Ja, Schulbeschäftigte müssen im Datenschutz geschult werden. Die DSGVO nennt zwar keine eigene Paragrafen-Pflicht mit dem Wort „Schulung”, verlangt aber über die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO, dass eine Schule jederzeit belegen kann, wie sie Daten schützt. Dazu gehören geschulte Mitarbeiter. Ergänzend zählt Art. 39 DSGVO die Sensibilisierung und Schulung der Beschäftigten ausdrücklich zu den Aufgaben des Datenschutzbeauftragten. Wer also Schüler- und Elterndaten verarbeitet, kommt an einer regelmäßigen Unterweisung nicht vorbei.
Eine Datenschutzschulung Schule ist kein Bürokratie-Selbstzweck. Schulen verarbeiten Daten, die besonders schützenswert sind — und sie tun das über Personen, die noch nicht selbst über ihre Rechte entscheiden können: Kinder und Jugendliche. Auf den Servern und in den Akten liegen Noten, Förderbedarfe und Diagnosen, Informationen zur familiären Situation, Gesundheitsdaten, Sozialdaten und Klassenfotos.
Öffentliche Schulen haben in der Regel einen behördlichen oder schulischen Datenschutzbeauftragten. Zuständig für die Aufsicht sind die Landesdatenschutzbehörden — nicht der Bund. Das ist wichtig, weil der Schuldatenschutz Ländersache ist. In Bayern, Nordrhein-Westfalen oder Berlin gelten jeweils eigene schulrechtliche Vorgaben, etwa zur Nutzung von Lernplattformen oder zur Aufbewahrung von Akten. Den gemeinsamen Rahmen darüber bildet die DSGVO. Wer es genauer wissen will, findet die Grundlagen beim Bundesbeauftragten für den Datenschutz (BfDI) und bei der jeweiligen Landesdatenschutzbehörde.
Prüfen Sie vor jeder Schulung, welche Aufsichtsbehörde für Ihr Bundesland zuständig ist. Die Inhalte zu Lernplattformen, Foto-Einwilligungen und Aktenaufbewahrung unterscheiden sich von Land zu Land. Eine fertige Unterweisungssoftware für Schulen nimmt Ihnen diese Recherche ab.
Geschult werden müssen alle, die mit personenbezogenen Daten arbeiten — und das sind an einer Schule deutlich mehr Menschen als nur die Lehrkräfte:
Sobald jemand Zugriff auf Schüler-, Eltern- oder Personaldaten hat, gehört die Person in die Schulung. Eine einmalige Unterweisung reicht nicht: Üblich und von den Aufsichtsbehörden empfohlen ist eine jährliche Wiederholung, außerdem eine Erstschulung neuer Beschäftigter zum Dienstantritt.
Eine gute Schul-Datenschutzschulung bleibt nah an der Praxis. Es geht nicht um Paragrafen-Auswendiglernen, sondern um die Situationen, die im Schulalltag wirklich vorkommen.
| Themenbereich | Worum es konkret geht |
|---|---|
| Schüler- und Elterndaten | Wer darf welche Daten sehen? Datensparsamkeit, Zweckbindung, kein Versand an private Mailadressen |
| Foto- und Video-Einwilligungen | Einwilligung einholen und dokumentieren, Widerruf ermöglichen, Webseite und Jahrbuch |
| Sichere Kommunikation | E-Mail, Messenger und Lernplattform (LMS): Was ist erlaubt, was nicht? Verschlüsselung, BCC bei Verteilern |
| Private Geräte | Umgang mit dem eigenen Laptop oder Smartphone, Trennung von dienstlich und privat, Bildschirmsperre |
| Datenpannen melden | Verlust von Geräten oder Akten, Fehlversand — Meldung innerhalb von 72 Stunden nach Art. 33 DSGVO |
| Aufbewahrung und Löschung | Wie lange Schülerakten aufbewahrt werden, wann gelöscht wird, sichere Vernichtung |
Eine Schulung, die niemand belegen kann, hilft im Ernstfall nicht. Die Aufsichtsbehörde will sehen, dass geschult wurde — nicht nur hören, dass es so war. Dokumentieren Sie deshalb von Anfang an strukturiert:
Genau diesen Nachweis erledigt eine E-Learning-Lösung automatisch. Hugo Learn protokolliert Teilnahme, Datum, Modul und Quiz-Ergebnis und stellt sie auditfest bereit — ohne handgepflegte Excel-Liste. Ehrlich bleibt dabei: Software dokumentiert und vermittelt Wissen, sie ersetzt nicht die organisatorische Verantwortung. Die Verantwortung dafür, dass Datenschutz an der Schule gelebt wird, bleibt bei der Schulleitung und beim Datenschutzbeauftragten.
In der Beratung erlebe ich oft, dass Schulen den Datenschutz für ein Monster halten, das den Unterricht lahmlegt. Das Gegenteil stimmt: Mit klaren Regeln und einer einmal sauber aufgesetzten Schulung wird der Alltag ruhiger, nicht komplizierter.
Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen.
Nils OehmichenDatenschutzberater bei frag.hugoFür eine Schule heißt pragmatisch: kurze, verständliche Module statt dreistündiger Vorträge, ein Nachweis, der sich von selbst füllt, und ein fester Termin im Jahr. Wer noch keinen Datenschutzbeauftragten an der Hand hat, kann diese Rolle auch extern besetzen — ein externer Datenschutzbeauftragter übernimmt Schulung, Dokumentation und den Kontakt zur Aufsicht.
Schulbeschäftigte zu schulen ist keine Kür, sondern Teil der Rechenschaftspflicht. Weil Schulen besonders sensible Daten von Kindern verarbeiten, schaut die Aufsicht hier genauer hin. Entscheidend sind drei Dinge: die richtigen Praxis-Inhalte, alle Mitarbeiter mit Datenzugriff im Boot und ein Nachweis, der vor der Behörde Bestand hat. Den größten Teil der Arbeit nimmt Ihnen ein E-Learning mit automatischer Dokumentation ab — die Verantwortung tragen Sie trotzdem weiter selbst.
Datenschutzschulung für Ihre Schule rechtssicher aufsetzen?
Wir zeigen Ihnen in 15 Minuten, wie Sie Ihre Schulbeschäftigten schulen und die Teilnahme auditfest dokumentieren — ohne Excel-Listen.
Erstgespräch buchen →Ja. Eine ausdrückliche Pflicht zur Schulung folgt aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und aus Art. 39 DSGVO, der die Sensibilisierung und Schulung der Mitarbeiter zu den Aufgaben des Datenschutzbeauftragten zählt. Wer Schüler- und Elterndaten verarbeitet, muss nachweisen können, dass die Beschäftigten dafür geschult wurden.
Alle Personen, die mit personenbezogenen Daten arbeiten: Lehrkräfte, Schulleitung, Sekretariat, Verwaltung, Sozialpädagogik und IT-Betreuung. Auch pädagogische Hilfskräfte und Referendare gehören dazu, sobald sie Zugriff auf Schüler-, Eltern- oder Personaldaten haben.
Umgang mit Schüler- und Elterndaten, Foto- und Video-Einwilligungen, sichere Kommunikation über E-Mail, Messenger und Lernplattform, der Einsatz privater Geräte, das Melden von Datenpannen innerhalb von 72 Stunden nach Art. 33 DSGVO sowie Aufbewahrung und Löschung von Schülerakten.
Dokumentiert werden müssen Teilnehmer, Datum, vermittelter Inhalt und idealerweise ein Quiz-Ergebnis als Lernkontrolle. Ein E-Learning protokolliert diese Daten automatisch und stellt sie auditfest für die Aufsichtsbehörde bereit. Wichtig: Die Dokumentation ersetzt nicht die organisatorische Verantwortung der Schulleitung.
Der Schuldatenschutz ist Ländersache. Jedes Bundesland hat eigene schulrechtliche Datenschutzregeln und eine eigene Aufsichtsbehörde. In Bayern, Nordrhein-Westfalen oder Berlin gelten unterschiedliche Vorgaben, etwa zur Nutzung von Lernplattformen oder zur Aufbewahrung. Die DSGVO bildet den gemeinsamen Rahmen darüber.
Inhaltsverzeichnis
Pflichtunterweisungen Schule 2026: welche Unterweisungen Pflicht sind, welche Rechtsgrundlage gilt und welcher Rhythmus zählt — Überblick für Schulleitungen.
Weiterlesen
Wie ein Hamburger IT-Dienstleister KI im Kundenservice datenschutzkonform einsetzt — und welche 5 Stellschrauben Sie für Ihr eigenes Unternehmen mitnehmen.
Weiterlesen
Datenschutz-Roundup Juni 2026: 5 Mio. € CNIL-Bußgeld gegen IQVIA, das neue Data-Act-Durchführungsgesetz (DADG), die NIS2/KRITIS-Frist 17. Juli — nur 38,5 % registriert — und was der AI Act jetzt von KMU verlangt.
WeiterlesenÜber den Autor
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.
Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.
Lieber erstmal schreiben? Kontaktformular
