SchulConnect SchulConnect-Logo

14. April 2026

BYODSchuldigitalisierungDatenschutzNetzwerksicherheitSchul-IT

Bring Your Own Device an Schulen: Chancen, Risiken und was IT-Verantwortliche wirklich beachten müssen

BYOD an Schulen klingt praktisch - doch private Geräte im Schulnetz bringen erhebliche Datenschutz- und Sicherheitsrisiken mit sich. Dieser Artikel erklärt, worauf IT-Verantwortliche und Schulträger bei der Einführung achten müssen.

Bring Your Own Device an Schulen: Chancen, Risiken und was IT-Verantwortliche wirklich beachten müssen

Private Smartphones, Tablets und Laptops im Unterricht - das ist an vielen Schulen längst Alltag. Offiziell geregelt ist es dagegen selten. Genau da liegt das Problem.

BYOD (Bring Your Own Device) beschreibt das Konzept, private Endgeräte für schulische Zwecke zu nutzen. Es klingt verlockend: keine Gerätebeschaffung, keine Wartung, kein Investitionsstau. Doch wer BYOD einführt, ohne ein klares Regelwerk zu haben, riskiert Datenschutzverstöße, unkontrollierte Datenwege und ein Schulnetz, das sich kaum noch absichern lässt.

Warum BYOD an Schulen so verbreitet ist - und warum das trügerisch ist

Der Digitalpakt Schule hat seit 2019 zwar Milliarden in die Schulinfrastruktur fließen lassen, doch die Geräteausstattung bleibt an vielen Standorten unzureichend. Laut einer Erhebung des Digitalverbands Bitkom aus dem Jahr 2023 besitzen rund 95 Prozent der Schülerinnen und Schüler ab zwölf Jahren ein eigenes Smartphone. Die Versuchung, auf dieses vorhandene Potenzial zurückzugreifen, ist verständlich.

Das Problem: Viele Schulen tolerieren die private Gerätenutzung stillschweigend, ohne sie formell zu regeln. Es gibt keine Richtlinie, keine technische Einbindung, keine definierten Verantwortlichkeiten. Was faktisch praktiziert wird, ist kein strukturiertes BYOD - sondern unkontrollierte Gerätenutzung mit allen damit verbundenen Risiken.

Welche Risiken entstehen durch ungeregeltes BYOD

Die Risiken lassen sich in drei Kategorien einteilen:

Datenschutzrechtliche Risiken

Wenn Schülerinnen und Schüler oder Lehrkräfte personenbezogene Daten auf privaten Geräten verarbeiten - also etwa Klassenlisten, Notizen über Schülerverhalten oder Bewertungsunterlagen - dann gilt die DSGVO. Die Schule bleibt Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO, auch wenn die Daten auf einem privaten Gerät liegen. Sie hat aber faktisch keine Kontrolle darüber, ob das Gerät verschlüsselt ist, ob eine Datensicherung stattfindet oder ob die Daten nach Nutzungsende gelöscht werden.

Netzwerksicherheit

Private Geräte sind häufig unzureichend gepatcht, laufen mit veralteter Software oder sind mit potenziell schädlichen Apps bestückt. Werden sie ins Schulnetz eingebunden, können sie als Einfallstor für Schadsoftware dienen. Sicherheitsvorfälle durch infizierte Endgeräte sind in Unternehmensumgebungen gut dokumentiert - Schulen sind davon nicht ausgenommen.

Fehlende Administrierbarkeit

MDM-Systeme (Mobile Device Management), mit denen IT-Abteilungen Geräte verwalten, konfigurieren und im Verlustfall sperren können, lassen sich auf privaten Geräten nur eingeschränkt einsetzen. Nutzerinnen und Nutzer können die Installation eines MDM-Profils ablehnen oder es nachträglich entfernen - und die Schule hat keine rechtliche Handhabe dagegen.

Was das Schulrecht dazu sagt

Eine bundeseinheitliche Regelung zu BYOD an Schulen gibt es nicht. Die Kultushoheit liegt bei den Ländern, und die Vorgaben unterscheiden sich erheblich.

In Bayern etwa regelt das BayEUG in Verbindung mit einschlägigen Datenschutzhinweisen des Landesamts für Datenschutzaufsicht (LDA), dass die Verarbeitung personenbezogener Schülerdaten auf privaten Geräten nur unter sehr engen Voraussetzungen zulässig ist. In Nordrhein-Westfalen hat das Ministerium für Schule und Bildung Handreichungen herausgegeben, die BYOD nicht grundsätzlich verbieten, aber klare Anforderungen an technische und organisatorische Maßnahmen (TOM) stellen.

Grundsätzlich gilt: Schulen müssen nachweisen können, dass personenbezogene Daten auch auf privaten Geräten sicher verarbeitet werden. Das erfordert eine schriftliche Regelung, technische Mindestanforderungen und im Zweifel eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.

Die vier Modelle: Wie Schulen BYOD strukturieren können

IT-Verantwortliche sollten sich bewusst für eines von vier grundlegenden Modellen entscheiden:

Vollständiges BYOD Schülerinnen und Schüler nutzen ausschließlich private Geräte. Voraussetzung: klare technische Mindestanforderungen (Betriebssystemversion, Verschlüsselung, Antivirenschutz), ein dediziertes Gäste-WLAN oder ein getrenntes VLAN, und eine schriftliche Nutzungsvereinbarung.

BYOD als Ergänzung zu Schulgeräten Die Schule stellt Geräte bereit, erlaubt aber ergänzend die private Nutzung für bestimmte Szenarien. Das erleichtert die Kontrolle, weil kritische Anwendungen weiterhin auf verwalteten Geräten laufen.

Choose Your Own Device (CYOD) Die Schule definiert eine Liste zulässiger Geräte. Schülerinnen und Schüler kaufen eines dieser Geräte privat, die Schule kann sie aber einheitlich konfigurieren und verwalten. Dieses Modell ist technisch aufwändiger, bietet aber deutlich mehr Kontrolle.

Schulgeräte only Keine private Gerätenutzung für schulische Zwecke. Dieses Modell ist datenschutzrechtlich am saubersten, erfordert aber eine ausreichende Geräteausstattung - was an vielen Schulen noch nicht der Fall ist.

Welches Modell sinnvoll ist, hängt von der Schulform, der Altersstruktur der Schülerinnen und Schüler und den vorhandenen IT-Ressourcen ab. Entscheidend ist, dass eine bewusste Entscheidung getroffen wird - nicht, dass etwas stillschweigend geduldet wird.

Technische Mindestanforderungen für eine BYOD-Umgebung

Unabhängig vom gewählten Modell braucht jede BYOD-Umgebung eine technische Grundstruktur:

  • Netzwerksegmentierung: Private Geräte gehören in ein separates VLAN oder Gastnetz, das keinen Zugriff auf schulinterne Systeme und Server hat.
  • Zentrale Authentifizierung: Zugang zu schulischen Diensten sollte über ein zentrales Login erfolgen, damit Konten nach Ausscheiden von Nutzerinnen und Nutzern sofort gesperrt werden können.
  • Keine lokale Datenspeicherung: Schüler- und Lehrkraftdaten sollten ausschließlich auf schulischen Systemen liegen, nicht auf privaten Geräten.
  • Geräteanforderungen dokumentieren: Welche Betriebssystemversionen sind Mindestvoraussetzung? Ist eine aktive Firewall erforderlich? Diese Anforderungen müssen schriftlich festgehalten und kommuniziert werden.
  • Protokollierung von Zugriffen: Welche Geräte greifen auf das Schulnetz zu? Eine Protokollierung ist aus Sicherheits- und Nachweisgesichtspunkten sinnvoll, muss aber ihrerseits datenschutzkonform erfolgen.

Platformen, die eine zentrale Nutzerverwaltung und Single Sign-On bereitstellen - wie etwa SchulConnect - können dabei helfen, den Zugriff auf schulische Dienste auch in BYOD-Szenarien kontrolliert zu halten. Entscheidend ist, dass die Authentifizierung nicht geraetabhängig ist, sondern an das verwaltete Konto gebunden bleibt.

Was eine BYOD-Richtlinie enthalten muss

Ohne schriftliche Regelung ist BYOD kein Konzept, sondern ein Experiment. Eine BYOD-Schulrichtlinie sollte mindestens folgende Punkte abdecken:

  • Geltungsbereich: Wer darf private Geräte für welche Zwecke nutzen?
  • Technische Mindestanforderungen an private Geräte
  • Erlaubte und verbotene Anwendungen und Dienste
  • Regelungen zur Datenspeicherung: Wo dürfen Schuldaten abgelegt werden?
  • Verantwortlichkeiten bei Verlust oder Diebstahl
  • Konsequenzen bei Regelverstößen
  • Hinweis auf die geltende Datenschutzerklärung der Schule

Die Richtlinie muss von Schülerinnen und Schülern sowie deren Erziehungsberechtigten (bei Minderjährigen) und von Lehrkräften unterzeichnet werden. Sie ist kein einmaliges Dokument, sondern muss regelmäßig aktualisiert werden - spätestens dann, wenn sich technische oder rechtliche Rahmenbedingungen ändern.

Der Datenschutzbeauftragte muss einbezogen werden

Schulen sind nach Art. 37 DSGVO in vielen Fällen verpflichtet, einen Datenschutzbeauftragten (DSB) zu benennen. Bei der Einführung eines BYOD-Konzepts ist der DSB zwingend einzubeziehen. Er muss die geplanten technischen und organisatorischen Maßnahmen bewerten und - falls eine Datenschutz-Folgenabschätzung erforderlich ist - diese begleiten.

Ein häufiger Fehler: IT-Verantwortliche oder Schulleitungen führen BYOD ein, ohne den DSB zu informieren. Das ist nicht nur ein Verfahrensfehler, sondern kann im Fall eines Datenschutzvorfalls haftungsrechtlich relevant werden.

Fazit: BYOD funktioniert - aber nur mit klarem Rahmen

BYOD ist kein grundsätzlich problematisches Konzept. Es kann den Schulalltag flexibler machen und Ressourcen schonen. Aber es funktioniert nur dann rechtssicher und technisch stabil, wenn es bewusst eingeführt, klar geregelt und technisch abgesichert wird.

Der erste Schritt für IT-Verantwortliche und Schulleitungen ist eine ehrliche Bestandsaufnahme: Wird private Gerätenutzung an unserer Schule bereits praktiziert - und wenn ja, unter welchen Bedingungen? Wer dabei feststellt, dass private Geräte ohne jede Regelung im Schulnetz hängen, sollte schnell handeln. Nicht weil eine Kontrolle droht, sondern weil ein unkontrolliertes Datenleck im Zweifel teurer ist als jede Präventionsmaßnahme.

Weitere Beiträge

17. April 2026

Softwarelizenzmanagement an Schulen: Was IT-Verantwortliche wissen müssen

Schulen jonglieren täglich mit Dutzenden Softwarelizenzen - oft ohne klaren Überblick. Dieser Artikel erklärt, wie Lizenzmanagement an Schulen funktioniert, welche rechtlichen Pflichten bestehen und wie IT-Verantwortliche die Kontrolle behalten.

10. April 2026

Netzwerksicherheit an Schulen: Schwachstellen erkennen, Risiken minimieren

Schulnetzwerke sind häufig schlecht gesichert und damit ein leichtes Ziel für Angreifer. Dieser Artikel erklärt die häufigsten Schwachstellen, welche Schutzmaßnahmen wirklich greifen und was IT-Verantwortliche an Schulen konkret tun können.

3. April 2026

Nutzerverwaltung an Schulen: Warum dezentrale Konten ein Sicherheitsrisiko sind

Viele Schulen verwalten Nutzerkonten noch immer dezentral und fehleranfällig. Dieser Artikel erklärt, welche Risiken damit verbunden sind, was eine zentrale Nutzerverwaltung leisten muss und welche gesetzlichen Anforderungen dabei gelten.

Alle Beiträge