Rechtliche Prüfung, Datenschutz-Compliance, Auftragsverarbeitung und TOMs
Stand: 2025
1. Zweck der Information
Diese Fassung soll kommunale Datenschutzbeauftragte in die Lage versetzen, den Einsatz der KI-Kinderakademie datenschutzrechtlich vollständig und rechtssicher zu bewerten.
Sie enthält die wichtigsten Informationen gemäß:
- DSGVO
- BDSG
- Landesdatenschutzgesetzen
- Anforderungen für Schulen & Schulträger
2. Verantwortlichkeit & Rollenmodell
- Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO: Schule / Schulleitung
- Mitverantwortung im organisatorischen Bereich: Schulträger (IT-Infrastruktur, Endgeräte, Filter)
- Auftragsverarbeiter gemäß Art. 28 DSGVO: Kramberg Innovation (KI-Kinderakademie)
Kein Joint Control, da klare Zweck- & Mittelbestimmung durch die schulische Seite.
3. Datenkategorien
Die Plattform verarbeitet nur die minimal notwendigen personenbezogenen Daten:
Schüler*innen
- Vorname (oder Pseudonym / Benutzername)
- Klasse / Lerngruppe
- Lernaktivitäten (z. B. gelöste Aufgaben)
- Nutzungs- & Logdaten (Login-Zeit, Dauer, Klicks)
Lehrkräfte
- Name
- schulische E-Mail
- Unterrichtszuordnungen
Keine Verarbeitung besonderer Kategorien (Art. 9 DSGVO) — außer der Verantwortliche verlangt dies ausdrücklich (selten notwendig).
4. Keine Übermittlung in Drittländer
Alle Daten werden ausschließlich in:
- ISO 27001-zertifizierten EU-Rechenzentren
- durch europäische Subdienstleister
verarbeitet.
Keine Cloud-Dienste außerhalb der EU, kein USA-Transfer, kein Einsatz von US-Anbietern.
5. Subdienstleister
Es werden ausschließlich folgende EU-basierte und DSGVO-konforme Subdienstleister eingesetzt:
| Kategorie | Zweck | Standort | Zertifizierung |
|---|---|---|---|
| Hosting | Plattformbetrieb | EU | ISO 27001 |
| Monitoring | Performance & Sicherheit | EU | ISO 27001 |
| E-Mail (Benachrichtigungen) | Systemnachrichten | EU | ISO 27001 |
Jede Änderung wird der Schule / dem Schulträger mindestens 30 Tage vorher mitgeteilt.
6. Rechtsgrundlage
Für Schüler*innen:
Art. 6 Abs. 1 lit. e DSGVO i. V. m. dem jeweiligen Landes-Schulgesetz (öffentliche Aufgabe Bildung).
Für Lehrkräfte:
Art. 6 Abs. 1 lit. c DSGVO, Erfüllung schulischer Pflichten.
Keine Einwilligung erforderlich (außer bei freiwilligen Zusatzfunktionen).
7. Datenschutz-Folgenabschätzung (DPIA)
Aus Sicht des Anbieters:
- niedriges Risiko, da keine sensiblen Daten
- keine biometrischen oder Gesundheitsdaten
- starke TOMs
- volle Kontrolle durch die Schule
Ob eine DPIA notwendig ist, hängt vom Bundesland ab.
Eine Vorlage / Checkliste stellt der Anbieter auf Wunsch bereit.
8. Technische und organisatorische Maßnahmen (TOMs)
Umgesetzt gemäß Art. 32 DSGVO:
8.1 Zugangskontrolle
- MFA für Lehrkräfte
- Passwort-Policy
- automatische Sperrung
8.2 Zugriffskontrolle
- RBAC (Schüler / Lehrkraft / Admin)
- Zero-Knowledge-Prinzip für unnötige Daten
8.3 Weitergabekontrolle
- TLS 1.2/1.3
- AES-256 verschlüsselte Backups
8.4 Datensparsamkeit
- keine Werbung
- kein Tracking
- keine Profilbildung
8.5 Pseudonymisierung (optional)
- Nutzung von Benutzername oder Initialen möglich
8.6 Verfügbarkeitskontrolle
- redundante EU-Server
- tägliche Backups
- 24/7-Überwachung
9. Lösch- & Speicherfristen
| Datenart | Frist |
|---|---|
| Schülerkonten | 30 Tage nach Ausscheiden |
| Lernfortschritte | 7–180 Tage (Schulentscheid) |
| Backups | max. 90 Tage |
| Logdaten | 30–120 Tage |
Ein vollständiges Löschprotokoll wird bereitgestellt.
10. Meldepflichten (Datenpannen)
- Meldung an die Schule innerhalb von 24 Stunden
- vollständige Dokumentation des Vorfalls
- Unterstützung bei der Bewertung gemäß Art. 33/34 DSGVO
- technische Sofortmaßnahmen durch den Anbieter
11. Audit- und Kontrollrechte
Die Schule / der Schulträger darf:
- TOMs einsehen
- Subdienstleister prüfen
- Nachweise (ISO-Zertifikate, Pen-Test-Berichte) anfordern
- Audits mit Vorankündigung durchführen
Der Anbieter unterstützt diese Prozesse vollständig.
12. Bewertung
Nach allen vorliegenden Informationen ist die KI-Kinderakademie speziell für Kinder datenschutzfreundlich konzipiert und erfüllt die Anforderungen der DSGVO umfassend.