Verantwortliche Stelle und Kontakt

grAIder ist ein Projekt von Friedrich Wolf, betrieben unter dem Namen intuitive systems. Sie erreichen uns unter contact@graider.de bei Fragen zu Datenschutz, Datensicherheit und Informationssicherheit.

Wenn eine Schule oder eine andere Bildungseinrichtung grAIder für eigene Bewertungsprozesse nutzt, entscheidet diese Einrichtung in der Regel, warum und wie Schülerarbeiten verarbeitet werden. In diesem Fall ist grAIder als Auftragsverarbeiter für die Schule im Rahmen einer Auftragsverarbeitungsvereinbarung vorgesehen. Die Schule bleibt dafür verantwortlich, die Rechtsgrundlage festzulegen, Schülerinnen und Schüler sowie Erziehungsberechtigte soweit erforderlich zu informieren und Aufbewahrungsregeln für Schulunterlagen festzulegen.

Für intuitive systems wurde derzeit kein Datenschutzbeauftragter bestellt.

Rollen nach Datenschutzrecht

Für den Betrieb der Website, Konten von Lehrkräften, Sicherheit des Dienstes, Supportanfragen und betreiberseitige Administration ist Friedrich Wolf, handelnd unter dem Namen intuitive systems, für die in dieser Datenschutzerklärung beschriebene Verarbeitung verantwortlich.

Für Schülerarbeiten, Bewertungsdatensätze, Bewertungsraster und bewertungsbezogene Daten, die eine Schule oder Lehrkraft für schulische Bewertungszwecke hochlädt oder erstellt, bestimmt in der Regel die Schule die Zwecke und Mittel der Verarbeitung. In diesem Fall ist die Schule Verantwortliche und grAIder handelt als Auftragsverarbeiter im Rahmen einer Auftragsverarbeitungsvereinbarung.

Was grAIder macht

grAIder hilft Lehrkräften, handschriftliche Prüfungen zu prüfen. Eine Lehrkraft lädt Prüfungs-PDFs, DOCX-Dateien oder Bilder und einen Bewertungsraster hoch. Das System erstellt Seitenbilder, extrahiert Text, bereitet bei entsprechender Konfiguration rasterbasierte Punkte- und Rückmeldungsentwürfe vor und zeigt anschließend die Originalseiten, den extrahierten Text und die Bewertungsentwürfe zur Prüfung an.

KI-Ausgaben sind nur Entwurfshilfen. Lehrkräfte bleiben dafür verantwortlich, endgültige Punkte und Rückmeldungen vor der Verwendung zu prüfen, zu bearbeiten und freizugeben. grAIder trifft selbst keine abschließenden Bewertungsentscheidungen, und keine Schülerin und kein Schüler sollte eine Endnote ausschließlich auf Grundlage automatisierter Verarbeitung durch grAIder erhalten.

Welche personenbezogenen Daten wir verarbeiten

• Kontodaten von Lehrkräften, einschließlich Benutzername, E-Mail-Adresse, Passwort-Hash, Aktivierungsstatus und grundlegenden Einstellungen wie der Oberflächensprache.
• Bei der Kontoerstellung ausgewählte Einrichtungsdaten, etwa Schulname, Ort, Land und Schulart.
• Hochgeladene Schülerarbeiten, einschließlich der Original-PDF-, DOCX-, PNG-, JPG- oder WebP-Dateien mit Schülerarbeiten.
• Abgeleitete Seitenbilder aus hochgeladenen Dokumenten, damit die Lehrkraft die Originalarbeit im Browser ansehen kann.
• Extrahierter Text und zugehörige Metadaten, die aus Einreichungsseiten erzeugt werden.
• Schülerkennungen, die einer Einreichung zugeordnet sind, soweit sie von der Lehrkraft angegeben oder aus eingereichten Arbeiten extrahiert wurden.
• Bewertungsraster, Kriterien, Maximalpunkte, Anweisungen der Lehrkraft und weiterer von Lehrkräften erstellter Aufgabenkontext.
• KI-Punkteentwürfe, Rückmeldungsentwürfe, Bewertbarkeitskennzeichen, Bearbeitungen durch Lehrkräfte, Freigabestatus und zugehörige Bewertungsdatensätze.
• Betriebliche Metadaten wie Anmeldeversuche, Rate-Limit-Ereignisse, Aufgabenstatus, Seitenzahlen, Textlängen, Fehlertypen, Zeitstempel und technische Anfragemetadaten.

Warum wir diese Daten verarbeiten

• Um Konten für Lehrkräfte, Authentifizierung, Kontoaktivierung und Zugriffskontrolle bereitzustellen.
• Um hochgeladene Prüfungen in prüfbare Seiten umzuwandeln und Text zu extrahieren.
• Um KI-gestützte Bewertungsentwürfe aus Bewertungsrastern der Lehrkraft und extrahiertem Einreichungstext zu erstellen.
• Damit Lehrkräfte Bewertungsarbeit innerhalb der Anwendung ansehen, bearbeiten, freigeben, exportieren und löschen können.
• Um den Dienst zu schützen, Missbrauch zu verhindern, Fehler zu diagnostizieren, Hintergrundverarbeitung zu überwachen und die Anwendung zu warten.
• Um auf an uns gesendete Datenschutz-, Support- und Sicherheitsanfragen zu antworten.

Rechtsgrundlagen

Soweit grAIder Daten als Verantwortlicher verarbeitet, beruht die Verarbeitung auf folgenden Rechtsgrundlagen:

• Kontoregistrierung, Anmeldung, Zugriffskontrolle, Support und Dienstkommunikation: Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung erforderlich ist, um den Dienst für Lehrkräfte bereitzustellen.
• Sicherheit, Missbrauchsprävention, Fehlersuche und betriebliche Protokollierung: Art. 6 Abs. 1 lit. f DSGVO, beruhend auf unserem berechtigten Interesse, den Dienst sicher und zuverlässig zu halten.
• Rechts-, Steuer-, Buchhaltungs- und Compliance-Unterlagen: Art. 6 Abs. 1 lit. c DSGVO, soweit Aufbewahrung oder Verarbeitung gesetzlich erforderlich ist.
• Optionale Kommunikation oder künftige optionale Funktionen: Art. 6 Abs. 1 lit. a DSGVO, soweit wir um Einwilligung bitten.

Wenn eine Schule grAIder für Bewertungen nutzt, handelt die Schule in der Regel als Verantwortliche für Schülerarbeiten, Bewertungsdatensätze und schulbezogene Bewertungsdaten. In diesem Fall verarbeitet grAIder diese Daten als Auftragsverarbeiter nach Art. 28 DSGVO und gemäß den Weisungen der Schule.

Quelle der Schülerdaten

Schülerbezogene Daten werden in der Regel von Lehrkräften oder Schulen bereitgestellt, nicht direkt von Schülerinnen und Schülern. Dazu können hochgeladene Prüfungsarbeiten, auf Einreichungen vermerkte Kennungen, Bewertungskontext, Bewertungsraster und Bearbeitungen durch Lehrkräfte gehören. Soweit die Schule Verantwortliche ist, ist sie dafür verantwortlich, Schülerinnen und Schüler sowie Erziehungsberechtigte nach Art. 14 DSGVO und anwendbarem Schulrecht über die Verarbeitung zu informieren, soweit dies erforderlich ist.

Besondere Kategorien personenbezogener Daten

grAIder ist nicht dafür vorgesehen, besondere Kategorien personenbezogener Daten zu erheben, etwa Gesundheitsdaten, religiöse Überzeugungen, politische Meinungen oder vergleichbare sensible Informationen. Da handschriftliche Prüfungen solche Informationen unbeabsichtigt enthalten können, sollten Lehrkräfte und Schulen das Hochladen unnötiger sensibler Daten vermeiden und grAIder nur nutzen, wenn die Schule bestätigt hat, dass die Verarbeitung rechtmäßig und angemessen ist.

Empfänger und Unterauftragsverarbeiter

Schülerarbeiten und Bewertungsdaten sind nicht öffentlich. Konten von Lehrkräften können nur auf die Aufgaben, Einreichungen, Bewertungsraster, Medien und Bewertungsdatensätze zugreifen, die zu ihnen gehören.

Je nach Bereitstellung und Konfiguration können Daten durch Hosting-Infrastruktur, Datenbank- und Dateispeicheranbieter, E-Mail-Infrastruktur, Google Cloud Vertex AI Gemini, OpenAI über EU-basierte Endpunkte sowie Fehlerüberwachungs-Infrastruktur verarbeitet werden. Die genaue Anbieterliste, Regionen, Auftragsverarbeitungsvereinbarungen, Standardvertragsklauseln und Datenaufbewahrungseinstellungen müssen für die konkrete Produktionsbereitstellung bestätigt werden, bevor echte Schülerdaten verarbeitet werden.

Internationale Übermittlungen und Datenresidenz

Das vorgesehene Bereitstellungsland ist Deutschland. Google Cloud Vertex AI ist derzeit für europe-west3 in Frankfurt, Deutschland, konfiguriert. OpenAI ist für die Nutzung EU-basierter Endpunkte konfiguriert. grAIder strebt an, schulische Bewertungsdaten überall dort in der Europäischen Union zu verarbeiten, wo dies verfügbar ist.

Einige Anbieter können ihren Sitz außerhalb der Europäischen Union haben oder in begrenztem Umfang Zugriff von außerhalb der Europäischen Union für Support, Sicherheit oder Dienstbetrieb einbeziehen. Soweit personenbezogene Daten in ein Drittland übermittelt werden, stützt sich grAIder auf anwendbare Garantien wie Angemessenheitsbeschlüsse der EU, EU-Standardvertragsklauseln und Datenverarbeitungsbedingungen der Anbieter. Vor der Nutzung von grAIder mit echten Schülerdaten sollten Schule und Betreiber bestätigen, ob alle erforderlichen Verarbeitungs- und Speicherorte, Übermittlungsmechanismen und Datenaufbewahrungskontrollen der Anbieter die Anforderungen der Schule erfüllen.

Aufbewahrung und Löschung

Lehrkräfte können Einreichungen löschen, nachdem die Verarbeitung einen Endzustand erreicht hat. Das Löschen einer Einreichung entfernt das Originaldokument, abgeleitete Seitenbilder, den Datenbankdatensatz und zugehörige Bewertungsdatensätze. Lehrkräfte können außerdem eine Aufgabe löschen; dadurch werden die zugehörigen Einreichungen und gespeicherten Medien gelöscht.

Kontodaten von Lehrkräften werden gespeichert, solange das Konto aktiv ist. Wenn ein Konto gelöscht wird, werden Kontodaten gelöscht oder anonymisiert, sofern keine Aufbewahrung aus rechtlichen, sicherheitsbezogenen oder buchhalterischen Gründen erforderlich ist.

Hochgeladene Einreichungen, abgeleitete Seitenbilder, extrahierter Text, Bewertungsentwürfe, Bearbeitungen durch Lehrkräfte und zugehörige Aufgabendaten werden gespeichert, bis die Lehrkraft oder Schule sie löscht oder bis eine mit der Schule vereinbarte Aufbewahrungsfrist abläuft. Aufbewahrungsfristen für Prüfungen, Noten und Schulunterlagen sollten von der verantwortlichen Schule oder dem Betreiber der Bereitstellung festgelegt werden.

Betriebliche Protokolle werden nur so lange gespeichert, wie es für Sicherheit, Fehlersuche und Dienstbetrieb erforderlich ist. Sofern kein längerer Zeitraum zur Untersuchung von Missbrauch, Sicherheitsvorfällen oder technischen Fehlern erforderlich ist, werden Protokolle nach 90 Tagen gelöscht oder anonymisiert.

Backups können gelöschte Daten für einen begrenzten Zeitraum enthalten und werden entsprechend dem Backup-Zyklus überschrieben. Gelöschte Daten werden nicht wieder aktiv genutzt, es sei denn, dies ist für Notfallwiederherstellung, Sicherheitsuntersuchungen oder rechtliche Gründe erforderlich.

Cookies, Sitzungen und Protokolle

grAIder verwendet notwendige Cookies für Anmeldesitzungen, CSRF-Schutz, Nachrichten und Spracheinstellungen. Diese Cookies sind für sicheren Kontozugriff und das normale Verhalten der Anwendung erforderlich.

grAIder verwendet derzeit keine Werbe-Cookies, keine websiteübergreifenden Tracking-Cookies und keine Analyse-Cookies.

Betriebliche Protokolle werden für Fehlersuche, Sicherheit und Überwachung verwendet. Die Anwendung ist so gestaltet, dass vollständige Schülerantworten, Seitenbilder, extrahierter Text, an externe Anbieter gesendete Prompts, API-Schlüssel und andere Geheimnisse nicht protokolliert werden. Protokolle können technische Kennungen, Zählwerte, Längen, Statuswerte, Zeitstempel und Fehlerkategorien enthalten.

Sicherheitsmaßnahmen

• Die meisten Produktfunktionen erfordern eine Anmeldung als Lehrkraft.
• Neue Konten erfordern vor der Nutzung eine E-Mail-Aktivierung.
• Anmelde- und Aktivierungsabläufe sind rate-limitiert.
• Medien von Einreichungen werden nur nach Anmeldung und Eigentumsprüfung ausgeliefert.
• Die Webanwendung verwendet Standardschutzmaßnahmen wie CSRF-Schutz und sichere Cookie-Optionen.
• Produktionsbereitstellungen müssen außerdem HTTPS, Schutz von Datenbank und Dateispeicher, Backups, Monitoring, Administration nach dem Least-Privilege-Prinzip und Verfahren zur Reaktion auf Sicherheitsvorfälle sicherstellen.

Ihre Rechte

Nach der DSGVO können betroffene Personen Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit und Beschwerde bei einer Aufsichtsbehörde haben. Wenn eine Schule Verantwortliche ist, sollten Anfragen zu Schülerdaten normalerweise zuerst an die Schule gerichtet werden, weil die Schule Rechtsgrundlage, Aufbewahrungsregeln und den Umgang mit Schulunterlagen festlegt. Sie können grAIder auch unter contact@graider.de kontaktieren; wir leiten Anfragen weiter oder unterstützen sie gemäß der jeweils geltenden Vereinbarung.

Betroffene Personen können eine Beschwerde bei einer Datenschutzaufsichtsbehörde in dem EU-Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes einreichen. Für den Betreiber von grAIder in Sachsen ist die zuständige Behörde die Sächsische Datenschutz- und Transparenzbeauftragte, Devrientstraße 5, 01067 Dresden, Deutschland, https://www.datenschutz.sachsen.de/.

Fragen und Aktualisierungen

Diese Seite wird aktualisiert, wenn Anbietervereinbarungen, Hosting-Details, Aufbewahrungsregeln und Schul-Bereitstellungsvereinbarungen finalisiert werden. Bei Fragen zu Datensicherheit oder Datenschutz kontaktieren Sie uns unter contact@graider.de.