In der Schule werden regelmäßig personenbezogene Daten über Schülerinnen und Schüler sowie Eltern verarbeitet. Dies passiert sowohl in der Schulverwaltung (Schülerakte, Schulverwaltungssoftware, schulorganisatorische Belange etc.) als auch durch Lehrkräfte (persönliche Notizen über das Leistungs- und Sozialverhalten, Noten, Zeugnisentwürfe, Kontaktlisten etc.). Aus Datenschutzsicht ist es dabei unerheblich, ob die Daten digital oder in Papierform vorliegen.

Die Datenschutzgrundverordnung (DSGVO - EU-Verordnung 2016/679) versteht unter Verarbeitung „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten...". Hierzu gehört auch das Löschen oder die Vernichtung (Artikel 4 Nr. 2).

Verarbeitung passiert kontinuierlich über die gesamte Verweildauer von SuS, bspw. bei der Aufnahme an der Schule, Versetzungen, Abschlussprüfungen und im regulären Schulbetrieb. Hinzu kommen weitere Dokumente, beispielsweise im Rahmen von schulärztlichen Untersuchungen, bei inklusiv beschulten SuS oder im Rahmen des Nachteilsausgleichs. Alle Dokumente mit Relevanz für das Schulverhältnis müssen ordnungsgemäß abgelegt werden - bei aktiven SuS üblicherweise in der Schulverwaltung (Sekretariat), nach Entlassung in einem zur Schule gehörenden Aktenaufbewahrungsraum. Damit Informationen schnell und vollständig gefunden werden können und die aus der DSGVO hervorgehenden Rechenschafts- und Dokumentationspflichten erfüllt sowie die Betroffenenrechte nach Artikel 15 - 22 DSGVO gewahrt werden können, muss die Schule ein datenschutzkonformes Speicher- und Löschkonzept vorweisen und umsetzen.

Der Grundsatz für die Löschung/Aufbewahrung von personenbezogenen Daten lautet: "Daten sind zu löschen, sofern Sie für die konkrete Aufgabenerfüllung nicht mehr erforderlich sind, es sei denn, eine gesetzliche Vorschrift schreibt eine längere Aufbewahrungszeit/längere Löschfrist vor." (Artikel 5 Abs. 1 Buchst. e DSGVO sowie § 10 Abs. 1 Satz 6 SchulDSVO).

Für die Schulverwaltung regelt der § 10 der Schuldatenschutzverordnung die besonderen Löschfristen abschließend. Da für die verschiedenen in Schule anfallenden Unterlagen auch unterschiedliche Löschfristen festgelegt sind, bedarf es einer daran angepassten Schriftgutverwaltung, um bspw. am Schuljahresende einfach und schnell Unterlagen sortiert nach ihren Löschfristen in den Aktenaufbewahrungsraum zu überführen bzw. dort gelagerte Unterlagen dem zuständigen Archiv zur Übernahme anzubieten bzw. diese, bei Verzicht auf das Anbieten (Klärung mit dem zuständigen Kommunalarchiv im Vorwege), datenschutzkonform zu löschen (siehe dieser FAQ-Eintrag). Ein mögliches Verfahren und weitere Informationen zur Schriftgutverwaltung sind der beigefügten Datei zu entnehmen.

Für Lehrkräfte erfolgt die Regelung durch den § 15 SchulDSVO. Hiernach sind - dem Grundsatz der DSGVO folgend - Unterlagen ebenfalls unverzüglich, datenschutzkonform zu löschen, sobald sie für die konkrete Aufgabenerfüllung nicht mehr erforderlich sind. Einzige Ausnahme sind Unterlagen, die zur Dokumentation von Leistungsbewertungen in gerichtlichen Verfahren notwendig sein können. Diese sind noch 2 Jahre über das Schuljahresende hinaus aufzubewahren.

Zugehörige Dateien
→ Hinweise zur Schriftgutverwaltung - Muster für ein Ablage- und Löschkonzept [PDF]

§ 10 SchulDSVO schreibt vor, dass personenbezogene Schülerdaten zu bestimmten Fristen zu vernichten sind. Die Vernichtung papierener Unterlagen hat dabei so zu erfolgen, dass Unbefugte keine Kenntnis von diesen Daten erlangen können. Eine Entsorgung über Altpapiercontainer ist nicht zulässig. Vor einer Vernichtung sind allerdings alle Unterlagen dem zuständigen Archiv zur Übernahme anzubieten (§ 10 SchulDSVO).

Für eine datenschutzgerechte Vernichtung dieser Unterlagen gibt es folgende Möglichkeiten:

1. Beauftragung eines nach DIN 66399 zertifizierten Betriebes, der sich auf die Vernichtung solcher Unterlagen spezialisiert hat. Diese Firmen stellen sicher, dass die Unterlagen vor ihrer Vernichtung (Verbrennung, Zerkleinerung u. ä.) nicht durch eigene Mitarbeiter oder andere unbefugte Dritte zur Kenntnis genommen werden können. Hierbei handelt es sich datenschutzrechtlich um Auftragsverarbeitung. Hierfür sind die Vorgaben des Art. 28 DSGVO zu beachten. Die Auftragsverarbeitung verlangt eine sorgfältige Auswahl des Auftragnehmers sowie die schriftliche Festlegung der Art und Weise der Aktenvernichtung und deren Kontrolle.
2. Vernichtung der Unterlagen durch eigene Mitarbeiterinnen oder Mitarbeiter der Schule oder des Schulträgers mittels vorhandener Papierschredder. In diesem Falle muss sichergestellt sein, dass bis zur endgültigen Vernichtung zwischengelagerte Unterlagen nicht für Unbefugte zugänglich sind und die Schredder die erforderliche Schutzklasse und Sicherheitsstufe nach DIN 66399 erfüllen. Empfehlung: Schutzklasse 2, Sicherheitsstufe 4-5.
3. Vernichtung über vom Schulträger bereitgestellte Sammelcontainer ("Silberlinge").

In jedem Falle ist die Zuständigkeit für die Aktenvernichtung innerhalb der Schule durch die Schulleitung schriftlich zu regeln (wer sortiert die zu vernichtenden Unterlagen aus, wer erteilt den Auftrag zur Vernichtung, wer kontrolliert die ordnungsgemäße Durchführung).