Gmail für Schüler: Warum das ein DSGVO-Problem ist

Das Problem in der Praxis

In vielen Schulen ist es gängige Praxis: Schülerinnen und Schüler erhalten Google-Konten, nutzen Gmail für die Schulkommunikation und arbeiten in Google Docs. Die Google Workspace for Education-Plattform ist einfach zu bedienen, kostenlos und verbreitet. Aus datenschutzrechtlicher Sicht ist dieser Ansatz jedoch erheblich problematisch – besonders wenn es um minderjährige Schüler geht.

Warum US-Server für Minderjährige nach DSGVO problematisch sind

Die DSGVO erlaubt die Übermittlung personenbezogener Daten in Drittländer nur unter bestimmten Bedingungen. Für die USA galten bis 2023 keine angemessenen Datenschutzgarantien im Sinne der DSGVO, was der EuGH mit den Urteilen Schrems I (2015) und Schrems II (2020) festgestellt hatte. Mit dem EU-US Data Privacy Framework (2023) wurde zwar ein neuer Rahmen geschaffen, dieser ist jedoch weiterhin juristisch umstritten.

Für Schulen kommt ein weiteres Problem hinzu: Bei Minderjährigen gelten nach Art. 8 DSGVO besondere Anforderungen an die Einwilligung. Die Einwilligung muss von den Erziehungsberechtigten erteilt werden – und sie muss freiwillig sein. Eine Einwilligung, die Voraussetzung für die Teilnahme am Schulunterricht ist, gilt juristisch nicht als freiwillig.

Was der Bayerische Landesbeauftragte für Datenschutz (BayLfD) sagt

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat sich mehrfach klar positioniert: Google Workspace for Education ist in der Standardkonfiguration nicht DSGVO-konform einsetzbar. Konkrete Kritikpunkte betreffen die Datenverarbeitung zu eigenen Zwecken durch Google, fehlende Transparenz über Unterauftragnehmer sowie die mangelhafte Durchsetzbarkeit von Betroffenenrechten gegenüber einem US-amerikanischen Konzern.

Ähnliche Einschätzungen haben Datenschutzbehörden in Niedersachsen, Berlin und anderen Bundesländern getroffen. Die Rechtslage ist damit nicht ambivalent – sie ist eindeutig.

Was eine datenschutzkonforme Alternative leisten muss

Wer eine DSGVO-konforme Lösung für schulische E-Mail-Kommunikation sucht, muss auf folgende Punkte achten:

• Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO: Der Anbieter muss einen rechtssicheren AVV anbieten, der den gesetzlichen Anforderungen entspricht.
• Serverstandort in der EU / Deutschland: Die Datenspeicherung und -verarbeitung muss in Deutschland oder zumindest in der EU erfolgen, ohne Drittlandübermittlung.
• Keine Nutzung der Daten zu eigenen Zwecken: Der Anbieter darf die Daten der Schülerinnen und Schüler nicht für eigene Zwecke (Werbung, Profiling, Training von KI-Modellen) verwenden.
• Ende-zu-Ende-Verschlüsselung oder zumindest Transport- und Speicherverschlüsselung: Verschlüsselung ist kein Datenschutz-Ersatz, aber eine technisch-organisatorische Maßnahme im Sinne von Art. 32 DSGVO.
• Klare Löschfristen und Portabilität: Schülerdaten müssen nach Ende der Nutzung vollständig gelöscht werden können, und Daten müssen exportierbar sein.

Praktische Checkliste für Schulen und Schulträger

• Welche Dienste werden aktuell für schulische Kommunikation genutzt? (Inventur)
• Liegt für jeden Dienst ein gültiger AVV vor?
• Wo werden Daten verarbeitet und gespeichert?
• Wurden Erziehungsberechtigte über die Datenverarbeitung informiert?
• Gibt es eine Datenschutz-Folgenabschätzung (DSFA) für risikoreiche Verarbeitungen?
• Ist ein Datenschutzbeauftragter bestellt und eingebunden?

Der Wechsel auf eine datenschutzkonforme Lösung ist technisch umsetzbar und muss keine Komfortverluste bedeuten. Anbieter wie Mailbox.org, Ionos oder spezialisierte Schulplattformen auf Basis von Nextcloud oder Open-Xchange bieten funktionsreiche Alternativen mit deutschen Servern und rechtssicheren AVV.