Datenschutz-Folgenabschätzung (DSFA)

gemäß Art. 35 DSGVO – myAbiFlow UG (haftungsbeschränkt) i.G.

Verarbeitung: KI-gestützte Abitur-Trainingsplattform für Schülerinnen und Schüler

Verantwortlicher: myAbiFlow UG (haftungsbeschränkt) i.G., Daniel Zahnweh

Erstellt: März 2026 | Version: 1.0

1. Erforderlichkeit der DSFA

Eine Datenschutz-Folgenabschätzung ist erforderlich, da folgende Kriterien der BayLDA-Positivliste und der Art.-29-Datenschutzgruppe erfüllt sind:

Daten von Minderjährigen: Die Plattform verarbeitet Daten von Schülerinnen und Schülern (in der Regel 16–18 Jahre, teils unter 16)
KI-basierte Bewertung: Automatisierte Bewertung von Schülerleistungen durch KI-Modelle
Systematische Verarbeitung: Regelmäßige, strukturierte Erfassung von Lernleistungen
Datenübermittlung in Drittländer: Übermittlung an US-Dienstleister (OpenAI, Wolfram|Alpha, Resend) für KI-Korrektur, mathematische Verifikation und E-Mail-Versand

2. Beschreibung der Verarbeitung

2.1 Zweck

myAbiFlow ist eine Lernplattform, die Schülerinnen und Schüler bei der Vorbereitung auf das bayerische Abitur (G9) und die FOS-Abschlussprüfung unterstützt. Die Plattform generiert Übungsaufgaben, bewertet eingereichte Texte mithilfe von KI und simuliert mündliche Kolloquia per Echtzeit-Audio.

2.2 Kategorien betroffener Personen

Kategorie	Anzahl (ca.)	Besonderheit
Schüler/innen	100–500 (Pilotphase)	Teilweise minderjährig (unter 18)
Lehrkräfte	10–30	Zugriff auf Schülerergebnisse

2.3 Kategorien personenbezogener Daten

Datenkategorie	Beispiele	Sensibilität
Identifikation	Vorname, Klassen-Code	Niedrig
Authentifizierung	Passwort-Hash, Token	Mittel
Kontaktdaten	E-Mail (optional)	Niedrig
Lerninhalte	Eingereichte Texte, Aufgabenlösungen	Mittel
Bewertungen	Noten, Punktzahlen, Kompetenzprofile	Mittel
Audiodaten	Kolloquiums-Audio (nur Echtzeit-Streaming)	Mittel
Bilder	Hochgeladene handschriftliche Lösungen	Niedrig

Hinweis: Es werden keine besonderen Kategorien personenbezogener Daten i.S.v. Art. 9 DSGVO verarbeitet (keine Gesundheitsdaten, keine politischen Meinungen, keine biometrischen Daten zur Identifizierung).

2.4 Datenflüsse

Schüler → myAbiFlow (Hetzner, Deutschland): Registrierung, Login, Aufgabenabgabe – HTTPS-verschlüsselt
myAbiFlow → OpenAI (USA): Aufgabentexte + Bilder zur Korrektur – ohne Namen/Noten
myAbiFlow → Google Gemini (EU/USA): Texte und Audio für Kolloquium/Tutor – ohne Namen/Noten
myAbiFlow → Wolfram|Alpha (USA): Mathematische Ausdrücke und Formeln zur Verifikation – kein Personenbezug
myAbiFlow → Resend (USA): E-Mail-Adresse + Fach für Erinnerungen – nur bei Aktivierung
Lehrkraft → myAbiFlow: Dashboard-Zugriff auf zugeordnete Schülerergebnisse – HTTPS + Token-Auth

3. Risikobewertung

3.1 Identifizierte Risiken und Bewertung

Nr.	Risiko	Eintrittswahrscheinlichkeit	Schwere	Risikostufe
R1	Unbefugter Zugriff auf Schülerdaten durch Dritte	Niedrig	Hoch	Mittel
R2	Zugriff auf Schülerdaten durch US-Behörden (CLOUD Act)	Sehr niedrig	Mittel	Niedrig
R3	Unberechtigte Nutzung von Schülertexten zum KI-Training	Sehr niedrig	Mittel	Niedrig
R4	Fehlerhafte KI-Bewertung mit negativen Folgen für Schüler	Mittel	Niedrig	Niedrig
R5	Datenverlust durch technischen Ausfall	Niedrig	Mittel	Niedrig
R6	Profilbildung von Schülerleistungen	Niedrig	Mittel	Mittel
R7	Lehrkraft sieht Ergebnisse nicht zugeordneter Schüler	Sehr niedrig	Mittel	Niedrig

3.2 Maßnahmen zur Risikominderung

Risiko	Maßnahme	Status
R1 – Unbefugter Zugriff	PBKDF2-Hashing (100.000 Iterationen) HMAC-SHA256 Tokens (24h Gültigkeit) Rate Limiting (25 req/min, 5 Login/min) CORS-Whitelist auf myabiflow.de HTTPS/TLS 1.3 für alle Verbindungen	Umgesetzt
R2 – US-Behördenzugriff	Datenbank und Server in Deutschland gehostet (Hetzner, Nürnberg) EU-US Data Privacy Framework (DPF) für verbleibende US-Anbieter (OpenAI, Resend) Datenminimierung: Nur Vornamen, keine Nachnamen oder Adressen Hosting-Migration von Cloudflare (USA) auf Hetzner (Deutschland) abgeschlossen (März 2026)	Umgesetzt
R3 – KI-Training mit Daten	OpenAI API: Daten werden nicht zum Training verwendet (API-TOS) Google Gemini API: Daten werden nicht zum Training verwendet (Gemini API Terms) Wolfram\|Alpha API: Nur mathematische Ausdrücke ohne Personenbezug übermittelt Keine Namen/Noten in KI-Anfragen enthalten	Umgesetzt
R4 – Fehlerhafte KI-Bewertung	Klarer Hinweis: „KI-Bewertung, keine offizielle Prüfung“ Lehrkräfte können Ergebnisse einsehen und einordnen Keine rechtliche oder schulische Konsequenz aus KI-Bewertungen	Umgesetzt
R5 – Datenverlust	PostgreSQL-Datenbank auf Hetzner-Server in Deutschland Quellcode versioniert in Git (GitHub) Server-Snapshots über Hetzner Cloud verfügbar	Umgesetzt
R6 – Profilbildung	Daten dienen ausschließlich der Lernförderung, nicht der Selektion Keine automatisierten Entscheidungen mit rechtlicher Wirkung (Art. 22 DSGVO) Kein Scoring oder Ranking zwischen Schülern Löschung jederzeit möglich	Umgesetzt
R7 – Berechtigungsfehler	Zuordnung Schüler–Lehrkraft nur über expliziten Klassen-Code Serverseitige Berechtigungsprüfung bei jedem Dashboard-Zugriff Schüler können Fächer vor Lehrkräften ausblenden	Umgesetzt

4. Notwendigkeit und Verhältnismäßigkeit

4.1 Erforderlichkeit der Datenverarbeitung

Verarbeitung	Erforderlichkeit
Benutzername + Passwort	Notwendig für Kontozuordnung und Ergebnisspeicherung
Eingereichte Texte	Notwendig für KI-Korrektur (Kernfunktion der Plattform)
Bewertungen/Noten	Notwendig für Lernfortschrittskontrolle
Audio (Kolloquium)	Notwendig für Echtzeit-Prüfungssimulation (wird nicht dauerhaft gespeichert)
E-Mail-Adresse	Optional – nur für Erinnerungsfunktion, jederzeit kündbar

4.2 Datenminimierung

Nur Vornamen als Identifikation – keine Nachnamen, keine Adressen, keine Geburtsdaten
An KI-Anbieter werden keine identifizierenden Daten übermittelt
Audio-Daten werden nur in Echtzeit gestreamt, nicht dauerhaft gespeichert
E-Mail-Adresse ist optional
Asynchrone Jobs werden nach 30 Tagen automatisch gelöscht

5. Rechte der Betroffenen

Recht	Umsetzung
Auskunft (Art. 15)	Per E-Mail an info@myabiflow.de – Lehrkräfte können Ergebnisse im Dashboard einsehen
Berichtigung (Art. 16)	Per E-Mail – Benutzername kann geändert werden
Löschung (Art. 17)	Per E-Mail oder durch Lehrkraft im Dashboard – vollständige Löschung aller Daten
Einschränkung (Art. 18)	Per E-Mail
Datenübertragbarkeit (Art. 20)	Export der Ergebnisse als JSON/PDF auf Anfrage
Widerspruch (Art. 21)	Per E-Mail – führt zur Löschung des Kontos

6. Konsultation der Aufsichtsbehörde

Auf Basis dieser Folgenabschätzung verbleibt nach Umsetzung aller Maßnahmen kein hohes Restrisiko für die Rechte und Freiheiten der betroffenen Personen. Eine vorherige Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO ist daher nicht erforderlich.

Die DSFA wird jedoch dem zuständigen schulischen Datenschutzbeauftragten bzw. der Schulleitung auf Anfrage zur Verfügung gestellt.

7. Umgesetzte und geplante Verbesserungen

✓ Migration auf deutschen Hosting-Anbieter abgeschlossen (März 2026) – Datenbank, Backend und statische Dateien laufen auf einem Hetzner-Server in Nürnberg (Deutschland). Die Abhängigkeit von US-Hosting-Anbietern wurde vollständig beseitigt.
Datenexport-Funktion – Automatisierter Export aller Schülerdaten in einem maschinenlesbaren Format (Art. 20 DSGVO)
Selbstlöschung – Schüler sollen ihr Konto eigenständig in der App löschen können

8. Ergebnis

Gesamtbewertung: Akzeptables Restrisiko

Die identifizierten Risiken werden durch die umgesetzten technischen und organisatorischen Maßnahmen auf ein akzeptables Niveau gesenkt. Die Verarbeitung ist erforderlich, verhältnismäßig und mit angemessenen Schutzmaßnahmen versehen.

Durch die erfolgte Migration auf einen deutschen Hosting-Anbieter (Hetzner, Nürnberg) wurde das Schutzniveau weiter erhöht. Sämtliche Nutzerdaten verbleiben in Deutschland.

Dokument erstellt: März 2026 | Version 1.0
Verantwortlich: Daniel Zahnweh, Geschäftsführer myAbiFlow UG (haftungsbeschränkt) i.G.
Nächste Überprüfung: September 2026 oder bei wesentlichen Änderungen der Verarbeitung.

Zurück zur Datenschutzerklärung