Die Frage kommt in jedem Gespräch. Nicht nach dem Preis, nicht nach den Funktionen. Immer zuerst: „Ist das DSGVO-konform?“

Die Frage ist berechtigt. Klausuren enthalten personenbezogene Daten von Studierenden: Namen, Matrikelnummern, handschriftliche Inhalte, die Rückschlüsse auf Kenntnisstand und Lernverhalten zulassen. Wer diese Daten an ein KI-System übergibt, muss wissen, was damit passiert.

Dieser Artikel beantwortet die Frage konkret. Nicht mit Marketing-Sprache, sondern mit den tatsächlichen technischen und rechtlichen Maßnahmen, die für DSGVO-konformen Betrieb notwendig sind.

Was die DSGVO für KI-Tools an Hochschulen verlangt

Der entscheidende Artikel ist Art. 28 DSGVO: Wenn Sie als Hochschule einen Auftragsverarbeiter (z.B. einen KI-Dienst) beauftragen, der personenbezogene Daten in Ihrem Auftrag verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV).

Das klingt bürokratisch. In der Praxis bedeutet es: Der Anbieter verpflichtet sich vertraglich dazu,

  • die Daten nur für den vereinbarten Zweck zu verwenden,
  • angemessene technische und organisatorische Sicherheitsmaßnahmen zu treffen,
  • Daten nach Abschluss der Verarbeitung zu löschen oder zurückzugeben,
  • und Ihre Datenschutzpflichten zu unterstützen.

Kein AVV, keine DSGVO-Konformität. So einfach ist das.

Achtung: Viele allgemeine KI-Tools (ChatGPT, Google Gemini, etc.) bieten in der Standardnutzung keinen AVV an. Der Einsatz für Klausurkorrektur ohne AVV ist rechtlich problematisch.

Die drei kritischsten Fragen

1. Wo liegen die Daten?

Für deutsche Hochschulen ist der Serverstandort nicht nur eine Präferenz, sondern eine rechtliche Grundlage. Daten, die in Deutschland oder der EU verarbeitet werden, unterliegen direkt der DSGVO. Datenübermittlungen in Drittländer (z.B. USA) erfordern zusätzliche Absicherungen.

Das heißt: Wenn der Server eines KI-Tools in den USA steht, brauchen Sie EU-Standardvertragsklauseln (SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO) als Rechtsgrundlage für den Transfer. Das ist möglich, aber es erhöht den Dokumentationsaufwand und kann Ihrer IT-Abteilung oder Ihrem Datenschutzbeauftragten Kopfschmerzen bereiten.

Die einfachere Lösung: Server in Deutschland. Hetzner Online GmbH in Nürnberg, zertifiziert nach ISO/IEC 27001, ausschließlich EU-Rechenzentren.

2. Wer sieht was?

Das ist der wichtigste Datenschutzaspekt, der bei KI-Tools für Klausurkorrektur oft übersehen wird: Personenbezogene Daten müssen vor der KI-Verarbeitung anonymisiert oder pseudonymisiert werden.

Konkret: Das Deckblatt einer Klausur enthält Namen und Matrikelnummer des Studierenden. Diese Daten dürfen nicht an ein KI-Modell übertragen werden, wenn dafür keine gesonderte Rechtsgrundlage vorliegt.

Korrex separiert das Deckblatt automatisch. Die KI sieht ausschließlich die anonymisierten Antwortseiten. Namen und Matrikelnummern verlassen den deutschen Server nicht.

3. Wie lange werden Daten gespeichert?

Datensparsamkeit ist ein Grundprinzip der DSGVO (Art. 5 Abs. 1 lit. c und e). Daten dürfen nur so lange gespeichert werden, wie es für den Zweck notwendig ist.

Für Klausurkorrektur bedeutet das: Sobald die Korrektur abgeschlossen ist und Sie die Ergebnisse exportiert haben, gibt es keinen legitimen Grund, die Klausur-PDFs noch auf dem Server zu halten. Automatische Löschung nach einem definierten Zeitraum ist nicht nur sinnvoll, sondern datenschutzrechtlich geboten.

Die DSGVO-Checkliste für KI-Tools

Bevor Sie ein KI-Tool für die Klausurkorrektur einsetzen, prüfen Sie:

  • Gibt es einen Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO?
  • Wo befinden sich die Server? (EU-Standort oder SCCs vorhanden?)
  • Werden Deckblätter (Namen, Matrikelnummern) separiert und nicht an die KI übermittelt?
  • Gibt es eine automatische Datenlöschung nach Abschluss der Korrektur?
  • Wird die KI nicht für das Training mit Ihren Klausurinhalten verwendet?
  • Gibt es eine Datenschutzerklärung, die die Verarbeitung transparent macht?
  • Ist der Anbieter bereit, eine Datenschutz-Zusammenfassung für Ihre IT-Abteilung bereitzustellen?

Was das für Korrex bedeutet

Wir haben Korrex von Anfang an mit dem Ziel gebaut, diese Checkliste vollständig zu erfüllen.

Server: Hetzner Online GmbH, Nürnberg. Deckblatt-Separation: automatisch, vor jeder KI-Anfrage. Datenlöschung: nach 2 Stunden, automatisch und unwiderruflich. KI-Training: nein, vertraglich ausgeschlossen über den AVV mit Anthropic. AVV: auf Anfrage, kostenlos.

Wenn Ihre IT-Abteilung oder Ihr Datenschutzbeauftragter weitere Unterlagen braucht, sprechen Sie uns an: info@iva-digitalasset.de. Wir stellen Datenschutz-Zusammenfassungen, AVV-Entwürfe und Unterstützung bei der Datenschutz-Folgenabschätzung bereit.

Mehr Details finden Sie auf unserer Sicherheitsseite.

Sicherheitsseite ansehen Demo anfragen