Datenschutz & Datensicherheit
Ja, sowohl wir als Unternehmen mit unserer Web-App SPLINT, als auch unsere Server und Zahlungsdienstleister sind in Deutschland ansässig und voll DSGVO-konform.
Aufgrund der Umstände, dass wir bisweilen sensible Daten von ggf. Schüler:innen anvertraut bekommen, sind auch einzelne Landesdatenschutz- und Schulgesetze einschlägig. Die genauen Regelungen und wie wir diese erfüllen, können im Datenschutz-Factsheet nachgelesen werden.
Ja, denn das Schulrecht ist Ländersache. In jedem Bundesland gibt es neben der DSGVO weitere, landesspezifische Vorschriften zu beachten.
Aufgrund der Tatsache, dass hier auch landesrechtliche Komponenten, wie z.B. die jeweiligen Landesschulgesetze eine Rolle spielen, ist eine pauschale Aussage nicht möglich.
Sofern dein:e Dienstherr:in den Vertrag (SPLINT Schullizenz) mit uns geschlossen hat, so wird dich diese/r entsprechend darüber informieren.
Wenn du einen Einzelvertrag (SPLINT Einzellizenz) mit uns geschlossen hast, so richtet sich diese Frage nach den Gesetzen des Bundeslandes, in welchem du unterrichtest.
Von dir als Lehrkraft erheben wir nachstehende Stammdaten:
- Vollständiger Name
- Geschlecht
- Bundesland/Land in dem du tätig bist
- Berufsstand/Berufsgruppe/Arbeitsstelle
- E-Mail Adresse
- Unterrichtsfächer
- Kontoinformationen (bei Lizenzkauf)
- Kreditkartendaten
- Bankverbindung
- Kontaktdaten
- Telefonnummer
Nähere Informationen findest du in unserem Datenschutz Factsheet.
Von deinen Schüler:innen erheben wir nur solche nachstehenden Daten, die für unseren Service unerlässlich sind:
- Vollständiger Name
- Geburtsdatum
- Schulklasse bzw. Lerngruppe
- Geschlecht
- Ergebnisse pädagogischer Beobachtungen für die kooperative Förderplanung
Nähere Informationen findest du in unserem Datenschutz Factsheet.
- Eine Datenerhebung bzw. -Verarbeitung ist laut DSGVO nicht ohne weiteres möglich. In Art. 6 DSGVO ist normiert, unter welchen Bedingungen eine Verarbeitung zulässig ist, dazu gehören i.d.R. die Einwilligung des/der Betroffenen, oder aber eine Rechtsgrundlage, also ein entsprechendes Gesetz/eine entsprechende Verordnung/Verwaltungsvorschrift.
- Jene Daten, welche wir im Rahmen unseres Service erheben, werden entweder auf Grundlage einer solchen Einwilligung, oder aber eines Gesetzes erhoben. Da der Grundsatz der Datensparsamkeit gilt, wäre eine Erhebung von Daten, welche über das nötige Maß hinausgeht, nicht rechtskonform.
- Wir haben ein Rechtekonzept eingerichtet, mit dem sichergestellt ist, dass du die Zugriffsrechte stets in der Hand und im Blick haben kannst.
- Kolleg:innen, mit denen du zusammenarbeitest, können nur auf bestimmte Datensätze zugreifen. Wir werden regelmäßig bei dir nachfragen, ob die Zugriffsrechte noch aktuell sind.
- Bei der Nutzung von SPLINT handelt es sich um eine sogenannte Auftragsdatenverarbeitung im Sinne von Art. 28 Abs. 3 DSGVO. Eine Auftragsdatenverarbeitung erfordert den Abschluss eines Auftragsdatenverarbeitungsvertrags zwischen dem datenschutzrechtlichen Verantwortlichen und uns als Auftragsverarbeiter:innen.
- Verantwortlich i.S.d. Art. 4 Nr. 7 DSGVO für die Datenverarbeitung von Schüler:innendaten ist bei öffentlich-rechtlichen Schulen in der Regel die einzelne Schule bzw. Schulleitung.
- Hat dein/e Schulträger:in bzw. Dienstherr:in den Vertrag mit uns geschlossen, so obliegt es deinem Dienstherren oder deiner Dienstherrin/Schulträger:in alle beteiligten Parteien über die Nutzung zu informieren, einschließlich dir als nutzende Lehrkraft. Die datenschutzrechtliche Verantwortlichkeit liegt jedoch weiterhin bei der Schule.
- Nutzt du eine SPLINT Einzellizenz, so bist du unser/e Vertragspartner:in. Dennoch ist die Schule bzgl. der Daten deiner Schüler:innen Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO. Damit wir mit dir ein Vertragsverhältnis über die Nutzung von SPLINT eingehen können, müssen wir daher eine entsprechende Erlaubnis deiner Schule einholen, und mit deiner Schule als verantwortliche Stelle einen entsprechenden Vertrag abschließen.
- Ein/e Auftragsverarbeiter:in i.S.d. Art. 4 Nr. 8 DSGVO ist eine Person oder ein Unternehmen, welches Daten im Auftrag des Verantwortlichen verarbeitet. Im Alltag ist dies meistens ein Unternehmen, welches Dienstleistungen für eine Person/ein anderes Unternehmen erbringt. Der/die Auftragsverarbeiter:in darf die ihm anvertrauten Daten nur zu bestimmten, vorher festgelegten Zwecken verarbeiten und auch nur im Rahmen des Auftrags, d.h. er darf die auf diesem Wege erlangten Daten nicht für eigene Zwecke nutzen.
- In unserem Vertragsmodell sind wir der/die Auftragsverarbeiter:innen, der auf den Auftrag deiner Schule hin Daten verarbeitet. Im Auftragsverarbeitungsvertrag mit deiner Schule wird das Weisungsrecht auf dich übertragen, sodass auch du uns Weisungen erteilen kannst.
- Wir verfügen ebenfalls über Auftragsverarbeiter:innen, dies sind unsere Server- und Zahlungsdienstleister:innen.
- Die DSGVO sieht vor Betroffene, also Personen, deren Daten verarbeitet werden besondere Rechte vor. Diese in den Art. 12-23 DSGVO normierten Rechte umfassen vor allem das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 17 DSGVO sowie das Recht auf Löschung nach Art. 18 DSGVO. Gleichwohl sieht die DSGVO auch Informationspflichten nach Art. 13 und 14 DSGVO für den/die Verantwortlichen, also dich als Lehrkraft vor. Im Wesentlichen bist du dafür verantwortlich, die betroffenen Schüler:innen über die Erhebung ihrer Daten und den Zweck derselben zu informieren. In unserem Vertragsmodell sind in jedem Falle deine Schüler:innen Betroffene, d.h. diese Rechte können von den jeweiligen Schüler:innen und ggf. deren gesetzlichen Vertreter:innen wahrgenommen werden.
- Hinsichtlich deiner Daten, welche wir im Rahmen der Registrierung erheben, bist du der/die Betroffene und die oben genannten Recht stehen dir zu.
Da im Rahmen unseres Service sehr persönliche Daten (die DSGVO spricht hier von sensiblen Daten) deiner Schüler:innen an uns übermittelt werden, ist die Datensicherheit die allerhöchste Priorität. Eine 2-Faktor Authentifizierung stellt sicher, dass nur berechtigte Personen Zugriff auf die Daten deiner Schüler:innen haben. Unter Umständen ist eine solche 2-Faktor Authentifizierung landesrechtlich vorgeschrieben, wie beispielsweise in Schleswig-Holstein.
- Alle Daten, die wir von deinen Schüler:innen speichern oder verarbeiten, unterliegen dem Auftragsverarbeitungsvertrag. In diesem ist genau geregelt, welche Daten du uns von deinen Schüler:innen anvertraust.
- Da wir für deine Daten als Verantwortliche:r auftreten, stehen dir in diesem Falle die Betroffenenrechte der DSGVO, unter anderem auch das Recht auf Auskunft nach Art. 15 DSGVO, zu. In diesem Artikel ist festgehalten, wie und in welchem Umfang du den Auskunftsanspruch gegenüber uns geltend machen kannst. Auskunft darüber, welche Daten wir von dir erheben, bieten einerseits die jeweiligen Fragen in diesem Artikel, andererseits in ausführlicher Form unser Datenschutz Factsheet.
- Die Löschung der Daten deiner Schüler:innen erfolgt gemäß Auftragsverarbeitungsvertrag auf deine Weisung hin, d.h. eine schriftliche Anweisung, welche die zu löschenden Daten enthält, führt zur Löschung ebendieser. SPLINT erinnert dich halbjährlich daran, deine Schüler:innendaten zu überprüfen: Sind die Daten noch nötig, weil der/die Schüler:in weiterhin von dir betreut wird? Oder können sie womöglich im Sinne der Datensparsamkeit gelöscht werden?
- In jedem Falle löschen wir alle Daten deiner Schüler:innen unverzüglich, sobald unsere Auftragsverarbeitungstätigkeit endet, d.h. sobald du unseren Service nicht länger in Anspruch nehmen möchtest.
- Die Löschung deiner Daten erfolgt gemäß Art. 17 DSGVO unverzüglich, sobald einzelne Daten nicht mehr zur Vertragserfüllung notwendig sind. Da wir grundsätzlich datensparsam arbeiten, kann eine Löschung der erhobenen Daten gegenwärtig (vorbehaltlich etwaiger gesetzlicher Änderungen) nur im Rahmen des Vertragsendes erfolgen, d.h. sobald du unseren Service nicht länger in Anspruch nehmen möchtest.