Compliance-Bericht

FERPA-Compliance-Bericht

Schutz von Bildungsunterlagen für Bildungseinrichtungen

v1.0 — Februar 2026

Was ist FERPA?

FERPA — 20 U.S.C. § 1232g

FERPA (Family Educational Rights and Privacy Act) ist ein US-amerikanisches Bundesgesetz aus dem Jahr 1974, das den Schutz der Privatsphäre von Bildungsunterlagen der Studierenden gewährleistet. FERPA gilt für alle Bildungseinrichtungen, die Bundesmittel erhalten.

Gemäß FERPA sind Bildungseinrichtungen verpflichtet, den Zugang zu Studierendenakten zu kontrollieren, unbefugte Offenlegung zu verhindern und Zugriffsprotokolle zu führen. Diese Anforderungen wirken sich direkt auf alle von Einrichtungen genutzten Dokumentenmanagementsysteme aus.

Dieser Bericht erläutert, wie YesPDF die FERPA-Anforderungen Punkt für Punkt erfüllt.

Wichtigste FERPA-Rechte

Recht auf Einsicht in Unterlagen

Eltern (und Studierende über 18 Jahre) haben das Recht, Bildungsunterlagen einzusehen und zu überprüfen.

Recht auf Berichtigung von Unterlagen

Eltern können die Berichtigung von Informationen beantragen, die sie für ungenau oder irreführend halten.

Einwilligung zur Offenlegung

Bildungsunterlagen dürfen ohne schriftliche Einwilligung nicht an Dritte weitergegeben werden (mit bestimmten Ausnahmen).

Beschwerderecht

Eltern können beim US-Bildungsministerium Beschwerden über FERPA-Verstöße einreichen.

Geschützte Unterlagenarten

Unter FERPA geschützte Bildungsunterlagen umfassen:

  • Zeugnisse und Notenberichte
  • Klassenlisten und Anwesenheitsprotokolle
  • Disziplinarakten
  • Gesundheitsakten der Studierenden (von der Bildungseinrichtung geführt)
  • Dokumente zu finanzieller Unterstützung und Stipendien
  • Identifikationsdaten der Studierenden (SSN, Passnummer usw.)
  • Sonderpädagogische Unterlagen (IEP/504-Pläne)
  • Abschluss- und Diplominformationen

FERPA-Anforderungen und YesPDF-Lösungen

1. Zugriffskontrolle

FERPA verlangt, dass nur autorisiertes Personal mit einem „berechtigten pädagogischen Interesse“ auf Studierendenakten zugreifen darf.

✅ YesPDF Solution

  • Role-Based Access Control (RBAC): Granulare Autorisierung mit Dekan-, Abteilungsleiter-, Dozenten-, Registrar- und Beraterrollen.
  • Document-Level Permissions: Lese-, Bearbeitungs-, Download- und Druckberechtigungen können für jedes Dokument separat definiert werden.
  • LDAP/Active Directory Integration: Zentralisierte Zugriffsverwaltung durch Integration mit der bestehenden Authentifizierungsinfrastruktur der Einrichtung.
  • IP Restriction: Der Dokumentenzugriff kann auf das institutionelle Netzwerk beschränkt werden.

2. Prüfprotokoll

FERPA verlangt die Führung von Aufzeichnungen darüber, wer auf Bildungsunterlagen zugegriffen hat und welche Informationen offengelegt wurden.

✅ YesPDF Solution

  • Comprehensive Audit Log: Jeder Dokumentenzugriff, jede Bearbeitung, jeder Download und jeder Druckvorgang wird automatisch protokolliert.
  • Immutable Records: Prüfprotokolle können nicht geändert oder gelöscht werden — sie liefern zuverlässige Nachweise für FERPA-Prüfungen.
  • Detailed Tracking: Wer, wann, welches Dokument, von welchem Gerät — alle Details werden aufgezeichnet.
  • Reporting: Zugriffsberichte können pro Studierendem oder pro Dokument erstellt werden.

3. Datensicherheit

FERPA verlangt den Schutz von Bildungsunterlagen vor unbefugtem Zugriff, Änderung und Zerstörung.

✅ YesPDF Solution

  • AES-256 Encryption: Alle Studierendendokumente werden sowohl bei der Übertragung als auch im Ruhezustand mit AES-256 verschlüsselt.
  • On-Premise Architecture: Daten werden niemals an Cloud-Server von Drittanbietern gesendet — sie verbleiben vollständig innerhalb der institutionellen Infrastruktur.
  • PDF Encryption: Einzelne PDF-Dateien können mit Passwortschutz und Berechtigungseinschränkungen versehen werden.
  • Secure Deletion: Dokumente nach Ablauf ihrer Aufbewahrungsfrist können sicher vernichtet werden.

4. Permanente Schwärzung

Bei der Weitergabe von Informationen unter FERPA-Ausnahmen müssen nicht relevante Studierendendaten geschwärzt werden.

✅ YesPDF Solution

  • Permanent Redaction: Studierenden-IDs, Adressen, Gesundheitsinformationen und andere personenbezogene Daten können unwiderruflich aus Dokumenten entfernt werden.
  • Batch Redaction: Schwärzung gleichzeitig auf mehrere Dokumente anwenden.
  • Redaction Verification: Bestätigt, dass geschwärzte Daten tatsächlich entfernt wurden — keine versteckten Ebenen oder Metadaten-Lecks.
  • Selective Sharing: Verschiedene Schwärzungsstufen können für verschiedene Empfänger auf dasselbe Dokument angewendet werden.

5. Aufbewahrung und Vernichtung von Unterlagen

FERPA verlangt, dass bestimmte Unterlagen für festgelegte Zeiträume aufbewahrt und danach sicher vernichtet werden.

✅ YesPDF Solution

  • Retention Policies: Automatische Aufbewahrungsfristen können nach Dokumenttyp definiert werden.
  • Expiry Alerts: Automatische Benachrichtigungen für Dokumente, die sich ihrer Aufbewahrungsfrist nähern.
  • Secure Archiving: Dokumente, die eine langfristige Aufbewahrung erfordern, werden in verschlüsselten Archiven geschützt.
  • Destruction Records: Löschprotokolle werden für vernichtete Dokumente geführt — zur Erfüllung der Prüfungsanforderungen.

6. Einwilligung und Benachrichtigung

FERPA verlangt eine schriftliche Einwilligung vor der Offenlegung von Unterlagen sowie die Benachrichtigung der Eltern/Studierenden über ihre Rechte.

✅ YesPDF Solution

  • Fill & Sign: Einwilligungsformulare können digital ausgefüllt und mit E-Signatur genehmigt werden.
  • Form Templates: FERPA-Einwilligungsformulare und Benachrichtigungsdokumente können als Vorlagen erstellt werden.
  • Digital Signature: Rechtsgültige E-Signaturen beschleunigen Einwilligungsabläufe.
  • Document Tracking: Welche Einwilligungen eingeholt und welche Informationen weitergegeben wurden, wird aufgezeichnet.

Verwaltung von Verzeichnisinformationen

FERPA erlaubt die Offenlegung bestimmter Kategorien von „Verzeichnisinformationen“ ohne Einwilligung (Studierende haben das Recht, dem zu widersprechen). Diese Informationen umfassen:

  • Name des Studierenden
  • Adresse und Telefonnummer
  • E-Mail-Adresse
  • Geburtsdatum und -ort
  • Studiengang / Fachbereich
  • Immatrikulationsstatus und Anwesenheitsdaten
  • Erworbene Abschlüsse und Auszeichnungen
In YesPDF können Verzeichnisinformationen mit einer separaten Zugriffsebene verwaltet werden. Studierende, die einen Widerspruch einlegen, können ihre Informationen automatisch von der Weitergabe ausschließen lassen.

Vergleich: On-Premise vs. Cloud

Vergleich von On-Premise- und Cloud-Lösungen für die FERPA-Compliance:

Kriterien YesPDF (On-Premise) Cloud-PDF-Tools
DatenspeicherortEigener Server der EinrichtungRechenzentrum eines Drittanbieters
Datenkontrolle100 % unter Kontrolle der EinrichtungAbhängig vom Dienstleister
Zugriff durch DritteKeinerMitarbeiter des Anbieters können zugreifen
BAA-AnforderungNicht erforderlichGeschäftspartnervereinbarung erforderlich
DatenverletzungsrisikoMinimiert — bleibt im internen NetzwerkExternen Angriffen ausgesetzt
PrüfungsfreundlichkeitAlle Protokolle lokalAbhängig vom Anbieter

FERPA-Compliance-Checkliste

Zur Sicherstellung der FERPA-Compliance mit YesPDF:

  1. 1
    Zugriffsrichtlinien definieren

    Bestimmen Sie, welche Rollen auf welche Studierendenakten zugreifen können, und setzen Sie dies mit YesPDF RBAC durch.

  2. 2
    Prüfprotokollierung aktivieren

    Stellen Sie sicher, dass alle Dokumentenzugriffe protokolliert werden. Überprüfen Sie regelmäßig die Zugriffsberichte.

  3. 3
    Schwärzungsverfahren einrichten

    Definieren Sie Standardverfahren dafür, welche Informationen vor der Dokumentenweitergabe zu schwärzen sind.

  4. 4
    Aufbewahrungsrichtlinien konfigurieren

    Definieren Sie Aufbewahrungsfristen nach Dokumenttyp und aktivieren Sie automatische Warnungen.

  5. 5
    Verschlüsselung überprüfen

    Bestätigen Sie, dass die AES-256-Verschlüsselung aktiv ist und alle Dokumente verschlüsselt gespeichert werden.

  6. 6
    Personal schulen

    Schulen Sie das zuständige Personal zu FERPA-Anforderungen und der Nutzung von YesPDF.

  7. 7
    Jährliche Benachrichtigung veröffentlichen

    Benachrichtigen Sie Studierende und Eltern jährlich über ihre FERPA-Rechte.

  8. 8
    Notfallplan erstellen

    Definieren und testen Sie die Schritte, die im Falle einer Datenverletzung zu befolgen sind.

Zusammenfassung

YesPDF unterstützt Bildungseinrichtungen bei der Erfüllung der FERPA-Anforderungen durch seine On-Premise-Architektur, umfassende Zugriffskontrollen, Prüfprotokolle, AES-256-Verschlüsselung und permanente Schwärzungsfunktionen. Studierendenakten verlassen niemals die institutionelle Infrastruktur, jeder Zugriff wird protokolliert und sensible Informationen können vor der Weitergabe sicher geschwärzt werden.

Technischer Support

Bei Fragen zur FERPA-Compliance und YesPDF-Konfiguration:

Dieses Dokument wurde vom technischen Team von YesPDF erstellt. Dieser Bericht stellt keine Rechtsberatung dar. Wir empfehlen, für die FERPA-Compliance-Bewertung den Rechtsberater Ihrer Einrichtung zu konsultieren.