mr_tee – datenschutz-schule.info

August 28, 2025August 28, 2025

Microsoft Copilot in MS365 Edu – Datenschutzfragen

Lesezeit: 7 Minuten

Aufsichtsbehörden sehen Microsoft 365 weiterhin kritisch und gehen davon aus, dass eine datenschutzgerechte Nutzung den Abschluss einer Zusatzvereinbarung in Anlehnung an die von sieben Aufsichtsbehörden erarbeitete Handreichung erfordert. An vielen Schulen wird Microsoft 365 seit Jahren genutzt und Schulen halten daran fest, auch wenn es im Bildungsbereich bisher noch keine Zusatzvereinbarung gibt. Copilot ist mittlerweile ein Bestandteil von Microsoft 365 und steht dort in Abhängigkeit von der Lizenz des Tenants mit unterschiedlichem Funktionsumfang zur Verfügung. An vielen Schulen fragt man sich, ob es möglich ist Copilot im Unterricht einzusetzen, um so Extrakosten für Lizenzen bei Anbietern wie fobizz, SchulKI, Paddy, FellowFish und ähnlich zu vermeiden?

Der Beitrag erklärt die Unterschiede zwischen Copilot-Versionen, ordnet rechtliche Vorgaben ein und zeigt anhand von Beispielen aus Deutschland und Nachbarländern, wie Behörden und andere Player reagieren. Am Ende wird aufgezeigt, wie der aktuelle Stand im Bildungsbereich einzuschätzen ist und welche Leitplanken Schulen derzeit beim Einsatz von Copilot berücksichtigen sollten.

Grundsätzliches

Es gibt diverse Copilot Funktionen von Microsoft und es gelten unterschiedliche Datenschutzbedingungen.

Copilot innerhalb von Microsoft 365 und Consumer Version

Zu unterscheiden ist innerhalb von Microsoft 365

Copilot Chat – https://m365.cloud.microsoft/chat/ – verfügbar für Schüler und Lehrkräfte
Copilot als Bestandteil von Word, Excel, PowerPoint, Outlook, Teams, OneNote – verfügbar als kostenpflichtiges Add-on, jedoch nur für Lehrkräfte in den entsprechenden A3 und A5 Lizenzen

Außerhalb von Microsoft 365 gibt es noch Copilot über Browser und Apps

Früher bekannt als Bing Chat (jetzt Microsoft Copilot) – kostenlos im Web https://copilot.microsoft.com und in der Edge-Sidebar.

Copilot Apps – mobile Apps für iOS und Android: „Microsoft Copilot“.

Microsoft beschreibt die Unterschiede in der Benennung der Copilot-Versionen wie folgt:

“Seit Januar 2025 haben die Erfahrungen für die Copilot Arbeit und den persönlichen Gebrauch nicht mehr den gleichen Namen:

Microsoft 365 Copilot Chat (im Web verankert) und Microsoft 365 Copilot (basiert auf Web- und Arbeitsdaten) sind für Arbeit und Bildung vorgesehen.

Microsoft Copilot ist für den persönlichen Gebrauch”

Altersfreigaben/ – beschränkungen

Microsoft hat im Mai 2025 offiziell bekanntgegeben, dass Copilot Chat in Microsoft 365 Education für Schülerinnen und Schüler ab 13 Jahren verfügbar ist.

Die Consumer-Version von Copilot für den privaten, nicht-schulischen Gebrauch ist dagegen erst ab 18 Jahren nutzbar und in einigen EU-Ländern bereits früher. Da Deutschland keine eigene Regelung zur Einwilligungsfähigkeit nach Art. 8 DS-GVO getroffen hat, gilt hier ein Mindestalter von 16 Jahren für die wirksame Einwilligung. Unterhalb dieser Grenze ist die Nutzung nur mit Einwilligung der Sorgeberechtigten rechtmäßig. Der Einsatz der Consumer-Version im schulischen Kontext ist datenschutzrechtlich ausgeschlossen.“

Webzugriff in Copilot

Microsoft sagt:

“Wenn Sie die Richtlinie Websuche in Copilot zulassen nicht konfigurieren, ist die Websuche für Benutzer sowohl in Microsoft 365 Copilot als auch im Chat standardmäßig verfügbar, es sei denn, Sie legen die Richtlinie Verwendung zusätzlicher optionaler verbundener Umgebungen in Office zulassen auf Deaktiviert fest. Das Deaktivieren optionaler verbundener Erfahrungen schränkt jedoch Microsoft 365 Copilot Chat, Microsoft 365 Copilot und mehrere Benutzeroberflächen in Microsoft 365 ein.”

Das bedeutet: sobald CoPilot über die Web-Schnittstelle mit Bing kommuniziert, verlässt der Datenfluss diesen geschützten Raum. Microsoft selbst weist in seiner Dokumentation darauf hin, dass für Web-Suchanfragen andere Bedingungen gelten können und diese z.B. nicht von der EU Data Boundary abgedeckt sind. Da unklar ist, welche Daten Microsoft in diesem Zusammenhang verarbeitet, werden die Zusagen für den Edu-Bereich damit vermutlich unterlaufen. Schulen sollten, wenn Copilot für Schülerinnen und Schüler zur Verfügung gestellt wird, den Webzugriff mandantenweit deaktivieren.

Wie ist die Verbindung von Microsoft Copilot zu OpenAI ChatGPT?

Microsoft besitzt große Anteile von OpenAI und hat dadurch Zugriff auf die LLM von OpenAI, aber die OpenAI-Modelle laufen innerhalb von Microsofts Azure-Infrastruktur. Das bedeutet, es handelt sich um eigene Instanzen des KI-Systems. Nutzerdaten bzw. -eingaben werden nicht für Trainingszwecke genutzt. Es gibt zwischen den von Microsoft betriebenen OpenAI-Modellen und den von OpenAI selbst betriebenen ChatGPT Modellen keine technische Verbindung und auch keinen Austausch von Daten.

Copilot läuft über Azure OpenAI Service, abgesichert durch Microsofts Verträge und EU-Data-Boundary.
ChatGPT ist der direkte OpenAI-Dienst, ohne die Microsoft-Schutzschicht – deshalb für Schulen/Behörden datenschutzrechtlich nicht nutzbar (ohne zwischengeschaltete API durch Anbieter wie fobizz, SchulKI, Paddy, FellowFish, …).

Zugriff auf Daten

Copilot Chat arbeitet nur mit den Prompts, die der Nutzer direkt eingibt (z. B. Fragen, hochgeladene Dateien).

Das Copilot Add-on kann innerhalb der Microsoft 365 auf alle Dokumente zugreifen, die ein Nutzer erstellt hat oder auf die er Zugriff hat/ die für ihn freigegeben sind. Copilot Chat hat keinen Zugriff auf OneDrive/SharePoint/Graph-Daten. Nur das Add-on nutzt die Microsoft Graph-Integration. Copilot sieht nur das, was auch der Nutzer sehen darf (Berechtigungen werden nicht umgangen).

Datenschutz

Für Copilot außerhalb von Microsoft 365 gelten die Datenschutzstandards für Privatnutzer. Diese sind mit den datenschutzrechtlichen Vorgaben für Schulen nicht vereinbar. Das bedeutet, Versionen außerhalb von Microsoft 365 können im Unterricht auf gar keinen Fall mit Schülerinnen und Schülern genutzt werden. Die Nutzung ist vergleichbar einer direkten Nutzung von ChatGPT, Gemini, Claude und DeepSeek.

CoPilot Chat ist zwar vergleichbar einer direkten Nutzung von KI-Plattformen wie den zuvor genannten, doch es gibt wichtige Unterschiede.

Copilot Chat in Microsoft 365 Edu unterliegt den gleichen Datenschutzstandards, wie sie für die anderen in der Plattform enthaltenen Dienste (Word, Excel, PowerPoint, Teams, OneNote, …) gilt, da CoPilot Chat ein Core-Service ist, ein eigenständiger Dienst und damit nicht zu den problematischen optionalen verbundenen Erfahrungen zählt.
Als Core-Service gilt für Copilot Chat der Enterprise-Datenschutz und es fällt unter die EU Data Boundary. Letzteres ist wichtig, da Microsoft so zusichert, dass sämtliche Daten ausschließlich innerhalb der EU verarbeitet werden.

Innerhalb des Nutzerkontos können Nutzer ihren Copilot Aktivitätsverlauf löschen.¹ Die Löschung betrifft Microsoft Copilot Chat und auch die Aktionen von über Add-on verfügbaren Copilot Funktionen in Word, Excel, … Mit Copilot erstellte und bearbeitete Inhalte werden nicht gelöscht.

Was man noch wissen sollte

Berlin

In Berlin stellte zum Schuljahr 2024/25 allen Lehrkräften Copilot zur Verfügung:

“Als eines der ersten Bundesländer bietet Berlin seinen Lehrkräften jetzt ein datenschutzkonformes KI-Tool an. 💻📱Mit Copilot, dem KI-Assistenten von Microsoft, wird alles digitaler, einfacher und kreativer. Die Anwendung nutzt ausschließlich öffentliche Webdaten und schützt dabei die Privatsphäre. Es unterstützt Pädagoginnen und Pädagogen im Unterrichtsalltag bei einer Vielzahl von Aufgaben:

➡️ schnell im Netz recherchieren

➡️ Unterrichtsmaterialien mit Bildern erstellen

➡️ Routineaufgaben, wie Terminplanung und Dokumentenerstellung, automatisieren

„Mit Copilot ermöglichen wir an unseren Schulen Unterricht auf der Höhe der Zeit. Um alle Pädagoginnen und Pädagogen auf diesem Weg mitzunehmen, haben wir zum neuen Schuljahr eine Fortbildungsreihe zum Umgang mit KI an unseren Schulen gestartet.”²

Von der Berliner Aufsichtsbehörde wurde das kritisch gesehen, da sie nicht vorab beteiligt worden war.

Die Berliner Senatsverwaltung hatte Copilot Chat in Edge zur Verfügung gestellt und gibt dazu an:

- …. dass “durch die Einführung von Microsoft Copilot in Edge im Unternehmensdatenschutz keine weiteren personenbezogenen Daten verarbeitet werden als diejenigen durch die Einführung der MEG [mobilen Endgeräte], …”
- “Von den Nutzenden dürfen keine personenbezogenen Daten in Microsoft Copilot eingegeben werden.
- Die Kl darf auch nicht für Bewertungen oder die Kontrolle von Prüfungen eingesetzt werden.”
- “Datenschutzfilter: Es kommen Filter zum Einsatz, die verhindern, dass sensible persönliche Informationen verarbeitet werden. Zum Beispiel ist es nicht möglich, persönliche Informationen anzugeben oder abzufragen.”³

Niedersachsen

In Niedersachsen hatte man in enger Abstimmung mit der Aufsichtsbehörde eine Zusatzvereinbarung mit Microsoft getroffen, welche es öffentlichen Stellen (gemeint ist hier Verwaltungen) erlaubt Microsoft Teams zu nutzen. In diesem Kontext testet die Landesverwaltung seit März 2025 in mehreren Ressorts Copilot.⁴

Schweiz Kanton Zürich

Der Kanton Zürich hat darauf reagiert, dass Lehrkräften nun Copilot als Basisdienst zur Verfügung steht und nicht mehr zentral deaktivierbar ist. Nach einer internen datenschutzrechtlichen Prüfung entschied, dass Copilot von den Lehrpersonen genutzt werden darf. Die Schule trägt dabei jedoch die Verantwortung für die korrekte Nutzung von Copilot durch die Lehrpersonen. Schulen werden Hinweise gegeben, welche Regeln bei der Nutzung zu beachten sind, auch mit Blick auf Datenschutz.⁵

Niederlande

Die Niederlande sind bekannt für ihre Vorreiterrolle in Sachen Datenschutz. Sie konnten in der Vergangenheit erfolgreich durch Datenschutz-Folgenabschätzungen Mängel in großen Plattformen wie Microsoft 365 und Google Workspace for Education nachweisen und dann jedoch durch Verhandlungen mit den großen Anbietern Veränderungen erwirken, welche in Folge eine datenschutzfreundliche Nutzung der Plattformen durch Behörden und Schulen ermöglichte. Die zentralen Akteure im niederländischen Bildungssektor, SURF und SIVON, raten derzeit dringend von der Nutzung von Microsoft 365 CoPilot ab. Wie in vergangenen Fällen hatte SURF⁶ hier Privacy Company im Januar 2024 mit einer Datenschutz-Folgenabschätzung (DSFA/ DPIA)⁷ beauftragt und dann im Dezember 2024 nach Veröffentlichung der Untersuchungsergebnisse dazu geraten, Microsoft 365 Copilot wegen Datenschutzrisiken vorerst nicht zu verwenden. In Bezug auf Datenschutz kritisierte man u.a. fehlende Transparenz und auch das Risiko falscher Daten.

Man sollte beachten, dass sich seit der DSFA in den Niederlanden Anfang 2024 eine Menge getan hat, was Microsoft Copilot angeht. Microsoft hat an vielen Stellen nachgebessert, technisch wie auch in Bezug auf die Dokumentation und vertragliche Anpassungen.⁸ Ob die in der DSFA festgestellten Mängel weiterhin Bestand haben oder von Microsoft erfolgreich beseitigt wurden, dazu gibt es von Seiten von SURF bisher keine Informationen.

Wo stehen wir aktuell

Es ergibt sich aus dem, was öffentlich dokumentiert ist, kein einheitliches Bild.

Festzuhalten ist, dass die derzeit offiziell bekannten schulischen Einsatzbereiche von Copilot auf Lehrkräfte beschränkt sind und nur für Tätigkeiten gestattet sind, die keine personenbezogenen Daten enthalten. Eine Nutzung durch Schulministerien/ Bildungsverwaltungen oder Aufsichtsbehörden sanktionierte Nutzung durch Schülerinnen und Schüler ist nicht bekannt.
Werden KI-Anwendungen durch Bundesländer über Landeslizenzen bereitgestellt, dann geht es bisher immer um über API vermittelte Angebote wie fobizz, SchulKI, Paddy, FellowFish und Ähnliche, jedoch nicht um direkt genutzte Plattformen (auch wenn das bei einer EU KI wie Mixtral durchaus denkbar wäre mit Blick auf Datenschutz).
Microsoft selbst lässt eine Nutzung von Copilot in Microsoft 365 Education ab 13 Jahren zu verweist jedoch auf die rechtlichen Vorgaben im jeweiligen EU Land.
Wenn Schulen Copilot für ihre Schülerinnen und Schüler freigeben, sollte der Webzugriff von Copilot zentral deaktiviert werden, um mit der Nutzung innerhalb der Datenschutzbestimmungen/ -zusagen für den Bildungsbereich zu bleiben.
Die Nutzung von Copilot in Microsoft 365 ist immer auch im Kontext der insgesamt von den Aufsichtsbehörden als problematisch eingeschätzten Nutzung von Microsoft 365 zu sehen. Es bewegt sich hier in verschiedenen Bundesländern etwas, indem Zusatzvereinbarungen mit Microsoft abgeschlossen werden, die sich an der Handreichung der sieben Aufsichtsbehörden orientieren. In Hessen ist man von Seiten der Aufsichtsbehörde bemüht, hier auch zu einer entsprechenden Regelung für den Bildungsbereich zu kommen.
Man kann davon ausgehen, dass bei Zustandekommen einer Zusatzvereinbarung mit Microsoft für den Bildungsbereich in einem Bundesland, andere Bundesländer folgen werden. Copilot wäre dann ziemlich sicher mit der genannten Einschränkung auch für Schüler verfügbar.
Schulen, die aktuell Microsoft 365 nutzen, können davon ausgehen, dass sich die datenschutzrechtliche Lage für sie nicht ändert, wenn sie im Unterricht Copilot mit zentral deaktiviertem Webzugriff für Copilot einsetzen und sich an die Altersfreigabe halten.
Bezüglich dessen, was im Unterricht möglich ist, kann man mit Copilot alles machen, was ein LLM ohne den Webzugriff kann. Inhaltlich ist Copilot dabei jedoch immer nur auf dem Stand der letzten Trainingsdaten des aktuell bereitgestellten Modells. Es gelten die gleichen Regeln wie bei jeder KI-Plattform bezüglich der Verwendung von personenbezogenen oder -beziehbaren Daten in Prompts. Diese sollten vermieden werden, um mögliche Risiken auszuschließen. Es empfiehlt sich eine KI Nutzungsordnung zu erstellen und durch die schulischen Mitbestimmungsgremien verabschieden zu lassen sowie mögliche Risiken, welche aus der Nutzung einer KI-Plattform entstehen können, im Rahmen der Medienbildung zu thematisieren.

Stand August 2025

Juli 31, 2025

Schulische Datenübermittlung an die Bundesagentur für Arbeit

Lesezeit: 3 Minuten

Schulen in NRW arbeiten im Rahmen der Berufswahlvorbereitung eng mit der Bundesagentur für Arbeit zusammen. Berufsberaterinnen und Berufsberater kommen regelmäßig in die Schulen, um Schülerinnen und Schülern sowie deren Eltern Beratung und Unterstützung bei der Berufswahl anzubieten. Auf den Seiten des BO-Tool NRW (Digitales Online Instrumentarium zur Beruflichen Orientierung) informiert das Ministerium für Schule und Bildung (MSB) auch über die dabei stattfindende Datenverarbeitung und die dazu gehörigen Rechtsgrundlagen.

Bislang war es so, dass Schulen die Daten von Schülerinnen und Schülern nicht ohne deren Einwilligung an die Agentur für Arbeit bzw. die dort tätigen Berufsberaterinnen und Berufsberater weitergeben durften. Grundsätzlich gilt dieses auch weiterhin so, wie in der Schrift Informationen zum Datenschutz und zur Datenverarbeitung bei Beratungsgesprächen der Berufsberatung im Rahmen der „Lebensbegleitenden Berufsberatung vor dem Erwerbsleben“ erklärt wird.

Kommen die Berufsberater zu Beratungsgesprächen an die Schule, so darf die Schule den in der Schule befindlichen Berufsberaterinnen und Berufsberatern Namen und Uhrzeiten zum Zweck der Termingestaltung und Anwesenheitskontrolle geben. Weitere Daten der Schülerinnen und Schüler darf die Schule nur mit deren ausdrücklicher Einwilligung oder mit der der Erziehungsberechtigten an die Agentur für Arbeit weitergeben. Grundsätzlich können dabei Schülerinnen und Schüler ab 14 Jahren selbst der Verarbeitung ihrer Daten zustimmen; falls jedoch Unsicherheiten hinsichtlich ihrer Einwilligungsfähigkeit bestehen, ist die Zustimmung der Erziehungsberechtigten erforderlich. Wenn Eltern nicht möchten, dass ihr Kind an einem Beratungsgespräch teilnimmt, und der bereits durch ihr Kind erteilten Einwilligung bei der Agentur für Arbeit widersprechen, werden sämtliche Daten bei der Agentur gelöscht und das Beratungsgespräch entfällt. Der Widerruf muss gegenüber der Agentur für Arbeit erklärt werden, nicht gegenüber der Schule.

Entsprechend liegt auch die Information bezüglich der Verarbeitung der personenbezogenen Daten der Schülerinnen und Schüler durch die Agentur für Arbeit selbst. Jugendliche und ihre Erziehungsberechtigten erhalten mit der schriftlichen Einladung von der Agentur für Arbeit Informationen zum Datenschutz; die Schule informiert dazu nicht. Nehmen Minderjährige in der Schule spontan und selbständig eine Beratung in Anspruch, werden die Eltern durch die Agentur für Arbeit informiert und können der weiteren Datenverarbeitung widersprechen, woraufhin die Agentur die Daten löscht.

Die Schule informiert Schülerinnen, Schüler und Erziehungsberechtigte idealerweise vor dem ersten Kontakt mit der Berufsberatung über die Angebote und die datenschutzrechtlichen Modalitäten der Beratung. Dazu lädt sie die Berufsberatung zu Elternveranstaltungen (z. B. „Kick-Off“ im KAoA-Prozess, Jahrgangsstufe 8) ein, damit diese den Beratungsprozess und Datenschutz erläutert. Außerdem verteilt die Schule einen Informationsflyer zu den Beratungsleistungen und dem Datenschutz per Schulpost oder E-Mail an alle Erziehungsberechtigten, um Transparenz sicherzustellen.

Da die Schule eine zentrale Rolle bei der Vorbereitung der Jugendlichen auf die Berufswahl einnimmt, ist es sinnvoll, die individuellen Beratungsergebnisse mit der Agentur für Arbeit auszutauschen. Dieser Austausch, der eine bessere Abstimmung und gemeinsame Planung der beruflichen Orientierung ermöglicht, darf jedoch nur mit der ausdrücklichen Einwilligung der Jugendlichen erfolgen.

Ausnahme Beendigung der Schule ohne konkrete berufliche Anschlussperspektive

Seit April 2025 gibt es den Erlass zum Verfahren der Übermittlung von Daten nach Maßgabe des Schülerinnen- und Schülerdatenübermittlungsgesetzes NRW. Dieser ermöglicht es Schulen, die “personenbezogene Daten von Schülerinnen und Schülern, die voraussichtlich bei Beendigung der Schule über keine
konkrete berufliche Anschlussperspektive im Sinne des § 31a Absatz 1 SGB III verfügen, über die jeweils zuständigen Bezirksregierungen an die Bundesagentur für Arbeit zu übermitteln, so dass diese die Schülerinnen und Schüler gemäß
§ 1 Absatz 1 Satz 2 Schülerinnen- und Schülerdatenübermittlungsgesetz NRW
kontaktieren kann.”

Dieses Schülerinnen- und Schülerdatenübermittlgungsgesetz NRW, mit langem Namen auch “Gesetz zur Übermittlung von Schülerinnen- und Schülerdaten
am Übergang von der Schule in den Beruf” von Oktober 2023 und geändert im Juli 2025 schafft die Rechtsgrundlage, auf welcher Schulen einen Datensatz bestehend aus:

Vor- und Familienname,
Geburtsdatum,
Geschlecht,
Wohnanschrift,
voraussichtlich beendeter Schulform und
voraussichtlich erreichtem Abschluss.

übermitteln darf bzw. muss.

Gemäß Erlass übermitteln Berufskollegs “zusätzlich den jeweils besuchten Bildungsgang mittels der in Anlage 1 ausgewiesenen Schulgliederungsschlüssel.”

Die Schule muss vorab jedoch genau prüfen, auf welche Schülerinnen und Schüler der Erlass bzw. das Gesetz anzuwenden sind. Schülerinnen und Schüler, die über eine konkrete, im Erlass näher beschriebene Anschlussperspektive verfügen, sind von der Regelung ausgenommen. Gemäß Erlass übermittelt die Schule den Datensatz über das BAN-Portal an die zuständige Bezirksregierung. Auch wenn das dem Erlass zugrundeliegende Gesetz Schulen die Möglichkeit eröffnet, den Datensatz direkt an die Agentur für Arbeit zu übermitteln,

“Die personenbezogenen Daten der Schülerinnen und Schüler sind spätestens bis vier Wochen zum Ende eines Schuljahres je nach Übermittlungsweg entweder an die örtlich zuständige Agentur für Arbeit oder über die Bezirksregierung an die Bundesagentur für Arbeit zu übermitteln.”

hat hier für Schulen die Vorgabe des Erlass Vorrang. Die Übermittlung der von den Schulen im BAN-Portal hinterlegten Daten an die Bundesagentur für Arbeit erfolgt durch die jeweils zuständigen Bezirksregierungen. Diese laden bis zu einem im Erlass vorgegebenen Stichtag eine CSV-Datei mit den gesammelten Schülerdaten aus dem BAN-Portal herunter und übertragen sie anschließend über die SDN-Weboberfläche der Bundesagentur für Arbeit. Für die sichere Authentifizierung und Datenübertragung nutzen die Bezirksregierungen dabei ein von der Bundesagentur für Arbeit ausgestelltes Zertifikat.

Juli 25, 2025Juli 25, 2025

Bild- und Tonaufnahmen im Rahmen der Lehrerausbildung

Lesezeit: 4 Minuten

Im Rahmen der Lehrerausbildung kann es hilfreich sein, Unterrichtsstunden aufzuzeichnen, um anschließend den Verlauf Stunde und das unterrichtliche Handeln zu reflektieren. Eine Videoaufzeichnung ist dazu besonders geeignet. Es gilt dabei jedoch die rechtlichen Vorgaben des Schulgesetzes NRW zu beachten. Da diese sich schon vor einiger Zeit geändert haben, dieses aber nicht jedem bekannt scheint, wurde um einen entsprechenden, die aktuelle Rechtslage erläuternden Beitrag gebeten.

Zusammenfassung/ Abstract

Mit dem 15. Schulrechtsänderungsgesetz NRW (Mai 2020) wurde die Rechtslage zu Bild- und Tonaufnahmen im Unterricht grundlegend geändert. Die bisherige Regelung (§ 120 Abs. 3 Satz 2 SchulG NRW), die ministeriell genehmigte Aufnahmen mit Widerspruchsmöglichkeit erlaubte, wurde aufgehoben, da sie als bürokratisch und missverständlich galt. Seitdem ist für jede Bild- und Tonaufnahme im Unterricht oder bei verbindlichen Schulveranstaltungen eine freiwillige, anlassbezogene Einwilligung aller betroffenen Personen erforderlich; dies gilt gleichermaßen für Schülerinnen und Schüler wie für Lehrkräfte. Die Einwilligung muss klar den Anlass, den Zweck, die Empfänger, die Speicher- und Löschfristen sowie die Betroffenenrechte benennen und gegenüber der Schulleitung abgegeben werden. Eine Verweigerung darf keine Nachteile nach sich ziehen; Alternativen (z. B. Teilnahme am Unterricht in einer Parallelklasse) müssen angeboten werden. Bereits vorliegende Einwilligungen für andere Zwecke sind nicht übertragbar. Die Aufnahmen dürfen ausschließlich dem angegebenen Personenkreis und nur zu den beschriebenen Zwecken zugänglich gemacht werden und sind nach Zweckerfüllung zu löschen. Aufzeichnungsgeräte sollten möglichst von der Schule gestellt werden; bei Nutzung privater Geräte ist besondere Sorgfalt hinsichtlich Datenschutz und Datenspeicherung (keine Cloud-Synchronisation) erforderlich.¹

Rechtslage bis zum 15. Schulrechtsänderungsgesetz im Mai 2020

Es galt gem. § 120 Abs. 3 Satz 2 SchulG NRW:

“Für Zwecke der Lehrerbildung sowie der Qualitätsentwicklung und Qualitätssicherung dürfen vom Ministerium genehmigte Bild- und Tonaufzeichnungen des Unterrichts erfolgen, wenn die Betroffenen rechtzeitig über die beabsichtigte Aufzeichnung und den Aufzeichnungszweck informiert worden sind und nicht widersprochen haben.”

Rechtslage seit dem 15. Schulrechtsänderungsgesetz im Mai 2020

§ 120 Abs. 3 Satz 2 wurde gestrichen. § 120 Abs. 6 wurde ergänzt und regelt damit nun auch Bild- und Tonaufzeichnungen zum Zweck der Lehrerbildung.

“(6) Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen. Die Einwilligung muss freiwillig erteilt werden. Den betroffenen Personen dürfen keine Nachteile entstehen, wenn sie eine Einwilligung nicht erteilen.”

Begründung zum Wegfall der bisherigen Regelung und Klarstellung in einem neuen Absatz

“Zu Absatz 3
Die Regelung des bisherigen Absatzes 3 Satz 2 hat sich in der Anwendung als nicht praktikabel erwiesen und wird daher aufgehoben. Sie verfolgte ursprünglich das Ziel, für bestimmte Zwecke die Anfertigung von Bild- und Tonaufzeichnungen des Unterrichts zu erleichtern, indem die erforderliche datenschutzrechtliche Einwilligung der betroffenen Schülerinnen und Schüler durch eine ministerielle Genehmigung ersetzt werden kann und den Betroffenen lediglich eine Widerspruchsmöglichkeit zusteht. In der Praxis wird die Regelung von den Personen, die die Genehmigung der Aufzeichnungen beim Ministerium beantragen, jedoch überwiegend dahingehend missverstanden, dass zusätzlich zu den in vielen Fällen bereits vorliegenden Einwilligungen der betroffenen Schülerinnen und Schüler auch noch eine Genehmigung der Aufzeichnung durch das Ministerium erforderlich ist; sie wird demnach als zusätzliche bürokratische Anforderung wahrgenommen. Mit der Aufhebung der Regelung wird dieses Missverständnis beseitigt.
Die Rechtmäßigkeit der Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen ist an das Vorliegen der allgemeinen datenschutzrechtlichen Voraussetzungen, d.h. an die Einwilligung der Betroffenen gekoppelt. Das Erfordernis der Einwilligung für Bild- und Tonaufzeichnungen wird nochmals explizit zur Klarstellung im neuen Absatz 6 aufgenommen. Die datenschutzrechtliche Situation der Schülerinnen und Schüler wird dadurch verbessert.”

“Zu Absatz 6
In Satz 1 wird klarstellend aufgenommen, dass Bild- und Tonaufnahmen des Unterrichts oder sonstiger verpflichtender Schulveranstaltungen der Einwilligung der betroffenen Personen bedürfen und die Einwilligung freiwillig erfolgen muss (siehe auch Begründung zu den Absätzen 2 und 3). Die Klarstellung der aus der DSGVO folgenden Freiwilligkeit einer Einwilligung erfolgt auf Anregung der LDI.”

Eine § 120 Abs. 6 entsprechende Regelung findet sich die Lehrkräfte betreffend in § 121 Abs. 1 Satz 2.

Die Begründung für die Änderung von § 121 Abs. 1 Satz 2

“Mit der Neufassung des Satzes 2 wird die Entscheidung über Bild- und Tonaufnahmen des Unterrichts oder sonstiger verpflichtender Schulveranstaltungen zur Verbesserung der Datenschutzrechte der Lehrkräfte auch von deren Einwilligung abhängig gemacht. Dies entspricht der neuen Regelung für die Schülerinnen und Schüler in § 120 Absatz 5 SchulG. Die Klarstellung der aus der DSGVO folgenden Freiwilligkeit einer Einwilligung erfolgt auf Anregung der LDI.”²

Was bedeutet das für die Praxis der Lehrkräfteausbildung?

Die Anfertigung von Bild- und Tonaufnahmen oder auch nur Tonaufnahmen einer Unterrichtsstunde oder von Ausschnitten daraus, erfordert immer eine vorherige Einwilligung der betroffenen Personen, hier der Schülerinnen und Schüler und gegebenenfalls auch anwesender Lehrkräfte. Diese Einwilligung ist freiwillig. Das bedeutet, Schülerinnen und Schülern, welche die Einwilligung nicht erteilen wollen, darf aus der Nichteinwilligung kein Nachteil entstehen. Um die Freiwilligkeit zu gewährleisten, kann Schülerinnen und Schülern während der Anfertigung von Bild- und Tonaufnahmen die Teilnahme am Unterricht einer Parallelklasse angeboten werden. Dabei ist sicherzustellen, dass ihnen kein Lernstoff entgeht.

Aus der Einwilligung muss eindeutig hervorgehen,

für welche konkrete(n) Unterrichtsstunde(n) sie erteilt wird,
zu welchem Zweck die Bild- und Tonaufnahmen angefertigt werden,
wer Zugriff auf die Aufnahmen erhält,
wie lange die Aufnahmen gespeichert und wann sie gelöscht werden,
sowie, welche Rechte den betroffenen Personen zustehen.

Die Einwilligung ist – wie üblich – gegenüber der Schulleitung abzugeben.

Bereits vorliegende Einwilligungen für Bild- und Tonaufnahmen können in der Regel nicht verwendet werden, da sie meist andere Verarbeitungszwecke betreffen (beispielsweise die Erstellung von Erklärvideos, Aufnahmen im Sportunterricht zur Bewegungsanalyse oder das Training von Bewerbungsgesprächen).

Einwilligungen, die im Rahmen der Lehrkräfteausbildung für Bild- und Tonaufnahmen eingeholt werden, sind daher stets als sogenannte anlassbezogene Einwilligungen zu verstehen.

Beispiele, wie der Zweck beschrieben werden kann:

zur Nachbesprechung im Fachseminar, d.h. mit anderen Lehramtsanwärterinnen und -anwärtern.
zur Nachbesprechung mit dem Fachleiter und/ oder Hauptseminarleiter
zur Auswertung der Unterrichtsstunde für die Staatsarbeit mit Entnahme von Einzelbildern zur Illustration

Formulierungen bezüglich einer Veröffentlichung

Die Aufnahmen werden nur dem beschriebenen Personenkreis zu den genannten Zwecken zugänglich gemacht. Diese Personen werden vorab auf ihre Verschwiegenheitspflicht hingewiesen. Eine Veröffentlichung in anderer Form wird nicht erfolgen.
Beispielformulierungen bezüglich der Löschung/ Aufbewahrung
Die angefertigten Aufnahmen werden nur solange aufbewahrt, bis der Verarbeitungszweck erreicht ist. Danach werden die Aufnahmen vollständig gelöscht.

Hinweise zu den Aufnahmegeräten

Aufzeichnungen sollten nach Möglichkeit mit von der Schule gestellten Endgeräten vorgenommen werden. Sollen Aufnahmen mit privaten Endgeräten erfolgen oder mit Geräten des ZfSL, so ist dafür vorab eine Genehmigung der Schulleitung einzuholen, sofern es sich dabei um Datenverarbeitungsgeräte (Tablet, Smartphone, …) handelt. Bei Camcordern, Digitalkameras mit Videofunktion, Audiorekordern, die nicht mit Online-Funktionen des Herstellers zur Datenspeicherung oder Nachbearbeitung gekoppelt sind, braucht es diese Genehmigung nicht. Wird ein privates oder ZfSL eigenes digitales Endgerät für die Anfertigung der Bild- und Tonaufnahmen genutzt, ist sicherzustellen, dass die Aufnahmen nicht in eine Cloud synchronisiert/ gesichert werden, die nicht von der Schule zu diesem Zweck bereitgestellt wird.

Vorlage für eine Einwilligung

Die folgende Vorlage geht davon aus, dass eine Einwilligung für Videoaufnahmen im Unterricht eines/ einer Lehramtsanwärter/in eingeholt werden soll. Sie gilt für ein Schuljahr, eine Person und ein Fach und ist in einfacher Sprache gehalten.³

Einwilligung Schüler – einfache Sprache – Videos – Lehrkräfteausbildung.docx

Stand 07/2025

Mai 7, 2025

KI-Plattformen – DS-GVO und KI Verordnung

Lesezeit: 14 Minuten

Seit nunmehr zwei Jahren stellen KI-Plattformen unsere Welt auf den Kopf. Nicht nur in der Wirtschaft und Behörden treiben die auf großen Sprachmodelle (Large Language Model (LLM)) basierenden Plattformen umwälzende Veränderungen an, auch in der Schule bestimmen sie den Diskurs, egal ob es um das Lernen mit und über KI geht, eine veränderte Prüfungskultur, Intelligente Tutorielle Systeme, Learning Analytics, Diagnoseverfahren, die automatisierte Auswertung von Leistungsüberprüfungen und -nachweisen, Laufbahnprognosen, das Verfassen von Gutachten und die Erstellung von Förderempfehlungen. Das Potential von KI-Plattformen erscheint gerade in Schulen unbegrenzt. Welche Nutzungsmöglichkeiten sich im schulischen Alltag jedoch tatsächlich ergeben, hängt maßgeblich von zwei Faktoren ab: den rechtlichen Vorgaben sowie der Verfügbarkeit geeigneter Plattformen. Rechtliche Vorgaben und die sich daraus ergebenden Grenzen der Nutzung, im Datenschutz oft als Schranken bezeichnet, bestimmte bisher soweit es eine schulische Nutzung betrifft, das Datenschutzrecht und hier dann die DS-GVO und die aus ihr abgeleiteten spezialrechtlichen Regelungen der Schulgesetze- und Verordnungen der Bundesländer.

Die DS-GVO trat 2016 in Kraft und wird seit 2018 umgesetzt. Als sie in einem mehrjährigen Prozess erarbeitet wurde, konnte niemand damit rechnen, dass es gerade einmal vier Jahre nach Beginn der Umsetzung des Regelwerkes Plattformen geben könnte, die in der Lage sind zu tun, was die sogenannten KI-Plattformen heute leisten. Es gab durchaus eine Vorstellung von Computerprogrammen, in denen komplexe Algorithmen personenbezogene Daten auswerten und daraus resultierende Entscheidungen treffen. Um EU-Bürger vor Profiling und Entscheidungen zu schützen, die ausschließlich auf automatisierten Entscheidungen beruhen, entstand Art. 22 der DS-GVO. Europäischen Gesetzgebern wurde angesichts der rasanten Entwicklung und Verbreitung von KI-Plattformen seit November 2022 und den damit verbundenen Herausforderungen schnell klar, dass die DS-GVO diese nicht ausreichend abdecken kann. Die DS-GVO regelt den Schutz personenbezogener Daten, adressiert damit jedoch längst nicht alle Risiken, die mit dem Einsatz von KI verbunden sind. Mit der KI-Verordnung der EU (AI Act) versucht man nun, die neuen technologischen, ethischen und sicherheitsrelevanten Herausforderungen zu regulieren. Anders als die DS-GVO reguliert die KI-Verordnung in Abhängigkeit vom Risiko, welches von einer KI Anwendung ausgeht, und reguliert auch, wenn keine personenbezogenen Daten verarbeitet werden. Die KI-Verordnung ist so als Ergänzung zur DS-GVO zu sehen, welche durch einen neuen, spezifischen Rechtsrahmen einen sicheren und ethischen Einsatz von KI in der EU gewährleisten soll. Auch Schule ist von der KI-Verordnung betroffen, wenngleich ihre unmittelbaren Auswirkungen deutlich geringer sind als die, welche aus der DS-GVO resultieren. Inhaltlich knüpft die KI-Verordnung ein Stück weit an die in Art. 22 DS-GVO gesetzten Grenzen an, erweitert diese jedoch und erlegt Schulen neue Pflichten auf, die über den reinen Schutz der personenbezogenen Daten hinausreichen.

KI-Plattformen im Unterricht

Unabhängig von der KI-Verordnung gelten für die schulische Nutzung von KI-Plattformen, sofern personenbezogene Daten davon betroffen sind, weiterhin die bisherigen Regeln. Da diese im vorherigen Beitrag ausführlich beschrieben wurden, sind sie hier nur auf die wichtigsten Punkte reduziert wiedergegeben.

Die wichtigsten Grundregeln, welche mit Blick auf Datenschutz zu beachten sind, wenn KI-Plattformen mit Schülerinnen und Schülern im Unterricht genutzt werden, sind:

Eine direkte, unvermittelte Interaktion von Schülerinnen und Schülern mit den KI-Plattformen von US Anbietern wie OpenAI (ChatGPT), Anthropic (Claude), Meta (KI in Messengern wie WhatsApp und FB Messenger), Google (Gemini) usw. Oder oder auch von chinesischen Anbietern wie Hangzhou DeepSeek Artificial Intelligence Basic Technology Research Co., Ltd. (DeepSeek) ist mit unkalkulierbaren hohen Risiken verbunden und von daher mit Blick auf Datenschutz für Schulen auf keinen Fall zu empfehlen. Hintergrund: Die Anbieter haben nicht nur auf die Inhalte der Interaktion zwischen Schülerinnen und Schülern und der KI Zugriff, sondern auch auf alle mit der Interaktion verbundenen Metadaten wie Endgeräte-Kennungen, Standort, Spuren von anderen genutzten Plattformen usw.. Sie können alle diese Daten für eigene Zwecke wie zum Training ihrer Plattformen oder andere wirtschaftliche Interessen verwenden.
Wenn Schülerinnen und Schüler mit KI-Plattformen arbeiten, egal wie sie darauf zugreifen, dürfen die im Hintergrund laufenden LLM die in Prompts eingegeben Daten niemals für Trainingszwecke verwenden.
Schülerinnen und Schüler dürfen bei der Interaktion mit KI-Plattformen, egal wie sie darauf zugreifen, niemals persönliche Informationen von sich selbst oder anderen ihnen bekannten Personen als Bestandteil von Prompts eingeben.
- Bei multimodalen KI-Plattformen, das meint Plattformen, die in der Lage sind, Fotos, Videos und Audiodateien als Bestandteil von Prompts zu verarbeiten, muss darauf geachtet werden, dass diese Medien keine personenbezogenen oder -beziehbaren Daten enthalten, welche es ermöglichen die Daten auf eine identifizierbare Person zurückzuführen. Personenbezogene oder -beziehbare Daten können in Medien sowohl als Inhalt wie die Abbildung der Person oder ihre Stimme enthalten sein, als auch in Metadaten wie Standortdaten, Geräte-Kennungen usw..
Lehrkräfte sollten eine Möglichkeit haben, die Interaktion ihrer Schülerinnen und Schüler nachträglich stichprobenartig kontrollieren zu können, um eine riskante Nutzung sowie Missbrauch zu verhindern.
Schulen sollten in ihrer Nutzungsordnung für digitale Endgeräte, Apps und Online Plattformen auch die Nutzung von KI-Plattformen ausdrücklich berücksichtigen und entsprechende Nutzungsregeln darin festlegen.
Schülerinnen und Schüler sollten über die Funktionsweise von KI-Plattformen und mögliche Risiken für ihr Recht auf informationelle Selbstbestimmung aufgeklärt werden, bevor sie mit derartigen Plattformen im Unterricht arbeiten.

Es sollte klar geworden sein, dass eine unterrichtliche Nutzung von ChatGPT, Gemini, Claude, DeepSeek u. Ä. direkt über die Websites oder Apps der Anbieter durch Schülerinnen und Schülern für Schulen zu Konflikten mit den datenschutzrechtlichen Vorgaben führt, welchen sie unterliegen, und von daher nicht vertretbar ist.

Mittlerweile sind ausreichend viele alternative Möglichkeiten entstanden, die es erlauben, mit den genannten US-amerikanischen und chinesischen KI-Plattformen datenschutzfreundlich(er) zu interagieren. Darüber hinaus wächst die Zahl von Angeboten aus dem EU Raum wie auch direkt aus Deutschland, welche eigene, zumeist auf Open Source LLM aufsetzende KI-Plattformen bereitstellen.

Zu den Anbietern, welche alternative Zugriffsmöglichkeiten auf US-amerikanische KI-Plattformen anbieten, gehören aktuell bekanntere Namen wie fobizz, schulKI und FelloFish (Fiete.ai). Sie “entschärfen” die mit einer direkten Nutzung der US-amerikanischen KI-Plattformen verbundenen Risiken, indem sie über die von diesen Anbietern bereitgestellten API (Programmschnittstellen zu den LLM) als Vermittler auf personalisierte Zugänge für Schülerinnen und Schüler verzichten, die Nutzer anonymisieren und so eine mögliche Identifizierung anhand von Zugangs- und/oder Metadaten verhindern. Ergänzend stellen einige Anbieter in ihren Plattformen zusätzliche datenschutzfreundliche LLM zur Auswahl bereit. Dabei kann es sich um Open Source Modelle handeln oder Eigenentwicklungen von im DS-GVO Raum ansässigen Drittanbietern.

Verschiedene Bundesländer haben bei den genannten bekannteren Anbietern Landeslizenzen erworben, während andere Bundesländer eigene Lösungen in Auftrag gegeben haben. Aktuell entsteht im Auftrag der KMK eine weitere KI-Plattform, die unter Federführung des FWU entwickelt wird und dann durch die Bundesländer als Landesplattform den Schulen zur Verfügung gestellt werden kann.

Zu beachten ist, dass die oben aufgeführten Grundregeln aktuell auch bei der vermittelten Nutzung von US-amerikanischen und chinesischen KI-Plattformen gilt wie auch bei den von den Ländern bereitgestellten Plattformen, sofern diese keine abweichenden Vorgaben machen.

KI-Plattformen als Werkzeuge für Lehrkräfte

KI-Plattform sind nicht nur in der Lage, Texte zu verarbeiten, um Anweisungen zu folgen, sondern sie können Texte sowohl inhaltlich wie auch sprachlich analysieren. Das eröffnet nicht nur für Schülerinnen und Schüler neue Möglichkeiten. Während diese sich Feedback geben lassen können, um bessere Texte zu schreiben, können Lehrkräfte KI-Plattformen didaktische Kriterien bezüglich Sprache, Inhalt, Struktur, erwarteten Kompetenzen und ähnlich vorgeben mit dem Ziel, Schülertexte entsprechend auswerten zu lassen.

Einige Anbieter von KI-Plattformen wie auch beispielsweise Cornelsen mit der KI-Toolbox cornelsen.ai haben bereits spezialisierte Module in ihre Angebote integriert oder sich sogar darauf spezialisiert, Textprodukte einer größeren Anzahl von Schülerinnen und Schülern nacheinander schnell und effizient über ein von der Lehrkraft angelegtes Bewertungsraster auswerten zu lassen. In diesem Zusammenhang lassen sich auch schnell und einfach Vorschläge für eine Bepunktung und sogar eine Bewertung erstellen. Gleiches ist möglich, wenn die KI-Plattform Fotos als Bestandteil von Prompts entgegen nimmt. So lassen sich sogar handschriftliche Textprodukte über die Plattform analysieren und bewerten.

Mit Blick auf Datenschutz ergeben sich aus diesen Möglichkeiten neue Herausforderungen. Ist es überhaupt zulässig, Schülertexte mittels KI-Plattformen auswerten zu lassen?

Möchte man auf einer der oben genannten datenschutzfreundlichen Plattformen Schülertexte unterstützend auswerten lassen, dürften dabei keine persönlichen Inhalte in die Prompts einfließen, keine Namen und auch keine biographischen Daten. Es versteht sich von selbst, dass so Lebensläufe wie auch sehr persönliche Texte nicht über KI-Plattformen ausgewertet werden können. Digitale Texte sehen vom Schriftbild alle gleich aus. Doch wie verhält es sich mit handschriftlichen Texten? Diese stellen zumindest aktuell immer noch den Großteil der von Schülerinnen und Schülern erstellten Texte dar. Man sollte davon ausgehen können, dass die Handschrift von Schülern kein Merkmal darstellt, über welches Betreiber der großen KI-Plattformen diese einer identifizierbaren Person zuordnen können, wenn sie solches entgegen ihrer Datenschutzrichtlinien für API Nutzer doch tun sollten. Zwei Gründe sprechen dafür. Zum Einen finden sich kaum handschriftliche Muster von jungen Menschen im Internet oder auf Social Media, die einen Abgleich und eine Zuordnung ermöglichen würden und zum Anderen müssten KI-Plattformen darauf trainiert sein, individuelle Handschriften als solche zu erkennen.

Bei nicht handschriftlichen, digital verfassten Texten kann man sicher davon ausgehen, dass es keine datenschutzrechtlichen Bedenken gibt, diese in einer KI-Plattform auswerten zu lassen, solange diese Texte frei von identifizierenden Merkmale, wie Namen oder persönlichen Inhalte bleiben. Geht es um handschriftliche Texte, werden diese Einschätzungen vermutlich nicht von jedem geteilt werden.

Eine Auswertung von Schülertexten sollte damit unter den genannten Bedingungen zumindest für nicht handschriftliche, digital verfasste Texte in den Grenzen der DS-GVO möglich sein. Gemäß Art. 22 DS-GVO haben Betroffene, hier Schülerinnen und Schüler, “das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung […] beruhenden Entscheidung unterworfen zu werden, die” ihnen “gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.” Im Fall einer Auswertung von Schülerarbeiten mittels einer KI-Plattform meint dies eine Leistungsbewertung, welche von der Lehrkraft unkontrolliert übernommen wird. Es ist somit beispielsweise nicht zulässig, dass eine Lehrkraft die von ihren Schülerinnen und Schülern erstellten Leistungsnachweise über eine KI-Plattformen anhand von zuvor eingegebenen Aufgabenstellungen sowie dem Erwartungshorizont und einem Bewertungsraster automatisiert auswerten lässt und anschließend die von der Plattform ermittelten Noten in ihr Notenprogramm übernimmt und am Ende des Halbjahres aus den so ermittelten Noten eine Endnote festlegt. Art. 22 DS-GVO lässt Ausnahmen zu, wenn es entsprechende Rechtsvorschriften gibt und dort auch festgelegt ist, wie die Rechte und Belange der betroffenen Personen geschützt werden. Entsprechende spezialgesetzliche Regelungen aus dem Schulrecht sind dem Verfasser des Beitrags aus den verschiedenen Bundesländern bisher nicht bekannt. Offizielle Vorstöße in Richtung der Korrektur von Klassenarbeiten mittels KI-Plattformen müssen diese Grenzen berücksichtigen, wie der Schulversuchs „proof – Prozessorganisation und Feedback“ in Bayern verdeutlicht. Im Rahmen dieses Projektes dürfen 16 Schulen den Einsatz von KI bei der Korrektur von Arbeiten erproben, um Lehrkräfte von Routineaufgaben zu entlasten, jedoch ausdrücklich beschränkt auf die Vorkorrektur zur Beurteilung der sprachlichen und inhaltlichen Richtigkeit von Arbeiten.¹

In der Praxis bedeutet das, eine Vorauswertung von Schülertexten mittels einer geeigneten KI-Plattform ist unter Beachtung der oben genannten Hinweise durchaus möglich, solange die Lehrkraft die Resultate nicht ungeprüft übernimmt und die abschließende Notenfindung selbst vornimmt. Wenn Lehrkräfte KI-Plattformen zur Unterstützung bei der Bewertung von Schülertexten einsetzen, sollten sie sich immer auch der Tendenz bei menschlichen Entscheidenden bewusst sein, “die Ergebnisse des Computers ohne Kritik oder weitere Kontrolle zu übernehmen (sogenannter „Automation Bias“),” vor welcher der Landesbeauftragte für Datenschutz Baden Württemberg in seinem 40. Tätigkeitsbericht warnt.

Auswirkungen der KI-VO

Nicht nur die DS-GVO setzt mit Art. 22 dem Einsatz von KI-Plattformen bei der Auswertung von Schülerarbeiten Grenzen, auch die KI-Verordnung hat an dieser Stelle rechtliche Relevanz, allerdings aus einem völlig anderen Blickwinkel.

Exkurs: Während die DS-GVO auf das Recht der Betroffenen auf informationelle Selbstbestimmung und das Verbot automatisierter Einzelfallentscheidungen ohne menschliche Kontrolle fokussiert, nimmt die KI-Verordnung der EU (AI Act/ KI-VO) mögliche Risiken, die für Betroffene aus einer Verarbeitung ihrer Daten mittels KI-Plattformen entstehen können, in den Blick. Sie stuft dafür KI-Plattformen, in der Verordnung als KI-Systeme bezeichnet, nach ihrem Einsatzzweck in Risikokategorien ein, die von minimalem Risiko über geringes und hohes Risiko bis zu unannehmbarem Risiko reichen. Mit Ausnahme von KI-Systemen, welche durch unannehmbare Risiken grundsätzlich verboten sind, gilt – je höher das potentielle Risiko, welches mit dem Einsatz eines KI-Systems verbunden ist, desto umfangreicher sind die daraus resultierenden Auflagen – für die Anbieter der Systeme sowie auch die Betreiber, hier die Schulen.

Speziell mit Blick auf Bildung beschreibt die KI-VO in Anhang III², Nr. 3 KI-VO vier Kategorien von KI-Systemen, die als hochriskant gemäß Art. 6 Abs. 2 KI-VO einzustufen sind. Das sind KI-Systeme, die (a) dazu dienen einen Zugang zur Schule oder eine Einteilung in Lerngruppen zuzuweisen, die (b) Lernergebnisse bewerten und solche die darauf aufbauend Lernprozesse steuern, die (c) über die Bildungslaufbahn entscheiden und die (d) Prüfungen auf unzulässige Handlungen überwachen. Das hohe Risiko entsteht aus diesen KI-Systemen, “da sie den Bildungs- und Berufsweg einer Person bestimmen und daher die Fähigkeit dieser Person, ihren Lebensunterhalt zu sichern, beeinflussen können.”³

Für die Einstufung als Hochrisiko-KI-System ist nicht entscheidend, was ein Nutzer damit vorhat, sondern wozu das System objektiv in der Lage ist und für welchen Einsatzzweck es bestimmt ist.

Bisher müssen Schulen beim geplanten Einsatz von KI-Systemen zur Auswertung von Schülerarbeiten lediglich die Vorgaben der DS-GVO, wie oben beschrieben, berücksichtigen. Mit dem schrittweisen Beginn der Umsetzung der KI-VO kommen nun deren Vorgaben noch hinzu. Für die Klassifizierung von KI-Systemen ist der Stichtag hier der 02.08.2026. Bis dahin gelten für Schulen weiterhin ausschließlich die Vorgaben der DS-GVO sowie gegebenenfalls landesspezifische Regelungen wie beispielsweise in Baden-Württemberg; die KI-Verordnung betrifft bis dahin nur einzelne Pflichten wie die Schulung der Mitarbeitenden zur KI-Kompetenz, nicht jedoch die konkrete Nutzung von KI-Plattformen im Unterricht. Ab dem Stichtag ist klar, KI-Plattformen, welche laut KI-VO in der allgemeinen oder beruflichen Bildung “zur Bewertung von Lernergebnissen eingesetzt werden sollen”, werden als „hochriskant“ klassifiziert. Eine Einstufung als Hochrisiko-KI-System entfällt gemäß Art. 6 Abs. 3 lit. d) KI-Verordnung nur dann, wenn das KI-System objektiv ausschließlich vorbereitende Aufgaben wie die Fehleranalyse in Schülertexten übernimmt, ohne selbst die Bewertung maßgeblich zu beeinflussen, und die Endbewertung eigenständig durch eine Lehrkraft erfolgt.

Sollte der Gesetzgeber eines Bundeslandes eine Rechtsgrundlage für die Nutzung von KI-Plattformen zur eigenständigen Bewertung von Lernergebnissen schaffen, so würde dies für Schulen, welche eine geeignete, spezialisierte Plattform entsprechend einsetzen wollen, ab August 2026 eine Anzahl von Pflichten mit sich bringen, vergleichbar denen, welche Schulen durch die DS-GVO auferlegt werden, je nach KI-System jedoch möglicherweise deutlich umfangreicher. Schulen werden geeignete KI-Plattformen zur Bewertung von Lernergebnissen u.a. daran erkennen können, dass sie als Hochrisiko-KI-Plattformen ein CE-Kennzeichen, eine EU-Konformitätserklärung sowie einen Eintrag in der zentralen EU-KI-Datenbank mit Informationen zu Einsatzzweck, Risikobewertung usw. nachweisen können. Derzeit ist ein solcher Schritt von Seiten der Schul- und Kultusministerien jedoch höchst unwahrscheinlich. Das wird auch so bleiben, solange KI-Modelle eine erhebliche Fehleranfälligkeit aufweisen, Anbieter nicht die notwendige Transparenz gewährleisten und der Einsatz solcher Systeme — angesichts der daraus resultierenden Risiken für Fairness, Transparenz und Nachvollziehbarkeit — einen nicht vertretbaren Eingriff in die Grundrechte der Schülerinnen und Schüler darstellen würde.

Zudem ist in diesem Zusammenhang zu beachten, dass eine Einwilligung der Schülerinnen und Schüler nach Art. 6 Abs. 1 lit. a DS-GVO in den Einsatz hochriskanter KI-Systeme regelmäßig keine tragfähige Rechtsgrundlage darstellen kann. Voraussetzung für eine wirksame Einwilligung ist ihre Freiwilligkeit, Informiertheit und die Möglichkeit, sie jederzeit ohne Nachteile zu verweigern oder zu widerrufen. Im schulischen Kontext ist eine echte Freiwilligkeit jedoch kaum anzunehmen, da Schülerinnen und Schüler sich in einem strukturellen Abhängigkeitsverhältnis zur Schule befinden. Aus diesem Grund bedarf der Einsatz hochriskanter KI-Systeme im Bereich der Leistungsbewertung einer spezialgesetzlichen Rechtsgrundlage, die die Interessen der betroffenen Personen angemessen schützt.

Möchte eine Schule ein KI-Modell mit allgemeinem Verwendungszweck im Sinne von Art. 3 Nr. 63 KI-VO für eine spezialisierte Anwendung, wie die Bewertung von Lernergebnissen, einsetzen, verkompliziert sich die Sache deutlich. Bereits durch die mit der Spezialisierung einhergehende Änderung des Einsatzzwecks könnte die Schule rechtlich selbst als Anbieter eines KI-Systems gelten, was umfassende zusätzliche Auflagen wie Risikomanagement, technische Dokumentationspflichten, Konformitätsbewertungen, CE-Kennzeichnung und die Eintragung in die EU-KI-Datenbank nach sich zieht.

Exkurs: ChatGPT, Claude, Gemini und DeepSeek gelten im Sinne der KI-VO als KI-Modelle mit allgemeinem Verwendungszweck, wohingegen die Angebote von Anbietern wie fobizz, FelloFish und vergleichbar nicht unter diese Kategorie fallen, da es sich bei ihnen um domänenspezifische KI-Systeme handelt, die für konkrete pädagogische Zwecke (z. B. Korrekturassistenz, Feedbackgenerierung) optimiert und nicht für eine „breite Palette unterschiedlicher Aufgaben“ ausgelegt sind.

Die KI-VO unterscheidet zwischen KI-Modell und KI-System. Ein KI-System basiert auf einem oder mehreren KI-Modellen, die in der Regel über eine Programmierschnittstelle (API) integriert oder direkt eingebettet werden. Das System wird dabei für einen konkreten oder allgemeinen Anwendungszweck gestaltet und über eine Benutzeroberfläche bereitgestellt. Greift ein Nutzer über seinen Browser auf ein Angebot wie ChatGPT zu, interagiert er mit dem KI-System von OpenAI, das auf dem KI-Modell GPT-4 basiert. Die von Anbietern wie SchulKI, fobizz und ähnlichen Plattformen angebotenen KI-Systeme integrieren verschiedene KI-Modelle, aus denen Nutzer je nach Anwendungszweck bzw. Tool auswählen können.

Viele Bildungs-KI-Anbieter werden voraussichtlich ihre KI-Bewertungsfunktionen weiterhin so ausgestalten, dass sie nur vorbereitende Aufgaben unterstützen, um einer Einstufung als Hochrisiko-KI und den daraus resultierenden Pflichten als Anbieter zu entgehen.

Als hochriskant kategorisiert die KI-VO in Anhang III, Nr. 3 nicht nur KI-Systeme zur “Bewertung von Lernergebnissen“, sondern auch solche, welche “diese Ergebnisse zur Steuerung des Lernprozesses natürlicher Personen” verwenden. Darunter fallen je nach technischer Ausgestaltung auch Adaptive Lernsysteme und Intelligente Tutorielle Systeme – ob ein System jedoch tatsächlich als Hochrisiko-KI gilt, hängt davon ab, ob es im Sinne der Verordnung „intelligent“ agiert (z. B. durch den Einsatz komplexer KI-Modelle mit diagnosefähiger Lernsteuerung) oder lediglich einfache Algorithmen nutzt.

Ein Blick nach Baden Württemberg

Was würde das in der Praxis heißen? Zunächst ein kurzer Blick nach Baden-Württemberg. Dort gibt es mit § 115b im Schulgesetz⁴ seit 2024 eine Regelung, welche Schulen das “Anwenden automatisierter, anpassungsfähiger Verfahren […] zum Zweck der technischen Unterstützung und Förderung des individuellen Lernweges” erlaubt. Ergänzt und präzisiert wird diese Regelung mit der Digitalunterrichtsverordnung⁵ (DUVO). Automatisierte, anpassungsfähige Verfahren werden dort beschrieben als Computersysteme, die automatisch passende Lernangebote für Schülerinnen und Schüler auswählen, sich interaktiv an das Können und den Lernfortschritt der Lernenden anpassen, gezielt beim individuellen Üben helfen und Rückmeldungen geben. Zu den Informationspflichten gemäß Art. 13 und 14 DS-GVO werden Schulen auch Pflichten in Orientierung an der KI-VO auferlegt. Dazu gehören die Transparenzpflicht, welche Schulen durch Information über die Nutzung und Funktion des System erfüllen müssen, wie das Recht der Betroffenen zur Einsichtnahme, die Zweckbindung, mit welcher der Einsatzzweck eingeschränkt wird, das Verbot der Nutzung von Schülerdaten für Trainingszwecke und der Schutz der personenbezogenen Daten der Nutzer, wozu auch das Verbot gehört, in der Plattform personenbezogenen Daten besonderer Kategorien (Art. 9 DS-GVO zu verarbeiten. Eine Einsichtnahme der Lehrkräfte in die Lernfortschritte ist möglich, setzt jedoch eine Vorabinformation der Schülerinnen und Schüler über den Zeitpunkt voraus. Lehrkräfte dürfen im System erbrachte Leistungen “bei der Notenbildung oder anderen wesentlichen schulischen Entscheidungen” nur dann berücksichtigen, wenn sie diese “fachlich und pädagogisch” geprüft haben. Das bedeutet, um es noch einmal auf den Punkt zu bringen: will eine Lehrkraft in Baden-Württemberg die Leistungen ihrer Schülerinnen und Schüler in einem KI-gestützten System wie einem Adaptiven Lernsystem oder Intelligenten Tutoriellen System, dessen Nutzung in den Regelungsbereich der DUVO fällt, bewerten, setzt dieses voraus, dass vor der Einsichtnahme eine Information über den beabsichtigten Zeitpunkt erfolgt und die erbrachten Leistungen von der Lehrkraft fachlich und pädagogisch geprüft werden.

Ein Blick nach NRW

In NRW lassen sich Adaptive Lernsysteme und Intelligente Tutorielle Systeme unter Lehr- und Lernsysteme gem. § 120 Abs. 5 Satz 1 fassen⁶. Schulen können demnach entsprechende Systeme zur Erfüllung des Bildungs- und Erziehungsauftrags einsetzen und die dafür erforderlichen personenbezogenen Daten verarbeiten. Anders als in Baden-Württemberg findet sich im Schulgesetz NRW bisher keine bereichsspezifische Regelung zur Nutzung von KI-Plattformen oder Systemen, welche mit KI-Unterstützung arbeiten. Bestehende datenschutzrechtliche Grundsätze aus dem Schulgesetz und der DS-GVO sind hier anzuwenden, wie bei anderen Plattformen auch. Darüber hinaus müssen Schulen sich vorerst an der sperrigen KI-VO orientieren. Möchte eine Schule ein vom Schulträger bereitgestelltes Adaptives Lernsystem oder ein Intelligentes Tutorielles System nutzen, welches lediglich durch einfache Algorithmen gesteuert wird, geben alleine das Schulgesetz und die DS-GVO den Rechtsrahmen vor, innerhalb dessen eine Nutzung möglich ist. Mit dem Anbieter ist ein Vertrag zur Auftragsverarbeitung abzuschließen, Betroffene müssen vorab über die Datenverarbeitung informiert werden und die Nutzung ist nur im Rahmen des Erforderlichen möglich. Ist im Hintergrund ein KI-System aktiv, kommt auch die KI-VO ins Spiel. Die Schule müsste zunächst prüfen, ob das System als Hochrisiko-KI gemäß Anhang III der KI-VO einzustufen ist. Das wäre beispielsweise dann der Fall, wenn das System zunächst über einen Kompetenz-Check einen Lernstand ermittelt, diesen bewertet bzw. zu einer Diagnose verarbeitet und daraus abgeleitet die weiteren Lernprozesse automatisch steuert, d.h. sich anpasst und Lernvorgaben ohne direkte menschliche Entscheidung verändert. Durch die Einstufung als Hochrisiko-KI ist die Schule verpflichtet, die Lernenden vorab entsprechend zu informieren. Lehrkräfte müssen jederzeit in der Lage sein, die Entscheidungen des KI-Systems zur Steuerung der Lernprozesse nachzuvollziehen und diese bei Bedarf anzupassen.

KI-Plattformen ohne hohes Risiko

Viele für den schulischen Einsatzzweck konzipierte Plattformen, deren Funktionen KI-Systeme integrieren, fallen nicht unter Hochrisiko-KI-Systeme, da sie Anwendungsbereiche adressieren, die nur mit minimalem oder geringem Risiko verbunden sind. Dazu gehören etwa Hilfestellungen beim Verfassen von Texten, automatisiertes Feedback auf Entwürfe, interaktive Chats mit historischen oder fiktiven Persönlichkeiten, Erstellung von Podcasts aus Texten, Erschließung von Texten durch Fragen an ein PDF, das Erstellen von Grafiken und Bildern usw. Solche Anwendungen unterstützen den Lernprozess oder die kreative Arbeit, greifen jedoch nicht maßgeblich in die Leistungsbewertung oder die Bildungslaufbahn der Schülerinnen und Schüler ein. Sie unterliegen daher nach der KI-VO weniger strengen Anforderungen und können unter Einhaltung allgemeiner Datenschutzvorgaben deutlich einfacher eingesetzt werden.

Anwendungen, die nur ein geringes Risiko im Sinne der KI-Verordnung darstellen, unterliegen keinem Konformitätsbewertungsverfahren, keiner CE-Kennzeichnung und auch keinen umfassenden Risikomanagementpflichten. Die oben genannten typischen Funktionen der schulischen KI-Plattformen — wie Textassistenz, Feedbacksysteme, Chats mit historischen Persönlichkeiten, Bild- oder Podcast-Erstellung sowie interaktive PDF-Auswertungen — dürften in der Mehrzahl unter diese Kategorie der Anwendungen mit geringem Risiko fallen. Für Schulen als Betreiber solcher Systeme bedeutet dies in erster Linie, dass die Transparenzpflichten nach Artikel 52 der KI-VO zu beachten sind und Nutzerinnen und Nutzer — hier Schülerinnen und Schüler sowie Lehrkräfte — klar und verständlich darüber informiert werden müssen, dass sie mit einem KI-System interagieren. Voraussetzung bleibt, wie bereits an anderer Stelle erwähnt, stets, dass die eingesetzten Plattformen datenschutzkonform betrieben werden, insbesondere keine sensiblen personenbezogenen Daten im Sinne von Artikel 9 DS-GVO unzulässig verarbeitet oder übermittelt werden.

Ausblick

Die KI-VO wird Schulen spätestens ab August 2026 vor zusätzliche Herausforderungen stellen, da dann vor allem die unter die Hochrisiko-KI-Systeme fallenden Plattformen nur noch rechtmäßig eingesetzt werden können, wenn die von der KI-VO festgelegten Anforderungen dabei eingehalten werden. Darüber hinaus verpflichtet die KI-Verordnung Schulen als Betreiber von KI-Systemen dazu, sicherzustellen, dass sowohl Lernende als auch Lehrkräfte über eine ausreichende Kompetenz im Umgang mit KI-Systemen verfügen („AI Literacy“). Diese Pflicht besteht bereits seit Februar 2025. Lehrkräfte müssen in der Lage sein, die Funktionsweise, Risiken und Grenzen der eingesetzten Systeme zu verstehen, um ihrer Rolle als menschliche Kontrollinstanz („Human Oversight“) gerecht werden zu können. Die KI-VO schreibt keine bestimmte Maßnahme zur Kompetenzentwicklung vor, sondern fordert lediglich das Ergebnis: den kompetenten und verantwortungsbewussten Umgang mit KI im schulischen Alltag. Die Vermittlung von KI-Kompetenz wird damit ein weiterer zentraler Aspekt der Schulentwicklung.

Bis August 2026 bleibt Schulen noch Zeit zu experimentieren, solange sie dabei die Grenzen von Art. 22 DS-GVO beachten. Je nach Bundesland können sie sich dabei sogar auf schon vorhandene Rechtsgrundlagen aus der Schulgesetzgebung stützen. Um die Schulen bei der Bewältigung dieser neuen Herausforderungen zu unterstützen, haben die Bundesländer in der Bildungsministerkonferenz am 10. Oktober 2024 vereinbart, Schulen und Schulträgern Orientierungshilfen für den rechtskonformen Einsatz von KI-Anwendungen bereitzustellen.⁷

Wer sich selbst KI-kundig machen möchte, hat mit der Lektüre dieses Beitrags einen ersten Schritt dazu getan. Weitere hilfreiche Informationen finden sich u.a. unter:

KI-Kompetenzen für Lehrende und Lernende | (Susanne Alles, Joscha Falck, Manuel Flick und Regina Schulz, 03/2025)
KI in der Schule (KI-Campus; Online Lernmaterialien für Lehrkräfte)
KI – Unterrichten Digital (Hauke Pölert, Sammlung von Beiträgen zu KI und Schule)
KI im Unterricht: Beispiele & Material zu Künstlicher Intelligenz in der Schule – [ Deutscher Bildungsserver ]
Schulen und Lehrkräfte mit einer fobizz Lizenz für Fortbildungen finden auch dort umfangreiche Informationen zum Selbststudium

Februar 11, 2024

Schulische Nutzung von KI Plattformen

Lesezeit: 9 Minuten

Im November 2022 ging OpenAI mit seinem generativen Sprachmodell ChatGPT an die Öffentlichkeit. Mehr als ein Jahr ist seither vergangen und die Entwicklung der “KI Plattformen” ist rasant fortgeschritten. ChatGPT und vergleichbare Plattformen wie Google Bard oder Claude von Anthropic haben sich weiterentwickelt, sind leistungsstärker geworden und haben neue Funktionen erhalten. Neben den großen Sprachmodellen (LLM), den textgenerierenden KI, entstanden auch bildgenerierende KI wie DALL-E von OpenAI oder Midjouney und Stable Diffusion. Aus einigen textgenerierenden KI wurden im Laufe der Monate so multimodale KI, Plattformen, die nicht nur textbasierte Inhalte erstellen können, sondern auch Bilder, Videos, Musik und Sprache, und neben Prompts im Textformat, auch Eingaben in Form von Bildern, Sprache, Ton und Video verarbeiten. Ergänzend zu API Schnittstellen haben Anbieter wie OpenAI neue Möglichkeiten geschaffen, die Funktionen ihrer Plattformen zu nutzen. Bei OpenAI ist das beispielsweise die Möglichkeit, eigene GPTs zu erstellen und anderen Nutzern zur Verfügung zu stellen. Einige dieser GPT integrieren dazu externe Dienste anderer Anbieter. Schon bevor es diese Möglichkeit gab nutzten zahlreiche Drittanbieter die API Schnittstellen der großen Anbieter, um darauf aufbauend eigene Produkte zu entwickeln. Die Palette reicht hier von Microsoft, wo ChatGPT und andere OpenAI KI Plattformen in eigene Produkte wie Microsoft 365 und Bing integriert wurden, über Apps für Mobilgeräte mit KI Funktionen bis zu Anbietern im Bildungsbereich, welche KI Funktionalitäten für Lehrkräfte und Schüler entwickelten Plattformen bereitstellen. Neben Anbietern, die auf die großen KI Plattformen der großen Anbieter setzen, kommen auch immer mehr Angebote auf den Markt, welche auf eigene KI Plattformen oder die Open Source Plattformen anderer Akteure setzen. Ergänzt werden diese Entwicklungen durch Anwendungen und spezialisierte Chips, die es ermöglichen, KI Plattformen jeglicher Art lokal auf Computern und digitalen Endgeräten wie Smartphones laufen zu lassen.

Schüler wie auch Lehrkräfte erkannten schon im November 2022 die Möglichkeiten, welche eine KI Plattform für die eigene Arbeit bringen kann, sei es für die Anfertigung von Hausaufgaben oder die Vorbereitung von Unterricht. Schnell war den am Bildungsprozess beteiligten Akteuren klar, dass Schule sich vor KI Plattformen nicht verschließen kann, sowohl mit Blick auf Medienerziehung wie auch als Werkzeug im Unterricht. Das Ministerium für Schule und Bildung (MSB) veröffentlichte nur drei Monate später im Februar 2023 seinen Handungsleitfaden Umgang mit textgenerierenden KI-Systemen. Andere Bundesländer folgten. Neben den Möglichkeiten zur unterrichtlichen Nutzung standen und stehen bei allen Handreichungen immer auch zwei rechtliche Aspekte im Fokus, Urheberrecht und Datenschutz.

ChatGPT, momentan im Zentrum aller Aufmerksamkeit und vermutlich der bislang meistgenutzte Anbieter, stand eine Zeit lang im Fokus der Aufsichtsbehörden. Italien verbot OpenAI gar die Bereitstellung seines Dienstes für Nutzer in Italien, bevor nicht einige Mängel abgestellt worden sind. Es ging u.a. um die Aufklärung italienischer Nutzer, dass ihre Daten möglicherweise zu Trainingszwecken verwendet und sachlich falsch von ChatGPT wiedergegeben werden könnten. Auch deutsche Aufsichtsbehörden wandten sich wiederholt mit Fragenkatalogen an den US Anbieter. ChatGPT ist in Italien wieder verfügbar und deutsche Aufsichtsbehörden kamen bisher nicht zu dem Schluss, zu vergleichbaren drastischen Maßnahmen greifen zu müssen. Auf Schulen hatte all das ohnehin keine Auswirkung. Auch eine Änderung der Geschäftsbedingungen von OpenAI bezüglich der Nutzung der KI Dienste via API im Januar wirkte sich nicht auf die Nutzung in Schulen aus. Der Anbieter hatte seine Nutzungsbedingungen im November 2023 um eine Passage ergänzt, die Drittanbieter verpflichten soll, von den Eltern von Schülerinnen und Schülern unter 16 Jahren vor Nutzung eine Einwilligung einzuholen. Vom Landesdatenschutzbeauftragte von Rheinland-Pfalz, Dieter Kugelmann, kam hier Entwarnung. Nach seiner Einschätzung ist eine Zustimmung von Eltern minderjähriger Schülerinnen und Schülern nicht erforderlich.

Mit der Entwicklung der textgenerierenden KI hin zu multimodalen KI mit neuen Ein- und Ausgabeformaten haben sich auch neue datenschutzrechtliche Herausforderungen ergeben. Wie sich im Verlauf der weiteren Betrachtungen zeigen wird, hat sich an den bisherigen Empfehlungen zu einer datenschutzfreundlichen schulischen Nutzung von KI Plattformen nichts wesentlich verändert. Ergänzt werden müssen die Empfehlungen jedoch vor allem mit Blick auf neue Eingabeformate, das meint hier vor allem Prompts in Form von Bild und Ton, also Spracheingaben sowie Fotos und Videos als Eingaben.

Beschränkt auf textgenerierende KI wie ChatGPT und die Eingabe von Prompts ausschließlich in Form von digitalem Text, konnten bisher als datenschutzfreundlich folgende Nutzungsszenarien empfohlen werden:

Die Lehrkraft hat einen privaten Zugang, kostenlos oder kostenpflichtig, und nimmt die Prompts der Lerngruppe an, gibt sie selbst ein und teilt die Ergebnisse mit der Lerngruppe. Für Schülerinnen und Schüler bestehen keine Risiken, da sie nicht direkt mit der Plattform interagieren.
Die Lehrkraft verfügt über einen Drittanbieterzugang, der von der Schule/ dem Träger/ Bundesland/ Medienzentrum bereitgestellt wird, und die Schule hat einen Vertrag zur Auftragsverarbeitung (AVV) mit dem Anbieter abgeschlossen. Über den Drittanbieterzugang kann die Lehrkraft anonyme Schülerzugänge erstellen. Für Schülerinnen und Schüler entstehen bei Einhaltung zuvor festgelegter Spielregeln keine Risiken bei einer Interaktion mit der Plattform.
Die Schule hat einen eigenen Zugang, API Schlüssel und AVV mit dem Anbieter abgeschlossen und erstellt mit Oberstufenschülern eine eigene Plattform zur Nutzung der KI via API. Sind die Spielregeln klar, ist eine Nutzung mit älteren Schülerinnen und Schülern ab 16 Jahren möglich. Die Risiken sind begrenzt.
Die Schule hat lokal als App auf Computern oder Tablets laufende KI Anwendungen. Eine Nutzung ist für Schülerinnen und Schüler ohne Risiken möglich, da keine Daten an Dritte abfließen. Trotzdem sollte es zuvor abgesprochene Spielregeln geben.

Risiken für Nutzer von KI Plattformen von Anbietern wie OpenAI, Microsoft, Google, Anthropic usw. ergeben sich vor allem aus den Inhalten von Prompts, wenn diese einen Personenbezug herstellen lassen. In Kombination mit einem individuellen Nutzerkonto beim KI Anbieter nehmen die Risiken noch einmal deutlich zu. Weitere Risiken können sich prinzipiell aus den Metadaten wie Gerätekennungen, Standortdaten, Cookies und Trackern ergeben, die es erlauben, einen Nutzer zu identifizieren. Werden Dateien wie Bild- und Tonaufnahmen zu Bestandteilen von Prompts, können mit diesen zusätzliche Metadaten übermittelt werden. Fotos und Videos, die Personen abbilden oder Spracheingaben enthalten weitere Daten, die einen Personenbezug herstellen lassen, wenn sie an die Anbieter der KI Plattformen übermittelt werden.

Auch wenn die großen US Anbieter in ihren Datenschutzerklärungen, Geschäftsbedingungen und Verträgen zur Auftragsverarbeitung mittlerweile ausschließen, von Nutzern eingegebene Prompts und andere Daten zu Trainingszwecken zu verwenden, bleibt die Übermittlung von personenbezogenen oder -beziehbaren Daten auf die Server von US Anbietern problematisch und ist im Rahmen unterrichtlichen Nutzung von KI Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrags von Schulen nicht vertretbar.

Bei einer Nutzung via API über einen Drittanbieter reduzieren sich mögliche Risiken aus der Interaktion von Nutzer mit einer KI Plattform deutlich. Das individuelle Nutzerkonto und Metadaten der Geräte, mit welchen der Zugriff erfolgt, entfallen und erlauben es den KI Anbietern nicht, darüber den Bezug zu einer identifizierbaren Person herzustellen. Risiken könnten jetzt nur noch entstehen, wenn Prompts persönliche oder auf eine Person beziehbare Informationen enthalten. Diese Informationen können Teil von eingegebenen Texten wie auch von Bild- und Tondaten sein, bei Stimmeingaben die Stimme selbst und bei Prompts in Form von Bild- und Tonmedien die mit ihnen verbundenen Metadaten. Welche Risiken sich im Einzelnen ergeben können, hängt jeweils vom KI Plattform Anbieter ab, der Ausgestaltung der API und der Art und Weise, wie bzw. in welcher Form der Drittanbieter die Daten der Prompts an den Plattformanbieter übermittelt. Werden die Daten beim Drittanbieter bereits aufbereitet, wie dieses bei Prompts in Form von Texteingaben in der Regel der Fall ist, oder werden die Inhalte der Prompts wie im Fall von Bilddateien weitestgehend unverändert auf die Server des Plattformanbieters übertragen, wo dann die KI Anwendung mit ihnen interagiert?

Im Tätigkeitsbericht der Aufsichtsbehörde Baden Württemberg für 2023 findet sich auch ein kurzer Bericht zu einer Beratungstätigkeit, deren Gegenstand ein in der Entwicklung befindliches Moodle-Modul fAIrchat war. Dieses Modul nutzt ChatGPT von OpenAI über die vom Anbieter bereitgestellte API und zu den dazu gehörenden Terms of Use, die zusichern, dass Nutzerdaten nicht zu Weiterentwicklung oder Verbesserung von ChatGPT verwendet werden. Metadaten der einzelnen Nutzer werden durch den Zugriff auf ChatGPT über die API nicht an den Anbieter übermittelt. Eine Nutzungsordnung für fAIrchat untersagt Nutzern die Eingabe von personenbezogenen Daten. Ein individuelles Konto beim KI Anbieter gibt es nicht. Außerdem gibt fAIrchat Lehrkräften die Möglichkeit, Eingaben der Lernenden nachträglich einzusehen. Die Aufsichtsbehörde kommt zu dem Schluss „Sofern zusätzlich die jeweilige Lehrkraft die Schüler_innen auch ausdrücklich und für sie verständlich darüber aufklärt, dass sie keine personenbezogenen Daten in das System eingeben dürfen, und die Lehrkraft die Eingaben der Schüler_innen nachträglich überprüfen kann, die nachträgliche Kontrolle durch die Lehrkraft auch tatsächlich risikoangemessen zumindest stichprobenhaft erfolgt, scheint uns unter diesen Voraussetzungen eine Verwendung dieser KI im Rahmen des Unterrichts datenschutzrechtlich vertretbar.”¹

Das bedeutet, sind die folgende Bedingungen erfüllt:

Nutzung durch Schülerinnen und Schülern via API entsprechend den Terms of Use,
Nutzungsordnung, welche die Verwendung von personenbezogenen Daten untersagt,
Aufklärung der Schülerinnen und Schülern über die Nutzungsregel – keine Eingabe von personenbezogenen Daten,
Möglichkeit der stichprobenhaften nachträglichen Kontrolle von Eingaben durch die Lehrkraft und tatsächliche Umsetzung dieser Maßnahme durch die Lehrkräfte,

sieht man von Seiten der Aufsichtsbehörde keine datenschutzrechtlichen Probleme bei einer unterrichtlichen Nutzung.

Das lässt sich auch auf die unterrichtliche Nutzung multimodaler KI Plattformen via API und Drittanbieter übertragen. Es müssen hierzu allerdings vergleichbare Bedingungen hergestellt werden.

Fotos und Bilder als Bestandteile von Prompts

Selbst angefertigten Fotos hängen in der Regel neben GPS Daten auch Gerätedaten als Metadaten an, über die Nutzer potentiell immer identifizierbar sind, sofern es sich dabei um private Endgeräte handelt. Um die Übertragung dieser Daten zu vermeiden, sollten selbst angefertigte Fotos für Prompts immer nur mit schulischen Endgeräten aufgenommen werden. Gleiches gilt, wenn Zeichnungen angefertigt werden, die einer bildgenerierenden KI Plattform als Vorlage für eine Ausarbeitung dienen sollen.
Soll ein auf einem privaten Endgerät angefertigtes Foto oder Bild für einen Prompt genutzt werden, muss es über eine entsprechende Software/ App von den Metadaten befreit werden. Ist dies nicht möglich, ist eine Verwendung für einen Prompt nicht zu empfehlen.
Analog zu Texteingaben dürfen Prompts in Form von Fotos oder Zeichnungen und ähnlich keine Personen aus der Schule oder dem Umfeld der Schüler erkennbar abbilden. Dabei ist es unerheblich, ob diese Fotos oder Zeichnungen speziell für einen Prompt angefertigt werden oder aus anderen Quellen stammen.
Die Eingabe von Fotos mit handschriftlich bearbeiteten Aufgaben, etwa Aufsätzen oder Rechenaufgaben, sollte keine Risiken für Schülerinnen und Schüler erzeugen, solange die abfotografierten Blätter keine Daten wie Namen und Klasse enthalten, welche, eine Identifizierung ermöglichen. Die Identifizierung einer Person über ihre Handschrift setzt voraus, dass andere Handschriftproben öffentlich abrufbar online vorliegen und dort mit weiteren die Person identifizierenden Daten verknüpft ist. Bei Kindern und Jugendlichen ist das sehr unwahrscheinlich.

Videos als Bestandteile von Prompts

Werden Videos auf privaten Endgeräten angefertigt, bestehen durch die mit ihnen verbundenen Metadaten bei einer Nutzung für Prompts die gleichen Probleme wie bei Fotos und Bildern. Entsprechend sollten auch hier neutrale Schulgeräte für die Anfertigung genutzt werden.
Für die Inhalte von Videos gelten die gleichen Vorgaben wie für Fotos und Bilder. Sie dürfen keine Personen aus der Schule oder dem Umfeld der Schüler erkennbar abbilden, egal ob sie speziell für einen Prompt angefertigt wurden oder aus einer anderen Quelle stammen. Videos dürfen auch keine Inhalte zum Gegenstand haben, welche es ermöglichen, die genannten Personen zu identifizieren.

Tonaufnahmen als Bestandteile von Prompts

Bei Tonaufnahmen über private Endgeräte besteht unabhängig vom Inhalt der Aufnahme auch hier das Problem der Metadaten. Welche dieses sind, hängt vom Endgerät, der genutzten App und vom Betriebssystem ab. Um Risiken zu vermeiden, sollten auch sie nicht über Prompts übermittelt werden.
Enthalten die Tonaufnahmen Stimmen, so lassen sich darüber Personen potentiell identifizieren. Wie bei Fotos, Bildern und Videos dürfen Tonaufnahmen keine Personen aus der Schule oder dem Umfeld der Schüler erkennbar abbilden und auch keine Inhalte haben, welche es erlauben, diese Personen zu identifizieren, egal ob sie speziell für einen Prompt angefertigt wurden oder aus einer anderen Quelle stammen.
Direkte Spracheingaben von Prompts durch Nutzer sollten nur dann erfolgen, wenn der Drittanbieter die Umwandlung von Sprache zu Text auf eigenen Servern vornimmt. Das ist möglich, da Whisper AI, die Plattform von OpenAI, als Open Source Lösung auch selbst betrieben werden kann. Da die Anwendung sehr rechenintensiv ist, nutzen nicht alle Drittanbieter diese Möglichkeit. Es reicht nicht, wenn Drittanbieter die Sprachaufnahmen auf eigenen Servern speichern und dann zur Transkription an den KI Plattformanbieter übermitteln. Schülerinnen und Schüler, welche die Spracheingabe nutzen wollen oder müssen, sollten stattdessen die Diktierfunktion des Endgerätes nutzen.

Die Regeln für die Eingabe von Prompts in Form von Fotos, Bildern, Videos und Ton sollten in einer Nutzungsordnung festgehalten werden und Schülerinnen und Schüler müssen darüber aufgeklärt sein. Lehrkräfte sollten die Möglichkeit haben, die Prompts ihrer Schülerinnen und Schüler stichprobenhaft zu kontrollieren und diese Möglichkeit auch nutzen. Für Drittanbieter aus Deutschland, welche die beschriebenen Voraussetzungen erfüllen, sind beispielhaft Fobizz und SchulKI zu nennen. Beide lassen sich entsprechend datenschutzfreundlich nutzen und bieten die für Schulen wichtigen Verträge zur Auftragsverarbeitung an. Bei Fobizz ist es zusätzlich möglich, in den Einstellungen zwischen verschiedenen KI Plattformanbietern zu wählen. Das heißt, wer ChatGPT nicht nutzen möchte, kann auf Alternativen wechseln, darunter auch EU Anbieter. Einige Bundesländer haben bei den Anbietern Landeslizenzen erworben.

Schulen in NRW sollte außerdem beachten, dass die Verarbeitung von Bild- und Tonaufnahmen durch die Schule nach der aktuellen Rechtslage einer Einwilligung bedarf. Sollen sie als Prompts verwendet werden (100% EU Anbieter, lokal laufende KI App), ist ein entsprechender Verarbeitungszweck in der Einwilligung anzugeben.

Nutzung durch Lehrkräfte

KI Plattformen sind nicht nur für den Unterricht von Interesse, sondern auch für die Vor- und Nachbereitung von Unterricht. Während die Erstellung von Unterrichtsmaterialien mittels KI in der Regel unproblematisch ist, da es hier zumeist nicht um personenbezogene Daten geht, können diese bei der Nachbereitung von Unterricht durchaus relevant sein.

Soll eine KI Plattform genutzt werden, um individuelles Feedback zu Schülerarbeiten zu erstellen oder um sie für eine Bewertung analysieren zu lassen, ist es erforderlich, die Schülerarbeiten als Prompt in die Anwendung zu laden. Es gelten hier für Lehrkräfte letztlich die gleichen Spielregeln, die auch für Schülerinnen und Schüler gelten. Solange die Prompts keine personenbezogenen oder -beziehbaren Daten enthalten, ob direkt als Inhalt oder in Form von Metadaten, entstehen bei einer Nutzung als Bestandteile von Prompts keine Risiken für Betroffene. Für die Eingabe von Sprachaufnahmen, etwa zur Auswertung von durch Schülerinnen und Schüler erstellte Podasts oder anderen gesprochenen Lernprodukten, gelten die bereits beschriebenen Einschränkungen. Auch die Erstellung von auf einzelne Lernende zugeschnittenen individuellen Unterrichtsmaterialien ist unproblematisch, solange dazu keine personenbezogenen Daten in Prompts eingegeben werden. Hier reicht in der Regel der Verzicht auf Namen und weitere biographische Daten, um mögliche Risiken auszuschließen.

Perspektiven schulischer KI Nutzung

Verglichen mit den ersten Monaten nachdem OpenAI mit ChatGPT die KI Welle losgetreten hatte, haben sich die Bedingungen für eine schulische Nutzung eindeutig verbessert und tendenziell werden die Bedingungen mit den ersten sich am Markt etablierenden ernstzunehmenden europäischen Anbietern mit eigenen KI Modellen und Plattformen sogar noch besser. Auch wenn die KI Plattformen von US Anbietern durch die vermittelnden Dienste von Drittanbietern mittlerweile datenschutzfreundlich nutzbar sind, ist die unterrichtliche Nutzung mit deutlichen Einschränkungen verbunden. Persönliche Inhalte müssen außen vor bleiben. Die Optimierung eines Lebenslaufes oder das Verfremden eines Portraits ist so unter keinen Umständen möglich. Schülerinnen und Schüler müssen wissen, warum das so ist, die Risiken kennen und sich an die vereinbarten Spielregeln halten. Mit europäischen Anbietern, die einen Vertrag zur Auftragsverarbeitung anbieten und bezüglich ihres Modells ausreichende Transparenz herstellen, sollten diese Grenzen in Zukunft fallen. Perspektivisch werden es auch die Plattformen dieser Anbieter sein, welche dauerhafter Bestandteil von schulischen Landesplattformen sind. Die voranschreitende Optimierung von KI Anwendungen und die gleichzeitige Entwicklung von immer leistungsfähigeren Prozessoren sowohl für stationäre wie auch mobile Endgeräte erlaubt es zunehmend, diese KI Anwendungen als Apps lokal laufen zu lassen. Auch das wird für Schulen neue Möglichkeiten bieten, da in Prompts eingegebene Daten dann die Schule nie verlassen, sondern auf den Endgeräten gespeichert werden.

Oktober 26, 2023August 20, 2025

LeOn – Leseraum Online – neue Plattform für Schulen in NRW

Lesezeit: 3 Minuten

Seit wenigen Wochen ist für Grundschulen und Schulen der Sekundarstufe 1 in NRW die Plattform LeON verfügbar. Die Plattform für die Klassen 1 – 6 dient der Leseförderung und ist kostenlos nutzbar. Neu für NRW ist, dass diese Plattform erstmals über VIDIS eingebunden wird. Der Zugang zu LeOn erfolgt über die Bildungsmediathek NRW. Schulen, welche bereits die Basis Plattform Logineo NRW nutzen, finden dort den Zugang zur Bildungsmediathek. Wer die Basisplattform das Landes nicht nutzt, benötigt den Zugang direkt über die Bildungsmediathek. Er kann auf der Seite auf der Seite der Bildungsmediathek NRW unter “Login” beantragt werden.

Vertrag zur Auftragsverarbeitung

Um die Plattform für die Schule zu erhalten, muss die Schulleitung zunächst den Vertrag zur Auftragsverarbeitung (AVV) mit dem Anbieter abschließen. Dieses erfolgt in 4 Schritten unter Auftragsverarbeitung personenbezogener Daten. Dazu meldet sich die Schulleitung zunächst in VIDIS an bzw. erstellt ein Konto in der Plattform. Dort eingeloggt findet man dann die Plattform LeOn und eine Möglichkeit, die Plattform zu aktivieren. Zur erfolgreichen Aktivierung müssen die Nutzungsbedingungen und der AVV bestätigt werden. Nach dem Abgleich der Daten durch durch den Anbieter erfolgt die Freischaltung des Zugangs, der dann in der Bildungsmediathek NRW möglich ist.

Einführung zur verbindlichen Nutzung per Schulkonferenzbeschluss

LeOn sollte sich als Lehr- und Lernplattform gemäß § 120 Abs. 5 Satz 2 in Verbindung mit § 8 Abs. 2 SchulG NRW nach Vorschlag durch den Schulträger durch die Schulkonferenz zur verbindlichen Nutzung an der Schule einführen lassen.¹

Hinweis: LeOn verfügt auch über eine Funktion, mit welcher Schülerinnen und Schüler Leseübungen aufnehmen und an ihre Lehrkraft übermitteln können. Dieser Teil von LeOn ist nicht über § 120 Abs. 5 Satz 2 in Verbindung mit § 8 Abs. 2 SchulG NRW abbildbar, sondern bedarf einer Einwilligung, wie die LDI NRW in ihrem 30. Tätigkeitsbericht für 2024 nach einer Beschwerde durch Eltern festgestellt hat. Mehr dazu unter Leseförderung, Sprachaufzeichnungen und Einwilligung – LDI NRW. Das heißt, eine Einführung der Plattform per Beschluss der Schulkonferenz, wie beschrieben, ist durchaus möglich, schließt aber die Funktion zur Aufnahme von Leseübungen und Übermittlung an Lehrkräfte nicht mit ein.

Informationen zur Datenverarbeitung

Auch wenn LeOn ohne Einwilligung genutzt werden kann, ist eine Information zur Datenverarbeitung erforderlich. Diese findet sich auf der Website unter Datenschutz und wurde bereits auf die Zielgruppe Nutzer/ Eltern ausgerichtet. Darüber hinaus findet sich auf der Website ein vorbereitetes Informationsschreiben für Eltern, das auch als DOCX Datei heruntergeladen und auf die eigene Schule angepasst werden kann. In diesem Schreiben sind die Nutzungsbedingungen wie auch die Datenschutzerklärung verlinkt.

Verzeichnis der Verarbeitungstätigkeiten der Schule

Der Anbieter weist bei der Beauftragungsseite zum AVV darauf hin, dass Schulen, die LeOn nutzen, die dabei stattfindenden Verarbeitungen von personenbezogenen Daten in das Verzeichnis der Verarbeitungstätigkeiten der Schule aufnehmen müssen. Die dafür erforderlichen Informationen finden sich in der Datenschutzerklärung. Die folgende Vorlage könnte man als Grundlage dafür nehmen.

Verarbeitungstätigkeit-Verantwortlicher – LeOn.docx

Nutzung pseudonymisierter Daten durch den Anbieter der Plattform

Wie sich aus der Datenschutzerklärung heißt es:

“Der Verantwortliche überträgt pseudonymisierte Nutzungsdaten an die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz. Dabei werden alle identifizierenden Daten (z.B. Namen) entfernt, sodass die die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz nicht auf einzelne Personen zurückschließen kann. Diese Nutzungsdaten zu Nutzungsdauer, Bearbeitungszeit einzelner Aufgaben und ähnliche Daten nutzt die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz für die quantitative und qualitative Analyse des Nutzungsverhaltens von Lehrkräften und Schülern zum Zwecke der wissenschaftlichen Auswertung der Daten.

Rechtsgrundlage für die Pseudonymisierung ist das berechtigte Interesse der Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz nach Art. 6 (1) f) DSGVO an der Analyse der Nutzung von LeOn zum Zwecke der Forschung und Verbesserung. Da die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz aus den Daten keine Rückschlüsse auf einzelne Personen ziehen kann, ist ein der Übertragung pseudonymisierter personenbezogener Daten entgegenstehendes Interesse nicht erkennbar.”

Dass der Anbieter Nutzungsdaten für eigene Zwecke auf der Grundlage von berechtigtem Interesse gem. Art. 6 Abs. 1 lit. f DS-GVO nutzen darf, ist aus datenschutzrechtlicher Sicht interessant, auch mit Blick auf andere Plattformen, bei denen eine Nutzung von Nutzungsdaten zu eigenen Zwecken sehr kritisch gesehen wird.²

August 7, 2023

Erprobungsstufenkonferenz

Lesezeit: 2 Minuten

In Grundschulen kommt immer wieder die Frage auf, welche Informationen weiterführenden Schulen über die ehemaligen Schülerinnen und Schüler gegeben werden dürfen.

Es gilt wie überall die Grundregel, dass eine Schule die personenbezogenen Daten der Schülerinnen und Schüler nur Personen zugänglich machen darf, sofern es dafür eine Rechtsgrundlage im Schulgesetz NRW gibt oder die Betroffenen, hier die Eltern der Grundschülerinnen und Schüler, der Übermittlung zuvor zugestimmt haben.

Für die Weitergabe an weiterführende Schulen gibt es eine wichtige Rechtsgrundlage, die es Grundschulen erlaubt, Daten ihrer ehemaligen Schülerinnen und Schüler preiszugeben. Das ist § 10 Abs. 4 Ausbildungs- und Prüfungsordnung Sekundarstufe I – APO-S I (BASS 13-21 Nr. 1.1):

“Für Zusammensetzung, Stimmberechtigung und Verfahren der Erprobungsstufenkonferenzen gilt § 50 Absatz 2 Schulgesetz NRW. Den Vorsitz führt die Schulleiterin oder der Schulleiter oder eine mit Koordinierungsaufgaben beauftragte Lehrkraft. Die Lehrkräfte, die die Schülerin oder den Schüler in der Grundschule unterrichtet haben, können an den Erprobungsstufenkonferenzen teilnehmen.”

Während der zweijährigen Erprobungsstufe, Klasse 5 und 6, finden gem. § 10 Abs. 3 APO-SI jährlich drei sogenannte Erprobungsstufenkonferenzen statt. In diesen wird “über die individuelle Entwicklung der Schülerin oder des Schülers, über etwaige Schwierigkeiten, deren Ursachen und mögliche Wege zu ihrer Überwindung und über besondere Fördermöglichkeiten beraten.”

Um hier optimal beraten zu können, werden zu einer der ersten Erprobungsstufenkonferenzen in der Regel auch die ehemaligen Lehrerinnen und Lehrer der Schülerinnen und Schüler an der Grundschule eingeladen, denn diese kennen die Kinder meist schon über einen längeren Zeitraum. Auf der Grundlage von § 10 Abs. 4 APO-SI könnten sich die Lehrkräfte der weiterführenden Schule deshalb mit ihren Kolleginnen und Kollegen aus der Grundschule über die einzelnen Kinder austauschen, soweit es um Noten, konkrete Probleme, bewährte Strategien, ein Kind zu unterstützen und ähnlich geht. Die Grenzen des Austauschs setzt wie immer auch hier § 120 Abs. 1 Satz 2 SchulG NRW, wonach die gespeicherten personenbezogenen Daten in der Schule nur den Personen zugänglich gemacht werden dürfen, die sie für die Erfüllung ihrer Aufgaben benötigen. Hier geht es dann konkret um die Aufgabenerfüllung der Erprobungsstufenkonferenz. Entsprechend heißt es im Wingen Kommentar zu Schulgesetz:

“Die Grundschullehrkräfte dürfen personenbezogenen Angaben ihrer früheren Schülerin oder ihres ehemaligen Schülers in der Erprobungsstufenkonferenz an die anderen Mitglieder (nur) übermitteln, soweit diese Angaben zur Aufgabenerfüllung der Konferenz erforderlich sind.”¹

Streng genommen bedeutet das auch, dass bei Anwesenheit von Lehrkräften verschiedener Grundschulen in einer Erprobungsstufenkonferenz kein Austausch über einzelne Schülerinnen und Schüler zulässig ist. Es kann dann nur über allgemeine Probleme und Maßnahmen gesprochen werden. Soll über einzelne Schülerinnen und Schüler gesprochen werden, müssen die Gespräche auf die zuständigen Personen begrenzt werden. In einem größeren Raum lässt sich dieses beispielsweise umsetzen, in dem die Grundschullehrkräfte einzelne Tische erhalten und dort dann von den Lehrkräften der weiterführenden Schule, die nun die ehemaligen Schülerinnen und Schüler unterrichten, besucht werden können.

Die Beschränkung des Austauschs über Kinder auf die zur Aufgabenerfüllung der Konferenz erforderlichen Daten bedeutet darüber hinaus, dass es über Kinder, die in der Erprobungsstufe keine Probleme haben, diesen Austausch eben nicht gibt.

Dass auch die Grundschullehrkräfte bei der Teilnahme an der Erprobungsstufe Informationen über ihre ehemaligen Schülerinnen und Schüler erhalten, liegt in der Natur der Sache.

Stand 08/2023

April 13, 2023Mai 24, 2023

Empfehlungen für die Konfiguration von iPads für Schüler:innen

Lesezeit: < 1 Minute

In Schulen kommen iPads als Schüler Endgeräte in verschiedenen Settings zum Einsatz. Es geht um unpersonalisierte Geräte, wie sie in iPad Koffern und anderen Aufbewahrungsbehältnissen, in verschiedenen Klassen zum Einsatz kommen, um shared iPads, die ihre festen Nutzer haben, um Geräte in 1:1 Ausstattungen und um Leihgeräte.

Die folgenden Empfehlungen sollen die Belange der verschiedenen Beteiligten berücksichtigen, eine Administration mit verhältnismäßigem Aufwand, Sicherheit für das Gerät wie auch die schulische Infrastruktur, Schutz der Daten der Nutzer wie auch die unterrichtliche Nutzbarkeit gemäß den pädagogischen Zielsetzungen der Schule. Der Fokus liegt immer erst auf letzterem und wird dann abgewogen mit den anderen Belangen. Die Empfehlungen sind ein Gemeinschaftswerk, an dem sich verschiedene Lehrkräfte unterschiedlicher Schulen und Schulformen beteiligt haben.

Empfehlung – Konfiguration unpersonalisierte Schüler iPad.pdf

Dezember 12, 2022Februar 16, 2023

Microsoft 365 – Stand Februar 2023

Lesezeit: 5 Minuten

Hinweis: Bitte beachten Sie auch die geänderten FAQ zu MS365 des MSB NRW. Weitere Infos dazu unter Änderungen in den FAQ Datenschutz beim MSB NRW

Die Nutzung von Microsoft 365 ist schon seit Jahren eine Hängepartie für Schulen. Permanent scheint das Ende nahe. Die Position der LDI NRW zur schulischen Nutzung von Microsoft 365 ist durch verschiedene Veröffentlichungen und Äußerungen bekannt. Die letzte Aussage in schriftlicher Form stammt von Oktober 2022 aus der Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt.

Im November veröffentlichte dann die Datenschutzkonferenz (DSK) ihre Bewertung, die anders als 2020 einstimmig von allen Aufsichtsbehörden so beschlossen wurde. Ergebnis der Bewertung war, dass Schulen Microsoft 365 nicht datenschutzkonform nutzen können, da die Schulleitungen als Verantwortliche nach Einschätzung der DSK aufgrund fehlender Informationen durch Microsoft nicht in der Lage sind, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzukommen. Man sieht darüber hinaus auch Mängel bezüglich des Vertrags zur Auftragsverarbeitung, den Schulen mit Microsoft abschließen.¹

Was bedeutet diese Entwicklung nun für die Schulen in NRW?

Im Beitrag Warum die Datenschutzkonferenz MS365 in Schulen nicht für nutzbar hält im News Bereich dieser Website wird beschrieben, welche Möglichkeiten der Aufsichtsbehörde NRW zur Verfügung stehen, wenn sie Schulen gegenüber Konsequenzen aus der Bewertung der DSK folgen lassen will. Doch müssen Schulen jetzt damit rechnen, dass die Aufsichtsbehörde nachforscht, ob man Microsoft 365 nutzt und dass in Folge eine Nutzung möglicherweise untersagt wird, falls man nicht von sich aus auf eine andere Lösung wechselt?

Aktuell deutet nichts darauf hin, dass die Aufsichtsbehörde des Landes NRW von ihrer bisherigen Linie abweichen wird. Sie hat im letzten Jahresbericht wie auch in der oben erwähnten Schrift – ohne Namen zu nennen – öffentlich kundgetan, dass sie eine datenschutzkonforme Nutzung von Microsoft 365 und vergleichbaren Plattformen nicht für möglich hält, jedoch nicht den Weg der Verbote gehen, sondern mit Überzeugung arbeiten möchte. So weit wie etwa der LfDI Thüringen, der dieses auch medienwirksam in die breite Öffentlichkeit trägt und dort ankündigt, wie man nun weiter verfahren möchte, ist die LDI NRW bisher nicht gegangen. Äußerungen aus ihrem Haus lassen dergleichen auch nicht erwarten.

Die LDI NRW hat aktuell demnach nicht vor, Microsoft 365 aus allen Schulen des Bundeslandes zu verbannen. Sie wird jedoch auf jeden Fall Beschwerden von Betroffenen nachgehen und an diesen Schulen Verfahren in Gang setzen. Dazu verpflichtet sie die DS-GVO. Welche Aspekte dann letztlich im Fokus des aufsichtsbehördlichen Verfahrens stehen, kann von Fall zu Fall unterschiedlich sein. Es ist aber damit zu rechnen, dass die Aufsichtsbehörde betroffene Schule auch bezüglich der Erfüllung ihrer Rechenschaftspflichten gem. Art. 5 Abs. 2 DS-GVO um Auskunft bitten wird. Die Schule muss dann je nach Fall nachweisen, wie sie die Vorgaben der DS-GVO wie auch des Schulgesetzes durch geeignete technische und organisatorische Maßnahmen einhält und auch ihren Rechenschaftspflichten nachkommt. Ist die Schule dann nicht in der Lage, eine DS-GVO konforme Nutzung der Plattform nachzuweisen, bzw. ihren Rechenschaftspflichten nachzukommen, hätte die Schule nur zwei Optionen. Sie ließe sich überzeugen, die Nutzung von Microsoft 365 aufzugeben, oder riskierte eine Untersagung.

Wie sollten Schulen sich verhalten?

Was tun, wird man sich an vielen Schulen und auch bei vielen Schulträgern nun fragen? Macht es für Schulträger Sinn, bestehende Lizenzen zu verlängern? Ist es für Schulen sinnvoll, die Nutzung von Microsoft 365 fortzusetzen und gegebenenfalls sogar noch auszuweiten?

Die schulische Nutzung von Microsoft 365 ist aus Sicht der DSK problematisch und die LDI NRW teilt diese Haltung. Allerdings ist die Bewertung der DSK nicht unumstritten² und Microsoft arbeitet weiter daran, den Anforderungen der Aufsichtsbehörden bezüglich der Transparenz und Gestaltung der datenschutzrechtlichen Verträge zu entsprechen. Ergänzend dazu stellt Microsoft zum Jahresende die EU Data-Boundary bereit, welche es Verantwortlichen ermöglicht, nahezu alle Daten in der EU zu verarbeiten.³ Microsoft hat auf die neuen Standardvertragsklauseln (Standard Contractual Clauses, SCC) umgestellt und das Data Processing Addendum⁴ von September 2022 ist automatisch für alle Kunden gültig.⁵ Entlastung werden darüber hinaus, wenn auch vielleicht nur vorübergehend, die Executive Order des US Präsidenten und der geplante Angemessenheitsbeschluss durch die EU Kommission bringen. Man kann aktuell davon ausgehen, dass die LDI NRW sich nicht ohne einen konkreten Anlass bezüglich einer schulischen Nutzung von Microsoft 365 melden wird.

Solange man nicht davon ausgeht, dass die Aufsichtsbehörden nicht anders können, als bei Microsoft 365 jeden Missstand und sei er auch noch so gering, zu suchen, zu bemängeln und daraus eine Nichtnutzbarkeit für Schulen abzuleiten, sollte sich die Lage tendenziell weiter entspannen. Microsoft bessert beständig nach. Die Zeit arbeitet letztlich für Schulen, welche die Plattform nutzen.

Schulen, die weiterhin auf Microsoft 365 setzen wollen, werden die Dinge in den meisten Fällen einfach auf sich zukommen lassen und abwarten wie die Lage sich entwickelt. Sie sollten allerdings nicht bloß darauf vertrauen, dass die Lage sich früher oder später zu ihren Gunsten entwickelt dürfte, sondern sich proaktiv kritisch mit ihrer Nutzung der Plattform auseinandersetzen. Dazu gehört eine Erfassung aller Verarbeitungen, welche die Schule in der Plattform durchführt. Wer nutzt die Plattform zu welchen Zwecken und verwendet dabei welche Daten?⁶ Zu prüfen wäre hier auch, ob die Plattform eventuell für die Verarbeitung von personenbezogenen Daten genutzt wird, die dort aus Sicherheitsgründen nicht verarbeitet werden sollten. Das wären beispielsweise Zeugnisse, Gutachten, Beurteilungen, Notenlisten, Protokolle von Klassenkonferenzen, Unterlagen zu AO-SF Verfahren und ähnlich. Kontrolliert werden sollte auch, ob die Schule alle technischen und organisatorischen Maßnahmen getroffen hat, mit denen sich mögliche hohe Risiken für Betroffene bei der unterrichtlichen Nutzung von Microsoft 365 ausreichend mindern lassen, um eine Nutzung vertreten zu können.

Als Hilfe für die Überprüfung und anschließende Anpassung bietet sich eine Datenschutz Folgenabschätzung an. eine Vorlage dafür haben im Februar 2023 zwei Fachjuristen unter Creative Commons Lizenz veröffentlicht.⁷ Welche Maßnahmen dafür in Frage kommen, wurde bereits von verschiedenen Stellen online dokumentiert. Auch die oben genannte Vorlage führt einige Maßnahmen auf. Einige der für die dort beschriebenen Maßnahmen erforderlichen administrativen Konfigurationen stehen nicht in allen Versionen von MS365 zur Verfügung. Vor allem in der kostenlosen A1 Version sind die Steuerungsoptionen von Datenflüssen und Sicherheitsmaßnahmen wie auch Sicherheitsfunktionen nur eingeschränkt oder gar nicht verfügbar.

Zu möglichen technischen Maßnahmen gehören beispielsweise:

Telemetrieerfassung in installierten Anwendungen auf die niedrigste Stufe “Weder noch” setzen,
Zugriff auf Anwendungen von Drittanbietern im App Store in Teams deaktivieren,
zusätzliche optionale Connected Experiences in Micorosft 365 deaktivieren,
die meisten Funktionen in Teams Analytics & Reports deaktivieren und Pseudonymisierungsoption einschalten,
Viva Advanced Insights nicht aktivieren,
in Teams für alle Meetings und Chats Ende-zu-Ende Verschlüsselung aktivieren, sobald von Microsoft zur Verfügung gestellt,
Nutzung von Bring-your-own key, idealerweise mit einem eigenen Key-Server,
…

Zu möglichen organisatorische Maßnahmen gehören beispielsweise:

Nutzung von pseudonymisierten Zugangsdaten, etwa mit Buchstaben von Vor- und Nachnamen,
Anweisung für Lehrkräfte, keine Datei- und Ordnernamen mit Namen von Personen erstellen,
keine Nutzung für die Verarbeitung von personenbezogenen Daten aus der schulinternen Verwaltung (keine Notenlisten, Gutachten, …) oder für pädagogische Dokumentation,
Vollständige Erfüllung der Informationspflichten gem. Art. 13 DS-GVO,
Transparenz und Information, wie man als Schule mögliche Risiken für Betroffene bei der Nutzung minimiert,
regelmäßige Schulung und Sensibilisierung aller Nutzer für eine sichere und verantwortungsvolle Arbeit mit der Plattform,
…

Auch wenn Schulen aktuell nicht damit rechnen müssen, anlasslos von der Aufsichtsbehörde kontaktiert zu werden, so besteht jedoch immer das Risiko, dass die Aufsichtsbehörde durch eine Beschwerde zum Handeln gezwungen wird. Das heißt, Schulen sollten tunlichst alles Handeln im Zusammenhang mit der Nutzung von Microsoft 365 vermeiden, das Betroffene zu einer Beschwerde veranlassen könnte. Stattdessen sollten sie Bedenken ernst nehmen und den Betoffenen entgegenkommen, um gemeinsam eine verträgliche Lösung zu finden.

Oktober 7, 2022Oktober 17, 2022

LDI NRW Schrift zu Unterricht und Datenschutz – Oktober 2022

Lesezeit: 10 Minuten

Die Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt der LDI NRW ist ein wichtiges Dokument für Schulen, da es nicht nur den aktuellen Rechtsrahmen für die Verarbeitung von personenbezogenen Daten von Schülern und Lehrkräften im Unterricht und die rechtlichen Zuständigkeiten der verschiedenen beteiligten Stellen beschreibt, sondern auch, weil es eine Kommentierung einschließt. Angesprochen wird auch die Nutzung von Online-Plattformen wie Microsoft 365.

Datenverarbeitung durch den Schulträger

Im ersten Teil der Schrift werden die verschiedenen Zuständigkeiten der mit dem System Schule und der dort stattfindenden Datenverarbeitung befassten Stellen beschrieben, beginnend mit der Schulleitung und den schulischen Datenschutzbeauftragten, fortgeführt mit der Zuständigkeit des Schulträgers und des Schulministeriums und abschließend mit der eigenen Rolle, die der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) hierzu kommt. Von besonderem Interesse ist in diesem Abschnitt die Stelle, in welcher es um den Schulträger geht. Dieser ist, im Gegensatz zur Schulleitung, die für innere Angelegenheiten zuständig ist, und damit Verantwortlicher für die Verarbeitung von personenbezogenen Daten in der Schule selbst, für die äußeren Angelegenheiten zuständig. Bezüglich des Schulträgers und seiner Zuständigkeit für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit Schule, stellt die Aufsichtsbehörde fest:

“Soweit die Schulträger im Zusammenhang mit diesen äußeren Schulangelegenheiten personenbezogene Daten verarbeiten, sind sie als datenschutzrechtlich Verantwortliche anzusehen.”

“… diesen äußeren Schulangelegtenheiten” bezieht sich hier auf § 79 Abs. 1 SchulG NRW.

“„Die Schulträger sind verpflichtet, die für einen ordnungsgemäßen Unterricht erforderlichen Schulanlagen, Gebäude, Einrichtungen und Lehrmittel bereitzustellen und zu unterhalten sowie das für die Schulverwaltung notwendige Personal und eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen.“

Das heißt, der Schulträger darf personenbezogene Daten im Zusammenhang mit diesen äußeren Angelegenheiten verarbeiten und gilt dann als Verantwortlicher. In den meisten Fällen tritt der Schulträger eher als Auftragsverarbeiter auf, etwa wenn er administrative Aufgaben für die Schule in einer schulischen Plattform übernimmt oder bei Support- und Wartungsaufgaben durch kommunale Mitarbeiter, bei denen diese mit Plattformen oder Hardware zu tun haben, mit welchen personenbezogene Daten der Schule verarbeitet werden oder auch durch die Bereitstellung einer Person, die in kommunalen Diensten steht, für das Schulsekretariat.

Ein Fall, in welchem der Schulträger selbst Verantwortlicher sein kann, wäre beispielsweise der Verleih von Dienstgeräten an Lehrkräfte im Rahmen der Ausstattungsinitiative des Bundes und des Landes. In der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen wird beispielsweise geschrieben, dass der Schulträger die Geräte entsprechend verwalten muss.

Die Einwilligung im Zusammenhang mit Unterricht

Im zweiten großen Abschnitt geht es um die rechtlichen Rahmenbedingungen der Datenverarbeitung durch die Schule als verantwortlicher Stelle. Hier sind neben den Rechtsgrundlagen aus der DS-GVO und dem DSG NRW vor allem die spezialgesetzlichen Regelungen des Schulgesetzes NRW und die anhängigen Verordnungen zur Datenverarbeitung relevant. Die Schrift geht an dieser Stelle auch auf die Problematik der Einwilligung im Zusammenhang mit dem Unterricht ein und kommt zu dem Schluss:

“Für Schulen kann die Einwilligung im Zusammenhang mit dem Unterrichtsgeschehen regelmäßig keine Rechtsgrundlage für die Datenverarbeitung bieten. Wesentlich für eine wirksame Einwilligung ist, dass sie freiwillig erteilt wird. Diese Freiwilligkeit ist in aller Regel bei Datenverarbeitungen, die
den digitalen Unterricht ermöglichen sollen, nicht gegeben, weil die Schüler*innen
am Unterricht teilnehmen müssen und keine freie Wahl haben.”

Diese drei Sätze sagen mehr, als auf den ersten Blick offensichtlich. Es wird damit nicht gesagt, dass die Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Unterrichtsgeschehen nicht auch auf der Rechtsgrundlage eine Einwilligung erfolgen kann. Die Einwilligung ist jedoch je nach Zusammenhang problematisch, da sie nur dann rechtswirksam ist, wenn sie freiwillig erteilt wird und das ist sehr häufig (“in aller Regel”) nicht der Fall, da Schüler verpflichtet sind, am Unterricht teilzunehmen. Wenn im Unterricht beispielsweise eine Plattform genutzt werden soll, über welche Schülerinnen und Schüler zusammenarbeiten, ihre Aufgaben erhalten und Lernprodukte erstellen und abgeben, und zur Nutzung dieser Plattform eine Einwilligung erforderlich ist, dann kann davon ausgegangen werden, dass eine Freiwilligkeit hier nicht mehr gegeben ist. Eine Freiwilligkeit würde gleichwertige Alternativen voraussetzen. Diese im Fall einer solchen Plattform zu schaffen, ist so gut wie unmöglich. Das gleiche wäre der Fall, wenn die Klasse an einem Online-Tool , dessen Nutzung eine Einwilligung voraussetzt, gemeinsam ein Wissensnetzwerk erstellen soll. Alle Schüler sollen einen Beitrag erstellen und mit anderen Beiträgen vernetzen. Die Lehrkraft will anschließend die Beiträge bewerten. Von Freiwilligkeit kann hier zumindest im Sinne von Datenschutzrecht nicht mehr ausgegangen werden. Entsprechend heißt es in der Schrift etwas weiter im Text:

“Werden Daten von Schüler*innen im Zusammenhang mit digitalem Unterricht erhoben, ist es den Schüler*innen oder deren Eltern in aller Regel nicht möglich, sich frei und ohne Nachteile für die Schüler*innen gegen die Verarbeitung ihrer Daten zu entscheiden, weil sie ansonsten von der Nutzung der konkreten Anwendung und damit zumindest teilweise vom Unterricht ausgeschlossen wären.” Auch hier wird noch einmal ausgedrückt, dass eine freie Entscheidung in sehr vielen Fällen (“in aller Regel”) nicht möglich sein wird.

Anders gestaltet sich das jedoch, wenn die Nutzung einer Plattform oder die Aufnahme und Verwendung von Medien eine Option ist, um im Unterricht an einem Projekt zu arbeiten. Dann haben Schülerinnen und Schüler die Möglichkeit zu wählen und sind nicht gezwungen, eine Plattform zu nutzen oder beispielsweise Tonaufnahmen von sich selbst anzufertigen. Das bedeutet letztlich, man muss im Zusammenhang mit Unterricht sehr genau überlegen, ob eine Einwilligung möglich ist. Die Landesplattform Logineo NRW LMS setzt mit Stand von Oktober 2022 eine Einwilligung zwingend voraus. Das bedeutet, es ist schwierig, Unterricht auf dieser Plattform abzubilden und Schulen stoßen dann an ihre Grenzen, wenn einzelne Mitglieder in der Lerngruppe hier Ihre Einwilligung verweigern oder widerrufen.

Was für die Einwilligung für Schülerinnen und Schüler gilt, das gilt selbstredend auch für Lehrkräfte in gleicher Weise. Abschließend fasst die Schrift zum Thema Einwilligung kurz zusammen, unter welchen Voraussetzungen die Einwilligung als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten in der Schule genutzt werden kann.

“Eine Einwilligung kann nur dann eine Rechtsgrundlage für die Datenverarbeitung sein, wenn sich die Betroffenen frei von sozialem Druck oder Zwang für oder gegen die Verarbeitung ihrer personenbezogenen Daten entscheiden können.” Bei der Verarbeitung von personenbezogenen Daten etwa zur Öffentlichkeitsarbeit oder in anderen Zusammenhängen außerhalb des Unterrichts kann die Einwilligung durchaus ein Rechtsgrundlage bieten.

Datenverarbeitung zur Aufgabenerfüllung

Der Teil der Schrift, welcher sich mit den Rechtsgrundlagen zur Datenverarbeitung durch die Schule auseinandersetzt, welche sich aus der DS-GVO und dem nationalen Recht ergeben, endet mit einem Hinweis darauf, dass ich die Datenverarbeitung für den Einsatz digitaler Unterrichtsanwendungen an der Erfordernis zur Aufgabenerfüllung der Schule orientieren muss.

“Schulen müssen immer betrachten, welche Aufgabe sie zu erfüllen haben und welche Datenverarbeitungen dafür erforderlich sind. Schwierigkeiten bereiten in der Regel Anwendungen, die neben den für schulische Zwecke erforderlichen Datenverarbeitungen von den Anbietern voreingestellte Datenverarbeitungen vorsehen, die nicht den schulischen Zwecken dienen. Lassen sich diese Voreinstellungen nicht durch die Schule abstellen, sind diese Anwendungen für den digitalen Unterricht nicht geeignet.”

Nicht zur Aufgabenerfüllung erforderliche Datenverarbeitungen in einer unterrichtlich genutzten Plattform sind vielfach problematisch und können, wenn sie sich nicht innerhalb der Plattform deaktivieren lassen, dazu führen, dass eine solche Plattform im Unterricht nicht genutzt werden kann. Zu den nicht für schulische Zwecke erforderlichen Datenverarbeitungen könnten beispielsweise Telemetriedaten zählen, welche personenbezogene oder -beziehbare Daten beinhalten. In einer Plattform wie der Offline Version von Microsoft Office lassen sich diese beispielsweise durch einen Administrator komplett deaktivieren, wie auch weitere Datenflüsse zu Servern von Microsoft. In der Open Source Videokonferenz Plattform BigBlueButton gibt es mittlerweile eine Funktion zur Überwachung der Aktivität von Teilnehmern an einer Videokonferenz. Die Nutzung davon ist nicht für die Aufgabenerfüllung der Schule erforderlich. Sie kann deaktiviert werden, wodurch die Plattform weiterhin für die Anwendung im Unterricht geeignet ist.

Auftragsverarbeitung und Drittstaatentransfer

Diese beiden Anforderungen werden recht kurz und knapp unter den weiteren Anforderungen behandelt, welche von Schulen bei der Verarbeitung von personenbezogenen Daten beachtet werden müssen. Bei Auftragsverarbeitern muss die Schule sicherstellen, dass personenbezogenen Daten nur auf ihre Weisung und zu ihren Zwecken verarbeitet werden und die Vertraulichkeit im Zusammenhang mit der Verarbeitung sichergestellt ist. Dieses ist bisher gerade im Zusammenhang mit der Nutzung von Microsoft 365 nach Einschätzung der Aufsichtsbehörden ein Problem gewesen, da Microsoft sich in den Vertragsbedingungen das Recht einräumte, personenbezogene oder -beziehbare Daten auch zu eigenen Zwecken (interne Abrechnungszwecke) zu verarbeiten. Das Thema Drittstaatentransfer wird nur kurz umrissen und es wird auf weitere Schriften der Aufsichtsbehörde verwiesen. Nach Einschätzung der Aufsichtsbehörde liegt ein Drittstaatentransfer nicht nur dann vor, wenn der Auftragsverarbeiter oder Produkthersteller personenbezogene Daten in Drittländer übermittelt, etwa zu Wartungs- oder Support-Zwecken, sondern auch “wenn der Dienstleister oder dessen Auftragnehmer aus dem Drittland heraus auf in der EU gehaltene Daten zugreift.” Bei großen US-amerikanischen Anbietern ist dieses über viele Jahre gängige Praxis gewesen. Einige Anbieter sind mittlerweile dabei, dieses zu ändern.¹

Datenschutzbeauftragte und Personalvertretung

Einen kurzen Hinweis gibt es bezüglich der Verarbeitung der personenbezogenen Daten von Lehrkräften, wenn dabei Rückschlüsse auf das Verhalten und die Leistung der Lehrkräfte möglich ist. In einem solchen Fall sind die behördlichen Datenschutzbeauftragten wie auch die Personalvertretung mit einzubeziehen, um den Rechten der Lehrkräfte Rechnung zu tragen.

Lehrer- und Schülergeräte

Hier greift die Schrift die Regelungen zu Dienstgeräten und Ausnahmen für die Nutzung von privaten Endgeräten für die Verarbeitung von personenbezogenen Daten aus der Schule auf, welche auf die Anregungen der Aufsichtsbehörde selbst zurückgehen und diese weitestgehend umsetzen. Bezüglich der Nutzung von digitalen Endgeräten durch Schülerinnen und Schüler für Unterrichtszwecke kommt man bei der Aufsichtsbehörde zum Schluss, dass verpflichtende Regelungen zur Nutzung digitaler Endgeräte nur möglich sind, wenn Schülerinnen und Schüler mit diesen ausgestattet werden und keine privaten Geräte zum Einsatz kommen.

Ein Punkt, der etwas ausführlicher behandelt wird, ist die Möglichkeit zur Überwachung der Bildschirme von Schüler Geräten. Nach Einschätzung der Aufsichtsbehörde ist solches durchaus zulässig, auch die Aufnahme des Bildschirm Inhaltes in Form eines Screenrecording, wenn dieses “zur Wahrnehmung ihres Bildungs- und Erziehungsauftrags erforderlich ist,” und “beispielsweise zum Nachweis einer unzulässigen Nutzung des Geräts im Unterricht” dient. Betroffene müssen über das Bestehen dieser Möglichkeiten vorab informiert werden. [Etwas problematisch an dieser Stelle ist, dass diese Funktionen Mobile Device Management Systemen (MDM) zugeschrieben werden, was sachlich so nicht korrekt ist, da diese Systeme zur Verwaltung von Endgeräten derartige Funktionen nicht beinhalten. Bei iOS lassen sich derartige Funktionen nur über Apple Classroom nutzen. Intune das MDM von Microsoft benötigt für eine solche Funktion die Integration eines zusätzlichen Dienstes wie TeamViewer.]²

Digitale Systeme für den Unterricht

Dieser dritte große Teil der Schrift ist besonders interessant, weil hier auch Neuerungen im Datenschutzrecht beschrieben werden. Zunächst einmal wird darauf hingewiesen, dass Betroffenen immer klar sein muss, ob die Nutzung einer Plattform für sie verpflichtend oder freiwillig ist. Wie zuvor an verschiedenen Stellen beschrieben dürfen Schulen zur Verarbeitung von personenbezogenen Daten nur Produkte einsetzen, die sich datenschutzkonform, auch in Bezug auf die Sicherheit der Verarbeitung, nutzen lassen. Hier ist die Schule nun in der Pflicht, dieses zu prüfen. Schulen, die diesen recht hohen Aufwand nicht erbringen können, werden auf die Angebote des Landes verwiesen.

Rechtliche Änderungen gibt es bei der Nutzung von Videokonferenz Plattformen. Seit Inkrafttreten des Telekommunikationsgesetzes (TKG) und Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) Ende 2021 gelten “gegen Entgelt erbrachte Videokonferenzsysteme grundsätzlich als Tele- kommunikationsdienste.” Dadurch verändern sich rechtliche Verantwortlichkeiten. War die Schule bisher auch für die Verarbeitung von Metadaten wie der IP Adressen, Browserdaten, die übertragenen Datenmengen und Betriebssysteminformationen von Teilnehmern verantwortliche Stelle, so geht hier jetzt die Verantwortung auf den Anbieter der Videokonferenz Plattform über. Geschäftsmäßig erbrachte Videokonferenz Dienste unterliegen hier dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Inhalte von Videokonferenzen, Daten für Nutzerkonten oder die Einladung von Teilnehmern via E-Mail, in einer Videokonferenz mitlaufende Chats und gemeinsam bearbeitete Online Whiteboards, die Speicherung von Chats oder sonstige Verarbeitung, datenschutzfreundliche Voreinstellungen und ähnlich unterliegen wie bisher der Verantwortung der Schule. Zuständig ist hier in Bezug auf die Datenschutzkontrolle auch weiterhin die LDI NRW.

Im Folgenden beschreibt die Schrift dann den rechtlichen Rahmen für die Nutzung von Videokonferenz Plattformen, wie er sich auf dem SchulG NRW ergibt. Dabei geht es auch um die Unzulässigkeit der Teilnahme von Dritten, etwa Familienangehörigen, am Unterrichtsgeschehen per Videokonferenz, und der Aufzeichnung von Unterricht auf diesem Wege ohne eine vorliegende Einwilligung der Betroffenen. Kurz beschrieben werden auch die Bedingungen für die Verpflichtung von Schülern, die Kamera während einer Videokonferenz einzuschalten, das Streamen von Unterricht und der Einsatz sogenannter Telepräsenzroboter. Letzteren widmet die Schrift fast zwei ganze Seiten, um den Einsatz dieser Systeme rechtlich einzuordnen und Schulen Handlungsempfehlungen zu geben. Bevor es dann um datenschutzfreundliche Voreinstellungen für Videokonferenz Plattformen geht, werden noch Elternsprechtage per Videokonferenz in einem Exkurs behandelt. Da es aus dem Schulgesetz NRW keine Rechtsgrundlage für die Verarbeitung der dafür erforderlichen personenbezogenen Daten gibt, braucht es hier von Seiten der Eltern eine Einwilligung. Bei dieser sieht die Aufsichtsbehörde keine Bedenken, da sie nicht im Zusammenhang mit dem Unterrichtsgeschehen steht und Eltern immer auch die Alternative haben, zu telefonieren und oder persönlich in die Schule zu kommen.

Der letzte Abschnitt des dritten Teils der Schrift behandelt Messenger. Auch diese fallen wie gegen Entgelt erbrachte Videokonferenz Dienste unter Telekommunikationsdienste und entsprechend fallen hier die Metadaten unter die Verantwortlichkeit der Anbieter und die Inhalte sowie die zur Herstellung einer Verbindung erforderlichen Daten in die Zuständigkeit der Schule. “Messengerdienste, die im Zusammenhang mit der Herstellung der Kommunikation Daten verarbeiten, die für die Erbringung der Telekommunikationsleistung nicht erforderlich sind, sind für den Einsatz in Schulen nicht geeignet.” ist eine klare Ansage, durch welche etwa Messenger Dienste wie WhatsApp, welche die Adressbuchdaten der Teilnehmer mit den Servern des Anbieters abgleichen und dabei Daten unbeteiligter Dritter ohne deren Einwilligung übermitteln, für eine schulische Nutzung ausscheiden, “da die Schule ansonsten die Verarbeitung von personenbezogenen Daten veranlasst, die über das für ihre Aufgabenwahrnehmung erforderliche Maß im Sinne von §§ 120 Abs. 5, 121 Abs. 1 Satz 1 SchulG hinausgeht.”³

Die Schrift schließt mit einem Ausblick und Erwartungen für die Zukunft. Besonders interessant ist dabei der Teil, in welchem es um die aktuell von vielen Schulen genutzten Plattformen großer US-amerikanischer Anbieter geht. Auch wenn im Text keine Produktnamen genannt werden, ist klar, dass es vor allem um Microsoft 365 geht. Was gesagt wird, gilt jedoch auch für Google Workspace for Education und vergleichbare Produkte.

“In der pandemiebedingten Ausnahmesituation eingesetzte Lösungen, die nicht datenschutzkonform waren, sind nun von den Verantwortlichen anzupassen oder auszutauschen, wenn sie dauerhaft zum Einsatz kommen. Hier sind die Verantwortlichen gefordert, sobald wie möglich ein den aktuellen Umständen angemessenes Schutzniveau zu gewährleisten. Die LDI NRW setzt hierbei schwerpunktmäßig auf Überzeugungsarbeit bei den Verantwortlichen, nicht auf Untersagungen und Verbote. Selbstverständlich behalten wir uns vor, in Einzelfällen auch prüfend und kontrollierend tätig zu werden.”

Die Aufsichtsbehörde erwartet von den Schulen, dass sie die während der Notsituation in der Pandemie kurzfristig beschafften Lösungen wie Microsoft 365 und Teams entweder so anpassen, dass die Verarbeitung von personenbezogenen Daten mit einem angemessene Schutzniveau erfolgt oder, wenn ihnen dieses nicht möglich ist die Nutzung dieser Plattformen einstellen. Dabei räumt sie den Verantwortlichen in Schule ein wenig Spielraum ein. Einmal wird eine zeitliche Vorgabe gemacht, “sobald wie möglich” und dann wird die Angemessenheit des Schutzniveaus an den “aktuellen Umständen” orientiert. Letzteres heißt aber auch, wenn man davon ausgeht, dass die Umstände sich mittlerweile weitestgehend normalisiert haben, dass dann auch beim Schutzniveau keine Abstriche mehr gemacht werden sollten. Anders als einige andere Aufsichtsbehörden setzt die LDI NRW weniger auf Druck durch Untersagungen und Verbote als auf “Überzeugungsarbeit bei den Verantwortlichen.” Wie diese genau aussehen wird, bleibt dabei offen. Es ist zu erwarten, dass die Aufsichtsbehörde sich in Kürze zu Microsoft 365 und der Nutzung für den Unterricht äußern wird. Das dürfte frühestens im November erfolgen, wenn die Arbeitsgruppe der Datenschutzkonferenz erneut darüber abstimmen wird, ob die Plattform bezüglich des von Microsoft bereitgestellten Vertragswerks datenschutzkonform genutzt werden kann. Auch wenn die Aufsichtsbehörde Veränderungen durch Überzeugungsarbeit erreichen möchte, so behält sie sich Prüfungen und Kontrollen vor. Diese sollen jedoch auf Einzelfälle beschränkt bleiben. Darin unterscheidet sie sich nicht von den anderen Aufsichtsbehörden, die ebenfalls angekündigt haben, bei Beschwerden tätig werden.

Mit Blick auf die Zukunft schaut die Schrift auf Projekte, welche an datenschutzrechtlichen Zertifizierungen für Plattformanbieter im Bildungsbereich arbeiten. Derartige Zertifizierung sollten Verantwortlichen zukünftig eine Entlastung bescheren, da sie dann nicht selbst vor der Herausforderung stehen, Plattformen beurteilen zu müssen.

Fazit

Mit der Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt hat die Aufsichtsbehörde eine für Schulen hilfreiche Zusammenstellung der datenschutzrechtlichen Grundlagen für die Arbeit mit digitalen Plattformen im Unterricht und darüber hinaus geschaffen. Sie greift dabei die entscheidenden Passagen aus den zugrunde liegenden Rechtstexten auf und erläutert diese näher. Lesern sollte klar sein, dass es sich dabei um die Lesart der Aufsichtsbehörde handelt. Andere Lesarten können durchaus möglich sein. orientiert man sich an dir der Aufsichtsbehörde, ist man jedoch in der Regel auf der sicheren Seite. Mit dem zweiten Teil des Titels “Der Grundstein ist gelegt” macht die Aufsichtsbehörde klar, dass mit den neu geschaffenen datenschutzrechtlichen Regelungen im Schulgesetz und den anhängigen Verordnungen nun ein Fundament umgelegt ist, auf welchem man zukünftig aufbauen kann. Vor den Beteiligten liegt also noch einige Arbeit. Das schließt auch den Gesetzgeber mit ein, denn es ist, wie Beispiele aus anderen Bundesländern zeigen, durchaus möglich, die Erfordernis für Einwilligungen durch zusätzliche Rechtsgrundlagen weiter zu reduzieren. Ein Beispiel hierfür wäre die pädagogische Nutzung von Bild und Tonaufnahmen für den Unterricht.

Stand 10/2022