Korrigio für Schulleitungen in Bayern

Korrigio unterstützt Lehrkräfte an bayerischen Gymnasien bei der Korrektur von Aufsätzen und Leistungsnachweisen in Deutsch, Mathematik und Physik.

Diese Seite zeigt, wie Korrigio die Anforderungen des KM-Handlungsleitfadens vom 28.11.2025 erfüllt — als Grundlage für Ihre Compliance-Prüfung.

Bayerns offizielle Lernplattform setzt denselben Verarbeitungsweg ein

Die staatliche Lernplattform mebis bietet seit dem aktuellen Schuljahr ein Plugin „KI-gestütztes Feedback“ in Abgaben an. Bilder und PDFs der Schülerarbeiten werden automatisch per KI-Bild-zu-Text in Plaintext umgewandelt und einem KI-Feedback-Modell zugeführt — exakt der zweistufige Verarbeitungsweg, den Korrigio nutzt.

mebis-Plugin-Einstellung in einer Abgabe: KI-gestütztes Feedback aktivieren, mit Hinweis zur automatischen KI-Bild-zu-Text-Umwandlung.

„Bilder und PDFs werden automatisch per KI-Bild-zu-Text (ITT) in Text umgewandelt. Für DOCX und andere Dokumentformate wird ein Dokumentkonverter (z. B. Google Drive) als Fallback verwendet.“

mebis-Plugin-Hilfetext „KI-gestütztes Feedback“, abgerufen mebis.bycs.de 2026-05-22.

mebis

Verarbeitungslogik

Bild → KI-OCR → KI-Feedback

Betreiber

Freistaat Bayern (FWU + KM)

Sub-Processor-Region

EU + Google Drive (USA) als Dokumentkonverter-Fallback

Persistenz

Schülerarbeit + KI-Auswertung in mebis-Datenbank gespeichert

Korrigio

Verarbeitungslogik

Bild → KI-OCR → KI-Korrektur/Kommentar (identischer Weg)

Betreiber

Felix Beck als Auftragsverarbeiter unter AVV

Sub-Processor-Region

EU only (AWS Bedrock Frankfurt + Mistral AI Paris)

Persistenz

Seitenbilder 30 Tage nach Korrekturabschluss automatisch gelöscht (DSFA v2.4 §6.1 M3)

Korrigio kann den von mebis exportierten Plaintext direkt entgegennehmen — der OCR-Schritt entfällt.

Lehrkräfte entscheiden pro Schülerarbeit, ob sie Fotos hochladen oder Plaintext einkippen — beide Pfade stehen offen.

Die hochgeladene DOCX/TXT-Datei wird nach Plaintext-Extraktion gelöscht (DSFA v2.4 §6.1 M3).

Korrigio bildet denselben Verarbeitungsweg ab wie die KM-eigene Lernplattform — innerhalb der EU, ohne Fallback auf US-Sub-Processors, mit automatischer Löschung der Seitenbilder 30 Tage nach Korrekturabschluss.

KM-Mapping: Was Bayern verlangt — wie Korrigio das löst

Diese Übersicht spiegelt jede Anforderung aus dem KM-Handlungsleitfaden gegen die konkrete Korrigio-Lösung. Wörtliche Zitate mit Seitenangaben — damit Sie und Ihre DSB die Belegstellen direkt im KM-Originaldokument prüfen können.

KM-Anforderungen und Korrigio-Lösungen
Was der KM-Handlungsleitfaden verlangt	Wie Korrigio das löst
Schulleitungs-Freigabe als Betriebsmittel — der Einsatz von Korrigio bedarf einer schriftlichen Freigabe durch die Schulleitung als technisches Hilfsmittel.S. 5	Korrigio liefert das Schulleitungs-Freigabe-Formular (TMPL-01) als ausfüllbare DOCX. Schulleitung dokumentiert Genehmigung im eigenen Verwaltungsakt. Beleg
Prüfung rechtlicher Anforderungen — Schule prüft DSGVO-, KI-VO- und schulrechtliche Anforderungen vor Einsatz.S. 4	Korrigio stellt DSFA v2.4, KI-VO-Einstufung v1.3 und DSB-Stellungnahme bereit — alle drei Dokumente decken die Prüf-Bausteine ab. Beleg
AVV-Zeichnung — Schule und Auftragsverarbeiter schließen einen AVV nach Art. 28 DSGVO.S. 4	Korrigio stellt eine fertige AVV-Vorlage (Korrigio ↔ Schule) bereit. Schulleitung unterzeichnet ohne juristischen Eigenaufwand. Beleg
AVV-Kontrolle durch DSB — die schulische DSB prüft den AVV vor Unterzeichnung.S. 7	Korrigio liefert die DSB-Stellungnahme-Public-Variante als Vorlage für die DSB-Prüfung. AVV-Leitfaden für Schulleitungen erklärt jede Klausel. Beleg
Information statt Einwilligung — Eltern und Schüler werden informiert, eine Einwilligung ist bei schulischer Erforderlichkeit nicht zwingend nötig.S. 5	Korrigio stellt ein druckfertiges Eltern-Informationsblatt im DIN-A4-Format bereit. Schule verteilt im üblichen Eltern-Informationsweg. Beleg
Verfahrensverzeichnis-Aufnahme — die Verarbeitung wird im Verfahrensverzeichnis der Schule eingetragen (Art. 30 DSGVO).S. 15	Korrigio liefert ein vorausgefülltes Verfahrensverzeichnis-Eintrag-Template (TMPL-02). Schule trägt nur noch eigenständige Felder (Verantwortlicher, betroffene Klassen) nach. Beleg
Datenschutzkonforme Verarbeitung — der Anbieter verarbeitet Daten ausschließlich auf Weisung der Schule und nach Art. 28-32 DSGVO.S. 7	Korrigio dokumentiert in DSFA §6 die 26 TOMs (technische und organisatorische Maßnahmen). Anbieter-Verarbeitung erfolgt ausschließlich auf Schul-Weisung. Beleg
Keine Drittlandsübermittlung — keine personenbezogenen Daten verlassen den EWR ohne Schrems-II-konforme Garantien.S. 7	Schüler- und Korrekturdaten werden ausschließlich in der EU verarbeitet: VPS Nürnberg, AWS Bedrock Frankfurt, Mistral AI Paris, Supabase Frankfurt (Datenfluss-Diagramm oben). Account- und Sicherheitsdaten der Lehrkraft werden bei Stripe, Resend und hCaptcha (USA) auf Grundlage von EU-Standardvertragsklauseln (SCCs) verarbeitet — siehe Datenschutzerklärung §7. Beleg
Kein Training auf Eingabedaten — die Daten der Schule dürfen nicht zum Training des KI-Modells verwendet werden.S. 7	Korrigio-DPAs (AWS, Mistral) garantieren vertraglich: keine Trainings-Nutzung. Dokumentiert in Sub-Processor-Register. Beleg
Lehrkraft-Letztentscheid — die finale Bewertungsentscheidung trifft immer die Lehrkraft, nicht das KI-System (Art. 22 DSGVO).S. 8	Korrigio liefert Vorschläge; die Lehrkraft validiert, ergänzt und korrigiert in jedem Einzelfall. In Mathematik und Physik ist die angezeigte Note eine deterministische, nicht KI-gestützte Abbildung der geprüften BE-Punkte auf den festen Notenschlüssel — als überschreibbare Orientierung angezeigt, erst durch die Lehrkraft-Freigabe wirksam. KI-VO-Einstufung v1.3 dokumentiert den Assistenz-Charakter. Beleg
Grundrechtefolgenabschätzung — wenn KI in pädagogischen Verfahren eingesetzt wird, ist eine Grundrechtefolgenabschätzung zu erwägen.S. 7	Korrigio liefert mit der DSFA v2.4 eine vollständige Folgenabschätzung inklusive Schul-Adaptions-Anhang. Schul-DSB übernimmt direkt. Beleg

Schulleitungs-Freigabe als Betriebsmittel — der Einsatz von Korrigio bedarf einer schriftlichen Freigabe durch die Schulleitung als technisches Hilfsmittel.

S. 5

Korrigio liefert das Schulleitungs-Freigabe-Formular (TMPL-01) als ausfüllbare DOCX. Schulleitung dokumentiert Genehmigung im eigenen Verwaltungsakt. Beleg

Prüfung rechtlicher Anforderungen — Schule prüft DSGVO-, KI-VO- und schulrechtliche Anforderungen vor Einsatz.

S. 4

Korrigio stellt DSFA v2.4, KI-VO-Einstufung v1.3 und DSB-Stellungnahme bereit — alle drei Dokumente decken die Prüf-Bausteine ab. Beleg

AVV-Zeichnung — Schule und Auftragsverarbeiter schließen einen AVV nach Art. 28 DSGVO.

S. 4

Korrigio stellt eine fertige AVV-Vorlage (Korrigio ↔ Schule) bereit. Schulleitung unterzeichnet ohne juristischen Eigenaufwand. Beleg

AVV-Kontrolle durch DSB — die schulische DSB prüft den AVV vor Unterzeichnung.

S. 7

Korrigio liefert die DSB-Stellungnahme-Public-Variante als Vorlage für die DSB-Prüfung. AVV-Leitfaden für Schulleitungen erklärt jede Klausel. Beleg

Information statt Einwilligung — Eltern und Schüler werden informiert, eine Einwilligung ist bei schulischer Erforderlichkeit nicht zwingend nötig.

S. 5

Korrigio stellt ein druckfertiges Eltern-Informationsblatt im DIN-A4-Format bereit. Schule verteilt im üblichen Eltern-Informationsweg. Beleg

Verfahrensverzeichnis-Aufnahme — die Verarbeitung wird im Verfahrensverzeichnis der Schule eingetragen (Art. 30 DSGVO).

S. 15

Korrigio liefert ein vorausgefülltes Verfahrensverzeichnis-Eintrag-Template (TMPL-02). Schule trägt nur noch eigenständige Felder (Verantwortlicher, betroffene Klassen) nach. Beleg

Datenschutzkonforme Verarbeitung — der Anbieter verarbeitet Daten ausschließlich auf Weisung der Schule und nach Art. 28-32 DSGVO.

S. 7

Korrigio dokumentiert in DSFA §6 die 26 TOMs (technische und organisatorische Maßnahmen). Anbieter-Verarbeitung erfolgt ausschließlich auf Schul-Weisung. Beleg

Keine Drittlandsübermittlung — keine personenbezogenen Daten verlassen den EWR ohne Schrems-II-konforme Garantien.

S. 7

Schüler- und Korrekturdaten werden ausschließlich in der EU verarbeitet: VPS Nürnberg, AWS Bedrock Frankfurt, Mistral AI Paris, Supabase Frankfurt (Datenfluss-Diagramm oben). Account- und Sicherheitsdaten der Lehrkraft werden bei Stripe, Resend und hCaptcha (USA) auf Grundlage von EU-Standardvertragsklauseln (SCCs) verarbeitet — siehe Datenschutzerklärung §7. Beleg

Kein Training auf Eingabedaten — die Daten der Schule dürfen nicht zum Training des KI-Modells verwendet werden.

S. 7

Korrigio-DPAs (AWS, Mistral) garantieren vertraglich: keine Trainings-Nutzung. Dokumentiert in Sub-Processor-Register. Beleg

Lehrkraft-Letztentscheid — die finale Bewertungsentscheidung trifft immer die Lehrkraft, nicht das KI-System (Art. 22 DSGVO).

S. 8

Korrigio liefert Vorschläge; die Lehrkraft validiert, ergänzt und korrigiert in jedem Einzelfall. In Mathematik und Physik ist die angezeigte Note eine deterministische, nicht KI-gestützte Abbildung der geprüften BE-Punkte auf den festen Notenschlüssel — als überschreibbare Orientierung angezeigt, erst durch die Lehrkraft-Freigabe wirksam. KI-VO-Einstufung v1.3 dokumentiert den Assistenz-Charakter. Beleg

Grundrechtefolgenabschätzung — wenn KI in pädagogischen Verfahren eingesetzt wird, ist eine Grundrechtefolgenabschätzung zu erwägen.

S. 7

Korrigio liefert mit der DSFA v2.4 eine vollständige Folgenabschätzung inklusive Schul-Adaptions-Anhang. Schul-DSB übernimmt direkt. Beleg

Wörtliche Zitate aus dem KM-Handlungsleitfaden 28.11.2025.

Datenfluss

Der Datenfluss der Schülerarbeiten bleibt vollständig in der EU. Sie sehen unten den vollständigen Weg vom Schul-Browser bis zur Datenbank — keine Drittlandübermittlung von Schülerdaten. Account- und Sicherheitsdaten der Lehrkraft werden bei Stripe, Resend und hCaptcha (USA) auf Grundlage von EU-Standardvertragsklauseln (SCCs) verarbeitet (siehe Datenschutzerklärung §7).

Schule (Browser)

HTTPS / TLS 1.3 — Lehrkraft lädt Foto hoch

Nürnberg, Deutschland (Netcup VPS)

Korrigio-Backend — empfängt Upload, prüft die Anonymisierungs-Bestätigung der Lehrkraft, orchestriert

Plaintext — OCR entfällt

Plaintext-Pfad: VPS → LLM (OCR entfällt)

Frankfurt am Main (eu-central-1)

AWS Bedrock — Claude Sonnet 4.6 (OCR, nur bei Foto-Pfad)

Frankfurt am Main (eu-central-1)

AWS Bedrock — Claude Opus 4.6 (Korrektur und Kommentartext)

Frankfurt am Main

Supabase PostgreSQL — Korrekturen und Schul-Stammdaten

— Fallback nur bei Ausfall der gesamten AWS-Region Frankfurt —

Paris, Frankreich

Mistral AI — Mistral Large (kein Vision-Input, nur Text-Korrektur)

Seitenbilder werden 30 Tage nach Korrekturabschluss automatisch gelöscht (DSFA v2.4 §6.1 M3, Quelle: DSB-Stellungnahme, Addendum 2026-06-11).

Im Plaintext-Pfad wird die hochgeladene DOCX/TXT-Datei nach Extraktion gelöscht (DSFA v2.4 §6.1 M3).

Wie sind die Sub-Auftragsverarbeiter vertraglich gebunden?

AWS-DPA und Mistral-DPA binden automatisch über die jeweiligen Terms of Service / Customer Agreement (AWS Service Terms §11.2, Mistral TOS-Incorporation). Es ist keine separate Counter-Signature durch Ihre Schule erforderlich. Die vollständige Sub-Processor-Liste mit Region und Vertragsbindung-Mechanismus liegt zusätzlich als Compliance-Dokument vor.

AWS Bedrock

Frankfurt (eu-central-1)

AWS GDPR-DPA — automatisch über AWS Customer Agreement

Mistral AI

Paris, Frankreich

DPA via TOS-Incorporation §11.2 (nur Fallback)

Supabase

Frankfurt (eu-central-1)

DPA via Supabase-Dashboard

Netcup

Nürnberg, Deutschland

Hosting-AGB + AVV

Sentry

EU-Region

Signed DPA — keine Nutzerinhalte

Stripe

Irland (EU)

DPA via Stripe-Konsole — keine Schülerdaten

Resend

USA (Drittland, SCCs)

DPA via Resend-Terms + EU-SCCs — nur Lehrkraft-Daten, keine Schülerdaten

hCaptcha

USA (Drittland, SCCs)

DPA via hCaptcha-Terms + EU-SCCs — nur Lehrkraft-Daten, keine Schülerdaten

Checkliste: Was Sie an Ihrer Schule konkret tun

Fünf nummerierte Schritte, eins zu eins gemappt auf die Verfahrensbeschreibung des KM-Handlungsleitfadens. Pro Schritt sehen Sie die KM-Seitenangabe und die konkrete Korrigio-Vorlage, die Sie verwenden.

Schritt 1KM S. 5

Schulleitungs-Freigabe als Betriebsmittel

Die Schulleitung füllt das Schulleitungs-Freigabe-Formular (TMPL-01) aus, unterzeichnet es und legt es in der Schul-Akte ab. Das Formular dokumentiert die schriftliche Genehmigung von Korrigio als technisches Hilfsmittel — Voraussetzung für jeden weiteren Schritt.

Schritt 2KM S. 4

AVV zwischen Schule und Korrigio zeichnen

Sie fordern bei Korrigio die Pilot-AVV-Vorlage an. Schulleitung und Korrigio unterzeichnen den Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Die AVV-Vorlage ist vollständig vorbereitet — kein juristischer Eigenaufwand der Schule nötig.

Schritt 3KM S. 7

DSB der Schule kontrolliert den AVV

Der schulische Datenschutzbeauftragte prüft den AVV anhand der DSB-Stellungnahme-Public-Variante. Diese Stellungnahme ist generalisiert für alle Bayern-Schulen und enthält alle Prüf-Bausteine — TOMs, Sub-Auftragsverarbeiter, Drittlandsübermittlung, Trainings-Verbot.

Schritt 4KM S. 5

Information an Lehrkräfte, Schüler und Eltern

Sie verteilen das vorbereitete Eltern-Informationsblatt im üblichen Eltern-Informationsweg. Eine Einwilligung ist bei schulischer Erforderlichkeit nicht erforderlich — die Information genügt (KM-Handlungsleitfaden Seite 5).

Schritt 5KM S. 15

Verfahrensverzeichnis-Eintrag

Sie tragen das Verfahren in das Verfahrensverzeichnis Ihrer Schule ein (Art. 30 DSGVO). Das vorausgefüllte Verfahrensverzeichnis-Eintrag-Template (TMPL-02) liefert alle Korrigio-spezifischen Felder — Sie ergänzen nur Verantwortlichen, Zwecke und betroffene Klassen.

Compliance-Dokumente

Das vollständige Compliance-Bundle umfasst neun Dokumente, die genau die Anforderungen des KM-Handlungsleitfadens abdecken — von der Schulleitungs-Freigabe bis zur DSB-Stellungnahme.

Alle 9 Dokumente als ZIP herunterladen (388 KB)

Noch Fragen?

Sie haben Rückfragen zum Compliance-Material oder möchten einen Termin vereinbaren? Schreiben Sie mir direkt.

Kontakt aufnehmen