DSFA: Wie Schulen die Folgen der Datenverarbeitung richtig dokumentieren

Datenschutz-Folgenabschätzung (DSFA) ist ein eher sperriger Begriff. Was die DSGVO aber im Kern beschreibt, ist sinnvoll und notwendig: es geht darum, die möglichen negativen Folgen einer Verarbeitung personenbezogener Daten einzuschätzen und zu dokumentieren. Schulen sind hier besonders gefordert.

Das Wichtigste in Kürze

• DSFA ist Pflicht: DSGVO Art. 35 fordert Datenschutz-Folgenabschätzungen bei risikoreicher Datenverarbeitung.
• Schulen besonders betroffen: Sie verarbeiten sensible Daten von Minderjährigen – ein hohes Schutzniveau ist gesetzlich gefordert.
• Digitalisierung erhöht das Risiko: Lernplattformen, Schulclouds und digitale Klassenbücher erweitern die Angriffsfläche.
• Dokumentation entscheidend: Risiken identifizieren, bewerten und Maßnahmen nachvollziehbar festhalten.
• Externe Hilfe verfügbar: Datenschutzberater unterstützen mit Workshops und Prüfungen.

Das EU-weite Gesetz zum Datenschutz, die Datenschutzgrundverordnung (DSGVO) beschreibt in Artikel 35 die Pflicht zur Durchführung einer Datenschutzfolgenabschätzung, sofern eine Datenverarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat. Aus den Erläuterungen zum Gesetz (Erwägungsgrund 75) geht des Weiteren hervor, dass der Gesetzgeber solche Risiken insbesondere dann sieht, wenn Daten von Kindern verarbeitet werden.

Schülerinnen und Schüler sind im Teenageralter immer mehr in den sozialen Medien unterwegs und geben vielfach freiwillig alle möglichen persönlichen Daten preis. Das entbindet Schulen und andere Bildungseinrichtungen als verantwortliche Stellen aber nicht davon, vor dem Einsatz von Software, in der Schülerdaten verarbeitet werden, die Risiken für die „betroffenen Personen“ zu erheben, zu bewerten und zu dokumentieren. Unter die „betroffenen Personen“ fallen hier u.a. die jungen Menschen, auf die sich die Daten beziehen.

DSFA als Schlüssel zur Datenschutzkonformität

Digitalisierung ist im Bildungswesen das Gebot der Stunde (Quelle: Adobe Stock/ Romolo Tavani)

Digitalisierung ist das Gebot der Stunde. Wenn Corona ein Gutes hatte, dann den Weckruf an das Bildungswesen, ihre Prozesse zu digitalisieren, sprich: Software einzusetzen, um schneller und ortsunabhängiger arbeiten zu können. Gleiches gilt auch für das Gesundheitswesen und die öffentliche Verwaltung.

Bei der Auswahl der „richtigen“ Software spielen viele Aspekte eine Rolle. Meist sind dies die Eignung für den Zweck, die Nutzerfreundlichkeit, der Preis. Aber eben auch die Sicherheit der Anwendung, der Umgang mit personenbezogenen Daten und die Zuverlässigkeit des Anbieters.

Dahingehend ist es für Bildungseinrichtungen und andere Organisationen nicht nur wichtig, technologisch auf dem neuesten Stand zu sein, sondern die relevanten rechtlichen Anforderungen, u.a. der DSGVO, zu erfüllen. Die DSFA ist gut geeignet, eine softwaregestützte Verarbeitung zu prüfen und dient zudem als Nachweis der Datenschutzverträglichkeit gegenüber Behörden und anderen Interessengruppen, wie beispielsweise den Eltern.

Allgegenwärtig, aber nicht unumstritten: Microsoft 365

Am Markt etablierte Produkte bieten gegenüber Nischenprodukten oder „selbstgestrickten“ Lösungen den Vorteil, dass Informationen, die für eine DSFA benötigt werden, meist bereits vorhanden sind. Zudem fällt hier der Anpassungs- und Schulungsbedarf häufig niedriger aus. Standardlösungen wie die Office-Produkte von Microsoft sind nicht zuletzt deshalb attraktiv, weil sie jeder mehr oder weniger aus dem privaten oder beruflichen Umfeld kennt.

Allerdings erfolgt mit dem Einsatz der Produkte auch eine Prägung der Nutzer auf die dahinterstehende Marke, was ein dauerhafter Kritikpunkt am Einsatz solcher Lösungen an Schulen ist. Auch bemängeln manche Datenschutzaufsichtsbehörden eine aus ihrer Sicht nicht ausreichende Transparenz über die Datenverwendung durch Microsoft und Dritte.

Dennoch fällt die Wahl nicht selten auf Microsoft 365, da die Software eine Vielzahl von Funktionen bietet, weitgehend stabil läuft und beim Anwender relativ wenig technisches Wissen voraussetzt.

Knowhow ist gefragt

msecure hilft dabei, Microsoft 365 sicher zu nutzen (Quelle: Adobe Stock/ IB Photography)

Um die umfangreiche Funktionalität in Microsoft 365 auch sicher und mit verringerten Datenschutzrisiken nutzen zu können, müssen die richtigen Einstellungen gesetzt werden. Dies stellt Schulen mitunter vor größere Herausforderungen, da das Wissen um datenminimierende Konfigurationen meist nicht vorhanden ist.

Wir bei msecure haben das nötige Knowhow und bieten gezielt Schulungen und Seminare an, um den Einsatz von Microsoft 365 zu begleiten. In einem speziell auf Schulen zugeschnittenen DSFA-Basis-Workshop geben wir einen Überblick über die Module und erläutern, was sich sinnvoll einsetzen lässt und was wegen möglicher Sicherheitsrisiken deaktiviert werden sollte. Darüber hinaus lernen Schulverantwortliche, den Aufwand für die Anpassungen einzuschätzen und welche Aktivitäten der Datenverarbeitung für die DSFA relevant sind. Anschließend erhalten sie einen Bericht mit Empfehlungen zur Gestaltung der M365-Umgebung, um entsprechende Konfigurationen vornehmen oder bei ihrem Dienstleister beauftragen zu können.

Darüber hinaus bietet msecure auch einen Tenant-Check zur Bewertung, Begutachtung und Prüfung der M365-Konfiguration sowie eine umfassende Datenschutz-Folgenabschätzung mit allen erforderlichen Unterdokumenten und einer Risikobewertung an.

Fakt: Laut Bitkom sehen 62 Prozent der deutschen Unternehmen die DSGVO als Wettbewerbsnachteil.

Fakt: Jedes dritte deutsche Unternehmen hat laut Bitkom seit Inkrafttreten der DSGVO mindestens eine Datenpanne gemeldet.

Fazit

Digitalisierung an Schulen ist wichtig. Damit bei der Auswahl von Software und Gestaltung von Prozessen den Belangen der betroffenen Personen berücksichtigt werden und keine untragbaren Risiken für sie übersehen werden, ist eine DSFA notwendig. Insbesondere bei komplexen Softwareprodukten wie Microsoft 365 müssen Schulen auf datenschutzfreundliche Einstellungen achten. IT-Sicherheitsspezialisten wie msecure helfen Schulen mit Workshops und Prüfungen dabei, ihre Datenschutz-Pflichten gut zu erfüllen.

Key Facts auf einen Blick

Rechtsgrundlage: DSGVO Artikel 35 – Datenschutz-Folgenabschätzung

Pflicht bei: Systematischer Verarbeitung sensibler Daten, besonders von Minderjährigen

Betroffene: Alle Schulen, die digitale Tools zur Datenverarbeitung einsetzen

Kernschritte: Risiken identifizieren → bewerten → Maßnahmen festlegen → dokumentieren

Besondere Kategorie: Daten von Minderjährigen genießen höchsten DSGVO-Schutz

Häufige Fragen

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Eine DSFA ist ein strukturiertes Verfahren zur Bewertung der Risiken, die eine geplante Datenverarbeitung für die Rechte und Freiheiten betroffener Personen birgt. Die DSGVO schreibt sie vor, wenn die Verarbeitung voraussichtlich ein hohes Risiko darstellt.

Wann müssen Schulen eine DSFA durchführen?

Immer wenn personenbezogene Daten von Schülern systematisch und umfangreich verarbeitet werden – etwa bei der Einführung digitaler Lernplattformen, Schulclouds, digitaler Klassenbücher oder Video-Unterrichtssysteme. Da Schülerdaten als besonders schützenswert gelten, ist die Schwelle niedrig.

Was passiert, wenn keine DSFA durchgeführt wird?

Schulen und Schulträger riskieren Bußgelder nach DSGVO. Wichtiger noch: Bei einem Datenschutzvorfall ohne vorherige DSFA fehlt der Nachweis, dass Risiken bewertet und Maßnahmen ergriffen wurden. Das verschärft die Haftung erheblich.

Welche Risiken bestehen bei Schuldaten konkret?

Identitätsdiebstahl bei Minderjährigen, unbefugter Zugriff auf Noten und Leistungsdaten, Mobbing durch geleakte persönliche Informationen, Profiling durch Lernplattform-Anbieter und der unkontrollierte Datenabfluss an Drittstaaten bei Cloud-Diensten.

Wer kann Schulen bei der DSFA unterstützen?

Externe Datenschutzberater, die behördlichen Datenschutzbeauftragten und spezialisierte Beratungsfirmen wie msecure bieten Workshops, Muster-DSFAs und Prüfungen an. Auch die Landesdatenschutzbehörden stellen Orientierungshilfen bereit.

Weiterführende Lektüre im Netzwerk

DORA und IT-Compliance: DORA im Finanzsektor (Security Today)

Cloud-Datenschutz für Bildungseinrichtungen: cloudmagazin.com

Digitalisierung und Datenschutz im Mittelstand: mybusinessfuture.com

Verwandte Artikel

• DSGVO 2026: Was sich ändert und worauf Unternehmen achten müssen
• Besser als Theorie: Wie mit Phishing-Simulationen das Sicherheitsbewusstsein von Mitarbeitern wächst
• So können Cyberangriffe auf kritische Infrastrukturen vermieden werden

Quelle Titelbild: Adobe Stock / Gorodenkoff

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor Benedikt Langer