Datenschutzerklärung

Stand: Februar 2026 · SpoX+ AI — BHAK & BHAS Steyr

Verantwortliche Stelle und Kontakt:
Bundeshandelsakademie und Bundeshandelsschule Steyr
Leopold-Werndl-Straße 7
4400 Steyr, Österreich

Datenschutzverantwortlicher:
Herr Mathias Spanring
E-Mail: administration@hak-steyr.at

1. Zugangsberechtigung und erhobene Anmeldedaten

Die Anmeldung bei SpoX+ AI erfolgt ausschließlich über ein schulisches Microsoft-Konto (Azure Active Directory). Dabei wird ein Identitätstoken übertragen, das folgende Daten enthält:

Benutzername
Schulische E-Mail-Adresse
Eindeutige Nutzer-ID

Das System speichert keine Passwörter, da die Authentifizierung vollständig über Microsoft erfolgt. Zugang erhalten ausschließlich Schüler:innen und Lehrkräfte der Schule.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. e DSGVO i.V.m. § 13 SchOG (Bildungsauftrag)
Bei freiwilliger Nutzung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

2. Zugriffsbeschränkung und Berechtigungen

Zugriff erhalten nur autorisierte Personen (IT-Verantwortliche, Systemadministrator:innen, Datenschutzverantwortlicher).
Es gilt das Need-to-know-Prinzip — Zugriffe werden protokolliert.
Der Login bleibt aktiv bis zum manuellen Logout oder nach 30 Tagen Inaktivität (siehe Cookie-Richtlinie).

3. Speicherung von Chatverläufen

Eingeloggte Nutzer:innen:

Chatverläufe werden serverseitig gespeichert, solange das Microsoft-Konto aktiv ist.
Nach Löschung des Kontos werden alle Inhalte vollständig entfernt.
Zweck: Lernunterstützung, Unterrichtsvorbereitung, Rückfragen.

Nicht eingeloggte Gäste:

Speicherung erfolgt nur lokal im Browser (Local Storage).
Automatische Löschung nach 30 Tagen, keine Verknüpfung mit persönlichen Daten.

4. Verarbeitung durch Google Gemini

SpoX+ AI verwendet für KI-Funktionen den Cloud-Dienst Google Gemini. Dabei werden bestimmte Inhalte (z. B. Nutzerfragen) über eine TLS-gesicherte API an Google übermittelt.

Folgende Schutzmaßnahmen gelten:

Keine Übertragung personenbezogener Daten (z. B. Name, E-Mail).
Nutzung ausschließlich schulinterner PDF-Dokumente als Wissensbasis.
Keine Verwendung der Inhalte zu Trainingszwecken laut Google.
Verarbeitung erfolgt ausschließlich innerhalb der EU (Standardvertragsklauseln — SCCs).

Auftragsverarbeitung: Google und Microsoft handeln auf Basis von Art. 28 DSGVO-konformen Verträgen und verarbeiten Daten ausschließlich auf Weisung der Schule.

5. Datensicherheit (Art. 32 DSGVO)

Alle personenbezogenen Daten werden auf einem schulinternen Server in Österreich gespeichert.

Technische und organisatorische Schutzmaßnahmen:

HTTPS/TLS-Verschlüsselung
Firewall, Zugriffsbeschränkungen, Logging
Rollenbasierte Rechtevergabe
Regelmäßige Backups und Malware-Schutz
Schulungen für alle datenschutzrelevanten Rollen
Vertraulichkeitsverpflichtung aller Beteiligten

6. AI-spezifische Regelungen (EU AI Act)

SpoX+ AI ist ein Low-Risk-KI-System gemäß EU AI Act (in Kraft seit 2024).

Nutzer:innen werden darüber informiert, dass sie mit einer KI interagieren.
KI-generierte Inhalte sind deutlich gekennzeichnet.
Es erfolgt keine Emotionserkennung oder automatisierte Bewertung.
Es findet keine Datenverarbeitung außerhalb der EU statt (SCCs vorhanden).
Transparenzpflichten gemäß Art. 52 AI Act gelten ab August 2026.

AI Literacy: Schulungen sind seit Februar 2025 verpflichtend und werden in unserer Schule umgesetzt. Lehrkräfte und Schüler:innen erhalten regelmäßige Einführungen zu Risiken und verantwortungsvoller Nutzung.

7. Betroffenenrechte

Gemäß DSGVO stehen Ihnen folgende Rechte zu:

Auskunft (Art. 15): Welche Daten sind gespeichert?
Berichtigung (Art. 16): Korrektur falscher Daten.
Löschung (Art. 17): Daten löschen lassen.
Einschränkung (Art. 18): Verarbeitung einschränken.
Datenübertragbarkeit (Art. 20): Übertragung der Daten in maschinenlesbarer Form.
Widerspruch (Art. 21): Verarbeitung widersprechen.
Widerruf (Art. 7): Einwilligung widerrufen.

Besonderheiten für Minderjährige: Für Schüler:innen gelten besondere Schutzregeln. In bestimmten Fällen ist eine Zustimmung der Eltern gemäß Art. 8 DSGVO erforderlich.

Kontakt: administration@hak-steyr.at

8. Automatisierte Entscheidungsfindung

SpoX+ AI trifft keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO. Die KI dient ausschließlich der Lernunterstützung.

9. Änderungen dieser Datenschutzerklärung

Diese Erklärung wird regelmäßig überarbeitet, insbesondere bei Gesetzesänderungen oder technischen Erweiterungen.

BHAK & BHAS Steyr · Leopold-Werndl-Straße 7, 4400 Steyr