Datenschutzerklärung für Nutzer

1. Verantwortlicher

cpcMomentum GmbH
Guttenbrunnstraße 7
71067 Sindelfingen
Deutschland

E-Mail: info@cpcmomentum.com
Telefon: +49 (151) 240 80 576
Handelsregister: HRB 747639, Amtsgericht Stuttgart

Geschäftsführer: Axel Deffner

2. Datenschutzbeauftragter

Wir haben keinen Datenschutzbeauftragten bestellt, da dies für unser Unternehmen gesetzlich nicht erforderlich ist.

Bei Fragen zum Datenschutz wenden Sie sich bitte an: info@cpcmomentum.com

3. Übersicht der Datenverarbeitung

3.1 Welche Daten verarbeiten wir?

Wir verarbeiten folgende Kategorien personenbezogener Daten:

Account-Daten

Technische Daten

4. Zwecke der Datenverarbeitung

Wir verarbeiten Ihre personenbezogenen Daten für folgende Zwecke:

1. Bereitstellung des Dienstes: Ermöglichung der Nutzung der TeachView-Plattform zur Schülerverwaltung und Bewertungserfassung
2. Account-Verwaltung: Verwaltung Ihres Nutzerkontos
3. Sicherheit: Schutz vor Missbrauch, Rate Limiting, Betrugsprävention
4. Kommunikation: Technische Benachrichtigungen (z.B. Änderungen der Subunternehmer-Liste)

5. Empfänger personenbezogener Daten

Wir übermitteln Ihre personenbezogenen Daten an folgende Empfänger:

5.1 Hetzner (Hosting)

Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland

Übermittelte Daten: Alle in dieser Datenschutzerklärung genannten Daten

Zweck: Hosting der Plattform, Datenspeicherung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Serverstandort: Finnland (EU)

Auftragsverarbeitungsvertrag: Mit Hetzner wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen.

5.2 Keine weiteren Empfänger

Ihre Account-Daten werden nicht an weitere Dritte weitergegeben. Insbesondere erfolgt keine Weitergabe an:

• KI-Dienste (OpenAI, Anthropic, etc.)
• Zahlungsdienstleister (da kostenlos)
• E-Mail-Dienste
• Analytics-Dienste
• Werbenetzwerke

6. Speicherdauer

Wichtig: Wenn Sie Ihren Account löschen, werden Ihre Account-Daten anonymisiert (Soft-Delete). Die von Ihnen erfassten Schülerdaten werden ebenfalls gelöscht.

7. Ihre Rolle als Verantwortlicher für Schülerdaten

7.1 Auftragsverarbeitung

Als Lehrkraft werden Sie im Verhältnis zu den von Ihnen erfassten Schülern selbst zum Verantwortlichen im Sinne der DSGVO. Wir verarbeiten die Schülerdaten in Ihrem Auftrag als Auftragsverarbeiter.

7.2 Auftragsverarbeitungsvertrag (AVV)

Die Einzelheiten der Auftragsverarbeitung sind in unserem Auftragsverarbeitungsvertrag (AVV) geregelt, der Bestandteil unserer Allgemeinen Geschäftsbedingungen (AGB) ist.

Der AVV regelt insbesondere:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Kategorien betroffener Personen und Daten
• Pflichten und Rechte des Verantwortlichen
• Technische und organisatorische Maßnahmen
• Subunternehmer (Hetzner)

7.3 Ihre Pflichten als Verantwortlicher

Als Verantwortlicher sind Sie verpflichtet:

Rechtsgrundlage schaffen

• Einwilligung der Erziehungsberechtigten einholen (bei Schülern unter 16 Jahren, Art. 8 DSGVO)
• Explizite Einwilligung für Schülerfotos einholen (biometrische Daten, Art. 9 DSGVO)

Informationspflichten erfüllen

• Schüler/Erziehungsberechtigte über die Datenverarbeitung informieren (Art. 13 DSGVO)

Betroffenenrechte gewährleisten

• Auskunft, Berichtigung, Löschung ermöglichen

Aufbewahrungsfristen beachten

• Landesschulrechtliche Vorgaben einhalten (i.d.R. 10 Jahre für Noten)

Wir unterstützen Sie dabei:

• Wir stellen Ihnen den AVV zur Verfügung
• Wir unterstützen Sie bei der Beantwortung von Betroffenenanfragen
• Wir implementieren technische und organisatorische Maßnahmen

Wir übernehmen KEINE Verantwortung für:

• Die Einholung von Einwilligungen
• Die Rechtmäßigkeit der Datenverarbeitung durch Sie
• Die Einhaltung landesrechtlicher Vorgaben

8. Cookies und lokale Speicherung

8.1 Keine HTTP-Cookies

Wir verwenden keine HTTP-Cookies.

8.2 Lokale Speicherung (Browser)

Für die technische Funktion nutzen wir ausschließlich den lokalen Browserspeicher (localStorage):

Speicherdauer:

• Access Token: Max. 30 Minuten (automatische Löschung bei Logout/Ablauf)
• Refresh Token: Max. 7 Tage (automatische Löschung bei Logout/Ablauf)
• Custom Colors: Unbegrenzt (bis manuelles Löschen)

8.3 Rechtliche Einordnung

Alle verwendeten Speichermechanismen sind technisch notwendig für die Bereitstellung des Dienstes und fallen daher unter die Ausnahme von Art. 5 Abs. 3 der ePrivacy-Richtlinie.

Ein Cookie-Banner ist nicht erforderlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Authentifizierungs-Tokens; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für UI-Präferenzen

9. Server-Logfiles

9.1 Welche Daten werden geloggt?

Unser Server erstellt automatisch Logfiles, die folgende Informationen enthalten können:

Technische Daten (nicht personenbezogen):

• Zeitstempel
• Log-Level (debug/info/warning/error)
• Servicename und Version
• Request-ID
• API-Endpunkt
• Fehlermeldungen

Personenbezogene Daten:

• IP-Adresse (nur in Server-Logs, nicht in Anwendungs-Logs)
• E-Mail-Adresse (bei bestimmten Operationen)
• Account-ID (pseudonymisiert als UUID)

9.2 Zweck der Logfiles

Die Logfiles dienen folgenden Zwecken:

• Systemmonitoring und Fehleranalyse
• Sicherheitsüberwachung
• Debugging

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Funktionsfähigkeit unserer Systeme)

9.3 Was wird NICHT protokolliert

Folgende sensible Daten werden niemals in Logs geschrieben:

• Passwörter
• JWT-Tokens
• Schülernamen
• Bewertungen
• Fotos
• Request-Bodies mit personenbezogenen Daten

9.4 Speicherdauer

Logfiles werden für 30 Tage gespeichert und anschließend automatisch gelöscht.

9.5 Zugriff

Zugriff auf die Logfiles haben ausschließlich autorisierte Systemadministratoren.

10. Ihre Rechte als betroffene Person

Als betroffene Person haben Sie folgende Rechte:

10.1 Auskunftsrecht (Art. 15 DSGVO)

Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.

Verfügbar über: /api/v1/auth/me (Account-Profil)

10.2 Berichtigungsrecht (Art. 16 DSGVO)

Sie können die Berichtigung unrichtiger Daten verlangen.

Verfügbar über: /api/v1/auth/profile (Profil-Bearbeitung)

10.3 Löschungsrecht (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen.

Umsetzung: Account-Löschung durch Admin (Soft-Delete mit Anonymisierung)

10.4 Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.

10.5 Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Ihre Daten in einem strukturierten, gängigen Format erhalten.

Hinweis: Vollständiger Datenexport ist derzeit in Entwicklung.

10.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.

10.7 Beschwerderecht (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

Zuständige Aufsichtsbehörde:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
Deutschland
Website: www.baden-wuerttemberg.datenschutz.de

10.8 Ausübung Ihrer Rechte

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: info@cpcmomentum.com

Wir werden Ihre Anfrage innerhalb von 30 Tagen bearbeiten.

11. Datensicherheit

Wir setzen folgende technische und organisatorische Maßnahmen ein:

11.1 Technische Maßnahmen

• Verschlüsselung: TLS 1.3 für alle Datenübertragungen
• Passwort-Hashing: bcrypt mit Salting
• Token-Sicherheit: JWT mit kurzer Gültigkeit (30 Minuten)
• Foto-Verschlüsselung: Fernet (AES 128-bit) für Schülerfotos
• Rate Limiting: Schutz vor Brute-Force-Angriffen
• Firewall: Netzwerksegmentierung

11.2 Organisatorische Maßnahmen

• Zugriffskontrolle nach Minimalprinzip
• Regelmäßige Sicherheitsupdates
• Protokollierung von Zugriffen
• Schulung der Mitarbeiter
• Verpflichtung auf Vertraulichkeit

11.3 Hosting-Sicherheit

Unser Hosting-Provider Hetzner implementiert umfassende Sicherheitsmaßnahmen, die in dessen Auftragsverarbeitungsvertrag dokumentiert sind, darunter:

• Physische Zutrittskontrolle zu Rechenzentren
• Redundante Stromversorgung und Kühlung
• Brandschutz und Videoüberwachung
• Verschlüsselung von Daten at rest und in transit

11.4 Security Headers

12. Keine Drittlandtransfers

Alle Daten werden ausschließlich auf Servern in Finnland (EU) verarbeitet. Es erfolgen keine Übermittlungen personenbezogener Daten in Drittländer außerhalb der EU/EWR.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Dienste anzupassen.

Die aktuelle Version ist stets unter folgender URL verfügbar: https://teachview.cpcmomentum.com/datenschutz

Bei wesentlichen Änderungen werden wir Sie per E-Mail informieren.

14. Kontakt

Bei Fragen zum Datenschutz wenden Sie sich bitte an:

cpcMomentum GmbH
Datenschutz
Guttenbrunnstraße 7
71067 Sindelfingen
Deutschland

E-Mail: info@cpcmomentum.com
Telefon: +49 (151) 240 80 576