DSGVO und digitale Zeugniserstellung: Was Schulen wirklich beachten müssen

Warum ist Datenschutz bei Zeugnissen so wichtig?

Zeugnisse enthalten nach der DSGVO besonders schützenswerte personenbezogene Daten: Name, Geburtsdatum und Noten bzw. Beurteilungen von minderjährigen Schülerinnen und Schülern. Die Verarbeitung dieser Daten unterliegt strengen Anforderungen, auch bei der digitalen Zeugniserstellung.

Dazu kommt: Schulen sind öffentliche Einrichtungen, die gegenüber Eltern, Schülerinnen und Schülern und der Aufsichtsbehörde Rechenschaft ablegen müssen. Ein Datenschutzvorfall – zum Beispiel ein verlorener USB-Stick mit Schülerdaten – ist meldepflichtig und kann ernsthafte Konsequenzen haben.

Welche Anforderungen stellt die DSGVO?

Rechtsgrundlage für die Verarbeitung

Personenbezogene Daten dürfen nur verarbeitet werden, wenn es dafür eine Rechtsgrundlage gibt. Bei Zeugnissen ist das in der Regel das Schulgesetz des jeweiligen Bundeslandes, das Schulen zur Zeugniserstellung verpflichtet. Die Verarbeitung der dafür notwendigen Schülerdaten ist also zulässig, aber nur für diesen Zweck.

Datenminimierung

Es dürfen nur die Daten erfasst werden, die für die Zeugniserstellung tatsächlich benötigt werden: Name, Geburtsdatum, Klasse, Kurse, Noten und ggf. Fehlzeiten. Weitere Daten – zum Beispiel Telefonnummern der Eltern, Gesundheitsdaten oder private Umstände – gehören nicht in ein Zeugnisprogramm.

Datensicherheit (Art. 32 DSGVO)

Die technischen und organisatorischen Maßnahmen müssen dem Risiko angemessen sein. Konkret bedeutet das für Zeugnissoftware:

• Verschlüsselte Datenübertragung (HTTPS)
• Sichere Passwörter und Zugangskontrolle
• Regelmäßige Datensicherungen
• Schutz vor unbefugtem Zugriff
• Dokumentation der Verarbeitungstätigkeiten

Auftragsverarbeitung (Art. 28 DSGVO)

Wenn eine Schule ein externes Software-Unternehmen für die Zeugniserstellung nutzt, ist das eine Auftragsverarbeitung. Zwischen Schule und Anbieter muss ein schriftlicher Auftragsverarbeitungsvertrag (AVV) geschlossen werden. Dieser regelt, wie der Anbieter die Daten verarbeiten darf und welche Pflichten er hat.

Seriöse Anbieter stellen diesen Vertrag selbstverständlich bereit – fragen Sie danach, bevor Sie eine Software einsetzen.

Serverstandort

Daten aus deutschen Schulen sollten auf Servern in Deutschland oder zumindest in der EU gespeichert werden. Anbieter mit Servern in den USA oder anderen Drittländern müssen zusätzliche Anforderungen erfüllen – was in der Praxis oft schwierig ist. Im Zweifel gilt: Deutschland ist die sicherste Wahl.

Was ist bei Word und USB-Sticks das Problem?

Die traditionelle Methode mit Word-Dateien auf USB-Sticks oder per E-Mail birgt erhebliche Datenschutzrisiken:

• Verlust: Ein USB-Stick mit Schülerdaten geht verloren – das ist ein meldepflichtiger Datenschutzvorfall.
• Private Geräte: Lehrkräfte, die Schülerdaten auf privaten Laptops verarbeiten, sind datenschutzrechtlich problematisch.
• E-Mail: Unverschlüsselte E-Mails mit Schülerdaten entsprechen nicht den DSGVO-Anforderungen.
• Keine Zugriffskontrolle: Wer hat alles Zugriff auf die Word-Datei? Das ist bei USB-Sticks kaum nachvollziehbar.

Wie macht es ZeitFürSchule?

Bei ZeitFürSchule werden alle Schülerdaten auf Servern in Deutschland gespeichert. Für jede Schule gibt es eine eigene, isolierte Datenbank – kein Anbieter hat Zugriff auf Daten anderer Schulen. Die Übertragung erfolgt immer verschlüsselt über HTTPS. Lehrkräfte sehen nur ihre eigenen Schülerinnen und Schüler sowie die zugewiesenen Kurse.

Den notwendigen Auftragsverarbeitungsvertrag (AVV) stellen wir selbstverständlich bereit. Auf Wunsch unterstützen wir Schulen auch bei der Dokumentation im Verzeichnis von Verarbeitungstätigkeiten.

Checkliste: Was Sie bei der Auswahl prüfen sollten