Datenschutz-Merkblatt für Schulleitungen und IT-Administratoren

Stand 2025

1. Verantwortlichkeiten

Schule / Schulleitung

  • ist Verantwortlicher nach Art. 4 Nr. 7 DSGVO
  • entscheidet über Zweck und Einsatz der Plattform
  • informiert Lehrkräfte, Eltern und ggf. Schülerinnen & Schüler
  • verwaltet Benutzerkonten bzw. delegiert dies an IT-Admins
  • überwacht die Einhaltung der Datenschutzregeln im Schulbetrieb

IT-Administrator (Schule oder Schulträger)

  • richtet Accounts ein
  • verwaltet Klassen- und Gruppenstrukturen
  • setzt Benutzerrechte um
  • überwacht technische Sicherheit auf schulischer Seite
  • ist erster Ansprechpartner bei technischen Problemen

Auftragsverarbeiter (Kramberg Innovation)

  • betreibt die Plattform
  • stellt TOMs, Subdienstleister-Liste und AVV bereit
  • verarbeitet Daten nur nach Weisung der Schule
  • meldet Datenschutzvorfälle innerhalb von 24 Stunden

2. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. e DSGVO i. V. m. Schulgesetzen: Einsatz im öffentlichen Bildungsauftrag
  • Art. 6 Abs. 1 lit. c DSGVO: Erfüllung schulischer Pflichten
  • keine Einwilligung erforderlich, außer bei freiwilligen Zusatzfunktionen
  • AVV nach Art. 28 DSGVO ist abgeschlossen oder muss abgeschlossen werden

3. Welche Daten werden verarbeitet? (Datensparsamkeit)

Es werden nur die notwendigen Daten verarbeitet:

Schülerdaten

  • Vorname oder Benutzername
  • Klasse / Gruppen
  • Lernaktivitäten (z. B. Aufgabenbearbeitung)
  • technische Logdaten (für Support & Sicherheit)

Lehrkräfte

  • Name
  • schulische E-Mail-Adresse
  • Zuordnung zu Klassen

Nicht verarbeitet werden:

  • Noten
  • Gesundheitsdaten
  • sensible Daten (Art. 9 DSGVO)
  • Daten für Werbung oder Tracking
  • biometrische Daten

4. Wo werden Daten gespeichert?

  • ausschließlich europäische Rechenzentren (EU-only)
  • DSGVO-konforme Subdienstleister
  • keine Übermittlung in Drittstaaten
  • Server mit ISO 27001-Zertifizierung
  • verschlüsselte Speicherung (AES-256)

5. Subdienstleister (Auszug)

  • EU-Hosting
  • EU-Monitoring
  • EU-Maildienst (Systembenachrichtigungen)

Alle Subdienstleister:

  • sind vertraglich nach Art. 28 DSGVO gebunden
  • wurden auf Sicherheitsmaßnahmen geprüft
  • werden bei Änderungen 30 Tage vorher angekündigt

6. Technische Sicherheitsmaßnahmen

  • TLS 1.2/1.3 Verschlüsselung
  • sichere Passwort-Hashing-Verfahren
  • MFA für Lehrkräfte und Admins
  • automatische Logout-Mechanismen
  • rollenbasierte Zugriffskontrolle (Schüler/Lehrer/Admin)
  • Schutz vor Angriffen (Rate-Limiting, Firewalls, Monitoring)
  • tägliche Backups (verschlüsselt, max. 90 Tage Aufbewahrung)

7. Rolle der Lehrkräfte

Lehrkräfte sind verantwortlich für:

  • pädagogische Nutzung
  • die Aufsicht über Schülernutzung
  • sicherer Umgang mit Zugangsdaten
  • sofortige Meldung bei Datenschutz- oder Sicherheitsvorfällen

Lehrkräfte dürfen keine sensiblen Daten in die Plattform eingeben (z. B. Noten, Diagnosen, persönliche Probleme).

8. Benutzermanagement (Schule/IT)

IT-Admins müssen sicherstellen:

  • nur aktive Schüler*innen haben Zugriff
  • gelöschte Konten wirklich entfernt werden
  • Klassenwechsel korrekt umgesetzt werden
  • Passwörter sicher vergeben werden
  • Admin-Rechte sparsam verteilt werden
  • keine Sammel- oder Lehrer-Shared-Accounts verwendet werden

9. Löschung & Aufbewahrung

Automatische Löschprozesse

  • am Schuljahresende
  • beim Ausscheiden eines Kindes

Backups

  • verschlüsselt
  • max. 90 Tage Speicherung

Logs

  • 30–120 Tage je nach Zweck

Die Schule kann jederzeit:

  • Datenexport
  • Datenlöschung
  • Löschprotokoll

anfordern.

10. Datenschutzvorfälle (Data Breaches)

Meldepflicht: 24 Stunden durch den Anbieter an die Schule / Schulleitung.

Bei einem Vorfall:

  1. Schule/IT-Admin informieren Schulleitung & DSB
  2. Risiko bewerten (mit Unterstützung des Anbieters)
  3. ggf. Meldung an Aufsichtsbehörde
  4. ggf. Information an Eltern

Der Anbieter unterstützt technisch, organisatorisch und dokumentarisch.

11. KI-spezifische Datenschutzregeln

  • keine Nutzung von Schülerdaten zum Training der KI
  • keine Profilbildung
  • keine Übermittlung an Drittanbieter-KI
  • alle KI-Funktionen sind transparent und kindgerecht
  • KI ersetzt keine Lehrkraft

12. Verantwortung des Schulträgers

Der Schulträger ist verantwortlich für:

  • übergeordnete IT-Sicherheit (Netze, Firewalls, Filter)
  • Ausstattung der Schulen mit sicheren Endgeräten
  • Bereitstellung von IT-Unterstützung
  • Abschluss des AVV (je nach Bundesland)
  • Abstimmung mit kommunalem Datenschutzbeauftragten

13. To-Do-Checkliste für Schulleitung & IT-Admins

Vor dem Einsatz

▪ AVV prüfen & unterschreiben
▪ Schulträger und DSB informieren
▪ Administrator bestimmen
▪ Lehrkräfte informieren / schulen

Während des Betriebs

▪ Benutzer jährlich überprüfen
▪ Klassenwechsel durchführen
▪ Berechtigungen prüfen
▪ Datenschutzvorfälle dokumentieren

Nach Schuljahresende

▪ automatische Löschroutinen prüfen
▪ gelöschte Konten verifizieren
▪ Backups überprüfen
▪ DSB informieren