Wer eine Schulwebsite betreibt, trägt Verantwortung. Nicht nur für den Inhalt, sondern auch dafür, dass die Seite rechtlich auf sicherem Boden steht. Datenschutz auf der Schulhomepage ist dabei eines der Themen, das die meisten Schulleitungen zwar irgendwie auf dem Schirm haben. Aber wirklich durchdrungen? Eher selten.
Das ist kein Vorwurf. Mir ist bewusst, dass eine Schulleitung andere Dinge zu tun hat als sich durch DSGVO-Texte zu arbeiten. Trotzdem lässt sich das Thema nicht ignorieren: Eine Schulwebsite ist keine rechtsfreie Zone. Als öffentliche Einrichtung steht man unter besonderer Beobachtung.
Dieser Artikel gibt dir einen Überblick darüber, was von einer Schulwebsite datenschutzrechtlich verlangt wird und welche Stolperstellen ich in der Praxis immer wieder antreffe. Ich erkläre dabei auch, wie ich das Thema angehe, wenn ich eine Schulhomepage aufbaue oder überarbeite, nämlich: Ich versuche von Anfang an, eine Website so zu bauen, dass diese Probleme erst gar nicht entstehen.
Eines vorab, weil es wichtig ist: Dieser Artikel ersetzt keine Rechtsberatung. Für konkrete Fragen ist euer Datenschutzbeauftragter die richtige Anlaufstelle.
Die 9 häufigsten Baustellen auf Schulwebsites
1. Schülerfotos – der Dauerbrenner
Das ist das Thema, bei dem die meisten Schulen ins Schwitzen geraten. Und ehrlich gesagt zu Recht.
Fotos von Schülerinnen und Schülern dürfen nur mit ausdrücklicher Einwilligung veröffentlicht werden. Die Einwilligung muss von den Erziehungsberechtigten erteilt werden, solange die Kinder minderjährig sind. Das gilt für das offizielle Klassenfoto genauso wie für das Schnappschuss-Bild vom Sportfest. Was viele dabei unterschätzen: Die Einwilligung ist kein einmaliges Abhaken auf einem Formular zu Schuljahresbeginn. Sie muss dokumentiert sein, freiwillig gegeben worden sein – und sie kann jederzeit widerrufen werden.
Das klingt aufwändig, weil es aufwändig ist. Wenn eine Schulhomepage voller Fotos steckt, aber kein System dahintersteckt – wer hat wann für wen eine Einwilligung gegeben, und wie lässt sich ein Foto bei Widerruf schnell entfernen? – dann ist das ein echtes strukturelles Problem, kein kosmetisches.
Beim Aufbau einer Schulwebsite denke ich deshalb von Anfang an mit: Welche Fotos werden wo eingesetzt, wie werden sie verwaltet, und wie lässt sich der Prozess so gestalten, dass er im Alltag funktioniert und nicht nur am Tag des Website-Launches.
MODERNE SCHULWEBSEITEN
Neue Schulhomepage? Ganz ohne Stress.
Ich unterstütze Schulen dabei, ihre Website modern und übersichtlich zu gestalten. Mit unverbindlicher Beratung vorab und Schulung für die spätere Pflege.
2. Datenschutzerklärung – vorhanden heißt nicht aktuell
Jede Website braucht eine Datenschutzerklärung. Das wissen mittlerweile die meisten. Was viele nicht auf dem Schirm haben: Sie muss wirklich widerspiegeln, was auf der Website tatsächlich passiert.
Eine Datenschutzerklärung von 2018, die seither nicht angefasst wurde, ist im Zweifel genauso problematisch wie gar keine. Wenn zwischendurch ein Kontaktformular dazugekommen ist, externe Videos eingebettet wurden oder ein neues Plugin läuft, muss das in die Datenschutzerklärung aufgenommen werden. Und ein generischer Mustertext oder eine Vorlage, die einfach hineinkopiert wurde, ohne dass jemand nachgeschaut hat ob sie überhaupt zur eigenen Website passt, hilft im Ernstfall nicht weiter.
Wenn ich eine Schulhomepage aufbaue, wird die Datenschutzerklärung auf die tatsächlich eingesetzten Dienste abgestimmt. Meistens erst dann, wenn die gewünschten Inhalte, Funktionen usw. feststehen.
Ein weiteres wichtiges Thema: die Barrierefreiheit. Was rechtlich und technisch gilt, erfährst du im Beitrag Barrierefreie Schulhomepage – was Schulleitungen wissen müssen.
3. Cookie-Banner – oder besser: gar nicht erst brauchen
Hier sage ich mal etwas, das vielleicht überrascht: Mein eigentliches Ziel beim Aufbau einer Schulwebsite ist es, dass ein Cookie-Banner gar nicht notwendig wird.
Klingt seltsam? Vielleicht, und es wundert mich gar nicht, schließlich sieht man diese Dinge überall. Ist aber eigentlich sehr logisch. Ein Cookie-Banner ist kein Selbstzweck – er ist die Konsequenz davon, dass man Dienste einsetzt, die nicht-technisch-notwendige Cookies setzen. Tracking-Tools, eingebettete Videos, Social-Media-Widgets. Wer diese Dienste gar nicht erst einsetzt, braucht auch keinen Banner und spart sich nebenbei ein nerviges Pop-up.
Für eine Schulhomepage, deren Ziel Kommunikation und Information ist (und nicht eine Marketing-Wirkung zu erzielen) , ist das oft der realistischere Weg: einfach gebaut, wenig externe Abhängigkeiten, kein Banner notwendig.
Natürlich gibt es Fälle, wo ein Banner trotzdem nötig ist. Zum Beispiel wenn die Schule bestimmte Tools unbedingt einsetzen möchte. Dann gibt es gute Lösungen dafür. Aber der erste Gedanke sollte sein: Brauchen wir das überhaupt?
4. Externe Inhalte – YouTube, Google Maps und die stille Datenweitergabe
Ein YouTube-Video vom letzten Schulfest auf der Homepage klingt doch gut, oder? Das Problem: Sobald dieses Video eingebettet ist, werden beim Seitenaufruf automatisch Daten an Google/YouTube übertragen – unabhängig davon, ob jemand das Video überhaupt abspielt. Das passiert still im Hintergrund, ohne dass der Besucher dem zugestimmt hat.
Dasselbe gilt für Google Maps zur Anfahrt.
Es gibt technische Lösungen dafür – sogenannte Content-Blocker, die externe Inhalte erst nach aktiver Bestätigung laden. Aber ich frage vorher lieber: Ist das Video wirklich nötig? Ein Rückblick auf das Schulfest lässt sich auch gut mit Fotos erzählen – ohne YouTube-Einbindung, ohne Datenschutzproblem, und nebenbei auch zugänglicher für Menschen, die auf Untertitel angewiesen wären. Denn Videos ohne Untertitel sind ein eigenes Barrierefreiheitsthema.
Für die Anfahrt: Es gibt datenschutzfreundliche Kartendienste – zum Beispiel OpenStreetMap oder Dienste des Bundes – die sich problemlos nutzen lassen, ohne Daten an US-Konzerne zu übertragen. Manchmal reicht auch ein einfacher Screenshot der Karte mit Quellenangabe. Das klingt simpel, ist simpel und meistens ausreichend. Dazu ein externer Link, wenn man unbedingt möchte und die Sache ist sauber erledigt.
Das ist übrigens meine generelle Haltung beim Aufbau von Schulwebsites: Ich versuche, Seiten so einfach wie möglich zu bauen – wenige externe Abhängigkeiten, leicht zu pflegen, wenig Stolperfallen. Das ist nicht immer möglich oder gewünscht; manche Schulen möchten bestimmte Features, und dann setzen wir sie so datenschutzfreundlich um wie es geht. Aber der Ausgangspunkt ist immer: Was brauchen wir wirklich?
5. Bilder von fremden Quellen – die unterschätzte Abmahngefahr
Ein Thema, das mit DSGVO direkt nichts zu tun hat, aber auf Schulwebsites regelmäßig für Probleme sorgt: Urheberrecht.
Eine Lehrkraft sucht schnell ein passendes Bild bei Google, lädt es herunter und stellt es auf die Website. Das passiert mit besten Absichten, kann aber trotzdem teuer werden. Denn wer fremde Bilder oder Texte ohne Erlaubnis veröffentlicht, riskiert Abmahnungen und Schadensersatzansprüche.
Das Problem betrifft nicht nur die Bilder im engeren Sinne. Vorsicht geboten ist auch bei eingescannten Zeitungsartikeln, die oft gerne in eigene Online-Präsenz der Schule eingebunden werden. Hier sollte man vorher mit dem Verlag klären, ob eine solche Veröffentlichung erfolgen darf (und bitte dabei noch eine Sache bedenken: eingescannte Texte sind nicht barrierefrei).
Auch vermeintlich „freie“ Bilder unter Creative-Commons-Lizenzen sind keine Freifahrtkarte: Je nach Lizenz muss der Urheber namentlich genannt werden, kommerzielle Nutzung kann ausgeschlossen sein, oder Bearbeitungen sind nicht erlaubt.
Die einfachste Lösung: eigene Fotos verwenden. Wo das nicht möglich ist, gibt es seriöse Quellen für wirklich freie Bilder wie Unsplash oder Pixabay. Wenn ich eine Schulwebsite aufbaue, verwende ich von Anfang an lizenzrechtlich sauberes Material und weise die Schule darauf hin, was sie beim späteren Pflegen der Seite beachten sollte.
6. Vertretungspläne online – ein oft übersehenes Datenschutzproblem
Viele Schulen stellen ihren Vertretungsplan direkt auf die Website oder binden ihn über ein externes Portal ein. Was praktisch klingt, kann datenschutzrechtlich heikel werden: Wenn ein Vertretungsplan konkrete Namen von Lehrkräften enthält – wer welche Stunde übernimmt, wer krank ist – dann sind das personenbezogene Daten. Und die dürfen ohne Einwilligung der betroffenen Personen nicht einfach öffentlich ins Netz gestellt werden.
Das gilt auch dann, wenn der Plan nur für Schülerinnen, Schüler und Eltern zugänglich sein soll – denn „nur für bestimmte Personen sichtbar“ ist auf einer öffentlichen Website technisch schwer zu garantieren.
Die Lösung kann ein passwortgeschützter Bereich sein, oder ein Portal das nur nach Anmeldung zugänglich ist. Auch das ist ein Punkt, den ich beim Aufbau einer Schulwebsite von Anfang an mitgedacht werden sollte.
7. Lehrernamen und Fotos von Lehrkräften – was die DSGVO erlaubt
Darf der vollständige Name einer Lehrkraft auf der Schulwebsite stehen? Und ein Foto dazu?
Namen und Fotos sind personenbezogene Daten. Bei Schulleitungen und Personen, die offiziell nach außen wirken, ist eine Veröffentlichung in der Regel zulässig – aber auch sie sollten informiert sein und keine Einwände haben. Bei anderen Lehrkräften gilt: Einwilligung einholen, dokumentieren und im Zweifel lieber nur den Namen ohne Foto.
Einige Schulen haben dafür eine schöne Lösung für sich gefunden: sie lassen die Kinder die Portraits der Lehrkräfte zeichnen und veröffenlichen diese Bilder statt Fotos.
8. Impressum – kurz, aber mit Fallstricken
Eine Schulwebsite braucht ein vollständiges Impressum. Das klingt selbstverständlich, ist es aber nicht immer. In der Praxis fehlen regelmäßig: die vertretungsberechtigte Person (z. B. Schulleitung), der zuständige Schulträger, oder eine direkt erreichbare Kontaktmöglichkeit.
Ein häufiger Fehler: das Impressum wurde vor Jahren erstellt und seitdem nie aktualisiert.
Noch eine wichtige Sache: Das Impressum muss von jeder Unterseite der Website aus leicht erreichbar sein. Die beste Lösung dafür ist ein Link in der Fußzeile, die auf jeder Unterseite gleich ist.
9. Kontaktformular
Fast jede Schulwebsite hat ein Kontaktformular. Wer es nutzt, übermittelt personenbezogene Daten. Das muss technisch sicher ablaufen (SSL-Verschlüsselung ist Pflicht), und in der Datenschutzerklärung muss stehen, was mit diesen Daten passiert und wie lange sie gespeichert werden.
Direkt beim Formular gehört außerdem ein kurzer Hinweis mit Link zur Datenschutzerklärung.
Was das für euch bedeutet
Wenn ich eine Schulhomepage aufbaue, sind das alles Punkte, über die ich die Verantwortlichen informiere, wenn diese oder jene Funktion gewünscht wird. So kann man sie von Anfang an mitbedenken und prüfen, ob das die richtige Lösung ist oder man sich doch für einen anderen Weg entscheidet, der vielleicht in der Zunkuft die Pflege der Website einfacher macht.
Das Ziel dabei ist immer dasselbe: eine Website, die funktioniert, die sich leicht pflegen lässt, und bei der man nicht ständig das Gefühl hat, auf dünnem Eis zu laufen.
Und klar – mit der Zeit wachsen die Webseiten, bekommen neue Inhalte und manchmal auch Funktionen. Wichtig dabei ist, die Datenschutzerklärung entsprechend anzupassen, denn sie gilt nicht ein für alle Mal.
Wenn du das Gefühl hast, dass bei eurer aktuellen Schulhomepage einiges davon nicht stimmt, melde dich gerne. Wir schauen uns gemeinsam an, wo ihr steht.
Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Bei konkreten Datenschutzfragen ist euer schulischer oder behördlicher Datenschutzbeauftragter die richtige Anlaufstelle.
