Schulen verarbeiten die Daten der schutzbedürftigsten Gruppe überhaupt — Kinder und Jugendliche. Das macht den Datenschutz hier besonders sensibel, und es macht Fehler besonders kritisch. Dieser Beitrag zeigt, wo die echten Risiken liegen und wie sich digitale Bildung und Datenschutz vereinbaren lassen.
Drei Rechtsebenen auf einmal
Was den schulischen Datenschutz besonders macht, ist das Zusammenspiel von gleich drei Ebenen: der DSGVO, dem Landesdatenschutzrecht und dem jeweiligen Schulgesetz mit den Vorgaben der Schulaufsicht. Eine Schule kann also nicht einfach „die DSGVO" abarbeiten — sie muss das Schulrecht ihres Landes mitdenken. Das ist anspruchsvoll, aber es schafft auch Orientierung: Viele Fragen sind durch die Schulaufsicht bereits vorgeprägt.
Im Zentrum steht der besondere Schutz von Minderjährigen. Die DSGVO verlangt bei Kindern ein erhöhtes Maß an Schutz, und die Einwilligung liegt grundsätzlich bei den Erziehungsberechtigten — bei älteren Jugendlichen kommt deren eigene Sicht hinzu.
Das Tool-Problem: erst prüfen, dann einführen
Der häufigste Fehler in der Praxis ist die ungeprüfte Einführung digitaler Werkzeuge. Eine Lernplattform, eine Cloud, ein Videokonferenz-Tool — jedes verarbeitet personenbezogene Daten von Kindern, und nicht jedes beliebte Tool ist datenschutzkonform einsetzbar. Vor dem Einsatz ist zu klären:
- Wohin fließen die Daten? Werden sie in der EU verarbeitet, oder in einem Drittland mit unklarem Schutzniveau?
- Gibt es einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO) mit dem Anbieter?
- Was sagt die Schulaufsicht? Viele Länder haben Positivlisten oder ausdrückliche Vorgaben, welche Tools unter welchen Bedingungen erlaubt sind.
- Gibt es eine datenschutzfreundliche Alternative? Oft ja — und sie ist meist die sicherere Wahl.
Die Regel ist einfach: Kein Tool ohne vorherige Prüfung. Was einmal eingeführt und von Hunderten Schülern genutzt wird, lässt sich nur schwer wieder zurückrollen.
Fotos: das KUG und der 14-Jahre-Punkt
Schulfeste, Projektwochen, Sportveranstaltungen — überall wird fotografiert, und die Bilder sollen auf die Website oder in die Schülerzeitung. Auch hier gilt: Sobald ein Kind erkennbar ist, ist das eine Verarbeitung personenbezogener Daten, und nach § 22 KUG (Kunsturhebergesetz) ist für die Veröffentlichung grundsätzlich eine Einwilligung erforderlich.
Der Punkt, den viele Schulen übersehen: Ab dem 14. Lebensjahr ist neben der Einwilligung der Eltern auch die Einwilligung des Jugendlichen selbst nötig. Das KUG stellt hier strengere Anforderungen als die DSGVO. In der Praxis bewährt hat sich ein differenziertes Einwilligungsformular, das nach Zweck trennt: Klassenfoto in Papierform, Foto bei Schulereignissen, Veröffentlichung auf der Website. Eine pauschale „Wir dürfen alle Fotos überall verwenden"-Einwilligung trägt im Zweifel nicht.
Und auch hier die unbequeme Wahrheit: Bei einer Veröffentlichung ohne Einwilligung — gerade im Internet — können nicht nur die Schule, sondern auch einzelne Lehrkräfte persönlich in die Verantwortung geraten.
Noten, Förder- und Gesundheitsdaten
Schulen verarbeiten nicht nur Stammdaten. Noten, Förderbedarfe, manchmal Gesundheitsangaben — Letztere können besondere Datenkategorien nach Art. 9 DSGVO sein und genießen erhöhten Schutz. Solche Daten gehören in geschützte Systeme mit beschränktem Zugriff, nicht in offene Listen oder ungesicherte E-Mail-Verteiler. Die Kommunikation mit Eltern über sensible Themen sollte über sichere Kanäle laufen — der Klassenchat in einem beliebigen Messenger ist dafür meist die falsche Wahl.
Die Schulverwaltung und ihre Dienstleister
Hinter dem Unterricht steht die Verwaltung: Schulverwaltungssoftware, digitale Klassenbücher, Notenprogramme. Jeder Anbieter, der Zugriff auf personenbezogene Daten haben kann, ist Auftragsverarbeiter und braucht einen Vertrag nach Art. 28 DSGVO. Eine Übersicht aller eingesetzten Systeme und Dienstleister gehört zur Grundausstattung — und ist im Prüfungsfall das Erste, wonach gefragt wird.
Wie der Datenschutz an Schulen organisiert ist
Schulen sind öffentliche Stellen und haben damit besondere Pflichten — auch die Benennung von Datenschutzverantwortlichen folgt eigenen Regeln, die das jeweilige Landesrecht ausgestaltet. Wichtig ist, dass Verantwortlichkeiten klar geregelt sind: Wer ist Ansprechpartner für Datenschutzfragen, wer prüft neue Tools, wer schult das Kollegium? In der Praxis ist gerade die Schulung entscheidend — denn die meisten Vorfälle entstehen nicht aus bösem Willen, sondern aus Unkenntnis im Alltag.
Was Sie konkret mitnehmen sollten
Drei Dinge: Erstens, führen Sie kein digitales Tool ein, ohne es vorher datenschutzrechtlich und gegen die Vorgaben der Schulaufsicht zu prüfen. Zweitens, regeln Sie das Foto-Thema mit differenzierten Einwilligungen — und denken Sie bei Jugendlichen ab 14 an deren eigene Zustimmung. Drittens, schützen Sie sensible Daten wie Förder- und Gesundheitsangaben besonders und schulen Sie das Kollegium regelmäßig.
Datenschutz an Schulen ist anspruchsvoll, weil er pädagogischen Fortschritt und den Schutz von Kinderdaten in Einklang bringen muss.
Über den Autor
Dr. Sait Yalazay ist TÜV-zertifizierter Datenschutzbeauftragter, international anerkannter Datenschutzbeauftragter (CIPP).
Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall. Anbieter: CyberWerkSuite.
Stand: Mai 2026.
