Datenschutzerklärung der Schülerfirmen-App (“HeySchüfi“)

Stand 16.02.2023

Der Schutz persönlicher Daten und der Privatsphäre der Nutzerinnen und Nutzer der „HeySchüfi“App (nachfolgend App) ist für uns sehr wichtig. Für die App werden nur die Daten erhoben, die zum Betrieb und zur Bereitstellung einer optimalen und sicheren, digitalen Anwendung benötigt werden. Zum Schutz der Daten wird nach dem aktuellen Stand der Technik gearbeitet. Wie genau dies erfolgt und welche Rechte in Bezug auf persönliche Daten bestehen, wird in dieser Datenschutzerklärung genauer beschrieben.

1. Name und Kontaktdaten des für die Verarbeitung Verantwortlichen

Verantwortlicher für die Verarbeitung ist die Schule, vertreten durch den Schulleiter oder die Schulleiterin.

Falls an der Schule selbst kein(e) Datenschutzbeauftragte(r) vorhanden ist, wenden Sie sich bitte an:

Landesamt für Schule und Bildung
Datenschutzbeauftragter für öffentliche Schulen Dresdner Straße 78c
01445 Radebeul
dsgvo@lasub.smk.sachsen.de

Zuständiger für das technische Gesamtkonzept der App

Zuständig für die inhaltlich-technische Erweiterung (nicht im datenschutzrechtlichen Sinn) für die App ist die:

mewedo GmbH & Co. KG (nachfolgend mewedo genannt)
Emilienstr. 23
04107 Leipzig
info@mewedo.de (für allgemeine Anfragen)
support@mewedo.de (für App Supportanfragen)

mewedo verantwortet die zukünftige inhaltliche und technische Weiterentwicklung der App. mewedo übernimmt im Produktivbetrieb das Hosting (über Unterauftragsverarbeitung), die Softwarepflege und den technischen Support der App.

3 Allgemeines zur Datenverarbeitung

3.1 Umfang der Verarbeitung personenbezogener Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese Daten sind gesetzlich durch die Datenschutz-Grundverordnung (DSGVO) besonders geschützt.

Personenbezogene Daten unserer Nutzer werden grundsätzlich nur erhoben und verarbeitet, soweit dies zur Bereitstellung der App mit all ihren Funktionen erforderlich ist. Die Erhebung und Verarbeitung personenbezogener Daten der Nutzerinnen und Nutzer erfolgt nur, sofern die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist oder nach Einwilligung der Nutzerin oder des Nutzers.

3.2. Rechtsgrundlagen für die Verarbeitung personenbezogener Daten

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 Buchst. a DSGVO als Rechtsgrundlage. Ist die Verarbeitung zur Wahrung eines berechtigten Interesses des Verantwortlichen oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung

3.3. Weitergabe und Empfänger der Daten

Man spricht von Datenweitergabe, sobald die personenbezogenen Daten zur Verarbeitung an Dritte (außerhalb der verantwortlichen Stelle) weitergegeben werden. Sobald die Daten an Dritte übermittelt werden, bezeichnet man diese als Empfänger.

Wenn personenbezogene Daten weitergegeben werden, so passiert dies ausschließlich an Dienstleistungsunternehmen, die bei der Erfüllung der hier beschriebenen Zwecke unterstützen. Diese Unternehmen dürfen Ihre personenbezogenen Daten als sog. Auftragsverarbeiter lediglich zur Erfüllung ihrer Aufgaben in unserem Auftrag nutzen und sind verpflichtet, die einschlägigen Datenschutzbestimmungen einzuhalten.

Empfänger der Daten sind aktuell die berechtigten Mitarbeiterinnen und Mitarbeiter der

• Servicestelle Schülerfirmen, LSJ Sachsen e.V. Hoyerswerdaer Str. 22, 01099 Dresden
• mewedo GmbH & Co. KG, Emilienstr. 23, 04107 Leipzig

Nur diejenigen erwähnten Mitarbeiterinnen und Mitarbeiter sind zur Verarbeitung der Daten der Nutzerinnen und Nutzer berechtigt, die diese zur Umsetzung der in dieser Erklärung genannten Zwecke wirklich benötigen.

Zusätzlich können eingesetzte Unterauftragsverarbeiter (nach Art. 28 DSGVO) Daten zu den oben genannten Zwecken erhalten und verarbeiten, wenn diese zur Erbringung der angeforderten Leistungen notwendig sind. Dies sind Unternehmen der Kategorien IT-Dienstleistungen und Internetdienstanbieter (Hostinganbieter).

Aktuell von mewedo eingesetzte Unterauftragsverarbeiter:

• Serverhosting: Firma Strato AG, Datenschutzerklärung: https://www.strato.de/datenschutz/
• Software zur Fehlerbehandlung (Bugfender): Firma Beenario GmbH, https://bugfender.com/privacy-policy

Bugfender ist eine Software zum Erfassen von Fehlern, die zur Laufzeit aufgetreten sind und/oder zum Absturz der App geführt haben. Hinter Bugfender steht die deutsche Firma Beenario GmbH. Beenario ist ISO 27001 zertifiziert und setzt Vorgaben der DSGVO und des BDSG um.

mewedo steht im Rahmen der App mit Beenario und Strato jeweils in einem Unterauftragsverarbeitungsverhältnis. Nutzerinnen und Nutzer der App können freiwillig der Nutzung von Bugfender in einer separaten Einwilligungserklärung zustimmen und diese Zustimmung auch jederzeit widerrufen.

Es ist nicht beabsichtigt die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln.

3.4. Datenlöschung und Speicherdauer

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Bei einer Einwilligung können die Daten bis zum Widerruf der Einwilligung gespeichert werden. Eine Speicherung kann darüber hinaus stattfinden, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, in Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten geschieht auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

4 Bereitstellung der App und Erstellung von Logfiles

4.1 Beschreibung und Zwecke der Datenverarbeitung

Es werden personenbezogene Daten durch direkte Eingabe der Nutzerinnen und Nutzer in der App und der Datenbank erfasst. Außerdem werden technische Daten nach erfolgter Einwilligung der Nutzerinnen und Nutzer automatisch durch die zugrundeliegende IT-Infrastruktur erhoben und gespeichert.

Personenbezogene Daten

Um die App auf dem Smartphone nutzen zu können wird ein Account (Zugang) benötigt. Für die Erstellung des Accounts (Registrierung) werden personenbezogene Daten der Nutzerinnen und Nutzer erhoben und gespeichert, die ausführlich in der Einwilligungserklärung zur App im Kapitel „Beschreibung und Zwecke der Datenverarbeitung“ beschrieben werden.

Nach erfolgreicher Erstellung des Accounts können die Nutzerinnen und Nutzer die bereitgestellten Funktionen der App nutzen, um mittels selbst verfassten Texten, Bildern und Videos neue Feed-Beiträge (sog. Neuigkeiten) zu erstellen; die eigene Institution (z. B. Schülerfirma oder Schülerfirmen Servicestelle) und deren Arbeit zu präsentieren; um eigens erstellte Events anzulegen und zu beschreiben; um Kommentare zu und oder Likes von Feed-Beiträgen zu erstellen und um To-do-Listen und To-do-Einträge zu erstellen etc.

Jeder dieser Inhalte wird in der Datenbank mit der persönlichen Identifikationsnummer (uuid) des Nutzers / der Nutzerin und einem Zeitpunkt verknüpft, um eine eindeutige Zuordnung zu diesen gewährleisten zu können. Die gelisteten Inhalte können die Nutzerinnen und Nutzer in Form von Texten, Medien (Bilder, Videos) und Dokumenten innerhalb der App für beschriebenen Zwecke erstellen und speichern. Diese Inhalte sind standardmäßig nur innerhalb der eigenen Schülerfirma sichtbar, es sei denn beim Hinzufügen dieser Inhalte wird ausdrücklich ausgewählt, diese Inhalte und Beiträge auch unter befreundeten bzw. allen Teilnehmerinnen und Teilnehmern im Netzwerk sichtbar zu machen. Beiträge werden nur im Namen der eigenen Schülerfirma für die anderen Teilnehmerinnen und Teilnehmer sichtbar. Somit wird keine direkte persönliche Zuordnung der Inhalte zum Ersteller, also z. B. zum Namen des Schülers bzw. der Schülerin innerhalb der App angezeigt. Bei Chatnachrichten wird der vollständige Name des Nutzers / der Nutzerin im Chatraum angezeigt.

Technische Daten der App

Um den nahtlosen Betrieb der App dauerhaft gewährleisten zu können werden folgende technische Daten erhoben:

• Plattform (iOS oder Android) inkl. Version des Betriebssystems auf dem Endgerät (Smartphone),
• Hersteller und Modell des verwendeten Endgeräts,
• Version der auf dem Endgerät installierten App.

Technische Nutzungsdaten

Folgende Daten werden verarbeitet, um Details zur Nutzung der App zu analysieren und dadurch technische und funktionale Verbesserungen bereitstellen zu können:

• Genaue Zeitpunkte der der App-Nutzung für jede(n) Nutzerin / Nutzer,
• Dauer der Nutzung,
• Verwendete App-Einstellungen (z. B. Benachrichtigungen ein- oder ausgeschaltet).

Diese Daten werden ebenfalls in den Logfiles des Systems gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers oder der Nutzerin findet nicht statt.

Erforderliche Zugriffsberechtigungen der App

Es werden nur die Zugriffsberechtigungen genutzt, die für den reibungslosen und funktionalen Betrieb der App notwendig sind. Die App benötigt Zugriff auf folgende Funktionen des Endgeräts:

• Zugriff auf Kamera des Smartphones, um Fotos und Videos aufzunehmen und diese zu Inhalten in der App hinzuzufügen.
• Zugriff auf Foto- und Videodateien („Galerie“) des Endgeräts, um diese zu Inhalten in der App hinzuzufügen.
• Push-Benachrichtigungen, um wichtige Mitteilungen über die App zu erhalten (z. B. falls eine neue Freundschaftsanfrage einer anderen Schülerfirma eingegangen ist).
• Geräte-ID und Anrufinformationen die in den App-Stores für Statistiken verwendet werden.

Datenerhebung beim Download der App

Beim Download der App werden bestimmte Daten zur Person an den entsprechenden App Store (Apple App Store oder Google Play Store) übermittelt. Insbesondere werden beim Herunterladen der Nutzername, die Kundennummer des Accounts, die E-Mail-Adresse, die Gerätekennziffer, Zahlungsinformationen sowie der Downloadzeitpunkt an den App Store übertragen. Auf die Erhebung und Verarbeitung dieser Daten hat die/der Verantwortliche keinen Einfluss, sie erfolgt durch den von dem/der Nutzer/in ausgewählten App Store. Daher ist allein der von dem/der Nutzer/in ausgewählte App Store für diese Erhebung und Verarbeitung verantwortlich.

4.2 Rechtsgrundlage für die Verarbeitung

Als Rechtsgrundlage für die Speicherung und Verarbeitung der unter Punkt 4.1 beschriebenen Daten (Accountdaten und Inhaltsdaten) dient Art. 6 Abs. 1 Buchst. a DSGVO. Rechtsgrundlage für die vorübergehende Speicherung und Verarbeitung der technischen Daten der App, der technischen Nutzungsdaten und der Logfiles ist Art. 6 Abs. 1 Buchst. f DSGVO.

4.3 Zweck der Datenverarbeitung

Die unter Punkt 4.1 beschriebenen personenbezogene Daten von Nutzerinnen und Nutzern (Accountdaten und Inhaltsdaten) werden ausschließlich zur Erbringung der angeforderten Leistungen im Rahmen der App verarbeitet, wenn Nutzerinnen und Nutzer vorher in die Verarbeitung eingewilligt haben oder darüber hinaus aufgrund der Datenschutzgesetze eine zusätzliche Befugnis besteht.

Die Speicherung und Verarbeitung der technischen Daten der App, der technischen Nutzungsdaten und der Logfiles erfolgt, um die Funktionsfähigkeit der App sicherzustellen, zur Optimierung der App und zur Wahrung der Sicherheit der informationstechnischen Systeme. In diesen Zwecken liegt auch das berechtigte Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 Buchst. f DSGVO.

4.4 Dauer der Speicherung

Die Daten der Nutzerinnen und Nutzer werden nur erhoben, verarbeitet und gespeichert, solange eine Einwilligung dafür vorliegt bzw. solange wie dies nach den gesetzlichen Vorgaben zulässig ist. Widerrufen die Nutzerinnen und Nutzer ihre Einwilligung oder beantragen sie die Löschung des eigenen Accounts, werden die Daten ggf. entsprechend der gesetzlichen Aufbewahrungsfrist archiviert und danach gelöscht. Nachdem Nutzerinnen und Nutzer die Löschung des eigenen Accounts innerhalb der App beantragt haben, bleiben die Daten noch 30 Tage gespeichert und werden danach unwiderruflich gelöscht, falls die Löschung nicht durch gesetzliche Vorgaben verhindert ist. Innerhalb dieser Zeit haben die Nutzerinnen und Nutzer noch die Gelegenheit vom Auskunftsrecht laut Art. 15 DSGVO Gebrauch zu machen.

4.5 Betroffenenrechte

Der Schutz und die Sicherheit der erhobenen und verarbeiteten personenbezogenen Daten aller Nutzerinnen und Nutzer der App haben höchste Priorität. Sie, als Nutzer oder Nutzerin, haben verschiedene Rechte in Bezug auf den Datenschutz, die im folgenden Abschnitt näher erläutert werden. Diese Rechte können Sie kostenfrei in Anspruch nehmen:

• Das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten (Artikel 15 DSGVO),
• Das Recht auf Berichtigung der Sie betreffenden unrichtigen personenbezogenen Daten (Artikel 16 DSGVO),
• Das Recht auf Löschung personenbezogener Daten (Artikel 17 DSGVO),
• Das Recht auf Einschränkung der Verarbeitung von personenbezogenen Daten (Artikel 18 DSGVO),
• Das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO),
• Das Recht auf Widerspruch gegen die Verarbeitung personenbezogener Daten (Artikel 21 DSGVO).
• Darüber hinaus haben Sie das Recht, Ihre Einwilligung(en) zur Verarbeitung ihrer personenbezogenen Daten jederzeit zu widerrufen. Die Rechtmäßigkeit, der bis zum Widerruf erfolgten Verarbeitung, wird durch den Widerruf jedoch nicht berührt.
• Beschwerden hinsichtlich der Datenverarbeitung können bei der Schule bzw. dem für die Schule zuständigen Datenschutzbeauftragten eingereicht werden.
• Sie haben nach Artikel 77 DSGVO das Recht, sich bei der Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie oder Ihr Kind betreffenden personenbezogenen Daten nicht rechtmäßig ist. Aufsichtsbehörde ist:

  Die Sächsische Datenschutzbeauftragte
  Devrientstraße 1
  01067 Dresden

4.6. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung statt.

4.7. Freiwilligkeit der Einwilligung

Die Bereitstellung der Daten ist freiwillig und weder gesetzlich noch vertraglich vorgeschrieben. Bei nicht Erteilung der Einwilligung können Nutzerinnen und Nutzer die App nicht nutzen.

5 Sicherheit

mewedo speichert und verarbeitet sämtliche Daten der Nutzerinnen und Nutzer und alle anderen Daten der App auf Servern mit Standort in Deutschland. Die Server werden von durch mewedo ausgewählte Unterauftragnehmer bereitgestellt:

• Strato AG, Datenschutzerklärung: https://www.strato.de/datenschutz/

Die Speicherung sämtlicher unter Punkt 4 genannten personenbezogenen Daten erfolgt daher im Auftrag von mewedo und auf Grundlage von Art. 28 DSGVO. Strato ist verpflichtet die gesetzlichen Bestimmungen über Datenschutz und Datensicherheit einzuhalten. Die App überträgt Daten auf und von den Servern über eine verschlüsselte Verbindung mittels kryptographischem Transport Layer Security Protokoll (TLS der aktuellsten Version). Somit ist es es unbefugten Dritten nicht möglich, die Daten auszulesen.

Nach Art. 32 DSGVO sind Verantwortliche und Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen (kurz: TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Verarbeitung der personenbezogenen Daten erfolgt unter Berücksichtigung des Stands der Technik und gemäß den Anforderungen der deutschen Datenschutzgesetze. Es wird durch geeignete Maßnahmen sichergestellt, dass die personenbezogenen Daten der Nutzerinnen und Nutzer bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

6 Änderung der Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand Februar 2023 und kann jederzeit in Hinblick auf geltende Datenschutzvorschriften angepasst werden. Die Datenschutzerklärung kann auf der Internetseite von mewedo (https://www.mewedo.de/dse-heyschuefi) als auch innerhalb der App abgerufen und eingesehen werden.