Handbuch

Datenschutz tiefgehend

Ephraim ist für schulische KI-Nutzung gebaut: lokale Inferenz auf der Spark, verschlüsselte persönliche Daten, getrennte Projektbereiche und bewusst begrenzte Auswertungen. Dieser Artikel ergänzt die Systemarchitektur um Datenarten, Rechte, Klartextmomente und Verantwortlichkeiten.

· Stand: Juni 2026

1. Grundprinzipien

Datenschutz in Ephraim besteht nicht aus einer einzelnen Maßnahme. Das System kombiniert organisatorische Trennung, Rollen, Verschlüsselung, minimierte Protokolle, bewusst ausgelöste Exporte und eine lokale KI-Infrastruktur. Besonders wichtig ist: KI-Anfragen werden nicht an öffentliche Chatbot-Dienste oder kommerzielle Modell-APIs geschickt. Die Antworterzeugung läuft auf der schuleigenen Spark.

2. Welche Datenarten Ephraim unterscheidet

Eine saubere Datenschutzbetrachtung beginnt mit der Frage, welche Daten überhaupt existieren. Ephraim behandelt nicht alle Daten gleich, sondern unterscheidet mehrere Bereiche mit eigenen Regeln.

Datenart Beispiele Schutzidee
Konto- und Rollendaten Benutzername, Anzeigename, Rolle, Klasse, E-Mail Für Anmeldung und Berechtigung nötig; administrativ sichtbar.
Persönlicher Vault Chats, Dateien, Erinnerungen, private Kalender, Zusammenfassungen Mit nutzerbezogenem Schlüssel verschlüsselt gespeichert.
Projektbezogene Daten Projektauftrag, Materialien, Teilnahmestatus, Projektchat, Abschluss Nur für das jeweilige Projekt und dessen Berechtigungen.
Zentrales Basiswissen Freigegebene Quellen, Wetter, Wikipedia-Auszüge, zentrale Dateien Serverseitig verwaltet, nicht Teil privater Nutzer-Vaults.
RAG-, Embedding- und Suchdaten Text-Chunks, Embedding-Vektoren, Suchfrage, Kontext- und Dokument-IDs Klartext nur im aktuellen Request; dauerhaft nur verschlüsselt auf dem Webserver.
Betriebsdaten Sitzungen, Rate-Limits, Sicherheitsereignisse, Cronstatus Für Sicherheit und Betrieb, mit reduzierten oder gehashten Details.

3. Wo KI-Verarbeitung stattfindet

Der Browser spricht mit dem Ephraim-Webserver. Der Webserver prüft Anmeldung, Berechtigungen, Projektstatus und verfügbaren Kontext. Für die eigentliche Antwort sendet er die benötigten Inhalte an die Spark. Die Spark führt das Sprachmodell aus und streamt die Antwort zurück.

Datenschutzbezogener Datenfluss Browser entsperrte Ansicht Webserver Auth, Vault, Projekte Basiswissen, Export Spark lokale Inferenz kein freies Browsing Speicher verschlüsselt Dauerhafte Ablage: verschlüsselt. Kurzzeitige Verarbeitung: nur für Anfrage, Antwort, Export oder Anzeige.
Die Spark ist ein Rechendienst für freigegebenen Kontext. Sie ist kein öffentlicher Webdienst, an den Ephraim beliebige Nutzerdaten auslagert.

4. Kein freier Internetzugriff der KI

Das Sprachmodell auf der Spark ruft keine Webseiten ab, führt keine Websuche durch und telefoniert nicht mit externen KI-Anbietern. Eine Antwort entsteht aus dem Prompt, dem bisherigen erlaubten Verlauf und dem Kontext, den Ephraim ausdrücklich mitschickt.

Ephraim bindet Internetquellen nur in ausdrücklich freigegebenen Fällen ein: etwa Wetterdaten, Wikipedia-Auszüge oder von Administratoren zugelassene Quellen. Dann ruft der Webserver diese Quellen kontrolliert ab, speichert und prüft sie im Basiswissen-Kontext und übergibt nur den aufbereiteten Ausschnitt an die Spark. Die Spark selbst entscheidet nicht frei, welche Webseiten sie besucht.

Klarstellung: „Die KI weiß etwas aus einer Quelle“ bedeutet in Ephraim nicht, dass die KI im Internet gesucht hat. Es bedeutet, dass der Webserver einen freigegebenen Kontext bereitgestellt hat.

5. Der persönliche Vault

Persönliche Inhalte werden in Ephraim nicht wie einfache öffentliche Daten behandelt. Chats, private Dateien, bestätigte Erinnerungen, private Kalenderinformationen und bestimmte abgeleitete Zusammenfassungen gehören zum persönlichen Vault. Der Vault ist an das Konto und dessen Entsperrung gebunden.

Praktisch bedeutet das: Der Server kann verschlüsselte Daten speichern und wiederfinden, aber er soll private Inhalte nicht dauerhaft als Klartext in Datenbank oder Dateisystem ablegen. Wenn du angemeldet bist und der Vault verfügbar ist, können Inhalte für Anzeige, Suche, Export oder eine konkrete KI-Anfrage entschlüsselt werden. Danach werden sie wieder nur verschlüsselt gespeichert.

6. Datenschutz im normalen Chat

Ein normaler Chat gehört zu deinem Konto. Beim Senden einer Nachricht prüft Ephraim, ob der Chat zu dir gehört, ob dein Vault verfügbar ist, welche Dateien angehängt sind und ob Personalisierung oder Erinnerungen in diesem Kontext erlaubt sind. Die Spark erhält nur den zusammengestellten Request-Kontext.

Während der Antworterzeugung gibt es einen unvermeidbaren Klartextmoment: Die KI kann nur antworten, wenn sie Frage und freigegebenen Kontext lesen kann. Dieser Klartextmoment ist auf die aktuelle Anfrage im Arbeitsspeicher begrenzt. Die dauerhafte Ablage des Verlaufs erfolgt wieder verschlüsselt.

Für gespeicherte Chats kann die Schule außerdem ein Aufbewahrungslimit pro Konto setzen. Ist die maximale Zahl erreicht, verhindert Ephraim nur das Anlegen eines weiteren gespeicherten Chats. Bestehende Chats bleiben zugänglich; die Nutzerin oder der Nutzer wird in einem Modal über Speicher-, Backup- und Datenschutzgründe informiert und muss mindestens einen nicht mehr benötigten Chat bewusst löschen.

7. Datenschutz in Projekten

Projekte sind bewusst von persönlichen Chats getrennt. Ein Projektchat folgt dem Auftrag der Lehrkraft und nutzt Projektmaterialien. Persönliche Erinnerungen, private Kalender und private Dateien werden nicht automatisch in den Projektkontext gemischt. Eine private Datei wird erst dann Projektmaterial, wenn sie bewusst als projektbezogene Kopie eingebunden wird.

Wenn Projektmonitoring aktiviert ist, geht es um projektbezogene Aktivität und gegebenenfalls abgeleitete Rückmeldungen. Die Lehrkraft bekommt dadurch nicht automatisch Zugriff auf normale private Chats. Bei individuellen Lehrerfazits kann die betroffene Person dieselbe Rückmeldung ansehen und freiwillig Stellung nehmen; das ist eine Transparenzmaßnahme gegen verdeckte oder einseitige Auswertung. Projektcode-Gäste haben zusätzlich keinen vollständigen Account: Sie arbeiten nur im Projektrahmen und haben keine Konto-, 2FA-, Export- oder Personalisierungsfunktionen.

8. Dateien, Uploads und Anhänge

Dateien sind besonders sensibel, weil sie oft mehr enthalten als auf den ersten Blick sichtbar ist. Ephraim prüft deshalb Uploads auf mehrere Arten: Dateiname, Größe, erlaubte Endung, erkannter MIME-Typ, Magic Bytes, Struktur von Office-Containern und optional Virenscan. Nicht erlaubte oder widersprüchliche Dateien werden abgelehnt oder als Sicherheitsereignis protokolliert.

Nach erfolgreicher Prüfung werden persönliche Dateien verschlüsselt gespeichert. Im Chat erscheinen sie als Anhänge oder Vorschauelemente, nicht als öffentlich zugängliche Direktlinks. Projektdateien werden als projektbezogene Materialien behandelt und folgen den Projektberechtigungen.

9. Embeddings, RAG und Spark-Speichergrenze

Embeddings sind Zahlenvektoren, mit denen Ephraim passende Textabschnitte findet. Für Datei-RAG, Projektmaterial-RAG, Basiswissen-RAG und semantische Suche zerlegt Ephraim Quellen in Chunks. Für jeden Chunk wird über den lokalen SGLang-Embedding-Dienst school-ui-embedding ein Vektor berechnet. Bei einer späteren Frage wird auch die Suchfrage in einen Vektor übersetzt. Ephraim vergleicht diese Vektoren auf dem Webserver und übernimmt nur die passendsten Abschnitte in den Kontext.

Datenschutzrechtlich ist wichtig: Für die Vektorerzeugung müssen der freigegebene Klartext-Chunk und die konkrete Suchfrage kurz im aktuellen Request an die interne Spark übergeben werden. Der Embedding-Dienst erzeugt daraus keine Chatantwort, sondern nur eine Zahlenliste. Die Spark speichert dabei weder Klartext-Chunks noch Suchfragen noch Embedding-Vektoren. Sie schreibt diese Inhalte auch nicht als Embedding-Log.

Dauerhaft gespeichert wird auf dem Webserver: persönliche Datei-Chunks und ihre Embeddings mit dem User-Vault verschlüsselt, Projektmaterial-Chunks mit dem jeweiligen Projektdatei-Schlüssel, zentrale Knowledge-Chunks mit dem Knowledge-Schlüssel und private Kalender-Chunks mit einem vaultgebundenen Kalender-Quellschlüssel. Die Suche läuft in der Webanwendung: Sie prüft Schlüsselzugriff und Berechtigungen, vergleicht Vektoren und übernimmt nur zulässige Treffer in den Kontext.

10. Visualisierungen und aktiver Inhalt

Visualisierungen sind sicherheitsrelevant, weil frei erzeugter Code im Browser gefährlich wäre. Ephraim lässt die KI deshalb nicht beliebiges JavaScript ausführen. Diagramme, Zeichnungen, chemische Strukturen und Plots werden aus begrenzten JSON-Beschreibungen erzeugt und validiert.

HTML-Code aus Antworten bleibt zunächst Code. Eine Vorschau läuft isoliert: ohne Zugriff auf App-Cookies, ohne App-Speicher und ohne Netzwerkzugriff für den generierten Inhalt. Das schützt die laufende Ephraim-Sitzung vor Inhalten, die zwar von der KI formuliert, aber nicht als vertrauenswürdige Anwendung behandelt werden dürfen.

11. Suche ohne Klartextindex

Die persönliche Chatsuche verzichtet auf einen dauerhaften Klartext-Volltextindex. Wenn gesucht wird, entschlüsselt Ephraim die relevanten Inhalte für diesen Request im laufenden Prozess und liefert Treffer zurück. Dadurch ist die Suche etwas bewusster konstruiert als bei Systemen, die alle Chattexte unverschlüsselt indizieren.

Das ist ein Datenschutzkompromiss zugunsten des Schutzes ruhender Daten: Suche bleibt möglich, aber die Datenbank enthält keinen allgemeinen durchsuchbaren Klartextbestand privater Chattexte.

12. Export: bewusste Klartext-Ausleitung

Der Datenexport ist absichtlich nutzergesteuert. Ein Export mit Dateien muss private Inhalte entschlüsseln und in eine herunterladbare Form bringen. Ohne Dateien entsteht eine JSON-Datei; mit Dateien erstellt Ephraim ein temporäres ZIP außerhalb des öffentlichen Webbereichs, streamt es an dich und löscht es anschließend wieder.

Nicht exportiert werden Passwörter, 2FA-Geheimnisse, Recovery-Codes, Tokens oder Vault-Schlüssel. Ein Export ist dennoch eine Klartextkopie. Nach dem Download hängt der Schutz dieser Datei von deinem Gerät, deinem Speicherort und deiner Weitergabe ab.

13. Löschung und Grenzen der Wiederherstellung

Das Chat-Aufbewahrungslimit unterstützt Datensparsamkeit auf Kontoebene. Es löscht keine Chats automatisch, sondern stoppt neue gespeicherte Chats, sobald alle konfigurierten Plätze belegt sind. Die Löschung bleibt eine sichtbare Nutzerentscheidung im Aufräummodal.

Bei der Self-Service-Kontolöschung fragt Ephraim vorab, ob du Daten exportieren möchtest oder bewusst ohne Export fortfährst. Danach verlangt das System Passwort, Bestätigung und Schutz gegen unbeabsichtigte Formulare. Die Löschung entfernt persönliche Daten, Chats, Dateien, Erinnerungen, private Kalender und zugehörige Bezüge.

Wichtig ist der Unterschied zwischen Löschen und Entschlüsseln: Ephraim muss private Inhalte nicht entschlüsseln, um sie zu entfernen. Datenbankeinträge, Dateiblöcke und Zuordnungen können gelöscht werden, auch wenn der Klartext nicht gelesen wird. Bei Passwort-Reset über Administration kann alter Vault-Inhalt bewusst verloren gehen, weil er mit dem alten Schlüssel nicht mehr sinnvoll entschlüsselbar ist.

14. Sitzungen, 2FA und Sicherheitsereignisse

Ephraim speichert Sitzungstokens nicht im Klartext, sondern als Hash. Geräte- und Zugriffshinweise werden gekürzt oder gehasht, damit eine Sitzungsübersicht möglich ist, ohne unnötig genaue Profile aufzubauen. Nutzerinnen und Nutzer können andere Sitzungen beenden.

Zwei-Faktor-Authentifizierung schützt Konten zusätzlich. Das TOTP-Geheimnis wird verschlüsselt gespeichert; Recovery-Codes werden nur gehasht abgelegt und nach Nutzung verbraucht. Sicherheitsereignisse wie verdächtige Uploads oder wiederholte Fehlversuche dienen dem Schutz des Systems, nicht der inhaltlichen Auswertung von Chats.

15. Was Administration sieht und was nicht

Administration ist für Betrieb notwendig: Konten anlegen, Rollen setzen, Klassen pflegen, Speichergrenzen konfigurieren, Uploads absichern, Basiswissen verwalten, Systemstatus prüfen. Daraus folgt aber nicht, dass Admins private Klartextchats lesen sollen. Viele Inhalte sind verschlüsselt oder nur in eng begrenzten technischen Abläufen als Klartext verfügbar.

Administrierbar Nicht Zweck der Administration
Rollen, Klassen, Zugänge, 2FA-Pflicht, Speicherquoten Private Lernverläufe einzelner Personen ohne Anlass lesen
Uploadregeln, Dateitypen, Sicherheitsereignisse Private Dateien als allgemeine Wissensquelle durchsuchen
Zentrales Basiswissen und freigegebene Quellen Private Kalender oder Erinnerungen anderer Nutzer übernehmen
Projektstatus und freigegebene Projektfunktionen Normale private Chats über ein Projekt öffnen

16. Ehrliche Klartextmomente

Kein KI-System kann vollständig ohne Klartextverarbeitung funktionieren. Ephraim begrenzt diese Momente, verschweigt sie aber nicht:

Der Datenschutzgewinn liegt darin, dass diese Momente zweckgebunden, zeitlich begrenzt und nicht als dauerhafte Klartextbestände in Datenbank, Dateisystem oder externen Modellplattformen abgelegt werden.

Für Spark-TTS gilt zusätzlich: Der Dienst speichert im Normalbetrieb weder vorzulesenden Text noch erzeugtes Audio und schreibt keine TTS-Anfrage-, Access- oder Syntheselogs. Browser-Web-Speech wird dafür nicht genutzt; ohne Spark-TTS bleiben die Vorlesen-Buttons deaktiviert.

17. Verantwortung der Nutzerinnen und Nutzer

Technische Schutzmaßnahmen ersetzen nicht umsichtiges Verhalten. Wer vertrauliche Informationen in einen Chat schreibt, macht sie für die konkrete Antwortverarbeitung sichtbar. Wer einen Export herunterlädt, hat danach eine Klartextkopie. Wer Projektmaterial freigibt, teilt eine projektbezogene Kopie mit dem Projekt.

Darum gilt: Nur das eingeben, was für den schulischen Zweck nötig ist; persönliche Geheimnisse wie Passwörter, private Tokens oder medizinische Details nicht in Prompts schreiben; Exporte sorgfältig speichern; Projektmaterial vor der Freigabe prüfen.