Art. 28 DSGVO einfach erklärt: Was Bildungsanbieter über Auftragsverarbeiter wissen müssen
Im digitalen Lernen arbeiten Bildungseinrichtungen häufig mit externen Dienstleistern zusammen – etwa Plattformbetreibern, Cloud-Diensten oder KI-Anbietern wie AI-Tutoren. Sobald dabei personenbezogene Daten im Spiel sind, greift Art. 28 DSGVO. Dieser Artikel regelt die Zusammenarbeit mit sogenannten Auftragsverarbeitern – und stellt klare Anforderungen an Bildungsanbieter als „Verantwortliche“.
Was ist ein Auftragsverarbeiter?
Ein Auftragsverarbeiter ist laut Art. 4 Nr. 8 DSGVO jede externe Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Im Bildungsbereich können das z. B. sein:
Anbieter von Lernplattformen (wie Moodle-Hosting-Dienste)
Anbieter von Cloud-Services (z. B. Server- und Speicherlösungen)
Anbieter von KI-Systemen wie AI-Tutoren
Analyse-Tools zur Lernstandserhebung oder Nutzerverhalten
Sobald ein externer Dienst Zugriff auf personenbezogene Daten hat, muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden.
Warum Art. 28 DSGVO für Bildungsanbieter so wichtig ist
Die DSGVO überträgt die Verantwortung für den Datenschutz nicht an den Dienstleister – sondern belässt sie bei der Bildungsinstitution. Das bedeutet: Auch wenn du einen externen KI-Tutor nutzt, musst du sicherstellen, dass die Daten DSGVO-konform verarbeitet werden.
Bildungsanbieter sind verpflichtet:
Nur mit Anbietern zu arbeiten, die „hinreichende Garantien“ für Datenschutz bieten
Die Datenverarbeitung vertraglich zu regeln (AVV)
Alle relevanten Informationen zur Verarbeitung transparent zu dokumentieren
Den Auftragsverarbeiter regelmäßig zu kontrollieren (z. B. durch Audit oder Zertifizierung)
Was muss ein AVV laut Art. 28 DSGVO beinhalten?
Ein Auftragsverarbeitungsvertrag muss unter anderem folgende Punkte regeln:
-
Was macht der Dienstleister genau – und wie lange?
-
z. B. Name, Mail, Lernfortschritt, Tests von Lernenden
-
Du bestimmst Zweck und Mittel der Verarbeitung
-
Der Dienstleister darf nur handeln, wie du es vorgibst
-
z. B. Verschlüsselung, Zugriffsschutz, Löschkonzepte
-
Müssen genehmigt und dokumentiert werden
-
z. B. bei Auskunftsersuchen oder Datenschutzvorfällen
-
Löschung oder Rückgabe der Daten nach Ende der Leistung
Fallbeispiel: Der AI-Tutor als Auftragsverarbeiter
Nutzt eine Akademie den Alphabees AI-Tutor, verarbeitet dieser personenbezogene Daten der Lernenden – etwa Fragen, Eingaben, Feedbackverläufe.
→ Ein AVV ist Pflicht.
Alphabees stellt diesen standardmäßig zur Verfügung – mit klaren Regelungen zur Datensicherheit, Löschung und Auditierung.
Wichtig: Der AI-Tutor handelt , sondern verarbeitet nur Inhalte und Interaktionen aus dem Lernkontext der Akademie. Die Kontrolle bleibt bei dir.
Was passiert ohne AVV?
Ein KI-Tool wie der ChatGPT Study Mode kann ohne AVV ein echtes Risiko darstellen. Denn:
Es ist unklar, wie genau Daten verarbeitet, gespeichert oder genutzt werden
Es besteht kein Einfluss auf Datenschutzmaßnahmen oder Weitergabe an Dritte
Im schlimmsten Fall drohen Bußgelder, wenn Lernende personenbezogene Daten an Drittanbieter weitergeben und du das nicht verhinderst
→ Bildungsanbieter sollten nur Tools einsetzen, die sich vertraglich binden lassen – mit einem AVV gemäß Art. 28 DSGVO.
Checkliste: Wann ist ein AVV erforderlich?
✔ Du nutzt externe Anbieter für Lerntechnologien
✔ Diese haben Zugriff auf personenbezogene Daten
✔ Die Datenverarbeitung erfolgt im Auftrag deiner Einrichtung
Fazit: Verantwortung kann nicht ausgelagert werden
Art. 28 DSGVO ist kein „Nice to have“, sondern Pflicht. Wer moderne Tools wie AI-Tutoren einsetzt, muss technische, rechtliche und organisatorische Vorgaben erfüllen – und das aktiv dokumentieren.
Alphabees bietet nicht nut einen leistungsfähigen AI-Tutor, sonder auch:
✔ AVV inklusive
✔ Hosting auf DSGVO-konformen Servern
✔ Transparente Datenverarbeitung