Schule verschickt Schülerdaten an die falschen Eltern
Was passiert, wenn eine Schule vertrauliche Schülerdaten an unbefugte Empfänger sendet — ein alltäglicher Fehler mit schwerwiegenden Folgen.
Das Szenario
An der Friedrich-Ebert-Gesamtschule in Wuppertal bereitet Schulsekretärin Monika Hartmann Ende Januar 2026 die Halbjahresinformationen für die Klasse 7b vor. Klassenlehrerin Frau Dr. Yilmaz hat ihr eine Excel-Tabelle mit den aktuellen Leistungsständen übergeben, die als Grundlage für die anstehenden Elternsprechtage dient. Die Tabelle enthält für alle 28 Schülerinnen und Schüler der Klasse:
- Vollständige Namen und Geburtsdaten
- Noten in allen Fächern des laufenden Halbjahres
- Bemerkungen zum Arbeits- und Sozialverhalten
- Dokumentierte Fehlzeiten mit Angabe, ob entschuldigt oder unentschuldigt
- Förderempfehlungen und Hinweise auf diagnostizierte Lese-Rechtschreib-Schwächen (LRS) sowie ADHS bei vier Schülerinnen und Schülern
- Kontaktdaten der Erziehungsberechtigten (Telefonnummern, E-Mail-Adressen, Anschriften)
Frau Hartmann soll die Tabelle an die Eltern des Schülers Maximilian Schäfer senden, dessen Mutter am Vortag telefonisch um die Unterlagen für den Elternsprechtag gebeten hat. Im E-Mail-Programm der Schule tippt Frau Hartmann „Schäfer" in das Empfängerfeld. Die Autovervollständigung schlägt zwei Einträge vor: „Andrea Schäfer" (Maximilians Mutter) und „Andreas Schäfer" (Vater eines Schülers aus der 9a). Frau Hartmann wählt versehentlich den falschen Eintrag und verschickt die vollständige Klassenliste der 7b — nicht nur die Daten von Maximilian — als E-Mail-Anhang an Andreas Schäfer.
Andreas Schäfer öffnet die Datei am Abend, erkennt den Fehler und informiert zunächst niemanden. Stattdessen erzählt er beim Elternstammtisch am folgenden Wochenende von den „interessanten Informationen" in der Tabelle. Innerhalb weniger Tage wissen mehrere Eltern aus der Schulgemeinschaft, welche Kinder Förderbedarf haben, welche Schüler durch unentschuldigte Fehlzeiten auffallen und welche Familien unter welcher Adresse wohnen. Eine Mutter, deren Sohn mit der Diagnose ADHS in der Liste auftaucht, erfährt von dem Vorfall durch eine andere Mutter auf dem Schulhof.
Sie erstattet am 8. Februar 2026 eine DSGVO-Beschwerde bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.
Die Risiken
Der Fehlversand offenbart gleich mehrere systemische Schwachstellen im Umgang mit personenbezogenen Daten an Schulen.
Besonders schützenswerte Daten: Die verschickte Tabelle enthält Gesundheitsdaten im Sinne des Art. 9 DSGVO — namentlich die Diagnosen LRS und ADHS. Diese Daten unterliegen einem erhöhten Schutzniveau. Ihre Offenlegung gegenüber Unbefugten stellt einen besonders schwerwiegenden Datenschutzverstoß dar, der erhebliche soziale Folgen für die betroffenen Kinder haben kann: Stigmatisierung, Mobbing und Ausgrenzung.
E-Mail als unsicherer Kanal: Unverschlüsselte E-Mails bieten keinerlei Schutz gegen Fehlversand, Weiterleitung oder Abfangen. Einmal versendet, ist eine E-Mail nicht mehr rückholbar. Die Schule hat keine Möglichkeit, den Zugriff auf den Anhang nachträglich einzuschränken oder zu widerrufen.
Autovervollständigung als Risikofaktor: Die automatische Vervollständigung von E-Mail-Adressen ist eine der häufigsten Ursachen für Fehlversand in Organisationen. Ohne zusätzliche Bestätigungsschritte reicht ein einziger Klick, um vertrauliche Daten an den falschen Empfänger zu senden.
Keine Zugriffskontrolle: Die gesamte Klassenliste wurde versendet, obwohl nur die Daten eines einzelnen Schülers angefragt waren. Es gibt kein technisches System, das den Zugriff auf die tatsächlich benötigten Daten beschränkt. Das Prinzip der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO wurde grob verletzt.
Unkontrollierte Weiterverbreitung: Sobald die Daten den Empfänger erreichen, hat die Schule keine Kontrolle mehr über deren Verbreitung. Im vorliegenden Fall wurden die Informationen mündlich und möglicherweise auch digital an Dritte weitergegeben — ein Dominoeffekt, der sich nicht mehr aufhalten lässt.
Rechtliche Konsequenzen
Der Vorfall betrifft mehrere datenschutzrechtliche Bestimmungen:
Art. 5 Abs. 1 lit. c DSGVO — Datenminimierung: Es hätten ausschließlich die Daten des angefragten Schülers übermittelt werden dürfen. Die Versendung der vollständigen Klassenliste verstößt gegen den Grundsatz, dass personenbezogene Daten dem Zweck angemessen und auf das notwendige Maß beschränkt sein müssen.
Art. 5 Abs. 1 lit. f DSGVO — Integrität und Vertraulichkeit: Die Schule hat die Pflicht, personenbezogene Daten so zu verarbeiten, dass eine angemessene Sicherheit gewährleistet ist. Der unverschlüsselte Versand per E-Mail an einen falschen Empfänger verstößt direkt gegen dieses Prinzip.
Art. 9 DSGVO — Besondere Kategorien: Die Gesundheitsdaten (LRS, ADHS) unterliegen einem strikten Verarbeitungsverbot, sofern keine Ausnahme nach Art. 9 Abs. 2 greift. Die Weitergabe an Unbefugte ist durch keine Rechtsgrundlage gedeckt.
Art. 32 DSGVO — Sicherheit der Verarbeitung: Die Schule hat keine angemessenen technischen und organisatorischen Maßnahmen getroffen, um die Vertraulichkeit der Daten zu gewährleisten. Es fehlen Verschlüsselung, Zugriffsbeschränkungen und Bestätigungsmechanismen beim Versand.
Art. 33/34 DSGVO — Meldepflicht: Der Vorfall ist innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Da ein hohes Risiko für die Rechte der betroffenen Kinder und Familien besteht, müssen auch alle 28 Familien der Klasse 7b individuell benachrichtigt werden.
Landesschulgesetze: Ergänzend gelten die Datenschutzbestimmungen der jeweiligen Landesschulgesetze, die den Umgang mit Schülerdaten besonders streng regeln und eigenständige Sanktionen vorsehen können.
Finanzielle Auswirkungen
| Kostenposition | Geschätzter Betrag |
|---|---|
| Bußgeld Datenschutzbehörde (Verstoß Art. 9, Art. 32 DSGVO) | 5.000 – 25.000 € |
| Externer Datenschutzbeauftragter (Sofortberatung) | 2.000 – 5.000 € |
| Benachrichtigung aller 28 Familien gemäß Art. 34 DSGVO | 500 – 1.500 € |
| Schadensersatzforderungen betroffener Eltern (Art. 82 DSGVO) | 3.000 – 15.000 € |
| Schulung des Schulpersonals im Datenschutz | 1.500 – 3.000 € |
| Implementierung sicherer Kommunikationslösung | 1.000 – 3.000 € |
| Reputationsschaden und Vertrauensverlust | 5.000 – 20.000 € |
| Gesamtkosten | 18.000 – 72.500 € |
Bei öffentlichen Schulen fallen Bußgelder häufig geringer aus als in der Privatwirtschaft. Die immateriellen Schäden — insbesondere für die betroffenen Kinder, deren Diagnosen nun im Elternkreis bekannt sind — lassen sich jedoch kaum beziffern und können langfristige soziale Folgen haben.
Die sichere Alternative
SendMeSafe bietet Schulen und Bildungseinrichtungen eine datenschutzkonforme Alternative zum E-Mail-Versand sensibler Schülerdaten.
Individuelle Upload-Links statt E-Mail-Anhänge: Statt Dokumente als E-Mail-Anhang zu versenden, erstellt die Schule für jede Familie einen eigenen, passwortgeschützten Upload-Link. Die Eltern erhalten ausschließlich Zugriff auf die Daten ihres eigenen Kindes. Ein Fehlversand im Sinne einer falschen Empfängerzuordnung ist technisch ausgeschlossen, da der Link nur die freigegebenen Dokumente enthält.
Passwortschutz und Ablaufdaten: Jeder Link kann mit einem individuellen Passwort und einem Ablaufdatum versehen werden. Nach dem Elternsprechtag wird der Zugang automatisch deaktiviert. Die Daten sind nur so lange zugänglich, wie es zweckgebunden erforderlich ist.
EU-Serverstandort: Alle Daten werden auf Hetzner-Servern in Deutschland gespeichert und mit AES-256 verschlüsselt. Es findet keine Übermittlung in Drittländer statt.
Audit-Trail für Nachweispflichten: Jeder Zugriff wird protokolliert. Die Schule kann bei einer behördlichen Anfrage jederzeit nachweisen, welche Daten wem zur Verfügung gestellt wurden und wann der Zugriff erfolgte.
Widerruf jederzeit möglich: Anders als bei versendeten E-Mails kann ein freigegebener Link jederzeit deaktiviert werden. Wurde ein Link versehentlich an die falsche Person gesendet, genügt ein Klick, um den Zugriff sofort zu sperren.
Keine technischen Vorkenntnisse erforderlich: Sowohl für das Schulpersonal als auch für die Eltern ist die Bedienung intuitiv. Eltern klicken auf den Link, geben das Passwort ein und sehen ausschließlich die für sie bestimmten Dokumente.
Erfahren Sie mehr über die Sicherheitsmaßnahmen von SendMeSafe und wie Bildungseinrichtungen von einer DSGVO-konformen Dokumentenübermittlung profitieren.
Häufig gestellte Fragen
Dürfen Schulen Schülerdaten überhaupt per E-Mail versenden?
Grundsätzlich ist der Versand personenbezogener Daten per unverschlüsselter E-Mail problematisch und wird von den meisten Datenschutzbehörden als nicht ausreichend sicher eingestuft. Insbesondere bei besonderen Kategorien personenbezogener Daten — wie Gesundheitsinformationen oder Angaben zu Lernbehinderungen — fordern die Aufsichtsbehörden einen verschlüsselten Übertragungsweg. Schulen sollten daher auf sichere Übermittlungswege wie passwortgeschützte Upload-Portale zurückgreifen.
Was müssen Schulen nach einem Fehlversand sofort tun?
Unmittelbar nach Bekanntwerden des Fehlversands muss die Schule den falschen Empfänger kontaktieren und zur Löschung der Daten auffordern. Parallel dazu muss innerhalb von 72 Stunden eine Meldung an die zuständige Datenschutzbehörde erfolgen (Art. 33 DSGVO). Besteht ein hohes Risiko für die Betroffenen, müssen auch alle Personen, deren Daten offengelegt wurden, unverzüglich informiert werden (Art. 34 DSGVO). Alle Schritte sollten dokumentiert werden, um die Rechenschaftspflicht zu erfüllen.
Können Eltern Schadensersatz fordern, wenn Daten ihres Kindes offengelegt wurden?
Ja. Art. 82 DSGVO gewährt jeder Person, der durch einen Datenschutzverstoß ein materieller oder immaterieller Schaden entstanden ist, einen Schadensersatzanspruch gegen den Verantwortlichen. Deutsche Gerichte haben in vergleichbaren Fällen immaterielle Schadensersatzbeträge zwischen 500 und 5.000 Euro pro betroffenem Datensatz zugesprochen. Bei besonders sensiblen Daten wie Gesundheitsinformationen von Kindern können die Beträge höher ausfallen.
Gibt es spezielle Datenschutzanforderungen für Schulen?
Neben der DSGVO gelten für Schulen die Datenschutzbestimmungen der jeweiligen Landesschulgesetze. Diese enthalten häufig strengere Regelungen für den Umgang mit Schülerdaten als die DSGVO selbst. Viele Bundesländer haben zudem spezifische Verwaltungsvorschriften zum Einsatz digitaler Werkzeuge an Schulen erlassen. Schulen sind in der Regel verpflichtet, einen Datenschutzbeauftragten zu bestellen, der die Einhaltung dieser Vorschriften überwacht. Die Nutzung einer DSGVO-konformen Plattform wie SendMeSafe erleichtert die Einhaltung aller einschlägigen Vorschriften erheblich.
Häufig gestellte Fragen
Schützen Sie Ihr Unternehmen
Vermeiden Sie Datenschutzvorfälle mit sicheren Upload- und Share-Links.
Jetzt kostenlos testen