Welche Sicherheitsmaßnahmen verlangt FERPA von einem EdTech-Anbieter?

FERPA veröffentlicht keine feste Checkliste, aber um als School Official im Rahmen eines Vertrags mit einem Schulbezirk oder einer Universität zu handeln, wird von Ihnen erwartet, dass Sie Bildungsunterlagen mit angemessenen administrativen, physischen und technischen Schutzmaßnahmen schützen. In der Praxis bedeutet das rollenbasierte Zugriffskontrolle, damit Mitarbeitende und Schüler nur sehen, was sie sollen, Verschlüsselung während der Übertragung (TLS) und im Ruhezustand, Audit-Protokollierung darüber, wer auf welche Unterlagen zugegriffen hat, Datenminimierung, sicheres Löschen und Aufbewahrungsgrenzen, Zusagen zur Benachrichtigung bei Datenpannen und die Nutzung der Daten nur für den autorisierten Bildungszweck unter der direkten Kontrolle der Schule. Schulbezirke verlangen von Anbietern zunehmend, dies mit einem SOC 2-Bericht und einer unterzeichneten Datenschutzvereinbarung zu belegen, und mehrere Bundesstaaten verlangen zusätzlich zu FERPA spezifische Vertragsbedingungen.

FERPA und COPPA Compliance für EdTech (2026)

Q: Was hat sich bei COPPA für 2026 geändert?

Die FTC hat die ersten umfassenden Änderungen an der COPPA-Regel seit 2013 verabschiedet. Die aktualisierte Regel wurde am 23. Juni 2025 wirksam, und die vollständige Compliance ist bis zum 22. April 2026 erforderlich. Die wichtigsten Änderungen für EdTech sind: personenbezogene Daten umfassen nun ausdrücklich biometrische Kennungen wie Gesichtserkennungsdaten, Stimmprofile und Fingerabdrücke sowie staatlich ausgestellte Kennungen; Betreiber müssen eine separate, überprüfbare elterliche Einwilligung einholen, bevor sie Kinderdaten zu Zwecken wie zielgerichteter Werbung an Dritte weitergeben, sodass eine einzige pauschale Einwilligung die nachgelagerte Weitergabe nicht mehr abdeckt; und Betreiber dürfen personenbezogene Daten von Kindern nicht mehr unbegrenzt aufbewahren - sie benötigen eine schriftliche Aufbewahrungsrichtlinie und müssen Daten löschen, sobald sie für den Zweck, zu dem sie erhoben wurden, nicht mehr benötigt werden. Die School-Authorization-Ausnahme bleibt bestehen, ist aber eng gefasst: sie deckt nur den Bildungskontext ab, nicht Werbung oder Verhaltensprofiling.

Q: Kann eine Schule unter COPPA stellvertretend für Eltern einwilligen?

Ja, aber nur innerhalb strikter Grenzen. Im Rahmen des School-Authorization-Mechanismus der FTC kann eine Schule anstelle eines Elternteils einwilligen, wenn ein EdTech-Dienst ausschließlich zu einem Bildungszweck genutzt wird und die Daten nur zu diesem Zweck verwendet werden - nicht für Werbung, das Erstellen von Nutzerprofilen oder eine kommerzielle Nutzung, die nichts mit dem Dienst zu tun hat. Die Einwilligung deckt nur den schulischen Kontext ab. Wenn Sie Kinderdaten für irgendetwas über die Erbringung des Bildungsdienstes hinaus nutzen möchten, benötigen Sie eine separate überprüfbare elterliche Einwilligung. Praktisch bedeutet das, dass Ihr Produkt schulisch autorisierte Nutzung von Verbrauchernutzung unterscheiden, die Datennutzung entsprechend einschränken und den Schulen eine klare Datenverarbeitungsvereinbarung geben können muss, die genau beschreibt, was Sie erheben und warum.

Q: Gelten FERPA und COPPA, wenn meine Nutzer in der EU oder im UK sind?

FERPA und COPPA sind US-Gesetze, sie regeln also US-Schüler und US-Schulen. Wenn Sie auch Lernende in der Europäischen Union oder im Vereinigten Königreich bedienen, gilt stattdessen die GDPR (und die UK GDPR) mit eigenen Regeln zu Rechtsgrundlage, Datenminimierung, Aufbewahrung und Kinderdaten - die GDPR setzt ein Standard-Einwilligungsalter für digitale Dienste von 16 Jahren, das die Mitgliedstaaten auf 13 senken können. Ein Produkt, das auf beiden Seiten des Atlantiks verkauft wird, muss FERPA und COPPA für seine US-Nutzer und die GDPR für seine EU- und UK-Nutzer gleichzeitig erfüllen. Die gute Nachricht ist, dass das zugrunde liegende Engineering - Einwilligungsverwaltung, Datenminimierung, Verschlüsselung, Aufbewahrungsgrenzen und Audit-Protokollierung - sich weitgehend überschneidet, sodass ein Privacy-by-Design-Aufbau alle mit einer Architektur statt mit dreien erfüllen kann.

Q: Wie wirken sich KI-Tutoren und Chatbots auf die Compliance bei Kinderdaten aus?

KI-Funktionen legen die Messlatte höher, weil sie oft Freitext-Eingaben, Stimme oder Bilder von Kindern verarbeiten - genau die Arten von Daten, die die COPPA-Änderungen von 2025 unter die Lupe nehmen, einschließlich biometrischer Kennungen. Kinderdaten zu verwenden, um ein Modell zu trainieren oder zu verfeinern, oder sie an einen externen KI-Anbieter zu senden, ist eine Datennutzung und eine Offenlegung, die die Ausnahme für den Bildungskontext möglicherweise nicht abdeckt, sodass dies eine separate elterliche Einwilligung und eine Anbietervereinbarung erfordern kann, die dem Anbieter das Training mit den Daten untersagt. Für Lernende in der EU und im UK fügen der EU AI Act und die GDPR Transparenz- und Risikopflichten hinzu. Das sichere Muster ist, zu minimieren, was die KI sieht, Kinderdaten standardmäßig aus dem Modelltraining herauszuhalten, jeden Datenfluss zu dokumentieren und jede KI-Funktion vom ersten Tag an als Bestandteil Ihrer Datenschutzprüfung zu behandeln, statt sie später anzuflanschen.

Sophie Laurent Legal & Compliance Lead, YuSMP Group · Berät US- und EU-Teams zu GDPR, HIPAA, dem EU AI Act und dem Datenschutz von Schülerdaten

TL;DR — die Regeln in einer Minute

Schülerdaten gehören zu den sensibelsten personenbezogenen Daten überhaupt, und in den Vereinigten Staaten entscheiden zwei Gesetze, wie EdTech damit umgehen darf. Gründer begegnen ihnen meist auf die harte Tour — im Beschaffungsfragebogen eines Schulbezirks oder in der Sicherheitsprüfung einer Universität, Wochen vor einem Start. Hier zunächst der Überblick:

FERPA (der Family Educational Rights and Privacy Act, 1974) schützt Bildungsunterlagen, die von Schulen geführt werden, die staatliche Mittel erhalten. Als Anbieter verarbeiten Sie diese Unterlagen in der Regel als School Official unter der Kontrolle der Schule — nicht als Eigentümer der Daten.
COPPA (der Children's Online Privacy Protection Act) regelt die Online-Erhebung personenbezogener Daten von Kindern unter 13 Jahren, auch in Schulen. Es verlangt eine überprüfbare Einwilligung, bevor Sie erheben.
Die meisten K-12-Produkte unterliegen beiden zugleich. Ein Lernwerkzeug, das von Schülern unter 13 Jahren genutzt wird, löst FERPA für die Unterlagen und COPPA für die Kinderdaten aus. Hochschulbildung und Unternehmensschulung unterliegen meist nur FERPA (oder keinem von beiden).
COPPA hat sich geändert. Die geänderte Regel der FTC wurde am 23. Juni 2025 wirksam, mit vollständiger Compliance bis zum 22. April 2026 — neue Regeln zu Biometrie, Einwilligung für die Weitergabe an Dritte und Datenspeicherung.
Landesgesetze und die GDPR kommen obendrauf. Kalifornien (SOPIPA), Illinois (SOPPA) und New York (Ed Law 2-d) fügen vertragliche und Löschpflichten hinzu; Lernende in der EU und im UK bringen die GDPR mit.

FERPA: was es schützt und wen es bindet

FERPA gibt Eltern — und berechtigten Schülern (eligible students), sobald sie 18 werden oder ein College besuchen — Rechte über ihre Bildungsunterlagen: das Recht, sie einzusehen, Korrekturen zu verlangen und zu kontrollieren, wer sonst die darin enthaltenen personenbezogenen Daten sieht. Es bindet die Schule, nicht direkt den Anbieter. Doch in dem Moment, in dem eine Schule Schülerdaten an Ihre Plattform sendet, geraten Sie über genau den Mechanismus, der EdTech überhaupt möglich macht, in den Wirkungskreis von FERPA.

Die School-Official-Ausnahme

FERPA erlaubt einer Schule, Bildungsunterlagen ohne separate elterliche Einwilligung an eine Partei offenzulegen, die einen Dienst erbringt, den die Schule sonst selbst erbringen würde — einen School Official mit einem berechtigten Bildungsinteresse (legitimate educational interest). Das ist die rechtliche Grundlage, auf der Ihr SaaS Notenbücher, Anwesenheits- oder Prüfungsdaten hält. Der Haken sind die daran geknüpften Bedingungen: Sie müssen für die Nutzung und Verwaltung der Unterlagen unter der direkten Kontrolle der Schule stehen, Sie dürfen die Daten nur für den autorisierten Zweck verwenden, und Sie dürfen sie ohne Erlaubnis nicht weiter offenlegen. Im Klartext: Die Schule besitzt die Beziehung zu den Daten; Sie sind ein Verarbeiter, der auf ihre Anweisungen hin handelt.

University students working together around laptops in a library — higher-education learners whose education records are protected by FERPA

Was das für Ihr Produkt bedeutet

Weil FERPA Grundsätze statt einer Kontroll-Checkliste veröffentlicht, übersetzen Schulbezirke und Universitäten es in Vertragsbedingungen und einen Sicherheitsfragebogen. Um als School Official zu unterzeichnen, werden Sie typischerweise gebeten: Daten strikt für den vertraglich vereinbarten Bildungszweck zu halten; der Schule auf Anfrage Zugriff, Korrektur und Löschung zu gewähren; Unterlagen mit angemessenen Schutzmaßnahmen zu schützen (Zugriffskontrolle, Verschlüsselung, Protokollierung); sich zur Benachrichtigung bei Datenpannen zu verpflichten; und Daten am Ende des Vertrags zu löschen oder zurückzugeben. Nichts davon ist exotisches Engineering — es ist disziplinierte individuelle Softwareentwicklung, bei der Datenschutz als erstklassige Anforderung behandelt wird. Die Teams, die sich schwertun, sind diejenigen, die zuerst eine Verbraucher-App gebaut und sie nachträglich „FERPA-tauglich" zu machen versucht haben.

COPPA: die Frist 2026 und was sich geändert hat

COPPA gilt für Betreiber von Online-Diensten, die sich an Kinder unter 13 Jahren richten, oder die tatsächliche Kenntnis davon haben, dass sie personenbezogene Daten von Nutzern unter 13 Jahren erheben. Es ist älter als das moderne Web (1998), aber die FTC hat es gerade so umfassend aktualisiert wie seit 2013 nicht mehr — und daran hängt ein fester Termin.

Was die Änderungen von 2025 geändert haben

Biometrie und Kennungen sind nun personenbezogene Daten. Die Definition von personenbezogenen Daten umfasst ausdrücklich biometrische Kennungen — Gesichtserkennungsdaten, Stimmprofile, Fingerabdrücke, Netzhautmuster — und staatlich ausgestellte Kennungen. Proctoring, Sprachwerkzeuge und Foto-Funktionen fallen direkt in den Anwendungsbereich.
Separate Einwilligung für die Weitergabe an Dritte. Eine einzige pauschale Einwilligung deckt nicht mehr alles ab. Sie benötigen nun eine separate, überprüfbare elterliche Einwilligung, bevor Sie Kinderdaten zu Zwecken wie zielgerichteter Werbung an Dritte weitergeben. Die Einwilligung zum Betrieb des Dienstes ist keine Einwilligung zur nachgelagerten Weitergabe.
Keine unbegrenzte Aufbewahrung. Betreiber dürfen personenbezogene Daten von Kindern nur so lange aufbewahren, wie es für den Zweck, zu dem sie erhoben wurden, vernünftigerweise erforderlich ist, und müssen eine schriftliche Aufbewahrungsrichtlinie verabschieden. Eine unbegrenzte „könnten wir mal brauchen"-Speicherung ist nun ein Verstoß.
Die School-Ausnahme blieb und blieb eng. Eine Schule kann die Erhebung weiterhin anstelle eines Elternteils autorisieren — aber nur für den Bildungskontext, niemals für Werbung oder Profiling.

Der School-Consent-Mechanismus

In einem Klassenzimmer ist es unpraktisch, für jede App eine individuelle elterliche Einwilligung einzuholen, daher erlaubt die FTC einer Schule, stellvertretend für die Eltern einzuwilligen — vorausgesetzt, der Dienst wird ausschließlich zu einem Bildungszweck genutzt und die Daten werden nur zu diesem Zweck verwendet. Das ist ein Privileg mit scharfen Kanten: Wenn Sie die Daten auch nutzen, um nicht damit zusammenhängende Produkte zu verbessern, Werbeprofile aufzubauen oder Modelle zu anderen Zwecken zu trainieren, reicht die Einwilligung der Schule nicht aus, um das abzudecken, und Sie benötigen für diese Nutzungen eine elterliche Einwilligung. Ihr Produkt muss schulisch autorisierte Nutzung von allem anderen unterscheiden und die Daten entsprechend sperren können.

Wo FERPA, COPPA und Landesrecht sich überschneiden

Bei einem K-12-Produkt gelten die beiden Bundesgesetze gemeinsam: FERPA regelt die Bildungsunterlagen, die die Schule Ihnen anvertraut, während COPPA den Akt der Erhebung personenbezogener Daten von dem Kind unter 13 Jahren regelt. Sie stehen nicht im Widerspruch — sie decken unterschiedliche Blickwinkel auf dieselben Daten ab — aber Sie müssen beide erfüllen. Und dann legen die Bundesstaaten nach, oft mit strengeren und spezifischeren Regeln:

Kalifornien — SOPIPA: verbietet die Nutzung von K-12-Schülerdaten für zielgerichtete Werbung oder zum Aufbau nicht-bildungsbezogener Profile und verlangt angemessene Sicherheit und Löschung.
Illinois — SOPPA: erlegt detaillierte Vertragsanforderungen zwischen Schulen und Anbietern auf, Fristen zur Benachrichtigung bei Datenpannen und öffentliche Transparenz über die erhobenen Daten.
New York — Education Law 2-d: verlangt spezifische Datensicherheits- und Datenschutzbedingungen, eine Parents' Bill of Rights und Zusagen der Anbieter zu Verschlüsselung und Löschung.

Weil diese Gesetze Anbieter unabhängig vom Standort Ihres Hauptsitzes binden, baut ein landesweites EdTech-Produkt faktisch nach dem strengsten gemeinsamen Nenner. Wenn Ihre Lernenden den Atlantik überqueren, gelten die GDPR und UK GDPR auch für diese Nutzer — unser Leitfaden zur GDPR für US-Gründer, die in die EU verkaufen behandelt, was das hinzufügt, und vieles davon (Rechtsgrundlage, Minimierung, Aufbewahrung, Betroffenenrechte) deckt sich mit dem, was FERPA und COPPA bereits verlangen.

Die Engineering-Checkliste: Privacy by Design

Das Beruhigende ist, dass all diese Regime auf demselben Aufbau zusammenlaufen. Behandeln Sie das Folgende als Basisarchitektur für jedes Produkt, das Schülerdaten berührt — entwerfen Sie es vom ersten Sprint an mit, denn jeder Punkt ist weitaus günstiger zu bauen als vor einer Sicherheitsprüfung nachzurüsten.

Datenminimierung. Erheben Sie nur die Felder, die der Bildungszweck benötigt. Die Daten, die Sie nie erheben, sind die Daten, die Sie nie schützen, für die Sie nie einwilligen lassen oder die Sie nie löschen müssen.
Rollenbasierte Zugriffskontrolle (RBAC). Lehrkräfte, Schüler, Eltern, Administratoren und Ihre eigenen Mitarbeitenden sehen jeweils nur, was ihre Rolle rechtfertigt. Jeder Datensatzzugriff ist autorisiert und zuordenbar.
Verschlüsselung überall. TLS während der Übertragung und starke Verschlüsselung im Ruhezustand für Bildungsunterlagen und Kinderdaten, mit sinnvollem Schlüsselmanagement.
Audit-Protokollierung. Eine unveränderliche Spur darüber, wer auf welche Unterlagen zugegriffen oder sie geändert hat, lange genug aufbewahrt, um Verträge mit Schulbezirken zu erfüllen und einen Vorfall zu untersuchen.
Aufbewahrung und Löschung. Eine schriftliche Aufbewahrungsrichtlinie mit automatisierter Löschung, sobald Daten nicht mehr benötigt werden oder ein Vertrag endet — nun eine ausdrückliche COPPA-Anforderung, nicht nur gute Hygiene.
Einwilligungs- und Zweckverfolgung. Erfassen Sie die Grundlage, auf der Sie die Daten jedes Kindes halten (Schulautorisierung vs. elterliche Einwilligung) und setzen Sie durch, dass die Daten nur für diesen Zweck genutzt werden.
Mandantentrennung. Die Daten eines Schulbezirks dürfen niemals in die eines anderen gelangen. Für die meisten EdTech ist dies eine früh getroffene Entscheidung der mandantenfähigen SaaS-Architektur, kein Patch.
Nachweise auf Abruf. Ein SOC 2-Bericht, eine Datenverarbeitungsvereinbarung und eine klare Datenlandkarte verwandeln eine monatelange Sicherheitsprüfung in ein Häkchen — siehe unseren SOC 2 Type II-Leitfaden für Startups, wie Sie dorthin gelangen.

A padlock resting on a laptop keyboard — the encryption, access control and audit logging that protect student records under FERPA, COPPA and state law

KI-Funktionen, Biometrie und die neuen Regeln

KI ist der Punkt, an dem EdTech-Compliance 2026 am schärfsten wird, denn die spannendsten Funktionen berühren genau die Daten, um die sich die neuen Regeln sorgen. Ein KI-Tutor liest die Freitext-Antworten eines Kindes; ein Proctoring-Werkzeug verarbeitet ein Gesicht oder eine Stimme; eine adaptive Engine erstellt ein Profil des Lernverhaltens. Drei Grundsätze halten diese Funktionen auf der richtigen Seite der Linie:

Biometrie ist jetzt personenbezogene Daten. Gesichtserkennung, Stimmprofile und Fingerabdrücke fallen unter die COPPA-Definition von 2025, sodass jede Funktion, die sie für Schüler unter 13 Jahren nutzt, eine Rechtsgrundlage und häufig eine separate Einwilligung benötigt — nicht eine versteckte Klausel in Ihren Bedingungen.
Daten an ein Modell zu senden ist eine Offenlegung. Kinderdaten an einen externen KI-Anbieter weiterzugeben oder sie zum Trainieren oder Verfeinern eines Modells zu nutzen, ist eine Datennutzung, die die Ausnahme für den Bildungskontext möglicherweise nicht abdeckt. Halten Sie Kinderdaten standardmäßig aus dem Training heraus und schließen Sie einen Vertrag, der dem Anbieter das Training damit untersagt.
Dokumentieren Sie jeden Fluss. Wenn Sie nicht aufzeichnen können, wohin die Daten eines Kindes gehen, wenn es Ihrem KI-Tutor eine Frage stellt, können Sie keine Compliance nachweisen. Behandeln Sie jede KI-Funktion vom ersten Tag an als Bestandteil der Datenschutzprüfung.

Für Lernende in der EU und im UK legen der EU AI Act Transparenz- und Risikopflichten obendrauf — unsere EU AI Act-Checkliste für SaaS geht sie durch. Modelle verantwortungsvoll in ein bestehendes Produkt einzubinden, ist eine eigene Disziplin; wir behandeln das Engineering in unserer Arbeit zur Integration generativer KI, wo Data Governance Teil der Integration ist, nicht ein separates Projekt.

Ein konformes EdTech-Produkt entwickeln

Ob Sie intern oder mit einem Partner bauen, dieselben Fragen trennen ein Produkt, das mühelos durch die Beschaffung kommt, von einem, das ins Stocken gerät. Nutzen Sie dies als Checkliste für Ihr Team oder Ihren Anbieter.

1. Datenschutz von Anfang an eingebaut, nicht angeflanscht

Minimierung, RBAC, Verschlüsselung, Protokollierung und Aufbewahrung sollten im ersten Architekturdiagramm auftauchen. Ein Team, das sie von Anfang an als Start-Blocker behandelt, liefert schneller als eines, das vor einer Prüfung „Compliance hinzufügt".

2. Sicherheit in den tatsächlichen Regeln

Suchen Sie Menschen, die die School-Official-Ausnahme, den COPPA-School-Consent-Mechanismus und die Änderungen 2026 erklären können, ohne zu einer generischen Datenschutzrichtlinien-Vorlage zu greifen. Die Details entscheiden über die Architektur.

3. Nachweise, keine Zusicherungen

Ein SOC 2-Bericht, eine unterzeichnete Datenverarbeitungsvereinbarung und eine Datenlandkarte sind das, dem Schulbezirke vertrauen. Ein Partner, der sie auf Anfrage vorlegt — statt zu versprechen, „sich darum zu kümmern" — spart Ihnen einen Verkaufszyklus.

4. Mandantenfähigkeit und Löschung richtig gemacht

Mandantentrennung und zuverlässige, automatisierte Löschung sind die beiden Stellen, an denen EdTech am häufigsten eine Prüfung nicht besteht. Sie sind architektonisch, müssen also früh stimmen, sonst sind sie teuer zu beheben.

5. Ein Team, das über den gesamten Lebenszyklus bleibt

Regeln ändern sich — das COPPA-Update ist der Beweis. Ein Team, das das Produkt über die Zeit verantwortet, hält es konform, während sich Vorschriften und Ihr Funktionsumfang weiterentwickeln, statt eine Momentaufnahme zu übergeben, die veraltet.

FAQ

Gelten FERPA oder COPPA für mein EdTech-Produkt?

Das hängt davon ab, wer es nutzt und wie alt die Nutzer sind. FERPA gilt, wenn Sie Bildungsunterlagen für eine US-Schule, einen Schulbezirk oder eine Universität verarbeiten, die staatliche Mittel erhält — in der Regel als School Official unter der Kontrolle der Schule. COPPA gilt, wenn Sie online personenbezogene Daten von Kindern unter 13 Jahren erheben, auch in Schulen. Viele K-12-Produkte unterliegen beiden zugleich. Produkte für Nutzer ab 13 Jahren im Kontext der Hochschulbildung oder Unternehmensschulung unterliegen meist nur FERPA oder keinem von beiden, obwohl Landesgesetze und die GDPR weiterhin gelten können.

Was hat sich bei COPPA für 2026 geändert?

Die FTC hat die ersten umfassenden COPPA-Änderungen seit 2013 verabschiedet. Die Regel wurde am 23. Juni 2025 wirksam, mit vollständiger Compliance bis zum 22. April 2026. Wichtigste Änderungen: biometrische und staatlich ausgestellte Kennungen sind nun personenbezogene Daten; Sie benötigen eine separate überprüfbare Einwilligung, bevor Sie Kinderdaten zu Zwecken wie zielgerichteter Werbung an Dritte weitergeben; und Sie dürfen Kinderdaten nicht mehr unbegrenzt aufbewahren — eine schriftliche Aufbewahrungsrichtlinie und fristgerechte Löschung sind erforderlich. Die School-Authorization-Ausnahme bleibt bestehen, deckt aber nur den Bildungskontext ab.

Kann eine Schule unter COPPA stellvertretend für Eltern einwilligen?

Ja, innerhalb von Grenzen. Eine Schule kann anstelle eines Elternteils einwilligen, wenn der Dienst ausschließlich zu einem Bildungszweck genutzt wird und die Daten nur zu diesem Zweck verwendet werden — nicht für Werbung, Profiling oder eine nicht damit zusammenhängende kommerzielle Nutzung. Alles über die Erbringung des Bildungsdienstes hinaus benötigt eine separate überprüfbare elterliche Einwilligung. Ihr Produkt muss schulisch autorisierte Nutzung von anderen Nutzungen unterscheiden und die Daten entsprechend einschränken.

Welche Sicherheitsmaßnahmen verlangt FERPA von einem Anbieter?

FERPA setzt Grundsätze statt einer festen Checkliste, aber um als School Official zu handeln, wird von Ihnen erwartet, dass Sie Bildungsunterlagen mit angemessenen Schutzmaßnahmen schützen: rollenbasierte Zugriffskontrolle, Verschlüsselung während der Übertragung und im Ruhezustand, Audit-Protokollierung, Datenminimierung, sicheres Löschen und Aufbewahrungsgrenzen, Zusagen zur Benachrichtigung bei Datenpannen und die Nutzung der Daten nur für den autorisierten Zweck. Schulbezirke wollen dies zunehmend mit einem SOC 2-Bericht und einer unterzeichneten Datenschutzvereinbarung belegt sehen, und mehrere Bundesstaaten verlangen zusätzliche Vertragsbedingungen.

Gelten FERPA und COPPA, wenn meine Nutzer in der EU oder im UK sind?

FERPA und COPPA sind US-Gesetze, die US-Schüler und US-Schulen erfassen. Für Lernende in der EU oder im UK gelten stattdessen die GDPR und UK GDPR, mit eigenen Regeln zu Rechtsgrundlage, Minimierung, Aufbewahrung und Kinderdaten. Ein Produkt, das auf beiden Seiten des Atlantiks verkauft wird, erfüllt FERPA und COPPA für US-Nutzer und die GDPR für EU- und UK-Nutzer gleichzeitig — aber das zugrunde liegende Engineering überschneidet sich weitgehend, sodass eine Privacy-by-Design-Architektur allen dienen kann.

Wie wirken sich KI-Tutoren und Chatbots auf die Compliance bei Kinderdaten aus?

KI-Funktionen verarbeiten oft Text, Stimme oder Bilder von Kindern — einschließlich der biometrischen Kennungen, die die COPPA-Änderungen von 2025 unter die Lupe nehmen. Kinderdaten zu verwenden, um ein Modell zu trainieren, oder sie an einen externen KI-Anbieter zu senden, ist eine Nutzung und Offenlegung, die die Ausnahme für den Bildungskontext möglicherweise nicht abdeckt, sodass dies eine separate Einwilligung und eine Anbietervereinbarung erfordern kann, die das Training mit den Daten untersagt. Für Lernende in der EU und im UK fügen der EU AI Act und die GDPR Pflichten hinzu. Minimieren Sie, was die KI sieht, halten Sie Kinderdaten standardmäßig aus dem Training heraus und behandeln Sie jede KI-Funktion von Anfang an als Bestandteil Ihrer Datenschutzprüfung.

Zuletzt aktualisiert am 29. Juni 2026. Dieser Artikel enthält allgemeine Informationen über FERPA, COPPA und verwandte Datenschutzgesetze für Schülerdaten für EdTech-Teams in den USA und der EU; er stellt keine Rechtsberatung dar. Regulatorische Anforderungen ändern sich und hängen von Ihrem konkreten Produkt, Ihren Nutzern und Rechtsräumen ab — bestätigen Sie Ihre Pflichten vor dem Start mit qualifizierten Rechtsberatern.

Get a proposal

Teilen Sie uns einige Details mit, und ein Senior-Berater antwortet innerhalb eines Werktags.

Lieber direkt sprechen? ☎ Anrufen +374 44 871 811 ✉ sales@yusmpgroup.com