COPPA für EdTech-Anbieter: Schülergesichter in Demos, Marketingmaterialien und Trainingsdaten unkenntlich machen

Mateusz Zimoch
Veröffentlicht: 17.6.2026

Visuelle Datenanonymisierung bedeutet, Fotos oder Videos so zu verändern, dass identifizierbare visuelle Elemente, insbesondere Schülergesichter, im vorgesehenen Veröffentlichungskontext nicht ohne Weiteres zur Wiedererkennung eines Kindes genutzt werden können. Für EdTech-Anbieter ist das kein reines Forschungsthema. Es betrifft Produktdemos, Sales Decks, Website-Screenshots, Konferenzvideos, Customer Stories, Help-Center-Tutorials, interne Trainingsdatensätze für Modelle und jeden exportierten Clip, der die kontrollierte Schulumgebung verlassen kann.

COPPA gilt für Betreiber von Online-Diensten, die sich an Kinder richten, sowie für Dienste für ein allgemeines Publikum, wenn sie tatsächlich wissen, dass sie personenbezogene Daten von Kindern unter 13 Jahren erheben. Dazu gehören auch Fotos, Videos und Audiodateien, die das Bild oder die Stimme eines Kindes enthalten [1]. Für K-12-EdTech-Anbieter liegt das zentrale Compliance-Risiko nicht nur in der Anwendung selbst. Risiken entstehen, wenn echtes Bildmaterial aus dem Klassenzimmer außerhalb des ursprünglichen Bildungszwecks wiederverwendet wird.

Ein für den Produktsupport aufgenommenes Video kann zu einer Sales Demo werden. Ein aus einem Lehrer-Dashboard exportierter Screenshot kann als Hero-Bild auf einer Website landen. Eine aufgezeichnete Onboarding-Session kann zu Trainingsdaten für einen Computer-Vision-Workflow werden. Wenn Schülergesichter sichtbar bleiben, kann der Anbieter von einer durch die Schule autorisierten Verarbeitung zu Bildungszwecken in ein Szenario kommerzieller Weiterverwendung geraten, das eine gesonderte Prüfung erfordert.

Dieser Artikel konzentriert sich ausschließlich auf die visuelle Datenanonymisierung in Fotos und Videos. Er behandelt weder Dokumente als Datenkategorie noch Schüler-ID-Nummern, Kontodatensätze, Verhaltensanalysen oder umfassendere Governance-Fragen rund um Schülerdaten. Die praktische Frage ist enger gefasst: Wie sollte ein EdTech-Betreiber Schülergesichter und andere sichtbare Identifikatoren unkenntlich machen, bevor Bilder oder Videos aus dem Klassenzimmer in Demos, Marketingmaßnahmen und KI-Trainingsdatensätzen verwendet werden?

Wie COPPA für EdTech-Betreiber gilt, die visuelle Daten von Kindern erheben?

Nach COPPA gilt ein Foto, Video oder eine Audiodatei, die das Bild oder die Stimme eines Kindes enthält, als personenbezogene Information, wenn sie online von einem Kind unter 13 Jahren erhoben wird [1]. Das ist für EdTech-Anbieter relevant, weil Unterrichtsplattformen häufig von Schülern hochgeladene Medien, Webcam-Aufnahmen, Screenshots, Feedback-Videos von Lehrkräften oder Produktaufzeichnungen verarbeiten, auf denen Kinder bei der Nutzung des Dienstes zu sehen sind.

Die FTC erkennt an, dass Schulen die Erhebung personenbezogener Daten von Kindern im Namen der Eltern autorisieren können, wenn die Erhebung einem von der Schule autorisierten Bildungszweck dient und keinem anderen kommerziellen Zweck [2]. Dieser Rahmen der Schulautorisierung ist wichtig, stellt aber keine pauschale Erlaubnis für jede nachgelagerte Wiederverwendung dar.

Ein gängiger Compliance-Ansatz besteht darin, vor jeder Wiederverwendung von Bildern oder Videos drei Zwecke klar zu trennen:

  1. Erstens die Bildungsleistung innerhalb des Produkts, bei der die Schule die Erhebung für den Einsatz im Unterricht autorisiert haben kann.
  2. Zweitens der operative Support, etwa Fehlerbehebung oder Sicherheitsprüfung, wobei der Zugriff begrenzt und dokumentiert werden sollte.
  3. Drittens die kommerzielle oder sekundäre Weiterverwendung, einschließlich öffentlicher Demos, Marketing-Assets, Investorenmaterialien, Konferenzpräsentationen, Sales Enablement und KI-Trainingsdatensätzen, die für den von der Schule autorisierten Bildungszweck nicht erforderlich sind.

Die dritte Kategorie birgt das größte Risiko. Sie bringt visuelles Material häufig zu neuen Zielgruppen, auf neue Plattformen und in neue Aufbewahrungsfristen. Die sicherste Geschäftspraxis besteht darin, identifizierbare Schülergesichter nicht zu verwenden, es sei denn, die Organisation verfügt über eine klare, dokumentierte Grundlage für genau diesen konkreten Einsatz. In vielen EdTech-Publishing-Workflows ist die Unkenntlichmachung schneller, besser skalierbar und weniger anfällig als die Verwaltung individueller Einwilligungen über sämtliche nachgelagerten Kanäle hinweg.

Eine Schwarz-Weiß-Collage, die Hände beim Auswählen von Farbmustern sowie auf einem Tisch ausgebreitete Notizbücher, Klebeband und Skizzenelemente zeigt.

Warum Demos, Marketing-Screenshots und Trainingsdatensätze Risiken schaffen?

EdTech-Teams haben selten die Absicht, Gesichter von Kindern zu veröffentlichen. Die Exponierung entsteht meist durch operative Abkürzungen.

Ein Produktmanager zeichnet eine Demo mit echten Klassenzimmerdaten auf, weil synthetische Daten unrealistisch wirken. Ein Vertriebsteam verwendet einen Screenshot aus einer Customer-Success-Story, weil er echtes Engagement zeigt. Eine Designerin zieht ein Einzelbild aus einem Onboarding-Video, weil es einen authentischen Moment im Unterricht einfängt. Ein Machine-Learning-Team behält exportierte Clips, weil echtes Nutzermaterial die Testabdeckung verbessert. Jeder Schritt mag für sich genommen harmlos erscheinen, doch das finale Asset kann Schülerinnen und Schüler Personen zeigen, die sie nie hätten sehen müssen.

Das rechtliche und reputationsbezogene Risiko wird dadurch verstärkt, dass Schülergesichter in der Praxis hochsensible visuelle Identifikatoren sind, selbst wenn ein Gesetz genau diesen Begriff nicht verwendet. Eltern, Schulen, Schulbezirke und Beschaffungsteams behandeln Bilder von Kindern in der Regel als sensibel. Für B2B-EdTech-Anbieter ist das nicht nur ein Datenschutzthema. Es ist auch ein Vertriebsthema, ein Vertrauensfaktor und ein Beschaffungsthema.

Die Policy Statement der FTC aus dem Jahr 2022 zu Bildungstechnologie betont, dass COPPA-pflichtige EdTech-Anbieter Informationen von Kindern nicht über den begrenzten Bildungszweck hinaus verwenden dürfen, der von der Schule autorisiert wurde [3]. Für Fotos und Videos führt dieses Prinzip zu einem konservativen Workflow: Vor der Wiederverwendung sollten Schülergesichter entfernt beziehungsweise unkenntlich gemacht und der gesamte Bildausschnitt auf weitere sichtbare Identifikatoren geprüft werden.

Visuelle Datenanonymisierung für EdTech: Was unkenntlich gemacht werden sollte

Das Unkenntlichmachen von Gesichtern ist die zentrale Schutzmaßnahme für Schülerbilder und -videos. Es reduziert das Risiko, dass ein Kind in einem veröffentlichten oder zweckentfremdeten Asset wiedererkannt werden kann. Für EdTech-Anbieter sollte die Gesichtsverpixelung oder Gesichtsweichzeichnung erfolgen, bevor Materialien auf Website-Seiten, in Demo-Bibliotheken, öffentlichen Webinaren, sozialen Medien, Sales Decks, Schulungsvideos, Datensätzen zur Modellbewertung oder in der Anbieterdokumentation genutzt werden.

Auch das Unkenntlichmachen von Kfz-Kennzeichen ist relevant, wenn Abholzonen an Schulen, Busse, Parkplätze, Ausflüge oder öffentliche Bildungsprojekte in Videos zu sehen sind. Es ist in K-12-Produktmaterialien weniger zentral als die Unkenntlichmachung von Schülergesichtern, sollte bei Campus-Aufnahmen aber nicht ignoriert werden.

Automatisierte visuelle Datenanonymisierung hat jedoch Grenzen. Gallio PRO kann Gesichter und Kfz-Kennzeichen in Fotos und Videos automatisch unkenntlich machen. Es erkennt nicht automatisch alle personenbezogenen Daten. Es erkennt nicht automatisch Firmenlogos, Tattoos, Namensschilder, Papierdokumente, Wandanzeigen im Klassenzimmer oder Inhalte, die auf Computerbildschirmen sichtbar sind. Diese Elemente erfordern eine menschliche Prüfung und, sofern notwendig, eine manuelle Unkenntlichmachung im Editor.

Diese Unterscheidung ist für die Compliance-Kommunikation wichtig. Wer Automatisierung überhöht darstellt, erzeugt eine falsche Sicherheit. Das bessere Betriebsmodell lautet: automatische Erkennung für Gesichter und Kfz-Kennzeichen nutzen und anschließend eine kurze manuelle Qualitätsprüfung auf sichtbare Namen, Schülerarbeiten, Unterrichtsdokumente, Dashboard-Beschriftungen oder Bildschirminhalte durchführen.

Zwei Personen arbeiten an einem Schreibtisch mit zwei Monitoren und richten ihren Blick auf einen Bildschirm, auf dem Text angezeigt wird. Das Foto ist schwarz-weiß und die Gesichter der Personen sind unscharf.

Was vor der kommerziellen Wiederverwendung unkenntlich gemacht werden sollte?

Visuelles Element im Foto oder Video

Typisches EdTech-Szenario

Empfohlene Behandlung vor der Wiederverwendung

 

Schülergesichter

Unterrichtsvideos, Webcam-Aufnahmen, Dashboard-Thumbnails, nutzergenerierte Medien

Gesichter unkenntlich machen, bevor das Material veröffentlicht, extern geteilt oder Trainingsdatensätzen hinzugefügt wird.

Kfz-Kennzeichen

Ankunftsbereiche an Schulen, Busse, Ausflüge, Campus-Sicherheitsaufnahmen

Kennzeichen unkenntlich machen, wenn sie im Bild sichtbar sind.

Schülernamen auf dem Bildschirm

Lehrer-Dashboards, Ranglisten, Bewertungsansichten, Anwesenheitsübersichten

Manuell prüfen und vor dem Export mit dem integrierten Editor unkenntlich machen.

Schülerarbeiten auf Bildschirm oder Papier

Aufgaben, Aufsätze, Zeichnungen, Quizantworten, Whiteboards

Manuell prüfen. Weichzeichnen oder zuschneiden, wenn die Arbeit den Schüler identifizieren oder Bildungsinhalte offenlegen kann.

Namensschilder, Ausweise, Klassenraum-Beschriftungen

Veranstaltungen, Schulbesuche, aufgezeichnete Produktpiloten

Nicht von automatischer Erkennung ausgehen. Sichtbare Elemente manuell unkenntlich machen.

Logos, Tattoos, auffällige Kleidung

Schulkleidung mit Branding, Teamshirts, einzigartige visuelle Merkmale

Kontext bewerten. Manuelle Unkenntlichmachung kann sinnvoll sein, wenn die Identifizierbarkeit weiterhin hoch ist.

Ein praktischer Workflow für exportierte Clips und Bildersammlungen

EdTech-Anbieter sollten visuelle Wiederverwendung als kontrollierten Publishing-Workflow behandeln, nicht als spontane Designaufgabe. Ein praxistauglicher Prozess umfasst fünf Schritte.

  1. Zweck der Wiederverwendung definieren. Das Team sollte festhalten, ob das Asset für eine private Sales Demo, eine öffentliche Marketingseite, ein Webinar, Support-Dokumentation, eine Investorenpräsentation oder einen Modell-Trainingsdatensatz vorgesehen ist. Je größer das Publikum, desto stärker spricht alles für die Unkenntlichmachung.
  2. Nur das unbedingt erforderliche Videomaterial oder die nötigen Screenshots exportieren. Lange Aufzeichnungen erhöhen den Prüfaufwand und schaffen unnötige Aufbewahrungsrisiken.
  3. Automatisches Unkenntlichmachen von Gesichtern und Kfz-Kennzeichen durchführen. Dies sollte geschehen, bevor das Asset in Design-, Vertriebs-, Marketing- oder ML-Tools gelangt.
  4. Manuelle Prüfung auf Bildschirmnamen, Schülerarbeiten, Unterrichtsdokumente, Ausweise und Monitorinhalte durchführen. Automatisierung sollte nicht als Ersatz für diese Prüfung dargestellt werden.
  5. Die unkenntlich gemachte Version freigeben und als wiederverwendbares Asset speichern. Das Original sollte weiterhin strengeren Zugriffskontrollen und Aufbewahrungsregeln unterliegen.

Für Teams, die den Workflow mit echten exportierten Clips validieren möchten, ist der nächste praktische Schritt, die Lösung kostenlos zu testen und zu prüfen, wie Gesichtsverpixelung, Kennzeichenverpixelung und manuelle Korrekturen in den bestehenden Veröffentlichungsprozess passen.

Gallio PRO ist keine Software für Echtzeit-Anonymisierung und führt keine Anonymisierung von Videostreams durch. Die Lösung ist dafür konzipiert, Fotos und aufgezeichnete Videodateien zu verarbeiten, bevor sie wiederverwendet, geteilt, veröffentlicht oder internen Datensätzen hinzugefügt werden. Diese Unterscheidung ist wichtig für EdTech-Teams, die Webinare, Produktaufzeichnungen oder Workflows zur Aufzeichnung im Klassenzimmer planen.

Trainingsdaten: Warum „nur intern“ nicht ausreicht

KI-Trainings- und Evaluierungsdatensätze schaffen ein spezifisches Risiko, weil sie häufig als technische Assets und nicht als Veröffentlichungs-Assets behandelt werden. In der Praxis kann ein Datensatz kopiert, stichprobenartig ausgewertet, annotiert, aufbewahrt und teamübergreifend wiederverwendet werden. Enthält er erkennbare Schülergesichter, kann das Datenschutzrisiko noch lange nach Abschluss des ursprünglichen Projekts fortbestehen.

Für K-12-EdTech-Anbieter besteht ein gängiger Compliance-Ansatz darin, visuelle Datenanonymisierung anzuwenden, bevor Clips oder Bilder in eine Trainingspipeline gelangen, sofern identifizierbare Gesichter für den genehmigten Zweck nicht zwingend erforderlich sind. In vielen Kontexten rund um Produktanalysen, UX-Review, Content Moderation, Qualitätssicherung und Demo-Erstellung sind identifizierbare Gesichter nicht erforderlich.

Wenn ein Datensatz nach der automatischen Gesichtsverpixelung weiterhin sichtbare Klassenzimmer-Bildschirme, Schülerarbeiten oder Namen enthält, bleibt manuelle Bearbeitung notwendig. Genau hier sollte die Unterscheidung zwischen automatischer und manueller Unkenntlichmachung in internen Verfahren festgeschrieben werden. Die automatische Erkennung deckt nur Gesichter und Kfz-Kennzeichen ab. Alles andere muss von einer geschulten Person geprüft werden.

Ein abstrakter digitaler Hintergrund in Grautönen mit horizontalen Linien, Binärcode und Mustern elektronischer Schaltkreise, die einen futuristischen Look im Tech-Stil erzeugen.

On-Premise-Software und Vertrauen von Anbietern in der Schulbeschaffung

Schulbezirke und Enterprise-Käufer im EdTech-Bereich fragen häufig, wo Schülerdaten verarbeitet werden, wer Zugriff darauf hat und ob Erkennungsergebnisse protokolliert werden. Diese Fragen sind geschäftlich wichtig, weil Datenschutzprüfungen Beschaffungsprozesse blockieren oder verzögern können.

On-Premise-Software kann relevant sein, wenn der Anbieter oder der Schulbezirk keine Unterrichtsvideos zu einem externen Verarbeitungsdienst hochladen möchte. Das passende Bereitstellungsmodell hängt vom jeweiligen Kontext ab und sollte zu den Sicherheits-, Beschaffungs- und Compliance-Anforderungen der Organisation passen. Für Enterprise-Deployments, On-Premise-Setups oder einen konkreten Compliance-Fall können EdTech-Teams Kontakt aufnehmen, um das Verarbeitungsmodell zu besprechen.

Nach dem von Gallio PRO beschriebenen Verarbeitungsmodell speichert Gallio PRO keine Protokolle, die Erkennungsdaten oder personenbezogene Daten enthalten. Gallio PRO erhebt keine Protokolle mit Daten zur Gesichts- oder Kennzeichenerkennung und keine Protokolle, die personenbezogene oder sensible Daten enthalten. Für EdTech-Teams unterstützt dies eine klarere interne Position: Das Tool zur Unkenntlichmachung sollte Risiken reduzieren und kein neues Repository von Schüleridentifikatoren schaffen.

Kontrollen, die Unkenntlichmachung belastbar machen

Unkenntlichmachung ist am stärksten, wenn sie wiederholbar ist. Ein einzelner verpixelter Screenshot ist hilfreich, doch Beschaffungsteams und Schulkunden erwarten Prozessnachweise. EdTech-Anbieter sollten eine kurze Richtlinie zur visuellen Wiederverwendung in Betracht ziehen, die aufgezeichnete Demos, Screenshots, Marketing-Exporte, Sales Enablement, PR-Assets und KI-Trainingsdatensätze abdeckt.

Die Richtlinie sollte vier Fragen beantworten. Wer darf Bildmaterial aus dem Klassenzimmer exportieren? Welche Assets müssen vor der Wiederverwendung einer Gesichtsverpixelung unterzogen werden? Wer übernimmt die manuelle Prüfung auf Namen, Schülerarbeiten und Bildschirminhalte? Wo werden die unkenntlich gemachten Master-Dateien gespeichert?

Außerdem ist es sinnvoll, freigegebene Assets als „für externe Wiederverwendung unkenntlich gemacht“ oder ähnlich zu kennzeichnen. So wird verhindert, dass Teams zu unbearbeiteten Originalen zurückkehren, wenn sie eine neue Folie, ein Website-Bild oder ein Produktvideo benötigen.

Einige Regelungen zu Bildrechten diskutieren Ausnahmen für Personen des öffentlichen Lebens, größere öffentliche Szenen oder die bezahlte Nutzung des eigenen Bildes. Im US-amerikanischen EdTech-Kontext sollten solche Konzepte nicht als Abkürzung an COPPA oder an den Grenzen des von der Schule autorisierten Zwecks vorbei verstanden werden. Für K-12-Anbieter ist die sicherere Geschäftspraxis einfach: Wenn das Gesicht eines Kindes für den konkret genehmigten Zweck nicht erforderlich ist, sollte es unkenntlich gemacht werden.

Gesichter unkenntlich machen als B2B-Konversionsfaktor

Für EdTech-Anbieter, die an Schulbezirke verkaufen, ist Unkenntlichmachung nicht nur eine defensive rechtliche Maßnahme. Sie kann interne Freigaben beschleunigen, Reibung in Customer-Reference-Programmen reduzieren und Marketingprozesse weniger abhängig von Einwilligungsmanagement im Einzelfall machen. Die kommerzielle Wirkung hängt vom Kontext ab, doch die Beschaffungslogik ist eindeutig: Käufer bevorzugen Anbieter, die praktische Kontrollen für visuelle Daten von Kindern nachweisen können.

Ein dedizierter Workflow für Videoanonymisierung und Gesichtsverpixelung hilft Produkt-, Compliance- und Marketingteams, realistische Produktmaterialien zu verwenden, ohne Schülergesichter offenzulegen. Die stärkste Position lautet nicht: „Nie echte visuelle Materialien.“ Sie lautet: „Realistische visuelle Materialien werden vor der Wiederverwendung durch einen kontrollierten Workflow zur Unkenntlichmachung verarbeitet.“

Ein aus zerrissenen weißen Papierstücken geformtes Fragezeichen, das auf einem schwarzen Hintergrund geschichtet ist.

FAQ: COPPA für EdTech-Anbieter und Unkenntlichmachung von Schülergesichtern

Behandelt COPPA das Gesicht eines Kindes in einem Video als personenbezogene Information?

Ja. Die COPPA-Definition personenbezogener Informationen umfasst ein Foto, Video oder eine Audiodatei, die das Bild oder die Stimme eines Kindes enthält, wenn sie online von einem Kind unter 13 Jahren erhoben wird [1]. Für EdTech-Anbieter macht das Schülergesichter in Produktaufnahmen zu einem Compliance-Thema.

Kann eine Schule einen EdTech-Anbieter zur Erhebung von Schülerbildern autorisieren?

In vielen Fällen können Schulen eine COPPA-pflichtige Erhebung im Namen der Eltern autorisieren, wenn die Nutzung dem Bildungszweck der Schule dient und keinem anderen kommerziellen Zweck [2]. Eine Wiederverwendung in öffentlichem Marketing, Sales Demos oder Trainingsdatensätzen sollte separat bewertet werden.

Reicht Gesichtsverpixelung für EdTech-Marketing-Screenshots aus?

Nicht immer. Gesichtsverpixelung adressiert sichtbare Gesichter, doch Screenshots können auch Schülernamen, Aufgaben, Unterrichtsdokumente oder Bildschirminhalte zeigen. Diese Elemente sollten manuell geprüft und bei Bedarf unkenntlich gemacht werden.

Erkennt Gallio PRO automatisch alles, was in einem Unterrichtsvideo sichtbar ist?

Nein. Gallio PRO macht Gesichter und Kfz-Kennzeichen automatisch unkenntlich. Logos, Tattoos, Namensschilder, Dokumente oder Monitorinhalte werden nicht automatisch erkannt. Diese Elemente können mit dem integrierten Editor manuell unkenntlich gemacht werden.

Kann Gallio PRO Live-Streams aus dem Klassenzimmer in Echtzeit anonymisieren?

Nein. Gallio PRO ist kein Tool für Echtzeit-Anonymisierung oder Videostream-Anonymisierung. Es dient der Verarbeitung aufgezeichneter Videodateien und Fotos vor der Wiederverwendung, Veröffentlichung, Weitergabe oder Aufnahme in Datensätze.

Sollten KI-Trainingsdatensätze erkennbare Schülergesichter enthalten?

Häufig nein. Wenn identifizierbare Gesichter für den genehmigten Trainings- oder Evaluierungszweck nicht erforderlich sind, besteht ein gängiger Compliance-Ansatz darin, Schülergesichter unkenntlich zu machen, bevor die Medien in den Datensatz gelangen. Die endgültige Entscheidung hängt vom Kontext ab und sollte der rechtlichen und Compliance-Prüfung der Organisation folgen.

Referenzliste

  1. Children’s Online Privacy Protection Act Rule, 16 C.F.R. Part 312, einschließlich der Definition von „personal information“ in 16 C.F.R. § 312.2.
  2. Federal Trade Commission, „Complying with COPPA: Frequently Asked Questions“, Abschnitt zu Schulen und EdTech.
  3. Federal Trade Commission, „Policy Statement of the Federal Trade Commission on Education Technology and the Children’s Online Privacy Protection Act“, 19. Mai 2022.
  4. Children’s Online Privacy Protection Act, 15 U.S.C. §§ 6501-6506.
  5. Family Educational Rights and Privacy Act, 20 U.S.C. § 1232g, sowie Durchführungsbestimmungen in 34 C.F.R. Part 99.