Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Kritische Lücke bei der KI-Daten-Governance im Hochschulbereich: Was Bildungseinrichtungen jetzt tun müssen

Kritische Lücke bei der KI-Daten-Governance im Hochschulbereich: Was Bildungseinrichtungen jetzt tun müssen

von Patrick Spencer updated Januar 20, 2026 Cybersecurity-Risikomanagement
Lesezeit: 10 Minuten

Die Zahlen zeichnen ein beunruhigendes Bild: 94 Prozent der Beschäftigten im Hochschulbereich nutzen inzwischen KI-Tools in ihrem Arbeitsalltag, aber nur 54 Prozent wissen überhaupt, ob ihre Institution Richtlinien für deren Einsatz hat. Diese Diskrepanz, die in einer neuen Studie vom 13. Januar 2026 veröffentlicht wurde, stellt eines der gravierendsten Governance-Versäumnisse dar, mit denen Hochschulen heute konfrontiert sind.

wichtige Erkenntnisse

  1. Die Lücke zwischen Richtlinie und Praxis ist enorm. Fast alle Beschäftigten im Hochschulbereich (94 %) setzen KI-Tools im Arbeitsalltag ein, aber nur 54 % kennen die KI-Richtlinien ihrer Institution. Diese Diskrepanz führt zu erheblichen Risiken für Datenschutzverletzungen, Sicherheitsvorfälle und Nichteinhaltung gesetzlicher Vorgaben.
  2. Shadow AI birgt unmittelbare Risiken. Mehr als die Hälfte der Hochschulbeschäftigten (56 %) nutzt KI-Tools, die nicht von ihrer Institution bereitgestellt werden. Sensible Studentendaten fließen so durch nicht genehmigte Drittanbietersysteme, umgehen institutionelle Sicherheitskontrollen und können gegen FERPA, COPPA und andere regulatorische Anforderungen verstoßen.
  3. Das Bewusstsein der Führungsebene ist überraschend gering. Selbst Entscheidungsträger haben wenig Klarheit über KI-Governance: 38 % der Führungskräfte, 43 % der Manager und 30 % der Cybersicherheitsfachleute kennen die bestehenden KI-Richtlinien nicht. Das deutet darauf hin, dass viele Institutionen schlicht keine formalen Richtlinien haben – und nicht nur die Kommunikation bestehender Vorgaben versäumen.
  4. Bildung hinkt anderen Sektoren bei kritischen Kontrollen hinterher. Im Bildungsbereich besteht eine 19-Punkte-Lücke bei Datenschutz-Folgenabschätzungen im Vergleich zu globalen Benchmarks: Nur 6 % der Institutionen führen systematische Datenschutzbewertungen für KI-Systeme durch. Red-Teaming und adversarielle Tests liegen mit lediglich 6 % ebenfalls deutlich zurück.
  5. Drittanbieter-EdTech vervielfacht die Governance-Komplexität. Nur 18 % der Bildungseinrichtungen haben KI-spezifische Richtlinien für Anbieter, die Studentendaten verarbeiten. Die Flut an KI-fähigen EdTech-Produkten – von adaptiven Lernplattformen bis zu automatisierten Prüfungsaufsichten – bedeutet, dass Studentendaten durch Systeme fließen, die kaum institutionell überwacht werden.

Die Ergebnisse stammen aus einer wegweisenden Gemeinschaftsstudie von Educause, der National Association of College and University Business Officers (NACUBO), der College and University Professional Association for Human Resources (CUPA-HR) und der Association for Institutional Research (AIR). Befragt wurden fast 2.000 Mitarbeitende, Verwaltungsangestellte und Lehrkräfte an über 1.800 Institutionen. Die Erkenntnisse sollten alle Hochschulverantwortlichen alarmieren: Die Lücke zwischen Richtlinie und Praxis schafft erhebliche Risiken für Datenschutz, Sicherheit und Compliance.

Diskrepanz zwischen KI-Nutzung und KI-Bewusstsein

Die Kluft zwischen dem, was Beschäftigte tun, und dem, was sie über institutionelle Erwartungen wissen, ist enorm. Mehr als die Hälfte der Befragten gab an, KI-Tools zu nutzen, die nicht von ihrer Institution bereitgestellt werden. Das bedeutet: Lehrkräfte verfassen Mitteilungen mit ChatGPT, Mitarbeitende analysieren Tabellen mit KI-Assistenten, und Verwaltungspersonal automatisiert Arbeitsabläufe mit Drittanbietertools – alles ohne institutionelle Aufsicht oder Data-Governance-Kontrollen.

Noch alarmierender ist, was die Studie über das Bewusstsein der Führungsebene zeigt: 38 Prozent der Führungskräfte, 43 Prozent der Manager und Direktoren sowie 35 Prozent der Technologiefachleute gaben an, die für ihren KI-Einsatz geltenden Richtlinien nicht zu kennen. Selbst 30 Prozent der Cybersecurity- und Datenschutzexperten – also derjenigen, die für den Schutz der institutionellen Daten verantwortlich sind – wussten nichts von bestehenden KI-Richtlinien.

Jenay Robert, leitende Forscherin bei Educause und Autorin des Berichts, betont, dass diese Diskrepanz „Auswirkungen auf Themen wie Datenschutz, Sicherheit und andere Data-Governance-Fragen haben könnte, die die Institution und ihre Datennutzer schützen“. Das weist auf ein grundlegendes Problem hin: Viele Institutionen verfügen vermutlich gar nicht über formale Richtlinien – statt lediglich die Kommunikation bestehender Vorgaben zu versäumen.

Warum der Schutz von Studentendaten so wichtig ist

Hochschulen verarbeiten äußerst sensible Informationen. Studierendenakten enthalten Leistungsdaten, Disziplinarhistorien, Angaben zur Studienfinanzierung und Gesundheitsdaten. Nach FERPA tragen Institutionen die rechtliche Verantwortung für den Schutz dieser Bildungsdaten. COPPA regelt streng die Erhebung von Daten bei Kindern unter 13 Jahren – relevant für Institutionen mit jüngeren Zielgruppen oder K-12-Kooperationen.

Eine separate Analyse von Kiteworks zur KI-Data-Governance in verschiedenen Sektoren zeigt, dass der Bildungsbereich bei kritischen Kontrollen weltweit zweistellig zurückliegt. Im Bildungssektor besteht eine 19-Punkte-Lücke bei Datenschutz-Folgenabschätzungen: Nur 6 Prozent der Bildungseinrichtungen führen systematische Datenschutzbewertungen für KI-Systeme durch, global sind es 25 Prozent. Das ist die zweitgrößte Fähigkeitslücke aller untersuchten Sektoren und Metriken.

Die Folgen sind direkt: KI-Systeme, die Leistungen analysieren, Ergebnisse prognostizieren oder Lernwege personalisieren, arbeiten unmittelbar mit geschützten Datenkategorien. Wenn 94 Prozent der Institutionen solche Systeme ohne systematische Datenschutzbewertung einsetzen, fließen Studentendaten durch Tools und Prozesse, die nie auf Compliance oder Risiken geprüft wurden.

Ressourcenrealität an Hochschulen

Um diese Lücke zu verstehen, muss man die besonderen Rahmenbedingungen im Hochschulbereich anerkennen. Anders als Banken oder Gesundheitsorganisationen mit eigenen Compliance-Teams arbeiten die meisten Hochschulen mit stark begrenztem IT- und Sicherheitspersonal. Die Kiteworks-Analyse ergab, dass 0 Prozent der Bildungsbefragten angaben, dass das Thema Fachkräftemangel und Personalentwicklung auf Vorstandsebene behandelt wird – weltweit liegt der Wert bei 14 Prozent.

Dies ist kein Mangel an Bewusstsein. Im Bildungsbereich liegt die Aufmerksamkeit des Vorstands für Cyberrisiken bei 65 Prozent – weltweit der höchste Wert. Die Führung versteht die Risiken. Doch die operative Umsetzung sieht anders aus: Der Sektor weiß, was zu tun wäre, hat aber nicht die Ressourcen, um angemessene Governance-Strukturen zu etablieren.

Das Paradoxon zeigt sich auch bei Bias- und Fairness-Kontrollen: Bildungseinrichtungen berichten von 35 Prozent Umsetzung bei Bias- und Fairness-Audits – 6 Punkte über dem globalen Durchschnitt. Doch Red-Teaming und aktive Bias-Tests liegen mit nur 6 Prozent weit zurück. Institutionen dokumentieren Richtlinien, testen aber nicht, ob KI-Systeme tatsächlich verzerrte Ergebnisse liefern. Audits prüfen Dokumente, Tests zeigen das reale Verhalten.

Shadow AI: Das unsichtbare Risiko

Die Educause-Ergebnisse unterstreichen ein Phänomen, das IT-Sicherheitsprofis in allen Branchen kennen: Shadow AI. Wenn 56 Prozent der Hochschulbeschäftigten KI-Tools nutzen, die nicht von ihrer Institution bereitgestellt werden, fließen sensible Daten durch Systeme, die Informationen möglicherweise speichern, für Trainingszwecke verwenden oder weitergeben – und so institutionelle Richtlinien, regulatorische Vorgaben oder vertragliche Verpflichtungen verletzen.

Shadow AI birgt im Bildungsbereich mehrere konkrete Risiken. Erstens: Studentendaten, die in öffentliche KI-Tools eingegeben werden, können zur Modellschulung genutzt werden und so geschützte Informationen offenlegen. Zweitens: Lehrkräfte, die KI für Benotung oder Bewertung einsetzen, verletzen möglicherweise unbewusst Datenschutzvorgaben. Drittens: Verwaltungspersonal, das Prozesse mit Drittanbietertools automatisiert, schafft Datenexportwege, die institutionelle Sicherheitskontrollen umgehen.

Die Studie ergab, dass 92 Prozent der Institutionen eine KI-Strategie verfolgen – etwa durch Pilotprojekte, Chancen- und Risikoanalysen oder gezielte Förderung. Doch eine Strategie ohne Durchsetzung lässt Institutionen angreifbar. Wenn fast die Hälfte der Beschäftigten die bestehenden Richtlinien nicht kennt, bleibt die Strategie reine Theorie.

Drittanbieter-EdTech verschärft die Herausforderung

Die starke Abhängigkeit von Drittanbieter-EdTech-Lösungen erhöht die Governance-Komplexität im Bildungsbereich. Die Kiteworks-Analyse zeigt: Nur 18 Prozent der Bildungseinrichtungen haben KI-spezifische Richtlinien und Attestationsanforderungen für Anbieter, die Studentendaten verarbeiten – eine 15-Punkte-Lücke im globalen Vergleich.

Der EdTech-Markt ist mit KI-fähigen Produkten explodiert: adaptive Lernplattformen, automatisierte Aufsatzbewertung, Proctoring-Software, Engagement-Monitoring und Frühwarnsysteme. Viele Bildungseinrichtungen verfügen nicht über das technische Know-how, um die Data-Governance-Praktiken dieser Systeme zu bewerten. Ohne Attestationsanforderungen verlassen sich Institutionen auf Zusicherungen der Anbieter – ohne Überprüfung. Der Schutz der Studentendaten liegt so weitgehend im Ermessen der EdTech-Anbieter.

Das schafft Haftungsrisiken, die viele Institutionen nicht vollständig überblicken. Wenn ein KI-System eines Anbieters verzerrte Ergebnisse liefert oder eine Datenpanne auftritt, bleibt die Institution gegenüber Studierenden, Familien und Aufsichtsbehörden verantwortlich. Verträge ohne Regelungen zur KI-Data-Governance übertragen Risiken auf die Institution, die sie weder geprüft noch kontrolliert hat.

Transparenz und Vertrauen stehen auf dem Spiel

Bildung ist in ein Geflecht von Verantwortungsbeziehungen eingebettet, das es so in anderen Sektoren kaum gibt. Eltern erwarten, dass sie verstehen, wie Technologie die Bildung ihrer Kinder beeinflusst. Schulträger verlangen Erklärungen, die sie an die Gemeinschaft weitergeben können. Akkreditierungsstellen fragen zunehmend nach Technologie-Governance. Alumni, Förderer und Gesetzgeber interessieren sich für die Abläufe der Institutionen.

Die Kiteworks-Daten zeigen eine 16-Punkte-Lücke bei der Transparenz: Nur 24 Prozent der Bildungseinrichtungen setzen Transparenzmaßnahmen um, weltweit sind es 40 Prozent. Die Dokumentation zur Erklärbarkeit von Modellen liegt mit 12 Prozent sogar 14 Punkte zurück. Für einen Sektor, der der Gemeinschaft gegenüber rechenschaftspflichtig ist wie kein anderer, entstehen so Schwachstellen, die rein technische Sicherheitsmaßnahmen nicht abdecken können.

Wenn KI-Systeme Kurszuweisungen beeinflussen, Verhaltensauffälligkeiten markieren oder Lernpfade personalisieren, wollen Familien wissen, wie Entscheidungen zustande kommen. Eltern akzeptieren KI in der Bildung, wenn sie diese nachvollziehen können. Sie werden sich widersetzen – und womöglich klagen –, wenn KI als Blackbox über ihre Kinder entscheidet.

Was wirklich zählt: Messen, was wichtig ist

Die Educause-Studie offenbarte eine weitere große Lücke: Nur 13 Prozent der Institutionen messen den Return on Investment (ROI) für KI-Tools im Arbeitsumfeld. Das heißt: Die große Mehrheit der Hochschulen setzt KI ein, ohne systematisch zu prüfen, ob diese Tools tatsächlich einen Mehrwert bringen.

Die Messlücke ist nicht nur eine Frage der Effizienz. Ohne Daten zur Leistungsfähigkeit der KI-Systeme können Institutionen nicht erkennen, wann Tools problematische Ergebnisse liefern, Verzerrungen in automatisierten Entscheidungen auftreten oder Investitionen gerechtfertigt sind. Wenn Budgetkürzungen anstehen, geraten KI-Projekte ohne nachgewiesenen ROI schnell unter Druck – selbst wenn sie echten Mehrwert bieten, der nur nicht gemessen wurde.

Institutionen, die die Wirksamkeit von KI nachweisen können, sind in der Lage, fundierte Entscheidungen über Ausbau, Anpassung oder Einstellung zu treffen. Wer ohne Messung agiert, entscheidet nach Bauchgefühl, Politik oder Lautstärke – nicht nach Fakten.

Fünf Maßnahmen, die Institutionen jetzt ergreifen sollten

Die Forschung zeigt konkrete Schritte auf, die jede Institution – unabhängig von Ressourcen – priorisieren sollte.

Klare KI-Governance-Rahmen schaffen. Das erfordert keine umfangreiche Dokumentation oder Komiteestrukturen. Entscheidend sind klare Aussagen darüber, welche KI-Tools zugelassen sind, welche Daten verarbeitet werden dürfen und wer für Compliance verantwortlich ist. Schon eine zweiseitige Richtlinie ist besser als das derzeitige Vakuum an vielen Hochschulen.

Shadow-AI-Einsätze erfassen. Institutionen können nur steuern, was sie kennen. Befragen Sie Abteilungen zu eingesetzten KI-Tools. Identifizieren Sie Datenflüsse über inoffizielle Kanäle. Holen Sie Shadow AI ans Licht, damit sie bewertet und entweder mit Kontrollen zugelassen oder eingestellt werden kann.

Datenklassifizierung einführen. Nicht alle Daten sind gleich sensibel. Sozialversicherungsnummern von Studierenden benötigen einen anderen Schutz als Kurskataloge. Datenklassifizierung ermöglicht angemessene Kontrollen – strenge Governance für hochsensible Daten, vereinfachte Prozesse für weniger kritische Informationen.

Umfassende Schulungen anbieten. Die 46-Punkte-Lücke zwischen KI-Nutzung und Richtlinienbewusstsein ist ein Kommunikationsproblem, nicht nur ein Richtlinienproblem. Schulungen sollten Lehrenden und Mitarbeitenden vermitteln, welche Daten in KI-Tools eingegeben werden dürfen, wie KI-Ergebnisse zu bewerten sind und wann Bedenken zu eskalieren sind. Oft reichen kurze, prägnante Hinweise statt langer Compliance-Module.

EdTech-Anbieteranforderungen entwickeln. Institutionen verfügen über eine kollektive Einkaufsmacht, die sie selten nutzen. Entwickeln Sie Standardvertragsklauseln zur KI-Data-Governance, beteiligen Sie sich an Konsortialprogrammen mit gemeinsamen Standards und verlangen Sie Attestationen, bevor EdTech-Produkte mit Studentendaten eingesetzt werden.

Blick nach vorn: Die Weichen für 2026 und darüber hinaus

Der Educause-Bericht beschreibt eine Belegschaft, die KI zugleich mit Begeisterung und Vorsicht begegnet. 33 Prozent der Befragten sehen sich als „sehr begeistert“ oder „begeistert“, 48 Prozent empfinden eine Mischung aus Vorsicht und Begeisterung. Nur 17 Prozent sind ausschließlich vorsichtig.

Diese gemischte Haltung spiegelt die Komplexität des Themas wider. KI bietet echtes Potenzial, Verwaltungsaufwand zu reduzieren, Lernprozesse zu personalisieren und den Betrieb zu verbessern. Die Risiken sind ebenso real: Datenschutzverstöße, verzerrte Ergebnisse, Sicherheitsvorfälle und der Verlust menschlicher Kontrolle bei wichtigen Entscheidungen.

Erfolgreich werden die Institutionen sein, die Begeisterung durch angemessene Governance lenken – nicht durch Verbote. Die Beschäftigten wollen diese Tools: 86 Prozent planen, KI auch künftig zu nutzen, unabhängig von aktuellen Richtlinien. Entscheidend ist, ob dies innerhalb von Governance-Rahmen geschieht, die Studierende und Institutionen schützen – oder außerhalb davon.

Folgen des Nichtstuns

Der Hochschulsektor hat frühere Technologiewechsel mit unterschiedlichem Erfolg gemeistert. Die Umstellung auf Online-Lernen während der Pandemie zeigte, welche Institutionen in digitale Infrastruktur investiert hatten – und welche nicht. Die aktuelle Lücke bei der KI-Data-Governance wird eine ähnliche Trennung bewirken.

Institutionen, die klare Rahmen schaffen, Mitarbeitende schulen und angemessene Kontrollen einführen, werden die Vorteile von KI nutzen und die Risiken steuern können. Wer die Lücke zwischen Richtlinie und Praxis bestehen lässt, riskiert regulatorische Sanktionen, Reputationsschäden und potenziellen Schaden für die Studierenden.

Die Kiteworks-Analyse kommt zu einer klaren Einschätzung: Bildungseinrichtungen gehen ins Jahr 2026 „zwischen konkurrierenden Realitäten zerrissen: Sie verwalten die sensibelsten Daten der verletzlichsten Bevölkerungsgruppe und setzen dabei Governance-Fähigkeiten ein, die in anderen Sektoren mit weit weniger kritischen Informationen undenkbar wären.“ Die Ressourcenknappheit ist real. Die Lücken sind dokumentiert. Die Folgen treffen die Studierenden.

Der Bildungsauftrag war immer auf das Wohl der Studierenden ausgerichtet. Dies auf die KI-Data-Governance auszuweiten, ist keine Option – es ist derselbe Anspruch, angewandt auf neue Technologien. Die Forschung zeigt klar, wo die Lücken liegen. Jetzt ist die Frage, ob die Institutionen sie schließen werden.

Häufig gestellte Fragen

Die KI-Governance-Lücke bezeichnet die Diskrepanz zwischen der weitverbreiteten Nutzung von KI-Tools durch Hochschulmitarbeitende und deren Kenntnis institutioneller Richtlinien für diesen Einsatz. Studien zeigen: 94 % der Beschäftigten nutzen KI-Tools, aber nur 54 % wissen, dass es entsprechende Richtlinien gibt. Diese Lücke birgt Risiken für Datenschutz, Sicherheit und Compliance, da Mitarbeitende bei der Verarbeitung von Studentendaten mit KI unwissentlich gegen FERPA, COPPA oder andere Vorgaben verstoßen können.

Hochschulen verarbeiten äußerst sensible Informationen über Studierende, darunter Leistungsdaten, Angaben zur Studienfinanzierung, Gesundheitsdaten und Verhaltensbewertungen. KI-Systeme, die Leistungen analysieren, Ergebnisse prognostizieren oder Lernwege personalisieren, arbeiten direkt mit diesen geschützten Daten. Ohne angemessene Governance drohen regulatorische Verstöße, Datenpannen, verzerrte algorithmische Entscheidungen und Vertrauensverlust bei Eltern und Gemeinschaften, die Transparenz über den Technologieeinsatz fordern.

Shadow AI bezeichnet KI-Tools, die Beschäftigte ohne institutionelle Freigabe oder Aufsicht für Arbeitszwecke nutzen. Die Educause-Studie zeigt: 56 % der Hochschulmitarbeitenden verwenden nicht von der Institution bereitgestellte KI-Tools. Das ist relevant, weil sensible Studentendaten, die in öffentliche KI-Tools eingegeben werden, zur Modellschulung genutzt und so geschützt Informationen offengelegt werden können. Shadow AI schafft zudem Datenexportwege, die institutionelle Sicherheitskontrollen umgehen und gegen Verträge, Akkreditierungsanforderungen oder gesetzliche Vorgaben verstoßen können.

FERPA (Family Educational Rights and Privacy Act) verpflichtet Bildungseinrichtungen, Studierendendaten vor unbefugter Weitergabe zu schützen. Wenn KI-Tools Studentendaten verarbeiten – etwa für Benotung, Lernanalysen oder Verwaltungsautomatisierung –, müssen Institutionen sicherstellen, dass der Umgang mit den Daten FERPA-konform ist. Dazu gehört, dass KI-Anbieter als „Schulbeauftragte“ im Sinne von FERPA gelten, entsprechende Datenverarbeitungsvereinbarungen bestehen und Studentendaten nicht in einer Weise gespeichert oder genutzt werden, die Datenschutzrechte verletzt.

Wirksame KI-Data-Governance-Richtlinien sollten festlegen, welche KI-Tools institutionell zugelassen sind, welche Datenkategorien verarbeitet werden dürfen und wer für Compliance verantwortlich ist. Die Richtlinie sollte sowohl intern eingesetzte KI als auch Drittanbieter-EdTech-Produkte abdecken, Anforderungen an Datenklassifizierung und Transparenz gegenüber Studierenden und Familien definieren sowie Schulungen für Lehrende und Mitarbeitende vorsehen. Schon ein einfaches, zweiseitiges Dokument bietet mehr Schutz als das aktuelle Vakuum an vielen Hochschulen.

Nur 13 % der Institutionen messen derzeit den ROI von KI-Tools, sodass die meisten nicht wissen, ob diese Investitionen einen Mehrwert bringen. Effektive Messung sollte Effizienzgewinne in bestimmten Prozessen, Fehlerquoten vor und nach KI-Einsatz, Zufriedenheit von Lehrenden und Mitarbeitenden sowie Auswirkungen auf Studienergebnisse erfassen. Institutionen sollten auch unbeabsichtigte Folgen wie Verzerrungen in automatisierten Entscheidungen, Datenschutzvorfälle und Compliance-Verstöße überwachen. Ohne systematische Messung können sie nicht fundiert entscheiden, ob KI-Initiativen fortgeführt, ausgebaut oder eingestellt werden.

Die größten Risiken sind regulatorische Durchsetzung und Klagen aufgrund von KI-Systemen ohne ausreichende Datenschutz-Folgenabschätzung – insbesondere bei der Verarbeitung von Daten Minderjähriger unter FERPA- und COPPA-Schutz. Hinzu kommen verzerrte KI-Ergebnisse in studentennahen Systemen wie Kursvorschlägen und Frühwarnsystemen, Vertrauensverlust bei Eltern und Gemeinschaften durch mangelnde Transparenz sowie Sicherheitsvorfälle durch Shadow-AI-Einsätze, die institutionelle Kontrollen umgehen. Institutionen, die diese Risiken nicht adressieren, drohen Sanktionen, Reputationsschäden und vor allem Schaden für die Studierenden.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks