SchulConnect SchulConnect-Logo

16. März 2026

DSGVOSchul-ITE-MailDatenschutzDigitalisierung

DSGVO-konforme E-Mail an Schulen: Was wirklich erlaubt ist – und was nicht

Schulen nutzen täglich E-Mail – doch viele Lösungen verstoßen gegen die DSGVO. Dieser Artikel erklärt die rechtlichen Anforderungen, zeigt typische Fehler und gibt konkrete Handlungsempfehlungen für IT-Verantwortliche und Schulleitungen.

E-Mail ist an Schulen das meistgenutzte digitale Kommunikationsmittel – und gleichzeitig eines der größten Datenschutzrisiken. Lehrkräfte versenden Noten, Eltern schreiben über Familiensituationen, Schulleitungen tauschen personenbezogene Daten aus. Doch in vielen Schulen laufen diese Kommunikation noch über private Gmail- oder GMX-Adressen, kostenlose Dienste mit Servern außerhalb der EU oder schlecht konfigurierte Schul-Accounts.

Dabei sind die rechtlichen Anforderungen klar – und die Konsequenzen bei Verstößen real.

Was die DSGVO für schulische E-Mail-Kommunikation bedeutet

Schulen sind Behörden oder stehen behördenähnlichen Einrichtungen gleich. Sie verarbeiten täglich personenbezogene Daten von Minderjährigen – eine der besonders schützenswerten Kategorien nach Art. 9 DSGVO. Das bedeutet: Jede digitale Kommunikation, die solche Daten enthält, unterliegt strengen Anforderungen.

Konkret relevant sind vor allem:

  • Art. 5 DSGVO: Daten müssen auf sicheren, kontrollierten Systemen verarbeitet werden (Integrität und Vertraulichkeit).
  • Art. 28 DSGVO: Wird ein externer Dienstleister eingesetzt, ist ein Auftragsverarbeitungsvertrag (AVV) zwingend erforderlich.
  • Art. 44 ff. DSGVO: Datenübermittlungen in Drittstaaten (z. B. USA) sind grundsätzlich nur unter engen Voraussetzungen zulässig.

Die bloße Nutzung eines kostenlosen US-amerikanischen E-Mail-Dienstes durch eine Lehrkraft für dienstliche Zwecke kann bereits ein meldepflichtiger Datenschutzverstoß sein.

Warum private E-Mail-Dienste ein Problem sind

Das Problem ist nicht der Dienst an sich, sondern der fehlende Kontrollrahmen. Wenn eine Lehrkraft über ihr privates Gmail-Konto Schülerdaten versendet, gelten folgende Risiken:

  • Die Schule hat keine Kontrolle über Speicherort, Zugriff oder Löschung der Daten.
  • Es besteht kein AVV zwischen der Schule und Google.
  • Im Fall eines Datenlecks ist die Schule trotzdem verantwortlich – sie hat die Verarbeitung durch die Wahl des Dienstes ermöglicht.
  • Google nutzt Metadaten (und je nach Produkt auch Inhalte) für eigene Zwecke – unvereinbar mit dem Schutzniveau der DSGVO.

In mehreren deutschen Bundesländern haben Datenschutzbehörden bereits Schulen und Schulträger darauf hingewiesen oder förmlich beanstandet. Bayern, Baden-Württemberg und Niedersachsen haben eigene Orientierungshilfen herausgegeben, die den Einsatz nicht-europäischer Dienste für sensible schulische Kommunikation explizit problematisieren.

Was eine DSGVO-konforme Schul-E-Mail-Lösung leisten muss

Für IT-Verantwortliche und Schulträger ist die Anforderungsliste überschaubar, aber nicht trivial:

Technische Mindestanforderungen:

  • Hosting ausschließlich auf Servern in der EU, besser noch in Deutschland
  • Transportverschlüsselung (TLS) für alle eingehenden und ausgehenden E-Mails
  • Optionale Ende-zu-Ende-Verschlüsselung für besonders sensible Inhalte (z. B. S/MIME oder PGP)
  • Zugriffskontrolle und Protokollierung
  • Klar definierte Löschfristen

Organisatorische Mindestanforderungen:

  • Abschluss eines AVV mit dem Dienstleister
  • Dokumentation im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Schulung der Lehrkräfte zur sicheren Nutzung
  • Klare Richtlinie: Dienstliche Kommunikation nur über dienstliche Accounts

Der letzte Punkt klingt selbstverständlich, wird in der Praxis aber regelmäßig vernachlässigt – oft aus Bequemlichkeit oder weil keine dienstliche Alternative bereitgestellt wird.

Die Rolle des Schulträgers: Verantwortung liegt nicht allein bei der Schule

Ein häufiges Missverständnis: Datenschutzverantwortung liegt bei der Schulleitung. Rechtlich korrekt ist jedoch: Schulträger (Kommunen, Landkreise, freie Träger) sind in der Regel die datenschutzrechtlich Verantwortlichen im Sinne der DSGVO – zumindest für die IT-Infrastruktur.

Das hat praktische Konsequenzen. Der Schulträger muss:

  • Die E-Mail-Infrastruktur bereitstellen und absichern
  • AVVs mit allen eingesetzten Dienstleistern abschließen
  • Sicherstellen, dass an allen Schulen im Trägerverbund einheitliche, konforme Lösungen genutzt werden
  • Den Datenschutzbeauftragten einbinden

Für größere Schulträger, die dutzende Schulen betreuen, bedeutet das: Eine zentral verwaltete Lösung mit einheitlichem Account-Management ist nicht nur bequemer, sondern aus Datenschutzsicht nahezu zwingend. Fragmentierte Einzellösungen je Schule erhöhen den Aufwand und das Risiko erheblich.

Typische Schwachstellen in der Praxis

Bei Audits und Beratungen tauchen immer wieder dieselben Probleme auf:

  1. Keine oder veraltete AVVs: Der Dienstleister wurde gewechselt, der Vertrag nie aktualisiert.
  2. Sammelpostfächer ohne Zugriffsprotokoll: Mehrere Lehrkräfte teilen sich eine Adresse wie info@schule.de, ohne dass nachvollziehbar ist, wer wann was gelesen hat.
  3. Fehlende Abwesenheitsregelungen: Lehrkräfte leiten Mails auf private Accounts um, wenn sie abwesend sind.
  4. Keine Archivierungsregelung: Schulmails werden dauerhaft gespeichert oder sofort gelöscht – beides kann je nach Inhalt problematisch sein.
  5. Unsichere Passwörter und kein MFA: Zugangsdaten werden geteilt oder nie geändert.

Jeder dieser Punkte ist für sich allein behebbar. Das Problem ist meist das Fehlen einer übergreifenden IT-Sicherheitsrichtlinie.

Was gute Lösungen heute leisten

Mittlerweile gibt es E-Mail-Lösungen, die explizit für den Schuleinsatz entwickelt oder konfiguriert wurden und die genannten Anforderungen erfüllen. Entscheidend ist dabei nicht nur die Technik, sondern die Integration in die bestehende Schulinfrastruktur.

Besonders praktisch: Wenn E-Mail-Accounts automatisch beim Anlegen eines neuen Nutzerkontos erstellt und beim Ausscheiden deaktiviert werden, entfällt ein großer manueller Aufwand. Gleiches gilt für die zentrale Passwort-Verwaltung und das Single Sign-on – der Nutzer meldet sich einmal an und hat Zugriff auf alle relevanten Dienste.

SchulConnect etwa integriert ein solches Mail-Modul in eine zentrale Nutzerverwaltung, sodass Schulträger Accounts schulübergreifend verwalten können – ohne dass jede Schule eine eigene IT-Abteilung benötigt. Alle Daten liegen auf deutschen Servern, und der AVV ist Bestandteil des Vertrags. Das ist kein Alleinstellungsmerkmal, aber ein Beispiel dafür, wie konforme Infrastruktur in der Praxis aussehen kann.

Fazit und Handlungsempfehlung

E-Mail ist keine Nebensache. In einer Schule fließen täglich sensible Daten über diesen Kanal – und das rechtliche Fundament dafür muss stimmen.

Wer heute handeln will, sollte drei Schritte priorisieren:

  1. Bestandsaufnahme: Welche E-Mail-Dienste werden an welchen Schulen genutzt? Gibt es AVVs? Liegen die Server in der EU?
  2. Richtlinie einführen: Dienstliche Kommunikation nur über dienstliche Accounts – verbindlich, nicht als Empfehlung.
  3. Infrastruktur konsolidieren: Wo möglich, eine zentrale Lösung für alle Schulen im Trägerverbund einführen, die technische und rechtliche Anforderungen gemeinsam erfüllt.

Datenschutz an Schulen ist kein bürokratisches Hindernis. Er schützt Kinder, Eltern und Lehrkräfte – und er ist längst geltendes Recht.

Weitere Beiträge

17. April 2026

Softwarelizenzmanagement an Schulen: Was IT-Verantwortliche wissen müssen

Schulen jonglieren täglich mit Dutzenden Softwarelizenzen - oft ohne klaren Überblick. Dieser Artikel erklärt, wie Lizenzmanagement an Schulen funktioniert, welche rechtlichen Pflichten bestehen und wie IT-Verantwortliche die Kontrolle behalten.

14. April 2026

Bring Your Own Device an Schulen: Chancen, Risiken und was IT-Verantwortliche wirklich beachten müssen

BYOD an Schulen klingt praktisch - doch private Geräte im Schulnetz bringen erhebliche Datenschutz- und Sicherheitsrisiken mit sich. Dieser Artikel erklärt, worauf IT-Verantwortliche und Schulträger bei der Einführung achten müssen.

10. April 2026

Netzwerksicherheit an Schulen: Schwachstellen erkennen, Risiken minimieren

Schulnetzwerke sind häufig schlecht gesichert und damit ein leichtes Ziel für Angreifer. Dieser Artikel erklärt die häufigsten Schwachstellen, welche Schutzmaßnahmen wirklich greifen und was IT-Verantwortliche an Schulen konkret tun können.

Alle Beiträge