Da virtuelles Lernen dank technologischer Fortschritte zu einem festen Bestandteil moderner Bildung geworden ist, rückt ein Thema immer stärker in den Fokus von Lehrkräften und Verantwortlichen: Datenschutz im Bildungsbereich.
Egal, ob du Unterricht über Zoom oder Microsoft Teams gibst, schulweite Videokonferenzen organisierst oder bewertest, welche Plattform du im kommenden Semester einsetzen möchtest – der Schutz von Schüler- und Studierendendaten ist längst keine Option mehr, sondern eine rechtliche und ethische Verpflichtung.
Diese Einführung in den Datenschutz im E-Learning soll dir als Lehrkraft, IT-Verantwortliche:r oder Entscheidungsträger:in dabei helfen, die rechtlichen Anforderungen und Best Practices zum Schutz von Lerndaten in virtuellen Klassenzimmern zu verstehen. Am Ende erfährst du zudem, wie eine Privacy-First-Plattform wie Digital Samba Schulen, Bildungseinrichtungen – und auch Unternehmen – dabei unterstützt, die höchsten Datenschutzstandards in der Online-Bildung zu erfüllen.
Inhaltsverzeichnis
Virtuelle Klassenzimmer verarbeiten grosse Mengen personenbezogener Daten – von Namen und E-Mail-Adressen von Schüler:innen bis hin zu Live-Video, Audio und geteilten Aufgaben. Diese Informationen gelten rechtlich als personenbezogene Daten (Personally Identifiable Information, PII) und werden häufig aufgezeichnet, gespeichert oder über Drittanbieter-Dienste übertragen.
Doch wo liegt das Risiko? Werden diese Daten unsachgemäss verarbeitet oder in nicht konformen Systemen gespeichert, können sie verloren gehen, weiterverkauft oder von unbefugten Dritten eingesehen werden. Die Folgen reichen von Vertrauensverlust und Imageschäden bis hin zu erheblichen rechtlichen Konsequenzen.
Über die reine Einhaltung gesetzlicher Vorgaben hinaus geht es beim Schutz von Lerndaten vor allem um Vertrauen – zwischen Lehrkräften, Eltern und Lernenden. Digitales Lernen ist gekommen, um zu bleiben. Umso wichtiger ist es, sichere, respektvolle und rechtlich einwandfreie Online-Lernumgebungen zu schaffen, in denen Risiken für Schüler:innen auf ein Minimum reduziert oder vollständig vermieden werden.
Schauen wir uns zwei zentrale Datenschutzgesetze an, die du kennen solltest: die DSGVO und FERPA (weiter unten näher erläutert).
Wenn deine Schule oder Institution in der EU tätig ist – oder Lernende unterrichtet, die ihren Wohnsitz in der EU haben –, musst du die DSGVO einhalten. Sie wurde im April 2016 vom Europäischen Parlament und dem Rat der Europäischen Union verabschiedet und trat nach einer zweijährigen Übergangsfrist am 25. Mai 2018 in Kraft.
Die DSGVO regelt, wie personenbezogene Daten innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) erhoben, gespeichert und verarbeitet werden dürfen.
Erhebe nur Daten, die wirklich notwendig sind.
Im virtuellen Unterricht bedeutet das, auf die Erfassung unnötiger personenbezogener Informationen – etwa Privatadressen oder Social-Media-Profile – zu verzichten, sofern sie nicht ausdrücklich für Bildungszwecke erforderlich sind. Ziel ist es, Risiken im Falle von Datenpannen zu reduzieren und eine Privacy-by-Design-Lernumgebung zu schaffen.
Nutze Daten ausschliesslich für klar definierte Bildungszwecke.
Werden Name und Bild eines Lernenden für die Teilnahme am Online-Unterricht erhoben, dürfen diese Daten nicht später ohne neue Einwilligung für Marketing-, Analyse- oder Profiling-Zwecke verwendet werden. Lehrkräfte und Einrichtungen müssen sicherstellen, dass Plattformen Lerndaten nicht für fremde kommerzielle Zwecke weiterverwenden.
Speichere Daten nicht länger als notwendig.
Virtuelle Klassenzimmer sollten klare Aufbewahrungsrichtlinien haben – zum Beispiel das automatische Löschen von Aufzeichnungen nach Ende eines Semesters. Eine unbegrenzte Speicherung erhöht das rechtliche Risiko und verstösst gegen die DSGVO, sofern kein fortbestehender Bildungszweck oder Nachweispflichten bestehen.
Erforderlich bei der Verarbeitung von Daten Minderjähriger.
Die DSGVO legt das Mindestalter für die Einwilligung in Online-Dienste grundsätzlich auf 16 Jahre fest. EU-Mitgliedstaaten dürfen dieses Alter jedoch auf mindestens 13 Jahre senken – viele haben sich für 13, 14 oder 15 Jahre entschieden.
Schulen müssen daher Altersprüfungen und Einwilligungsmechanismen umsetzen, insbesondere bei jüngeren Lernenden. In der Praxis bedeutet das häufig, dass nachweisbare, ausdrückliche Einwilligungen von Eltern oder Erziehungsberechtigten eingeholt werden müssen, bevor Kinder an aufgezeichneten oder datenverarbeitenden virtuellen Sitzungen teilnehmen dürfen.
Lernende (oder Eltern) können die Löschung ihrer Daten verlangen.
Verlässt ein:e Schüler:in die Schule oder nutzt die Plattform nicht mehr, müssen personenbezogene Daten wie Aufzeichnungen, Chatverläufe oder Zugangsdaten auf Anfrage gelöscht werden. Schulen und Anbieter müssen sicherstellen, dass ihre Systeme eine vollständige und zeitnahe Datenlöschung ermöglichen.
Obwohl die DSGVO EU-weit gilt, wird sie in der Praxis durch nationale Datenschutzbehörden (DPAs) umgesetzt und ausgelegt. Diese können branchenspezifische Leitlinien veröffentlichen – im Bildungsbereich besonders relevant, da hier mit sensiblen Daten von Kindern gearbeitet wird.
In Frankreich hat die Datenschutzbehörde CNIL spezielle Empfehlungen für Schulen herausgegeben, die vom Einsatz nicht in der EU gehosteter Plattformen abraten und öffentliche bzw. europäische Alternativen empfehlen.
In Deutschland, wo Bildung Ländersache ist, haben mehrere Bundesländer eigene Datenschutzvorgaben für virtuelle Klassenzimmer eingeführt. In einigen Fällen schliessen diese Regelungen den Einsatz von US-basierten Tools wie Zoom oder Google Meet an öffentlichen Schulen faktisch aus. Stattdessen werden Plattformen empfohlen, die vollständig in der EU gehostet sind und speziell für den Bildungsbereich entwickelt wurden.
Auch die spanische Datenschutzbehörde (AEPD) verfolgt einen ähnlichen Ansatz. Sie hat einen ausführlichen Leitfaden für Bildungseinrichtungen veröffentlicht, der unter anderem eine schriftliche Einwilligung der Eltern bei der Verarbeitung von Daten minderjähriger Lernender verlangt. Zudem betont die AEPD die Notwendigkeit einer klaren Dokumentation von Datenflüssen und eingesetzten Drittanbietern.
Diese Beispiele zeigen deutlich, dass es nicht ausreicht, sich lediglich an die grundlegenden Anforderungen der DSGVO zu halten. Bildungseinrichtungen müssen zusätzlich die Gesetze, Leitlinien und Empfehlungen ihrer nationalen und regionalen Aufsichtsbehörden genau berücksichtigen.
Wenn deine Schule oder Institution in den USA ansässig ist oder amerikanische Lernende unterrichtet, gilt zusätzlich FERPA. Dieses Gesetz schützt die Vertraulichkeit von Bildungsunterlagen und schränkt deren Weitergabe ohne Einwilligung der Eltern oder der Lernenden ein.
Nach FERPA kann eine Lehrkraft nicht beliebig irgendeine Plattform für den Unterricht nutzen. Es muss sichergestellt sein, dass Bildungsdaten geschützt sind und nicht ohne Genehmigung an Dritte weitergegeben werden.
Wichtig:
Auch wenn du eine Drittanbieter-Plattform einsetzt, bleibt deine Institution rechtlich verantwortlich, falls es zu einem Datenschutzverstoss kommt. Genau deshalb ist die Wahl der richtigen Videoplattform entscheidend – sie gibt dir rechtliche Sicherheit und sorgt für Ruhe im Alltag.
Eine der wichtigsten nationalen Abweichungen innerhalb der DSGVO betrifft das digitale Einwilligungsalter. Artikel 8 der DSGVO legt das Standardalter auf 16 Jahre fest, erlaubt den Mitgliedstaaten jedoch, dieses auf bis zu 13 Jahre zu senken. Das hat zu einem Flickenteppich unterschiedlicher Regelungen in der EU geführt.
In Deutschland und Irland liegt das Alter weiterhin bei 16 Jahren.
Frankreich hat es auf 15 Jahre festgelegt.
Länder wie Spanien, Italien und Österreich haben sich für 14 Jahre entschieden.
Schweden und Dänemark nutzen die niedrigste zulässige Grenze von 13 Jahren.
Das bedeutet: Ein:e Schüler:in, der oder die in einem Land selbst einwilligen darf, benötigt in einem anderen Land möglicherweise weiterhin die Zustimmung der Eltern.
Für Plattformen virtueller Klassenzimmer ist das eine rechtliche und organisatorische Herausforderung. Schulen müssen das jeweils geltende Einwilligungsalter kennen und sicherstellen, dass geeignete Mechanismen zur elterlichen Zustimmung vorhanden sind. Das gilt insbesondere dann, wenn personenbezogene Daten verarbeitet oder gespeichert werden – etwa Videoaufzeichnungen, Bildschirmfreigaben oder Chatverläufe.
Die rechtliche Lage rund um internationale Datenübermittlungen wurde durch das Urteil des Europäischen Gerichtshofs („Schrems II“) im Juli 2020 weiter verschärft. Mit der Aufhebung des EU-US Privacy Shield ist die Übertragung personenbezogener Daten in die USA – oder in andere Drittstaaten ohne Angemessenheitsbeschluss – nur noch mit zusätzlichen rechtlichen und technischen Schutzmassnahmen zulässig.
Das hat direkte Auswirkungen auf die in Bildungseinrichtungen eingesetzten Tools und Plattformen. In mehreren EU-Ländern wird der Einsatz ausserhalb der EU gehosteter Plattformen für schulische Zwecke inzwischen aktiv abgeraten oder sogar eingeschränkt. Daten innerhalb der EU zu hosten gilt nicht mehr nur als Best Practice, sondern zunehmend als rechtliche Notwendigkeit.
Beispiele dafür sind:
In einigen deutschen Bundesländern gelten „Souveränität-by-default“-Vorgaben, nach denen sämtliche Schülerdaten innerhalb Europas gespeichert werden müssen.
In Frankreich empfiehlt die CNIL, vorrangig lokale oder EU-basierte Lösungen statt globaler Tech-Plattformen einzusetzen.
Diese Entwicklungen spiegeln einen klaren Trend hin zu digitaler Souveränität und privacy-first Beschaffung im öffentlichen Bildungssektor wider.
Eine weitere zentrale DSGVO-Anforderung – insbesondere für Schulen und Hochschulen – ist die Durchführung einer Datenschutz-Folgenabschätzung (DSFA / DPIA), wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen birgt. Dazu zählen typische Funktionen virtueller Klassenzimmer wie Webcam-Nutzung, Sitzungsaufzeichnungen, Chatprotokolle oder Lernanalysen.
In der Praxis sind viele EU-Länder noch einen Schritt weiter gegangen und verlangen eine verpflichtende DSFA, bevor digitale Drittanbieter-Tools im Unterricht eingeführt werden. Italien, Spanien und Deutschland sind hier prominente Beispiele: Dort fordern Bildungsbehörden eine dokumentierte Bewertung von Datenschutzrisiken und entsprechenden Schutzmassnahmen, bevor eine Plattform freigegeben wird.
Zusätzlich müssen Schulen interne Verzeichnisse über Datenverarbeitungen führen, Einwilligungen dokumentieren und Verträge mit Drittanbietern sauber hinterlegen. Werden diese Pflichten vernachlässigt, drohen Massnahmen durch die zuständige Datenschutzbehörde – selbst dann, wenn es zu keiner konkreten Datenpanne gekommen ist.
Damit deine Videokonferenzlösung den heutigen Datenschutzanforderungen gerecht wird, sollte sie über bestimmte nicht verhandelbare Funktionen und Richtlinien verfügen:
Stelle sicher, dass alle Daten innerhalb der EU gespeichert werden und die Plattform vollständig DSGVO-konform ist. Viele gängige Tools speichern oder verarbeiten Daten in den USA, was unter EU-Recht zu rechtlichen Unsicherheiten führen kann.
Digital Samba nutzt eine zu 100 % EU-gehostete Infrastruktur. Wir arbeiten ausschliesslich mit europäischen Subprozessoren, und die Daten deiner Schüler:innen verlassen zu keinem Zeitpunkt Europa. Damit entfallen sämtliche Risiken im Zusammenhang mit grenzüberschreitenden Datenübertragungen.
Bildungsplattformen sollten das Nutzerverhalten weder tracken noch für Werbung oder Profiling nutzen. Meide Anbieter mit unklaren Datenschutzerklärungen oder Geschäftsmodellen, die auf Datenmonetarisierung basieren.
Digital Samba ist vollständig frei von Drittanbieter-Tracking, Cookies oder Analyse-Tools und wurde von Grund auf nach Privacy-by-Design-Prinzipien entwickelt. Teilnehmende benötigen zudem keinen Account und keine Registrierung, um am virtuellen Klassenzimmer teilzunehmen – dank eines tokenbasierten Zugangssystems.
Achte auf Funktionen, die eine klare Trennung zwischen Lehrkräften und Lernenden ermöglichen und detailliert steuern, wer Video, Audio oder Bildschirm freigeben darf. So bleibt die Leitung des virtuellen Klassenzimmers dort, wo sie hingehört.
Die Moderationsfunktionen von Digital Samba – darunter Warteräume, Knock to enter, Aufzeichnungssteuerung und Sitzungsrechte – unterstützen Lehrkräfte dabei, Ordnung und Privatsphäre in jeder Session zu wahren. Neben einer Vielzahl vordefinierter Rollen lassen sich auch individuelle Rollen und Berechtigungen konfigurieren.
Ob Aufzeichnung von Unterrichtsstunden oder Speicherung von Nutzerdaten – Einwilligungen müssen einfach erhoben, nachvollziehbar dokumentiert und verwaltet werden können.
Mit Digital Samba können Moderator:innen Aufzeichnungen gezielt aktivieren oder deaktivieren, erhalten Echtzeit-Einwilligungshinweise und stellen sicher, dass Teilnehmende von Anfang an über die Datenverarbeitung informiert sind. Zusätzlich stehen verschiedene Webhooks zur Verfügung – etwa „Recording ready for download“. Damit wird eine Aufzeichnung automatisch von unseren Servern auf deine Infrastruktur übertragen und anschliessend aus unserem Speicher gelöscht.
| Risiko | Auswirkung | So vermeidest du es |
|---|---|---|
| Nutzung von Plattformen, die Daten ausserhalb der EU speichern | Verstoss gegen die DSGVO, rechtliches Risiko | Wähle eine EU-gehostete, DSGVO-konforme Plattform |
| Aufzeichnungen ohne klare Einwilligung | Verstoss gegen DSGVO/FERPA, Vertrauensverlust | Hole immer eine informierte Einwilligung der Teilnehmenden ein |
| Wiederverwendung von Zugangslinks ohne Authentifizierung | Unbefugter Zugriff auf Sitzungen | Nutze authentifizierte Links oder eine „Klopfen zum Eintreten“-Funktion |
| Freie Bildschirmfreigabe für Lernende | Risiko unangemessener oder sensibler Inhalte | Aktiviere strikte Moderationsrollen für Lehrkräfte |
| Tracking des Lernverhaltens von Schüler:innen | Verletzung von Datenschutz- und Ethikgrundsätzen | Meide werbefinanzierte Plattformen oder Tools mit Nutzer-Tracking |
Egal, ob du im Klassenzimmer stehst oder im Serverraum arbeitest – mit diesen konkreten Massnahmen kannst du den Datenschutz in deinem virtuellen Lernumfeld sofort verbessern.
Frag dein IT-Team, welche Plattform eure Schule nutzt und wo die Daten gespeichert werden.
Vermeide nicht autorisierte Tools, etwa private Zoom- oder Teams-Accounts für den Unterricht.
Informiere Schüler:innen und Eltern immer vorab, wenn Sitzungen aufgezeichnet werden.
Deaktiviere Funktionen wie Chat, Bildschirmfreigabe oder Reaktionen, wenn sie nicht benötigt werden.
Melde dich nach dem Unterricht von gemeinsam genutzten Geräten ab und erinnere auch Lernende daran.
Prüfe die Auftragsverarbeitungsvereinbarung (AVV/DPA) und die Nutzungsbedingungen der Plattform.
Stelle sicher, dass alle Daten innerhalb der EU gespeichert werden und keine Drittanbieter-Tracker eingebunden sind.
Biete Schulungen und klare Leitfäden für Lehrkräfte zur sicheren Nutzung der Tools an.
Führe interne Verzeichnisse zu Datenverarbeitung, Zugriffen und Berechtigungen.
Überprüfe die eingesetzten virtuellen Klassenzimmer regelmässig auf Datenschutzkonformität und Updates.
Wenn du aktuell neue Plattformen evaluierst oder dein bestehendes Setup verbessern möchtest, ist Digital Samba konsequent auf Bildung und Datenschutz ausgelegt.
Das zeichnet uns aus:
100 % EU-gehostete Infrastruktur:
Keine Abhängigkeit von US-Clouds oder US-Services.
Vollständig DSGVO-konform, mit anpassbaren Einwilligungsprozessen und klarer rechtlicher Dokumentation, die jederzeit auf unserer Website einsehbar und downloadbar ist:
Rechtliche Informationen: https://www.digitalsamba.com/de/legal-information
Datenschutz & Datensicherheit: https://www.digitalsamba.com/de/data-privacy
Kein Daten-Tracking und keine Werbung von Drittanbietern.
Speziell für Bildung entwickelt:
Warteräume, Moderationsfunktionen, Rollen- und Klassenmanagement.
Leichtgewichtig und einfach integrierbar:
Ideal für die Einbindung in LMS, Schulportale oder bestehende Lernplattformen.
Volle Kontrolle über Aufzeichnungen und Teilnehmerrechte auf allen Ebenen.
Einfache Einrichtung und Nutzung – sowohl für Lehrkräfte als auch für Lernende.
Darüber hinaus unterstützt Digital Samba Integrationen mit gängigen Lernwerkzeugen und bietet einen aufzeichnungsfreien Modus für besonders sensible Einsatzbereiche, etwa in der psychologischen Beratung, im Mental-Health-Bereich oder in der Sonderpädagogik.
Lehrkräfte sind heute nicht mehr nur Wissensvermittelnde oder Expert:innen für Lehrpläne – sie tragen auch Verantwortung als Hüter:innen sensibler Daten und übernehmen im Online-Unterricht zusätzliche Pflichten.
Indem du auf datenschutzorientierte Tools setzt, Best Practices aktiv umsetzt und deine rechtlichen Verpflichtungen kennst, schaffst du eine sichere und wirkungsvolle Lernumgebung für alle Lernenden.
Digital Samba unterstützt Schulen, Hochschulen und Bildungseinrichtungen dabei, sichere und DSGVO-konforme virtuelle Klassenzimmer aufzubauen – ohne Kompromisse bei Bedienbarkeit oder Interaktivität einzugehen.
In der gesamten EU und im EWR gilt die Datenschutz-Grundverordnung (DSGVO). Sie legt fest, wie Schüler- und Studierendendaten erhoben, verarbeitet und gespeichert werden dürfen. Zusätzlich können einzelne Mitgliedstaaten eigene nationale Gesetze oder bildungsspezifische Vorgaben erlassen – insbesondere für öffentliche Schulen. Lokale Datenschutzbehörden veröffentlichen zudem häufig konkrete Empfehlungen oder Anforderungen für Plattformen virtueller Klassenzimmer.
Das hängt vom jeweiligen Land und vom Schultyp ab. Technisch ist die Nutzung möglich, sofern geeignete Schutzmassnahmen getroffen werden. In vielen EU-Ländern – insbesondere in Deutschland und Frankreich – wird der Einsatz US-gehosteter Plattformen jedoch aufgrund ungeklärter Fragen zu Datenübermittlungen und rechtlicher Risiken abgeraten oder eingeschränkt. Plattformen, die vollständig in der EU gehostet sind, gelten meist als die einfachere und rechtssichere Wahl.
Nach DSGVO liegt das Standardalter bei 16 Jahren, EU-Mitgliedstaaten dürfen es jedoch auf 13 Jahre senken. Beispiele:
Liegt ein:e Schüler:in unter der jeweiligen nationalen Altersgrenze, müssen Schulen eine nachweisbare Einwilligung der Eltern einholen, bevor Tools eingesetzt werden, die personenbezogene Daten verarbeiten – etwa Videokonferenzen, Chats oder Aufzeichnungen.
In den meisten Fällen: ja – insbesondere wenn minderjährige Lernende unterhalb des nationalen Einwilligungsalters teilnehmen. Die Einwilligung sollte ausdrücklich, informiert und dokumentiert erfolgen. Die eingesetzte Plattform sollte zudem klar anzeigen, wenn eine Aufzeichnung aktiv ist, und idealerweise eine Opt-out-Möglichkeit bieten.
Die DSGVO schreibt eine EU-Speicherung nicht explizit vor. Nach dem Schrems-II-Urteil vereinfacht eine EU-basierte Datenhaltung die Compliance jedoch erheblich. Viele Leitlinien im öffentlichen Sektor empfehlen oder verlangen inzwischen ausdrücklich EU-gehostete Plattformen. Lösungen mit Servern innerhalb der EU – wie Digital Samba – vermeiden die rechtlichen Komplexitäten internationaler Datenübermittlungen.
Achte auf folgende Punkte:
Idealerweise ist die Plattform speziell für Bildung entwickelt und nicht nur ein umfunktioniertes Business-Tool.
Digital Samba ist eine in Europa entwickelte Videokonferenzlösung für besonders datensensible Anwendungsfälle wie Bildung. Sie bietet:
Dank tokenbasiertem Zugang können Schüler:innen sicher teilnehmen, ohne Accounts anzulegen oder unnötige personenbezogene Daten preiszugeben.
Quellen