Einleitung
Eine Schulwebsite ist heute weit mehr als eine digitale Visitenkarte. Sie informiert Eltern, präsentiert Projekte, veröffentlicht Termine und dokumentiert das Schulleben. Gleichzeitig verarbeitet sie personenbezogene Daten – und genau hier beginnt die datenschutzrechtliche Verantwortung.
Mit dieser zweiteiligen Reihe geben wir Schulleitungen und Website-Verantwortlichen einen strukturierten Überblick darüber, wie Schulwebsites datenschutzkonform und rechtssicher betrieben werden können. Öffentliche Schulen unterliegen dabei strengen Vorgaben aus DSGVO, BDSG und Landesrecht.
Teil 1 widmet sich den rechtlichen Grundlagen: Welche Verantwortlichkeiten bestehen? Was gehört ins Impressum? Wie muss eine Datenschutzerklärung aufgebaut sein? Und was ist beim Umgang mit personenbezogenen Daten – etwa bei Kontaktformularen oder Fotos von Schülern – zu beachten?
Im zweiten Teil geht es anschließend um die technische Umsetzung: Hosting, Auftragsverarbeitung, Cookies, externe Dienste und notwendige Sicherheitsmaßnahmen.
Ziel dieser Reihe ist es, Schulen – insbesondere öffentliche Schulen – einen praxisnahen Überblick zu geben, um ihren Webauftritt dauerhaft rechtssicher zu betreiben und typische Fallstricke zu vermeiden.
Rechtliche Grundlagen und Verantwortlichkeiten
DSGVO und Schulrecht: Die Datenschutz-Grundverordnung (DSGVO) gilt EU-weit auch für Schulen – jedes Mal, wenn personenbezogene Daten (z.B. IP-Adressen von Website-Besuchern) erhoben oder verarbeitet werden. Schulen treten in der Regel als “Verantwortliche Stelle” im Sinne der DSGVO auf. Für deutsche Schulen kommen ergänzend nationale Vorschriften hinzu: das Bundesdatenschutzgesetz (BDSG) und insbesondere die Schulgesetze und Datenschutzgesetze der Bundesländer. Diese Landesregelungen konkretisieren etwa, welche Daten Schulen führen dürfen und unter welchen Bedingungen (z.B. in NRW dürfen Schülerfotos nur auf freiwilliger Basis veröffentlicht werden).
Schule vs. Schulträger: Rechtlich ist zu unterscheiden zwischen der Schule selbst und dem Schulträger (z.B. Kommune oder Land). In Datenschutzfragen gilt die Schule (vertreten durch die Schulleitung) meist als Verantwortliche, die sicherstellen muss, dass die Website DSGVO-konform ist. Für die Website-Impressumspflicht ist jedoch der Schulträger oft als Diensteanbieter zu nennen, da öffentliche Schulen häufig keine eigene Rechtspersönlichkeit haben. Praktisch bedeutet das: Die Schule verantwortet die Inhalte und die Verarbeitung personenbezogener Daten, während der Schulträger (als Betreiber der Infrastruktur) mit im Boot ist und z.B. im Impressum auftauchen muss. Beide Seiten sollten eng zusammenarbeiten, um einen datenschutzgerechten Webauftritt zu gewährleisten.
Rechenschafts- und Reaktionspflicht: Schulen müssen die Grundprinzipien der DSGVO einhalten – Rechtmäßigkeit (Daten nur mit Erlaubnisgrund oder Einwilligung verarbeiten), Zweckbindung, Datenminimierung, Speicherbegrenzung und Integrität/Vertraulichkeit. Sie tragen die Verantwortung, Verstöße zu vermeiden; die Aufsichtsbehörden der Länder können die Einhaltung kontrollieren und bei Verstößen Sanktionen verhängen. Es empfiehlt sich daher, klare interne Zuständigkeiten für die Schulhomepage festzulegen (z.B. Benennung eines verantwortlichen Lehrkraft-Administrators) und alle Vorgaben schriftlich festzuhalten. So sind Schulen etwa verpflichtet, Verzeichnisse von Verarbeitungstätigkeiten zu führen und auf Anfrage der Datenschutzbehörde Auskunft geben zu können – was auch Web-Dienste der Schule einschließt.
Impressumspflicht für Schulwebsites
Warum ein Impressum? Jede Schulwebsite ist ein öffentliches Telemedium und benötigt ein Impressum mit den Anbieter-Informationen. Die rechtliche Grundlage bildet § 18 Medienstaatsvertrag (MStV) sowie § 5 des neuen Digitale-Dienste-Gesetzes (DDG), die die Impressumspflicht regeln. Ein fehlendes oder fehlerhaftes Impressum kann Abmahnungen nach sich ziehen. Schulen dienen nicht rein privaten oder familiären Zwecken, daher greift die Impressumspflicht eindeutig.
Pflichtangaben im Impressum: Folgende Informationen müssen auf der Schulhomepage leicht erkennbar, unmittelbar erreichbar und dauerhaft verfügbar sein – idealerweise über einen Footer-Link auf jeder Seite:
Name der Schule (vollständige Schulbezeichnung) als Herausgeberin des Webangebots.
Adresse der Schule (ladungsfähige Postanschrift, kein Postfach).
Vertretungsberechtigte Person(en): Name der Schulleitung (Schulleiter/in) und ggf. deren Vertretung. Diese gelten als inhaltlich Verantwortliche gemäß § 18 MStV (für journalistisch-redaktionelle Inhalte).
Kontaktangaben: Eine E-Mail-Adresse und Telefonnummer für schnelle elektronische Kontaktaufnahme.
Schulträger: Angabe des Schulträgers (z.B. Stadt oder Kreis) als Diensteanbieter, inkl. Name der vertretungsberechtigten Person dort. In einigen Bundesländern (etwa Baden-Württemberg) wird sogar das Land als Anbieter genannt, da die Lehrkräfte Landesbedienstete sind.
Webseiten-Betreuung: Falls die Website redaktionell von jemand anderem als der Schulleitung betreut wird (z.B. ein Lehrerteam oder externes Unternehmen), sollte diese Person/Firma mit genannt werden. Gleiches gilt für technische Umsetzung oder Design, sofern hier Dritte beteiligt waren.
Weitere Angaben: Sofern vorhanden, die Umsatzsteuer-ID (für Schulen meist nicht relevant). Auch ein Hinweis auf die Rechtsform kann entfallen, da Schulen in der Regel keine eigenständige juristische Person sind (die Nennung „Landeshauptstadt Musterstadt, Schulamt, vertreten durch…“ deckt dies ab).
Aktualität und Zugänglichkeit: Das Impressum sollte mit maximal zwei Klicks erreichbar sein – etwa über den Link “Impressum” im Footer. Achten Sie darauf, veraltete Gesetzesangaben zu vermeiden: Viele älteren Impressen verweisen noch auf § 5 Telemediengesetz (TMG). Diese Norm wurde durch § 5 DDG ersetzt – eine Nennung ist zwar nicht Pflicht, aber falls der Gesetzeshinweis im Impressum steht, sollte er korrekt sein. Wichtig ist vor allem, dass alle Pflichtfelder vollständig sind und die Informationen stets aktuell gehalten werden (z.B. nach einem Schulleitungswechsel).
Datenschutzerklärung auf der Schulhomepage
Warum eine Datenschutzerklärung? Gemäß Art. 12, 13 DSGVO sind Schulen verpflichtet, Website-Besucher transparent über die Datenerhebung und -verwendung zu informieren. Jede Website – auch eine simple Schulwebseite – verarbeitet bereits beim Aufruf personenbezogene Daten (z.B. IP-Adresse in Server-Logfiles). Eine leicht zugängliche Datenschutzerklärung klärt Nutzer über Art, Umfang und Zweck dieser Datenverarbeitung auf. Ein Link “Datenschutz” gehört daher auf jede Seite (üblich im Footer neben dem Impressum).
Inhalt einer schulischen Datenschutzerklärung: Die Datenschutzerklärung sollte in verständlicher Sprache verfasst sein und mindestens folgende Punkte abdecken:
Verantwortliche Stelle: Name und Kontaktdaten der Schule, vertreten durch die Schulleitung. Hier wird klar benannt, wer für die Datenverarbeitung verantwortlich ist (die Schule bzw. Schulbehörde).
Datenschutzbeauftragte/r: Kontaktdaten des schulischen Datenschutzbeauftragten (DSB). Es reicht, eine Funktions-E-Mail (z.B. datenschutz@musterschule.de) oder eine Telefonnummer anzugeben. Die Nennung des Namens ist optional, falls der DSB anonym auftreten können soll.
Daten und Zwecke: Auflistung, welche personenbezogenen Daten die Website erfasst und zu welchen Zwecken. Beispielsweise: Server-Protokolldaten (IP-Adresse, Zeit, Browser etc.) zur Sicherstellung des Betriebs; evtl. eingegebene Daten aus Kontaktformularen zur Beantwortung von Anfragen; Cookies für bestimmte Funktionen usw. Schulen sollten hier betonen, dass nur im nötigen Umfang Daten erhoben werden (Datensparsamkeit).
Rechtsgrundlage: Für jede Datenverarbeitung der Webseite die Rechtsgrundlage nach DSGVO angeben. Oft ist dies Art. 6 Abs. 1 lit. e DSGVO (Wahrnehmung öffentlicher Aufgaben im Schulwesen) oder lit. f (berechtigtes Interesse, z.B. technische Sicherheit) – außer bei freiwilligen Angeboten wie Newsletter, wo Einwilligung (lit. a) erforderlich ist.
Empfänger und Auftragsverarbeiter: Offenlegen, ob und welche externen Stellen Daten erhalten. Beispiel: der Webhoster verarbeitet die Log-Daten als Auftragsverarbeiter und muss genannt werden. Wenn die Schule externe Dienste einbindet (z.B. Cloud-Dienste, Analysetools), sind diese als Empfängerkategorien anzugeben.
Drittland-Transfers: Hinweis, falls personenbezogene Daten in Drittländer außerhalb der EU übermittelt werden. Zum Beispiel: Nutzung eines US-Dienstes (Google, Microsoft etc.) für Web-Analytics oder Newsletter-Versand. In so einem Fall muss die Datenschutzerklärung informieren, wo die Daten verarbeitet werden und ob dort ein angemessenes Datenschutzniveau herrscht. Bei US-Diensten sollte stehen, ob der Anbieter am EU-US Data Privacy Framework (DPF) teilnimmt; andernfalls braucht es Standardvertragsklauseln und einen Hinweis auf das Risiko (Transfer-Folgenabschätzung).
Speicherdauer: Angabe, wie lange die erhobenen Daten gespeichert werden bzw. nach welchen Kriterien diese Fristen bestimmt werden. Beispiel: “Server-Logs werden nach 7 Tagen automatisch gelöscht”.
Betroffenenrechte: Aufzählung der Rechte der Nutzer nach DSGVO – Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit – und Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde. Praktisch wird hier meist ein Standardtext verwendet, der alle relevanten Artikel (15-18, 20, 21 DSGVO) erwähnt. Wichtig: Auch der Widerruf einer Einwilligung (falls erteilt) muss erwähnt werden.
Cookies und Analyse: Verweis darauf, ob Cookies eingesetzt werden und zu welchem Zweck. Details zu Cookies können auch separat (z.B. in einer Cookie-Richtlinie) erläutert werden, aber ein kurzer Hinweis gehört in die Datenschutzerklärung. Ebenso sollte – falls Webanalyse-Tools wie Matomo oder Google Analytics im Einsatz sind – dies transparent gemacht werden (siehe unten Cookies & externe Dienste).
Tipp: Halten Sie die Datenschutzerklärung immer auf dem neuesten Stand, gerade wenn neue Funktionen auf der Website hinzukommen (z.B. ein neues Kontaktformular, Social-Media-Plugins etc.). Viele Kultusministerien und Datenschutzbehörden bieten Mustertexte an, die Schulen nutzen können. Beispielsweise stellt NRW ein Muster für Schulhomepages bereit, das angepasst werden kann. Dennoch sollte jede Schule die Erklärung an ihre eigenen Gegebenheiten anpassen und keine Inhalte übernehmen, die nicht zutreffen (Datenschutzerklärung nicht “blind” kopieren).
Der Datenschutzbeauftragte der Schule
Benennungspflicht: Öffentliche Schulen müssen einen Datenschutzbeauftragten (DSB) schriftlich bestellen. Dies ergibt sich aus Art. 37 DSGVO i.V.m. § 38 BDSG, da Schulen in der Regel öffentliche Stellen sind. Auch viele freie Schulträger benennen freiwillig einen DSB. Der DSB kann eine geeigneter Lehrerin oder externer Datenschutzexpertein sein. Wichtig: Interessenkonflikte vermeiden – z.B. Schulleitungen oder IT-Administratoren sind als DSB eher ungeeignet, da sie die eigenen Maßnahmen nicht neutral kontrollieren könnten.
Rolle und Aufgaben: Der/Die Datenschutzbeauftragte dient als Berater und Kontrollinstanz in allen Datenschutzfragen an der Schule. Konkret soll er/sie die Einhaltung der Vorschriften überwachen, die Schulleitung und Kollegium datenschutzrechtlich unterstützen sowie Ansprechperson für Betroffene (Schüler, Eltern, Lehrkräfte) und die Aufsichtsbehörde sein. Der DSB hat z.B. ein offenes Ohr, falls Eltern wissen wollen, welche Daten die Schule über ihr Kind gespeichert hat, oder wenn es eine Datenpanne gab. Er berät bei neuen Projekten (digitale Tools, Cloud-Lösungen etc.) und erstellt mit der Schulleitung zusammen Dokumentationen (Verarbeitungsverzeichnis, Richtlinien).
Unabhängigkeit: Ein interner DSB ist in der Ausübung seiner Fachkunde weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Er berichtet direkt an die Schulleitung (oft in Form eines jährlichen Datenschutz-Berichts). Falls die Schule keinen geeigneten internen Kandidaten hat oder die Aufgabe zu komplex wird, kann ein externer DSB beauftragt werden. Dieser kommt meist von einem Dienstleister oder der Kommune – Vorteil: hohe Expertise und Entlastung der Schule; Nachteil: nicht täglich vor Ort, oft nur zu bestimmten Sprechzeiten verfügbar.
DSB-Kontakt auf der Website: Gemäß DSGVO Art. 37 Abs. 7 muss die Schule die Kontaktdaten des DSB auf der Website veröffentlichen. In der Praxis genügt eine zentrale E-Mail-Adresse (z.B. datenschutz@…) oder eine Telefonnummer, unter der der DSB erreichbar ist. Diese Angabe kann im Impressum oder der Datenschutzerklärung erfolgen – Hauptsache, sie ist leicht auffindbar. Beispiel: “Unseren Datenschutzbeauftragten erreichen Sie unter datenschutz@musterschule.de”. Dadurch haben Eltern und Lehrkräfte eine klare Anlaufstelle für Datenschutzfragen. Beachten Sie, dass der Name des DSB nicht zwingend genannt werden muss – der Fokus liegt auf der Erreichbarkeit.
Verantwortung bleibt bei der Schule: Wichtig zu verstehen: Die Bestellung eines DSB entbindet die Schulleitung nicht von der Verantwortung für den Datenschutz. Der DSB unterstützt und überwacht, aber die Umsetzung (z.B. technisch-organisatorische Maßnahmen, Schulung des Personals, Meldung von Datenpannen binnen 72 Stunden) liegt letztlich in der Hand der Schule bzw. Schulverwaltung. Die Schulleitung muss den DSB daher frühzeitig einbeziehen, wenn neue digitale Tools angeschafft werden oder Änderungen geplant sind. Gemeinsam lassen sich so Probleme vorbeugen, bevor sie auftreten.
Umgang mit personenbezogenen Daten auf der Website
Datenminimierung und Zweckbindung: Für Schulwebsites gilt: So wenige personenbezogene Daten veröffentlichen wie möglich, und nur mit klarem Zweck und Rechtsgrundlage. Überlegen Sie bei jedem Inhalt: Ist es nötig, dass diese Information öffentlich im Internet steht? Beispielsweise eine Lehrerliste mit Namen und Fächern mag sinnvoll sein (Aufgabenerfüllung der Schule, berechtigtes Informationsinteresse der Eltern). Hingegen das Geburtsdatum von Lehrkräften oder private Kontaktdaten haben auf der Homepage nichts verloren. Schülerdaten sind besonders sensibel – hier ist Zurückhaltung geboten.
Typische Inhalte prüfen: Viele Schulen möchten Erfolge und das Schulleben präsentieren, z.B. Gewinner von Wettbewerben, Projekte oder die Mitglieder der Schülervertretung. Dabei sollten möglichst keine vollständigen Namen von Minderjährigen ohne Einwilligung genannt werden. Initialen, Vornamen oder Klassenstufen können oft reichen, um Erfolge zu teilen, ohne einzelne Kinder voll identifizierbar zu machen. Fotos von Schülern sind ein Sonderfall und im nächsten Abschnitt separat behandelt. Auch bei Berichten über Veranstaltungen sollte man vorsichtig mit Details umgehen – z.B. nicht veröffentlichen, wer krankheitsbedingt fehlt (Gesundheitsdaten).
Server-Logs und Besucher-Daten: Bereits im Hintergrund verarbeitet die Homepage personenbezogene Daten der Besucher, etwa via Server-Logfiles und ggf. Cookies. Diese Daten (IP-Adresse, Zeit des Zugriffs, etc.) sind für den Betrieb technisch erforderlich, doch die Schule bekommt davon meist nichts direkt mit, da der Webhoster sie erhebt. Trotzdem trägt die Schule Verantwortung dafür, was damit passiert. Maßnahmen: Schließen Sie einen Vertrag mit dem Host (siehe Hosting & Auftragsverarbeitung), konfigurieren Sie die Logs datenschutzfreundlich (z.B. IP-Anonymisierung, automatische Löschfristen) und erwähnen Sie die Vorgänge in der Datenschutzerklärung. Schulen sollten außerdem keine unnötigen Tracking-Tools einsetzen, um die Privatsphäre der Besucher (häufig Eltern und Schüler) zu schützen.
Interne Inhalte und Passwörter: Falls die Schulwebsite einen geschützten Bereich hat (z.B. ein Intranet für Lehrkräfte oder einen Downloadbereich für Elternbriefe mit Login), muss besonders auf Zugangsschutz geachtet werden. Zugangsdaten dürfen nur Berechtigten bekannt sein, und sensible Dokumente sollten zusätzlich passwortgeschützt oder verschlüsselt bereitgestellt werden. Andernfalls könnten vertrauliche Informationen (etwa Elternkontakte, interne Protokolle) unbefugt abgerufen werden. Hier greift die Pflicht zu angemessenen technisch-organisatorischen Maßnahmen (siehe Abschnitt Sicherheitsmaßnahmen).
Fotos von Schülern – was ist erlaubt?
Fotos nur mit Einwilligung veröffentlichen: Bilder von identifizierbaren Schülern im Internet sind personenbezogene Daten und berühren das Recht am eigenen Bild. Ohne ausdrückliche Einwilligung der Sorgeberechtigten (und ggf. der Schüler selbst) geht hier nichts. Das heißt, Schulen dürfen Fotos von Kindern grundsätzlich nur auf freiwilliger Basis verarbeiten und online stellen. In vielen Landesgesetzen ist dies ausdrücklich festgelegt – in NRW z.B. dürfen Schülerfotos nur mit freiwilliger Zustimmung veröffentlicht werden, und Nicht-Einwilligung darf keine Nachteile für das Kind haben. Eine erteilte Einwilligung kann außerdem jederzeit widerrufen werden, dann muss die Schule das Foto entfernen.
Einwilligung richtig einholen: Im Schulalltag werden oft zu Beginn des Schuljahres Foto-Einwilligungen der Eltern eingeholt. Wichtig ist, dass diese informiert und freiwillig erfolgen. Dabei sind folgende Punkte zu beachten:
Kein Zwang und keine Koppelung: Eltern dürfen nicht schon bei der Schulanmeldung “pauschal” zustimmen müssen, dass Fotos ihres Kindes veröffentlicht werden. Eine solche Kopplung verstößt gegen die DSGVO (Koppelungsverbot). Besser ist, separate Einwilligungsformulare für konkrete Zwecke auszugeben – z.B. “Veröffentlichung von Klassenfotos auf der Schulwebsite” – die jederzeit verweigert werden können, ohne dass dem Kind Nachteile entstehen.
Alter der Schüler berücksichtigen: Bei jüngeren Schülern entscheiden die Eltern allein. Ab etwa 14 Jahren sollten auch die Jugendlichen selbst zustimmen, sofern sie die nötige Einsichtsfähigkeit haben. In der Praxis holt man zwischen 14 und 18 Jahren die Zustimmung beider – Eltern und Schüler – ein. Ab 18 entscheiden die Schüler allein.
Konkretheit: Die Einwilligung sollte den Verwendungszweck und Umfang klar benennen. Also z.B. “Veröffentlichung auf der Schulhomepage und ggf. in der Lokalpresse im Rahmen der Schulchronik, für maximal 3 Jahre”. So wissen Eltern genau, wozu sie ja sagen.
Dokumentation: Alle Einwilligungen müssen schriftlich oder in vergleichbarer Form vorliegen und dokumentiert werden. Die Schule sollte also die Formulare abheften bzw. digital speichern, um im Zweifel nachweisen zu können, dass eine Erlaubnis vorlag.
Widerruf respektieren: Weisen Sie in der Einwilligungserklärung darauf hin, dass diese freiwillig ist und jederzeit widerrufen werden kann. Benennen Sie eine Kontaktstelle (z.B. das Sekretariat oder den DSB) für den Widerruf. Kommt ein Widerruf, muss das betreffende Foto umgehend entfernt werden – und zwar nicht nur von der Website, sondern ggf. auch aus Social-Media-Auftritten der Schule.
Beispiele aus der Praxis: Ein Klassenfoto auf der Homepage gilt als Veröffentlichung und benötigt somit die Zustimmung aller abgebildeten Personen bzw. Eltern. Schwierige Konstellation: Wenn auch nur ein Elternteil nein sagt, sollte das Bild nicht online gestellt werden oder das Kind unkenntlich gemacht werden. Projektfotos (etwa von einer Theateraufführung) können möglich sein, wenn im Vorfeld alle Beteiligten zugestimmt haben. Die Schule kann hier mit “Opt-in”-Ansätzen arbeiten: z.B. nur die Schüler auf der Bühne fotografieren, die es erlaubt haben, oder Gruppenbilder so arrangieren, dass Widerspruchs-Kinder nicht im Fokus stehen. Ein bewährtes Motto lautet: “Im Zweifel lieber fragen – als abgemahnt werden.” Das heißt, im Zweifel eher keine Fotos veröffentlichen, bei denen Unsicherheit über die Einwilligungslage besteht.
Schutzmaßnahmen bei veröffentlichten Fotos: Wenn Fotos online gestellt werden, sollten möglichst keine Klarnamen direkt beim Bild stehen (oder nur Vorname ohne Nachname), um eine Identifizierung über Suchmaschinen zu erschweren. Manche Schulen veröffentlichen z.B. Galerien von Veranstaltungen ohne Namensnennung, um die Privatsphäre zu wahren. Außerdem empfiehlt es sich, die Auflösung der Bilder gering zu halten – so sind Details schlechter erkennbar und ein Missbrauch (z.B. Weiterverbreitung durch Dritte) wird unattraktiver. Schulen sollten sich bewusst sein, dass im Internet veröffentlichte Bilder weltweit abrufbar, speicherbar und kombinierbar sind. Daher: so viel Schutz wie möglich, so wenig persönliche Informationen wie nötig.
Kontaktformulare und E-Mail-Kommunikation
Kontaktformular – ja oder nein? Ein Kontaktformular auf der Schulwebsite kann Eltern und Schülern den Erstkontakt erleichtern. Datenschutzrechtlich ist es aber nur zulässig, wenn die Verbindung verschlüsselt ist (HTTPS). Ohne SSL-Zertifikat kein Kontaktformular! Andernfalls würden die eingegebenen Daten (Name, E-Mail, Anliegen) ungeschützt durchs Internet gesendet – ein No-Go. Tatsächlich hatten viele ältere Schulhomepages keine Verschlüsselung; hier sollte entweder nachgerüstet oder auf das Formular verzichtet werden. Anwältin Sibylle Schwarz empfiehlt: Lieber kein Kontaktformular anbieten, als ein unsicheres. Falls Ihre Website also noch kein “https://” vor der Adresse hat, kümmern Sie sich zunächst um ein Zertifikat (oft bietet der Webhoster das kostenlos via Let’s Encrypt an). Ansonsten beschränken Sie die Kontaktmöglichkeit auf die Angabe einer E-Mail-Adresse im Impressum.
Gestaltung des Formulars: Wenn ein Kontaktformular vorhanden ist, gelten Prinzipien der Datenvermeidung: Fragen Sie nur die nötigsten Angaben ab. In der Regel genügen Name, E-Mail-Adresse und das Nachrichtentextfeld. Dinge wie Telefonnummer, Adresse oder gar sensible Informationen sollten nicht verpflichtend sein – höchstens optional, falls jemand es angeben möchte. Stellen Sie klar (z.B. unmittelbar unter dem Formular), was mit den Daten passiert: Ein kurzer Satz wie “Die von Ihnen eingegebenen Daten werden nur zur Beantwortung Ihrer Anfrage verwendet und anschließend gelöscht” schafft Transparenz. Zusätzlich sollte ein Hinweis “Mit dem Absenden erkläre ich mich mit der Verarbeitung meiner Daten gemäß der Datenschutzerklärung einverstanden” mit Link zur Datenschutzerklärung nicht fehlen. Auf diese Weise wird dem Absender bewusst, dass seine Anfrage elektronisch weiterverarbeitet wird, und er kann sich bei Bedarf in der Datenschutzerklärung genauer informieren.
E-Mail-Verkehr: Viele Schulen kommunizieren viel per E-Mail mit Eltern und externen Partnern. Genau genommen sollten auch E-Mails verschlüsselt werden (Stichwort S/MIME oder PGP), gerade wenn darin sensible Daten stehen. In der Praxis ist das im Schulalltag selten umgesetzt, aber zumindest sollten Schulen sichere E-Mail-Anbieter nutzen. Vermeiden Sie US-Dienste wie Gmail oder Yahoo für dienstliche Kommunikation. Solche Anbieter scannen oft die Mails und laufen über Server in den USA – das ist mit den DSGVO-Grundsätzen nicht vereinbar. Besser ist eine dienstliche E-Mail-Adresse auf dem Schulserver oder beim Landesrechenzentrum. Viele Bundesländer stellen Schulen entsprechende Maildienste zur Verfügung, oder der Schulträger richtet @schule.de Adressen ein. Wenn Lehrkräfte private Accounts nutzen, sollte dies zumindest datenschutzkonform sein (am besten ein europäischer Anbieter, keine Weiterleitung von dienstlichen Daten an private Postfächer).
Newsletter: Betreibt die Schule einen Newsletter-Verteiler (z.B. für Elterninfos als E-Mail-Rundschreiben), gelten die gleichen Regeln: Einwilligung der Empfänger (am besten via Double-Opt-In), klare Info worüber informiert wird, und eine Abmeldemöglichkeit in jeder Mail. Auch der Newsletter-Versand sollte möglichst über eigene Infrastruktur oder einen DSGVO-konformen Dienstleister in der EU erfolgen. Die Anmeldung zum Newsletter ist eine Datenerhebung, die in der Datenschutzerklärung beschrieben werden muss (Kategorie der Daten – meist E-Mail-Adresse –, Zweck, Versanddienstleister, Widerrufsmöglichkeit).
Instant Messenger & Co.: Zur Kommunikation mit Schülern nutzen manche Lehrkräfte Chats oder Messenger. Hier sei nur am Rande erwähnt: Von WhatsApp oder Facebook-Messenger ist wegen Datenschutz abzuraten – sie übertragen Daten über US-Server und greifen Adressbuchinformationen ab, was für Schulen tabu ist. Stattdessen empfehlen Datenschutz-Experten datenschutzfreundliche Alternativen wie Signal, Threema oder schulinterne Lösungen. Dieses Thema geht über die Website hinaus, zeigt aber, dass auch in der digitalen Kommunikation mit Schülern Vorsicht geboten ist.
Fazit und Ausblick
Die rechtlichen Grundlagen rund um DSGVO, Impressumspflicht, Datenschutzerklärung und den Umgang mit personenbezogenen Daten bilden das Fundament jeder Schulwebsite. Schulleitungen und Website-Verantwortliche müssen wissen, welche Daten sie verarbeiten dürfen, welche Einwilligungen erforderlich sind und welche Transparenzpflichten bestehen.
Doch selbst die beste Datenschutzerklärung nützt wenig, wenn die technische Umsetzung unsicher ist oder externe Dienste unkontrolliert Daten übertragen. Datenschutz endet nicht bei Formulartexten und Einwilligungen – er beginnt dort erst richtig.
Im zweiten Teil dieser Reihe werfen wir deshalb einen Blick auf die technische Seite der Schulwebsite:
Welche Rolle spielen Hosting und Auftragsverarbeitung?
Braucht eine Schulhomepage einen Cookie-Banner?
Was ist bei Google-Diensten, Tracking-Tools oder eingebetteten Inhalten zu beachten?
Welche technischen Sicherheitsmaßnahmen sind Pflicht?
Teil 2 knüpft direkt an die rechtlichen Grundlagen an und zeigt, wie Schulen Datenschutz praktisch und technisch sauber umsetzen – damit Theorie und Technik zusammenpassen.