Datenschutz tiefgehend
Ephraim ist für schulische KI-Nutzung gebaut: lokale Inferenz auf der Spark, verschlüsselte persönliche Daten, getrennte Projektbereiche und bewusst begrenzte Auswertungen. Dieser Artikel ergänzt die Systemarchitektur um Datenarten, Rechte, Klartextmomente und Verantwortlichkeiten.
1. Grundprinzipien
Datenschutz in Ephraim besteht nicht aus einer einzelnen Maßnahme. Das System kombiniert organisatorische Trennung, Rollen, Verschlüsselung, minimierte Protokolle, bewusst ausgelöste Exporte und eine lokale KI-Infrastruktur. Besonders wichtig ist: KI-Anfragen werden nicht an öffentliche Chatbot-Dienste oder kommerzielle Modell-APIs geschickt. Die Antworterzeugung läuft auf der schuleigenen Spark.
- Datenminimierung: Ephraim verarbeitet nur die Daten, die für Konto, Chat, Projekt oder Betrieb nötig sind.
- Zweckbindung: Persönliche Chats, Projektchats, zentrale Wissensquellen und Adminfunktionen sind getrennte Kontexte.
- Verschlüsselung: Private Inhalte werden verschlüsselt gespeichert; viele Inhalte sind an den persönlichen Vault gebunden.
- Transparenz: Projektmonitoring, Fazitfunktionen, Datenexport und Kontolöschung sind sichtbare Vorgänge.
- Lokale Inferenz: Die Spark berechnet Antworten aus freigegebenem Kontext und nutzt keinen freien Internetzugriff.
2. Welche Datenarten Ephraim unterscheidet
Eine saubere Datenschutzbetrachtung beginnt mit der Frage, welche Daten überhaupt existieren. Ephraim behandelt nicht alle Daten gleich, sondern unterscheidet mehrere Bereiche mit eigenen Regeln.
| Datenart | Beispiele | Schutzidee |
|---|---|---|
| Konto- und Rollendaten | Benutzername, Anzeigename, Rolle, Klasse, E-Mail | Für Anmeldung und Berechtigung nötig; administrativ sichtbar. |
| Persönlicher Vault | Chats, Dateien, Erinnerungen, private Kalender, Zusammenfassungen | Mit nutzerbezogenem Schlüssel verschlüsselt gespeichert. |
| Projektbezogene Daten | Projektauftrag, Materialien, Teilnahmestatus, Projektchat, Abschluss | Nur für das jeweilige Projekt und dessen Berechtigungen. |
| Zentrales Basiswissen | Freigegebene Quellen, Wetter, Wikipedia-Auszüge, zentrale Dateien | Serverseitig verwaltet, nicht Teil privater Nutzer-Vaults. |
| RAG-, Embedding- und Suchdaten | Text-Chunks, Embedding-Vektoren, Suchfrage, Kontext- und Dokument-IDs | Klartext nur im aktuellen Request; dauerhaft nur verschlüsselt auf dem Webserver. |
| Betriebsdaten | Sitzungen, Rate-Limits, Sicherheitsereignisse, Cronstatus | Für Sicherheit und Betrieb, mit reduzierten oder gehashten Details. |
3. Wo KI-Verarbeitung stattfindet
Der Browser spricht mit dem Ephraim-Webserver. Der Webserver prüft Anmeldung, Berechtigungen, Projektstatus und verfügbaren Kontext. Für die eigentliche Antwort sendet er die benötigten Inhalte an die Spark. Die Spark führt das Sprachmodell aus und streamt die Antwort zurück.
4. Kein freier Internetzugriff der KI
Das Sprachmodell auf der Spark ruft keine Webseiten ab, führt keine Websuche durch und telefoniert nicht mit externen KI-Anbietern. Eine Antwort entsteht aus dem Prompt, dem bisherigen erlaubten Verlauf und dem Kontext, den Ephraim ausdrücklich mitschickt.
Ephraim bindet Internetquellen nur in ausdrücklich freigegebenen Fällen ein: etwa Wetterdaten, Wikipedia-Auszüge oder von Administratoren zugelassene Quellen. Dann ruft der Webserver diese Quellen kontrolliert ab, speichert und prüft sie im Basiswissen-Kontext und übergibt nur den aufbereiteten Ausschnitt an die Spark. Die Spark selbst entscheidet nicht frei, welche Webseiten sie besucht.
5. Der persönliche Vault
Persönliche Inhalte werden in Ephraim nicht wie einfache öffentliche Daten behandelt. Chats, private Dateien, bestätigte Erinnerungen, private Kalenderinformationen und bestimmte abgeleitete Zusammenfassungen gehören zum persönlichen Vault. Der Vault ist an das Konto und dessen Entsperrung gebunden.
Praktisch bedeutet das: Der Server kann verschlüsselte Daten speichern und wiederfinden, aber er soll private Inhalte nicht dauerhaft als Klartext in Datenbank oder Dateisystem ablegen. Wenn du angemeldet bist und der Vault verfügbar ist, können Inhalte für Anzeige, Suche, Export oder eine konkrete KI-Anfrage entschlüsselt werden. Danach werden sie wieder nur verschlüsselt gespeichert.
- Private Chatinhalte liegen nicht als allgemeiner Klartextindex in der Datenbank.
- Private Dateien werden verschlüsselt außerhalb des öffentlich erreichbaren Webbereichs gespeichert.
- Persönliche Erinnerungen werden nur für normale persönliche Chats genutzt.
- Private Kalenderabos speichern Links, Rohdaten und Termintexte mit einem eigenen Kalender-Quellschlüssel; dieser Schlüssel ist mit deinem User-Vault verpackt.
- Untis oder WebUntis werden nur über ICS-Links eingebunden; Zugangsdaten werden nicht gespeichert.
6. Datenschutz im normalen Chat
Ein normaler Chat gehört zu deinem Konto. Beim Senden einer Nachricht prüft Ephraim, ob der Chat zu dir gehört, ob dein Vault verfügbar ist, welche Dateien angehängt sind und ob Personalisierung oder Erinnerungen in diesem Kontext erlaubt sind. Die Spark erhält nur den zusammengestellten Request-Kontext.
Während der Antworterzeugung gibt es einen unvermeidbaren Klartextmoment: Die KI kann nur antworten, wenn sie Frage und freigegebenen Kontext lesen kann. Dieser Klartextmoment ist auf die aktuelle Anfrage im Arbeitsspeicher begrenzt. Die dauerhafte Ablage des Verlaufs erfolgt wieder verschlüsselt.
Für gespeicherte Chats kann die Schule außerdem ein Aufbewahrungslimit pro Konto setzen. Ist die maximale Zahl erreicht, verhindert Ephraim nur das Anlegen eines weiteren gespeicherten Chats. Bestehende Chats bleiben zugänglich; die Nutzerin oder der Nutzer wird in einem Modal über Speicher-, Backup- und Datenschutzgründe informiert und muss mindestens einen nicht mehr benötigten Chat bewusst löschen.
7. Datenschutz in Projekten
Projekte sind bewusst von persönlichen Chats getrennt. Ein Projektchat folgt dem Auftrag der Lehrkraft und nutzt Projektmaterialien. Persönliche Erinnerungen, private Kalender und private Dateien werden nicht automatisch in den Projektkontext gemischt. Eine private Datei wird erst dann Projektmaterial, wenn sie bewusst als projektbezogene Kopie eingebunden wird.
Wenn Projektmonitoring aktiviert ist, geht es um projektbezogene Aktivität und gegebenenfalls abgeleitete Rückmeldungen. Die Lehrkraft bekommt dadurch nicht automatisch Zugriff auf normale private Chats. Bei individuellen Lehrerfazits kann die betroffene Person dieselbe Rückmeldung ansehen und freiwillig Stellung nehmen; das ist eine Transparenzmaßnahme gegen verdeckte oder einseitige Auswertung. Projektcode-Gäste haben zusätzlich keinen vollständigen Account: Sie arbeiten nur im Projektrahmen und haben keine Konto-, 2FA-, Export- oder Personalisierungsfunktionen.
8. Dateien, Uploads und Anhänge
Dateien sind besonders sensibel, weil sie oft mehr enthalten als auf den ersten Blick sichtbar ist. Ephraim prüft deshalb Uploads auf mehrere Arten: Dateiname, Größe, erlaubte Endung, erkannter MIME-Typ, Magic Bytes, Struktur von Office-Containern und optional Virenscan. Nicht erlaubte oder widersprüchliche Dateien werden abgelehnt oder als Sicherheitsereignis protokolliert.
Nach erfolgreicher Prüfung werden persönliche Dateien verschlüsselt gespeichert. Im Chat erscheinen sie als Anhänge oder Vorschauelemente, nicht als öffentlich zugängliche Direktlinks. Projektdateien werden als projektbezogene Materialien behandelt und folgen den Projektberechtigungen.
9. Embeddings, RAG und Spark-Speichergrenze
Embeddings sind Zahlenvektoren, mit denen Ephraim passende Textabschnitte findet. Für
Datei-RAG, Projektmaterial-RAG, Basiswissen-RAG und semantische Suche zerlegt Ephraim
Quellen in Chunks. Für jeden Chunk wird über den lokalen SGLang-Embedding-Dienst
school-ui-embedding ein Vektor berechnet. Bei einer späteren Frage wird
auch die Suchfrage in einen Vektor übersetzt. Ephraim vergleicht diese Vektoren auf
dem Webserver und übernimmt nur die passendsten Abschnitte in den Kontext.
Datenschutzrechtlich ist wichtig: Für die Vektorerzeugung müssen der freigegebene Klartext-Chunk und die konkrete Suchfrage kurz im aktuellen Request an die interne Spark übergeben werden. Der Embedding-Dienst erzeugt daraus keine Chatantwort, sondern nur eine Zahlenliste. Die Spark speichert dabei weder Klartext-Chunks noch Suchfragen noch Embedding-Vektoren. Sie schreibt diese Inhalte auch nicht als Embedding-Log.
Dauerhaft gespeichert wird auf dem Webserver: persönliche Datei-Chunks und ihre Embeddings mit dem User-Vault verschlüsselt, Projektmaterial-Chunks mit dem jeweiligen Projektdatei-Schlüssel, zentrale Knowledge-Chunks mit dem Knowledge-Schlüssel und private Kalender-Chunks mit einem vaultgebundenen Kalender-Quellschlüssel. Die Suche läuft in der Webanwendung: Sie prüft Schlüsselzugriff und Berechtigungen, vergleicht Vektoren und übernimmt nur zulässige Treffer in den Kontext.
10. Visualisierungen und aktiver Inhalt
Visualisierungen sind sicherheitsrelevant, weil frei erzeugter Code im Browser gefährlich wäre. Ephraim lässt die KI deshalb nicht beliebiges JavaScript ausführen. Diagramme, Zeichnungen, chemische Strukturen und Plots werden aus begrenzten JSON-Beschreibungen erzeugt und validiert.
HTML-Code aus Antworten bleibt zunächst Code. Eine Vorschau läuft isoliert: ohne Zugriff auf App-Cookies, ohne App-Speicher und ohne Netzwerkzugriff für den generierten Inhalt. Das schützt die laufende Ephraim-Sitzung vor Inhalten, die zwar von der KI formuliert, aber nicht als vertrauenswürdige Anwendung behandelt werden dürfen.
11. Suche ohne Klartextindex
Die persönliche Chatsuche verzichtet auf einen dauerhaften Klartext-Volltextindex. Wenn gesucht wird, entschlüsselt Ephraim die relevanten Inhalte für diesen Request im laufenden Prozess und liefert Treffer zurück. Dadurch ist die Suche etwas bewusster konstruiert als bei Systemen, die alle Chattexte unverschlüsselt indizieren.
Das ist ein Datenschutzkompromiss zugunsten des Schutzes ruhender Daten: Suche bleibt möglich, aber die Datenbank enthält keinen allgemeinen durchsuchbaren Klartextbestand privater Chattexte.
12. Export: bewusste Klartext-Ausleitung
Der Datenexport ist absichtlich nutzergesteuert. Ein Export mit Dateien muss private Inhalte entschlüsseln und in eine herunterladbare Form bringen. Ohne Dateien entsteht eine JSON-Datei; mit Dateien erstellt Ephraim ein temporäres ZIP außerhalb des öffentlichen Webbereichs, streamt es an dich und löscht es anschließend wieder.
Nicht exportiert werden Passwörter, 2FA-Geheimnisse, Recovery-Codes, Tokens oder Vault-Schlüssel. Ein Export ist dennoch eine Klartextkopie. Nach dem Download hängt der Schutz dieser Datei von deinem Gerät, deinem Speicherort und deiner Weitergabe ab.
13. Löschung und Grenzen der Wiederherstellung
Das Chat-Aufbewahrungslimit unterstützt Datensparsamkeit auf Kontoebene. Es löscht keine Chats automatisch, sondern stoppt neue gespeicherte Chats, sobald alle konfigurierten Plätze belegt sind. Die Löschung bleibt eine sichtbare Nutzerentscheidung im Aufräummodal.
Bei der Self-Service-Kontolöschung fragt Ephraim vorab, ob du Daten exportieren möchtest oder bewusst ohne Export fortfährst. Danach verlangt das System Passwort, Bestätigung und Schutz gegen unbeabsichtigte Formulare. Die Löschung entfernt persönliche Daten, Chats, Dateien, Erinnerungen, private Kalender und zugehörige Bezüge.
Wichtig ist der Unterschied zwischen Löschen und Entschlüsseln: Ephraim muss private Inhalte nicht entschlüsseln, um sie zu entfernen. Datenbankeinträge, Dateiblöcke und Zuordnungen können gelöscht werden, auch wenn der Klartext nicht gelesen wird. Bei Passwort-Reset über Administration kann alter Vault-Inhalt bewusst verloren gehen, weil er mit dem alten Schlüssel nicht mehr sinnvoll entschlüsselbar ist.
14. Sitzungen, 2FA und Sicherheitsereignisse
Ephraim speichert Sitzungstokens nicht im Klartext, sondern als Hash. Geräte- und Zugriffshinweise werden gekürzt oder gehasht, damit eine Sitzungsübersicht möglich ist, ohne unnötig genaue Profile aufzubauen. Nutzerinnen und Nutzer können andere Sitzungen beenden.
Zwei-Faktor-Authentifizierung schützt Konten zusätzlich. Das TOTP-Geheimnis wird verschlüsselt gespeichert; Recovery-Codes werden nur gehasht abgelegt und nach Nutzung verbraucht. Sicherheitsereignisse wie verdächtige Uploads oder wiederholte Fehlversuche dienen dem Schutz des Systems, nicht der inhaltlichen Auswertung von Chats.
15. Was Administration sieht und was nicht
Administration ist für Betrieb notwendig: Konten anlegen, Rollen setzen, Klassen pflegen, Speichergrenzen konfigurieren, Uploads absichern, Basiswissen verwalten, Systemstatus prüfen. Daraus folgt aber nicht, dass Admins private Klartextchats lesen sollen. Viele Inhalte sind verschlüsselt oder nur in eng begrenzten technischen Abläufen als Klartext verfügbar.
| Administrierbar | Nicht Zweck der Administration |
|---|---|
| Rollen, Klassen, Zugänge, 2FA-Pflicht, Speicherquoten | Private Lernverläufe einzelner Personen ohne Anlass lesen |
| Uploadregeln, Dateitypen, Sicherheitsereignisse | Private Dateien als allgemeine Wissensquelle durchsuchen |
| Zentrales Basiswissen und freigegebene Quellen | Private Kalender oder Erinnerungen anderer Nutzer übernehmen |
| Projektstatus und freigegebene Projektfunktionen | Normale private Chats über ein Projekt öffnen |
16. Ehrliche Klartextmomente
Kein KI-System kann vollständig ohne Klartextverarbeitung funktionieren. Ephraim begrenzt diese Momente, verschweigt sie aber nicht:
- Im Browser siehst du deine Inhalte im Klartext, sobald du sie öffnest.
- Während einer KI-Anfrage liegen Prompt und freigegebener Kontext im Arbeitsspeicher des Webservers und der Spark vor.
- Während einer Embedding-Anfrage liegen freigegebene Text-Chunks und die konkrete Suchfrage kurz im Arbeitsspeicher des Webservers und des lokalen Embedding-Dienstes vor.
- Beim Export entstehen bewusst herunterladbare Klartextdateien oder ein temporäres ZIP.
- Beim Dateidownload und bei Vorschauen wird der Inhalt für die berechtigte Person entschlüsselt ausgeliefert.
- Bei TTS wird nur der bewusst ausgewählte Chattext für die konkrete Spracherzeugung an den internen Dienst übergeben.
Der Datenschutzgewinn liegt darin, dass diese Momente zweckgebunden, zeitlich begrenzt und nicht als dauerhafte Klartextbestände in Datenbank, Dateisystem oder externen Modellplattformen abgelegt werden.
Für Spark-TTS gilt zusätzlich: Der Dienst speichert im Normalbetrieb weder vorzulesenden Text noch erzeugtes Audio und schreibt keine TTS-Anfrage-, Access- oder Syntheselogs. Browser-Web-Speech wird dafür nicht genutzt; ohne Spark-TTS bleiben die Vorlesen-Buttons deaktiviert.
17. Verantwortung der Nutzerinnen und Nutzer
Technische Schutzmaßnahmen ersetzen nicht umsichtiges Verhalten. Wer vertrauliche Informationen in einen Chat schreibt, macht sie für die konkrete Antwortverarbeitung sichtbar. Wer einen Export herunterlädt, hat danach eine Klartextkopie. Wer Projektmaterial freigibt, teilt eine projektbezogene Kopie mit dem Projekt.
Darum gilt: Nur das eingeben, was für den schulischen Zweck nötig ist; persönliche Geheimnisse wie Passwörter, private Tokens oder medizinische Details nicht in Prompts schreiben; Exporte sorgfältig speichern; Projektmaterial vor der Freigabe prüfen.