Einleitung
Im ersten Teil dieser Reihe standen die rechtlichen Grundlagen im Mittelpunkt: Verantwortlichkeiten, Impressumspflicht, Datenschutzerklärung, der Umgang mit Schülerfotos sowie Kontaktformulare und Einwilligungen.
Doch Datenschutz auf Schulwebsites ist nicht nur eine Frage von Texten und Formularen – er ist vor allem eine Frage der technischen Umsetzung. Selbst eine formal korrekte Datenschutzerklärung schützt nicht vor Problemen, wenn etwa ein unsicheres Hosting, falsch eingebundene externe Dienste oder fehlende Sicherheitsmaßnahmen personenbezogene Daten gefährden.
In diesem zweiten Teil geht es deshalb um die technische und organisatorische Umsetzung der DSGVO im Hintergrund der Schulhomepage. Wir klären, welche Anforderungen an Hosting und Auftragsverarbeitung gestellt werden, wie mit Cookies und Tracking umzugehen ist, welche Risiken externe Dienste bergen und welche Sicherheitsmaßnahmen Schulen unbedingt umsetzen sollten.
Ziel ist es, Schulleitungen und Website-Verantwortlichen eine klare Orientierung zu geben, wie sie ihre Schulwebsite nicht nur rechtlich korrekt, sondern auch technisch sicher betreiben.
Cookies, Tracking und externe Dienste
Cookies auf Schulhomepages: Cookies sind kleine Textdateien, die Websites auf dem Gerät der Nutzer speichern – etwa um Einstellungen zu merken oder Nutzer wiederzuerkennen. Schulwebsites kommen oft mit wenigen oder gar keinen Cookies aus. Technisch notwendige Cookies (z.B. für die Login-Funktion im internen Bereich oder zur Spracheinstellung) dürfen ohne Einwilligung gesetzt werden, müssen aber in der Datenschutzerklärung erwähnt werden. Cookies, die dem berechtigten Interesse dienen (Art. 6 Abs. 1 lit. f DSGVO) – z.B. für Performance oder eine sichere Nutzung – sind ebenfalls ohne vorheriges Banner erlaubt, solange der Nutzer in der Datenschutzerklärung über sein Widerspruchsrecht aufgeklärt wird.
Braucht es einen Cookie-Banner? Ein berüchtigtes Thema: Viele Webseiten zeigen Banner zur Cookie-Einwilligung. Für reine Schulwebsites, die nur informieren, ist ein Cookie-Banner oft nicht nötig, wenn man sich auf notwendige Cookies beschränkt. Einwilligung durch Banner ist nur erforderlich, wenn Tracking oder externe Dienste eingesetzt werden, die nicht notwendige Cookies setzen. Beispiel: Google Analytics zur Besucheranalyse, YouTube-Videos mit Tracking oder Facebook-Plugins. In solchen Fällen greift das TTDSG § 25: vor dem Setzen der Cookies muss eine Einwilligung eingeholt werden. Das Banner sollte die Möglichkeit bieten, alle optionalen Cookies abzulehnen oder zu akzeptieren (gleichberechtigte Buttons), und einen Link zu detaillierten Cookie-Infos bereitstellen. Auf der ersten Ebene kann man kurz informieren, was gesammelt wird, und auf der zweiten Ebene oder in der Datenschutzerklärung alle Details erläutern.
Empfehlung: Schulen sollten erwägen, auf Tracking zu verzichten, um es sich und den Nutzern einfacher zu machen. Es spricht wenig dagegen, auf umfangreiche Analyse-Tools zu verzichten – für eine Schule ist es meist nicht essenziell zu wissen, wie viele Besucher täglich auf der Homepage waren. Wenn doch Statistik gewünscht ist, gibt es datenschutzfreundliche Alternativen (z.B. Matomo in anonymisierter Form, gehostet auf dem Schulserver). In jedem Fall: Keine unerlaubten Third-Party-Cookies ohne Zustimmung setzen.
Externe Dienste einbinden: Vorsicht ist geboten beim Einbinden von externen Inhalten auf der Schulwebsite, z.B. Google Maps, YouTube-Videos, Social-Media-Feeds oder externe Widget-Tools. Solche Plugins übertragen oft automatisch Daten der Webseiten-Besucher an den Drittanbieter – auch wenn man nur die Seite aufruft, die das Plugin enthält. Beispiel: Eine eingebettete Google Map sendet die IP-Adresse und möglicherweise Cookie-IDs an Google. Maßnahmen: Binden Sie externe Inhalte nur ein, wenn unbedingt nötig, und informieren Sie in der Datenschutzerklärung darüber (inkl. Hinweis auf evtl. Datenübermittlung in Drittstaaten). Nutzen Sie nach Möglichkeit datenschutzfreundliche Lösungen: z.B. 2-Klick-Lösungen (erst nach Klick wird der externe Inhalt geladen) oder lokale Alternativen. Ein Vorschlag: statt einer Live-Google-Map lieber einen statischen Kartenausschnitt als Bild anzeigen; statt Social-Media-Plugins einfach nur einen Link auf die Schul-Facebookseite anbieten (in einem neuen Tab öffnen). Wenn die Schule selbst Social-Media-Profile betreibt, muss in der Datenschutzerklärung ein Hinweis auf die Datenverarbeitung dort und die Verantwortlichkeit (Stichwort “Page-Insights” bei Facebook) aufgenommen werden.
Google Fonts & Co.: Ein spezieller Fall sind externe Schriftarten oder Skripte (Google Fonts, CDN-Bibliotheken). Hier gab es Urteile, dass die Einbindung ohne Einwilligung unzulässig ist, wenn dabei IP-Adressen an Google übertragen werden. Lösung: Hosten Sie solche Ressourcen lokal auf dem eigenen Server, um keine unnötigen Verbindungen zu Drittservern aufzubauen. Moderne Website-Templates ermöglichen das häufig mit wenig Aufwand.
Zusammengefasst: Halten Sie die Schulhomepage möglichst schlank: Je weniger externe Tools und Cookies, desto einfacher die Rechtslage. Im Idealfall kommt die Seite ohne Cookies aus, dann reicht der Hinweis in der Datenschutzerklärung und es nervt kein Banner. Falls Sie Dienste verwenden, die Cookies setzen oder Daten auswerten, holen Sie vorher die Zustimmung ein und dokumentieren Sie dies. Achten Sie auf zeitgemäße Hinweise: ein Besucher muss leicht finden, welche Cookies im Einsatz sind und wie er diese ggf. ablehnen kann.
Hosting, Auftragsverarbeitung und externe Dienstleister
Webhosting: Schulwebsites werden oft von externen Providern gehostet – sei es ein kommerzieller Anbieter, der städtische Rechenzentrum oder z.B. ein Rahmenvertrag via Landesbildungsserver. Sobald ein externer Dienstleister im Auftrag der Schule personenbezogene Daten verarbeitet (z.B. Speichern von Website-Daten, Logs, Backup), liegt Auftragsverarbeitung im Sinne von Art. 28 DSGVO vor. Die Schule muss dann einen Auftragsverarbeitungsvertrag (AV-Vertrag) abschließen. Ein solcher Vertrag regelt, welche Daten der Dienstleister wie verarbeitet, und stellt sicher, dass er DSGVO-konforme Sicherheitsmaßnahmen umsetzt.
AV-Vertrag – nicht vergessen: Viele Webhoster bieten bereits Muster-AV-Verträge an (oft im Kundenbereich downloadbar), da sie wissen, dass ihre Kunden dies brauchen. Schulen sollten aktiv nachfragen, falls kein Vertrag vorliegt. Ohne AVV verstößt man gegen die DSGVO, selbst wenn sonst alles ok ist. Der AVV ist quasi der “Persilschein”, dass der Dienstleister nur nach Weisung der Schule handelt und ausreichenden Schutz bietet. Wichtig: Auch wenn der Dienstleister viel übernimmt, bleibt die Schule verantwortlich für den Datenschutz. Im Ernstfall haftet der Auftraggeber (Schule/Schulträger) mit, daher sollte man nur zuverlässige Partner wählen.
Typische Dienstleister: Neben dem Webhoster gibt es weitere externe Dienste, bei denen ein AV-Vertrag nötig sein kann: z.B. Website-Baukästen (falls die Schule auf Jimdo, Wix o.ä. setzt), Content-Management-Dienstleister (eine Agentur, die die Seite pflegt), Newsletter-Services, Cloud-Dienste für Formulare oder Galerien, etc. Prüfen Sie bei jedem externen Service: Werden dabei personenbezogene Daten unserer Nutzer verarbeitet? Wenn ja, ist entweder ein AV-Vertrag nötig oder – falls der Dienst eigenständig Verantwortlicher ist – zumindest ein Hinweis in der Datenschutzerklärung.
Serverstandort und Sicherheit: Achten Sie darauf, wo die Website gehostet wird. Ideal ist ein Server in Deutschland oder der EU. Liegt der Server im EU-Ausland, ist das meist unproblematisch, solange DSGVO-Standard (Adequacy) gegeben ist. Bei Anbietern aus Drittstaaten (USA, etc.) muss ein angemessenes Datenschutzniveau sichergestellt sein. Nach dem Wegfall von Privacy Shield gibt es nun das EU-US Data Privacy Framework, aber falls der Anbieter nicht zertifiziert ist, müssen Standardvertragsklauseln abgeschlossen und zusätzliche Garantien geprüft werden. In der Praxis sollten Schulen möglichst auf europäische Hoster setzen – viele Bundesländer bieten z.B. eigene Bildungsplattformen oder Hosting über kommunale IT-Dienste an.
Technische Betreuung: Klären Sie mit dem Hoster oder IT-Dienstleister, wer für Updates und Sicherheitspatches zuständig ist. Wenn die Schule ein eigenes Content-Management-System (z.B. WordPress, Joomla) selbst betreibt, muss sie dafür sorgen, dass regelmäßig aktualisiert wird – passiert ein Vorfall durch veraltete Software, liegt die Verantwortung bei der Schule. Eine Lösung kann ein Managed Hosting sein, bei dem der Anbieter Updates übernimmt. So reduziert man das Risiko von Sicherheitslücken. Dennoch sollte die Schule mindestens eine Administratorin benennen, die als Schnittstelle zum Provider dient und im Zweifel schnell handeln kann (z.B. Website temporär offline nehmen bei einem Hack).
Externe Entwickler und Wartung: Wenn die Website von externen Firmen entwickelt oder gewartet wird, sollte vertraglich geregelt sein, was diese mit eventuell erlangten Daten tun dürfen. Im Zweifel zählt auch das als Auftragsverarbeitung, insbesondere wenn z.B. eine Agentur Zugriff auf die Webserver-Logs oder Datenbanken bekommt. Schließen Sie daher auch mit solchen Dienstleistern Verträge oder Vereinbarungen auf Grundlage von Art. 28 DSGVO.
Technische und organisatorische Sicherheitsmaßnahmen
Webseite nur über HTTPS: Absolute Grundlage für eine sichere Schulhomepage ist die SSL-Verschlüsselung (erkennbar an https:// und dem Schlosssymbol im Browser). Dadurch werden alle Daten, die zwischen Nutzer und Website fließen (z.B. Eingaben im Kontaktformular, Login-Daten), verschlüsselt übertragen. Unverschlüsselte Seiten (http://) sind heute nicht mehr zeitgemäß – Browser markieren sie als unsicher. Zudem sind Kontaktformulare ohne HTTPS nicht erlaubt. Die Einrichtung eines SSL-Zertifikats ist in der Regel einfach und oft kostenlos. Schulen sollten sich hierzu mit ihrem Hoster oder Schulträger abstimmen.
Updates und Patches: Ein häufiger Schwachpunkt ist veraltete Software. Halten Sie das CMS, Plugins, Themes und Server-Software stets aktuell. Angreifer scannen das Internet nach bekannten Sicherheitslücken – eine ungepatchte Schulhomepage kann so zum Einfallstor werden. Stellen Sie sicher, dass regelmäßige Updates eingespielt werden. Wenn die Schule das nicht selbst leisten kann, sollte dies vertraglich vom Dienstleister übernommen werden. Planen Sie ggf. einen Wartungstag im Monat ein, an dem Updates installiert und die Seite auf Auffälligkeiten geprüft wird.
Zugangsschutz: Nur berechtigte Personen sollten Zugriff auf die Verwaltungsoberfläche der Website haben. Vergeben Sie starke Passwörter für Admin-Accounts und wo möglich nutzen Sie Zwei-Faktor-Authentifizierung. Entfernen Sie Standard-Accounts oder -Passwörter nach der Einrichtung (häufig sind z.B. “admin/admin” Defaults, die unbedingt zu ändern sind). Wenn mehrere Personen Inhalte pflegen, richten Sie individuelle Benutzerkonten mit passenden Rechten ein (kein allgemeiner Passwort-Share). Bei Austritt eines Kollegen, der Zugang hatte, sollte dessen Account umgehend deaktiviert werden.
Backups: Datenverlust kann auch datenschutzrechtlich problematisch sein (Verfügbarkeit ist Teil des Datenschutzes). Sorgen Sie daher für regelmäßige Backups der Webseite und der wichtigen Datenbanken. Diese Backups sollten sicher gespeichert werden – d.h. verschlüsselt und an einem Ort, der gegen Unbefugte geschützt ist. So können Sie im Notfall die Webseite schnell wiederherstellen und haben zugleich Nachweise, falls Daten unbeabsichtigt gelöscht wurden.
Inhaltsprüfung: Alle Inhalte, die online gehen, sollten mit einem “Datenschutz-Blick” geprüft werden. Beispiele: Enthält ein PDF im Anhang evtl. versteckte personenbezogene Daten (z.B. Dateimetadaten mit Autorennamen oder Kommentare)? Werden in einem Beitrag mehr personenbezogene Details genannt als nötig? Lieber einmal mehr die Frage stellen: Verstoße ich mit dieser Veröffentlichung gegen Persönlichkeitsrechte? – Das kann im Zweifel auch der Datenschutzbeauftragte beurteilen, daher diesen ruhig vor Veröffentlichung von heiklen Inhalten einbeziehen.
Notfallpläne: Trotz aller Vorsicht kann etwas schiefgehen – z.B. ein Hackerangriff oder eine versehentliche Veröffentlichung geschützter Daten. Schulen sollten für solche Fälle einen Maßnahmenplan parat haben. Etwa: Wer wird informiert? (DSB, Schulleitung, evtl. Aufsichtsbehörde bei relevanter Datenpanne binnen 72 Stunden). Wie wird die Lücke geschlossen? Solche Überlegungen gehören zwar eher zum allgemeinen Datenschutz-Management, aber auch die Website sollte darin berücksichtigt sein.
Barrierefreiheit und andere Anforderungen: Neben Datenschutz gibt es weitere rechtliche Anforderungen an Schulwebsites, etwa die Barrierefreiheit. Öffentliche Stellen sind verpflichtet, ihre Webseiten barrierefrei zugänglich zu machen – wobei manche Länder Schulen derzeit noch ausnehmen (wie Rheinland-Pfalz). Dennoch ist Barrierefreiheit eine wichtige Qualitätsfrage. Siehe auch: unseren Knowledge-Base-Artikel “Barrierefreiheit auf Schulwebsites” (interner Link). Ebenso relevant ist die Inhaltsqualität und Organisation der Website – Hinweise dazu finden Sie im Beitrag “Organisation der Schulhomepage” (interner Link) und “Merkmale einer guten Schulwebsite” (interner Link). Eine gut organisierte, aktuelle und zugängliche Website schafft Vertrauen und signalisiert Professionalität.
Fazit
Die Umsetzung der DSGVO auf Schulwebsites mag zunächst komplex wirken, doch mit systematischem Vorgehen lässt sie sich meistern. Schulen müssen verstehen, welche rechtlichen Pflichten sie haben und diese Schritt für Schritt umsetzen. Dieser Leitfaden hat die wichtigsten Aspekte beleuchtet – von Impressum und Datenschutzerklärung über den Datenschutzbeauftragten bis hin zu Fotos, Formularen und technischen Schutzmaßnahmen. Wer diese Punkte beherzigt, kann seine Schulwebsite datenschutzkonform und rechtssicher betreiben.
Wichtig ist, dass Schulleitungen und Website-Verantwortliche eine “Kultur des Datenschutzes” etablieren: Offenheit gegenüber Fragen von Eltern, Sensibilität im Umgang mit Schülerdaten und Bereitschaft, technische sowie organisatorische Verbesserungen vorzunehmen. So können Schulen gegenüber der Schulgemeinschaft und den Aufsichtsbehörden selbstbewusst auftreten und sagen: Wir nehmen den Datenschutz ernst und tun, was nötig ist, um die Daten unserer Schüler, Eltern und Lehrkräfte zu schützen. Die gewonnenen Erkenntnisse helfen nicht nur, Ärger und rechtliche Risiken zu vermeiden, sondern stärken auch das Vertrauen aller Beteiligten in die digitale Präsenz der Schule.