anonym.legal
Zurück zum BlogLegal Tech

COPPA April 2026: Was EdTech-Plattformen vor der...

Die aktualisierte COPPA-Regelung tritt am 22. April 2026 in Kraft. Reddit wurde wegen Ausfällen bei Kinderdaten mit £14.47M gebüßt.

March 16, 20266 min Lesezeit
COPPAFERPAchildren data privacyEdTech compliancestudent data2026 deadline

Die Frist: 22. April

Aktualisiert für 2026

Die FTC hat COPPA überarbeitet. Die neue Regel tritt am 22. April 2026 in Kraft. Das ist die erste große Änderung seit 2013. EdTech-Plattformen, die Kinder unter 13 Jahren bedienen, müssen jetzt handeln. Es bleiben Wochen, keine Monate.

Die Änderungen sind tiefgreifend. Plattformen, die auf den Regeln von 2013 aufgebaut wurden, müssen Kernsysteme prüfen und aktualisieren. Kleine Anpassungen reichen nicht aus.

Reddits Bußgeld: Eine klare Warnung

Im März 2026 hat das britische ICO Reddit mit £14,47 Millionen bestraft. Warum? Reddit hat Kinder nicht vor schädlichen Inhalten geschützt. Die Altersverifikation war zu schwach. Minderjährige gelangten durch.

Diese Strafe war nach UK-DSGVO, nicht nach COPPA. Aber die Art des Versagens ist dieselbe. COPPA 2026 zielt auf Plattformen ab, die wissen, dass Minderjährige vorhanden sind, sie aber nicht schützen.

EdTech hat eine härtere Ausgangsposition. Diese Plattformen wissen, wer ihre Nutzer sind. Sie verkaufen an Schulen. Sie werben bei Eltern. Sie sehen E-Mail-Adressen von Schülern. Die Verteidigung „Wir wussten es nicht" steht nicht zur Verfügung.

Was COPPA 2026 geändert hat

Die FTC-Aktualisierung fügte fünf Schlüsselregeln für EdTech-Plattformen hinzu.

1. Datensparsamkeit ist jetzt Pflicht

Erheben Sie nur, was der Dienst wirklich braucht. Die Regel von 2013 erlaubte breite Erhebung mit elterlicher Zustimmung. Die Regel von 2026 verbietet zusätzliche Erhebung auch mit Zustimmung. Geräte-IDs, Tracking-Signale und Standortdaten, die der Dienst nicht benötigt, müssen jetzt gestoppt werden.

2. Keine zielgerichtete Werbung für Minderjährige

EdTech-Plattformen dürfen Kinderdaten nicht für Verhaltensanzeigen verwenden. Die Zustimmung ändert daran nichts. Einige Plattformen nutzten Pauschalzustimmungen, um breite Datenverwendung zu rechtfertigen. Diese Lücke ist nun geschlossen.

3. Separate Einwilligung für KI-Funktionen

Jede KI-Funktion, die Kindereingaben verarbeitet, benötigt eine eigene Einwilligungserklärung. KI-Tutoren, Schreibwerkzeuge und adaptive Engines zählen alle dazu. Die Einwilligung für den Hauptdienst deckt KI-Add-ons nicht ab.

4. Löschregeln mit echten Konsequenzen

Löschen Sie Kinderdaten, wenn sie nicht mehr benötigt werden. Plattformen, die automatische Löschung nach festem Zeitplan durchführen, haben eine geringere Haftung in FTC-Verfahren. Das ist ein echter sicherer Hafen — nutzen Sie ihn.

5. Höhere Anforderungen an die Anonymisierung

Einen Namen zu entfernen reicht nicht aus. Plattformen müssen nachweisen, dass eine Re-Identifizierung nicht vernünftigerweise möglich ist. Für aggregierte Analysen bedeutet das k-Anonymität oder Differential Privacy.

FERPA und COPPA: Beide gelten

Für K-12-Plattformen, die mit Schulen zusammenarbeiten, gilt FERPA neben COPPA. Das ist wichtig:

  • FERPA erlaubt Schulen, Schülerdaten mit Anbietern zu teilen — aber nur für vertraglich vereinbarte Dienste
  • COPPA gilt weiterhin für Kinder unter 13, auch wenn FERPA die Weitergabe erlaubt
  • Schuleinwilligung unter FERPA ersetzt nicht die elterliche COPPA-Einwilligung

FERPA-Konformität ist nicht COPPA-Konformität. Beide müssen separat erfüllt werden.

Was vor dem 22. April zu tun ist

Arbeiten Sie diese Checkliste vor der Frist ab.

Bestandsaufnahme

  • Listen Sie alle Daten auf, die von Nutzern unter 13 Jahren erhoben werden
  • Finden Sie alle Drittanbieter-Tools, die Kinderdaten erhalten — Analyse, CRM, Monitoring
  • Prüfen Sie die Einwilligung für jeden Erhebungstyp

Anonymisierung

  • Fügen Sie PII-Erkennung zu Schülerinhalten hinzu, bevor sie protokolliert werden
  • Entfernen Sie Namen, E-Mail-Adressen und Schüler-IDs aus Analyseereignissen
  • Anonymisieren Sie aggregierte Berichte für die Produktanalyse
  • Bereinigen Sie KI-Trainingsdaten, die Schülereingaben enthalten

Einwilligung

  • Erstellen Sie separate Einwilligungsabläufe für jede KI-Funktion
  • Protokollieren Sie die Einwilligung mit Zeitstempeln
  • Fügen Sie einen Widerrufsablauf hinzu, der sofort die Löschung auslöst

Aufbewahrung

  • Legen Sie für jeden Datentyp eine Aufbewahrungsfrist fest
  • Automatisieren Sie die Löschung nach Ablauf der Fristen
  • Prüfen Sie Backup-Systeme auf Lücken

Anbieter

  • Überprüfen Sie Verarbeitungsverträge mit allen Unterauftragnehmern
  • Bestätigen Sie, dass Analyseanbieter Kinderdaten nicht für Werbung verwenden
  • Aktualisieren Sie Verträge gemäß dem Anonymisierungsstandard von 2026

Wie Anonymisierung hilft

Die neue Anonymisierungsregel ist der technisch anspruchsvollste Teil von COPPA 2026. Namen allein zu entfernen erfüllt den Standard nicht. Sie brauchen ein System, das alle personenbezogenen Daten in jedem Datenfluss findet und entfernt.

anonym.legal erkennt 285+ Entitätstypen in 48 Sprachen. Viele EdTech-Plattformen bedienen Schüler, die viele Sprachen sprechen. Schüler-PII erscheint auf Spanisch, Mandarin, Arabisch und Dutzenden anderen — nicht nur auf Englisch. Breite Sprachabdeckung ist hier kein Nice-to-have. Es ist ein Compliance-Bedarf.

Die Plattform erkennt auch Randfälle, die manuelle Prüfung übersieht. Telefonnummern, Schüler-ID-Muster und indirekte Identifikatoren sind in Schülerinhalten häufig. Automatische Erkennung findet diese in großem Maßstab. Manuelle Prüfung tut es nicht.

Die Batch-Verarbeitungsfunktion ermöglicht es Teams, bestehende Datenbanken durch das Tool zu verarbeiten. Das deckt alte Schülerinhalte ab, die nun den höheren Standard erfüllen müssen. Rückwirkende Anonymisierung ist Teil des Compliance-Bildes unter der Regel von 2026.

Lesen Sie unsere Sicherheits- und Compliance-Übersicht dazu, wie wir sensible Daten behandeln. Die rechtliche Compliance-Seite behandelt sowohl FERPA als auch COPPA im Detail.

Die Kosten des Abwartens

COPPA-Verstöße können Bußgelder von bis zu 51.744 US-Dollar pro Verstoß pro Tag nach sich ziehen. Für eine Plattform mit 100.000 Schülerkonten könnte eine systemische Lücke bei der Anonymisierung Bußgelder in Höhe von Dutzenden von Millionen bedeuten.

Reddits Bußgeld betrug £14,47 Millionen. Reddit hat Milliarden an Einnahmen. Für eine mittelgroße EdTech-Plattform wäre eine ähnliche Strafe existenzbedrohend.

Der 22. April ist nah. Die Arbeit ist machbar, wenn sie jetzt beginnt. Regulatoren haben deutlich gemacht, dass sie die neue Regel durchsetzen werden. Abwarten ist keine Strategie.

Beginnen Sie heute mit der Anonymisierung von Schülerdaten →

Quellen

  • FTC COPPA-Regelaktualisierung, Federal Register, 2025 (in Kraft ab 22. April 2026)
  • ICO-Reddit-Durchsetzungsbescheid, März 2026 — £14,47 Millionen Bußgeld
  • FERPA, 20 U.S.C. § 1232g, und Durchführungsverordnungen 34 CFR Teil 99
  • FTC COPPA FAQ: KI-gestützte Funktionen und elterliche Einwilligung, 2026

Verwandte Artikel

Legal Tech

Mixed Format E-Discovery: Compliance Gap

E-discovery productions and GDPR DSARs span PDFs, Word docs, Excel, and JSON exports. Using different tools for each format creates consistency gaps that.

Legal Tech

The PDF Redaction Trap: Data Exposed

The DOJ Epstein files, the Manafort case, and NSA leaks all share the same failure: cosmetic redaction that leaves underlying text extractable.

Legal Tech

Legal PII: Privilege Detection

Case reference numbers, bar admission numbers, court docket numbers, and client matter IDs are legally sensitive identifiers that standard PII tools miss.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.