1. Home
  2. Knowledge Base
  3. Datenschutz in speziellen Branchen
  4. Bildungssektor: Kitas und Schulen
  5. Datenschutz in Schulen nach der DSGVO
  1. Home
  2. Knowledge Base
  3. Datenschutz in speziellen Branchen
  4. Datenschutz in Schulen nach der DSGVO

Datenschutz in Schulen nach der DSGVO

Datenschutz in Schulen nach der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) hat weitreichende Auswirkungen auf Schulen und legt klare Regeln für den Umgang mit personenbezogenen Daten von Schülern, Eltern und Lehrkräften fest. Dieser Artikel gibt einen Überblick über die wichtigsten Aspekte des Datenschutzes in Schulen und bietet praktische Tipps zur Umsetzung.

Bestellung eines Datenschutzbeauftragten (DSB)

Jede Schule muss einen Datenschutzbeauftragten benennen. Mehrere Schulen können sich einen Datenschutzbeauftragten teilen (Art. 37 Abs. 3 DSGVO). Die Aufgaben des DSB umfassen die Beratung und Schulung der Lehrkräfte, die Kontrolle der Einhaltung der Datenschutzvorgaben und die Funktion als Anlaufstelle für Betroffene (Schüler, Eltern, Lehrer). Die Kontaktdaten des DSB sollten auf der Schulhomepage veröffentlicht werden.

Informationspflicht bei der Schulaufnahme

Eltern müssen bei der Schulaufnahme über die Nutzung von Lernplattformen, digitalen Klassenbüchern, Bring-your-own-Device-Konzepte und die Verwendung von Cloud-Diensten informiert werden. Eine Einwilligung ist nicht erforderlich, wenn die Datenverarbeitung durch das Schulgesetz oder eine Verordnung gedeckt ist. Falls eine Einwilligung nötig ist (z.B. Veröffentlichung von Schülerfotos), müssen Eltern diese für Kinder unter 16 Jahren erteilen.

Verarbeitung personenbezogener Daten in der Grundschule

Die Verarbeitung personenbezogener Daten in der Grundschule ist grundsätzlich erst nach Einwilligung der Eltern zulässig. Beispiele hierfür sind die Anmeldung zur Schule, die Zeugniserstellung und die Durchführung von Schulausflügen.

Umgang mit Datenpannen

Datenpannen müssen innerhalb von 72 Stunden an die Landesdatenschutzbehörde gemeldet werden. Jede Datenpanne muss dokumentiert werden, und die Meldung kann online erfolgen.

Verzeichnis von Verarbeitungstätigkeiten

Schulen müssen ein Verarbeitungsverzeichnis nach Art. 30 DSGVO führen. Beispiele für zu erfassende Datenverarbeitungen sind das elektronische Klassenbuch, Mensa-Chip & Essensbestellungen und Zugangssysteme (Transponder). Nicht erforderlich ist das Verzeichnis für Schülerakten, Lehrerakten oder Mitschriften von Elterngesprächen.

Einsatz digitaler Lernplattformen & Kommunikation über Messenger

Falls der Einsatz digitaler Lernplattformen nicht verpflichtend ist, braucht es eine freiwillige Einwilligung der Betroffenen. Es müssen datenschutzkonforme Muster-Einwilligungserklärungen genutzt werden. Die Nutzung von Messengern wie WhatsApp ist nicht erlaubt. Alternativen sind europäische Messenger mit Ende-zu-Ende-Verschlüsselung wie Wire oder Threema.

Speicherung von Schülerdaten auf privaten Geräten

Die Speicherung von Schülerdaten auf privaten Geräten ist nur erlaubt, wenn eine schriftliche Genehmigung der Schulleitung vorliegt, die Daten verschlüsselt sind und das Gerät passwortgeschützt ist. Sichere Maßnahmen umfassen Firewall & Antivirenschutz, Zwei-Faktor-Authentifizierung und regelmäßige Backups.

Datenschutz & Schulhomepage

Eine DSGVO-konforme Datenschutzerklärung ist auf der Schulhomepage Pflicht. Fotos und personenbezogene Daten dürfen nur mit Einwilligung veröffentlicht werden. Ausnahmen gelten für dienstliche Kontaktdaten von Lehrkräften mit Außenwirkung. Vertretungspläne sollten nur passwortgeschützt online zugänglich sein und in der Schule ausgehängt werden, aber ohne detaillierte Raumangaben.

Nutzung von Cloud-Diensten & US-Anbietern

Dienste wie Dropbox, OneDrive und Google Drive sind nicht zulässig. Erlaubt sind öffentliche und europäische Cloudanbieter ohne Zugriffsmöglichkeit ausländischer Behörden. Bei Drittstaatenanbietern müssen personenbezogene Daten verschlüsselt werden.

Weitergabe & Löschung von Daten

Nur Daten, die der Schulträger zur Erfüllung seiner Aufgaben benötigt, dürfen an ihn übermittelt werden. Daten müssen gelöscht werden, wenn der Zweck entfällt (Art. 17 Abs. 1 DSGVO), der Betroffene seine Einwilligung widerruft oder gesetzliche Aufbewahrungsfristen abgelaufen sind. Daten mit gesetzlichen Aufbewahrungsfristen (z.B. Schulverträge) dürfen nicht gelöscht werden.

Wissenschaftliche Erhebungen & Veröffentlichung von Noten

Bei offiziellen Leistungsvergleichen kann eine Teilnahme verpflichtend sein. Andere Befragungen benötigen eine Einwilligung. Einzelne Noten dürfen nicht vor der Klasse laut verkündet werden, aber ein Notenspiegel ohne Namen ist erlaubt.

Umgang mit Anfragen nach der DSGVO (Betroffenenrechte)

Betroffene können folgende Rechte geltend machen: Recht auf Auskunft (Art. 15 DSGVO), Recht auf Berichtigung (Art. 16 DSGVO) und Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO). Die Bearbeitungsfrist beträgt 1 Monat und kann in komplexen Fällen um weitere 2 Monate verlängert werden. Löschung ist nicht möglich, wenn gesetzliche Aufbewahrungspflichten bestehen.

E-Mail-Kommunikation zwischen Lehrkräften & Eltern

Unverschlüsselte E-Mails mit personenbezogenen Daten sind nicht zulässig. Erlaubt sind allgemeine Hinweise oder Einladungen per Mail und die Nutzung eines sicheren Schulmail-Systems. Eine empfohlene Einwilligungserklärung für Eltern lautet: „Ich bin mit der Nutzung meiner privaten E-Mail-Adresse für schulische Korrespondenz einverstanden. Die Einwilligung ist freiwillig und kann jederzeit widerrufen werden.“ Auch mit Einwilligung dürfen sensible Daten nicht unverschlüsselt per Mail gesendet werden.

Einwilligungserklärungen – Wie oft erneuern?

Für einmalige Veranstaltungen ist eine neue Einwilligung erforderlich. Schuljahrbezogene Einwilligungen sollten jährlich erneuert werden. In der Grundschule gilt die Einwilligung für 4 Jahre mit jährlicher Erinnerung an die Widerrufsmöglichkeit. In der Oberstufe können Schüler ab 16 Jahren eigenständig einwilligen.

Fazit: Datenschutz in Schulen – klare Regeln & besondere Verantwortung

Schulen müssen Datenschutzbeauftragte ernennen, personenbezogene Daten nur mit Rechtsgrundlage oder Einwilligung verarbeiten, Datenpannen innerhalb von 72 Stunden melden, sichere Kommunikation und Speicherung personenbezogener Daten gewährleisten, Einwilligungen für Foto- und Videoaufnahmen einholen und keine US-Cloud-Dienste für personenbezogene Daten nutzen. Schulen sollten regelmäßig ihre Datenschutzprozesse überprüfen und Lehrkräfte sensibilisieren.

Mögliche Fragen, die zu diesem Artikel führen könnten:

  1. Welche Aufgaben hat ein Datenschutzbeauftragter in Schulen?
  2. Welche Informationen müssen Eltern bei der Schulaufnahme erhalten?
  3. Wie sollten Datenpannen in Schulen gemeldet werden?
  4. Welche Cloud-Dienste sind für Schulen zulässig?
  5. Wie oft müssen Einwilligungserklärungen in Schulen erneuert werden?

Tags

  • Schulrecht
  • Datenschutz-Compliance
  • DSGVO
Was this article helpful?
Yes No

Related Articles

Brauchen Sie Unterstützung?

Sie können die gesuchte Antwort nicht finden?
Kontakt
Nach oben scrollen