Rechtliches
Hier findest du die Datenschutzhinweise zur Plattform.
Datenschutzhinweise für Schulen, Lehrkräfte und Schülerarbeiten
Hinweise zur Verarbeitung personenbezogener Daten beim Einsatz der Plattform im schulischen Kontext.
1. Verantwortlicher
Manuel Achterberg
Waldweg 51
29221 Celle
Deutschland
E-Mail: mail@achterberg.rocks
Manuel Achterberg
Waldweg 51
29221 Celle
Deutschland
E-Mail: mail@achterberg.rocks
2. Rollen im schulischen Einsatz
Bei einem Einsatz im Schulunterricht ist datenschutzrechtlich im Einzelfall zu prüfen, wer Verantwortlicher im Sinne der DSGVO ist. Je nach organisatorischer Ausgestaltung kann dies insbesondere die Schule, der Schulträger, die Schulaufsichtsbehörde oder bei einem eigenständigen Angebot außerhalb schulischer Verantwortung der Betreiber der Plattform sein. Maßgeblich ist, wer über Zwecke und wesentliche Mittel der Verarbeitung entscheidet. Soweit die Plattform im Auftrag einer Schule oder Schulbehörde betrieben wird, ist regelmäßig zusätzlich ein Vertrag zur Auftragsverarbeitung erforderlich.
Bei einem Einsatz im Schulunterricht ist datenschutzrechtlich im Einzelfall zu prüfen, wer Verantwortlicher im Sinne der DSGVO ist. Je nach organisatorischer Ausgestaltung kann dies insbesondere die Schule, der Schulträger, die Schulaufsichtsbehörde oder bei einem eigenständigen Angebot außerhalb schulischer Verantwortung der Betreiber der Plattform sein. Maßgeblich ist, wer über Zwecke und wesentliche Mittel der Verarbeitung entscheidet. Soweit die Plattform im Auftrag einer Schule oder Schulbehörde betrieben wird, ist regelmäßig zusätzlich ein Vertrag zur Auftragsverarbeitung erforderlich.
3. Kategorien verarbeiteter Daten
Im Rahmen der Nutzung der Plattform können insbesondere folgende Daten verarbeitet werden:
Daten von Lehrkräften: Name, schulische E-Mail-Adresse, Rolle, Zugangsdaten, Einstellungen innerhalb der Plattform, hochgeladene Unterrichtsmaterialien, Eingaben in Formularen, manuelle Bewertungen, Kommentare und Korrekturen.
Daten von Schülerinnen und Schülern: Namen oder sonstige Identifikatoren, Inhalte hochgeladener Schülerarbeiten, von der Lehrkraft vergebene oder erzeugte Bewertungen, Annotationen, Fehlerhinweise, Noten- und Punktedaten, OCR-Texte aus hochgeladenen Arbeiten sowie ggf. weitere in den Arbeiten enthaltene personenbezogene Angaben.
Technische Daten: Zeitpunkte der Nutzung, Aktivitätsprotokolle, IP-Adresse, Browser- und Geräteinformationen, Fehler- und Sicherheitsprotokolle sowie Daten über Systemaufrufe.
Besondere Vorsicht: Schülerarbeiten können im Einzelfall sensible oder besonders schutzbedürftige Inhalte enthalten. Solche Inhalte sollten nur verarbeitet werden, wenn dies schulisch erforderlich und datenschutzrechtlich zulässig ist.
Im Rahmen der Nutzung der Plattform können insbesondere folgende Daten verarbeitet werden:
Daten von Lehrkräften: Name, schulische E-Mail-Adresse, Rolle, Zugangsdaten, Einstellungen innerhalb der Plattform, hochgeladene Unterrichtsmaterialien, Eingaben in Formularen, manuelle Bewertungen, Kommentare und Korrekturen.
Daten von Schülerinnen und Schülern: Namen oder sonstige Identifikatoren, Inhalte hochgeladener Schülerarbeiten, von der Lehrkraft vergebene oder erzeugte Bewertungen, Annotationen, Fehlerhinweise, Noten- und Punktedaten, OCR-Texte aus hochgeladenen Arbeiten sowie ggf. weitere in den Arbeiten enthaltene personenbezogene Angaben.
Technische Daten: Zeitpunkte der Nutzung, Aktivitätsprotokolle, IP-Adresse, Browser- und Geräteinformationen, Fehler- und Sicherheitsprotokolle sowie Daten über Systemaufrufe.
Besondere Vorsicht: Schülerarbeiten können im Einzelfall sensible oder besonders schutzbedürftige Inhalte enthalten. Solche Inhalte sollten nur verarbeitet werden, wenn dies schulisch erforderlich und datenschutzrechtlich zulässig ist.
4. Zwecke der Verarbeitung
Die Datenverarbeitung erfolgt insbesondere zu folgenden Zwecken:
Bereitstellung und Betrieb der schulischen Plattform, Nutzerverwaltung, Upload und Verarbeitung von Schülerarbeiten, OCR-Erkennung, KI-gestützte Voranalyse und Korrekturvorschläge, Anzeige und Bearbeitung von Annotationen, Erstellung von Bewertungs- und Beurteilungsvorschlägen, Dokumentation des Bearbeitungsstands, Fehleranalyse, Missbrauchsverhinderung, Systemsicherheit sowie Nachvollziehbarkeit administrativer Vorgänge.
Die Datenverarbeitung erfolgt insbesondere zu folgenden Zwecken:
Bereitstellung und Betrieb der schulischen Plattform, Nutzerverwaltung, Upload und Verarbeitung von Schülerarbeiten, OCR-Erkennung, KI-gestützte Voranalyse und Korrekturvorschläge, Anzeige und Bearbeitung von Annotationen, Erstellung von Bewertungs- und Beurteilungsvorschlägen, Dokumentation des Bearbeitungsstands, Fehleranalyse, Missbrauchsverhinderung, Systemsicherheit sowie Nachvollziehbarkeit administrativer Vorgänge.
5. Rechtsgrundlagen
Die Rechtsgrundlage hängt vom konkreten Einsatzszenario ab:
Öffentliche Schulen: In der Regel kommt für die Verarbeitung schulischer Daten Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit dem jeweils einschlägigen Schulrecht, Schuldatenschutzrecht oder sonstigem Landesrecht in Betracht.
Private Schulen oder vertragliche Nutzungsverhältnisse: Je nach Ausgestaltung können außerdem Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO einschlägig sein.
Einwilligungen: Soweit eine Verarbeitung nicht bereits durch gesetzliche Aufgabenwahrnehmung gedeckt ist, kann im Einzelfall eine Einwilligung erforderlich sein. Bei schulischen Über- und Unterordnungsverhältnissen ist die Freiwilligkeit einer Einwilligung besonders sorgfältig zu prüfen.
Besondere Kategorien personenbezogener Daten: Falls Inhalte verarbeitet werden, aus denen z. B. Gesundheitsdaten, religiöse Überzeugungen oder andere besonders sensible Angaben hervorgehen, ist zusätzlich gesondert zu prüfen, ob und auf welcher Grundlage dies zulässig ist.
Die Rechtsgrundlage hängt vom konkreten Einsatzszenario ab:
Öffentliche Schulen: In der Regel kommt für die Verarbeitung schulischer Daten Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit dem jeweils einschlägigen Schulrecht, Schuldatenschutzrecht oder sonstigem Landesrecht in Betracht.
Private Schulen oder vertragliche Nutzungsverhältnisse: Je nach Ausgestaltung können außerdem Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO einschlägig sein.
Einwilligungen: Soweit eine Verarbeitung nicht bereits durch gesetzliche Aufgabenwahrnehmung gedeckt ist, kann im Einzelfall eine Einwilligung erforderlich sein. Bei schulischen Über- und Unterordnungsverhältnissen ist die Freiwilligkeit einer Einwilligung besonders sorgfältig zu prüfen.
Besondere Kategorien personenbezogener Daten: Falls Inhalte verarbeitet werden, aus denen z. B. Gesundheitsdaten, religiöse Überzeugungen oder andere besonders sensible Angaben hervorgehen, ist zusätzlich gesondert zu prüfen, ob und auf welcher Grundlage dies zulässig ist.
6. Hosting und Ort der Verarbeitung
Die Verarbeitung der in der Plattform erfassten Daten findet in Microsoft Azure in der Region West Europe statt. Nach der Azure-Regionenliste von Microsoft liegt die Region West Europe in den Niederlanden. Dort können insbesondere hochgeladene Dokumente, OCR-Ergebnisse, Bewertungsdaten, Nutzungsprotokolle und technische Betriebsdaten verarbeitet und gespeichert werden.
Für Azure AI Document Intelligence gibt Microsoft an, dass eingehende Dokumente in derselben Region verarbeitet werden, in der die jeweilige Document-Intelligence-Ressource erstellt wurde. Die Analyseergebnisse werden dabei temporär in Azure Storage in derselben Region gespeichert; reguläre Analyseergebnisse werden nach Microsoft-Angaben für die Abruflogik bis zu 24 Stunden vorgehalten und können vorzeitig gelöscht werden.
Für Azure AI Foundry / Azure Direct Models werden in diesem Betrieb ausschließlich DataZone-Deployments verwendet. Microsoft gibt hierfür an, dass Prompts und Antworten innerhalb der jeweils gewählten Data Zone verarbeitet werden. Für einen in der EU betriebenen Dienst bedeutet das, dass die Verarbeitung nach Microsoft innerhalb von EU-Mitgliedstaaten derselben Data Zone erfolgen kann, also nicht zwingend nur in einer einzelnen Azure-Region. Microsoft erklärt außerdem, dass Prompts, Antworten und Trainingsdaten nicht anderen Kunden, nicht OpenAI und nicht anderen Modellanbietern zur Verfügung gestellt und ohne ausdrückliche Freigabe nicht zum Training der Basismodelle verwendet werden.
Für die Datenschutzbewertung bedeutet das: Während die Verarbeitung bei Azure AI Foundry nicht global geöffnet ist, kann sie nach Microsoft innerhalb der einschlägigen EU Data Zone zwischen mehreren EU-Mitgliedstaaten stattfinden. Schulen oder Schulträger sollten diesen Umstand in ihrer Dokumentation, Risikoabwägung und gegebenenfalls in einer Datenschutz-Folgenabschätzung ausdrücklich berücksichtigen.
Die Verarbeitung der in der Plattform erfassten Daten findet in Microsoft Azure in der Region West Europe statt. Nach der Azure-Regionenliste von Microsoft liegt die Region West Europe in den Niederlanden. Dort können insbesondere hochgeladene Dokumente, OCR-Ergebnisse, Bewertungsdaten, Nutzungsprotokolle und technische Betriebsdaten verarbeitet und gespeichert werden.
Für Azure AI Document Intelligence gibt Microsoft an, dass eingehende Dokumente in derselben Region verarbeitet werden, in der die jeweilige Document-Intelligence-Ressource erstellt wurde. Die Analyseergebnisse werden dabei temporär in Azure Storage in derselben Region gespeichert; reguläre Analyseergebnisse werden nach Microsoft-Angaben für die Abruflogik bis zu 24 Stunden vorgehalten und können vorzeitig gelöscht werden.
Für Azure AI Foundry / Azure Direct Models werden in diesem Betrieb ausschließlich DataZone-Deployments verwendet. Microsoft gibt hierfür an, dass Prompts und Antworten innerhalb der jeweils gewählten Data Zone verarbeitet werden. Für einen in der EU betriebenen Dienst bedeutet das, dass die Verarbeitung nach Microsoft innerhalb von EU-Mitgliedstaaten derselben Data Zone erfolgen kann, also nicht zwingend nur in einer einzelnen Azure-Region. Microsoft erklärt außerdem, dass Prompts, Antworten und Trainingsdaten nicht anderen Kunden, nicht OpenAI und nicht anderen Modellanbietern zur Verfügung gestellt und ohne ausdrückliche Freigabe nicht zum Training der Basismodelle verwendet werden.
Für die Datenschutzbewertung bedeutet das: Während die Verarbeitung bei Azure AI Foundry nicht global geöffnet ist, kann sie nach Microsoft innerhalb der einschlägigen EU Data Zone zwischen mehreren EU-Mitgliedstaaten stattfinden. Schulen oder Schulträger sollten diesen Umstand in ihrer Dokumentation, Risikoabwägung und gegebenenfalls in einer Datenschutz-Folgenabschätzung ausdrücklich berücksichtigen.
7. Empfänger und Auftragsverarbeitung
Empfänger der Daten können sein:
die jeweils zuständigen Lehrkräfte, schulische Administratoren, der Betreiber der Plattform, Hosting- und Infrastrukturdienstleister, Dienstleister für OCR und KI-gestützte Analyse sowie ggf. technische Support- und Wartungsdienstleister.
Soweit externe Dienstleister im Auftrag personenbezogene Daten verarbeiten, ist vor produktivem Einsatz zu prüfen und zu dokumentieren, dass eine datenschutzkonforme Auftragsverarbeitung einschließlich Unterauftragsverarbeitung vorliegt.
Für Microsoft Azure sind insbesondere die Microsoft Product Terms, das Microsoft Products and Services Data Protection Addendum (DPA) sowie die von Microsoft veröffentlichte Online Services Subprocessor List maßgeblich. Daraus ergibt sich, unter welchen vertraglichen Bedingungen Microsoft als Auftragsverarbeiter tätig wird, welche technischen und organisatorischen Maßnahmen beschrieben sind und welche weiteren Unterauftragsverarbeiter von Microsoft eingesetzt werden können.
Vor dem produktiven Einsatz sollte dokumentiert werden, welche Microsoft-Dienste konkret genutzt werden, welche Region konfiguriert ist, welche Unterauftragsverarbeiter nach der jeweils aktuellen Microsoft-Liste relevant sind und ob die dazugehörigen Vertragsunterlagen in die schulische Datenschutzdokumentation übernommen wurden.
Empfänger der Daten können sein:
die jeweils zuständigen Lehrkräfte, schulische Administratoren, der Betreiber der Plattform, Hosting- und Infrastrukturdienstleister, Dienstleister für OCR und KI-gestützte Analyse sowie ggf. technische Support- und Wartungsdienstleister.
Soweit externe Dienstleister im Auftrag personenbezogene Daten verarbeiten, ist vor produktivem Einsatz zu prüfen und zu dokumentieren, dass eine datenschutzkonforme Auftragsverarbeitung einschließlich Unterauftragsverarbeitung vorliegt.
Für Microsoft Azure sind insbesondere die Microsoft Product Terms, das Microsoft Products and Services Data Protection Addendum (DPA) sowie die von Microsoft veröffentlichte Online Services Subprocessor List maßgeblich. Daraus ergibt sich, unter welchen vertraglichen Bedingungen Microsoft als Auftragsverarbeiter tätig wird, welche technischen und organisatorischen Maßnahmen beschrieben sind und welche weiteren Unterauftragsverarbeiter von Microsoft eingesetzt werden können.
Vor dem produktiven Einsatz sollte dokumentiert werden, welche Microsoft-Dienste konkret genutzt werden, welche Region konfiguriert ist, welche Unterauftragsverarbeiter nach der jeweils aktuellen Microsoft-Liste relevant sind und ob die dazugehörigen Vertragsunterlagen in die schulische Datenschutzdokumentation übernommen wurden.
8. Umfang und Begrenzung der Datenverarbeitung im Schulkontext
Bei der Nutzung für schulische Zwecke sollten nur solche Daten verarbeitet werden, die für Unterricht, Korrektur, pädagogische Rückmeldung und organisatorische Durchführung tatsächlich erforderlich sind. Nicht erforderliche Profilangaben, Freitextfelder, Fotos oder sonstige Zusatzinformationen sollten deaktiviert oder nicht verwendet werden. Aktivitäts- und Nutzungsdaten sollten nicht zu einer darüber hinausgehenden Verhaltens- oder Leistungsüberwachung genutzt werden, soweit dies nicht pädagogisch erforderlich und rechtlich zulässig ist.
Bei der Nutzung für schulische Zwecke sollten nur solche Daten verarbeitet werden, die für Unterricht, Korrektur, pädagogische Rückmeldung und organisatorische Durchführung tatsächlich erforderlich sind. Nicht erforderliche Profilangaben, Freitextfelder, Fotos oder sonstige Zusatzinformationen sollten deaktiviert oder nicht verwendet werden. Aktivitäts- und Nutzungsdaten sollten nicht zu einer darüber hinausgehenden Verhaltens- oder Leistungsüberwachung genutzt werden, soweit dies nicht pädagogisch erforderlich und rechtlich zulässig ist.
9. KI-gestützte Auswertung von Schülerarbeiten
Die Plattform kann hochgeladene Schülerarbeiten automatisiert analysieren, OCR-Texte erzeugen sowie Vorschläge für sprachliche und inhaltliche Bewertungen, Annotationen, Punktabzüge und Beurteilungen erstellen. Diese Ergebnisse dienen der Unterstützung der Lehrkraft und sollten vor verbindlicher Verwendung fachlich geprüft werden. Es ist nicht vorgesehen, Entscheidungen ausschließlich automatisiert ohne menschliche Prüfung verbindlich gegenüber Schülerinnen und Schülern zu treffen.
Die Plattform kann hochgeladene Schülerarbeiten automatisiert analysieren, OCR-Texte erzeugen sowie Vorschläge für sprachliche und inhaltliche Bewertungen, Annotationen, Punktabzüge und Beurteilungen erstellen. Diese Ergebnisse dienen der Unterstützung der Lehrkraft und sollten vor verbindlicher Verwendung fachlich geprüft werden. Es ist nicht vorgesehen, Entscheidungen ausschließlich automatisiert ohne menschliche Prüfung verbindlich gegenüber Schülerinnen und Schülern zu treffen.
10. Speicherdauer und Löschkonzept
Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist. Für den produktiven Einsatz sollten insbesondere folgende Fristen konkret festgelegt und dokumentiert werden:
Speicherdauer von Benutzerkonten, Speicherdauer hochgeladener Schülerarbeiten und Unterrichtsmaterialien, Aufbewahrung von KI-Ergebnissen und Annotationen, Vorhaltezeit von Aktivitäts- und Sicherheitsprotokollen sowie Löschfristen nach Ende eines Schuljahres, Kursabschnitts oder Nutzungsverhältnisses.
Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist. Für den produktiven Einsatz sollten insbesondere folgende Fristen konkret festgelegt und dokumentiert werden:
Speicherdauer von Benutzerkonten, Speicherdauer hochgeladener Schülerarbeiten und Unterrichtsmaterialien, Aufbewahrung von KI-Ergebnissen und Annotationen, Vorhaltezeit von Aktivitäts- und Sicherheitsprotokollen sowie Löschfristen nach Ende eines Schuljahres, Kursabschnitts oder Nutzungsverhältnisses.
11. Pflicht zur Bereitstellung
Soweit Daten für Registrierung, Anmeldung, Upload, Verarbeitung und Anzeige der Ergebnisse erforderlich sind, ist die Bereitstellung dieser Daten notwendig, um die Plattform nutzen zu können. Wenn eine Schule die Plattform verbindlich als Unterrichtsmittel einsetzt, ist vorab gesondert zu prüfen, auf welcher rechtlichen Grundlage dies geschieht.
Soweit Daten für Registrierung, Anmeldung, Upload, Verarbeitung und Anzeige der Ergebnisse erforderlich sind, ist die Bereitstellung dieser Daten notwendig, um die Plattform nutzen zu können. Wenn eine Schule die Plattform verbindlich als Unterrichtsmittel einsetzt, ist vorab gesondert zu prüfen, auf welcher rechtlichen Grundlage dies geschieht.
12. Rechte betroffener Personen
Betroffene Personen haben nach Maßgabe der gesetzlichen Voraussetzungen insbesondere das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Bei minderjährigen Schülerinnen und Schülern können diese Rechte je nach Alter und nach den anwendbaren rechtlichen Vorgaben auch durch Erziehungsberechtigte geltend gemacht werden. Außerdem besteht ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde.
Betroffene Personen haben nach Maßgabe der gesetzlichen Voraussetzungen insbesondere das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Bei minderjährigen Schülerinnen und Schülern können diese Rechte je nach Alter und nach den anwendbaren rechtlichen Vorgaben auch durch Erziehungsberechtigte geltend gemacht werden. Außerdem besteht ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde.
13. Hinweise für Schulen vor produktivem Einsatz
Vor einem produktiven Einsatz sollten Schulen oder Schulträger insbesondere prüfen und dokumentieren:
Zuständigkeit und Verantwortlichkeit, Rechtsgrundlage nach dem jeweils anwendbaren Landesrecht, Vertrag zur Auftragsverarbeitung, Verzeichnis der Verarbeitungstätigkeiten, Rollen- und Berechtigungskonzept, Löschkonzept, technisch-organisatorische Maßnahmen, Einbindung von Minderjährigen und Erziehungsberechtigten, Konfiguration der Plattform nach dem Grundsatz der Datenminimierung sowie eine klare schulische Nutzungsordnung.
Zusätzlich sollten bei einem Betrieb auf Microsoft Azure insbesondere die aktuelle Dokumentation zur EU Data Boundary, die regionalen Azure-Konfigurationen, die vertraglichen Datenschutzunterlagen von Microsoft, die aktuelle Unterauftragsverarbeiterliste sowie etwaige noch verbleibende Drittlandtransfers oder Support-Ausnahmen gesondert geprüft und in einer schulischen Risikoabwägung bzw. Datenschutz-Folgenabschätzung berücksichtigt werden, soweit dies im Einzelfall erforderlich ist.
Vor einem produktiven Einsatz sollten Schulen oder Schulträger insbesondere prüfen und dokumentieren:
Zuständigkeit und Verantwortlichkeit, Rechtsgrundlage nach dem jeweils anwendbaren Landesrecht, Vertrag zur Auftragsverarbeitung, Verzeichnis der Verarbeitungstätigkeiten, Rollen- und Berechtigungskonzept, Löschkonzept, technisch-organisatorische Maßnahmen, Einbindung von Minderjährigen und Erziehungsberechtigten, Konfiguration der Plattform nach dem Grundsatz der Datenminimierung sowie eine klare schulische Nutzungsordnung.
Zusätzlich sollten bei einem Betrieb auf Microsoft Azure insbesondere die aktuelle Dokumentation zur EU Data Boundary, die regionalen Azure-Konfigurationen, die vertraglichen Datenschutzunterlagen von Microsoft, die aktuelle Unterauftragsverarbeiterliste sowie etwaige noch verbleibende Drittlandtransfers oder Support-Ausnahmen gesondert geprüft und in einer schulischen Risikoabwägung bzw. Datenschutz-Folgenabschätzung berücksichtigt werden, soweit dies im Einzelfall erforderlich ist.
14. Stand
16.04.2026
16.04.2026