Aula
Rechtliches

Datenschutzerklärung

Stand: April 2026 · Version v0.1-beta

1. Verantwortlicher

[PLATZHALTER — vor Beta-Start ausfüllen: Name, Adresse, Telefon, E-Mail des Betreibers]

2. Datenschutzbeauftragter der Schule

Jede Schule benennt eine eigene datenschutzbeauftragte Person. Deren Kontaktdaten werden im Schulprofil hinterlegt und sind den Mitgliedern der Schule sichtbar.

3. Welche Daten verarbeitet werden

  • Identitätsdaten: Name, E-Mail-Adresse, gehashtes Passwort (argon2id), Anzeigename, Anmelde-Zeitstempel.
  • Schulmitgliedschaft: Rollen-Kontext (z.B. Schüler:in, Lehrer:in, Schulleitung), Gültigkeitszeitraum, ggf. Abiturjahrgang.
  • Projektdaten: Projekt-Metadaten (Name, Status, Termine, Motto), Aufgaben, Workstreams, Budget-Einträge, Lieferanten-Engagements.
  • Audit-Daten: Sicherheitsereignisse (Logins, Berechtigungs-Verstöße), Aktivitätsereignisse (Erstellung / Änderung von Projekt-Entitäten), AI-Nutzungsereignisse — jeweils nach Zweck getrennt gespeichert mit unterschiedlichen Aufbewahrungsfristen.

4. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — Bereitstellung der Plattform für die zwischen Schule und Betreiber vereinbarte Nutzung.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) — Sicherheits-Logs zur Abwehr von Missbrauch.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — soweit personenbezogene Daten freiwillig in Freitextfeldern (z.B. Notizen, Reden) gespeichert werden.

5. Speicherort & Auftragsverarbeitung

Die Daten werden auf einem in Deutschland betriebenen Server (Vallema-Infrastruktur, hinter einem Cloudflare-Tunnel) gespeichert. Mit jeder Schule wird vor Aufnahme der Verarbeitung ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) gemäß Art. 28 DSGVO geschlossen. Eine Vorlage des AV-Vertrags steht zum Download bereit (Entwurf, finale Fassung nach rechtlicher Prüfung).

6. Aufbewahrungsfristen

  • Sicherheitsereignisse: 24 Monate (zur Abwehr von Missbrauch und für Audit-Zwecke).
  • Aktivitätsereignisse: 12–18 Monate, danach aggregiert oder gelöscht.
  • AI-Nutzungsereignisse: 24 Monate (Kostenanalyse, Missbrauchsabwehr).
  • Projekt- und Mitgliedschaftsdaten: bis zur Beendigung der Mitgliedschaft bzw. der Vertragsbeziehung mit der Schule, danach gemäß den Fristen des AV-Vertrags.

7. Deine Rechte

  • Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO).
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO).
  • Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO). Beachte: Personen-Identifikatoren werden in unserer Datenbank pseudonymisiert, nicht hart gelöscht — die persönlichen Daten werden entfernt, der technische Datensatz mit anonymem Platzhalter („Ehemaliger Nutzer") bleibt zur Wahrung der referen­ziellen Integrität von Projekten und Audit-Logs erhalten.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Datenübertragbarkeit (Art. 20 DSGVO) — Export deiner Projekt- und Mitgliedschaftsdaten als CSV.
  • Widerspruch (Art. 21 DSGVO).
  • Beschwerderecht bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO).

8. Tracking & Drittanbieter

Aula nutzt kein externes Web-Analytics (kein Google Analytics, kein Plausible). Es werden keine Cookies gesetzt außer den für Anmeldung und CSRF-Schutz technisch erforderlichen.

E-Mail-Versand (z.B. für Einladungen) erfolgt über Resend (Resend Inc., USA). Mit Resend besteht ein Auftragsverarbeitungsvertrag mit Standardvertragsklauseln.

Optionale AI-Funktionen (Logo-Generierung, Textbausteine) nutzen die Anthropic-API (USA) bzw. lokal gehostete Bildmodelle. Eingaben unterliegen strukturellen Beschränkungen; freitextliche Prompt-Eingabe durch Endnutzer ist nicht vorgesehen.

9. Änderungen

Diese Datenschutzerklärung kann angepasst werden. Bei wesentlichen Änderungen wirst du beim nächsten Login informiert und gebeten, erneut zuzustimmen.