Vor einem Monat wurden die neuen EU-Datenschutzregeln scharfgeschaltet. Über die Folgen für Unternehmen wird immer noch heiß diskutiert. Wie ergeht es Schulen?

Seit einem Monat gelten die neuen Datenschutz-Regeln der EU – mit all ihren weitreichenden Folgen für Unternehmen und Nutzer. Twitter-Konten wurden gesperrt, Vereinsvorstände traten zurück, die Erzdiözese Freiburg musste ihren Online-Gottesdienst einstellen und viele Konzerne verbieten ihren Mitarbeitern seitdem, Whatsapp auf Diensthandys zu nutzen. Selbst Anwälte sind mit der Datenschutzgrundverordnung (DSGVO) überfordert.

Doch was ist eigentlich mit der Institution, die gewaltige, teils hochsensible Datenmengen von Millionen Menschen sammelt, die überwiegend auch noch minderjährig sind: Wie gehen Schulen mit der DSGVO um? Denn wie jedes Unternehmen, das in der EU eine Niederlassung hat, sind auch sie von den verschärften Datenschutz-Regeln betroffen.

Auch Schulen stellt die DSGVO vor große Herausforderungen, braucht es doch geschultes Personal, Geld und vor allem Zeit, sich dem Mammut-Thema Datenschutz im Schulalltag zu widmen. Besonders prekär: Die rechtliche Verantwortung liegt nicht beim Schulträger oder den Kultusministerien der Bundesländer. Stattdessen tragen die Haftung für Datenschutzverstöße allein die Schulleiter. Einziger Trost: Staatlichen Schulen droht – anders als wettbewerbstreibenden Unternehmen – zumindest von Seiten der Aufsichtsbehörden kein Bußgeld.

Ignorieren können die Bildungseinrichtungen die neuen Datenregeln freilich trotzdem nicht, denn theoretisch können auch sie abgemahnt werden. Schulen verarbeiten und speichern täglich gigantische Mengen an personenbezogenen Daten, um den reibungslosen Schulbetrieb zu gewährleisten. Sie reichen von allgemeinen Angaben über Wohnort, Telefonnummern, Email-Adressen und Geschlecht bin hin zu sehr privaten Informationen über Religionszugehörigkeit, Noten und Krankheiten.

Dass solche Angaben mit besonders viel Sorgfalt behandelt werden müssen, gilt nicht erst seit die EU härtere Vorgaben macht. Durch die deutschen Datenschutzregeln und die Schulgesetze der Länder waren pädagogische Einrichtungen schon vorher auf einen besonders sorgfältigen Umgang mit den Daten ihrer Schüler sensibilisiert – zumindest in der Theorie.

Die Beweislast hat sich umgekehrt

So mussten auch schon in der Vergangenheit Schülerdaten vor dem Zugriff Dritter geschützt werden und Einwilligungserklärungen der Eltern etwa für die Nutzung von Fotos ihrer Kinder auf der Schulwebsite eingeholt werden. In der Praxis klafften rechtliche Vorgaben und gelebter Schulalltag jedoch oft genug weit auseinander, erklärt Volker Jürgens, Geschäftsführer einer Beratungsfirma für Schul-IT, Aixconcept. „Private Computer, Dropbox, Lehrer-App – all das macht Lehrern das Leben leichter, ist datenschutzrechtlich aber natürlich eher grenzwertig“, sagt der Fachmann zu FAZ.NET.

Dass nun die DSGVO gilt, verschärft die Situation. Zwar hat sich auf dem Papier gar nicht so viel geändert, was den Umgang mit und den Schutz von an Schulen erhobenen Daten betrifft. Das bestätigt auch eine Sprecherin des hessischen Kultusministeriums: „Da die Schulen – wie schon bisher – personenbezogene Daten in erster Linie aufgrund gesetzlicher Ermächtigungen und im Übrigen aufgrund ausdrücklich erteilter Einwilligungen speichern, betreffen die konkreten Änderungen vornehmlich Verfahrensfragen“.