LivingLines Logo LivingLines

DSGVO-konforme KI in der Schule: Checkliste für Schulleitungen

KI-Tools versprechen Entlastung, aber die Verantwortung für den Datenschutz liegt bei der Schule und ihrem Träger. Diese Checkliste fasst zusammen, was Schulleitungen vor der Einführung eines KI-Tools prüfen sollten, und welche Antworten ein seriöser Anbieter liefern muss.

Der rechtliche Rahmen in Kürze

Drei Regelwerke sind relevant: Die DSGVO regelt den Umgang mit personenbezogenen Daten, insbesondere denen von Minderjährigen. Verarbeitet ein Anbieter Daten im Auftrag der Schule, braucht es einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO samt dokumentierter technischer und organisatorischer Maßnahmen (TOMs). Der EU AI Act stuft bestimmte Bildungsanwendungen als Hochrisiko ein, insbesondere die automatisierte Bewertung von Schülerleistungen. Übungs-Feedback und Diagnostik-Unterstützung, bei denen die Lehrkraft entscheidet, sind davon zu unterscheiden.

Die Prüfliste

  1. Hosting-Standort: Werden alle Daten in Deutschland oder der EU verarbeitet? Fließen Daten an Subunternehmer außerhalb der EU, etwa für KI-Modelle in den USA?
  2. Schülerdaten: Braucht das Tool personenbezogene Daten der Schüler:innen überhaupt? Die datensparsamste Lösung sind pseudonyme Klassen-Logins ohne private E-Mail-Adressen, bei denen die Schule die Zuordnung behält.
  3. AVV und TOMs: Stellt der Anbieter einen unterschriftsreifen AVV und dokumentierte TOMs bereit? Beides sollte ohne Nachfragen zum Download stehen.
  4. KI-Training: Schließt der Anbieter aus, dass Schülereingaben zum Training von KI-Modellen Dritter verwendet werden?
  5. Transparenz: Kann der Anbieter erklären, welche Daten wohin fließen und welche KI-Modelle im Einsatz sind? Externe Prüfungen und Selbstverpflichtungen (etwa im Trusted-Cloud-Register) sind ein gutes Signal.
  6. Rollen- und Rechtekonzept: Sehen Lehrkräfte nur die eigenen Klassen? Was passiert mit den Daten am Schuljahresende und bei Vertragsende?

Rote Flaggen

Wie LivingLines diese Anforderungen löst

LivingLines wurde von Anfang an für den schulischen Einsatz gebaut: Alle Daten werden ausschließlich in einem ISO-zertifizierten Rechenzentrum in Würzburg gehostet. Schüler:innen arbeiten mit anonymisierten Klassen-Logins per QR-Code, ganz ohne private E-Mail-Adressen oder personenbezogene Daten. AVV nach Art. 28 DSGVO und TOMs stehen zum Download bereit, die KI-Modelle sind eigenentwickelt und die Datenflüsse dokumentiert. LivingLines ist im DIRECTIONS-Verfahren (Trusted Cloud) in Schutzklasse 1 eingestuft. Alle Details und Dokumente: Datenschutz bei LivingLines.

Prüfung leicht gemacht: Alle Datenschutz-Dokumente von LivingLines (AVV, TOMs, Verfahrensbeschreibung) finden Sie gebündelt auf unserer Datenschutz-Seite, für eine schnelle Prüfung durch Schulleitung, Datenschutzbeauftragte und Träger.
Zu den Datenschutz-Dokumenten

Häufige Fragen

Braucht jede Schule einen eigenen AVV mit dem Anbieter?

Ja, die Schule (bzw. der Träger) schließt mit dem Anbieter einen Auftragsverarbeitungsvertrag, sobald dieser Daten im Auftrag verarbeitet. Seriöse Anbieter stellen dafür eine unterschriftsreife Vorlage bereit.

Ist ein US-Anbieter automatisch unzulässig?

Nicht automatisch, aber der Aufwand für eine rechtssichere Nutzung ist deutlich höher (Datenübermittlung in Drittländer, zusätzliche Garantien). EU- oder Deutschland-Hosting ohne Drittland-Transfer ist für Schulen der einfachste und sicherste Weg.

Was bedeutet pseudonyme Nutzung konkret?

Schüler:innen melden sich mit neutralen Zugängen an (bei LivingLines z. B. Tiernamen-Accounts per QR-Code-Karte). Der Anbieter kennt keine Klarnamen; nur die Lehrkraft kann die Zuordnung in ihrer Klasse vornehmen.

Muss der schulische Datenschutzbeauftragte zustimmen?

Der oder die Datenschutzbeauftragte sollte vor der Einführung eingebunden werden. Mit vollständigen Unterlagen des Anbieters (AVV, TOMs, Verfahrensbeschreibung) ist diese Prüfung meist schnell erledigt.