Kapitel druckenKapitel drucken

KI - Datenschutz & KI-Verordnung & Urheberrecht

5. Fachbegriffe erklärt

5.5. Auftragsverarbeitung

Der Begriff der Auftragsverarbeitung stammt aus dem Datenschutzrecht. In der DS-GVO beschreibt Art. 28 die Rolle des Auftragsverarbeiters. Dieser wird strikt vom Verantwortlichen (Art. 4 Nr. 7 DS-GVO) unterschieden.

Wer ist wer in der Schule?
  • Der Verantwortliche: Die einzelne Schule (vertreten durch die Schulleitung). Sie bestimmt über die Mittel und Zwecke der Verarbeitung – oft gemeinsam mit dem Ministerium (MSB), das Zwecke durch Gesetze und Erlasse vorgibt.
  • Der Auftragsverarbeiter: Ein externer Dienstleister (z. B. Schulträger, Lernplattform-Anbieter), der Daten streng nach Weisung der Schule verarbeitet.

Bei jeder Verarbeitung von personenbezogenen Daten muss sichergestellt sein, dass diese ausschließlich entsprechend der vorgegebenen Zwecke erfolgt. Erfolgt die Verarbeitung unmittelbar durch die Lehrkräfte (z. B. Notengebung, Zeugniserstellung, AO-SF-Verfahren), unterliegt sie der direkten Kontrolle der Schulleitung.

Sobald jedoch externe Dienstleister beteiligt sind, wird es rechtlich komplexer:

  • Der Schulträger administriert Netzwerke und Endgeräte.
  • Der Anbieter einer Lernplattform verwaltet Nutzerkonten und interaktive Aufgaben.
  • KI-Plattformen verarbeiten Eingaben zur Erstellung von Inhalten.

In all diesen Fällen muss die Schulleitung mit dem Dienstleister einen sogenannten Vertrag zur Auftragsverarbeitung (AVV) abschließen. In diesem Dokument sind die Mittel und Zwecke der Verarbeitung sowie die gegenseitigen Pflichten rechtssicher festgeschrieben. Der Dienstleister darf die Daten dann nicht für eigene Zwecke (z. B. Werbung oder Training eigener KI-Modelle ohne Erlaubnis) nutzen.