ChatGPT, Gemini, Copilot – die Tools sind da, aber die Unsicherheit auch. Darf ich als Lehrkraft KI-Tools nutzen? Was passiert, wenn Schülerdaten in einem Prompt landen? Die Antworten sind klarer, als viele denken. Dieses Kapitel räumt mit den größten Missverständnissen auf und gibt dir ein konkretes Ampel-Prinzip: grün (erlaubt), rot (verboten) und die Grauzone dazwischen.
Warum das Thema so unübersichtlich ist
Wer sich als Lehrkraft mit KI und Datenschutz beschäftigt, stößt auf drei Regelwerke gleichzeitig: die DSGVO als europäische Basis, den EU AI Act als KI-spezifisches Gesetz und die Vorgaben des jeweiligen Bundeslandes. Diese drei Ebenen widersprechen sich nicht, aber sie überlappen – und genau das sorgt für Verwirrung.
Ein Beispiel: Die DSGVO regelt, welche Daten du verarbeiten darfst. Der EU AI Act regelt zusätzlich, welche KI-Systeme in Schulen überhaupt eingesetzt werden dürfen. Und dein Bundesland entscheidet, ob und welche Tools offiziell freigegeben sind. Bayern hat andere Listen als NRW, Schleswig-Holstein andere als Sachsen.
Die gute Nachricht: Du musst kein Jurist sein. Mit den folgenden Regeln navigierst du sicher durch den Alltag.
Die grüne Zone: Was du bedenkenlos nutzen kannst
Die entscheidende Regel ist einfach: Solange kein Name, keine Note, keine Diagnose und kein anderes personenbezogenes Datum in den Prompt fließt, bewegst du dich im grünen Bereich. Du arbeitest dann mit anonymen, fachlichen Inhalten – und das ist datenschutzrechtlich unproblematisch.
Fünf Beispiele für sichere Prompts:
- Prompt"Erstelle ein Arbeitsblatt zum Thema Fotosynthese für Klasse 7, Niveau Realschule."
Weitere fertige Vorlagen nach diesem Prinzip findest du in der Prompt-Sammlung.
Alle diese Prompts enthalten ausschließlich fachliche Informationen. Es gibt keinen Rückschluss auf einzelne Personen. Fertige Prompt-Vorlagen, die genau nach diesem Prinzip aufgebaut sind, findest du in der Prompt-Bibliothek.
Die rote Zone: Was klar verboten ist
Ein Negativbeispiel macht die Grenze deutlich:
Dieser Prompt enthält einen Namen, eine Klassenzuordnung, eine medizinische Diagnose und eine therapeutische Maßnahme – vier personenbezogene Datenpunkte in einem einzigen Satz. Sobald du diesen Prompt an ChatGPT oder ein anderes cloudbasiertes Tool sendest, verlassen die Daten den Verantwortungsbereich der Schule.
Diese Daten gehören nie in einen KI-Prompt:
- Schülernamen oder eindeutige Kennungen
- Noten, Zeugnisbemerkungen, Lernstandserhebungen
- Medizinische oder psychologische Diagnosen
- Fotos oder Videos von Schülern
- Inhalte aus Elterngesprächen oder Förderplankonferenzen
- Verhaltensbeobachtungen mit Personenbezug
Der EU AI Act geht noch weiter: Emotionserkennung in Bildungseinrichtungen ist komplett verboten. Das gilt für Software, die anhand von Mimik, Stimme oder Körpersprache den Gemütszustand von Schülern analysiert. Ebenso verboten: Social Scoring, also die Bewertung von Schülern durch KI-basierte Punktesysteme.
So erkennst du ein datenschutzkonformes Tool
Nicht jedes Tool, das sich für Schulen eignet, ist auch datenschutzkonform. Die folgende Tabelle hilft dir, die richtigen Fragen zu stellen:
Prüffragen für KI-Tools im Schulkontext
| Prüffrage | Was du wissen willst |
|---|---|
| Wo stehen die Server? | EU-Server bevorzugen. US-Server nur mit angemessenen Garantien (z. B. EU-US Data Privacy Framework). |
| Gibt es einen AVV? | Ohne Auftragsverarbeitungsvertrag darf die Schule das Tool nicht für personenbezogene Daten nutzen. |
| Werden Eingaben für Training verwendet? | Seriöse Anbieter bieten Opt-out. Bei ChatGPT: Team- oder Enterprise-Version nutzen. |
| Ist das Tool auf einer Länderliste freigegeben? | Einige Bundesländer pflegen offizielle Listen zugelassener Software. |
| Gibt es eine Datenschutzfolgenabschätzung? | Bei hohem Risiko (z. B. Lernstandsanalyse) ist eine DSFA nach Art. 35 DSGVO Pflicht. |
| Wie werden Daten nach Vertragsende gelöscht? | Der Anbieter muss Löschfristen und -verfahren transparent machen. |
Zwei Orientierungshilfen erleichtern die Auswahl: eduCheck digital prüft Bildungsmedien auf Datenschutz, Technik und didaktische Qualität. VIDIS (Vermittlungsdienst für das digitale Identitätsmanagement an Schulen) ermöglicht pseudonymisierte Logins, sodass Schüler Tools nutzen können, ohne persönliche Daten preiszugeben.
Fünf Regeln für morgen früh
Diese fünf Regeln kannst du dir ausdrucken und neben den Rechner legen:
- Keine personenbezogenen Daten in den Prompt. Kein Name, keine Note, keine Diagnose, kein Foto. Im Zweifel: anonymisieren.
- Kläre den AVV mit deinem Datenschutzbeauftragten. Bevor ein Tool schulweit eingesetzt wird, muss ein Auftragsverarbeitungsvertrag vorliegen. Einen Überblick bietet unser Tool-Verzeichnis.
- Nutze EU-Server, wenn möglich. Viele Anbieter bieten inzwischen europäische Rechenzentren an. Frag aktiv danach.
- Hol Einwilligungen ein. Wenn Schüler selbst KI-Tools nutzen sollen, brauchen Minderjährige die Zustimmung der Erziehungsberechtigten.
- Dokumentiere deinen KI-Einsatz. Halte fest, welche Tools du nutzt, wofür und welche Daten (nicht) eingegeben werden. Das schützt dich im Rückfragefall.
Was kommt noch auf Schulen zu?
Der EU AI Act wird stufenweise scharf geschaltet. Ab August 2026 gelten die Auflagen für Hochrisiko-KI-Systeme – und Bildung zählt explizit als Hochrisiko-Bereich. Das bedeutet: KI-Systeme, die über Zugang zu Bildung, Prüfungsergebnisse oder Lernempfehlungen entscheiden, müssen strenge Anforderungen an Transparenz, menschliche Aufsicht und Datenqualität erfüllen.
Konkret betrifft das zum Beispiel adaptive Lernsysteme, automatisierte Prüfungsbewertungen oder Software, die Schüler in Leistungsgruppen einteilt. Wer jetzt bereits datenschutzkonforme Tools einsetzt und saubere Prozesse etabliert hat, ist auf diese Anforderungen vorbereitet. Wer erst im Sommer 2026 anfängt, wird unter Zeitdruck geraten.
Fazit
Die Regeln sind klar, die Tools sind da. Was jetzt zählt, ist der erste Schritt: eine Aufgabe mit KI ausprobieren, ohne personenbezogene Daten, mit einem geprüften Tool. Wie das im Alltag aussieht, zeigt der Praxis-Guide für den Schulalltag.