Stellen Sie sich vor: Ein Lehrer möchte eine neue App nutzen, um Hausaufgaben zu verteilen. Die App ist kostenlos, einfach zu bedienen und die Schüler lieben sie. Doch bevor der erste Link verschickt wird, muss er anhalten. Warum? Weil hinter jedem Klick auf einer digitalen Plattform personenbezogene Daten stehen - Namen, IP-Adressen, manchmal sogar Videobilder von Minderjährigen. In Deutschland ist das kein kleiner Detailfehler, sondern ein komplexes Rechtsfeld.
Der Datenschutz im digitalen Unterricht ist mehr als nur Papierkram. Er ist der Schutzmechanismus für die Privatsphäre von über elf Millionen Schülerinnen und Schülern. Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 hat sich die Landschaft grundlegend verändert. Schulen sind keine geschützten Zonen, in denen Regeln nicht gelten; im Gegenteil, als öffentliche Stellen unterliegen sie strengsten Auflagen. Das Ziel ist klar: Bildung darf digital stattfinden, aber nicht auf Kosten der informationellen Selbstbestimmung der Kinder.
Die rechtliche Basis: Wer verarbeitet was?
Um zu verstehen, welche Tools erlaubt sind, müssen wir zuerst klären, wer hier eigentlich das Sagen hat. Nach Artikel 4 der DSGVO ist die Schule in der Regel der Verantwortliche. Das bedeutet, die Schulleitung oder der einzelne Lehrer entscheidet über den Zweck und die Mittel der Datenverarbeitung. Wenn die Schule dann einen externen Anbieter wie eine Cloud oder eine Lernplattform nutzt, wird dieser zum Auftragsverarbeiter.
Hier liegt der erste Knackpunkt: Der Auftragsverarbeiter darf die Daten nicht eigenständig nutzen. Er darf sie nur bearbeiten, weil die Schule es ihm beauftragt hat. Dafür braucht es zwingend einen Auftragsverarbeitungsvertrag (AVV) nach Artikel 28 DSGVO. Ohne diesen Vertrag ist die Nutzung eines kommerziellen Dienstes illegal, egal wie nützlich er auch sein mag. Viele Länder haben daher eigene Lösungen geschaffen, um diesen bürokratischen Schritt abzufedern.
- Schule: Verantwortlicher für die Daten.
- Anbieter (z.B. Microsoft, Google): Auftragsverarbeiter.
- Voraussetzung: Geschlossener AVV und Prüfung der Serverstandorte.
Zusätzlich zur DSGVO gilt das Bundesdatenschutzgesetz (BDSG) sowie die jeweiligen Landesschulgesetze. Jedes Bundesland hat seine eigenen Feinheiten. Bayern etwa hat eine detaillierte Handreichung herausgegeben, während Baden-Württemberg spezifische Regelungen für Bild- und Tonaufnahmen getroffen hat. Diese länderspezifischen Unterschiede machen die Sache für Lehrer oft kompliziert, da sie wissen müssen, was in ihrem Bundesland erlaubt ist.
Einwilligung vs. Gesetzliche Grundlage
Einer der größten Irrglauben im Schulalltag ist die Annahme, man müsse immer eine Einwilligung der Eltern einholen. Die Realität sieht anders aus. Die Einwilligung nach Artikel 6 Absatz 1 Buchstabe a DSGVO ist nur eine von mehreren Rechtsgrundlagen. Und im Schulkontext ist sie oft die schlechteste Wahl.
Warum? Weil eine Einwilligung freiwillig sein muss. Im Schulsystem gibt es jedoch ein Abhängigkeitsverhältnis. Wenn ein Lehrer sagt: "Wer diese App nicht nutzt, kann am Projekt nicht teilnehmen", ist die Zustimmung nicht wirklich freiwillig. Die Datenschutzkonferenz (DSK) warnt davor, Einwilligungen für Kernlehrmittel zu nutzen, da dies rechtlich angreifbar ist.
Stattdessen stützt sich der digitale Unterricht meist auf Artikel 6 Absatz 1 Buchstabe e DSGVO: Die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt. Der Unterricht ist solch eine Aufgabe. Wenn das Land NRW die Plattform LOGINEO bereitstellt, basiert die Nutzung auf dem Schulgesetz, nicht auf einer Unterschrift der Eltern. Das Gleiche gilt für Videokonferenzen im Pflichtunterricht.
| Szenario | Empfohlene Rechtsgrundlage | Begründung |
|---|---|---|
| Nutzung landeseigener Lernplattform | Art. 6 Abs. 1 lit. e DSGVO + Schulgesetz | Öffentlich-rechtliche Aufgabe des Unterrichts |
| Foto auf der Schulhomepage | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | Keine gesetzliche Pflicht zur Veröffentlichung |
| Optionale Wettbewerbs-App | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | Freiwillige Teilnahme, kein Kernunterricht |
| Videokonferenz im Distanzunterricht | Art. 6 Abs. 1 lit. e DSGVO | Ersatz für physischen Präsenzunterricht |
Einwilligungen sind also reserviert für Dinge, die nicht zwingend sind. Dazu gehören Fotos für die Schulwebsite, Social-Media-Auftritte oder optionale Apps, die nicht vom Land vorgegeben werden. Hier muss die Einwilligung konkret, informiert und widerrufbar sein. Pauschale Formulare wie "Ich stimme allem zu" sind unwirksam.
Das Problem mit US-Diensten
Warum dürfen wir nicht einfach WhatsApp oder Google Classroom nutzen? Die Antwort liegt im sogenannten Drittlandtransfer. Die DSGVO verbietet grundsätzlich die Übermittlung personenbezogener Daten in Länder außerhalb der EU, die keinen angemessenen Datenschutzniveau bieten. Dazu gehört aktuell noch immer die USA.
Nach dem EuGH-Urteil "Schrems II" im Jahr 2020 wurde klar, dass US-Behörden Zugriff auf Daten europäischer Bürger haben können. Dienste wie Microsoft 365, Google Workspace oder Zoom speichern Daten teilweise auf Servern in den USA. Ohne zusätzliche Garantien ist dies problematisch.
Die Datenschutzkonferenz (DSK) hat mehrfach betont, dass der Einsatz solcher Dienste in Schulen nur unter strengen Auflagen möglich ist. Einige Bundesländer haben Microsoft 365 untersagt oder nur in stark konfigurierten Varianten erlaubt. Andere setzen komplett auf europäische Alternativen. Das Risiko: Wenn ein Lehrer private Accounts nutzt, um Daten in die USA zu schicken, haftet die Schule.
Sichere Tools und Alternativen
Glücklicherweise gibt es eine wachsende Anzahl datenschutzfreundlicher Alternativen. Viele davon sind Open Source oder werden speziell für den Bildungssektor entwickelt.
Lernplattformen: Anstatt auf kommerzielle US-Lösungen zu setzen, nutzen viele Schulen Moodle oder landeseigene Plattformen wie IServ. IServ ist ein Beispiel für eine deutsche Lösung, die vollständig auf deutschen Servern läuft und AV-Verträge anbietet. Sie bietet E-Mail, Stundenplan und Dateimanagement in einem Paket.
Videokonferenzen: Statt Zoom oder Teams greifen datenschutzbewusste Schulen auf BigBlueButton oder Jitsi zurück. Diese Systeme können selbst gehostet werden, idealerweise auf Servern des Landes. So bleiben die Video- und Audiodaten innerhalb Deutschlands.
Messenger: WhatsApp ist tabu. Stattdessen empfehlen Aufsichtsbehörden Messenger wie Threema Education (Server in der Schweiz, Ende-zu-Ende-Verschlüsselung) oder schul.cloud. Threema benötigt keine Telefonnummer, was die Datenminimierung unterstützt.
Cloud-Speicher: Für Dateien eignen sich Nextcloud oder TeamDrive. Beide bieten Lösungen mit Serverstandorten in Deutschland oder der EU an. Wichtig ist dabei, dass die Verschlüsselung aktiviert ist und Zugriffsrechte genau geregelt werden.
Praktische Tipps für Lehrkräfte
Wie navigieren Sie als Lehrer durch dieses Dickicht? Hier sind konkrete Schritte, die Ihnen helfen, auf der sicheren Seite zu bleiben:
- Nutzen Sie Schulgeräte: Vermeiden Sie die Nutzung privater Smartphones oder Laptops für dienstliche Zwecke. Private Geräte sind schwer zu kontrollieren und erhöhen das Risiko von Datenlecks.
- Pseudonymisierung: Fordern Sie bei Tools, die keine Identifikation benötigen, Pseudonyme oder Zufallscodes statt echter Namen. Reduzieren Sie die Datenmenge auf das Nötigste.
- Kontaktieren Sie den Datenschutzbeauftragten: Bevor Sie ein neues Tool einführen, fragen Sie Ihren zuständigen Beauftragten. Oft gibt es bereits geprüfte Listen für Ihr Bundesland.
- Informieren Sie die Betroffenen: Halten Sie die Transparenzpflicht ein. Erklären Sie Schülern und Eltern, welche Daten warum verarbeitet werden. Nutzen Sie verständliche Sprache.
- Löschen Sie regelmäßig: Daten sollten nicht länger gespeichert werden als nötig. Löschen Sie Chatverläufe, alte Dateien und nicht mehr benötigte Konten zeitnah.
Vergessen Sie nicht: Datenschutz ist kein Hindernis für Innovation, sondern eine Voraussetzung für vertrauensvolle digitale Bildung. Wenn die Rahmenbedingungen stimmen, können sich alle auf das Wesentliche konzentrieren - den Unterricht.
Darf ich WhatsApp für Klassenelternabende nutzen?
Nein, die Nutzung von WhatsApp im schulischen Kontext ist aufgrund der Datenübertragung in die USA und der fehlenden Ende-zu-Ende-Verschlüsselung für Gruppenchats in der Regel nicht DSGVO-konform. Besser sind Alternativen wie Threema Education oder schul.cloud, die auf europäischen Servern liegen und strenge Datenschutzstandards erfüllen.
Brauche ich eine Einwilligung für die Nutzung von Moodle?
In den meisten Fällen nein. Wenn Moodle als landeseigene oder schulweit eingeführte Lernplattform dient, ist die Rechtsgrundlage der öffentliche Auftrag des Unterrichts (Art. 6 Abs. 1 lit. e DSGVO). Eine Einwilligung ist nur erforderlich, wenn die Nutzung optional ist oder zusätzliche, nicht zwingende Funktionen genutzt werden.
Was passiert, wenn ich versehentlich ein unzulässiges Tool nutze?
Sie sollten sofort die Nutzung einstellen und die betroffenen Daten löschen. Informieren Sie Ihren Datenschutzbeauftragten. In der Regel wird bei ersten Fehlern gewarnt, aber wiederholte Verstöße können zu Bußgeldern für die Schule führen. Wichtig ist, proaktiv Korrekturmaßnahmen einzuleiten.
Dürfen Schüler ihre eigenen Tablets im Unterricht nutzen?
Ja, das ist möglich, erfordert aber klare Regeln. Da die Schule für die Datenverarbeitung verantwortlich ist, muss sie sicherstellen, dass auch auf privaten Geräten datenschutzkonforme Bedingungen herrschen. Oft wird empfohlen, schulische Accounts zu verwenden und die Installation bestimmter Apps zu regeln.
Welche Vorteile hat IServ gegenüber kommerziellen Anbietern?
IServ speichert alle Daten auf Servern in Deutschland, schließt standardmäßig Auftragsverarbeitungsverträge ab und ist speziell auf die Bedürfnisse deutscher Schulen zugeschnitten. Es vermeidet Drittlandtransfers in die USA und bietet integrierte Lösungen für Kommunikation und Organisation, was die Compliance erleichtert.
