Datenschutz an Schulen und Bildungseinrichtungen: DSGVO-Anforderungen
Kinderdaten unterliegen besonderem Schutz. Erfahre, welche DSGVO-Regeln für Schulen gelten -- von der Einwilligung über Schul-Websites bis zu Microsoft Teams, Fotos und digitalen Klassenbüchern.
Schulen und Bildungseinrichtungen verarbeiten tagtäglich personenbezogene Daten von Kindern und Jugendlichen — eine besonders schutzwürdige Personengruppe. Die DSGVO stellt hier hohe Anforderungen, die viele Schulträger und Lehrkräfte überfordern. Dieser Artikel erklärt die zentralen Pflichten, zeigt typische Stolperfallen und liefert konkrete Handlungsempfehlungen für Schul-Websites, digitale Werkzeuge und den Umgang mit Schülerfotos.
Besonderer Schutz von Kinderdaten
Erwägungsgrund 38 der DSGVO stellt klar: Kinder verdienen besonderen Schutz bei der Verarbeitung ihrer personenbezogenen Daten, weil sie sich der Risiken und Folgen weniger bewusst sind. Art. 8 DSGVO regelt die Einwilligung von Kindern bei Diensten der Informationsgesellschaft (z.B. Online-Plattformen).
Die wichtigsten Grundsätze:
- Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) gilt verstärkt: Nur Daten erheben, die für den schulischen Zweck unbedingt erforderlich sind
- Transparenzpflichten (Art. 12 DSGVO) müssen kindgerecht formuliert werden
- Löschfristen müssen konsequent eingehalten werden — insbesondere nach Schulabgang
- Datenschutz-Folgenabschätzung (Art. 35 DSGVO) kann bei systematischer Überwachung von Schülern erforderlich sein
Altersgrenze für die Einwilligung
Art. 8 DSGVO legt die Altersgrenze auf 16 Jahre fest, wobei EU-Mitgliedstaaten sie auf minimal 13 Jahre senken können. Deutschland hat keine abweichende Regelung getroffen — es gilt die Grenze von 16 Jahren.
| Alter des Kindes | Einwilligung durch | Rechtsgrundlage |
|---|---|---|
| Unter 16 Jahre | Erziehungsberechtigte (beide oder alleinsorgeberechtigt) | Art. 8 Abs. 1 DSGVO |
| Ab 16 Jahre | Kind selbst | Art. 8 Abs. 1 DSGVO |
| Verarbeitung aufgrund gesetzlicher Pflicht | Keine Einwilligung nötig | Art. 6 Abs. 1 lit. c/e DSGVO |
Praxisproblem: Bei getrennt lebenden Eltern mit gemeinsamem Sorgerecht müssen grundsätzlich beide Elternteile einwilligen. Das macht die Einholung von Einwilligungen an Schulen organisatorisch anspruchsvoll.
Schul-Websites DSGVO-konform gestalten
Die Website einer Schule ist deren digitale Visitenkarte — und gleichzeitig eine der häufigsten Quellen für Datenschutzverstöße. Viele Schul-Websites verwenden Standard-Themes mit eingebauten Trackern und externen Ressourcen.
Typische Verstöße auf Schul-Websites
| Problem | Warum problematisch | Lösung |
|---|---|---|
| Google Fonts von Google-Servern | IP-Übermittlung an Google (USA), LG München I, Az. 3 O 17493/20 | Fonts lokal hosten |
| Google Analytics (GA4) | Tracking ohne Einwilligung, Datenexport in die USA | Entfernen oder durch Plausible/Matomo ersetzen |
| YouTube-Embeds (Standard) | Cookies + IP an Google bei Seitenaufruf | Two-Click-Lösung oder lite-youtube-embed |
| Social-Media-Plugins (Like-Button) | Gemeinsame Verantwortlichkeit, EuGH Fashion ID | Shariff oder reine Links |
| Kontaktformular ohne SSL | Datenerhebung über unverschlüsselte Verbindung | HTTPS erzwingen |
| Fehlende Datenschutzerklärung | Verstoß gegen Art. 13 DSGVO, abmahnfähig | DSE erstellen und verlinken |
Empfehlung: Schulen sollten auf ihrer Website grundsätzlich keine Tracking-Tools einsetzen. Es gibt keinen legitimen Zweck, das Surfverhalten von Eltern und Schülern auf einer Schulwebsite zu analysieren. Wenn Reichweitenanalyse gewünscht ist, kommen nur cookielose, EU-gehostete Lösungen infrage (Plausible, Matomo ohne Cookies).
Cookie-Banner für Schulen
Wenn eine Schul-Website ausschließlich technisch notwendige Cookies verwendet (Session-Cookie, CSRF-Token), ist kein Cookie-Banner erforderlich — ein Hinweis in der Datenschutzerklärung genügt.
Sobald jedoch Analytics, Embeds oder externe Dienste eingesetzt werden, ist ein DSGVO-konformer Cookie-Banner Pflicht. Der Banner muss:
- Einen gleichwertigen Ablehnen-Button enthalten (keine Dark Patterns)
- Alle Cookie-Kategorien erklären
- Tracking erst nach Einwilligung laden (Script-Blocking)
- Die Einwilligung dokumentieren (Nachweis für die Aufsichtsbehörde)
Microsoft Teams, Google Classroom und Schul-Software
Die Datenschutzkonferenz (DSK) hat in ihren Beschlüssen wiederholt auf die Problematik von Microsoft 365 an Schulen hingewiesen. Die Kernkritik:
Microsoft 365 / Teams
- Telemetriedaten: Microsoft erfasst umfangreiche Nutzungsdaten, deren Umfang und Zweck nicht vollständig transparent ist
- Drittlandtransfer: Daten werden in die USA übermittelt; das EU-US Data Privacy Framework (DPF) bietet zwar eine Rechtsgrundlage, ist aber rechtlich umstritten
- Auftragsverarbeitung: Der Microsoft-AVV war laut mehreren Aufsichtsbehörden lange nicht DSGVO-konform
- DSK-Stellungnahme (2022): “Ein datenschutzkonformer Einsatz von Microsoft 365 ist auf Basis der vorliegenden Unterlagen nicht nachweisbar”
Google Workspace for Education
- Google bietet eine Education-Variante mit deaktivierten Werbefunktionen
- Aufsichtsbehörden bewerten Google Workspace for Education teilweise als akzeptabel, wenn die Konfiguration stimmt: Werbung deaktiviert, Diagnosedaten minimal, AVV abgeschlossen
- Die Verantwortung für die korrekte Konfiguration liegt beim Schulträger
Vergleich: Schul-Plattformen
| Plattform | Server-Standort | AVV verfügbar | E2E-Verschlüsselung | Kosten | DSK-Bewertung |
|---|---|---|---|---|---|
| Microsoft 365 Education | USA/EU (wählbar) | Ja | Nein (Standard) | Kostenlos (A1) | Kritisch |
| Google Workspace Education | USA/EU | Ja | Nein | Kostenlos (Fundamentals) | Kritisch |
| Moodle (self-hosted) | Eigener Server | Nicht nötig | Nach Konfiguration | Hosting-Kosten | Empfohlen |
| HPI Schul-Cloud / dBildungscloud | Deutschland | Nicht nötig | Ja (teilweise) | Kostenlos | Empfohlen |
| IServ | Deutschland | Ja | Nach Konfiguration | Ab 1 EUR/Schüler/Jahr | Empfohlen |
| Nextcloud (self-hosted) | Eigener Server | Nicht nötig | Ja (E2E-Modul) | Hosting-Kosten | Empfohlen |
Handlungsempfehlung: Schulträger sollten EU-gehostete oder self-hosted Lösungen bevorzugen. Wenn Microsoft 365 oder Google eingesetzt wird, muss der Schulträger eine dokumentierte Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchführen.
Messenger und Kommunikation
WhatsApp an Schulen: Ein klares Nein
WhatsApp an Schulen ist datenschutzrechtlich unzulässig. Die Gründe:
- WhatsApp überträgt das gesamte Adressbuch an Meta-Server — darunter Kontaktdaten von Schülern und Eltern, die nicht eingewilligt haben
- Keine Möglichkeit eines DSGVO-konformen AVV für Schulen
- Mehrere Aufsichtsbehörden (z.B. Baden-Württemberg, Hessen) haben den Einsatz ausdrücklich untersagt
Empfohlene Alternativen
| Messenger | Open Source | E2E-Verschlüsselung | Self-Hosting | Geeignet für Schulen |
|---|---|---|---|---|
| Signal | Ja | Ja (Standard) | Nein | Bedingt (US-Server) |
| Threema Education | Nein | Ja (Standard) | Nein | Ja (Schweizer Server) |
| Element/Matrix | Ja | Ja (Standard) | Ja | Ja (empfohlen) |
| Wire | Ja | Ja (Standard) | Ja (Enterprise) | Ja (EU-Server) |
Threema Education bietet ein spezielles Schulpaket: Keine Telefonnummer erforderlich, Verwaltung über Schulportal, Schweizer Hosting, DSGVO-konform. Kosten ab 1,50 EUR pro Schüler und Jahr.
Fotos von Schülern: Einwilligung und KUG
Das Fotografieren und Veröffentlichen von Schülerfotos ist ein Dauerthema an Schulen. Es greifen zwei Rechtsregime:
- DSGVO (Art. 6 Abs. 1 lit. a): Einwilligung erforderlich, jederzeit widerrufbar
- Kunsturhebergesetz (KUG) SS 22, 23: Recht am eigenen Bild
Wann brauche ich welche Einwilligung?
| Situation | Rechtsgrundlage | Einwilligung von |
|---|---|---|
| Klassenfoto auf der Website | Art. 6 Abs. 1 lit. a DSGVO + SS 22 KUG | Erziehungsberechtigte aller abgebildeten Schüler |
| Foto in der Schülerzeitung (gedruckt) | SS 22 KUG | Erziehungsberechtigte |
| Foto bei Schulveranstaltung (intern) | Art. 6 Abs. 1 lit. e DSGVO (öffentliches Interesse) | Ggf. Widerspruchsrecht (Art. 21) |
| Foto in Social Media | Art. 6 Abs. 1 lit. a DSGVO + SS 22 KUG | Erziehungsberechtigte, ausdrücklich für Social Media |
| Porträtfoto auf Schulausweis | Art. 6 Abs. 1 lit. e DSGVO | Keine separate Einwilligung nötig |
Wichtig: Die Einwilligung muss spezifisch formuliert sein. Eine Pauschaleinwilligung (“Hiermit gestatte ich, dass Fotos meines Kindes verwendet werden dürfen”) reicht nicht aus. Es muss klar sein, wo (Website, Jahrbuch, Social Media) und wie lange das Foto veröffentlicht wird.
Widerruf: Bei Widerruf der Einwilligung müssen die Fotos zeitnah entfernt werden — auch aus Google-Caches (Antrag auf Entfernung bei Google möglich).
Videoüberwachung auf dem Schulgelände
Videoüberwachung an Schulen ist nur unter strengen Voraussetzungen zulässig:
- Rechtsgrundlage: Art. 6 Abs. 1 lit. e DSGVO i.V.m. Landesdatenschutzgesetz (variiert je Bundesland)
- Verhältnismäßigkeit: Nur dort, wo mildere Mittel (Beleuchtung, Zaun, Schloss) nicht ausreichen
- Räumliche Beschränkung: Nur Außenbereiche (Eingänge, Parkplätze). Klassenzimmer, Flure, Toiletten und Pausenhof sind tabu
- Zeitliche Beschränkung: Nur außerhalb der Schulzeiten (nachts, am Wochenende)
- Speicherdauer: Maximal 48-72 Stunden, dann automatische Löschung
- Kennzeichnung: Deutliche Hinweisschilder mit Angaben nach Art. 13 DSGVO (Verantwortlicher, Zweck, Speicherdauer, Kontakt DSB)
- DSFA: Eine Datenschutz-Folgenabschätzung ist bei systematischer Videoüberwachung Pflicht
Digitale Klassenbücher und Verwaltungssoftware
Digitale Klassenbücher (z.B. WebUntis, SchulCloud, DieSchulApp) verarbeiten besonders sensible Daten:
- Anwesenheitsdaten (unentschuldigte Fehlzeiten = Gesundheitsdaten?)
- Noten und Leistungsbewertungen
- Disziplinarmaßnahmen
- Förderbedarf und sonderpädagogische Maßnahmen
Anforderungen:
- Hosting in der EU, idealerweise beim Landesrechenzentrum oder zertifiziertem Dienstleister
- Rollenbasierter Zugriff: Lehrkräfte sehen nur ihre Klassen, Eltern nur ihr Kind
- Verschlüsselung der Daten at rest und in transit
- Automatische Löschfristen nach Landesschulgesetz (variiert: 2-10 Jahre nach Schulabgang)
- Kein Cloud-Backup auf US-Servern
Praxis-Checkliste: Datenschutz an Schulen
- Datenschutzbeauftragter für die Schule bestellt? (In den meisten Bundesländern Pflicht ab einer bestimmten Schulgröße)
- Verarbeitungsverzeichnis nach Art. 30 DSGVO erstellt?
- Schul-Website auf externe Ressourcen geprüft (Google Fonts, Analytics, Embeds)?
- Cookie-Banner korrekt eingerichtet oder nicht-notwendige Cookies entfernt?
- Datenschutzerklärung vorhanden und vollständig?
- Impressum vorhanden (SS 5 TMG)?
- Einwilligungsformulare für Fotos spezifisch und aktuell?
- Messenger-Nutzung geprüft (kein WhatsApp für schulische Kommunikation)?
- AVV mit allen externen Dienstleistern (Schulverwaltungssoftware, LMS, Videokonferenz) abgeschlossen?
- Videoüberwachung (falls vorhanden) rechtlich geprüft und beschildert?
- Löschkonzept für Schülerdaten erstellt und umgesetzt?
- Lehrkräfte zum Thema Datenschutz geschult?
Schul-Website automatisch prüfen
Gerade Schul-Websites, die oft von ehrenamtlichen Lehrkräften oder Eltern betreut werden, enthalten häufig versteckte Datenschutzverstöße: externe Google Fonts, eingebettete YouTube-Videos, vergessene Analytics-Snippets oder Social-Media-Plugins aus der Ersteinrichtung.
Der Compliso Scanner prüft deine Schul-Website automatisch auf 30 DSGVO-relevante Kriterien — von externen Schriftarten über fehlende Datenschutzerklärungen bis zu Cookies ohne Consent-Mechanismus. Mit dem Rechtstexte-Generator erstellst du in wenigen Minuten eine rechtssichere Datenschutzerklärung und ein Impressum.
Scanne die Website deiner Schule jetzt kostenlos und finde konkrete Schwachstellen, bevor die Aufsichtsbehörde sie findet. Oder erstelle direkt ein kostenloses Konto und profitiere vom vollen Funktionsumfang.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.