Datenschutzerklärung

Datenschutz hat einen besonders hohen Stellenwert für KlassenKompass.

Diese Datenschutzerklärung informiert Sie über die Art, den Umfang und Zweck der Verarbeitung personenbezogener Daten im Rahmen unserer Plattform. Wir nehmen den Schutz Ihrer Daten und insbesondere der Daten Ihrer Schülerinnen und Schüler sehr ernst.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

TODO: [Name des Betreibers / Firmenname]
TODO: [Straße und Hausnummer]
TODO: [PLZ und Ort]

E-Mail: TODO: [datenschutz@klassenkompass.de]
Telefon: TODO: [Telefonnummer]

Datenschutzbeauftragter:
TODO: [Name, falls vorhanden, sonst diesen Abschnitt entfernen]
E-Mail: TODO: [dsb@klassenkompass.de]

2. Kategorien verarbeiteter personenbezogener Daten

2.1 Nutzerdaten (Lehrkräfte)

Bei der Registrierung und Nutzung erheben wir folgende Daten von Lehrkräften:

  • E-Mail-Adresse (Pflichtfeld)
  • Passwort (verschlüsselt mit bcrypt gespeichert)
  • Name (optional)
  • Schulinformationen (optional: Schulname, Klasse, Fach)

2.2 Schülerdaten (KRITISCH)

Im Rahmen der Klassenverwaltung verarbeiten wir folgende Schülerdaten:

  • Vor- und Nachname
  • Schüler-ID (optional, falls von der Schule vergeben)

WICHTIG: Wir speichern KEINE Gesundheitsdaten, Kontaktdaten, Adressen oder sonstigen sensiblen Informationen über Schülerinnen und Schüler. Die Verarbeitung beschränkt sich auf das für die Leistungsbewertung absolut notwendige Minimum.

2.3 Prüfungsdaten

Bei der Korrektur von Klassenarbeiten verarbeiten wir:

  • Gescannte Dokumente (Schülerarbeiten)
  • Extrahierte Antworten (OCR-Text)
  • Bewertungsbögen und Punktevergabe
  • Notizen der Lehrkraft zur Korrektur

2.4 Technische Daten

Bei jedem Zugriff auf unsere Website erfassen wir automatisch:

  • IP-Adresse (nur für technische Sicherheit, keine Langzeitspeicherung)
  • Datum und Uhrzeit des Zugriffs
  • Browsertyp und -version
  • Betriebssystem
  • Aufgerufene Seiten und Funktionen

3. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt auf folgenden Rechtsgrundlagen:

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Die Verarbeitung Ihrer Nutzerdaten ist erforderlich zur Erfüllung des Nutzungsvertrags und zur Bereitstellung der Plattform.

Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung)

Schulen unterliegen schulrechtlichen Aufbewahrungspflichten für Prüfungsunterlagen. Die Plattform unterstützt Lehrkräfte bei der Erfüllung dieser Pflichten.

Art. 28 DSGVO (Auftragsverarbeitung)

Für die Verarbeitung von Schülerdaten ist die Schule/Lehrkraft der Verantwortliche, KlassenKompass tritt als Auftragsverarbeiter auf. Ein Auftragsverarbeitungsvertrag (AVV) ist zwingend erforderlich.

Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)

Technische Daten werden auf Basis unseres berechtigten Interesses an einer sicheren und funktionsfähigen Plattform verarbeitet.

4. Technische und organisatorische Maßnahmen (TOM)

Wir setzen umfassende Sicherheitsmaßnahmen zum Schutz Ihrer Daten ein:

TLS-Verschlüsselung: Alle Datenübertragungen erfolgen ausschließlich verschlüsselt über HTTPS (TLS 1.3).

Datenspeicherung: Alle Daten werden in zertifizierten Rechenzentren in der EU gehostet (TODO: Hosting-Anbieter angeben).

Zugriffskontrolle: Jeder Nutzer kann nur seine eigenen Daten einsehen. Mehrstufige Authentifizierung verfügbar.

Passwort-Sicherheit: Passwörter werden mit bcrypt gehasht (niemals im Klartext gespeichert).

Backups: Regelmäßige verschlüsselte Backups mit geografischer Redundanz.

Audit-Logs: Alle sicherheitsrelevanten Ereignisse werden protokolliert.

5. Mehrstufige Datenverarbeitung und Anonymisierung

✓ DATENSCHUTZ-VORTEIL

Alle Schülernamen verbleiben in der EU.
Personenbezogene Daten (Namen, Schüler-IDs) bleiben innerhalb der EU und werden VOR jeder Übermittlung an externe Dienste pseudonymisiert. Die externen Dienste erhalten ausschließlich pseudonymisierte Daten ohne Möglichkeit der Personenzuordnung.

5.1 Technische Architektur (Privacy by Design)

Unsere Plattform nutzt eine mehrstufige Verarbeitungsarchitektur, bei der die Sensibilität der Daten mit jeder Stufe abnimmt:

Stufe 1: OCR & Texterkennung (EU/Lokal)

• Verarbeitung erfolgt auf EU-Servern oder lokal
• Vollständige Schülerarbeiten inkl. Namen bleiben in der EU
• Automatische Namenserkennung mittels Textanalyse
Standort: Deutschland/EU

Stufe 2: Pseudonymisierung (EU)

• Alle Schülernamen werden automatisch erkannt und entfernt
• Ersetzung durch Pseudonyme (z.B. "Schüler_001")
• Nur KlassenKompass kann die Zuordnung herstellen (externes Dienst nicht)
Ergebnis: Pseudonymisierte Texte für externe Verarbeitung

Stufe 3: KI-Bewertung (Drittanbieter)

• Übermittlung NUR der anonymisierten Texte an externe KI-Dienste
• KEINE Namen, KEINE Schüler-IDs, KEINE Metadaten
• Bewertungskriterien und Erwartungshorizonte (ohne Personenbezug)
Datenschutz: Kein Drittlandtransfer personenbezogener Daten

5.2 Pseudonymisierung vor Drittlandtransfer

Durch die Pseudonymisierung VOR der Drittlandübermittlung können die externen KI-Dienste keine Zuordnung zu realen Personen herstellen. Aus Sicht der externen Dienste handelt es sich um anonyme Daten ohne Personenbezug.

Was bleibt in der EU:

  • Alle Schülernamen (Vor- und Nachnamen)
  • Schüler-IDs und Klassenzuordnungen
  • Originaldokumente (gescannte Schülerarbeiten)
  • OCR-Rohdaten mit Personenbezug
  • Metadaten (Schulname, Lehrkraft, Zeitstempel)

Was an externe KI-Dienste übermittelt wird:

  • Anonymisierte Textantworten (z.B. "Schüler_001 schrieb: ...")
  • Bewertungskriterien und Musterlösungen (allgemein, ohne Personenbezug)
  • Erwartungshorizonte und Punkteverteilungen

➜ Kein Personenbezug herstellbar, da Namen vor Übermittlung entfernt wurden

5.3 Rechtsgrundlage Drittlandtransfer

Für die Übermittlung pseudonymisierter Daten an externe KI-Dienste haben wir Standardvertragsklauseln (SCCs) der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen. Diese garantieren ein angemessenes Datenschutzniveau.

Zusätzlicher Schutz durch Pseudonymisierung: Da die externen Dienste ausschließlich pseudonymisierte Daten ohne Zusatzinformationen erhalten, können sie keine Zuordnung zu realen Personen herstellen. Dies stellt einen erheblichen zusätzlichen Schutz dar, der über die gesetzlichen Anforderungen hinausgeht.

5.4 Datenschutz bei KI-Diensten

Die eingesetzten KI-Dienste verarbeiten Anfragen gemäß ihrer jeweiligen Datenschutzrichtlinien und haben sich vertraglich zu EU-konformen Datenschutzstandards verpflichtet (Standardvertragsklauseln).

6. Ihre Rechte als Betroffener

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Recht auf Auskunft (Art. 15 DSGVO)

Sie können eine Kopie aller über Sie gespeicherten Daten anfordern.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie können die Korrektur unrichtiger Daten verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Recht auf Einschränkung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung verlangen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten (JSON/CSV-Export).

Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung widersprechen, soweit sie auf berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO) basiert.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter: TODO: [datenschutz@klassenkompass.de]
Oder nutzen Sie unser Privacy Dashboard

7. Hosting und Infrastruktur

Unsere Plattform wird gehostet bei:

TODO: [Hosting-Anbieter angeben, z.B. Hetzner, AWS EU, Google Cloud EU]
TODO: [Adresse des Anbieters]
Standort: TODO: [z.B. Deutschland, Frankfurt am Main]

Der Hosting-Anbieter verarbeitet Daten ausschließlich auf unsere Weisung im Rahmen eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO). Alle Server befinden sich in der EU.

8. Registrierung und Nutzerkonto

Für die Nutzung der Plattform ist eine Registrierung erforderlich. Dabei verarbeiten wir:

  • E-Mail-Adresse (zur Identifikation und Kommunikation)
  • Passwort (verschlüsselt gespeichert)
  • Optional: Name, Schulinformationen

Die Daten werden für die Dauer Ihrer Nutzung gespeichert. Sie können Ihr Konto jederzeit in den Einstellungen löschen. Nach Löschung werden alle Daten innerhalb von 30 Tagen vollständig entfernt.

9. Schülerdaten und Auftragsverarbeitung (Art. 28 DSGVO)

WICHTIG FÜR SCHULEN UND LEHRKRÄFTE

Für die Verarbeitung von Schülerdaten ist die Schule bzw. die Lehrkraft der Verantwortliche im Sinne der DSGVO. KlassenKompass agiert als Auftragsverarbeiter. Daher ist ein Auftragsverarbeitungsvertrag (AVV) zwingend erforderlich.

9.1 Auftragsverarbeitungsvertrag (AVV)

Schulen erhalten von uns auf Anfrage einen kostenlosen AVV gemäß Art. 28 DSGVO. Dieser regelt:

  • Art und Zweck der Datenverarbeitung
  • Kategorien betroffener Personen (Schülerinnen und Schüler)
  • Technische und organisatorische Maßnahmen (TOM)
  • Pflichten des Auftragsverarbeiters
  • Subunternehmer (z.B. externe KI-Dienste für Korrekturvorschläge)

Anfragen für einen AVV richten Sie bitte an: TODO: [avv@klassenkompass.de]

9.2 Datenminimierung

Wir verarbeiten ausschließlich die für die Leistungsbewertung unbedingt erforderlichen Daten:

  • Vor- und Nachname der Schülerinnen und Schüler
  • Optional: Schüler-ID (falls von der Schule vergeben)
  • Prüfungsleistungen und Bewertungen

Wir speichern KEINE Gesundheitsdaten, Kontaktdaten, Adressen, Geburtsdaten oder sonstigen sensiblen Informationen über Schülerinnen und Schüler.

9.3 Speicherdauer Schülerdaten

Schülerdaten werden gespeichert für:

  • Aktive Nutzung: Solange die Lehrkraft die Klasse aktiv nutzt
  • Archivierung: Nach Schuljahresende + 2 Jahre (entspricht schulrechtlichen Aufbewahrungspflichten für Prüfungsunterlagen)
  • Automatische Löschung: Spätestens 2 Jahre nach Schuljahresende werden alle Schülerdaten automatisch und unwiderruflich gelöscht

Lehrkräfte können Schülerdaten jederzeit manuell löschen. Gelöschte Daten werden innerhalb von 30 Tagen vollständig aus allen Backups entfernt.

10. KI-gestützte Korrektur mit mehrstufiger Architektur

Datenschutzfreundliche Architektur

Unsere KI-Korrektur nutzt eine mehrstufige Verarbeitungsarchitektur (Privacy by Design), bei der personenbezogene Daten die EU niemals verlassen. Nur anonymisierte Texte werden zur Bewertung an externe KI-Dienste übermittelt.

Verarbeitungsschritte:

1

OCR & Texterkennung (EU)

Hochgeladene Schülerarbeiten werden auf EU-Servern oder lokal verarbeitet. Die gesamte Texterkennungsverarbeitung erfolgt innerhalb der EU. Schülernamen und alle Metadaten bleiben innerhalb der EU.

2

Automatische Pseudonymisierung (EU)

Alle Schülernamen werden automatisch erkannt und entfernt. Namen im Text werden durch Pseudonyme ersetzt (z.B. "Schüler_001"). Nur KlassenKompass kann die Zuordnung herstellen – externe Dienste nicht.

3

KI-Bewertung (Externe Dienste)

Nur die anonymisierten Texte werden an externe KI-Dienste übermittelt. Diese erhalten ausschließlich pseudonymisierte Antworten ohne jeglichen Personenbezug. Bewertungsvorschläge werden zurückgesendet und in der EU mit den Original-Namen wieder zusammengeführt.

Datenschutzgarantien:

Namen bleiben in der EU: Alle Schülernamen und personenbezogenen Daten verbleiben auf EU-Servern. Externe Dienste erhalten nur pseudonymisierte Texte.

Keine Personenzuordnung für externe Dienste: Die Pseudonymisierung ist für externe Dienste nicht umkehrbar. Sie können aus "Schüler_001" nicht auf den realen Namen schließen.

Minimale Daten: Es werden ausschließlich die für die Bewertung notwendigen Textinhalte übermittelt – keine Originaldokumente, keine Metadaten.

Transparenz: Lehrkräfte können jederzeit einsehen, welche Daten an externe Dienste übermittelt wurden (Export-Funktion verfügbar).

SCCs & Datenschutz: Alle eingesetzten KI-Dienste haben EU-Standardvertragsklauseln unterzeichnet und verpflichten sich zu EU-konformen Datenschutzstandards.

Hinweis zur Rechtslage:

Die Übermittlung pseudonymisierter Daten erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Die Pseudonymisierung stellt einen erheblichen zusätzlichen Schutz dar, da externe Dienste keine Zuordnung zu realen Personen herstellen können. Alle personenbezogenen Zuordnungsinformationen verbleiben ausschließlich in der EU.

11. Cookies und ähnliche Technologien

Diese Website verwendet ausschließlich technisch notwendige Cookies. Eine Nutzung zu Marketing- oder Analysezwecken erfolgt nicht.

Verwendete Cookies:

Session-Cookie (auth_token)

Zweck: Authentifizierung und Sitzungsverwaltung
Speicherdauer: Bis zum Logout oder nach 7 Tagen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Sie können Cookies in Ihren Browser-Einstellungen jederzeit löschen oder blockieren. Dies kann jedoch die Funktionalität der Plattform einschränken.

12. Speicherdauer und Löschung

12.1 Nutzerdaten (Lehrkräfte)

Ihre Daten werden gespeichert, solange Ihr Nutzerkonto besteht. Nach Löschung des Kontos werden alle personenbezogenen Daten innerhalb von 30 Tagen vollständig gelöscht.

12.2 Schülerdaten

Schülerdaten werden automatisch gelöscht:

  • Spätestens 2 Jahre nach Ende des Schuljahres
  • Früher, wenn die Lehrkraft die Daten manuell löscht
  • Sofort bei Löschung der zugehörigen Klasse

12.3 Prüfungsunterlagen

Hochgeladene Dokumente und Korrekturen werden nach schulrechtlichen Vorgaben aufbewahrt:

  • Standardaufbewahrung: Schuljahresende + 2 Jahre
  • Lehrkraft kann kürzere Fristen einstellen
  • Automatische Löschung nach Ablauf der Frist

12.4 Technische Logs

IP-Adressen und technische Zugriffsdaten werden nach 7 Tagen automatisch gelöscht, sofern kein Sicherheitsvorfall untersucht werden muss.

12.5 Backups

Gelöschte Daten werden innerhalb von 30 Tagen auch aus allen Backup-Systemen entfernt.

Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

Zuständige Aufsichtsbehörde in Deutschland (Beispiel für Bundesland TODO anpassen):

TODO: [Name der zuständigen Landesdatenschutzbehörde]
TODO: [Adresse]
TODO: [Website]

Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslage oder Änderungen unserer Dienste anzupassen. Die jeweils aktuelle Version finden Sie stets auf dieser Seite.

Stand: Februar 2026