SchulConnect SchulConnect-Logo

31. März 2026

CloudDatenschutzDSGVOSchul-ITNextcloudSchulträger

Cloud-Speicher an Schulen: Anforderungen, Fallstricke und was eine rechtskonforme Lösung leisten muss

Schulen brauchen Cloud-Lösungen für Zusammenarbeit und Dateiverwaltung - doch viele gängige Dienste erfüllen die datenschutzrechtlichen Anforderungen nicht. Dieser Artikel erklärt, worauf Schulträger bei der Auswahl und dem Betrieb einer Schul-Cloud achten müssen.

Cloud-Speicher an Schulen: Anforderungen, Fallstricke und was eine rechtskonforme Lösung leisten muss

Dropbox, Google Drive, OneDrive - diese Dienste sind im Alltag praktisch und weit verbreitet. An Schulen haben sie trotzdem wenig zu suchen. Der Grund ist nicht Technikfeindlichkeit, sondern eine nüchterne rechtliche Realität: Sobald Lehrkräfte dort Schülerdaten, Zeugnisse oder auch nur Klassenlisten ablegen, geraten sie in einen Bereich, der durch das Schulrecht, die DSGVO und in vielen Bundesländern durch spezifische Verwaltungsvorschriften klar geregelt ist.

Dieser Artikel erklärt, welche Anforderungen eine Cloud-Lösung für Schulen tatsächlich erfüllen muss, wo typische Fehler passieren und was IT-Verantwortliche bei der Auswahl oder dem Eigenbetrieb beachten sollten.

Warum kommerzielle Public-Cloud-Dienste an Schulen problematisch sind

Die DSGVO gilt für jede Verarbeitung personenbezogener Daten - also auch für das Ablegen einer Schülerliste in einem Cloud-Ordner. Entscheidend ist dabei nicht nur, wo der Speicher liegt, sondern wer darauf Zugriff hat und zu welchen Zwecken die Daten weiterverarbeitet werden.

Bei Diensten wie Google Drive oder Microsoft OneDrive im kostenlosen oder Standardtarif ist eine Datenverarbeitung zu eigenen Zwecken des Anbieters - etwa für Werbung oder Produktverbesserung - vertraglich nicht ausgeschlossen. Das macht einen wirksamen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO faktisch schwer oder unmöglich.

Darüber hinaus haben viele dieser Anbieter ihren Hauptsitz in den USA. Seit dem Schrems-II-Urteil des EuGH aus dem Jahr 2020 und den anhaltenden Debatten um den Datenschutzrahmen EU-USA ("Data Privacy Framework") ist eine rechtssichere Datenübermittlung in die USA für öffentliche Stellen wie Schulen nach wie vor heikel. Das Privacy Shield war 2020 für ungültig erklärt worden; sein Nachfolger wird von Datenschutzbehörden in Deutschland weiterhin kritisch bewertet.

Was die Datenschutzbehörden der Länder konkret fordern

Mehrere Landesdatenschutzbehörden haben in den vergangenen Jahren Stellungnahmen zum Cloud-Einsatz an Schulen veröffentlicht. Die Kernaussagen ähneln sich:

  • Die Datenverarbeitung muss auf Basis eines wirksamen AVV erfolgen.
  • Der Serverstandort soll innerhalb der EU oder des EWR liegen.
  • Eine Drittlandübermittlung bedarf einer gesonderten Rechtsgrundlage (z. B. Angemessenheitsbeschluss oder Standardvertragsklauseln mit Transfer Impact Assessment).
  • Der Schulträger - nicht die Schule selbst - ist in der Regel der Verantwortliche im Sinne der DSGVO und trägt damit die Rechenschaftspflicht.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) etwa hat explizit darauf hingewiesen, dass Microsoft 365 an bayerischen Schulen ohne datenschutzkonforme Konfiguration nicht eingesetzt werden darf. Ähnliche Positionen haben die DSB in Baden-Württemberg, Hessen und Niedersachsen eingenommen.

Welche Daten in der Schul-Cloud typischerweise landen

In der Praxis werden Cloud-Dienste an Schulen für sehr unterschiedliche Zwecke genutzt. Nicht alle davon betreffen personenbezogene Daten - aber viele tun es:

  • Notenlisten und Beurteilungsdokumente
  • Schülerarbeiten und Förderpläne
  • Kommunikation mit Eltern (als Anhang oder Dokument)
  • Dienstpläne und Vertretungspläne mit Lehrerdaten
  • Fotos von Schulveranstaltungen

Selbst vermeintlich harmlose Inhalte wie ein Sitzplan einer Klasse können personenbezogene Daten enthalten. IT-Verantwortliche sollten daher keine Ausnahmen auf Basis des Inhaltstyps definieren, sondern grundsätzlich sicherstellen, dass die genutzte Plattform DSGVO-konform ist.

Technische und organisatorische Mindestanforderungen

Eine rechtskonforme Cloud-Lösung für Schulen muss bestimmte technische und organisatorische Maßnahmen (TOMs) vorweisen können. Dazu gehören:

Verschlüsselung: Daten sollten sowohl bei der Übertragung (TLS) als auch im Ruhezustand (at rest encryption) verschlüsselt sein. Ideal ist eine Ende-zu-Ende-Verschlüsselung für besonders sensible Inhalte.

Zugriffskontrolle: Jeder Nutzer darf nur auf die Daten zugreifen, für die er eine Berechtigung hat. Rollenkonzepte (Lehrkraft, Schulleitung, Verwaltung) müssen abbildbar sein.

Protokollierung: Zugriffe auf sensible Daten sollten nachvollziehbar protokolliert werden, um im Zweifel Datenpannen rekonstruieren zu können.

Löschkonzept: Daten müssen nach definierten Fristen gelöscht werden können - etwa wenn ein Schüler die Schule verlässt. Eine automatisierte oder wenigstens dokumentierte Löschroutine ist Pflicht.

AVV: Der Anbieter muss bereit und in der Lage sein, einen wirksamen Auftragsverarbeitungsvertrag abzuschließen.

Self-Hosted vs. Managed Service: Was passt zur Schule?

Bei der Umsetzung stehen Schulträger grundsätzlich vor zwei Optionen.

Selbst betriebene Lösung: Der Schulträger betreibt die Cloud-Software auf eigener Hardware oder in einem Rechenzentrum eigener Wahl. Das bietet maximale Kontrolle, erfordert aber entsprechende IT-Ressourcen und Fachkenntnisse. Viele kleinere Schulträger sind damit schlicht überfordert.

Managed Service: Ein externer Anbieter betreibt die Infrastruktur, übernimmt Updates, Backups und Monitoring - und schließt einen AVV ab. Die Schule oder der Schulträger nutzt den Dienst, ohne die technische Verantwortung vollständig selbst tragen zu müssen.

Für Managed Services ist die Auswahl des Anbieters entscheidend. Wichtige Kriterien sind: Serverstandort in Deutschland oder der EU, transparente Unterauftragsverarbeiter, nachweisliche Zertifizierungen (z. B. ISO 27001) und ein klar dokumentierter AVV.

Neben kommerziellen Lösungen gibt es in einigen Bundesländern auch von Kultusministerien oder kommunalen Rechenzentren betriebene Plattformen - etwa die Dienste der Dataport-Kooperation in Norddeutschland oder Angebote einzelner kommunaler IT-Dienstleister.

Nextcloud als Basis: Verbreitet, aber kein Selbstläufer

Nextcloud ist im Bereich schuldatenschutzkonformer Cloud-Software die am weitesten verbreitete Open-Source-Lösung. Das hat gute Gründe: Die Software ist quelloffen, kann auf eigener Infrastruktur betrieben werden, bietet umfangreiche Zugriffsverwaltung und lässt sich in bestehende Verzeichnisdienste (LDAP, Active Directory) integrieren.

Allerdings löst die blosse Installation von Nextcloud noch keine datenschutzrechtlichen Probleme. Entscheidend ist die Konfiguration:

  • Sind externe Freigaben auf das notwendige Minimum beschränkt?
  • Werden Zugangsdaten sicher verwaltet (keine Passwörter im Klartext)?
  • Ist die Instanz regelmässig gepatcht?
  • Gibt es ein Backup- und Wiederherstellungskonzept?
  • Ist der AVV mit dem Hosting-Anbieter abgeschlossen?

Gerade Schulen, die Nextcloud auf einem schlecht gewarteten Server betreiben, tauschen unter Umständen ein Datenschutzproblem gegen ein Sicherheitsproblem.

Anbieter wie SchulConnect stellen Nextcloud als Teil einer verwalteten Schul-IT-Infrastruktur bereit - inklusive zentraler Nutzerverwaltung und Hosting auf deutschen Servern. Das kann für Schulträger ohne eigene IT-Kapazitäten ein sinnvoller Weg sein, die technischen und organisatorischen Anforderungen zu erfüllen, ohne alles selbst aufzubauen.

Häufige Fehler in der Praxis

Aus Gesprächen mit IT-Verantwortlichen an Schulen und Schulträgern zeichnet sich ein wiederkehrendes Muster ab:

  • Lehrkräfte nutzen private Cloud-Dienste, weil keine schuleigene Lösung angeboten wird.
  • Schulleitungen genehmigen informell den Einsatz von Diensten wie WeTransfer oder iCloud, ohne die datenschutzrechtliche Konsequenz zu kennen.
  • Der AVV mit dem tatsächlich genutzten Anbieter fehlt oder ist veraltet.
  • Nutzerkonten werden nach Ausscheiden von Lehrkräften oder Schülern nicht gelöscht.
  • Es gibt keine dokumentierte Richtlinie zur erlaubten Nutzung der Schul-Cloud.

Keiner dieser Fehler ist böswillig. Sie entstehen meistens, weil kein zentrales, nutzbares Angebot vorhanden ist und weil Datenschutz in der Schule als abstrakt und bürokratisch wahrgenommen wird.

Handlungsempfehlungen für IT-Verantwortliche und Schulträger

Wer die Situation in seiner Schule oder seinem Schulträger verbessern will, kann mit folgenden Schritten beginnen:

  1. Bestandsaufnahme: Welche Cloud-Dienste werden aktuell genutzt - offiziell und informell? Eine ehrliche Erhebung ist Grundvoraussetzung.
  2. AVV prüfen: Für jeden genutzten Dienst sollte ein gültiger AVV vorliegen. Fehlt er, ist der Dienst sofort zu ersetzen oder zu suspendieren.
  3. Zentrale Lösung bereitstellen: Nur wenn Lehrkräfte eine funktionierende, offizielle Alternative haben, werden sie auf private Dienste verzichten. Die Lösung muss einfach bedienbar sein.
  4. Richtlinie erstellen: Eine kurze, praxisnahe Nutzungsrichtlinie (1-2 Seiten) schafft Klarheit für alle Beteiligten.
  5. Schulung: Lehrkräfte müssen verstehen, warum bestimmte Dienste nicht erlaubt sind - nicht als Vorwurf, sondern als Erklärung.

Fazit

Cloud-Speicher an Schulen ist kein Luxus, sondern inzwischen eine Grundvoraussetzung für funktionierende Zusammenarbeit. Gleichzeitig ist es einer der Bereiche, in dem datenschutzrechtliche Verstösse besonders häufig und oft unbemerkt passieren.

Die gute Nachricht: Die rechtlichen Anforderungen sind klar, und es gibt Lösungen, die sie erfüllen. Der entscheidende Schritt ist, das Thema systematisch anzugehen - mit einer Bestandsaufnahme, einem klaren Anforderungsprofil und einer Lösung, die im Schulalltag tatsächlich funktioniert. Wer wartet, bis die Datenschutzbehörde anklopft, hat zu lange gewartet.

Weitere Beiträge

17. April 2026

Softwarelizenzmanagement an Schulen: Was IT-Verantwortliche wissen müssen

Schulen jonglieren täglich mit Dutzenden Softwarelizenzen - oft ohne klaren Überblick. Dieser Artikel erklärt, wie Lizenzmanagement an Schulen funktioniert, welche rechtlichen Pflichten bestehen und wie IT-Verantwortliche die Kontrolle behalten.

14. April 2026

Bring Your Own Device an Schulen: Chancen, Risiken und was IT-Verantwortliche wirklich beachten müssen

BYOD an Schulen klingt praktisch - doch private Geräte im Schulnetz bringen erhebliche Datenschutz- und Sicherheitsrisiken mit sich. Dieser Artikel erklärt, worauf IT-Verantwortliche und Schulträger bei der Einführung achten müssen.

10. April 2026

Netzwerksicherheit an Schulen: Schwachstellen erkennen, Risiken minimieren

Schulnetzwerke sind häufig schlecht gesichert und damit ein leichtes Ziel für Angreifer. Dieser Artikel erklärt die häufigsten Schwachstellen, welche Schutzmaßnahmen wirklich greifen und was IT-Verantwortliche an Schulen konkret tun können.

Alle Beiträge