SchulConnect SchulConnect-Logo

20. März 2026

DatenschutzKIDSGVOSchuleChatGPTSchulträgerIT-Sicherheit

KI-Tools im Schulalltag: Was Schulen bei ChatGPT & Co. datenschutzrechtlich beachten müssen

KI-Anwendungen wie ChatGPT werden an Schulen zunehmend genutzt - oft ohne klare Rechtsgrundlage. Dieser Artikel erklärt, welche Datenschutzpflichten gelten, wo typische Fallstricke liegen und wie Schulträger den Einsatz rechtskonform gestalten können.

KI-Tools im Schulalltag: Was Schulen bei ChatGPT & Co. datenschutzrechtlich beachten müssen

Künstliche Intelligenz ist im Klassenzimmer angekommen - ob gewollt oder nicht. Lehrkräfte nutzen ChatGPT zur Unterrichtsvorbereitung, Schülerinnen und Schüler setzen KI-Tools für Hausaufgaben ein, und erste Schulträger pilotieren eigene KI-gestützte Lernanwendungen. Gleichzeitig fehlt an den meisten Schulen eine klare Regelung dazu, was erlaubt ist und was nicht.

Das ist kein Randproblem. Wer als Schule oder Schulträger KI-Anwendungen einsetzt oder deren Nutzung duldet, ohne die datenschutzrechtliche Grundlage zu klären, riskiert Verstöße gegen die DSGVO - mit konkreten Konsequenzen für Schüler, Lehrkräfte und die Institution selbst.

Warum KI und Schule datenschutzrechtlich besonders heikel sind

Der entscheidende Punkt ist das Alter der Betroffenen. Schülerinnen und Schüler sind in der Regel Minderjährige. Für diese Gruppe gelten nach der DSGVO und ergänzenden nationalen Regelungen erhöhte Schutzanforderungen.

Artikel 8 DSGVO regelt, dass die Einwilligung eines Kindes unter 16 Jahren (in Deutschland: unter 16 Jahren, wobei die Mitgliedstaaten diese Grenze auf 13 Jahre absenken dürfen) nur mit Zustimmung der Eltern wirksam ist. Viele KI-Anbieter setzen in ihren Nutzungsbedingungen ein Mindestalter von 13 oder 18 Jahren voraus - was bedeutet, dass ein Großteil der Schülerschaft diese Dienste formal gar nicht nutzen darf.

Dazu kommt: Schulen sind Behörden oder stehen Behörden gleich. Sie unterliegen damit nicht nur der DSGVO, sondern auch den jeweiligen Landesdatenschutzgesetzen, den Schulgesetzen der Länder und - je nach Bundesland - spezifischen Verwaltungsvorschriften zur IT-Nutzung.

Was passiert eigentlich mit den Daten?

Wer ChatGPT, Google Gemini, Microsoft Copilot oder ähnliche Dienste nutzt, überträgt Daten an Serverinfrastrukturen, die häufig in den USA oder anderen Drittstaaten betrieben werden. Das ist der erste datenschutzrechtliche Knackpunkt.

Seit dem Schrems-II-Urteil des Europäischen Gerichtshofs (2020) ist der Datentransfer in die USA ohne ausreichende Garantien grundsätzlich unzulässig. Die EU-US Data Privacy Framework (DPF), das 2023 in Kraft trat, schafft zwar wieder eine Grundlage für bestimmte US-Anbieter - sie ist aber politisch und rechtlich nicht unumstritten und wird bereits von Datenschutzbehörden kritisch begleitet.

Darüber hinaus trainieren viele KI-Anbieter ihre Modelle standardmäßig mit Nutzereingaben - sofern man dies nicht aktiv deaktiviert. Das bedeutet: Gibt eine Lehrkraft in ein KI-Tool einen Text mit dem Namen eines Schülers oder persönlichen Informationen ein, können diese Daten in das Trainingsmodell einfließen. Ob und wie sich das verhindern lässt, hängt vom Anbieter und den gewählten Einstellungen ab.

Die rechtliche Grundlage fehlt oft komplett

Für jede Datenverarbeitung braucht es eine Rechtsgrundlage nach Artikel 6 DSGVO. Im schulischen Kontext kommen grundsätzlich infrage:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Problematisch bei Minderjährigen, aufwendig in der Verwaltung, jederzeit widerrufbar.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Greift bei Schüler-Lehrer-Verhältnissen nicht ohne Weiteres.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Für öffentliche Stellen wie Schulen in der Regel nicht anwendbar.
  • Rechtliche Verpflichtung oder öffentliche Aufgabe (Art. 6 Abs. 1 lit. c/e DSGVO): Kann greifen, wenn das Schulgesetz des Landes oder eine Verwaltungsvorschrift den Einsatz bestimmter Technologien explizit erlaubt oder vorschreibt.

In der Praxis bedeutet das: Ohne klare landesrechtliche Grundlage oder eine sorgfältig dokumentierte Einwilligung der Erziehungsberechtigten ist der KI-Einsatz mit Schülerdaten in den meisten Bundesländern nicht rechtssicher möglich.

Was die Datenschutzbehörden sagen

Mehrere Landesdatenschutzbehörden haben sich bereits zu KI-Tools im Schulbereich geäußert - und die Einschätzungen sind eindeutig:

  • Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat im Jahr 2023 ein Kurzgutachten zu ChatGPT veröffentlicht, das den Einsatz im Unterricht ohne Einwilligung der Eltern kritisch bewertet.
  • Der Bayerische Landesbeauftragte für den Datenschutz empfiehlt, KI-Dienste nur dann einzusetzen, wenn eine Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO abgeschlossen werden kann - was viele Anbieter jedoch ablehnen oder nur in kostenpflichtigen Business-Varianten ermöglichen.
  • Die Datenschutzkonferenz (DSK) hat 2023 und 2024 mehrfach auf die Problematik des Datentransfers in Drittstaaten bei KI-Anwendungen hingewiesen.

Ein AVV mit dem jeweiligen Anbieter ist dabei keine Formalie. Er regelt verbindlich, wie der Anbieter mit den übertragenen Daten umgeht, ob und wie Daten gelöscht werden und wo die Verarbeitung stattfindet. Ohne einen solchen Vertrag ist die Schule datenschutzrechtlich vollständig allein verantwortlich für alles, was mit den Daten passiert.

Besonders kritisch: Schülerdaten in Prompts

Ein häufig unterschätztes Risiko ist der unbewusste Umgang mit personenbezogenen Daten in KI-Eingaben. In der Praxis passiert Folgendes:

  • Lehrkräfte kopieren Schüleraufsätze in ein KI-Tool, um Feedback zu generieren.
  • Schulverwaltungen nutzen KI zur Texterstellung und fügen dabei Namen, Klassen oder Adressen ein.
  • Schüler selbst geben in KI-Chats persönliche Informationen preis, ohne sich der Konsequenzen bewusst zu sein.

Jeder dieser Fälle stellt eine Übermittlung personenbezogener Daten an einen Dritten dar - und muss entsprechend datenschutzrechtlich abgesichert sein. Dass dies in der Praxis selten geschieht, ist kein Argument dafür, es weiter zu ignorieren.

Was Schulen konkret tun können

Die Lösung ist nicht, KI pauschal zu verbieten. Sinnvoller ist ein strukturierter Rahmen auf Schulträger-Ebene:

1. Bestandsaufnahme: Welche KI-Tools werden an den Schulen tatsächlich genutzt - von Lehrkräften, von Schülern, von der Verwaltung? Oft ist das weder dem Schulträger noch der Schulleitung bekannt.

2. Rechtliche Prüfung je Tool: Gibt es einen AVV? Wo werden Daten verarbeitet? Wird mit den Eingaben trainiert? Gibt es eine Unternehmensversion, die stärkere Datenschutzgarantien bietet?

3. Schulgesetz und Landesrecht prüfen: Einige Bundesländer haben KI-Leitfäden oder Verwaltungsvorschriften erlassen. Diese sollten als Grundlage dienen, nicht ignoriert werden.

4. Interne Richtlinie erstellen: Eine klare schulinterne oder trägerseitige Nutzungsrichtlinie regelt, welche Tools unter welchen Bedingungen erlaubt sind, wie mit Schülerdaten umgegangen werden darf und was im Zweifelsfall zu tun ist.

5. Lehrkräfte schulen: Datenschutz bei KI ist kein rein technisches Thema. Lehrkräfte müssen verstehen, was sie tun, wenn sie Schülertexte in ein externes KI-Tool einspeisen.

6. Alternativen prüfen: Für datensensible Anwendungen gibt es KI-Lösungen, die auf eigener Infrastruktur betrieben werden können (sogenannte On-Premise- oder Self-Hosted-Lösungen). Diese sind aufwendiger im Betrieb, bieten aber deutlich mehr Kontrolle über die Datenverarbeitung.

Der Sonderfall: KI-Funktionen in bestehenden Schul-IT-Lösungen

Ein weiterer Aspekt, der zunehmend relevant wird: Viele Plattformen, die Schulen bereits nutzen, integrieren KI-Funktionen in ihre Produkte. Microsoft 365 mit Copilot, Google Workspace with Gemini oder auch spezialisierte Lernplattformen bauen KI-gestützte Funktionen ein.

Hier reicht es nicht, dem Einsatz der Grundplattform zugestimmt zu haben. Die Nutzung von KI-Zusatzfunktionen erfordert eine eigene datenschutzrechtliche Prüfung - inklusive der Frage, ob der ursprüngliche AVV diese Funktionen abdeckt und ob die Daten nun in andere Verarbeitungsketten eingespeist werden.

Das gilt im Übrigen auch für Plattformen, die auf deutschen Servern betrieben werden: Auch hier kann die KI-Verarbeitungslogik in Drittstaaten laufen, wenn der Anbieter externe Modell-APIs einbindet. Die Serverstandortfrage allein reicht also nicht mehr als Datenschutzkriterium.

Was Schulträger jetzt tun sollten

Datenschutzbehörden werden das Thema KI an Schulen in den nächsten Jahren deutlich stärker in den Fokus nehmen. Wer jetzt Strukturen aufbaut, steht besser da - nicht nur rechtlich, sondern auch gegenüber Eltern und Lehrkräften, die zunehmend kritische Fragen stellen.

Konkrete erste Schritte:

  • Erstelle eine Übersicht aller eingesetzten digitalen Tools inkl. KI-Funktionen.
  • Kläre mit dem Datenschutzbeauftragten, welche Verarbeitungen einer AVV bedürfen.
  • Formuliere eine Nutzungsrichtlinie für KI-Tools, die für Lehrkräfte verständlich und praxistauglich ist.
  • Stelle sicher, dass Schüler und Eltern informiert werden, sobald KI-gestützte Verarbeitung stattfindet.

Ein Verbot allein hilft nicht - denn KI-Tools werden genutzt, ob erlaubt oder nicht. Die Aufgabe von Schulträgern und IT-Verantwortlichen ist es, einen rechtssicheren Rahmen zu schaffen, in dem sinnvolle Nutzung möglich ist.

Hinweis: Dieser Artikel gibt einen allgemeinen Überblick und ersetzt keine Rechtsberatung. Da sich die Rechtslage zu KI und Datenschutz dynamisch entwickelt, empfiehlt sich eine regelmäßige Prüfung durch den zuständigen Datenschutzbeauftragten.

Weitere Beiträge

17. April 2026

Softwarelizenzmanagement an Schulen: Was IT-Verantwortliche wissen müssen

Schulen jonglieren täglich mit Dutzenden Softwarelizenzen - oft ohne klaren Überblick. Dieser Artikel erklärt, wie Lizenzmanagement an Schulen funktioniert, welche rechtlichen Pflichten bestehen und wie IT-Verantwortliche die Kontrolle behalten.

14. April 2026

Bring Your Own Device an Schulen: Chancen, Risiken und was IT-Verantwortliche wirklich beachten müssen

BYOD an Schulen klingt praktisch - doch private Geräte im Schulnetz bringen erhebliche Datenschutz- und Sicherheitsrisiken mit sich. Dieser Artikel erklärt, worauf IT-Verantwortliche und Schulträger bei der Einführung achten müssen.

10. April 2026

Netzwerksicherheit an Schulen: Schwachstellen erkennen, Risiken minimieren

Schulnetzwerke sind häufig schlecht gesichert und damit ein leichtes Ziel für Angreifer. Dieser Artikel erklärt die häufigsten Schwachstellen, welche Schutzmaßnahmen wirklich greifen und was IT-Verantwortliche an Schulen konkret tun können.

Alle Beiträge