Abschnittsübersicht

Kursübersicht

Überblick
EU AI Act
    •                                   zurück zur  Übersicht                                

       

      Was bedeutet das für Schulen?

      Für Schulen stellt der Umgang mit Künstlicher Intelligenz und Sprachmodellen eine große Herausforderung dar. 

      Nicht-edukative Systeme

      Aus datenschutzrechtlicher Sicht ist es derzeit nicht möglich, mit den meisten nicht-edukativen Anbietern einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abzuschließen. Ein solcher Vertrag wäre jedoch notwendig, um personenbezogene Daten rechtssicher verarbeiten zu dürfen. Selbst wenn ein AV-Vertrag verfügbar wäre, blieben Unsicherheiten bestehen: Häufig ist nicht klar, wo genau die Daten gespeichert werden, wie lange sie aufbewahrt werden oder ob ein Schutzniveau erreicht wird, das den Anforderungen der DSGVO entspricht. Damit fehlt Schulen eine klare rechtliche Grundlage für die institutionelle Nutzung solcher Dienste.

      Edukative Systeme

      Bei edukativen Anbietern ist ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) Voraussetzung für eine Nutzung. Diese bieten entsprechende Verträge an und erfüllen damit wichtige datenschutzrechtliche Anforderungen:

      • EU-Hosting: Viele Anbieter (fobizz, SchulKI, AIS.chat) nutzen europäische Server (z. B. Microsoft Azure in der EU)

      • Keine Datennutzung für Training: Vertraglich wird festgelegt, dass Eingaben nicht für Modelltraining verwendet werden

      • Transparente Datenspeicherung: Klare Regelungen zu Speicherfristen und Löschrechten

      • Nachvollziehbare Backend-Anbindung: Offenlegung, welche Sprachmodelle genutzt werden


      Wichtig

      Auch mit AV-Vertrag gilt die Grundregel – keine personenbezogenen Daten von Schülerinnen und Schülern verarbeiten. 
      Vor der Nutzung sollten Schulen:

      • Einen AV-Vertrag mit dem Anbieter abschließen

      • Prüfen, ob der Datenschutzbeauftragte des Landes den Dienst freigegeben hat

      • Lehrkräfte zur datenschutzkonformen Nutzung schulen

      Was bedeutet das für den unterrichtlichen Einsatz?

      Lehrkräfte können sich privat registrieren und Sprachmodelle auf eigene Verantwortung nutzen. Dabei sollten sie jedoch unbedingt darauf achten, keine personenbezogenen oder sensiblen Daten von Schülerinnen und Schüler in die Systeme einzugeben. 

      Bei edukativen Systemen registriert sich die Lehrkraft dienstlich, im Kontext der schulischen Freigabe und Nutzung.

      Verantwortung der Lehrkraft:

      • Vollständige Eigenverantwortung für Datenschutz-Compliance

      • Anonymisierungspflicht: Entfernung aller personenbezogenen Bezüge aus Schülereingaben

      • Aufklärungs- und Dokumentationspflicht gegenüber Schulleitung und Datenschutzbeauftragten

      • Nachweis der Kompetenz durch eine erfolgreiche Teilnahme an einem KI-Grundlagenkurs

    • Wer ist in der Schule für die Prüfung der DSGVO-Konformität zuständig?

      Die Verantwortung für den Datenschutz in Schulen liegt grundsätzlich bei der Schule (bzw. der Schulträger) selbst, vertreten durch die Schulleitung. Diese ist verpflichtet sicherzustellen, dass alle eingesetzten digitalen Werkzeuge – dazu gehören auch KI-Systeme und Sprachmodelle – den geltenden Datenschutzanforderungen entsprechen. Dazu gehört insbesondere die sorgfältige Prüfung, ob eine Anwendung datenschutzkonform genutzt werden kann und welche organisatorischen Maßnahmen dafür notwendig sind.

      Gemäß der DSGVO sind Behörden und andere öffentliche Stellen, einschließlich aller öffentlichen Schulen, verpflichtet, einen Datenschutzbeauftragten zu benennen, die bzw. der beratend und unterstützend tätig ist. 

      Diese Person prüft datenschutzrechtliche Fragen, gibt Empfehlungen für den sicheren Umgang mit personenbezogenen Daten und begleitet die Einführung neuer Technologien. Sie fungiert außerdem als wichtige Schnittstelle zwischen Schule, Schulträger, Aufsichtsbehörden sowie Eltern und Schülerinnen und Schüler. Idealerweise wird für diese Aufgabe eine Lehrkraft der jeweiligen Schule gefunden. Das NLQ bietet Fortbildungen für schulische Datenschutzbeauftragte an.

      Der schulische Datenschutzbeauftragte arbeitet unabhängig und ist nicht weisungsgebunden, damit Interessenkonflikte vermieden werden. Gleichzeitig ist die Schule verpflichtet, die nötigen Rahmenbedingungen zu schaffen: Dazu zählen ausreichend Zeit, Ressourcen und Fortbildungsmöglichkeiten, damit die Aufgaben sachgerecht erfüllt werden können. So wird gewährleistet, dass Datenschutz nicht nur auf dem Papier existiert, sondern aktiv im Schulalltag umgesetzt wird.

      Darüber hinaus ist es in vielen Bundesländern vorgesehen, dass die Kontaktdaten der zuständigen Datenschutzbeauftragten veröffentlicht werden, etwa auf der Website der Schule. Auf diese Weise wissen Lehrkräfte, Eltern und Schülerinnen und Schüler  jederzeit, an wen sie sich bei Fragen oder Unsicherheiten wenden können. Dies schafft Transparenz und stärkt das Vertrauen in den verantwortungsvollen Umgang mit Daten.

      Für Schulen bedeutet dies: Die Verantwortung für die DSGVO-Konformität liegt zwar bei der Leitung, sie wird jedoch durch die Expertise und Beratung des Datenschutzbeauftragten unterstützt. Nur durch dieses Zusammenspiel kann sichergestellt werden, dass neue digitale Entwicklungen – einschließlich KI-gestützter Anwendungen – rechtssicher und verantwortungsvoll in den Unterricht integriert werden.

      Umsetzung der DSGVO durch Schulen und Studienseminare

      Bildungsportal Niedersachsen - Umsetzung

      Häufige Fragen und Antworten zum Datenschutz

      Bildungsportal Niedersachsen - Datenschutz

Überblick
EU AI Act