Datenschutz-Merkblatt für Schulträger und kommunale Datenschutzbeauftragte

Stand 2025

1. Rollen & Verantwortlichkeiten

Verantwortlicher nach DSGVO (Art. 4 Nr. 7)

  • Die Schule / Schulleitung ist Verantwortlicher im rechtlichen Sinne.
  • Der Zweck der Verarbeitung ergibt sich aus dem öffentlichen Bildungsauftrag.

Mitverantwortung des Schulträgers

Der Schulträger trägt Verantwortung für:

  • IT-Infrastruktur, Netzsicherheit und Endgeräte
  • datenschutzkonforme Beschaffung (z. B. Vergabe, Auswahl von Dienstleistern)
  • Abschluss und Prüfung des AVV
  • Abstimmung mit dem/der kommunalen DSB
  • Unterstützung der Schulen bei technischen und organisatorischen Maßnahmen

Auftragsverarbeiter

  • Kramberg Innovation (KI-Kinderakademie)
    verarbeitet die personenbezogenen Daten ausschließlich im Auftrag der Schule.

2. Rechtsgrundlagen

Für Schulen (öffentliche Einrichtung):

  • Art. 6 Abs. 1 lit. e DSGVO
  • i. V. m. den Schulgesetzen der Länder (Erfüllung des Bildungsauftrags)
  • Verarbeitung erfolgt ohne Einwilligung, sofern Unterrichtszweck gegeben ist.

Für Schulträger / kommunale IT:

  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
  • Art. 6 Abs. 1 lit. e DSGVO (öffentliche Aufgabe)

AVV

  • Art. 28 DSGVO verpflichtend
  • Kommunen können eigene AVV-Muster verwenden
  • Anbieter stellt AVV, TOMs & Subdienstleisterliste bereit

3. Datenkategorien (Datensparsamkeit)

Die KI-Kinderakademie ist speziell für Minderjährige entwickelt und verarbeitet nur minimal notwendige Daten:

Schüler*innen

  • Vorname / Benutzername
  • Klasse / Gruppe
  • Lern- & Übungsstände
  • Log- und Nutzungsdaten (technisch)

Lehrkräfte

  • Name
  • schulische E-Mail
  • Klassen- oder Fachzuordnung

Keine Verarbeitung folgender Daten:

  • Noten oder Leistungsbewertungen
  • Gesundheits- oder Sensibilitätsdaten (Art. 9 DSGVO)
  • familiäre oder soziale Informationen
  • biometrische Daten
  • Daten für Werbung oder Tracking

4. Speicherort & Datenübermittlung

  • Speicherung ausschließlich in der EU
  • Nutzung ausschließlich DSGVO-konformer, ISO-27001 zertifizierter Subdienstleister
  • keine übermittlungen in Drittstaaten (z. B. USA)
  • keine Nutzung von US-Clouds ohne EU-Sovereign-Mode
  • verschlüsselte Speicherung (AES-256)

5. Subdienstleister (EU)

Eingesetzte Kategorien:

KategorieZweckStandort
Hosting / CloudPlattformbetriebEU
MonitoringSicherheit / VerfügbarkeitEU
MaildienstSystemnachrichtenEU
KI-ModellhostingKI-VerarbeitungEU

Alle Subdienstleister sind vertraglich nach Art. 28 DSGVO gebunden.
Änderungen werden 30 Tage im Voraus mitgeteilt (Widerspruchsrecht).

6. Technische und organisatorische Maßnahmen (TOMs)

Sicherheitsschwerpunkte:

  • Multi-Faktor-Authentifizierung
  • sichere Passwortverfahren (Hashing: bcrypt/Argon2)
  • TLS 1.2/1.3
  • tägliche Backups (90 Tage max., verschlüsselt)
  • 24/7-Monitoring
  • DDoS-Schutz
  • Mandantentrennung (jede Schule = eigener Datenraum)
  • Administratorenzugriffe vollständig protokolliert
  • kein Zugriff des Anbieters ohne dokumentierte Weisung

7. Pflichten der Schulen

Schulen sind verpflichtet:

  • Zugangsdaten sicher zu verwalten
  • Benutzerkonten korrekt zu führen
  • Ausscheidende Schülerkonten zu löschen
  • Lehrkräfte zu informieren & schulen
  • keine sensiblen Daten in die Plattform einzugeben
  • Datenschutzvorfälle unverzüglich zu melden

8. Pflichten des Schulträgers

Der Schulträger verantwortet:

  • sichere IT-Basisinfrastruktur (Netz, Filter, Firewalls, WLAN)
  • datenschutzkonforme Geräteverwaltung
  • zentrale Vergabeverfahren & Vertragsmanagement
  • Abschluss/Prüfung des AVV und TOMs
  • Zusammenarbeit mit dem/der kommunalen DSB
  • Bereitstellung eines IT-Admins pro Schule oder Schulverbund
  • Bereitstellung technischer Supportprozesse

9. Löschkonzept & Speicherfristen

Schülerdaten:

  • Löschung beim Ausscheiden
  • regelmäßige Löschungen am Schuljahresende
  • manuelle Löschung jederzeit möglich

Backups:

  • verschlüsselt
  • max. 90 Tage Aufbewahrung

Logdaten:

  • 30–120 Tage je nach Zweck

Der Schulträger kann Löschprotokolle anfordern.

10. Datenschutzvorfälle (Data Breaches)

Meldefrist:

  • 24 Stunden an die Schule & Schulträger

Vorgehen:

  1. Sofortmeldung durch Anbieter
  2. Bewertung durch Schulträger & Datenschutzbeauftragten
  3. ggf. Meldung an Aufsichtsbehörde
  4. ggf. Information an Eltern
  5. technische Ursachenanalyse & Maßnahmen

Der Anbieter bietet vollständige Unterstützung.

11. KI-spezifische Datenschutzmaßnahmen

  • keine Nutzung von Schülerdaten zum Training der KI
  • keine Profilbildung oder Werbung
  • KI-Ausgaben werden nicht gespeichert oder analysiert
  • KI arbeitet nur mit Unterrichtsdaten
  • alle KI-Modelle laufen ausschließlich in der EU
  • Lehrkräfte behalten pädagogische Kontrolle

12. Empfehlungen für Schulträger

Für eine datenschutzkonforme Implementierung empfehlen sich:

Vor Einführung:

✔ AVV + TOMs prüfen
✔ Abstimmung mit kommunalem DSB
✔ Prüfung der IT-Infrastruktur
✔ Testphase mit 1–2 Pilotschulen

Während des Betriebs:

✔ jährliche Überprüfung der Benutzerkonten
✔ technische Supportkette definieren
✔ Datenschutzschulungen für Lehrkräfte
✔ regelmäßige Kontrolle von Subdienstleisterlisten

Nach Schuljahresende:

✔ Löschroutinen kontrollieren
✔ Backup-Löschfristen prüfen
✔ Schulwechsel korrekt abbilden

13. Zusammenfassung für Entscheider

Die KI-Kinderakademie ist:

  • datenschutzkonform
  • EU-based
  • sicher (ISO, Verschlüsselung, Monitoring)
  • technisch einfach integrierbar
  • pädagogisch wertvoll
  • ohne Drittstaatenübermittlungen
  • speziell für Schüler*innen entwickelt

Sie erfüllt damit die wichtigsten kommunalen Anforderungen an Datenschutz, IT-Sicherheit und Bildungstechnologie.