Einleitung
DSGVO Schulwebsite, Datenschutz Schulhomepage, Schulwebsite rechtssicher: Öffentliche Schulen stehen in der Verantwortung, ihren Internetauftritt datenschutzkonform und rechtssicher zu gestalten. Eine Schulhomepage unterliegt strengen Vorgaben aus DSGVO, BDSG und Landesrecht. Dieser Leitfaden erklärt in klarer Sprache, welche Anforderungen Schulwebsite Datenschutz erfüllen muss und wie Schulleitungen typische Fallstricke vermeiden. Dabei geht es um Verantwortlichkeiten, Impressum und Datenschutzerklärung, den Umgang mit personenbezogenen Daten (von Datenschutz Schule Internet über Kontaktformulare bis zu Fotos von Schülern) sowie um technische Maßnahmen. Ziel ist es, Schulen – insbesondere öffentliche Schulen – einen praxisnahen Überblick zu geben, um ihren Webauftritt rechtssicher zu betreiben.
Rechtliche Grundlagen und Verantwortlichkeiten
DSGVO und Schulrecht: Die Datenschutz-Grundverordnung (DSGVO) gilt EU-weit auch für Schulen – jedes Mal, wenn personenbezogene Daten (z.B. IP-Adressen von Website-Besuchern) erhoben oder verarbeitet werden. Schulen treten in der Regel als “Verantwortliche Stelle” im Sinne der DSGVO auf. Für deutsche Schulen kommen ergänzend nationale Vorschriften hinzu: das Bundesdatenschutzgesetz (BDSG) und insbesondere die Schulgesetze und Datenschutzgesetze der Bundesländer. Diese Landesregelungen konkretisieren etwa, welche Daten Schulen führen dürfen und unter welchen Bedingungen (z.B. in NRW dürfen Schülerfotos nur auf freiwilliger Basis veröffentlicht werden).
Schule vs. Schulträger: Rechtlich ist zu unterscheiden zwischen der Schule selbst und dem Schulträger (z.B. Kommune oder Land). In Datenschutzfragen gilt die Schule (vertreten durch die Schulleitung) meist als Verantwortliche, die sicherstellen muss, dass die Website DSGVO-konform ist. Für die Website-Impressumspflicht ist jedoch der Schulträger oft als Diensteanbieter zu nennen, da öffentliche Schulen häufig keine eigene Rechtspersönlichkeit haben. Praktisch bedeutet das: Die Schule verantwortet die Inhalte und die Verarbeitung personenbezogener Daten, während der Schulträger (als Betreiber der Infrastruktur) mit im Boot ist und z.B. im Impressum auftauchen muss. Beide Seiten sollten eng zusammenarbeiten, um einen datenschutzgerechten Webauftritt zu gewährleisten.
Rechenschafts- und Reaktionspflicht: Schulen müssen die Grundprinzipien der DSGVO einhalten – Rechtmäßigkeit (Daten nur mit Erlaubnisgrund oder Einwilligung verarbeiten), Zweckbindung, Datenminimierung, Speicherbegrenzung und Integrität/Vertraulichkeit. Sie tragen die Verantwortung, Verstöße zu vermeiden; die Aufsichtsbehörden der Länder können die Einhaltung kontrollieren und bei Verstößen Sanktionen verhängen. Es empfiehlt sich daher, klare interne Zuständigkeiten für die Schulhomepage festzulegen (z.B. Benennung eines verantwortlichen Lehrkraft-Administrators) und alle Vorgaben schriftlich festzuhalten. So sind Schulen etwa verpflichtet, Verzeichnisse von Verarbeitungstätigkeiten zu führen und auf Anfrage der Datenschutzbehörde Auskunft geben zu können – was auch Web-Dienste der Schule einschließt.
Impressumspflicht für Schulwebsites
Warum ein Impressum? Jede Schulwebsite ist ein öffentliches Telemedium und benötigt ein Impressum mit den Anbieter-Informationen. Die rechtliche Grundlage bildet § 18 Medienstaatsvertrag (MStV) sowie § 5 des neuen Digitale-Dienste-Gesetzes (DDG), die die Impressumspflicht regeln. Ein fehlendes oder fehlerhaftes Impressum kann Abmahnungen nach sich ziehen. Schulen dienen nicht rein privaten oder familiären Zwecken, daher greift die Impressumspflicht eindeutig.
Pflichtangaben im Impressum: Folgende Informationen müssen auf der Schulhomepage leicht erkennbar, unmittelbar erreichbar und dauerhaft verfügbar sein – idealerweise über einen Footer-Link auf jeder Seite:
Name der Schule (vollständige Schulbezeichnung) als Herausgeberin des Webangebots.
Adresse der Schule (ladungsfähige Postanschrift, kein Postfach).
Vertretungsberechtigte Person(en): Name der Schulleitung (Schulleiter/in) und ggf. deren Vertretung. Diese gelten als inhaltlich Verantwortliche gemäß § 18 MStV (für journalistisch-redaktionelle Inhalte).
Kontaktangaben: Eine E-Mail-Adresse und Telefonnummer für schnelle elektronische Kontaktaufnahme.
Schulträger: Angabe des Schulträgers (z.B. Stadt oder Kreis) als Diensteanbieter, inkl. Name der vertretungsberechtigten Person dort. In einigen Bundesländern (etwa Baden-Württemberg) wird sogar das Land als Anbieter genannt, da die Lehrkräfte Landesbedienstete sind.
Webseiten-Betreuung: Falls die Website redaktionell von jemand anderem als der Schulleitung betreut wird (z.B. ein Lehrerteam oder externes Unternehmen), sollte diese Person/Firma mit genannt werden. Gleiches gilt für technische Umsetzung oder Design, sofern hier Dritte beteiligt waren.
Weitere Angaben: Sofern vorhanden, die Umsatzsteuer-ID (für Schulen meist nicht relevant). Auch ein Hinweis auf die Rechtsform kann entfallen, da Schulen in der Regel keine eigenständige juristische Person sind (die Nennung „Landeshauptstadt Musterstadt, Schulamt, vertreten durch…“ deckt dies ab).
Aktualität und Zugänglichkeit: Das Impressum sollte mit maximal zwei Klicks erreichbar sein – etwa über den Link “Impressum” im Footer. Achten Sie darauf, veraltete Gesetzesangaben zu vermeiden: Viele älteren Impressen verweisen noch auf § 5 Telemediengesetz (TMG). Diese Norm wurde durch § 5 DDG ersetzt – eine Nennung ist zwar nicht Pflicht, aber falls der Gesetzeshinweis im Impressum steht, sollte er korrekt sein. Wichtig ist vor allem, dass alle Pflichtfelder vollständig sind und die Informationen stets aktuell gehalten werden (z.B. nach einem Schulleitungswechsel).
Datenschutzerklärung auf der Schulhomepage
Warum eine Datenschutzerklärung? Gemäß Art. 12, 13 DSGVO sind Schulen verpflichtet, Website-Besucher transparent über die Datenerhebung und -verwendung zu informieren. Jede Website – auch eine simple Schulwebseite – verarbeitet bereits beim Aufruf personenbezogene Daten (z.B. IP-Adresse in Server-Logfiles). Eine leicht zugängliche Datenschutzerklärung klärt Nutzer über Art, Umfang und Zweck dieser Datenverarbeitung auf. Ein Link “Datenschutz” gehört daher auf jede Seite (üblich im Footer neben dem Impressum).
Inhalt einer schulischen Datenschutzerklärung: Die Datenschutzerklärung sollte in verständlicher Sprache verfasst sein und mindestens folgende Punkte abdecken:
Verantwortliche Stelle: Name und Kontaktdaten der Schule, vertreten durch die Schulleitung. Hier wird klar benannt, wer für die Datenverarbeitung verantwortlich ist (die Schule bzw. Schulbehörde).
Datenschutzbeauftragte/r: Kontaktdaten des schulischen Datenschutzbeauftragten (DSB). Es reicht, eine Funktions-E-Mail (z.B. datenschutz@musterschule.de) oder eine Telefonnummer anzugeben. Die Nennung des Namens ist optional, falls der DSB anonym auftreten können soll.
Daten und Zwecke: Auflistung, welche personenbezogenen Daten die Website erfasst und zu welchen Zwecken. Beispielsweise: Server-Protokolldaten (IP-Adresse, Zeit, Browser etc.) zur Sicherstellung des Betriebs; evtl. eingegebene Daten aus Kontaktformularen zur Beantwortung von Anfragen; Cookies für bestimmte Funktionen usw. Schulen sollten hier betonen, dass nur im nötigen Umfang Daten erhoben werden (Datensparsamkeit).
Rechtsgrundlage: Für jede Datenverarbeitung der Webseite die Rechtsgrundlage nach DSGVO angeben. Oft ist dies Art. 6 Abs. 1 lit. e DSGVO (Wahrnehmung öffentlicher Aufgaben im Schulwesen) oder lit. f (berechtigtes Interesse, z.B. technische Sicherheit) – außer bei freiwilligen Angeboten wie Newsletter, wo Einwilligung (lit. a) erforderlich ist.
Empfänger und Auftragsverarbeiter: Offenlegen, ob und welche externen Stellen Daten erhalten. Beispiel: der Webhoster verarbeitet die Log-Daten als Auftragsverarbeiter und muss genannt werden. Wenn die Schule externe Dienste einbindet (z.B. Cloud-Dienste, Analysetools), sind diese als Empfängerkategorien anzugeben.
Drittland-Transfers: Hinweis, falls personenbezogene Daten in Drittländer außerhalb der EU übermittelt werden. Zum Beispiel: Nutzung eines US-Dienstes (Google, Microsoft etc.) für Web-Analytics oder Newsletter-Versand. In so einem Fall muss die Datenschutzerklärung informieren, wo die Daten verarbeitet werden und ob dort ein angemessenes Datenschutzniveau herrscht. Bei US-Diensten sollte stehen, ob der Anbieter am EU-US Data Privacy Framework (DPF) teilnimmt; andernfalls braucht es Standardvertragsklauseln und einen Hinweis auf das Risiko (Transfer-Folgenabschätzung).
Speicherdauer: Angabe, wie lange die erhobenen Daten gespeichert werden bzw. nach welchen Kriterien diese Fristen bestimmt werden. Beispiel: “Server-Logs werden nach 7 Tagen automatisch gelöscht”.
Betroffenenrechte: Aufzählung der Rechte der Nutzer nach DSGVO – Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit – und Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde. Praktisch wird hier meist ein Standardtext verwendet, der alle relevanten Artikel (15-18, 20, 21 DSGVO) erwähnt. Wichtig: Auch der Widerruf einer Einwilligung (falls erteilt) muss erwähnt werden.
Cookies und Analyse: Verweis darauf, ob Cookies eingesetzt werden und zu welchem Zweck. Details zu Cookies können auch separat (z.B. in einer Cookie-Richtlinie) erläutert werden, aber ein kurzer Hinweis gehört in die Datenschutzerklärung. Ebenso sollte – falls Webanalyse-Tools wie Matomo oder Google Analytics im Einsatz sind – dies transparent gemacht werden (siehe unten Cookies & externe Dienste).
Tipp: Halten Sie die Datenschutzerklärung immer auf dem neuesten Stand, gerade wenn neue Funktionen auf der Website hinzukommen (z.B. ein neues Kontaktformular, Social-Media-Plugins etc.). Viele Kultusministerien und Datenschutzbehörden bieten Mustertexte an, die Schulen nutzen können. Beispielsweise stellt NRW ein Muster für Schulhomepages bereit, das angepasst werden kann. Dennoch sollte jede Schule die Erklärung an ihre eigenen Gegebenheiten anpassen und keine Inhalte übernehmen, die nicht zutreffen (Datenschutzerklärung nicht “blind” kopieren).
Der Datenschutzbeauftragte der Schule
Benennungspflicht: Öffentliche Schulen müssen einen Datenschutzbeauftragten (DSB) schriftlich bestellen. Dies ergibt sich aus Art. 37 DSGVO i.V.m. § 38 BDSG, da Schulen in der Regel öffentliche Stellen sind. Auch viele freie Schulträger benennen freiwillig einen DSB. Der DSB kann eine geeigneter Lehrerin oder externer Datenschutzexpertein sein. Wichtig: Interessenkonflikte vermeiden – z.B. Schulleitungen oder IT-Administratoren sind als DSB eher ungeeignet, da sie die eigenen Maßnahmen nicht neutral kontrollieren könnten.
Rolle und Aufgaben: Der/Die Datenschutzbeauftragte dient als Berater und Kontrollinstanz in allen Datenschutzfragen an der Schule. Konkret soll er/sie die Einhaltung der Vorschriften überwachen, die Schulleitung und Kollegium datenschutzrechtlich unterstützen sowie Ansprechperson für Betroffene (Schüler, Eltern, Lehrkräfte) und die Aufsichtsbehörde sein. Der DSB hat z.B. ein offenes Ohr, falls Eltern wissen wollen, welche Daten die Schule über ihr Kind gespeichert hat, oder wenn es eine Datenpanne gab. Er berät bei neuen Projekten (digitale Tools, Cloud-Lösungen etc.) und erstellt mit der Schulleitung zusammen Dokumentationen (Verarbeitungsverzeichnis, Richtlinien).
Unabhängigkeit: Ein interner DSB ist in der Ausübung seiner Fachkunde weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Er berichtet direkt an die Schulleitung (oft in Form eines jährlichen Datenschutz-Berichts). Falls die Schule keinen geeigneten internen Kandidaten hat oder die Aufgabe zu komplex wird, kann ein externer DSB beauftragt werden. Dieser kommt meist von einem Dienstleister oder der Kommune – Vorteil: hohe Expertise und Entlastung der Schule; Nachteil: nicht täglich vor Ort, oft nur zu bestimmten Sprechzeiten verfügbar.
DSB-Kontakt auf der Website: Gemäß DSGVO Art. 37 Abs. 7 muss die Schule die Kontaktdaten des DSB auf der Website veröffentlichen. In der Praxis genügt eine zentrale E-Mail-Adresse (z.B. datenschutz@…) oder eine Telefonnummer, unter der der DSB erreichbar ist. Diese Angabe kann im Impressum oder der Datenschutzerklärung erfolgen – Hauptsache, sie ist leicht auffindbar. Beispiel: “Unseren Datenschutzbeauftragten erreichen Sie unter datenschutz@musterschule.de”. Dadurch haben Eltern und Lehrkräfte eine klare Anlaufstelle für Datenschutzfragen. Beachten Sie, dass der Name des DSB nicht zwingend genannt werden muss – der Fokus liegt auf der Erreichbarkeit.
Verantwortung bleibt bei der Schule: Wichtig zu verstehen: Die Bestellung eines DSB entbindet die Schulleitung nicht von der Verantwortung für den Datenschutz. Der DSB unterstützt und überwacht, aber die Umsetzung (z.B. technisch-organisatorische Maßnahmen, Schulung des Personals, Meldung von Datenpannen binnen 72 Stunden) liegt letztlich in der Hand der Schule bzw. Schulverwaltung. Die Schulleitung muss den DSB daher frühzeitig einbeziehen, wenn neue digitale Tools angeschafft werden oder Änderungen geplant sind. Gemeinsam lassen sich so Probleme vorbeugen, bevor sie auftreten.
Umgang mit personenbezogenen Daten auf der Website
Datenminimierung und Zweckbindung: Für Schulwebsites gilt: So wenige personenbezogene Daten veröffentlichen wie möglich, und nur mit klarem Zweck und Rechtsgrundlage. Überlegen Sie bei jedem Inhalt: Ist es nötig, dass diese Information öffentlich im Internet steht? Beispielsweise eine Lehrerliste mit Namen und Fächern mag sinnvoll sein (Aufgabenerfüllung der Schule, berechtigtes Informationsinteresse der Eltern). Hingegen das Geburtsdatum von Lehrkräften oder private Kontaktdaten haben auf der Homepage nichts verloren. Schülerdaten sind besonders sensibel – hier ist Zurückhaltung geboten.
Typische Inhalte prüfen: Viele Schulen möchten Erfolge und das Schulleben präsentieren, z.B. Gewinner*innen von Wettbewerben, Projekte oder die Mitglieder der Schülervertretung. Dabei sollten möglichst keine vollständigen Namen von Minderjährigen ohne Einwilligung genannt werden. Initialen, Vornamen oder Klassenstufen können oft reichen, um Erfolge zu teilen, ohne einzelne Kinder voll identifizierbar zu machen. Fotos von Schülern sind ein Sonderfall und im nächsten Abschnitt separat behandelt. Auch bei Berichten über Veranstaltungen sollte man vorsichtig mit Details umgehen – z.B. nicht veröffentlichen, wer krankheitsbedingt fehlt (Gesundheitsdaten).
Server-Logs und Besucher-Daten: Bereits im Hintergrund verarbeitet die Homepage personenbezogene Daten der Besucher, etwa via Server-Logfiles und ggf. Cookies. Diese Daten (IP-Adresse, Zeit des Zugriffs, etc.) sind für den Betrieb technisch erforderlich, doch die Schule bekommt davon meist nichts direkt mit, da der Webhoster sie erhebt. Trotzdem trägt die Schule Verantwortung dafür, was damit passiert. Maßnahmen: Schließen Sie einen Vertrag mit dem Host (siehe Hosting & Auftragsverarbeitung), konfigurieren Sie die Logs datenschutzfreundlich (z.B. IP-Anonymisierung, automatische Löschfristen) und erwähnen Sie die Vorgänge in der Datenschutzerklärung. Schulen sollten außerdem keine unnötigen Tracking-Tools einsetzen, um die Privatsphäre der Besucher (häufig Eltern und Schüler) zu schützen.
Interne Inhalte und Passwörter: Falls die Schulwebsite einen geschützten Bereich hat (z.B. ein Intranet für Lehrkräfte oder einen Downloadbereich für Elternbriefe mit Login), muss besonders auf Zugangsschutz geachtet werden. Zugangsdaten dürfen nur Berechtigten bekannt sein, und sensible Dokumente sollten zusätzlich passwortgeschützt oder verschlüsselt bereitgestellt werden. Andernfalls könnten vertrauliche Informationen (etwa Elternkontakte, interne Protokolle) unbefugt abgerufen werden. Hier greift die Pflicht zu angemessenen technisch-organisatorischen Maßnahmen (siehe Abschnitt Sicherheitsmaßnahmen).
Fotos von Schüler*innen – was ist erlaubt?
Fotos nur mit Einwilligung veröffentlichen: Bilder von identifizierbaren Schülern im Internet sind personenbezogene Daten und berühren das Recht am eigenen Bild. Ohne ausdrückliche Einwilligung der Sorgeberechtigten (und ggf. der Schüler selbst) geht hier nichts. Das heißt, Schulen dürfen Fotos von Kindern grundsätzlich nur auf freiwilliger Basis verarbeiten und online stellen. In vielen Landesgesetzen ist dies ausdrücklich festgelegt – in NRW z.B. dürfen Schülerfotos nur mit freiwilliger Zustimmung veröffentlicht werden, und Nicht-Einwilligung darf keine Nachteile für das Kind haben. Eine erteilte Einwilligung kann außerdem jederzeit widerrufen werden, dann muss die Schule das Foto entfernen.
Einwilligung richtig einholen: Im Schulalltag werden oft zu Beginn des Schuljahres Foto-Einwilligungen der Eltern eingeholt. Wichtig ist, dass diese informiert und freiwillig erfolgen. Dabei sind folgende Punkte zu beachten:
Kein Zwang und keine Koppelung: Eltern dürfen nicht schon bei der Schulanmeldung “pauschal” zustimmen müssen, dass Fotos ihres Kindes veröffentlicht werden. Eine solche Kopplung verstößt gegen die DSGVO (Koppelungsverbot). Besser ist, separate Einwilligungsformulare für konkrete Zwecke auszugeben – z.B. “Veröffentlichung von Klassenfotos auf der Schulwebsite” – die jederzeit verweigert werden können, ohne dass dem Kind Nachteile entstehen.
Alter der Schüler berücksichtigen: Bei jüngeren Schülern entscheiden die Eltern allein. Ab etwa 14 Jahren sollten auch die Jugendlichen selbst zustimmen, sofern sie die nötige Einsichtsfähigkeit haben. In der Praxis holt man zwischen 14 und 18 Jahren die Zustimmung beider – Eltern und Schüler – ein. Ab 18 entscheiden die Schüler allein.
Konkretheit: Die Einwilligung sollte den Verwendungszweck und Umfang klar benennen. Also z.B. “Veröffentlichung auf der Schulhomepage und ggf. in der Lokalpresse im Rahmen der Schulchronik, für maximal 3 Jahre”. So wissen Eltern genau, wozu sie ja sagen.
Dokumentation: Alle Einwilligungen müssen schriftlich oder in vergleichbarer Form vorliegen und dokumentiert werden. Die Schule sollte also die Formulare abheften bzw. digital speichern, um im Zweifel nachweisen zu können, dass eine Erlaubnis vorlag.
Widerruf respektieren: Weisen Sie in der Einwilligungserklärung darauf hin, dass diese freiwillig ist und jederzeit widerrufen werden kann. Benennen Sie eine Kontaktstelle (z.B. das Sekretariat oder den DSB) für den Widerruf. Kommt ein Widerruf, muss das betreffende Foto umgehend entfernt werden – und zwar nicht nur von der Website, sondern ggf. auch aus Social-Media-Auftritten der Schule.
Beispiele aus der Praxis: Ein Klassenfoto auf der Homepage gilt als Veröffentlichung und benötigt somit die Zustimmung aller abgebildeten Personen bzw. Eltern. Schwierige Konstellation: Wenn auch nur ein Elternteil nein sagt, sollte das Bild nicht online gestellt werden oder das Kind unkenntlich gemacht werden. Projektfotos (etwa von einer Theateraufführung) können möglich sein, wenn im Vorfeld alle Beteiligten zugestimmt haben. Die Schule kann hier mit “Opt-in”-Ansätzen arbeiten: z.B. nur die Schüler auf der Bühne fotografieren, die es erlaubt haben, oder Gruppenbilder so arrangieren, dass Widerspruchs-Kinder nicht im Fokus stehen. Ein bewährtes Motto lautet: “Im Zweifel lieber fragen – als abgemahnt werden.” Das heißt, im Zweifel eher keine Fotos veröffentlichen, bei denen Unsicherheit über die Einwilligungslage besteht.
Schutzmaßnahmen bei veröffentlichten Fotos: Wenn Fotos online gestellt werden, sollten möglichst keine Klarnamen direkt beim Bild stehen (oder nur Vorname ohne Nachname), um eine Identifizierung über Suchmaschinen zu erschweren. Manche Schulen veröffentlichen z.B. Galerien von Veranstaltungen ohne Namensnennung, um die Privatsphäre zu wahren. Außerdem empfiehlt es sich, die Auflösung der Bilder gering zu halten – so sind Details schlechter erkennbar und ein Missbrauch (z.B. Weiterverbreitung durch Dritte) wird unattraktiver. Schulen sollten sich bewusst sein, dass im Internet veröffentlichte Bilder weltweit abrufbar, speicherbar und kombinierbar sind. Daher: so viel Schutz wie möglich, so wenig persönliche Informationen wie nötig.
Kontaktformulare und E-Mail-Kommunikation
Kontaktformular – ja oder nein? Ein Kontaktformular auf der Schulwebsite kann Eltern und Schülern den Erstkontakt erleichtern. Datenschutzrechtlich ist es aber nur zulässig, wenn die Verbindung verschlüsselt ist (HTTPS). Ohne SSL-Zertifikat kein Kontaktformular! Andernfalls würden die eingegebenen Daten (Name, E-Mail, Anliegen) ungeschützt durchs Internet gesendet – ein No-Go. Tatsächlich hatten viele ältere Schulhomepages keine Verschlüsselung; hier sollte entweder nachgerüstet oder auf das Formular verzichtet werden. Anwältin Sibylle Schwarz empfiehlt: Lieber kein Kontaktformular anbieten, als ein unsicheres. Falls Ihre Website also noch kein “https://” vor der Adresse hat, kümmern Sie sich zunächst um ein Zertifikat (oft bietet der Webhoster das kostenlos via Let’s Encrypt an). Ansonsten beschränken Sie die Kontaktmöglichkeit auf die Angabe einer E-Mail-Adresse im Impressum.
Gestaltung des Formulars: Wenn ein Kontaktformular vorhanden ist, gelten Prinzipien der Datenvermeidung: Fragen Sie nur die nötigsten Angaben ab. In der Regel genügen Name, E-Mail-Adresse und das Nachrichtentextfeld. Dinge wie Telefonnummer, Adresse oder gar sensible Informationen sollten nicht verpflichtend sein – höchstens optional, falls jemand es angeben möchte. Stellen Sie klar (z.B. unmittelbar unter dem Formular), was mit den Daten passiert: Ein kurzer Satz wie “Die von Ihnen eingegebenen Daten werden nur zur Beantwortung Ihrer Anfrage verwendet und anschließend gelöscht” schafft Transparenz. Zusätzlich sollte ein Hinweis “Mit dem Absenden erkläre ich mich mit der Verarbeitung meiner Daten gemäß der Datenschutzerklärung einverstanden” mit Link zur Datenschutzerklärung nicht fehlen. Auf diese Weise wird dem Absender bewusst, dass seine Anfrage elektronisch weiterverarbeitet wird, und er kann sich bei Bedarf in der Datenschutzerklärung genauer informieren.
E-Mail-Verkehr: Viele Schulen kommunizieren viel per E-Mail mit Eltern und externen Partnern. Genau genommen sollten auch E-Mails verschlüsselt werden (Stichwort S/MIME oder PGP), gerade wenn darin sensible Daten stehen. In der Praxis ist das im Schulalltag selten umgesetzt, aber zumindest sollten Schulen sichere E-Mail-Anbieter nutzen. Vermeiden Sie US-Dienste wie Gmail oder Yahoo für dienstliche Kommunikation. Solche Anbieter scannen oft die Mails und laufen über Server in den USA – das ist mit den DSGVO-Grundsätzen nicht vereinbar. Besser ist eine dienstliche E-Mail-Adresse auf dem Schulserver oder beim Landesrechenzentrum. Viele Bundesländer stellen Schulen entsprechende Maildienste zur Verfügung, oder der Schulträger richtet @schule.de Adressen ein. Wenn Lehrkräfte private Accounts nutzen, sollte dies zumindest datenschutzkonform sein (am besten ein europäischer Anbieter, keine Weiterleitung von dienstlichen Daten an private Postfächer).
Newsletter: Betreibt die Schule einen Newsletter-Verteiler (z.B. für Elterninfos als E-Mail-Rundschreiben), gelten die gleichen Regeln: Einwilligung der Empfänger (am besten via Double-Opt-In), klare Info worüber informiert wird, und eine Abmeldemöglichkeit in jeder Mail. Auch der Newsletter-Versand sollte möglichst über eigene Infrastruktur oder einen DSGVO-konformen Dienstleister in der EU erfolgen. Die Anmeldung zum Newsletter ist eine Datenerhebung, die in der Datenschutzerklärung beschrieben werden muss (Kategorie der Daten – meist E-Mail-Adresse –, Zweck, Versanddienstleister, Widerrufsmöglichkeit).
Instant Messenger & Co.: Zur Kommunikation mit Schülern nutzen manche Lehrkräfte Chats oder Messenger. Hier sei nur am Rande erwähnt: Von WhatsApp oder Facebook-Messenger ist wegen Datenschutz abzuraten – sie übertragen Daten über US-Server und greifen Adressbuchinformationen ab, was für Schulen tabu ist. Stattdessen empfehlen Datenschutz-Expert*innen datenschutzfreundliche Alternativen wie Signal, Threema oder schulinterne Lösungen. Dieses Thema geht über die Website hinaus, zeigt aber, dass auch in der digitalen Kommunikation mit Schülern Vorsicht geboten ist.
Cookies, Tracking und externe Dienste
Cookies auf Schulhomepages: Cookies sind kleine Textdateien, die Websites auf dem Gerät der Nutzer speichern – etwa um Einstellungen zu merken oder Nutzer wiederzuerkennen. Schulwebsites kommen oft mit wenigen oder gar keinen Cookies aus. Technisch notwendige Cookies (z.B. für die Login-Funktion im internen Bereich oder zur Spracheinstellung) dürfen ohne Einwilligung gesetzt werden, müssen aber in der Datenschutzerklärung erwähnt werden. Cookies, die dem berechtigten Interesse dienen (Art. 6 Abs. 1 lit. f DSGVO) – z.B. für Performance oder eine sichere Nutzung – sind ebenfalls ohne vorheriges Banner erlaubt, solange der Nutzer in der Datenschutzerklärung über sein Widerspruchsrecht aufgeklärt wird.
Braucht es einen Cookie-Banner? Ein berüchtigtes Thema: Viele Webseiten zeigen Banner zur Cookie-Einwilligung. Für reine Schulwebsites, die nur informieren, ist ein Cookie-Banner oft nicht nötig, wenn man sich auf notwendige Cookies beschränkt. Einwilligung durch Banner ist nur erforderlich, wenn Tracking oder externe Dienste eingesetzt werden, die nicht notwendige Cookies setzen. Beispiel: Google Analytics zur Besucheranalyse, YouTube-Videos mit Tracking oder Facebook-Plugins. In solchen Fällen greift das TTDSG § 25: vor dem Setzen der Cookies muss eine Einwilligung eingeholt werden. Das Banner sollte die Möglichkeit bieten, alle optionalen Cookies abzulehnen oder zu akzeptieren (gleichberechtigte Buttons), und einen Link zu detaillierten Cookie-Infos bereitstellen. Auf der ersten Ebene kann man kurz informieren, was gesammelt wird, und auf der zweiten Ebene oder in der Datenschutzerklärung alle Details erläutern.
Empfehlung: Schulen sollten erwägen, auf Tracking zu verzichten, um es sich und den Nutzern einfacher zu machen. Es spricht wenig dagegen, auf umfangreiche Analyse-Tools zu verzichten – für eine Schule ist es meist nicht essenziell zu wissen, wie viele Besucher täglich auf der Homepage waren. Wenn doch Statistik gewünscht ist, gibt es datenschutzfreundliche Alternativen (z.B. Matomo in anonymisierter Form, gehostet auf dem Schulserver). In jedem Fall: Keine unerlaubten Third-Party-Cookies ohne Zustimmung setzen.
Externe Dienste einbinden: Vorsicht ist geboten beim Einbinden von externen Inhalten auf der Schulwebsite, z.B. Google Maps, YouTube-Videos, Social-Media-Feeds oder externe Widget-Tools. Solche Plugins übertragen oft automatisch Daten der Webseiten-Besucher an den Drittanbieter – auch wenn man nur die Seite aufruft, die das Plugin enthält. Beispiel: Eine eingebettete Google Map sendet die IP-Adresse und möglicherweise Cookie-IDs an Google. Maßnahmen: Binden Sie externe Inhalte nur ein, wenn unbedingt nötig, und informieren Sie in der Datenschutzerklärung darüber (inkl. Hinweis auf evtl. Datenübermittlung in Drittstaaten). Nutzen Sie nach Möglichkeit datenschutzfreundliche Lösungen: z.B. 2-Klick-Lösungen (erst nach Klick wird der externe Inhalt geladen) oder lokale Alternativen. Ein Vorschlag: statt einer Live-Google-Map lieber einen statischen Kartenausschnitt als Bild anzeigen; statt Social-Media-Plugins einfach nur einen Link auf die Schul-Facebookseite anbieten (in einem neuen Tab öffnen). Wenn die Schule selbst Social-Media-Profile betreibt, muss in der Datenschutzerklärung ein Hinweis auf die Datenverarbeitung dort und die Verantwortlichkeit (Stichwort “Page-Insights” bei Facebook) aufgenommen werden.
Google Fonts & Co.: Ein spezieller Fall sind externe Schriftarten oder Skripte (Google Fonts, CDN-Bibliotheken). Hier gab es Urteile, dass die Einbindung ohne Einwilligung unzulässig ist, wenn dabei IP-Adressen an Google übertragen werden. Lösung: Hosten Sie solche Ressourcen lokal auf dem eigenen Server, um keine unnötigen Verbindungen zu Drittservern aufzubauen. Moderne Website-Templates ermöglichen das häufig mit wenig Aufwand.
Zusammengefasst: Halten Sie die Schulhomepage möglichst schlank: Je weniger externe Tools und Cookies, desto einfacher die Rechtslage. Im Idealfall kommt die Seite ohne Cookies aus, dann reicht der Hinweis in der Datenschutzerklärung und es nervt kein Banner. Falls Sie Dienste verwenden, die Cookies setzen oder Daten auswerten, holen Sie vorher die Zustimmung ein und dokumentieren Sie dies. Achten Sie auf zeitgemäße Hinweise: ein Besucher muss leicht finden, welche Cookies im Einsatz sind und wie er diese ggf. ablehnen kann.
Hosting, Auftragsverarbeitung und externe Dienstleister
Webhosting: Schulwebsites werden oft von externen Providern gehostet – sei es ein kommerzieller Anbieter, der städtische Rechenzentrum oder z.B. ein Rahmenvertrag via Landesbildungsserver. Sobald ein externer Dienstleister im Auftrag der Schule personenbezogene Daten verarbeitet (z.B. Speichern von Website-Daten, Logs, Backup), liegt Auftragsverarbeitung im Sinne von Art. 28 DSGVO vor. Die Schule muss dann einen Auftragsverarbeitungsvertrag (AV-Vertrag) abschließen. Ein solcher Vertrag regelt, welche Daten der Dienstleister wie verarbeitet, und stellt sicher, dass er DSGVO-konforme Sicherheitsmaßnahmen umsetzt.
AV-Vertrag – nicht vergessen: Viele Webhoster bieten bereits Muster-AV-Verträge an (oft im Kundenbereich downloadbar), da sie wissen, dass ihre Kunden dies brauchen. Schulen sollten aktiv nachfragen, falls kein Vertrag vorliegt. Ohne AVV verstößt man gegen die DSGVO, selbst wenn sonst alles ok ist. Der AVV ist quasi der “Persilschein”, dass der Dienstleister nur nach Weisung der Schule handelt und ausreichenden Schutz bietet. Wichtig: Auch wenn der Dienstleister viel übernimmt, bleibt die Schule verantwortlich für den Datenschutz. Im Ernstfall haftet der Auftraggeber (Schule/Schulträger) mit, daher sollte man nur zuverlässige Partner wählen.
Typische Dienstleister: Neben dem Webhoster gibt es weitere externe Dienste, bei denen ein AV-Vertrag nötig sein kann: z.B. Website-Baukästen (falls die Schule auf Jimdo, Wix o.ä. setzt), Content-Management-Dienstleister (eine Agentur, die die Seite pflegt), Newsletter-Services, Cloud-Dienste für Formulare oder Galerien, etc. Prüfen Sie bei jedem externen Service: Werden dabei personenbezogene Daten unserer Nutzer verarbeitet? Wenn ja, ist entweder ein AV-Vertrag nötig oder – falls der Dienst eigenständig Verantwortlicher ist – zumindest ein Hinweis in der Datenschutzerklärung.
Serverstandort und Sicherheit: Achten Sie darauf, wo die Website gehostet wird. Ideal ist ein Server in Deutschland oder der EU. Liegt der Server im EU-Ausland, ist das meist unproblematisch, solange DSGVO-Standard (Adequacy) gegeben ist. Bei Anbietern aus Drittstaaten (USA, etc.) muss ein angemessenes Datenschutzniveau sichergestellt sein. Nach dem Wegfall von Privacy Shield gibt es nun das EU-US Data Privacy Framework, aber falls der Anbieter nicht zertifiziert ist, müssen Standardvertragsklauseln abgeschlossen und zusätzliche Garantien geprüft werden. In der Praxis sollten Schulen möglichst auf europäische Hoster setzen – viele Bundesländer bieten z.B. eigene Bildungsplattformen oder Hosting über kommunale IT-Dienste an.
Technische Betreuung: Klären Sie mit dem Hoster oder IT-Dienstleister, wer für Updates und Sicherheitspatches zuständig ist. Wenn die Schule ein eigenes Content-Management-System (z.B. WordPress, Joomla) selbst betreibt, muss sie dafür sorgen, dass regelmäßig aktualisiert wird – passiert ein Vorfall durch veraltete Software, liegt die Verantwortung bei der Schule. Eine Lösung kann ein Managed Hosting sein, bei dem der Anbieter Updates übernimmt. So reduziert man das Risiko von Sicherheitslücken. Dennoch sollte die Schule mindestens eine Administratorin benennen, die als Schnittstelle zum Provider dient und im Zweifel schnell handeln kann (z.B. Website temporär offline nehmen bei einem Hack).
Externe Entwickler und Wartung: Wenn die Website von externen Firmen entwickelt oder gewartet wird, sollte vertraglich geregelt sein, was diese mit eventuell erlangten Daten tun dürfen. Im Zweifel zählt auch das als Auftragsverarbeitung, insbesondere wenn z.B. eine Agentur Zugriff auf die Webserver-Logs oder Datenbanken bekommt. Schließen Sie daher auch mit solchen Dienstleistern Verträge oder Vereinbarungen auf Grundlage von Art. 28 DSGVO.
Technische und organisatorische Sicherheitsmaßnahmen
Webseite nur über HTTPS: Absolute Grundlage für eine sichere Schulhomepage ist die SSL-Verschlüsselung (erkennbar an https:// und dem Schlosssymbol im Browser). Dadurch werden alle Daten, die zwischen Nutzer und Website fließen (z.B. Eingaben im Kontaktformular, Login-Daten), verschlüsselt übertragen. Unverschlüsselte Seiten (http://) sind heute nicht mehr zeitgemäß – Browser markieren sie als unsicher. Zudem sind Kontaktformulare ohne HTTPS nicht erlaubt. Die Einrichtung eines SSL-Zertifikats ist in der Regel einfach und oft kostenlos. Schulen sollten sich hierzu mit ihrem Hoster oder Schulträger abstimmen.
Updates und Patches: Ein häufiger Schwachpunkt ist veraltete Software. Halten Sie das CMS, Plugins, Themes und Server-Software stets aktuell. Angreifer scannen das Internet nach bekannten Sicherheitslücken – eine ungepatchte Schulhomepage kann so zum Einfallstor werden. Stellen Sie sicher, dass regelmäßige Updates eingespielt werden. Wenn die Schule das nicht selbst leisten kann, sollte dies vertraglich vom Dienstleister übernommen werden. Planen Sie ggf. einen Wartungstag im Monat ein, an dem Updates installiert und die Seite auf Auffälligkeiten geprüft wird.
Zugangsschutz: Nur berechtigte Personen sollten Zugriff auf die Verwaltungsoberfläche der Website haben. Vergeben Sie starke Passwörter für Admin-Accounts und wo möglich nutzen Sie Zwei-Faktor-Authentifizierung. Entfernen Sie Standard-Accounts oder -Passwörter nach der Einrichtung (häufig sind z.B. “admin/admin” Defaults, die unbedingt zu ändern sind). Wenn mehrere Personen Inhalte pflegen, richten Sie individuelle Benutzerkonten mit passenden Rechten ein (kein allgemeiner Passwort-Share). Bei Austritt eines Kollegen, der Zugang hatte, sollte dessen Account umgehend deaktiviert werden.
Backups: Datenverlust kann auch datenschutzrechtlich problematisch sein (Verfügbarkeit ist Teil des Datenschutzes). Sorgen Sie daher für regelmäßige Backups der Webseite und der wichtigen Datenbanken. Diese Backups sollten sicher gespeichert werden – d.h. verschlüsselt und an einem Ort, der gegen Unbefugte geschützt ist. So können Sie im Notfall die Webseite schnell wiederherstellen und haben zugleich Nachweise, falls Daten unbeabsichtigt gelöscht wurden.
Inhaltsprüfung: Alle Inhalte, die online gehen, sollten mit einem “Datenschutz-Blick” geprüft werden. Beispiele: Enthält ein PDF im Anhang evtl. versteckte personenbezogene Daten (z.B. Dateimetadaten mit Autorennamen oder Kommentare)? Werden in einem Beitrag mehr personenbezogene Details genannt als nötig? Lieber einmal mehr die Frage stellen: Verstoße ich mit dieser Veröffentlichung gegen Persönlichkeitsrechte? – Das kann im Zweifel auch der Datenschutzbeauftragte beurteilen, daher diesen ruhig vor Veröffentlichung von heiklen Inhalten einbeziehen.
Notfallpläne: Trotz aller Vorsicht kann etwas schiefgehen – z.B. ein Hackerangriff oder eine versehentliche Veröffentlichung geschützter Daten. Schulen sollten für solche Fälle einen Maßnahmenplan parat haben. Etwa: Wer wird informiert? (DSB, Schulleitung, evtl. Aufsichtsbehörde bei relevanter Datenpanne binnen 72 Stunden). Wie wird die Lücke geschlossen? Solche Überlegungen gehören zwar eher zum allgemeinen Datenschutz-Management, aber auch die Website sollte darin berücksichtigt sein.
Barrierefreiheit und andere Anforderungen: Neben Datenschutz gibt es weitere rechtliche Anforderungen an Schulwebsites, etwa die Barrierefreiheit. Öffentliche Stellen sind verpflichtet, ihre Webseiten barrierefrei zugänglich zu machen – wobei manche Länder Schulen derzeit noch ausnehmen (wie Rheinland-Pfalz). Dennoch ist Barrierefreiheit eine wichtige Qualitätsfrage. Siehe auch: unseren Knowledge-Base-Artikel “Barrierefreiheit auf Schulwebsites” (interner Link). Ebenso relevant ist die Inhaltsqualität und Organisation der Website – Hinweise dazu finden Sie im Beitrag “Organisation der Schulhomepage” (interner Link) und “Merkmale einer guten Schulwebsite” (interner Link). Eine gut organisierte, aktuelle und zugängliche Website schafft Vertrauen und signalisiert Professionalität.
Fazit
Die Umsetzung der DSGVO auf Schulwebsites mag zunächst komplex wirken, doch mit systematischem Vorgehen lässt sie sich meistern. Schulen müssen verstehen, welche rechtlichen Pflichten sie haben und diese Schritt für Schritt umsetzen. Dieser Leitfaden hat die wichtigsten Aspekte beleuchtet – von Impressum und Datenschutzerklärung über den Datenschutzbeauftragten bis hin zu Fotos, Formularen und technischen Schutzmaßnahmen. Wer diese Punkte beherzigt, kann seine Schulwebsite datenschutzkonform und rechtssicher betreiben.
Wichtig ist, dass Schulleitungen und Website-Verantwortliche eine “Kultur des Datenschutzes” etablieren: Offenheit gegenüber Fragen von Eltern, Sensibilität im Umgang mit Schülerdaten und Bereitschaft, technische sowie organisatorische Verbesserungen vorzunehmen. So können Schulen gegenüber der Schulgemeinschaft und den Aufsichtsbehörden selbstbewusst auftreten und sagen: Wir nehmen den Datenschutz ernst und tun, was nötig ist, um die Daten unserer Schüler, Eltern und Lehrkräfte zu schützen. Die gewonnenen Erkenntnisse helfen nicht nur, Ärger und rechtliche Risiken zu vermeiden, sondern stärken auch das Vertrauen aller Beteiligten in die digitale Präsenz der Schule.
