Datenschutz und KI-Tools in der Schule
Das dürfen wir nicht wegen Datenschutz! Ein pauschales Argument, mit dem die Nutzung digitaler Tools und insbesondere von KI-Modellen häufig vom Tisch gewischt wird. Aber was ist eigentlich das konkrete Problem?

CC-BY Frank Schlegel @digitaldurstig / erstellt mithilfe von Mistral, ChatGPT & Gamma
Warum ist Datenschutz überhaupt wichtig?
Der Schutz personenbezogener Daten ist kein Nice-to-have, sondern ein Grundrecht.
Grundlage ist das Grundgesetz: Aus Artikel 1 („Die Würde des Menschen ist unantastbar") und Artikel 2 („Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit") leiten die Gerichte das Recht auf informationelle Selbstbestimmung ab.
Außerdem garantiert die Charta der Grundrechte der Europäischen Union, Artikel 8, ausdrücklich das Recht auf den Schutz personenbezogener Daten.
Hintergrund: In Europa wird Datenschutz als Schutz der Menschenwürde und Freiheit verstanden – Daten sollen nicht unkontrolliert verarbeitet oder missbraucht werden.
Warum sind US-Tools wie Microsoft 365 oder ChatGPT problematisch?
DSGVO-Anforderungen
Die Datenschutz-Grundverordnung (DSGVO) verlangt, dass personenbezogene Daten in Europa verarbeitet werden – also auf Servern, die physisch in der EU stehen.
US-Datenschutzverständnis
In den USA gibt es ein anderes Verständnis von Datenschutz:
  • Gesetze wie der Patriot Act oder FISA erlauben Geheimdiensten weitreichenden Zugriff auf Daten.
  • Kein umfassendes Klagerecht: EU-Bürgerinnen und Bürger können in den USA kaum wirksam gegen Datenmissbrauch vorgehen.
Aber: Microsoft 365 hat doch Server in Europa?
Ja, Microsoft betreibt Serverstandorte u. a. in Irland und den Niederlanden.
Also ist doch alles in Ordnung, oder?
Was bedeutet der Cloud Act?
01
Cloud Act Definition
Selbst wenn Server physisch in Europa stehen, gilt für US-Firmen der Cloud Act (Clarifying Lawful Overseas Use of Data Act, 2018).
02
Verpflichtung zur Datenherausgabe
Dieser verpflichtet US-Unternehmen, Daten an Behörden herauszugeben – unabhängig vom Speicherort.
03
Fazit
Deshalb gilt: „Server in der EU" bedeutet bei US-Firmen nicht automatisch „datenschutzkonform".
Europäische Alternative zu ChatGPT: Mistrals Le Chat
Europäisches Unternehmen
Mistral ist ein französisches Unternehmen, unterliegt damit vollständig der europäischen Datenschutz-Grundverordnung und künftig auch dem EU-KI-Gesetz (AI Act).
Konkrete Alternative
Der Chatbot Le Chat ist eine durchaus konkurrenzfähige Alternative zu ChatGPT.
Opt-out Möglichkeit
Eingaben bei Le Cast können per Opt-out vom KI-Training ausgeschlossen werden: In den Einstellungen einfach das Häkchen bei „Daten für Training verwenden" entfernen.
Damit sind die größten Datenschutzprobleme (anders als bei ChatGPT oder Gemini) deutlich reduziert.
Also: Wenn Schüler*innen einen Account bei Le Chat haben und die Eltern eingewilligt haben, ist dann alles in Ordnung?
Schulrechtliche Besonderheiten
Auch bei einem DSGVO-konformen Tool wie Mistral gilt:
Verantwortliche Stelle
Die Schule bzw. der Schulträger ist rechtlich die verantwortliche Stelle. Sobald personenbezogene Daten verarbeitet werden, braucht es einen Auftragsverarbeitungsvertrag mit dem Anbieter.
Rechtliche Grundlage
Grundlage ist Artikel 28 der Datenschutz-Grundverordnung: Dort ist festgelegt, dass externe Anbieter Daten nur auf der Basis eines solchen Vertrags verarbeiten dürfen.

Ohne diesen Vertrag trägt die Schule die volle Verantwortung und Haftung bei Verstößen.
Schul-KI in Deutschland
Beispiele: kostenpflichtige Anbieter wie Paddy und fobizz.
1
Automatischer Vertrag
Plattformen wie Paddy und fobizz schließen beim Einrichten eines Schul-Accounts automatisch einen Auftragsverarbeitungsvertrag mit der Schule ab.
2
Rechtliche Absicherung
Damit ist die Schule rechtlich abgesichert – ein wichtiger Unterschied zu frei verfügbaren KI-Diensten.
Generell in der Anwendung von KI-Modellen: Auf personenbezogene Daten verzichten
Egal welches Tool eingesetzt wird: Schülerinnen und Schüler sollten lernen, keine personenbezogenen Daten einzugeben.
Personenbezogene Daten sind alle Angaben, die eine Person direkt oder indirekt identifizieren. Besonders sensible Beispiele:
Gesundheitsdaten
(z. B. „Ich habe Diabetes")
Adressdaten
(z. B. Wohnort, Telefonnummer)
Leistungsdaten
(z. B. Noten, Zeugnisse, Beurteilungen)
Wir halten also fest:
1
US-Tools (ChatGPT, Gemini, Microsoft etc.) → problematisch wegen US-Gesetzen wie dem Cloud Act.
2
Europäische Tools (Mistral) → grundsätzlich DSGVO-konform, aber: immer auf den Auftragsverarbeitungsvertrag achten.
3
Schule bleibt verantwortlich → egal welches Tool, die rechtliche Verantwortung liegt immer bei Schulleitung/Schulträger. Ideal sind Schul-Accounts bei Anbietern wie Paddy und fobizz.
4
Generell immer auf personenbezogene Daten achten → Schülerinnen und Schüler müssen lernen, was sie besser nicht eingeben.
Made with