Kurzinfo für Schulträger

(Rechtliche Anforderungen, technische Sicherheit, Verantwortlichkeiten & Kooperation)
Stand: 2025

1. Überblick und Zweck

Die KI-Kinderakademie ist eine DSGVO-konforme Lernplattform für Grundschulen und weiterführende Schulen. Sie unterstützt Kinder beim Erwerb von Medienkompetenz und bietet adaptive Lernmodule, die durch sichere, kindgerechte KI unterstützt werden.

Der Schulträger erhält mit dieser Information eine klare Übersicht über:

  • rechtliche Rahmenbedingungen
  • Verantwortungsbereiche
  • technische & organisatorische Maßnahmen
  • Rollenverteilung zwischen Schule, Schulträger und Anbieter

2. Rechtliche Grundlage: Verantwortlichkeit

Die Schule / Bildungseinrichtung ist der datenschutzrechtlich Verantwortliche nach Art. 4 Nr. 7 DSGVO.

Der Schulträger ist verantwortlich für:

  • übergeordnete IT-Strategie
  • Bereitstellung der Infrastruktur (z. B. Endgeräte, Netzwerke, Filter)
  • Sicherstellung der datenschutzkonformen Rahmenbedingungen
  • Prüfung & Abschluss der AVV
  • Abstimmung mit dem/der Datenschutzbeauftragten des Schulträgers
  • Dokumentation gemäß kommunalem oder privatem Datenschutzkonzept

Der Anbieter (Kramberg Innovation) ist Auftragsverarbeiter.

3. Auftragsverarbeitung (AVV)

Für den Einsatz der KI-Kinderakademie ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zwingend erforderlich.

Der AVV regelt:

  • den Zweck der Datenverarbeitung
  • den Umgang mit Daten von Minderjährigen
  • Subdienstleister (EU-basiert, ISO-zertifiziert)
  • technische & organisatorische Maßnahmen
  • Löschkonzepte
  • Meldepflichten bei Datenpannen
  • Audit- & Kontrollrechte

Ein fertiges AVV-Muster liegt vor und kann 1:1 übernommen werden.

4. Datenschutz & Verarbeitung von Schülerdaten

Die KI-Kinderakademie verarbeitet nur minimal notwendige Daten:

  • Vorname oder Benutzername
  • Klassenzugehörigkeit
  • Lernaktivitäten (z. B. bearbeitete Aufgaben)
  • technische Nutzungsdaten

Nicht verarbeitet werden:

  • Noten
  • Gesundheitsdaten
  • sensible Daten gemäß Art. 9 DSGVO
  • Daten für Werbe- oder Trackingzwecke
  • Profilbildung außerhalb des Unterrichtszwecks

Die Plattform folgt dem Prinzip der Datensparsamkeit (Art. 5 DSGVO).

5. Technische Sicherheit (IT-Security & BSI-Grundschutz-nah)

Alle Daten werden ausschließlich in der EU verarbeitet.

Der Anbieter nutzt:

  • ISO-27001-zertifizierte Rechenzentren
  • TLS 1.2+/1.3 Verschlüsselung
  • verschlüsselte Backups
  • 24/7-Monitoring & Logging
  • strenge Rollen- & Berechtigungskonzepte
  • Schutz vor unbefugtem Zugriff
  • Trennung der Daten zwischen Schulen / Klassen

Optional verfügbar: Premium-SLA mit hoher Verfügbarkeit (99,9 %).

Diese Standards entsprechen den Anforderungen vieler kommunaler IT-Dienstleister.

6. Subdienstleister (EU-only)

Die KI-Kinderakademie setzt ausschließlich Subdienstleister in der EU ein:

  • Hosting / Cloud (ISO 27001)
  • Monitoring / Logging
  • E-Mail-/Systembenachrichtigungen

Alle Subdienstleister:

  • sind DSGVO-konform gebunden
  • werden regelmäßig geprüft
  • sind austauschbar und dokumentiert
  • können vom Schulträger oder der Schule abgelehnt werden

7. Rollenverteilung zwischen Schulträger, Schule & Anbieter

7.1 Schulträger
  • Verantwortlich für die technische Rahmeninfrastruktur
  • Prüfung & Abschluss des AVV
  • Abstimmung mit Datenschutz- und IT-Abteilung des Trägers
  • Bereitstellung sicherer Endgeräte
  • Netzwerksicherheit, WLAN, Jugendschutzfilter
  • zentrale Richtlinien für Datenlöschung & Backups
7.2 Schule
  • Verantwortlicher gemäß DSGVO
  • Verwaltung der Benutzerkonten
  • Information & Einbindung der Lehrkräfte
  • Einbindung der Eltern (Transparenz, Informationspflichten)
  • tägliche Nutzung im pädagogischen Kontext
7.3 Anbieter (Kramberg Innovation)
  • sichere Verarbeitung & Hosting der Daten
  • technische Umsetzung der TOMs
  • Bereitstellung der Plattform & des Supports
  • Meldung von Datenschutzvorfällen (innerhalb von 24 Stunden)
  • Bereitstellung von Lösch- & Exportfunktionen

8. Löschkonzept & Speicherfristen

Schülerbezogene Daten

  • Löschung beim Ausscheiden
  • Löschung inaktiver Konten am Ende des Schuljahres
  • Löschung bei Klassenwechsel (automatisch oder manuell)

Backups

  • maximal 90 Tage
  • ausschließlich EU-Standorte
  • verschlüsselt

Logdaten

  • 30–120 Tage (je nach Zweck)

Nachweis

Der Schulträger erhält auf Wunsch ein Löschprotokoll.

9. Datenpannen & Meldewege

Im Fall einer Datenschutzverletzung:

  1. Sofortige Meldung an Schule und Schulträger
  2. Meldung innerhalb von max. 24 Stunden
  3. Untersuchung & Dokumentation
  4. Unterstützung bei der Meldung an die Aufsichtsbehörde
  5. Wiederherstellung & Präventionsmaßnahmen

Der Anbieter übernimmt technische und organisatorische Unterstützung.

10. Organisatorische Anforderungen an den Schulträger

  • Datenschutzkonzept der Kommune/des Trägers beachten
  • Kontrolle, ob Fernzugriff, WLAN & Filtersysteme den Standards entsprechen
  • Benennung eines schulischen Administrators/einer Administratorin
  • Abstimmung mit dem/der behördlichen Datenschutzbeauftragten
  • Prüfung der Einwilligungs- bzw. Informationsprozesse für Eltern
  • Sicherstellung barrierefreier Nutzung (sofern erforderlich)

11. Wirtschaftliche & vertragliche Aspekte

Der Schulträger entscheidet in der Regel über:

  • Lizenzierung
  • Finanzierung
  • Vertragsdauer (keine automatische Verlängerung)
  • Rahmenverträge für mehrere Schulen
  • zentrale Administration

Optional möglich:
Trägerweite Einführung mit gemeinsamen Richtlinien.

12. Empfehlung für den Einführungsprozess

Für eine datenschutz- und organisationssichere Einführung empfiehlt sich:

  1. Prüfung durch Datenschutzbeauftragten des Trägers
  2. Unterzeichnung des AVV
  3. Abstimmung mit dem IT-Bereich / Rechenzentrum
  4. Ernennung eines schulischen Administrators
  5. Info-Brief an Lehrkräfte & Eltern
  6. Testbetrieb in 1–2 Klassen
  7. finale Freigabe
  8. Rollout an allen Schulen

13. Kontakt & Support

Der Anbieter stellt bereit:

  • ein sicheres, datenschutzkonformes Ticketsystem
  • technische Unterstützung bei Einrichtung und Betrieb
  • regelmäßige Sicherheitsupdates
  • schnelle Reaktionszeiten
  • Unterstützung bei Prüfungen, Audits und Behördenanfragen

Alle Prozesse sind dokumentiert und für Schulträger einsehbar.