DSGVO konforme KI Tools für Schulen im Vergleich

Künstliche Intelligenz hält Einzug in den Schulalltag. Ob bei der Unterrichtsvorbereitung, der Erstellung von Arbeitsblättern oder der individuellen Förderung: KI Tools versprechen echte Entlastung für Lehrkräfte. Doch wer KI an einer Schule einsetzen möchte, steht vor einer entscheidenden Frage: Welche Anwendungen erfüllen die Anforderungen der Datenschutz-Grundverordnung (DSGVO)?

Gerade im schulischen Kontext ist Datenschutz besonders sensibel, denn es geht um die Daten von Minderjährigen. Seit Februar 2025 gelten zudem durch die europäische KI-Verordnung (EU AI Act) zusätzliche Pflichten, etwa zur KI-Kompetenz des Personals. Ab August 2026 treten weitere Vorschriften zu Hochrisiko-Systemen in Kraft. Für Schulleitungen und Lehrkräfte wird es daher immer wichtiger, bei der Auswahl von KI Tools systematisch vorzugehen.

Worauf Schulen bei der Auswahl achten müssen

Um ein KI Tool auf DSGVO-Konformität zu prüfen, sollten Sie folgende Kriterien systematisch bewerten:

1. Serverstandort und Datenverarbeitung

Prüfen Sie, wo die Daten verarbeitet und gespeichert werden. Server innerhalb der EU bzw. des EWR (etwa Deutschland, Niederlande oder Schweden) sind datenschutzrechtlich unbedenklich. Bei Anbietern mit Servern in Drittstaaten wie den USA reichen Standardvertragsklauseln (SCCs) allein nach dem Schrems-II-Urteil des EuGH nicht aus. Fragen Sie explizit nach dem Serverstandort, auch wenn ein Anbieter allgemein „DSGVO-Konformität" zusichert.

2. Auftragsverarbeitungsvertrag (AVV)

Ein AVV nach Art. 28 DSGVO ist gesetzlich vorgeschrieben, sobald ein Dienstleister personenbezogene Daten im Auftrag Ihrer Schule verarbeitet. Ohne gültigen AVV liegt ein Datenschutzverstoß vor. Achten Sie darauf, dass der Vertrag den konkreten Zweck der KI-Nutzung benennt, Unterauftragsverarbeiter vollständig auflistet und technisch-organisatorische Maßnahmen (TOMs) wie Verschlüsselung und Zugriffskontrollen beschreibt.

3. Umgang mit Eingabedaten

Ein zentrales Kriterium: Was geschieht mit den Daten, die Lehrkräfte oder Schülerinnen und Schüler in das Tool eingeben? Seriöse Anbieter garantieren, dass Eingabedaten nicht zum Training der KI-Modelle verwendet werden. Achten Sie darauf, dass keine personenbezogenen Daten in die KI eingegeben werden müssen und dass der Anbieter eine klare Löschfrist für Nutzungsdaten benennt.

4. Datenschutzfolgenabschätzung (DSFA)

Bei KI-Anwendungen, die ein hohes Risiko für die Rechte Betroffener bergen, ist eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO Pflicht. Gute Anbieter unterstützen Schulen dabei, indem sie transparente Dokumentationen und Risikoanalysen bereitstellen. Die KI-Checkliste des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) bietet hier eine wertvolle Orientierung.

5. Transparenz und Dokumentation

Vertrauenswürdige Anbieter dokumentieren offen, welche KI-Modelle zum Einsatz kommen, wie Daten verarbeitet werden und welche Sicherheitsmaßnahmen greifen. Prüfen Sie, ob der Anbieter ein Verarbeitungsverzeichnis bereitstellt und ob die Datenschutzerklärung verständlich und vollständig ist.

Orientierung durch Prüfverfahren der Länder

Die Kultusministerkonferenz hat 2024 vereinbart, Schulen Orientierungshilfen für den rechtskonformen KI-Einsatz bereitzustellen. Plattformen wie eduCheck digital, das vom FWU im Auftrag der Länder betrieben wird, prüfen digitale Bildungsmedien nach technischen, rechtlichen und didaktischen Kriterien. Auch der Vermittlungsdienst VIDIS bietet Schulen einen datenschutzkonformen Zugang zu geprüften Anwendungen. Beide Plattformen können als erste Anlaufstelle dienen, um bereits geprüfte Tools zu identifizieren.

Besondere Anforderungen im schulischen Kontext

Neben den allgemeinen DSGVO-Anforderungen gelten für Schulen besondere Regeln: Personenbezogene Daten nach Art. 9 DSGVO (z. B. Gesundheitsdaten oder religiöse Überzeugungen) dürfen grundsätzlich nicht in KI-Anwendungen verarbeitet werden. KI darf keine Noten vergeben oder andere wesentliche schulische Entscheidungen treffen. Zudem gelten in vielen Bundesländern landesspezifische Datenschutzregelungen, die über die DSGVO hinausgehen. Informieren Sie sich daher auch bei Ihrem zuständigen Landesdatenschutzbeauftragten.

Fazit: Systematisch prüfen statt blind vertrauen

Die DSGVO-konforme Auswahl eines KI Tools für Ihre Schule erfordert eine strukturierte Prüfung. Serverstandort, AVV, Umgang mit Eingabedaten, Datenschutzfolgenabschätzung und Transparenz sind die fünf Kriterien, an denen sich jedes Tool messen lassen muss. Nutzen Sie die Prüfverfahren der Länder als Orientierung und setzen Sie auf Anbieter, die speziell für den Bildungsbereich entwickelt wurden. Skillsquare wurde von Anfang an für den schulischen Einsatz konzipiert: Alle Daten werden ausschließlich auf deutschen Servern verarbeitet, ein vollständiger AVV ist verfügbar und Eingabedaten werden nicht zum Modelltraining verwendet. So schaffen Sie die Grundlage für einen rechtssicheren und pädagogisch sinnvollen KI-Einsatz an Ihrer Schule.