DSGVO-konforme Schülerverwaltung: Was Schulen bei Software beachten müssen

Kurz gesagt: Eine Schulverwaltungssoftware ist dann DSGVO-konform, wenn der Anbieter einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO bereitstellt, die Daten ausschließlich auf Servern in Deutschland oder der EU verarbeitet, geeignete technische und organisatorische Maßnahmen (TOM) nachweist und die Prinzipien „Privacy by Design" und „Privacy by Default" umsetzt. Die datenschutzrechtliche Verantwortung bleibt bei der Schule – sie muss den Anbieter sorgfältig prüfen.

Schülerdaten gehören zu den sensibelsten personenbezogenen Daten überhaupt: Namen, Geburtsdaten, Klassenzugehörigkeit, oft auch Förderbedarfe oder Gesundheitsangaben. Wer als Schule eine digitale Schülerverwaltung einführt, trägt die volle Verantwortung dafür, dass diese Daten geschützt sind. Dieser Beitrag erklärt, worauf Sie bei der Auswahl achten müssen.

Wer ist für den Datenschutz verantwortlich – Schule oder Software-Anbieter?

Die Schule bleibt datenschutzrechtlich Verantwortliche im Sinne der DSGVO. Der Software-Anbieter wird zum Auftragsverarbeiter: Er verarbeitet die Schülerdaten im Auftrag und nach Weisung der Schule.

Das bedeutet konkret: Auch wenn die Daten in der Cloud des Anbieters liegen, haftet die Schule gegenüber Schülern und Eltern für deren Schutz. Deshalb dürfen Sie einen Anbieter nicht blind auswählen – Sie müssen prüfen und dokumentieren, dass er die Anforderungen erfüllt.

Was ist ein Auftragsverarbeitungsvertrag (AVV) und warum ist er Pflicht?

Sobald eine Schule personenbezogene Daten durch einen externen Dienstleister verarbeiten lässt, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwingend erforderlich. Ohne diesen Vertrag ist der Einsatz der Software rechtswidrig.

Der AVV regelt unter anderem:

• Gegenstand und Zweck der Verarbeitung – welche Daten wozu verarbeitet werden

• Dauer der Verarbeitung und was nach Vertragsende mit den Daten geschieht

• Vertraulichkeit – die Verpflichtung des Anbieters und seiner Mitarbeitenden zur Geheimhaltung

• Technische und organisatorische Maßnahmen (TOM) zum Schutz der Daten

• Unterauftragsverarbeiter – ob und welche weiteren Dienstleister eingebunden werden Prüfpunkt für Schulen: Ein seriöser Anbieter stellt den AVV proaktiv und unterschriftsfertig bereit. Müssen Sie aktiv danach fragen oder gibt es keinen, ist das ein Warnsignal.

Wo müssen die Schülerdaten gespeichert werden?

Der Serverstandort ist eines der wichtigsten Kriterien. Die Daten sollten vertraglich zugesichert ausschließlich in Rechenzentren in Deutschland oder der EU verarbeitet werden.

Werden Daten in Drittländer wie die USA übertragen – etwa bei US-Anbietern oder deren Cloud-Infrastruktur – gelten verschärfte Anforderungen, und der Einsatz ist an vielen Schulen durch die Landesdatenschutzbehörden stark eingeschränkt oder untersagt.

Achten Sie auf:

• transparente Angaben des Anbieters zum konkreten Speicherort der Daten

• Zertifizierungen der Rechenzentren wie ISO 27001 oder BSI C5

• die Zusicherung, dass auch Backups und Support-Zugriffe innerhalb der EU bleiben

Welche technischen Schutzmaßnahmen muss die Software erfüllen?

Nach Art. 32 DSGVO müssen Schülerdaten durch geeignete technische und organisatorische Maßnahmen (TOM) geschützt werden. Alle personenbezogenen Daten sollten grundsätzlich verschlüsselt sein – sowohl bei der Übertragung als auch bei der Speicherung.

Wichtige technische Anforderungen:

• Verschlüsselung der Daten bei Übertragung (TLS) und Speicherung

• Zugriffskontrolle mit individuellen Benutzerkonten und Rollen statt geteilter Logins

• Protokollierung von Zugriffen, um Nachvollziehbarkeit sicherzustellen

• regelmäßige Backups und ein Konzept zur Datenwiederherstellung

• gesicherte Löschkonzepte, damit Daten nach Ablauf der Aufbewahrungsfrist zuverlässig entfernt werden

Was bedeuten „Privacy by Design" und „Privacy by Default"?

Die DSGVO verankert in Art. 25 zwei zentrale Prinzipien, die jede Schulsoftware erfüllen sollte:

Privacy by Design bedeutet, dass Datenschutz von Anfang an in die Software eingebaut ist – nicht nachträglich aufgesetzt. Die Anwendung erhebt also technisch nur die Daten, die wirklich gebraucht werden (Datenminimierung).

Privacy by Default bedeutet, dass die datenschutzfreundlichsten Einstellungen bereits voreingestellt sind. Eine Schule muss nicht erst Häkchen entfernen, um datensparsam zu arbeiten – der sichere Zustand ist der Standard.

Welche Pflichten hat die Schule selbst?

Auch die beste Software entbindet die Schule nicht von ihren eigenen Pflichten. Dazu gehören insbesondere:

• Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO: Die Schule muss dokumentieren, welche personenbezogenen Daten wann, wo und wie verarbeitet werden. Jeder eingesetzte Auftragsverarbeiter – auch der Software-Anbieter – gehört dort erfasst.

• Einbindung des Datenschutzbeauftragten der Schule vor der Einführung neuer Software

• Information von Eltern und Schülern über die Datenverarbeitung

• Prüfung, ob nach Landesrecht eine Genehmigung der Schulaufsicht nötig ist

Hinweis: Datenschutz an Schulen ist Ländersache. Die konkreten Vorgaben unterscheiden sich je nach Bundesland und werden von der jeweiligen Landesdatenschutzbehörde und dem Kultusministerium geregelt. Klären Sie die für Ihr Bundesland geltenden Regeln, bevor Sie eine Software einführen.

Checkliste: DSGVO-konforme Schülerverwaltung auswählen

Bevor Sie sich für eine Software entscheiden, sollten Sie folgende Fragen mit „Ja" beantworten können:

• Stellt der Anbieter einen AVV nach Art. 28 DSGVO unterschriftsfertig bereit?

• Werden die Daten ausschließlich in Deutschland oder der EU verarbeitet?

• Sind die Rechenzentren zertifiziert (ISO 27001, BSI C5)?

• Sind die Daten verschlüsselt – bei Übertragung und Speicherung?

• Setzt die Software Privacy by Design und by Default um?

• Gibt es ein klares Löschkonzept für ausgeschiedene Schüler?

• Werden Unterauftragsverarbeiter transparent benannt?

• Ist der Anbieter bei Auskunfts- und Löschanfragen kooperativ?

Häufig gestellte Fragen (FAQ)

Braucht jede Schule einen AVV mit dem Software-Anbieter? Ja. Sobald ein externer Dienstleister Schülerdaten im Auftrag der Schule verarbeitet, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO verpflichtend. Ohne ihn ist die Nutzung der Software nicht zulässig.

Dürfen Schülerdaten in einer US-Cloud gespeichert werden? In der Regel nicht ohne Weiteres. Die Übertragung in Drittländer wie die USA unterliegt strengen Auflagen und ist an vielen Schulen durch die Landesdatenschutzbehörden eingeschränkt. Empfehlenswert ist ein Anbieter mit Serverstandort in Deutschland oder der EU.

Wer haftet, wenn beim Anbieter Daten verloren gehen? Die Schule bleibt datenschutzrechtlich verantwortlich, kann den Auftragsverarbeiter aber bei Verstößen in Regress nehmen. Genau deshalb ist die sorgfältige Auswahl und Dokumentation des Anbieters so wichtig.

Müssen Eltern der Nutzung einer Schulverwaltungssoftware zustimmen? Das hängt von der Rechtsgrundlage und dem Bundesland ab. Für die Erfüllung schulischer Aufgaben ist oft keine Einwilligung nötig, wohl aber eine transparente Information. Bei freiwilligen Zusatzfunktionen kann eine Einwilligung erforderlich sein. Klären Sie dies mit Ihrem Datenschutzbeauftragten.

Was passiert mit den Daten, wenn die Schule den Anbieter wechselt? Ein DSGVO-konformer Anbieter ermöglicht den Export der Daten und löscht sie nach Vertragsende nachweislich. Beides sollte im AVV geregelt sein.

---

Fazit

Eine DSGVO-konforme Schülerverwaltung erkennen Schulen an vier Kernpunkten: einem bereitgestellten AVV, einem Serverstandort in Deutschland oder der EU, nachgewiesenen technischen Schutzmaßnahmen und konsequenter Umsetzung von Privacy by Design. Wer diese Kriterien vor der Auswahl prüft und dokumentiert, schützt nicht nur die Daten der Schüler, sondern auch die Schule selbst.

schoolboost wurde von Grund auf für deutsche Schulen entwickelt – mit Serverstandort in Deutschland, vollständigem AVV und einer datensparsamen Architektur nach Privacy-by-Design-Prinzip. So verwalten Sie Klassen, Schüler und Schuljahreswechsel rechtssicher.

Dieser Beitrag bietet eine allgemeine Orientierung und ersetzt keine Rechtsberatung. Da Datenschutz an Schulen Ländersache ist, klären Sie die konkreten Anforderungen mit Ihrem schulischen Datenschutzbeauftragten und der zuständigen Landesbehörde.