Bildschirm eines Mobilgeräts auf einem Holztisch
LOMLOE

Datenschutz für Schüler·innen: Was jede Lehrkraft über KI und DSGVO wissen muss

Sensible Daten im Klassenzimmer, KI-Werkzeuge und die EU-Verordnung: welche Fragen vor dem Hochladen einer einzigen Klausur auf eine externe Plattform.

Das Magistral-Team · · 10 Min. Lesezeit
#DSGVO #Datenschutz #KI #personenbezogene Daten #Minderjährige #Behörde

Das übliche Gespräch im Lehrerzimmer, wenn jemand KI-Werkzeuge erwähnt, überspringt meist die wichtigste Frage: Was passiert mit den Daten der Schüler·innen? Die kurze Antwort ist: alles, und dieses Alles ist durch eine Verordnung geregelt, die weder optional noch interpretierbar ist.

Dieser Artikel ist keine juristische Abhandlung. Er ist der praktische Leitfaden, den eine Lehrkraft braucht, um vernünftige Entscheidungen zu treffen: welche Datentypen Sie unbemerkt verarbeiten, welche Pflichten Ihre Schule hat, welche Fragen Sie jedem Werkzeug stellen müssen, bevor Sie es mit einer einzigen echten Arbeit nutzen, und wo die Grenze liegt, die nicht überschritten werden darf.

Was als personenbezogene Daten von Schüler·innen zählt

Das Erste, was zu verstehen ist — und was viele Lehrkräfte übersehen — ist, wie weit die Definition reicht. Die DSGVO betrachtet als personenbezogene Daten jede Information, die einer identifizierten oder identifizierbaren Person zugeordnet werden kann.

Das umfasst das Offensichtliche: Vor- und Nachname, Geburtsdatum, Personalausweisnummer, Adresse, Foto, Telefonnummer. Es umfasst aber auch Dinge, die nicht wie „Daten" im Verwaltungssinn aussehen:

  • Die Antworten in einer Klausur: ein Aufsatz ist ein personenbezogenes Datum des Schülers oder der Schülerin, der oder die ihn geschrieben hat.
  • Die Noten und die Bewertungskommentare.
  • Klassenzimmerfotos, auch wenn sie von hinten oder nur Hände zeigen.
  • Audioaufnahmen von Präsentationen.
  • Die Schülerakte, die Beobachtungen der Klassenleitung, die Notenbuchnotizen.

Innerhalb der personenbezogenen Daten gibt es eine besonders geschützte Kategorie: die besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO). Es geht um Daten zu ethnischer Herkunft, politischen Meinungen, religiösen Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben oder sexueller Orientierung, genetischen oder biometrischen Daten. Der zusätzliche Schutz ist erheblich.

Es gibt eine häufige Grauzone: sonderpädagogische Gutachten, individuelle Förderpläne, Diagnosen zu sonderpädagogischem Förderbedarf. Das sind Gesundheitsdaten und fallen in die besonderen Kategorien. Der Umgang mit diesen Daten erfordert verstärkte Maßnahmen.

Die zusätzliche Schicht: es sind Minderjährige

Zu allem oben Genannten kommt ein zusätzlicher Schutz, wenn es um Minderjährige geht. In Deutschland legt § 8 DSGVO i.V.m. nationalem Recht fest, dass Kinder unter 16 Jahren in der Regel nicht selbst rechtswirksam in Datenverarbeitungen im Bereich der Informationsgesellschaft einwilligen können — die Einwilligung muss durch die Sorgeberechtigten erfolgen.

Das bedeutet, dass eine Lehrkraft in der Grundschule oder Mittelstufe fast ausschließlich Daten verarbeitet, in deren Verarbeitung die Schüler·innen nicht selbst einwilligen können. Jedes Werkzeug, das mit diesen Daten genutzt wird, braucht eine formalisierte Einwilligung der Familie.

Bei über 16-Jährigen kann der oder die Schüler·in einwilligen, doch die Schule bleibt Verantwortlicher. Die Verantwortung verschwindet nie.

Schild mit zentralem Schloss und dem Wort DSGVO

Wer ist wofür verantwortlich

Eine wichtige Unterscheidung wird oft verwechselt:

  • Der Verantwortliche entscheidet, welche Daten verarbeitet werden und wozu. Im Bildungsbereich ist das fast immer die Schule (oder, indirekt, der Schulträger).
  • Der Auftragsverarbeiter ist das Werkzeug oder das externe Unternehmen, das diese Daten im Auftrag des Verantwortlichen verarbeitet.

Wenn eine Lehrkraft Klausuren in ein externes Korrekturwerkzeug hochlädt, bleibt die Schule der Verantwortliche. Das Werkzeug ist Auftragsverarbeiter. Damit diese Beziehung rechtskonform ist, muss zwischen Schule und Anbieter ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO unterzeichnet sein. Ohne diesen Vertrag ist die Nutzung nicht zulässig.

Wenn ein Werkzeug Ihnen keinen unterschriftsreifen Standard-AVV vorlegen kann, nutzen Sie es nicht mit echten Schüler·innen-Daten. Punkt.

Das ist wahrscheinlich der nützlichste Filter überhaupt. Seriöse Werkzeuge, die sich an Schulen wenden, haben diesen Vertrag vorbereitet und stellen ihn ohne Reibung bereit. Werkzeuge, die das nicht tun, sind keine Option.

Die Fragen, die jedem Werkzeug zu stellen sind

Bevor Sie eine einzige echte Arbeit auf eine externe KI-Plattform hochladen, lohnt sich ein kurzer Fragenkatalog. Wenn eine Antwort Sie nicht überzeugt, suchen Sie eine Alternative:

1. Wo werden die Daten physisch gespeichert?

Das ist wichtig, weil die DSGVO internationale Datenübermittlungen außerhalb des Europäischen Wirtschaftsraums einschränkt. Wenn die Server in den USA, in Indien oder in irgendeinem Land ohne angemessenes Schutzniveau stehen, braucht es entweder einen rechtlichen Mechanismus (Standardvertragsklauseln, Angemessenheitsbeschluss) — oder Sie meiden das Werkzeug.

Die ideale Antwort ist „in der EU". Die akzeptable Antwort ist „in den USA mit Standardvertragsklauseln und Zertifizierung im EU-US-Datenschutzrahmen". Eine vage Antwort („in der Cloud") ist Grund, nicht weiterzumachen.

2. Wie lange werden sie aufbewahrt?

Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) besagt, dass nur das Notwendige für den erklärten Zweck aufbewahrt wird. Ein Werkzeug, das Ihre korrigierten Klausuren unbegrenzt speichert oder die Frist nicht angibt, achtet diesen Grundsatz nicht.

Vernünftig ist, dass die Daten so lange aufbewahrt werden, wie das Vertragsverhältnis mit der Schule besteht, und dass sie automatisch gelöscht werden (oder nach einer definierten Frist).

3. Werden sie zum Trainieren von Modellen verwendet?

Diese Frage ist bei KI-Werkzeugen entscheidend. Manche Dienste nutzen die ihnen gesendeten Daten, um ihre Modelle zu verbessern. Wenn die Antwort ja lautet — selbst wenn die Daten „anonymisiert" sind, was technisch heikel ist —, sind sie keine Option für Daten von Minderjährigen.

Die erwartete Antwort ist ein klares Nein, idealerweise vertraglich garantiert: „Kundendaten werden niemals zum Training von Modellen verwendet."

4. Welche technischen Sicherheitsmaßnahmen sind vorhanden?

Verschlüsselung im Ruhezustand, Verschlüsselung in der Übertragung (HTTPS), Zugriffskontrollen, Audit-Protokolle. Das sind die Grundmaßnahmen. Ein Werkzeug, das sie nicht beschreiben kann oder vage beschreibt, hat kein ernstzunehmendes Sicherheitsniveau.

5. Was passiert, wenn eine Familie ihre Rechte ausübt?

Die DSGVO gibt Familien — oder Schüler·innen ab dem digitalen Einwilligungsalter — konkrete Rechte: Auskunft, Berichtigung, Löschung, Datenübertragbarkeit. Wenn eine Familie wissen möchte, welche Daten von ihr auf einer Plattform liegen, muss Ihre Schule antworten können. Das heißt: Das Werkzeug braucht einen klaren Prozess, damit die Schule diese Anfragen bearbeiten kann.

Anonymisierung: der wichtige Unterschied

Eine Lösung, die manchmal als Abkürzung vorgeschlagen wird, lautet: „Ich lade es anonymisiert hoch". Die Idee ist, den Namen des Schülers oder der Schülerin zu entfernen und nur den Inhalt der Klausur zu senden.

Diese Praxis reduziert das Risiko, ist aber keine Anonymisierung im Sinne der DSGVO. Echte Anonymisierung bedeutet, dass es unmöglich — nicht nur schwer — ist, die Person zu reidentifizieren. Eine Klausur mit einzigartigen Antworten, persönlichen Informationen zwischen den Zeilen, dem Klassenkontext und dem Datum ist fast immer reidentifizierbar.

Was beim „Namen entfernen" geschieht, heißt Pseudonymisierung, und pseudonymisierte Daten bleiben personenbezogene Daten im Sinne der DSGVO. Sie senken das Risiko, beseitigen aber die Pflichten nicht.

Damit Anonymisierung wirklich gegeben wäre, müsste die Verbindung zum Klassenzimmerkontext, zu den Mitschüler·innen, zu den Daten gekappt werden. In der akademischen Korrekturpraxis nicht möglich.

Die rote Linie: sensible Daten und nicht zertifizierte Werkzeuge

Im Bildungsbereich besteht ein recht klarer Konsens darüber, wo die Grenze liegt:

  • Sonderpädagogische Gutachten, Diagnosen, Gesundheitsinformationen: nie an externe Werkzeuge ohne spezifische Zertifizierung für Gesundheitsdaten.
  • Identifizierbare Bilder und Audioaufnahmen von Schüler·innen: nur an Werkzeuge, die alle fünf vorigen Fragen streng erfüllen, und mit ausdrücklicher Einwilligung der Familien für diesen konkreten Zweck.
  • Daten von Minderjährigen unter 16 ohne familiäre Einwilligung speziell für die Werkzeugnutzung: schlicht nein.

Diese Linien zu überschreiten ist kein abstraktes Risiko. Datenschutzbehörden verhängen Bußgelder, Familien beschweren sich, Schulen verlieren das Vertrauen.

Was sich mit angemessener Sicherheit tun lässt

Es ist nicht alles Verbot. Es gibt einen großen Raum, in dem KI echten Mehrwert mit beherrschtem Risiko bietet:

  • Von der Lehrkraft erstellte Materialien (Übungen, Schemata, Beispiele), die keine Schüler·innen-Daten enthalten. Hier kein DSGVO-Problem.
  • Schüler·innen-Arbeiten an Werkzeuge mit unterschriebenem AVV, klaren Klauseln, EU-Speicherort und ausdrücklicher Zusage des Nicht-Trainings.
  • Aggregierte Analysen und Statistiken der Klasse ohne individuelle Identifikation.

Der Unterschied zwischen rechtskonformer und problematischer Nutzung liegt nicht in der Technologie. Er liegt im vertraglichen und technischen Rahmen rund um die Technologie.

Ein ausstehendes Gespräch in den meisten Schulen

Eine abschließende Beobachtung, ohne Dramatik. Die praktische Realität der meisten Schulen im Jahr 2026 ist, dass die KI durch die Hintertür eingezogen ist. Lehrkräfte probieren individuell Werkzeuge aus, laden Arbeiten hoch, erzielen brauchbare Ergebnisse und machen weiter, ohne dass die Schulleitung, der oder die schulische Datenschutzbeauftragte oder die Familien einen Überblick haben.

Das ist nicht nachhaltig. Das Gespräch muss irgendwann stattfinden, und es ist besser, wenn es stattfindet, bevor eine Beschwerde oder eine Kontrolle es erzwingt. Das nützliche Gespräch schließt die Schulleitung ein, den oder die Datenschutzbeauftragte, eine Vertretung der Familien und die Lehrkräfte, die KI-Werkzeuge nutzen oder nutzen wollen.

Das Ergebnis dieses Gesprächs muss kein KI-Verbot sein. Es kann ein klarer Rahmen sein, der festlegt, welche Werkzeuge für welchen Datentyp zugelassen sind, mit welcher Information an die Familien und nach welchen Verfahren.

Lähmende Angst und chaotische Freiheit sind die zwei schlechtesten Optionen. Es gibt einen vernünftigen Mittelweg, und er lohnt sich, gemeinsam aufzubauen.

Korrigieren Sie 90 % schneller

Tragen Sie sich auf die Warteliste ein und sichern Sie sich einen frühen Zugang.

Auf Warteliste

Das Magistral-Team

Wir entwickeln die KI, die Lehrkräften die Zeit zurückgibt, die ihnen die Korrektur gestohlen hat.

Weiterlesen

Schreibtisch mit Papieren, Kaffeetasse und gedämpftem Licht am Tagesende Lehrkräfte-Produktivität

Burnout im Lehrberuf: 7 Anzeichen, dass Sie handeln müssen

Burnout im Lehrberuf ist von der WHO anerkannt und betrifft mehr als die Hälfte der Lehrkräfte. 7 klare Anzeichen, um es früh zu erkennen.

· 10 Min. Lesezeit
Computerbildschirm mit Code und Zeichen im Vordergrund KI in der Bildung

Klausuren mit KI korrigieren, ohne Ihr fachliches Urteil aufzugeben

Ein praktischer Leitfaden, um KI als Korrekturassistenz einzusetzen, ohne die professionelle Kontrolle über die Bewertung Ihrer Schüler·innen zu verlieren.

· 10 Min. Lesezeit
Analoger Wecker auf einer weißen Oberfläche Lehrkräfte-Produktivität

Wie viel Zeit Lehrkräfte mit Korrigieren verbringen (und wie sie sie zurückgewinnen)

Die unsichtbaren Kosten der Korrektur, die emotionale Steuer des Lehrer-Wochenendes und die konkreten Hebel, die Stunden Ihres Lebens zurückgeben.

· 10 Min. Lesezeit