10 Fragen an EdTech-Anbieter nach PowerSchool-Leck

Schulverwalter überprüft Sicherheitsdokumentation eines EdTech-Anbieters — Schulen sind jetzt rechtlich dafür verantwortlich, die Sicherheitspraktiken ihrer EdTech-Anbieter zu überprüfen

Im Dezember 2024 erlitt PowerSchool einen massiven Datenbruch, bei dem die persönlichen Daten von etwa 62,4 Millionen Schülern und 9,5 Millionen Pädagogen in Nordamerika offengelegt wurden (BleepingComputer, 2025). Der Vorfall geschah aufgrund eines einzigen kompromittierten Mitarbeiter-Logins und fehlender Multi-Faktor-Authentifizierung bei einem kritischen Support-Portal (TechTarget, 2025). Datenschutzbehörden haben seitdem betont, dass Schulen die Verantwortung tragen, die Sicherheitspraktiken ihrer Anbieter zu überprüfen.

Dies ändert alles daran, wie Schulen EdTech-Anbieter bewerten sollten. Ob Sie ein virtuelles Naturwissenschaftslabor, ein Lernmanagementsystem oder jede Software in Betracht ziehen, die mit Schülerdaten arbeitet – Sie müssen härtere Fragen stellen. Hier sind zehn Fragen, die jede Schule vor Vertragsabschluss stellen sollte.

1. Wo werden unsere Daten gespeichert?

Es geht nicht nur darum, das Land zu kennen. Sie brauchen konkrete Angaben:

Welcher Cloud-Anbieter? (AWS, Google Cloud, Azure oder selbst gehostet?)
Welche Region? (EU-Schulen benötigen möglicherweise EU-basierte Server für die DSGVO)
Werden Daten jemals international übertragen?
Werden Backups an einem anderen Ort gespeichert?

Ein Anbieter, der diese Fragen nicht präzise beantworten kann, hat wahrscheinlich nicht sorgfältig über seine Datenarchitektur nachgedacht. Das britische Information Commissioner's Office verlangt ausdrücklich, dass Organisationen wissen, wo personenbezogene Daten verarbeitet werden (ICO, 2024).

2. Haben Sie eine SOC 2- oder ISO 27001-Zertifizierung?

SOC 2 (System and Organization Controls) ist ein Sicherheitsaudit, das von unabhängigen Wirtschaftsprüfern durchgeführt wird und beweist, dass die Sicherheitskontrollen eines Anbieters tatsächlich funktionieren, nicht nur auf dem Papier existieren (AICPA, 2024). Es gibt zwei Typen:

Typ I: Bestätigt, dass Kontrollen zu einem bestimmten Zeitpunkt existieren
Typ II: Bestätigt, dass Kontrollen über 6-12 Monate hinweg konsistent funktioniert haben (strenger)

ISO 27001 ist ein internationales Äquivalent, das in über 160 Ländern anerkannt ist (ISO, 2022). Wenn ein Anbieter beides nicht hat, fragen Sie, welche Drittanbieter-Validierung er hat. "Wir nehmen Sicherheit ernst" ist keine Zertifizierung.

3. Wer hat Zugang zu Schülerdaten?

Der PowerSchool-Vorfall geschah über ein Kundensupport-Portal, das keine ordnungsgemäßen Zugriffskontrollen hatte. Fragen Sie Anbieter:

Wie viele Mitarbeiter können auf Schülerdaten zugreifen?
Wird der Zugriff protokolliert und ist er überprüfbar?
Benötigt der Support Ihre Erlaubnis, bevor er auf Ihre Daten zugreift?
Sind Auftragnehmer und Dritte in den Zugriffskontrollen enthalten?

Das Prinzip der minimalen Rechte, eine Kernanforderung in Frameworks wie dem NIST Cybersecurity Framework (NIST, 2024), bedeutet, dass Mitarbeiter nur auf die minimal notwendigen Daten für ihre Arbeit zugreifen sollten. Wenn "jeder im Support" Schülerakten einsehen kann, ist das ein Warnsignal.

4. Nutzen Sie Multi-Faktor-Authentifizierung?

Der PowerSchool-Vorfall hätte mit MFA verhindert werden können. Laut Microsoft blockiert MFA 99,9% der automatisierten Angriffe (Microsoft, 2019). Fragen Sie konkret:

Ist MFA für alle Mitarbeiterkonten erforderlich?
Ist MFA für Administrative Portale erforderlich?
Ist MFA für Schuladministratorkonten verfügbar?
Welche MFA-Methoden werden unterstützt? (App-basiert ist stärker als SMS)

Wenn ein Anbieter MFA intern nicht durchsetzt, befolgt er 2026 keine grundlegende Sicherheitshygiene.

5. Welche Drittanbieterdienste berühren unsere Daten?

Viele EdTech-Plattformen nutzen externe Dienste für Analysen, Fehlerverfolgung, KI-Funktionen oder Hosting. Jeder einzelne ist ein potenzielles Datenleck. Unter der DSGVO müssen Anbieter alle Unterauftragsverarbeiter offenlegen, die personenbezogene Daten verarbeiten (EDPB, 2024). Fordern Sie eine vollständige Liste an und erfahren Sie, welche Daten jeder erhält.

Achten Sie auf:

Analyseplattformen (Google Analytics, Mixpanel), die das Schülerverhalten verfolgen können
KI-Dienste, die Schülerarbeiten zur Bewertung oder Rückmeldung verarbeiten
Kundensupport-Tools, die Gesprächsprotokolle speichern können
Fehlerverfolgung, die möglicherweise sensible Daten in Absturzberichten erfasst

Ein Anbieter mit "keiner Drittanbieter-Analyse bei schülerorientierten Anwendungen" macht eine bedeutsame Zusage.

6. Was ist Ihre KI-Datenrichtlinie?

Da KI-gestützte EdTech immer häufiger wird, ist es entscheidend zu verstehen, wie Anbieter mit KI und Schülerdaten umgehen. Die Forschung des Future of Privacy Forum zur KI-Governance bietet nützliche Rahmenwerke zur Bewertung dieser Richtlinien (FPF, 2024). Fragen Sie nach:

Verwenden Sie Schülerdaten zum Training von KI-Modellen? Wenn ja, ist dies Opt-in oder Opt-out?
Können Schulen wählen, ob sie teilnehmen?
Erfolgt die KI-Verarbeitung auf Ihrer Infrastruktur oder wird sie an Dritte gesendet?
Was passiert mit Schülerarbeiten, nachdem sie verarbeitet wurden?

Der Schlüssel ist Transparenz. Ein Anbieter sollte seinen Ansatz klar erläutern und Schulen eine sinnvolle Kontrolle darüber geben, wie Schülerdaten für KI-Zwecke verwendet werden.

7. Was ist Ihre Datenaufbewahrungsrichtlinie?

Daten, die nicht existieren, können nicht gestohlen werden. Das Datenminimierungsprinzip der DSGVO verlangt, dass Organisationen personenbezogene Daten nur so lange aufbewahren, wie es notwendig ist (ICO, 2024). Fragen Sie:

Wie lange werden Schülerdaten aufbewahrt, nachdem sie die Plattform verlassen haben?
Können Schulen eine vorzeitige Löschung beantragen?
Was passiert mit Daten, wenn wir unser Abonnement kündigen?
Werden Backups ebenfalls gelöscht oder bleiben sie bestehen?

Ein Anbieter, der Schülerdaten unbegrenzt "für alle Fälle" aufbewahrt, ist ein Risiko.

8. Was passiert bei einem Datenleck?

Jeder Anbieter sollte einen Notfallplan haben. Die DSGVO verlangt eine Benachrichtigung innerhalb von 72 Stunden (ICO, 2024). Fragen Sie:

Wie schnell werden Sie uns über einen Vorfall informieren?
Welche Informationen wird die Benachrichtigung enthalten?
Haben Sie eine Cyberversicherung?
Werden Sie Kreditüberwachung für betroffene Schüler anbieten?

PowerSchool brauchte Wochen, um das volle Ausmaß seines Vorfalls offenzulegen, und einige Schulen berichteten, dass sie davon aus Medienberichten erfuhren statt aus offiziellen Benachrichtigungen. Klare vertragliche Zusagen zu Benachrichtigungsfristen sind wichtig.

9. Können wir einen Auftragsverarbeitungsvertrag bekommen?

Ein Auftragsverarbeitungsvertrag (AVV) ist ein rechtlich erforderlicher Vertrag gemäß DSGVO Artikel 28, der definiert, wie ein Anbieter Ihre Daten handhabt (GDPR.eu, 2024). Er sollte spezifizieren:

Welche Daten gesammelt werden und warum
Wie Daten geschützt werden
Listen von Unterauftragsverarbeitern
Verfahren zur Benachrichtigung bei Datenschutzverletzungen
Datenlöschung bei Vertragsbeendigung

Wenn ein Anbieter keinen AVV bereitstellen kann, ist er wahrscheinlich nicht bereit, mit Schulen zusammenzuarbeiten, die Compliance ernst nehmen.

10. Wie schützen Sie die Daten unserer Schule?

Es ist wichtig zu verstehen, wie Ihre Daten vor anderen Schulen auf derselben Plattform geschützt werden. Das NIST Cybersecurity Framework empfiehlt mehrstufige Verteidigungsansätze. Fragen Sie nach:

Verschlüsselung: Werden die Daten Ihrer Schule mit Schlüsseln verschlüsselt, die spezifisch für Ihre Organisation sind?
Zugriffskontrollen: Was verhindert, dass Nutzer einer Schule auf Daten einer anderen Schule zugreifen?
Audit-Protokollierung: Werden alle Datenzugriffsversuche protokolliert und überwacht?
Penetrationstests: Hat eine unabhängige Sicherheitsfirma die Plattform getestet?

Suchen Sie nach Anbietern, die konkret erklären können, wie sie Ihre Daten isolieren und schützen, sei es durch Verschlüsselung, Zugriffskontrollen oder Architekturdesign.

Die neue Realität für Schulen

Der PowerSchool-Vorfall hat die regulatorische Landschaft verändert. Datenschutzbeauftragte haben klargestellt, dass Schulen Anbietern nicht einfach vertrauen können; sie müssen überprüfen. Das bedeutet, dass diese zehn Fragen nicht nur gute Praxis sind. Sie werden zu einer rechtlichen Anforderung.

Dokumentieren Sie die Antworten, die Sie erhalten. Nehmen Sie Sicherheitsanforderungen in Ihre Verträge auf. Und scheuen Sie sich nicht, von Anbietern abzusehen, die keine klaren Antworten geben können.

Bei WhimsyLabs glauben wir, dass Transparenz Vertrauen schafft. Wir beantworten gerne alle zehn dieser Fragen für jede Schule, die unsere virtuellen Naturwissenschaftslabore in Betracht zieht. Kontaktieren Sie uns und wir senden Ihnen unsere vollständige Sicherheitsdokumentation.

Referenzen

AICPA. (2024). SOC 2 - SOC for Service Organizations: Trust Services Criteria. American Institute of Certified Public Accountants. https://www.aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-2
BleepingComputer. (2025, January 22). PowerSchool hacker claims they stole data of 62 million students. BleepingComputer. https://www.bleepingcomputer.com/news/security/powerschool-hacker-claims-they-stole-data-of-62-million-students/
European Data Protection Board. (2024). Guidelines on the concepts of controller and processor. EDPB. https://www.edpb.europa.eu/
Future of Privacy Forum. (2024). Center for Artificial Intelligence. FPF. https://fpf.org/issue/ai-ml/
GDPR.eu. (2024). What is a Data Processing Agreement? GDPR.eu. https://gdpr.eu/what-is-data-processing-agreement/
Information Commissioner's Office. (2024). International transfers of personal data. ICO. https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/
Information Commissioner's Office. (2024). Personal data breaches. ICO. https://ico.org.uk/for-organisations/report-a-breach/personal-data-breach/
Information Commissioner's Office. (2024). Guide to the UK GDPR. ICO. https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/
ISO. (2022). ISO/IEC 27001:2022 Information Security Management. International Organization for Standardization. https://www.iso.org/standard/27001
Microsoft. (2019). One simple action you can take to prevent 99.9% of attacks on your accounts. Microsoft Security Blog. https://www.microsoft.com/en-us/security/blog/2019/08/20/one-simple-action-you-can-take-to-prevent-99-9-percent-of-account-attacks/
NIST. (2024). Cybersecurity Framework 2.0. National Institute of Standards and Technology. https://www.nist.gov/cyberframework
TechTarget. (2025). PowerSchool data breach: Explaining how it happened. TechTarget. https://www.techtarget.com/whatis/feature/PowerSchool-data-breach-Explaining-how-it-happened
US Department of Education. (2024). Student Privacy Policy Office. Protecting Student Privacy. https://studentprivacy.ed.gov/
Information Commissioner's Office. (2024). Children and the UK GDPR. ICO. https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/childrens-information/children-and-the-uk-gdpr/