• Digitale Tools
  • Kahoot Datenschutz - Was Schulen und Unternehmen wissen müssen

Kahoot Datenschutz - Was Schulen und Unternehmen wissen müssen

Edmund Vollmer 25. März 2026
Einstellungen für den Kahoot! Datenschutz: Hier werden die Datenschutzrichtlinien und Nutzungsbedingungen für die Organisation festgelegt.

Inhaltsverzeichnis

Beim Thema kahoot! datenschutz geht es nicht nur um Einwilligungen und Cookie-Banner, sondern vor allem darum, welche Daten bei einem Quiz wirklich anfallen, wer sie rechtlich verantwortet und welche Einstellungen Schulen oder Unternehmen überhaupt beeinflussen können. Genau daran entzünden sich in der Praxis die meisten Missverständnisse: Lernende treten oft ohne Konto bei, trotzdem verarbeitet die Plattform bestimmte technische und organisatorische Daten. Ich ordne das deshalb so ein, dass am Ende klar ist, was im Alltag tatsächlich relevant ist.

Die wichtigsten Punkte auf einen Blick

  • Schüler können bei Kahoot oft ohne eigenes Konto teilnehmen, trotzdem fallen je nach Nutzung Nicknames, Ergebnisdaten und technische Informationen an.
  • Im Schulkontext ist in der Regel die Schule oder der Schulträger verantwortlich, Kahoot agiert dabei als Auftragsverarbeiter.
  • Für Schulen in Deutschland ist besonders wichtig, nur die wirklich nötigen Felder zu aktivieren und keine sensiblen Daten einzugeben.
  • Kahoot beschreibt im Trust Center keine Drittanbieterwerbung in den School Services und keine Nutzung von Schülerdaten für Targeting.
  • Cookies, eingebettete Videos und externe Inhalte können zusätzliche Datenflüsse auslösen, auch wenn der eigentliche Quizbetrieb schlank wirkt.
  • Die Plattform nennt EU- und Kanada-Hosting für die langfristige Speicherung von Kundendaten, ergänzt durch technische Sicherheitsmaßnahmen und SCCs bei Transfers.

Welche Daten bei Kahoot tatsächlich anfallen

Der erste Irrtum ist fast immer derselbe: „Ohne Login gibt es keinen Datenschutzfall.“ Das stimmt so nicht. Für reine Spielteilnahme nutzt Kahoot zwar einen sehr schlanken Ansatz, aber je nach Szenario werden dennoch Daten verarbeitet, etwa ein Nickname, Ergebnisdaten, Antworten, Geräteinformationen oder technische Nutzungsdaten.

Im Schulkontext ist die Grenze noch wichtiger. Kahoot beschreibt, dass bei Schülern nur die Informationen erhoben werden, die für den autorisierten Schulzweck nötig sind. Dazu gehören bei bestimmten Schulfunktionen zum Beispiel absolvierte Spiele, Antworten oder Leistungsdaten. Für zusätzliche Funktionen wie die Anwesenheits- oder Leistungszuordnung kann auch der Name eines Lernenden verarbeitet werden, bei bestimmten Konstellationen zusätzlich eine E-Mail-Adresse.

Für registrierte Nutzer kommen weitere Daten hinzu, zum Beispiel Anmeldedaten, Profilangaben, Organisationsdaten oder Informationen darüber, mit welchen Gruppen und Inhalten man interagiert. Das ist für Lehrkräfte und Admins oft der Punkt, an dem ich zur Vorsicht rate: Je mehr Felder aktiv genutzt werden, desto mehr muss auch organisatorisch abgesichert sein. Genau deshalb lohnt sich im nächsten Schritt der Blick auf die Rollenverteilung zwischen Plattform, Schule und Unternehmen.

Wer im Datenschutzfall die Verantwortung trägt

Rechtlich ist die Rollenfrage entscheidend. Kahoot legt im DPA fest, dass der Kunde der Verantwortliche ist und Kahoot als Auftragsverarbeiter handelt, wenn personenbezogene Kundendaten im Rahmen des Services verarbeitet werden. Für Schulservices gilt das besonders klar: Schule, Schulträger oder die zuständige Organisation muss also den Einsatz selbst verantworten und darf die eigene Prüfung nicht an die Plattform auslagern.

Für Nicht-Schulprodukte ist die Lage anders. Dort verarbeitet Kahoot bestimmte Daten als eigener Verantwortlicher, etwa für Kontoverwaltung, Kommunikation, Marketing oder Produktverbesserung. Das ist kein Detail, sondern praktisch relevant, weil sich daraus andere Pflichten ergeben, zum Beispiel zu Informationspflichten, Einwilligungen oder Widerspruchsmöglichkeiten.

Einsatzszenario Datenschutzrolle Typische Daten Was ich prüfen würde
Schulunterricht mit Schülern Schule ist Verantwortlicher, Kahoot ist Auftragsverarbeiter Nickname, Spiele, Antworten, Ergebnisse, ggf. Name oder E-Mail DPA, Datenminimierung, Elterninformation, keine unnötigen Zusatzfelder
Interne Weiterbildung im Unternehmen Unternehmen ist Verantwortlicher, Kahoot verarbeitet im Auftrag oder teils als eigener Verantwortlicher Kontodaten, Teilnehmerdaten, Auswertungen, technische Nutzungsdaten Vertragliche Grundlage, Zugriffskonzept, Aufbewahrung, Cookie-Setup
Freie Teilnahme ohne Konto Meist schlankere Verarbeitung, aber nicht datenneutral Nickname, Sessiondaten, Cookies je nach Umgebung Welche Cookies sind aktiv, ob externe Inhalte eingebunden sind

Ich halte diese Trennung für den wichtigsten Denkfehler bei EdTech-Tools: Viele schauen auf die Plattform, aber nicht auf ihre eigene Rolle. Genau aus dieser Rollenlogik ergeben sich die konkreten Pflichten, die in Deutschland besonders sauber dokumentiert sein sollten.

Kahoot! Alternative: DSGVO-konform & Made in Germany. Quiz Academy bietet interaktive, einfache und datenschutzkonforme Lösungen mit Servern in Deutschland.

Was Schulen in Deutschland vor dem Einsatz prüfen sollten

Für Schulen ist der praktische Kern ziemlich klar: Nicht die Quizmechanik ist das Problem, sondern die Konfiguration. Kahoot schreibt selbst, dass Kunden alle erforderlichen Hinweise, Einwilligungen und Rechte sicherstellen müssen. Mit anderen Worten: Die Schule bleibt nicht nur Zuschauer, sondern muss ihren Einsatz rechtlich und organisatorisch mittragen.

In Deutschland würde ich vor der Freigabe mindestens diese Punkte abhaken:

  • Es gibt einen passenden Vertrag zur Auftragsverarbeitung oder ein gleichwertiges DPA-Modell.
  • Es werden nur die Felder aktiviert, die wirklich nötig sind, zum Beispiel kein echter Name, wenn ein Nickname genügt.
  • Die Option für Player-ID oder ähnliche Identifikationsfunktionen wird nur genutzt, wenn Anwesenheit oder Bewertung das tatsächlich verlangt.
  • Lehrkräfte geben keine sensiblen Daten ein, also etwa Gesundheits-, Religions- oder Förderinformationen.
  • Es ist klar geregelt, wer Eltern oder Erziehungsberechtigte informiert und wer Auskunfts- oder Löschanfragen entgegennimmt.
  • Falls der Einsatz umfangreicher ist, wird geprüft, ob eine Datenschutz-Folgenabschätzung sinnvoll oder erforderlich ist.

Ein Punkt wird oft unterschätzt: Die genaue rechtliche Bewertung kann je nach Bundesland und Schulträger unterschiedlich ausfallen. Deshalb genügt es nicht, sich auf ein allgemeines „Das Tool ist okay“ zu verlassen. Erst wenn die Schule weiß, welche Daten sie wirklich braucht, ist der nächste Schritt sinnvoll, nämlich Cookies und externe Inhalte sauber einzuordnen.

Cookies und Einwilligungen im Browser richtig einordnen

Im Alltag wirkt Kahoot oft schlank, aber die Website- und Browser-Ebene bringt zusätzliche Datenschutzfragen mit. Im Cookie-Hinweis beschreibt Kahoot ein Preference Center, über das Nutzer ihre Cookie-Einstellungen verwalten können. Für direkte Zugriffe auf kahoot.it gilt außerdem: Wer dort ohne vorherige Zustimmung auftritt, bekommt in der Regel nur strikt notwendige Cookies, typischerweise bei Erstnutzern oder bei Teilnehmern ohne Konto.

Spannend ist dabei die Praxis: Nicht-essenzielle Cookies wie Performance- oder Funktionscookies können auf den Creator- oder Player-Seiten bereits zugelassen worden sein und wirken dann bei weiteren Zugriffen fort. Das heißt für Schulen und Trainer ganz konkret: Wer die Plattform über mehrere Endgeräte, Räume oder Sessions nutzt, sollte die Cookie-Einstellungen nicht als einmalige Formalität behandeln.

Auch externe Inhalte spielen hinein. Bei eingebetteten YouTube-Videos oder anderen Drittinhalten kann es zusätzliche Cookies geben, die nicht direkt durch das Kahoot-Banner gesteuert werden. Kahoot verweist zwar darauf, dass im eingebetteten YouTube-Player keine personalisierte Werbung gezeigt wird und die Wiedergabe nicht mit dem YouTube-Konto des Nutzers verknüpft wird, trotzdem bleibt es eine zusätzliche technische Verarbeitungsstrecke. Für mich ist das der Punkt, an dem viele Schulen zu schnell sagen: „Nur ein Video ist doch harmlos.“ Harmlos ist es nicht automatisch, es ist nur oft beherrschbar.

Wo die Daten gespeichert werden und wie Übermittlungen abgesichert sind

Bei der Speicher- und Transferfrage ist Kahoot vergleichsweise transparent. Das Unternehmen nennt für die langfristige Speicherung von Kundendaten Server in der EU und Kanada. Zusätzlich gibt es eine Sub-Prozessorenliste mit Rechenzentren und Diensten in der EU, in Kanada, Australien und den USA. Für Nutzer aus der EU beschreibt Kahoot als Standardverarbeitung EU und Kanada, mit Ausnahmen etwa bei hochgeladenen Videos oder Support-Tickets.

Wichtiger als die reine Länderliste ist jedoch die Transferlogik. Im DPA steht, dass Übermittlungen außerhalb von EU, EWR und UK über geeignete Standardvertragsklauseln abgesichert werden sollen, wenn kein angemessenes Schutzniveau vorliegt. Zudem sagt Kahoot, dass Kundendaten nach Vertragsende grundsätzlich innerhalb von 90 Tagen gelöscht oder zurückgegeben werden sollen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Auch technisch nennt die Plattform einige Schutzmaßnahmen, die ich in dieser Form zumindest als ordentlich einordnen würde: Verschlüsselung von Kundendaten, ein benannter CISO, regelmäßige Penetrationstests und organisatorische Sicherheitskontrollen. Das ersetzt keine eigene Prüfung durch Schule oder Unternehmen, aber es ist mehr als bloßes Marketing. Der nächste naheliegende Schritt ist deshalb die Frage, welche Fehler in der Praxis trotz dieser Schutzmechanismen immer wieder passieren.

Welche Fehler ich in der Praxis am häufigsten sehe

Die meisten Probleme entstehen nicht, weil Kahoot „per se unsicher“ wäre, sondern weil der Einsatz ungenau aufgesetzt wird. Ich sehe vor allem diese Fehler immer wieder:

  • Echte Namen werden verwendet, obwohl ein Nickname für die Lernaufgabe gereicht hätte.
  • Player-ID oder ähnliche Identifikationsfunktionen werden aktiviert, ohne dass Anwesenheit oder Bewertung es wirklich erfordern.
  • Lehrkräfte binden externe Medien ein, ohne die zusätzlichen Cookies und Drittanbieterfolgen mitzudenken.
  • Die Schule verlässt sich auf die Plattform, statt die eigene Rolle als Verantwortliche aktiv zu dokumentieren.
  • Es gibt keine klare Regel, wann Daten nach dem Kurs gelöscht oder exportiert werden.
  • Sensible Inhalte landen aus Bequemlichkeit in Freitextfeldern, Chats oder Kommentaren.

Der Gegenentwurf ist nüchtern, aber wirksam: so wenig personenbezogene Daten wie möglich, so viele Funktionen wie nötig. Wer das konsequent umsetzt, bekommt mit Kahoot kein perfektes, aber ein gut kontrollierbares Werkzeug. Genau daraus ergibt sich meine praktische Empfehlung für den Alltag.

So würde ich Kahoot im Alltag freigeben

Wenn ich eine Schule oder ein Team beraten müsste, würde ich den Einsatz in vier Schritten freigeben: erstens die Rollen klären, zweitens die benötigten Felder minimieren, drittens Cookie- und Drittinhalte prüfen, viertens die Lösch- und Auskunftsprozesse dokumentieren. Das klingt unspektakulär, ist aber in der Praxis der Unterschied zwischen einer sauberen Nutzung und einer unnötig riskanten Schnelllösung.

Für den Unterricht bedeutet das meistens: anonym oder pseudonym starten, zusätzliche Identifikationsfeatures nur gezielt aktivieren, keine sensiblen Inhalte eingeben und den Zugriff auf externe Medien bewusst steuern. Für Unternehmen gilt sinngemäß dasselbe, nur mit stärkerem Fokus auf Vertragslage, Nutzerverwaltung und Aufbewahrung.

Mein Fazit ist daher schlicht: Der Datenschutz bei Kahoot ist beherrschbar, wenn man die Plattform als das behandelt, was sie ist, nämlich ein Werkzeug mit klaren Datenflüssen, nicht eine unsichtbare Blackbox. Wer die Konfiguration ernst nimmt, kann den Funktionsumfang nutzen, ohne unnötig viele personenbezogene Daten zu produzieren.

Häufig gestellte Fragen

Auch ohne Login werden Nicknames, Ergebnisdaten, Geräte- und technische Nutzungsdaten verarbeitet. Bei Schülern sind es oft die für den Schulzweck nötigen Infos wie Spiele oder Antworten.

In der Regel ist die Schule oder der Schulträger der Verantwortliche, während Kahoot als Auftragsverarbeiter agiert. Die Schule muss den Einsatz selbst prüfen und absichern.

Häufige Fehler sind die Nutzung echter Namen statt Nicknames, Aktivierung unnötiger Identifikationsfunktionen, Einbindung externer Medien ohne Prüfung und unklare Löschprozesse.

Kahoot speichert Kundendaten in der EU und Kanada. Übertragungen außerhalb dieses Bereichs werden durch Standardvertragsklauseln (SCCs) abgesichert, um ein angemessenes Schutzniveau zu gewährleisten.

Artikel bewerten

Bewertung: 0.00 Stimmenanzahl: 0

Tags

kahoot! datenschutz
kahoot datenschutz schule
kahoot dsgvo
kahoot datenverarbeitung
Autor Edmund Vollmer
Edmund Vollmer
Nazywam się Edmund Vollmer i od 5 lat zajmuję się tematyką cyfrowego uczenia się, edukacyjnej technologii oraz sztucznej inteligencji. Moja pasja do tych obszarów zrodziła się z chęci zrozumienia, jak nowoczesne technologie mogą wspierać proces nauczania i uczenia się. W swoich tekstach staram się przybliżyć czytelnikom, jak innowacyjne rozwiązania mogą być wykorzystywane w edukacji, aby uczynić ją bardziej dostępną i efektywną. Szczególnie interesuje mnie, jak sztuczna inteligencja wpływa na personalizację nauki oraz jakie wyzwania i możliwości stwarza dla nauczycieli i uczniów. Chcę, aby moje artykuły inspirowały do refleksji nad przyszłością edukacji i pomagały w zrozumieniu złożoności tego dynamicznego świata.

Beitrag teilen

Kommentar schreiben