Wissensbasis

Lade … ← Übersicht Vorgänge

Stand: 28.5.2026 · Thema: Datenschutz-Organisation · Spezialfelder · Branche: Bildung · DSGVO Art. 6, 8, 9, 13

Datenschutz an Schulen und Kitas

Rechtsgrundlagen — drei Ebenen

  1. DSGVO als europäische Grundnorm.
  2. Landesschulgesetze (z.B. HSchG in Hessen, BayEUG in Bayern) — regeln den Großteil der Verarbeitung im pädagogischen Kontext (Datenkataloge, Aufbewahrung, Übermittlung).
  3. Spezialgesetze wie SGB VIII (Kinder- und Jugendhilfe) für Kitas.

In der Schule ist die DSGVO häufig nur die Klammer — die operative Detailtiefe steht in den Landesgesetzen.

Schüler- und Kinder-Daten

  • Erhebung im Rahmen des Schul-/Bildungszwecks: Pflicht nach Landesrecht.
  • Besondere Datenkategorien (Gesundheit, Religion): nur mit Rechtsgrundlage, oft im Schulgesetz geregelt.
  • Kinder unter 16 Jahren: nach Art. 8 DSGVO grundsätzlich Einwilligung durch Erziehungsberechtigte (Landesrecht kann Schwellen senken, in DE i.d.R. 16).
  • Datenkategorien-Katalog: Schule darf nur erheben, was im Schulgesetz/-verordnung gelistet ist; alles darüber hinaus braucht zusätzliche Rechtsgrundlage.

Eltern- und Erziehungsberechtigten-Kommunikation

  • Elternverteiler: nicht im offenen CC verschicken — BCC oder dedizierter Verteiler-Dienst.
  • Mail-Adressen der Eltern zu Schulnachrichten: zulässig im Rahmen des Bildungszwecks.
  • Newsletter / Mitteilungsblatt: separate Einwilligung, Double-Opt-In.
  • Bilder und Ergebnisse: nicht ohne Einwilligung in offene Eltern-Chats.

Digitale Plattformen

  • Schul-Cloud / Lernplattform (z.B. Microsoft 365 Education, Moodle, IServ): AVV nach Art. 28 mit dem Anbieter, in Landesrecht oft konkrete Anforderungen.
  • Microsoft 365 Education: Datenstandort EU + Trainings-Opt-out + Begrenzung der Telemetrie. Manche Bundesländer haben offizielle „Ja/Nein”-Listen für M365.
  • Google Workspace for Education: ähnliche Anforderungen, häufiger problematisch bei der Telemetrie.
  • Videokonferenz: BigBlueButton (Open Source) ist oft die rechtskonforme Alternative zu Zoom/Teams.
  • Lehrkraft-Privat-Geräte: ohne MDM grundsätzlich nicht zulässig für Schülerdaten.

Fotos und Veröffentlichungen

  • Schulfest-Fotos: Einwilligung der Erziehungsberechtigten erforderlich.
  • Jahrbuch, Webseite, Social Media: pro Veröffentlichungskanal separat einwilligen lassen — die Einwilligung „für Webseite” deckt nicht Social Media.
  • Widerruf: ab nächster Auflage berücksichtigen; bereits gedruckte Materialien bleiben.
  • Klassenfotos: schwierig, weil mit jeder Person verbunden — entweder alle einverstanden oder Foto nicht öffentlich.

Kitas — Besonderheiten

  • Beobachtungs- und Bildungsdokumentation: oft sensible Daten (Entwicklungsbeobachtungen). Strenge Zweckbindung.
  • Übermittlung an Folgekita / Schule: nur mit Einwilligung oder bei expliziter gesetzlicher Grundlage.
  • Fotos und Portfolios: pro Kind einwilligen.
  • Bring- und Abhol-Berechtigung: Vollmachten dokumentieren, jede Änderung schriftlich.

Mitarbeitende (Lehrkräfte, Erziehende)

  • Arbeitnehmerdaten wie in jedem anderen Beschäftigungsverhältnis.
  • Dienstliche Endgeräte: BYOD nur mit MDM und klarer Trennung.
  • Eigene Klassenchats über WhatsApp: in den meisten Bundesländern problematisch — offizielle Schulkommunikationswege bevorzugen.

Häufige Fehler

  • Eltern-Mailverteiler im offenen CC.
  • WhatsApp als Klassen-Hauptkanal ohne Datenschutzbewertung.
  • Schul-Cloud-Setup mit Default-Telemetrie an US-Cloud.
  • Foto-Einwilligungen als Pauschal-Häkchen zum Schuljahresbeginn ohne Differenzierung.
  • Schülerdaten auf USB-Stick zur Hausarbeit der Lehrkraft — Verlustrisiko hoch.

Wenn wir DSB sind

Wir beraten Träger und Geschäftsführer (nicht den Schulalltag), unterstützen bei der Plattform-Auswahl und prüfen die Einwilligungserklärungen pro Kanal. In manchen Bundesländern arbeiten wir mit Schulberatungsstellen zusammen, die für den pädagogischen Alltag zuständig sind.

Quelle: FS/CS GmbH