Compliance & Beschaffung

DSGVO & Schweizer nDSG für die Elternkommunikation: was Sie vor der Unterschrift prüfen sollten

Wenn Ihre Schule ein DSGVO-konformes Tool für die Elternkommunikation auswählt, ist die Produktdemo der einfache Teil. Schwierig werden die Unterlagen, die Ihr Datenschutzbeauftragter verlangt — und die meisten Tools dieser Kategorie wurden für einen US-Markt gebaut, in dem diese Unterlagen nachrangig sind. Dieser Leitfaden erklärt, was eine Schulsoftware mit Datenhaltung in der EU tatsächlich nachweisen muss, warum die Schweizer nDSG ihre eigene Messlatte setzt, und welche genauen Fragen Sie jedem Anbieter stellen sollten, bevor ein einziger Elterndatensatz den Besitzer wechselt.

Warum Elternkommunikation unter der DSGVO heikel ist

Eine Plattform für Elternkommunikation verarbeitet Namen, Kontaktdaten und Informationen über Kinder — und Kinderdaten gelten als besonders schutzbedürftige Kategorie. Unter der DSGVO (EU-Verordnung 2016/679) ist die Schule der Verantwortliche und jeder Anbieter, der diese Daten in ihrem Auftrag verarbeitet, ein Auftragsverarbeiter. Dieses Verhältnis ist weder optional noch informell: Die DSGVO verlangt einen schriftlichen Vertrag — den Auftragsverarbeitungsvertrag (AVV).

Die erste Beschaffungsfrage lautet daher nicht „was kann das Tool?", sondern „unterschreibt der Anbieter einen AVV, und was steht darin?" Ein Anbieter, der den AVV als Formsache behandelt oder nur in seinem Enterprise-Tarif anbietet, sagt damit etwas aus.

Was „Datenhaltung in der EU" wirklich bedeutet

„In Europa gehostet" ist eine Formulierung, die locker verwendet wird. Für eine Schule, die Datenhaltung in der EU braucht, zählen die konkreten Fragen:

  • Wo werden die Daten gespeichert? Die Datenbank mit Eltern- und Schülerdaten sollte auf EU-Infrastruktur liegen.
  • Wo läuft die KI? Wenn das Tool E-Mails mit KI zusammenfasst oder übersetzt, sollte die Inferenz selbst — nicht nur die Speicherung — in Europa laufen. Ein US-basierter Modell-Endpunkt sendet den Inhalt ins Ausland, selbst wenn die Datenbank bleibt.
  • Wird etwas in die USA übertragen? Viele Tools leiten Betriebsmetadaten (Abrechnung, Monitoring) über Nicht-EU-Anbieter. Das kann unter Standardvertragsklauseln zulässig sein, sollte aber klar benannt werden.
  • Werden Schuldaten zum KI-Training genutzt? Das sollte ein vertragliches Nein sein, schriftlich — nicht ein Satz in der Datenschutzerklärung, der sich nächstes Quartal ändern kann.

Die Position von C’noté zu jedem Punkt ist im Trust-Paket dokumentiert: Hosting in Frankreich, KI-Inferenz in Paris, keine Schuldaten je für Modelltraining genutzt, und ein ehrlicher Hinweis auf die wenigen Betriebsmetadaten, die unter Standardvertragsklauseln über Nicht-EU-Anbieter laufen können.

Die Schweizer nDSG: die zweite Messlatte

Schulen, die in der Schweiz tätig sind — auch internationale Schulen mit Familien von Expatriates — unterliegen zusätzlich dem revidierten Schweizer Datenschutzgesetz (der nDSG / revDSG, in Kraft seit September 2023). Es ist eng an die DSGVO angelehnt, bleibt aber ein eigenes Gesetz mit eigenen Erwartungen. Ein als „DSGVO-konform" beworbenes Tool hat die Schweizer Messlatte nicht automatisch genommen. Eine nDSG-konforme Schulsoftware sollte die nDSG ausdrücklich nennen und ihren AVV daran ausrichten.

Das ist ein wirklich unterversorgter Marktbereich: Die meisten etablierten Broadcast-Plattformen sind US-zentriert und sagen wenig zum Schweizer Recht. Ein in der Schweiz für internationale Schulen entwickeltes Tool beginnt hier, statt es nachzurüsten.

Der Auftragsverarbeitungsvertrag: eine Checkliste

Wenn Sie einen Anbieter eines Schulkommunikations-Tools um seinen AVV bitten, prüft ein Datenschutzbeauftragter, ob er Folgendes enthält:

  • Rollen — die Schule als Verantwortlicher, der Anbieter als Auftragsverarbeiter.
  • Umfang & Zweck — welche Daten verarbeitet werden, und nur zum vereinbarten Zweck.
  • Unterauftragsverarbeiter — eine veröffentlichte, aktuelle Liste der Dritten (Hosting, KI-Inferenz) und ein Widerspruchsrecht bei Änderungen.
  • Speicherort — EU-Hosting und EU-Inferenz benannt, jede grenzüberschreitende Übermittlung durch Standardvertragsklauseln gedeckt.
  • Meldung von Verletzungen — ein zugesagter Zeitrahmen (DSGVO-Standard ist innerhalb von 72 Stunden).
  • KI-Training — eine ausdrückliche Garantie, dass Ihre Daten nie zum Modelltraining genutzt werden.
  • Löschung & Rückgabe — was mit den Daten am Vertragsende geschieht.

C’noté stellt den AVV, das Datenflussdiagramm und die aktuelle Unterauftragsverarbeiter-Liste vor einem Pilot bereit — nicht nach der Bestellung. Die Details stehen auf der Vertrauensseite, geschrieben für die Person, die unterschreiben muss.

Eine Anmerkung zur Genauigkeit, die auch eine Compliance-Frage ist

Eine KI, die die E-Mails einer Schule zusammenfasst, kann auch Dinge erfinden — und ein Assistent, der Informationen über ein Kind erfindet, ist ein Datenqualitäts- und Vertrauensproblem, nicht bloss ein Funktionsmangel. Die richtige Designvorgabe: Das Tool wiederholt nur, was die Schule tatsächlich geschrieben hat, verknüpft jede Aussage mit ihrer Quelle und sagt klar, wenn es unsicher ist, statt zu raten. Diese Verankerung macht das Tool gegenüber einem Datenschutzbeauftragten vertretbar, nicht nur für Eltern nützlich.

Für die Beschaffung aufbereitet

Wenn Sie C’noté für Ihre Schule prüfen, sind die Compliance-Antworten so gestaltet, dass Sie sie direkt an Ihren Datenschutzbeauftragten weitergeben können. Die Käuferübersicht finden Sie auf der Seite für Schulen, und das vollständige Sicherheitspaket — AVV, Datenflussdiagramm, Unterauftragsverarbeiter-Liste — ist vor dem Ende Ihrer Demo über das Trust-Paket verfügbar.

C’noté für Schulen ansehen