DSGVO bei Lern-Apps: Was Anki, Quizlet und browserbasierte Karteikästen rechtlich unterscheidet

Die DSGVO behandelt Lern-Apps nicht einheitlich. Es kommt darauf an, wo die Daten verarbeitet werden und wer dafür verantwortlich ist. Ein rein browserbasiertes Tool wie spaced-repetition.de ist datenschutzrechtlich etwas völlig anderes als ein Cloud-Karteikasten wie Anki Web oder Quizlet. Dieser Beitrag arbeitet die Unterschiede heraus und gibt Praxis-Hinweise für Schulen und Selbstlerner.

Die zentrale Unterscheidung: Browser vs. Cloud

Der entscheidende Punkt für die DSGVO-Bewertung ist die Frage, wo die Verarbeitung personenbezogener Daten stattfindet. Bei einem browserbasierten Tool wie spaced-repetition.de laufen alle Berechnungen lokal im Browser der Nutzerin oder des Nutzers. Die eingegebene Anzahl Karten, das Startdatum und die Algorithmus-Auswahl werden nicht an einen Server des Anbieters übertragen. Es findet keine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO beim Anbieter statt.

Bei einem Cloud-Karteikasten wie Anki Web oder Quizlet ist die Situation grundsätzlich anders. Karteikarten, Review-Daten und teilweise auch Lernergebnisse werden auf den Servern des Anbieters gespeichert, oft mit zusätzlichen Metadaten wie Zeitstempel, IP-Adresse und Browser-Informationen. Hier liegt eindeutig eine Verarbeitung personenbezogener Daten vor, der Anbieter ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.

Was Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO bedeutet

Verantwortlicher ist nach der Legaldefinition die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Die Schlüsselworte sind Zwecke (warum) und Mittel (wie). Wer entscheidet, dass und in welcher Form personenbezogene Daten verarbeitet werden, ist Verantwortlicher mit allen Pflichten aus den Art. 5 ff. DSGVO.

Bei browserbasierten Tools entscheidet der Nutzer selbst über die Verarbeitung. Er gibt die Daten ein, er nutzt sie, er löscht sie. Der Anbieter stellt nur das technische Werkzeug bereit, ohne Einfluss auf die Verarbeitung zu nehmen. Diese Konstellation entspricht eher der einer Software-Lizenz als der einer Datenverarbeitung.

Bei Cloud-Diensten entscheidet hingegen der Anbieter über die Speicherung, die Sicherheits-Maßnahmen, die Backup-Strategie, die Auswahl der Server-Standorte. Er ist deshalb Verantwortlicher und muss die DSGVO-Pflichten erfüllen, insbesondere die Informationspflicht nach Art. 13, die technisch-organisatorischen Sicherheitsmaßnahmen nach Art. 32 und die Meldepflicht bei Datenpannen nach Art. 33.

<text class="label" x="360" y="30">Entscheidungsbaum: Lern-App und DSGVO</text>

<rect class="boxAcc" x="280" y="50" width="160" height="60" rx="8"/>
<text class="label" x="360" y="78">Lern-App nutzt</text>
<text class="small" x="360" y="96">Cloud-Sync?</text>

<path class="arrow" d="M 320 110 L 220 150"/>
<text class="nein" x="240" y="135">nein</text>
<path class="arrow" d="M 400 110 L 500 150"/>
<text class="ja" x="480" y="135">ja</text>

<rect class="boxGood" x="100" y="150" width="220" height="60" rx="8"/>
<text class="label" x="210" y="178">Browser-only</text>
<text class="small" x="210" y="196">keine Verantwortlichkeit Anbieter</text>

<rect class="box" x="420" y="150" width="220" height="60" rx="8"/>
<text class="label" x="530" y="178">Anbieter = Verantwortlicher</text>
<text class="small" x="530" y="196">Art. 4 Nr. 7 DSGVO</text>

<path class="arrow" d="M 530 210 L 530 240"/>

<rect class="boxAcc" x="380" y="240" width="300" height="60" rx="8"/>
<text class="label" x="530" y="268">Drittstaaten-Transfer?</text>
<text class="small" x="530" y="286">USA: Schrems II + DPF / Japan: Adäquanz</text>

<rect class="boxGood" x="40" y="240" width="280" height="60" rx="8"/>
<text class="label" x="180" y="268">Empfehlung Schule/Selbstlerner</text>
<text class="small" x="180" y="286">browserbasiert minimiert Risiko</text>

Auftragsverarbeitung nach Art. 28 DSGVO

Wenn eine Schule oder ein Unternehmen einen Cloud-Karteikasten im Bildungskontext einsetzt, ist regelmäßig ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit dem Anbieter erforderlich. Die Schule (oder das Unternehmen) bleibt Verantwortlicher gegenüber den betroffenen Personen (Schülerinnen, Schüler, Mitarbeiter), der Anbieter wird zum Auftragsverarbeiter, der die Daten ausschließlich nach Weisung der Schule verarbeiten darf.

Der Vertrag muss bestimmte Mindestinhalte enthalten, etwa Gegenstand und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen, technisch-organisatorische Sicherheitsmaßnahmen und Löschregelungen nach Auftragsende. Die meisten Cloud-Karteikasten-Anbieter stellen Standard-Auftragsverarbeitungsverträge bereit, die Schule muss sie nur unterzeichnen.

Bei Anki Web ist der Standard-AVV in den Anki-Web-Terms-of-Service eingebunden, bei Quizlet ist er als eigenes Dokument unter Quizlet for Teachers verfügbar. Schulen sollten den AVV vor der Einführung der Tools prüfen, idealerweise mit der schulischen Datenschutzbeauftragten gemeinsam.

Drittstaaten-Transfer und Schrems II

Wenn der Cloud-Karteikasten seinen Sitz außerhalb des Europäischen Wirtschaftsraums hat, kommt der Drittstaaten-Transfer nach Art. 44 ff. DSGVO ins Spiel. Bei Anki Web (Sitz in Japan) ist die Sache rechtlich einfach: Japan hat seit 2019 einen Angemessenheits-Beschluss der EU-Kommission (Durchführungsbeschluss 2019/419), der den Datentransfer ohne weitere Maßnahmen erlaubt.

Bei Quizlet (Sitz in den USA) ist die Lage komplizierter. Das Schrems-II-Urteil des EuGH vom 16. Juli 2020 (Rechtssache C-311/18) hat den damaligen EU-US-Datenschutzschild für ungültig erklärt. Seit Juli 2023 gibt es das neue EU-U.S. Data Privacy Framework, das die US-Geheimdienste-Kontrolle nachgebessert hat. Quizlet ist Data-Privacy-Framework-zertifiziert und kann sich darauf berufen.

Für Schulen ist trotzdem eine eigene Risiko-Folgenabschätzung (Transfer Impact Assessment, TIA) empfehlenswert. Die Stabilität des Data Privacy Frameworks ist nicht garantiert, ein erneutes Schrems-Verfahren ist möglich. Wer als Schule einen US-Cloud-Dienst einsetzt, sollte regelmäßig prüfen, ob die rechtliche Grundlage noch trägt.

Cookie-Einwilligung nach § 25 TTDSG

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) vom 1. Dezember 2021 regelt in § 25, wann Cookies und vergleichbare Technologien auf dem Endgerät einer Nutzerin gespeichert werden dürfen. Die Grundregel: Einwilligung ist erforderlich, es sei denn, die Speicherung ist für den vom Nutzer gewünschten Dienst unbedingt erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG).

Bei einem reinen Lern-Tool, das LocalStorage nur für die Tool-Funktion nutzt (etwa um die zuletzt eingegebenen Werte zwischen Browser-Sessions zu erhalten), ist dies in der Regel als technisch erforderlich einzustufen. Eine Cookie-Einwilligung ist nicht nötig.

Anders bei Tracking-Cookies (Google Analytics) oder Werbe-Cookies (Google AdSense). Diese gehören nicht zur Tool-Funktion, sondern dienen Drittinteressen (Reichweiten-Messung, Werbung). Hier ist eine vorherige Einwilligung nach § 25 Abs. 1 TTDSG zwingend, die typischerweise über einen Consent-Banner eingeholt wird, der erst nach aktiver Zustimmung die Technologien aktiviert.

spaced-repetition.de nutzt nur technisch erforderliches LocalStorage für die Tool-Funktion und Umami als anonymisierte Reichweiten-Messung ohne Cookies. Google AdSense wird nur nach expliziter Einwilligung aktiviert.

Löschrechte nach Art. 17 DSGVO

Wenn Sie bei Anki Web oder Quizlet einen Account angelegt haben, haben Sie ein Recht auf Löschung nach Art. 17 Abs. 1 DSGVO. Bei Beendigung des Nutzungsverhältnisses (Account-Löschung) müssen die Anbieter Ihre Lerndaten innerhalb angemessener Frist löschen, einschließlich Backups. Die genauen Löschpraktiken sind in den Datenschutz-Hinweisen der Anbieter dokumentiert.

Quizlet beschreibt das in deren Privacy Policy unter dem Punkt Data Retention. Die Standard-Löschfrist nach Account-Schließung beträgt 30 Tage, danach werden auch die Backups gelöscht. Anki Web hat eine vergleichbare Regelung, die in den Anki-Web-Terms-of-Service dokumentiert ist.

Bei browserbasierten Tools wie spaced-repetition.de gibt es nichts zu löschen, weil keine Daten beim Anbieter gespeichert werden. Sie können Ihre lokal im Browser gespeicherten Daten jederzeit selbst über die Browser-Einstellungen löschen (Site-Daten löschen, LocalStorage zurücksetzen).

Praktische Empfehlungen für Schulen

Für Schulen, die Spaced-Repetition-Tools im Unterricht einsetzen wollen, gibt es drei pragmatische Empfehlungen.

Erstens: Browserbasierte Tools bevorzugen, wo möglich. Sie minimieren das DSGVO-Risiko, weil keine Daten an externe Anbieter fließen. spaced-repetition.de, Quizlet im Live-Modus ohne Account und ähnliche Lösungen sind hier vorne.

Zweitens: Bei Cloud-Tools immer einen Auftragsverarbeitungsvertrag abschließen, vorher juristisch prüfen lassen, idealerweise mit der schulischen Datenschutzbeauftragten gemeinsam. Vorlagen gibt es bei den Kultusministerien der Länder.

Drittens: Schülerinnen und Schüler nicht zur Nutzung von Cloud-Karteikasten zwingen, sondern als Option anbieten. Wer aus religiösen, weltanschaulichen oder persönlichen Gründen keinen Account anlegen möchte, muss mit einer Alternative (analoger Karteikasten, browserbasiertes Tool) lernen können.

Praktische Empfehlungen für Selbstlerner

Für Selbstlerner ohne institutionellen Kontext ist die rechtliche Situation entspannter. Sie sind Privatpersonen, die ihre eigenen Lerndaten verwalten. Die DSGVO greift bei der reinen Selbst-Nutzung kaum.

Trotzdem zwei Hinweise. Erstens: Bei Cloud-Karteikästen wie Anki Web oder Quizlet liegen Ihre Lerndaten auf fremden Servern. Im Zweifel sollten Sie die Datenschutz-Erklärung lesen und sich überlegen, ob Sie mit den dort genannten Praktiken einverstanden sind. Insbesondere bei US-Anbietern ist der Zugriff durch US-Behörden nicht ausgeschlossen.

Zweitens: Wenn Sie sensible Inhalte lernen (etwa medizinische Diagnosen, persönliche Gesundheits-Daten, vertrauliche Geschäftsinformationen), sollten Sie browserbasierte Tools bevorzugen. spaced-repetition.de und ähnliche Lösungen halten die Daten auf Ihrem Gerät.

Was hängenbleibt

Die DSGVO unterscheidet bei Lern-Apps scharf zwischen browserbasierter Verarbeitung und Cloud-Sync. Browserbasierte Tools wie spaced-repetition.de minimieren das datenschutzrechtliche Risiko, weil keine Daten an den Anbieter fließen und keine Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO begründet wird. Cloud-Karteikasten wie Anki Web und Quizlet erfordern bei institutioneller Nutzung einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und gegebenenfalls eine Drittstaaten-Absicherung. Schulen sollten browserbasierte Lösungen bevorzugen, wo möglich, und Cloud-Tools nur mit sauberer rechtlicher Grundlage einsetzen. Selbstlerner haben mehr Freiheit, sollten aber bei sensiblen Inhalten die Datenverarbeitung im Blick behalten. Das Schrems-II-Urteil bleibt für US-Anbieter ein laufendes Thema, das EU-U.S. Data Privacy Framework ist eine wirksame, aber nicht garantiert stabile Rechtsgrundlage.