Datenschutzbeauftragter Schulen

Spezialisierte DSGVO-Compliance für Unternehmen in Dresden & Sachsen.

Kostenlose Erstberatung anfragen

Spezialisierte Fachkenntnis für Schulen in Dresden & Sachsen.

Schulen verarbeiten personenbezogene Daten einer besonders schutzbedürftigen Gruppe: Minderjährige. Von Schülerstammdaten über Zeugnisse und Disziplinarmaßnahmen bis hin zu Förderplänen und sonderpädagogischen Gutachten – Schulen sammeln über die gesamte Schullaufbahn hochsensible Daten. Die DSGVO stellt in Art. 8 und Erwägungsgrund 38 den besonderen Schutz von Kinderdaten heraus und fordert erhöhte Sorgfalt bei deren Verarbeitung.

Die Digitalisierung des Schulwesens hat den Datenschutzbedarf drastisch erhöht: Lernmanagementsysteme wie LernSax, digitale Schulverwaltungssoftware (SaxSVS), Videokonferenztools für den Distanzunterricht und Tablets im Klassenzimmer erzeugen Datenströme, die vor wenigen Jahren nicht existierten. Jedes dieser Systeme verarbeitet Schülerdaten und erfordert eine datenschutzrechtliche Bewertung.

DATUREX unterstützt Schulen in Dresden und Sachsen als externer Datenschutzbeauftragter mit Verständnis für den Schulalltag. Wir kennen die Vorgaben des Sächsischen Schulgesetzes (SächsSchulG), die Empfehlungen des Sächsischen Staatsministeriums für Kultus (SMK) und die datenschutzrechtlichen Anforderungen an digitale Bildungsplattformen.

Warum braucht eine Schule einen Datenschutzbeauftragten?

Öffentliche Schulen in Sachsen sind als Einrichtungen in öffentlicher Trägerschaft gemäß Art. 37 Abs. 1 lit. a DSGVO zur Benennung eines Datenschutzbeauftragten verpflichtet. Jede öffentliche Stelle muss einen DSB benennen – unabhängig von der Schülerzahl oder Mitarbeiterzahl. Für Schulen in freier Trägerschaft greift die DSB-Pflicht spätestens über die regelmäßige Verarbeitung von Daten Minderjähriger und die nationale Schwelle des § 38 BDSG.

Typische Datenschutz-Herausforderungen in Schulen

  • Digitale Lernplattformen: LernSax, Schullogin und weitere Plattformen verarbeiten Schülerdaten – Nutzungsbedingungen und AVV müssen geprüft werden
  • Schulverwaltungssoftware (SaxSVS): Verarbeitet alle Schülerstammdaten – Zugriffsrechte müssen strikt nach Funktion vergeben werden
  • Fotos und Videos im Schulalltag: Die Einwilligungsproblematik bei Minderjährigen (Sorgeberechtigte vs. einwilligungsfähige Jugendliche) ist komplex
  • Elternkommunikation: Messenger-Dienste und Elternportale müssen datenschutzkonform betrieben werden – WhatsApp-Gruppen sind problematisch
  • Sonderpädagogische Förderung: Förderpläne enthalten besonders sensible Daten über Lernbehinderungen und Entwicklungsstörungen

DSGVO-Checkliste für Schulen

Diese Checkliste hilft Schulen, die wichtigsten Datenschutzanforderungen systematisch umzusetzen.

  1. Verarbeitungsverzeichnis für alle schulischen Datenverarbeitungen erstellen (Schülerverwaltung, Zeugnisse, Förderpläne, digitale Plattformen)
  2. Einwilligungserklärungen für Fotos, Videos und digitale Plattformen altersgerecht und sorgeberechtigtenkonform gestalten
  3. Zugriffsrechte in SaxSVS und LernSax nach dem Need-to-know-Prinzip konfigurieren
  4. Auftragsverarbeitungsverträge für alle eingesetzten digitalen Tools prüfen
  5. Datenschutzerklärung der Schulwebsite DSGVO-konform gestalten
  6. Löschkonzept für Schülerdaten erstellen: Abmeldung, Schulwechsel, Schulabschluss
  7. Lehrkräfte für den datenschutzkonformen Umgang mit Schülerdaten schulen
  8. Private Endgeräte der Lehrkräfte datenschutzrechtlich regeln oder schulische Geräte bereitstellen
  9. Protokoll für Datenschutzverletzungen erstellen

Was kostet ein externer Datenschutzbeauftragter für Schulen?

Die Kosten richten sich nach der Schulgröße, dem Digitalisierungsgrad und der Anzahl eingesetzter digitaler Plattformen. Eine Grundschule mit 200 Schülern hat einen anderen Betreuungsbedarf als ein Gymnasium mit 1.000 Schülern und umfangreicher IT-Infrastruktur.

Für Schulen ist der externe DSB besonders sinnvoll: Lehrkräfte sind pädagogische Fachkräfte, keine Datenschutzjuristen. Mehrere Schulen eines Schulträgers können zudem einen gemeinsamen externen DSB benennen, was die Kosten pro Schule deutlich senkt.

Sprechen Sie uns an für ein Gruppenangebot.

Paragraph 38 BDSG und die Auswirkung auf Schulen

Öffentliche Schulen in Sachsen sind als öffentliche Stellen nicht von Paragraph 38 BDSG betroffen – ihre DSB-Pflicht folgt direkt aus Art. 37 Abs. 1 lit. a DSGVO.

Für öffentliche Schulen hat eine mögliche Streichung von Paragraph 38 BDSG daher KEINE Auswirkung auf die DSB-Pflicht. Als Einrichtungen in öffentlicher Trägerschaft müssen sie unabhängig von nationalen Schwellenwerten einen DSB benennen. Für Schulen in freier Trägerschaft könnte eine Streichung theoretisch relevant sein – allerdings greift hier die Verarbeitung von Kinderdaten als eigenständiger Verpflichtungsgrund.

Stand: März 2026

Datenschutz-Folgenabschätzung (DSFA) für Schulen

In der Regel ist für Schulen keine DSFA nach Art. 35 DSGVO erforderlich. Die Standard-Datenverarbeitungen einer Schule (Schülerverwaltung, Zeugniserstellung, Stundenplanung) sind gesetzlich vorgesehen und wurden im Gesetzgebungsverfahren berücksichtigt.

Ausnahmen bestehen bei der Einführung neuer digitaler Systeme: KI-gestützte Lernstandsanalysen, biometrische Zugangssysteme oder flächendeckende Videoüberwachung würden eine DSFA erfordern. Ebenso kann die Einführung neuer Lernplattformen eine vereinfachte DSFA erfordern, wenn Lernverhalten systematisch ausgewertet wird.

Häufige Fragen: Datenschutzbeauftragter für Schulen

Dürfen Lehrkräfte Schülerdaten auf privaten Geräten verarbeiten?

Nur unter strengen Auflagen und mit Genehmigung des Schulträgers. Das SMK hat hierzu eine Verwaltungsvorschrift erlassen: Private Geräte müssen verschlüsselt sein, dürfen nur genehmigte Software nutzen und die Daten müssen bei Dienstende gelöscht werden.

Ab welchem Alter können Schüler selbst in die Datenverarbeitung einwilligen?

Die DSGVO setzt in Art. 8 das Alter für die digitale Einwilligung auf 16 Jahre. Für jüngere Schüler müssen die Sorgeberechtigten einwilligen. Bei Fotoeinwilligungen empfiehlt die SDTB ab 14 Jahren eine zusätzliche Einwilligung des Schülers neben der der Sorgeberechtigten.

Darf eine Schule WhatsApp für die Elternkommunikation nutzen?

Die SDTB und das SMK raten dringend davon ab. WhatsApp übermittelt Kontaktdaten an Meta (USA). Stattdessen sollten Schulen datenschutzkonforme Alternativen nutzen: LernSax-Messenger, Schulmanager Online oder Plattformen mit EU-Serverstandort und geprüftem AVV.

Wie lange dürfen Schülerdaten nach dem Schulabgang aufbewahrt werden?

Die Aufbewahrungsfristen richten sich nach dem SächsSchulG: Schülerstammblätter und Zeugnisse werden 10 Jahre nach Schulabgang aufbewahrt, Prüfungsunterlagen 5 Jahre. Nach Ablauf müssen die Daten gelöscht werden – sofern nicht das Sächsische Archivgesetz eine Anbietungspflicht vorsieht.

Muss die Schulwebsite eine Datenschutzerklärung haben?

Ja, zwingend. Jede Schulwebsite, die personenbezogene Daten verarbeitet (Kontaktformulare, Cookies, eingebettete Videos), benötigt eine vollständige Datenschutzerklärung nach Art. 13 DSGVO.

Kostenlose Erstberatung für Schulen

Datenschutz an Schulen schützt die Daten der Schwächsten – unserer Kinder und Jugendlichen. DATUREX unterstützt sächsische Schulen mit praxisnahem Datenschutz, der den Schulalltag berücksichtigt. TÜV-, BSI- und IHK-zertifiziert.

Jetzt kostenlose Erstberatung für Schulen anfragen »

Unsere Datenschutz-Leistungen für Schulen

Verwandte Branchen

Als öffentliche Einrichtung gelten für Sie aehnliche Anforderungen wie beim Datenschutz für Behörden. Auch Kindertageseinrichtungen profitieren von unserem Datenschutz in Kitas. Alle Branchen finden Sie in unserer Branchenübersicht.

Jetzt individuelle Beratung anfragen

Datenschutz an Schulen: Die größten Herausforderungen

Schulen verarbeiten eine Vielzahl sensibler Daten von Schülern, Eltern und Lehrkräften. Die besondere Herausforderung liegt darin, dass es sich bei Schülerdaten häufig um Daten von Minderjährigen handelt, die unter dem besonderen Schutz der DSGVO stehen (Erwägungsgrund 38).

Schülerdaten und Klassenlisten

Schülerdaten umfassen weit mehr als Name und Adresse: Noten, Fehlzeiten, Förderbedarf, Allergien, Religionszugehörigkeit und teilweise sogar Informationen über familiäre Verhältnisse werden in Schulverwaltungsprogrammen gespeichert. Jede dieser Datenkategorien erfordert eine eigene Rechtsgrundlage. Klassenlisten mit Kontaktdaten der Eltern dürfen nicht einfach an alle Eltern verteilt werden — hierfür ist eine ausdrückliche Einwilligung erforderlich.

Fotos und Videos im Schulalltag

Ob Schulfest, Klassenfahrt oder Schulwebsite — das Fotografieren und Filmen von Schülern ist ein datenschutzrechtliches Dauerthema. Grundsätzlich gilt: Für jede Veröffentlichung von Schülerfotos ist eine Einwilligung der Erziehungsberechtigten erforderlich. Ab 16 Jahren können Schüler nach der DSGVO selbst einwilligen. Die Einwilligung muss konkret formuliert sein und angeben, wo und wie lange die Fotos veröffentlicht werden.

Elternkommunikation und Messenger

Die Kommunikation zwischen Schule und Eltern über WhatsApp-Gruppen ist datenschutzrechtlich problematisch. Auch E-Mail-Verteiler mit sichtbaren Adressen aller Eltern verstoßen gegen die DSGVO. Empfehlenswert sind schulische Kommunikationsplattformen wie SchulCloud, IServ oder Sdui, die DSGVO-konform betrieben werden und die Daten auf europäischen Servern speichern.

Digitale Schule: Microsoft Teams, iPads und Schulcloud

Die Digitalisierung des Unterrichts hat durch die Corona-Pandemie einen enormen Schub erhalten. Doch viele der dabei eingeführten Lösungen werfen erhebliche Datenschutzfragen auf.

Microsoft 365 und Teams an Schulen

Der Einsatz von Microsoft 365 an Schulen ist in Deutschland seit Jahren ein kontrovers diskutiertes Thema. Die Datenschutzkonferenz (DSK) hat wiederholt Bedenken geäußert, insbesondere wegen der Datenübertragung in die USA und der mangelnden Transparenz bei der Telemetriedatenerfassung. Einige Bundesländer wie Baden-Württemberg haben den Einsatz von Microsoft 365 an Schulen untersagt.

In Sachsen ist der Einsatz unter bestimmten Voraussetzungen möglich:

  • Abschluss einer Auftragsverarbeitungsvereinbarung (AVV) mit Microsoft
  • Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO
  • Deaktivierung nicht erforderlicher Telemetrie– und Diagnosedaten
  • Nutzung der EU Data Boundary-Einstellungen von Microsoft
  • Keine Verarbeitung besonders sensibler Daten (Noten, Förderpläne) über Microsoft 365

iPads und Tablets im Unterricht

Schulen, die iPads oder Tablets im Unterricht einsetzen, müssen ein Mobile Device Management (MDM) implementieren. Schülerdaten dürfen nicht über private Apple-IDs synchronisiert werden. Die Geräte müssen über verwaltete Apple-IDs der Schule eingerichtet werden, und der Zugriff auf den App Store sollte eingeschränkt sein.

Schulcloud-Lösungen

Die Schul-Cloud des Hasso-Plattner-Instituts, LernSax in Sachsen und weitere Lösungen bieten DSGVO-konforme Alternativen zu US-amerikanischen Anbietern. Diese Plattformen werden auf deutschen Servern betrieben und erfüllen die Anforderungen der deutschen Datenschutzaufsichtsbehörden. Wir empfehlen Schulen, diese Lösungen zu bevorzugen.

Schulfotografie und DSGVO

Die Schulfotografie — sowohl durch professionelle Fotografen als auch durch Lehrkräfte und Eltern — ist eines der häufigsten Datenschutzthemen im Schulalltag. Die rechtlichen Grundlagen sind vielschichtig:

Professionelle Schulfotos

Wenn externe Fotografen die Klassen- und Einzelfotos erstellen, muss die Schule eine Auftragsverarbeitungsvereinbarung mit dem Fotografen abschließen. Die Einwilligung der Eltern muss vor dem Fototermin eingeholt werden und konkret angeben, welche Fotos erstellt und wie sie verwendet werden (Klassenfoto, Einzelportrait, Jahrbuch, Website).

Fotos durch Lehrkräfte

Lehrkräfte dürfen Schüler nicht mit privaten Smartphones fotografieren, da die Daten dabei auf einem privaten Gerät verarbeitet würden, das nicht unter der Kontrolle der Schule steht. Für die Dokumentation von Projektergebnissen oder Ausflügen sollten schulische Geräte verwendet werden.

Fotos durch Eltern bei Schulveranstaltungen

Das Fotografieren durch Eltern bei Schulveranstaltungen kann die Schule nicht vollständig unterbinden, da es im privaten Bereich erfolgt. Allerdings sollte die Schule darauf hinweisen, dass Fotos anderer Kinder nicht ohne Einwilligung der jeweiligen Eltern in sozialen Medien veröffentlicht werden dürfen. Ein entsprechender Hinweis in der Einladung zur Veranstaltung ist empfehlenswert.

Häufig gestellte Fragen zum Datenschutz an Schulen

Braucht jede Schule einen Datenschutzbeauftragten?

In Sachsen ist für öffentliche Schulen der behördliche Datenschutzbeauftragte des Sächsischen Staatsministeriums für Kultus zuständig. Schulen in freier Trägerschaft müssen hingegen einen eigenen Datenschutzbeauftragten benennen, wenn sie mehr als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Ein externer Datenschutzbeauftragter ist für Privatschulen oft die wirtschaftlichste Lösung.

Dürfen Lehrkräfte Schülerdaten auf privaten Geräten verarbeiten?

In Sachsen ist die Verarbeitung von Schülerdaten auf privaten Geräten unter bestimmten Voraussetzungen zulässig, wenn die Schule eine Genehmigung erteilt und der Lehrkraft konkrete Auflagen macht: Verschlüsselung der Daten, kein Zugriff durch Familienmitglieder, Löschung nach Schuljahresende. Empfehlenswert ist jedoch die Bereitstellung dienstlicher Geräte.

Was gilt beim Einsatz von KI-Tools wie ChatGPT im Unterricht?

Der Einsatz von KI-Tools im Unterricht ist datenschutzrechtlich brisant. Schüler sollten keine personenbezogenen Daten in KI-Systeme eingeben. Die Nutzung sollte nur über schulisch verwaltete Accounts erfolgen, nicht über private Schülerkonten. Eine Datenschutz-Folgenabschätzung ist vor dem Einsatz dringend empfohlen. Lehrkräfte sollten geschult werden, welche Daten sie in KI-Tools eingeben dürfen — Schülernamen, Noten oder Förderpläne gehören definitiv nicht dazu.

Wie lange dürfen Schulen Schülerdaten aufbewahren?

Die Aufbewahrungsfristen für Schülerdaten sind in der Sächsischen Schuldatenschutzverordnung geregelt. Schülerakten müssen 10 Jahre nach Verlassen der Schule aufbewahrt werden. Prüfungsunterlagen sind 5 Jahre aufzubewahren. Klassenbücher werden 3 Jahre nach Ablauf des Schuljahres vernichtet. Nach Ablauf der Fristen sind die Daten datenschutzkonform zu löschen oder zu vernichten.

Datenschutz an Ihrer Schule professionell umsetzen

Als externer Datenschutzbeauftragter unterstützen wir Schulen in freier Trägerschaft in ganz Sachsen bei allen datenschutzrechtlichen Fragestellungen. Von der Einführung digitaler Lernplattformen über die Schulfotografie bis zum Umgang mit KI im Unterricht — wir sorgen für rechtssichere Lösungen, die den Schulalltag nicht behindern. Vereinbaren Sie ein kostenloses Erstgespräch.