Was sind „personenbezogene Daten“? – Art. 4 DSGVO erklärt für KI und e-Learning

Verfasst von Marcel Pasternak

Wer AI-Tutoren im e-Learning einsetzt, kommt an der DSGVO nicht vorbei. Besonders wichtig ist dabei Artikel 4 der Verordnung: Er definiert zentrale Begriffe – darunter auch den wohl wichtigsten im Datenschutzrecht – „personenbezogene Daten“. Doch was genau zählt dazu? Und warum ist das besonders für Anbieter von Lernplattformen und KI-basierten Lernsystemen relevant?

In diesem Beitrag fassen wir die wichtigsten Begriffsdefinitionen aus Art. 4 DSGVO praxisnah zusammen – mit einem besonderen Fokus auf ihre Bedeutung im Kontext von KI-gestütztem e-Learning, AV-Verträgen (Auftragsverarbeitungsvereinbarungen) und technischen sowie organisatorischen Maßnahmen (TOMs).

 

Begriffsklärung:
“Personenbezogene Daten” nach Art. 4 DSGVO

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

  1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Die DSGVO definiert personenbezogene Daten als:

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“


Das umfasst also z. B.:

  • Name, E-Mail, Telefonnummer

  • Standortdaten, IP-Adresse, Benutzerverhalten

  • Prüfungsantworten, Lernstände, Chatverläufe mit dem AI-Tutor

  • Angaben zur beruflichen Qualifikation oder Sprachkompetenz


Wichtig für KI-Tutoren:
Auch scheinbar „neutrale“ Daten wie Übungsergebnisse oder Chatverläufe können personenbezogen sein – sobald sie sich einem Nutzer zuordnen lassen. Wer also z. B. den Lernfortschritt eines bestimmten Nutzers auswertet oder Feedback automatisiert personalisiert, verarbeitet personenbezogene Daten.

 

Warum das für AI-Tutoren entscheidend ist

Egal ob Moodle-Plugin oder externe KI-Plattform: Wenn ein AI-Tutor personalisiertes Feedback gibt, Nutzerverhalten speichert oder gezielte Rückfragen stellt, verarbeitet er zwangsläufig personenbezogene Daten. Das bedeutet:

  • Es besteht Pflicht zur DSGVO-Konformität

  • Es braucht eine Rechtsgrundlage (z. B. Einwilligung oder Vertragserfüllung)

  • Es ist ein AV-Vertrag mit dem Anbieter notwendig, wenn ein externer Dienst (z. B. Alphabees AI-Tutor) eingesetzt wird

  • Es sind TOMs umzusetzen (Verschlüsselung, Zugriffsbeschränkungen etc.)

 

Typische personenbezogene Daten im e-Learning

Besonders im digitalen Lernen mit AI-Tutoren werden eine Vielzahl personenbezogener Daten verarbeitet – oft ohne dass sich Bildungsanbieter der rechtlichen Tragweite bewusst sind. Art. 4 Nr. 1 DSGVO stellt klar: Sobald sich Informationen einer identifizierbaren Person zuordnen lassen, gelten sie als personenbezogen – ganz unabhängig davon, ob ein Name genannt wird oder nicht.

Im Kontext von e-Learning gehören dazu typischerweise:

  • Klickverhalten, Bearbeitungszeiten, Verweildauer

  • Chatverläufe und Eingaben im AI-Tutor

  • Lernfortschritte, Kompetenzanalysen, Ergebnisdaten

  • Feedback durch automatisierte Systeme

  • Diagnostische Hinweise auf Förderbedarf oder Verständnisprobleme


Diese Daten sind nicht neutral – sondern oft eng mit der Lernerbiografie einzelner Personen verknüpft. Damit unterliegen sie dem vollen Schutzbereich der DSGVO.

 

💡 Tipp:
In unserem Artikel “DSGVO-konformer AI-Tutor: So behalten Bildungsanbieter die Kontrolle über ihre Lerninhalte” findest du eine übersichtliche Checkliste mit allen zu erfüllenden Pflichten laut DSGVO.

 

Weitere Begriffe aus Art. 4 DSGVO – kurz erklärt

  • Verarbeitung: Jedes Erfassen, Speichern, Verändern, Löschen – also praktisch jede Handlung mit personenbezogenen Daten.

  • Verantwortlicher: Der Betreiber der Lernplattform (z. B. die Akademie), der über Zweck und Mittel der Datenverarbeitung entscheidet.

  • Auftragsverarbeiter: Externe Anbieter (wie Alphabees), die im Auftrag des Verantwortlichen Daten verarbeiten.

  • Einwilligung: Muss freiwillig, informiert und nachvollziehbar erfolgen – etwa beim Start eines KI-Tutors.

  • Pseudonymisierung: Empfohlen, um KI-gestützte Analysen datenschutzfreundlicher zu gestalten.

 

Fazit für Bildungsanbieter:

Wer AI-gestützte Lernsysteme nutzt, muss personenbezogene Daten frühzeitig erkennen, korrekt einordnen und schützen. Art. 4 DSGVO ist dafür der Ausgangspunkt – und bildet die Grundlage für alle weiteren Datenschutzmaßnahmen wie AVV, Datenschutzfolgenabschätzung oder technische Sicherheitskonzepte.

Marcel Pasternak
Zurück

Art. 28 DSGVO einfach erklärt: Was Bildungsanbieter über Auftragsverarbeiter wissen müssen