Sicherheit & Compliance
Was wir technisch und rechtlich tun, damit Schulen SchoolUP einsetzen können.
Datenschutzbeauftragter
Erreichbar unter kontakt@school-up.de. Anfragen werden innerhalb von 5 Werktagen beantwortet.
Auftragsverarbeitungsvertrag (AVV)
Nach Art. 28 DSGVO ist der Schulträger Verantwortlicher, SchoolUP Auftragsverarbeiter. Vor dem produktiven Einsatz schließen wir einen AVV ab, der die DSK-Mustervorgaben erfüllt.
AVV-Vorlage anfordern (versenden wir als PDF zur Gegenzeichnung).
Subunternehmer
| Unternehmen | Sitz | Zweck | Rechtsgrundlage |
|---|---|---|---|
| STRATO AG | Berlin, DE | Hosting der App, Datenbank, Backups | AVV nach Art. 28 DSGVO |
| OpenAI Ireland Ltd. | Dublin, IE (Verarbeitung teils USA) | Sprachmodell für Tutor-Antworten | SCC + DPF, Zero-Retention-API |
| Resend Inc. | San Francisco, US | Transaktionale E-Mails (Trial-Bestätigung) | SCC + DPF |
Drittlandtransfer (Schrems II)
OpenAI verarbeitet Anfragen ggf. in den USA. Wir haben mit OpenAI die Standardvertragsklauseln 2021/914/EU abgeschlossen. OpenAI ist nach dem EU-US Data Privacy Framework zertifiziert. In unserem Tarif ist die Zero-Retention-API aktiviert: Prompts und Antworten werden von OpenAI nicht für Modelltraining genutzt und nach 30 Tagen automatisch gelöscht.
Ein Transfer Impact Assessment (TIA) ist auf Anfrage als PDF verfügbar.
Technische Maßnahmen (TOMs, Art. 32 DSGVO)
- Verschlüsselung in Transit: TLS 1.3 für alle Verbindungen, HSTS mit Preload.
- Verschlüsselung at Rest: Moodle-Token AES-256-GCM, Datenbank-Volume verschlüsselt.
- Mandantentrennung: Postgres Row-Level-Security pro Tenant.
- Authentifizierung: Session-Token SHA-256 gehasht, 30 Tage Lebensdauer.
- Backups: Tägliche verschlüsselte Snapshots, 30 Tage Aufbewahrung.
- Logging: Strukturierte Logs, 7 Tage Aufbewahrung, keine personenbezogenen Inhalte.
- Incident Response: Bei Verletzung des Schutzes personenbezogener Daten Meldung an Aufsichtsbehörde innerhalb 72h (Art. 33).
- Zugriff: Nur die beiden Betreiber haben Produktions-Datenbank-Zugriff. Alle Zugriffe werden protokolliert.
EU-AI-Act
Bildungs-KI fällt nach Anhang III Nr. 3 EU-AI-Act unter Hochrisiko-Systeme. Wir arbeiten an einer vollständigen Konformitätsdokumentation. Stand heute: Wir transparieren das eingesetzte Modell (OpenAI GPT-5-mini), kennzeichnen Antworten klar als KI-generiert und weisen auf mögliche Fehler hin. Die Lehrkraft bleibt für Beurteilung und Bewertung verantwortlich.
Kinder und Jugendliche (Art. 8 DSGVO)
Bei Schul-Einsatz erfolgt die Verarbeitung auf Grundlage von § 120 SchulG NRW (entsprechende Landesgesetze in anderen Bundesländern). Im Trial-Modus müssen Nutzer:innen unter 16 Jahren die Einwilligung der Erziehungsberechtigten einholen.
Beschwerderecht
Du kannst dich jederzeit bei der für deinen Wohnort zuständigen Datenschutz-Aufsichtsbehörde beschweren. In NRW: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW.
Fragen? Schulleitungen und IT-Verantwortliche melden sich unter sehuebner@web.de. Wir antworten innerhalb von 1–2 Werktagen mit AVV-Vorlage, TIA-Dokument und einem Termin für eine Live-Demo.