzen im realen Leben). (Zyklus 3) 

- Stufengerechte Technologienutzung und -reflexion:

Schülerinnen und Schüler...

  • können Daten mittels selbstentwickelter Geheimschriften verschlüsseln. (Zyklus1)
  • können sich mit eigenem Login in einem lokalen Netzwerk oder einer Lernumgebung anmelden. (Zyklus 1)
  • kennen verschiedene Speicherarten (z.B. Festplatten, Flashspeicher, Hauptspeicher) und deren Vor- und Nachteile und verstehen Grösseneinheiten für Daten. (Zyklus 2)
  • können erklären, wie Daten verloren gehen können und kennen die wichtigsten Massnahmen, sich davor zu schützen. (Zyklus 2)
  • können lokale Geräte, lokales Netzwerk und das Internet als Speicherorte für private und öffentliche Daten unterscheiden. (Zyklus 2)
  • können die Risiken unverschlüsselter Datenübermittlung und -speicherung abschätzen. (Zyklus 3)
  • können Methoden zur Datenreplikation unterscheiden und anwenden (Backup, Synchronisation, Versionierung). (Zyklus 3)
  • können Dokumente so ablegen, dass auch andere sie wieder finden. (Zyklus 3)

2. Organisatorische Massnahmen

Es ist der alltägliche Umgang mit Risken und Chancen, der die gelebte Risikokultur definiert. Um dieses Handeln zu steuern und das von der Schule angestrebte Sicherheitsniveau zu erreichen, muss ein Risikomanagementprozess definiert, dokumentiert und umgesetzt werden. Dazu ist eine Organisationsstruktur erforderlich, die die Rollen festlegt und ihnen klare Aufgaben zuordnet:

  • Der Risikoprozess ist definiert  
  • Organisationsstruktur ist aufgebaut (Aufgaben sind den Rollen zugeteilt) 
  • Die Regelungen sind erarbeitet und werden verbindlich eingehalten (zum Beispiel Umgang  mit Mail, Fotografieren im Unterricht etc.)
  • Die Sensibilisierung der Mitarbeitenden findet regelmässig statt, zum Beispiel durch ein fixes Traktandum in einem der Austauschgefässe oder eine verantwortliche Person, die das Thema in regelmässigen Abständen einbringt. 
  • Weiterbildungen der Mitarbeitenden finden geplant und falls notwendig auch adhoc statt.
  • Vorfälle werden gemeldet und Massnahmen daraus abgeleitet. Dabei ist eine positive Fehlerkultur hilfreich. 
  • Kontrollen zur Einhaltung der geltenden Regeln finden regelmässig statt.
  • Getroffene Massnahmen werden bezüglich ihrer Notwendigkeit regelmässig überprüft. Nicht umsetzbare Massnahmen werden ersetzt oder aufgehoben. 

3. Technische Vorkehrungen

Das Treffen technischer Massnahmen unterstützt die pädagogischen und organisatorischen Massnahmen. Wichtig ist, dass die getroffenen technischen Massnahmen in Weiterbildungen erklärt werden, damit Ausfälle erkannt werden, zum Beispiel wenn der Webfilter nicht mehr aktiv ist. Je nach Schule sind es andere technische Vorkehrungen, die getroffen werden müssen. Dies ist mit dem lokalen Second-Level-Support zu klären. Hier einige Beispiele:

  • Zu den ICT-Ressourcen (Geräte, Netzwerk usw.) haben nur berechtigte Personen Zugriff.
  • Das Netzwerk der Mitarbeitenden und das der Lernenden werden so getrennt, dass kein unerlaubter Zugriff auf Inhalte des anderen Netzwerks möglich ist.  
  • Netzwerke und Daten werden durch eine zentrale Firewall gegen schadhaftes Verhalten von innen und aussen geschützt.
  • Es werden täglich Backups angelegt.
  • Ein Austausch personensensitiver Daten über das Schulnetzwerk ist nur anonymisiert oder verschlüsselt möglich.  
  • Die definitive Löschung von Daten ist möglich. 

4. Bauliche Massnahmen

Auch bauliche Massnahmen können Risiken reduzieren. Bei einem Neu- oder Umbau sind solche Aspekte bereits in der Planung einzubeziehen:

  • Die Infrastruktur wird so platziert, dass sie nicht ohne weiteres entfernt werden kann (zum Beispiel Beamer an der Decke).
  • Genügend Stauraum damit die Arbeitsgeräte bei Nichtgebrauch entsprechend verstaut werden können.
Informationssicherheit

Mit der Ausarbeitung des eigenen Informationssicherheits- und Datenschutzkonzepts (ISDS-Konzept) wird der Rahmen für den bewussten Umgang mit Risiken geschaffen. Basierend auf den Unterlagen des Datenschutzes des Kantons Zürich wurden in Zusammenarbeit mit der ZHAW die verschiedenen notwendigen Dokumente aufgearbeitet, die in einer Schule die wichtigsten Aspekte im Bereich des Risikomanagements und insbesondere in der Informationssicherheit regeln sollen. Diese beinhalten mehrheitlich formelle Aspekte. Wie so oft, liegt die Herausforderung in der alltäglichen Umsetzung. Gelingensbedingung dafür ist  die formelle Erarbeitung bzw. Anpassung der Dokumente gemäss der Webseite der Datenschutzbeauftragten des Kantons Zürich, damit verbunden auch der die Klärung der Verantwortlichkeiten, dem Erfassen des Schutzbedarfes und sowie dem Ergreifen von geeigneten Massnahmen.

Seit dem September 2023 läuft ein Pilotprojekt des Schulpräsidienverbandes (ZVS) zusammen mit dem Volksschulamt zusammen mit 11 Schul(-Gemeinden), um die Dokumente der Datenschutzbeauftragten zur Informationssicherheit an den Zürcher Volksschulen umzusetzen. Der Leitfaden gibt einen guten Überblick, was es bei der Erarbeitung eines Informationssicherheitskonzepts zu beachten und durchzuarbeiten gilt. Der Leitfaden verweist auf verschiedene dazugehörige Dokumente, welche alle ebenfalls auf der Webseite des Datenschutzes Zürich zu finden sind. Im Laufe des Piloten werden diese Dokumente umgesetzt und die erarbeiteten Hilfestellungen dazu veröffentlicht.

Der Pilot wird noch bis zum Sommer 2025 dauern. In der Zwischenzeit hat eine weitere Gruppe an Schul(-Gemenden) mit der Umsetzung gestartet. Diese neusten Erkenntnisse fliessen laufend ein. Die hier im ICT-Coach publizierten Dokumente werden daher auch laufend angepasst.