schulfoto
schulfoto

Datenschutzerklärung für app.schülerausweis.de

Stand: 19. April 2025

1. Verantwortlicher und allgemeine Hinweise

Der Schutz Ihrer persönlichen Daten hat für uns höchste Priorität. Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten im Rahmen der Nutzung von app.schülerausweis.de und die damit verbundenen Dienste.

1.1 Verantwortlicher für die Datenverarbeitung

Susanne Henkel
app.schülerausweis.de by Energy-Imaging: Die Experten für Schulmarketing
Schubertstraße 21
40699 Erkrath
E-Mail: datenschutz@energy-imaging.de

Für alle Fragen zum Datenschutz können Sie sich jederzeit an uns wenden. Das Kontaktformular finden Sie unten.

1.2 Rechtsgrundlage der Verarbeitung

Für den digitalen Schülerausweis gibt es mehrere rechtliche Grundlagen, die die Verarbeitung personenbezogener Daten regeln. Da unser Unternehmen als Auftragsverarbeiter für die Schulen tätig ist, sind insbesondere die DSGVO (Datenschutz-Grundverordnung) sowie spezifische landesrechtliche Vorschriften in Deutschland relevant.

1.2.1 Rechtsgrundlagen nach DSGVO

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Verarbeitung ist erlaubt, weil sie zur Erfüllung des Vertrags zwischen der Schule und dem Schüler bzw. den Erziehungsberechtigten erforderlich ist.
  • Art. 6 Abs. 1 lit. e DSGVO (Öffentliches Interesse): Schulen sind öffentliche Einrichtungen, und Schülerausweise dienen der Identifikation im schulischen Umfeld und ggf. für Vergünstigungen (z. B. Nahverkehr).
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Falls der Schülerausweis freiwillig genutzt wird oder Zusatzfunktionen hat, kann eine Einwilligung der Schüler*innen bzw. Eltern erforderlich sein.
  • Art. 28 DSGVO (Auftragsverarbeitung): Ihr Unternehmen ist Auftragsverarbeiter und darf Daten nur im Auftrag und nach Weisung der Schule verarbeiten. Ein AVV ist erforderlich.

1.2.2 Landesrechtliche Regelungen in Deutschland

  • Schulgesetze der Bundesländer: Schülerausweise sind meist schulorganisatorisch geregelt.
  • DSG-EKD & KDG: Für kirchliche Schulen können DSG-EKD oder KDG gelten.

2. Erhobene und verarbeitete personenbezogene Daten

2.1 Verarbeitete Datenkategorien

DatenkategorieZweck der Verarbeitung
Name, VornameIdentifikation der Person
GeburtsdatumAltersverifikation
Schüler-ID (aus Schulverwaltung)Eindeutige Zuordnung im System
Foto des SchülersDarstellung auf dem Schülerausweis
E-Mail-AdresseEinladung zur Erstellung des Schülerausweises, Status-Updates, sicherheitsrelevante Informationen
Nutzungsdaten (IP-Adresse, Login-Zeiten, Gerätetyp)System- und Sicherheitsüberwachung

2.2 Dauer der Speicherung und Löschung

  • Daten werden nur so lange gespeichert, wie es gesetzlich vorgeschrieben ist.
  • Bei Deaktivierung eines Schülerausweises wird dieser ungültig gemacht.
  • Daten in Google Wallet werden über eine API überschrieben, um ungültige Einträge zu vermeiden.
  • Fotos und Identitätsdaten werden bei Löschung nicht mehr angezeigt.

3. Datenverarbeitung und eingesetzte Dienste

Wir haben mit folgenden Anbietern Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen:

  • Mittwald (Hosting & Server-Infrastruktur)
  • Brevo (E-Mail-Versand)
  • Google (Google Wallet & Google Analytics)
  • WebUntis (Schnittstelle zur Schulverwaltung, falls genutzt)
  • HubSpot (Support & CRM-System, falls der Support-Fall initiiert wird)
  • Vidyard (Hosting von Videoinhalten / Support)
  • United Domains (Domain-Verwaltung und SSL-Zertifikate)

3.1 Hosting & Server-Infrastruktur

Unsere Server werden von Mittwald CM Service GmbH & Co. KG betrieben.
Serverstandort: Deutschland
Datenübertragung in Drittländer: Keine

Sicherheitsmaßnahmen von Mittwald:

  • ISO 27001-zertifizierte Rechenzentren
  • Intrusion Detection & Prevention System (IDS/IPS)
  • DDoS-Schutz
  • Tägliche Backups mit verschlüsselter Speicherung
  • Physische Zugangskontrollen zu den Rechenzentren

3.2 Authentifizierung & Zugriffskontrolle

  • 2-Faktor-Authentifizierung (2FA) für Schuladministratoren
  • Passwortschutz nach BSI-Standard
  • Kein Export personenbezogener Daten durch Schuladministratoren

3.3 Speicherung & Verarbeitung von Schülerfotos

  • Fotos werden verschlüsselt auf unseren Servern in Deutschland gespeichert.
  • Apple Wallet: Speicherung erfolgt lokal auf dem Schüler-Smartphone. Apple hat keinen Zugriff auf den Inhalt des Schülerausweises.
  • PassWallet (deutscher Anbieter): Läuft analog zu Apple Wallet.
  • Google Wallet: Speicherung erfolgt auf Google-Servern innerhalb der EU unter DSGVO/GDPR-Standards.

3.4 Analysen & Fehlerüberwachung

  • Google Analytics (DSGVO-konform mit IP-Anonymisierung)
  • Mittwald-Fehlermanagement & Sicherheitsüberwachung

3.5 E-Mail-Versand (Brevo)

Der E-Mail-Versand erfolgt über Brevo (vormals Sendinblue).
Serverstandort: EU
AVV liegt vor.

Zwecke des E-Mail-Versands:

  • Einladung zur Erstellung des Schülerausweises
  • Double-Opt-In (DOI) Bestätigungsmail
  • Bereitstellung des digitalen Schülerausweises
  • Benachrichtigung bei gelöschtem Schülerfoto durch Schulverwaltung
  • ggfs. Updates zu neuen Funktionen oder Änderungen
  • ggfs. Kundenzufriedenheitsbefragungen

3.6 Zahlungsdienstleister (Stripe – falls genutzt)

  • Verarbeitung in EU-Servern (DSGVO-konform)
  • Tokenisierte Zahlungsabwicklung (keine Speicherung von Kreditkartendaten)

3.7 Support & Kontaktaufnahme (HubSpot)

  • Nur wenn der Schüler aktiv eine Support-Anfrage stellt
  • Serverstandort: Deutschland (ab 1.4.2025)
  • Keine automatische Speicherung personenbezogener Daten ohne Anfrage
  • AVV liegt vor.

3.8 API-Schnittstellen & Drittanbieter-Integrationen

  • WebUntis (optional, falls Schule dies nutzt)
  • Vidyard (Hosting von Videoinhalten für Support & Erklärvideos)
  • United Domains (Verwaltung von Domainnamen und SSL-Zertifikaten)

3.9 Google Search Console

Zur technischen Optimierung und zur Überwachung der Indexierung unserer Website in der Google-Suchmaschine nutzen wir den Dienst Google Search Console der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Google Search Console ermöglicht uns die Analyse von technischen Informationen (z. B. Crawling-Fehler, Suchanfragen, Sichtbarkeit einzelner Seiten) und hilft uns dabei, die technische Struktur und Auffindbarkeit unserer Website zu verbessern. Dabei werden keine personenbezogenen Daten der Besucher*innen unserer Website verarbeitet, sondern ausschließlich aggregierte Daten zur Seitenstruktur, Performance und Indexierung.

Weitere Informationen zu diesem Dienst erhalten Sie unter:
https://support.google.com/webmasters/answer/9128668

Die Datenschutzerklärung von Google finden Sie unter:
https://policies.google.com/privacy

4. Rechte der Nutzer gemäß DSGVO

Die Datenschutz-Grundverordnung (DSGVO) gewährt betroffenen Personen umfangreiche Rechte, um ihre personenbezogenen Daten zu kontrollieren und zu schützen. Die folgenden Rechte können jederzeit ausgeübt werden:

4.1 Recht auf Auskunft (Art. 15 DSGVO)

  • Betroffene Personen können eine vollständige Auskunft über die Verarbeitung ihrer personenbezogenen Daten anfordern.
  • Wir sind verpflichtet, innerhalb eines Monats nach Antragstellung eine vollständige Antwort zu geben.

Technische Umsetzung:

  • Daten werden in einer gesicherten Datenbank gespeichert und können auf schriftliche Anfrage bereitgestellt werden.
  • Anfragen werden in einem Protokollierungssystem erfasst.
  • Identitätsprüfung erfolgt über 2-Faktor-Authentifizierung (2FA).

4.2 Recht auf Berichtigung (Art. 16 DSGVO)

  • Falls gespeicherte Daten falsch oder unvollständig sind, können betroffene Personen die Korrektur verlangen.

Technische Umsetzung:

  • Nutzer können in der Schulverwaltung ihre Daten korrigieren (E-Mail-Adresse, Namen, Geburtstag, Klassenzugehörigkeit, Foto).
  • Nur Schuladministratoren haben eingeschränkte Bearbeitungsrechte.
  • Alle Änderungen werden protokolliert.

4.3 Recht auf Löschung („Vergessenwerden“, Art. 17 DSGVO)

  • Recht auf Löschung, wenn Daten nicht mehr benötigt werden, Einwilligung widerrufen oder Widerspruch erfolgt.

Technische Umsetzung:

  • Daten werden aus der aktiven Datenbank gelöscht.
  • Google Wallet-Einträge werden über eine API überschrieben.
  • Backups werden nach 30 Tagen überschrieben.

4.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Technische Umsetzung:

  • Daten werden in ein „Read-Only“-Format überführt.
  • Automatische Sperrmechanismen verhindern Verarbeitung.

4.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

  • Recht auf strukturiertes, gängiges und maschinenlesbares Format (z. B. JSON oder CSV).

Technische Umsetzung:

  • Datenbereitstellung in JSON oder CSV
  • Identitätsprüfung erforderlich (2FA + schriftlich)

4.6 Recht auf Widerspruch (Art. 21 DSGVO)

Technische Umsetzung:

  • Daten werden in eine „Opt-out“-Liste übertragen
  • Alle zukünftigen Verarbeitungen werden unterbunden

4.7 Beschwerderecht bei der Datenschutzbehörde

Zuständige Aufsichtsbehörde:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
E-Mail: poststelle@ldi.nrw.de

5. Technische & organisatorische Maßnahmen zur Datensicherheit

5.1 SSL/TLS-Verschlüsselung

  • TLS 1.2+ Verschlüsselung für alle Übertragungen.
  • Regelmäßige Erneuerung der Zertifikate.

5.2 Zugriffsbeschränkung & Authentifizierung

  • 2FA für Admins und Schulverwaltungen verpflichtend.
  • BSI-konforme Passwortstandards (mind. 12 Zeichen, regelmäßige Änderung)

5.3 Speicherung & Backup-Strategie

  • Daten werden nur auf Servern in Deutschland gespeichert.
  • Tägliche Backups mit Notfall-Wiederherstellungssystemen.

5.4 Protokollierung & Überwachung

  • Echtzeit-Überwachung auf Anomalien
  • Automatische Sperrung verdächtiger Aktivitäten

5.5 Maßnahmen gegen Cyberangriffe

  • Firewall & Intrusion Detection System (IDS)
  • DDoS-Schutz

6. Kontakt & Änderungen der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung regelmäßig zu aktualisieren, um sie an rechtliche Anforderungen oder technische Änderungen anzupassen.

Kontakt für Datenschutzanfragen:
Susanne Henkel
Schubertstraße 21, 40699 Erkrath
E-Mail: datenschutz@energy-imaging.de