Datenschutzerklärung
für vpp.ID und VPlanPlus
Gültig ab 15. Juli 2024
Willkommen
VPlanPlus wurde von Grund auf konzipiert, um den strengen Richtlinien von Schulen und Drittanbietern gerecht
zu
werden. Zudem ist es wichtig, das Vertrauen der Nutzer zu wahren. Um alle Dienste anbieten zu können, müssen
jedoch
teilweise personenbezogene Daten erhoben und verarbeitet werden. Diese werden nur im Interesse der
Bereitstellung
der Funktionen erhoben und nur auf den vpp.ID Servern gespeichert. Eine Weitergabe an Dritte findet nicht
statt.
Sollten Fragen oder Hinweise zu diesem Dokument aufkommen, können Sie sich jederzeit an mich wenden:
Julius Vincent Babies <
julvin.babies@gmail.com>
Begriffsklärung
Personenbezogene Daten
Jegliche Daten, welche auf eine reale Person zugeordnet sind oder mittels weiterer Informationen
Rückschlüsse
auf eine reale Person ermöglicht, werden nach DSGVO als personenbezogen bezeichnet.
betroffene Person / Nutzer
Betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene
Daten von dem für die Verarbeitung Verantwortlichen verarbeitet werden.
Verarbeitung
Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche
Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation,
das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die
Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die
Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Abkürzungen
Dieses Dokument verwendet an einigen Stellen Abkürzungen und Vereinfachungen von Bezeichnungen. Diese sind
hier
aufgelistet:
Drittanbieter
Die App greift auf Ressourcen von Drittanbietern zu, um dem Nutzer Daten zur Verfügung stellen zu können.
Nachfolgend sind diese Drittanbieter aufgelistet:
Externe Dienste
VPlanPlus sendet regelmäßig Netzwerkanfragen an Drittanbieter, um notwendige Daten zu erhalten. Jede dieser
Anfragen beinhaltet standardmäßig einige Metadaten. Darin ist unter anderem die öffentliche IP-Adresse des
Nutzers enthalten. Mit dieser ist es möglich, den ungefähren Standort des Nutzers auf einige Kilometer genau
abzuschätzen. Ebenso gibt die IP-Adresse aufschluss über den verwendeten Internetanbieter.
Zudem erhalten die Drittanbieter die Information, dass die Anfrage aus VPlanPlus kommt, da VPP den
User-Agent VPlanPlus mitsendet. Im Regelfall speichert jeder Anbieter eine Kombination aus
Zugriffs-IP-Adresse,
Datum, Uhrzeit und angefragten Daten in sogenannten Logdateien automatisch auf den Servern. Bitte lesen
Sie
hierzu auch die Datenschutzerklärungen der Drittanbieter, welche von VPP verwendet werden.
Stundenplan24.de
Zum Abrufen der Stunden- und Vertretungspläne wird
Stundenplan24.de von
Indiware verwendet. Diese Daten
beinhalten personenbezogene Daten, wie das Kürzel einer Lehrkraft in Assoziation mit einer Orts- und
Zeitangabe
für deren Unterrichtseinheiten. Diese Informationen werden bei Indiware hinter einem schulweiten Zugang
abgesichert.
Diese Zugangsdaten werden von der Schule üblicherweise am Anfang eines Schuljahres bekannt gegeben. Die
Richtlinien
über die Vertraulichkeit dieser Zugänge entscheidet jede Schule für sich. VPlanPlus speichert diese
Zugangsdaten
zunächst lokal und verwendet sie wie die App VpMobil24 von Indiware beim Abruf der Daten. Indiware selbst
erhält
dabei keine weiteren Nutzerdaten. Die Zugangsdaten bestehen aus einer Schulnummer, einem Benutzernamen und
einem
Passwort.
beste.schule
Schulverwalter stellt mit beste.schule einen
sogenannten Single-Sign-On (SSO) Provider
(siehe Bundesamt für Sicherheit in der Informationstechnik) zur Verfügung. Damit kann
ein Nutzer einer
Drittanbieteranwendung Zugang zu der Schnittstelle des Anbieters im Namen seines Kontos geben, ohne dass
das Passwort
der Drittanbieteranwendung bekannt wird. Beim Versuch der Anmeldung an der Drittanbieteranwendung wird
der Nutzer auf
die Anmeldeseite des SSO-Providers umgeleitet. Dort meldet er sich wie gewohnt an. Nach erfolgreicher
Authentifizierung
wird der Nutzer wieder zur Drittanbieteranwendung zurückgeleitet, diese erhält einen Code, welcher
einmalig gegen
einen Zugriffstoken umgewandelt werden kann. Dies übernimmt die Drittanbieteranwendung im Hintergrund.
Mit diesem
Zugang kann die Drittanbieteranwendung Aktionen im Namen des Nutzers durchführen und Daten über den
Nutzer abfragen.
Dieser Zugriffstoken wird auch an VPlanPlus übergeben. Dies ist zur Abfrage der Noten notwendig (mehr Details).
Welche Daten dabei gespeichert werden, können Sie im Abschnitt erhobene
Daten nachlesen.
vpp.ID
Die vpp.ID ist ein Zusatzangebot für VPlanPlus, in welchem Nutzerinnen und Nutzer Inhalte anlegen und
freigeben
können. Hierfür ist es wichtig, Verifizieren zu können, dass eine Schülerin oder ein Schüler einer Klasse
tatsächlich angehören. Dabei wird die beste.schule Schnittstelle verwendet. Technisch gesehen kann der
vpp.ID Server mit
diesem Token die Noten des Nutzers anfragen, dies passiert jedoch nicht. Alle Noten werden ausschließlich
auf dem
Endgerät direkt bei beste.schule angefragt.
Authentifizierung an vpp.ID Diensten
Die meisten Ressourcen der vpp.ID Dienste sind abgesichert. Dies ist entweder aufgrund der
Datensicherheit
oder der Individualisierung der resultierenden Daten der Fall. vpp.ID bietet in vielen Fällen zwei
Authentifizierungsmethoden an.
SP24-Authentifizierung (anonym)
Zum Einsehen von nicht zu sehr schützenswerten Daten ist es möglich, dass sich VPlanPlus mit den
Stundenplan24.de-Zugangsdaten authentifiziert. Dabei wird die Schulnummer, der Nutzername und das
Passwort
an die vpp.ID Server gesendet, wo diese gegen einen Endpunkt bei Stundenplan24.de auf Gültigkeit
getestet
werden. Sind die Zugangsdaten gültig, so kann die App auf die Daten zugreifen. Dies umfasst das
Einsehen von
Hausaufgaben und Raumbuchungen an der Schule. Die Zugangsdaten werden für 15 Minuten auf den vpp.ID
Servern
zwischengespeichert, um bei mehreren Anfragen schneller reagieren zu können und um den Datenverkehr
zwischen
den vpp.ID Servern und Indiware-Servern zu reduzieren. Diese Authentifizierung ermöglicht keine
Rückführung
auf die Identität des Nutzers oder der Nutzerin.
Jegliche Informationen, welche über SP24-Auth abrufbar sind, stehen der ganzen Schule gleichermaßen
zur Verfügung.
vpp.ID Authentifizierung
Zum Erstellen von Inhalten ist eine vpp.ID erforderlich. Dies ist zur Sicherheit aller Nutzerinnen
und
Nutzer notwendig. Diese vpp.ID wird über beste.schule erstellt und beinhaltet Informationen wie den
Namen,
die E-Mail-Adresse und die Zugehörigkeit einer Klasse an einer Schule. Schülerinnen und Schüler
können
mittels der SP24-Authentifizierung die ID des Nutzers zu dessen Namen auflösen. Weitere
Informationen werden
standardmäßig nicht mit anderen Nutzern geteilt.
Google Firebase
Android hat aufgrund der sehr strengen Akkunutzungsrichtlinien für Apps nur wenig native und zuverlässige
Wege,
Echtzeitbenachrichtigungen für Apps anbieten zu können. Google Firebase Cloud Messaging
(kurc FCM) ist tief in den
Google-Play-Diensten
unter Android integriert. FCM generiert ein Token, welches nur auf das Gerät des Nutzers zurückzuführen ist.
Dieses Token wird vom VPP an die vpp.ID Server gesendet und mit der Klasse
und - falls vorhanden - der vpp.ID des Nutzers verknüpft. Das Token kann nach einiger Zeit verfallen, in
diesem Fall wird ein neues
generiert und an die vpp.ID Server gesendet.
Anhand der Zuordnung von Klasse und ggf. vpp.ID zu den Tokens können Benachrichtigungen
zielgerichteter gesendet werden. Dies reduziert den Datenverkehr enorm. Echtzeitevents wie das Buchen eines
Raumes oder das Anlegen einer Hausaufgabe
lösen das Senden eines Event-Codes aus. Dieser Event-Code wird vom vpp.ID Server an die Google Firebase
Server
gesendet.
Die Events selbst beinhalten keine weiteren Daten, bei Empfang eines solchen Event-Codes aktualisiert VPP
automatisch teile der lokalen Datenbank. Damit werden keine Daten mit Google geteilt.
PostHog
PostHog ist ein Open-Source-Analysewerkzeug, welches von VPP verwendet wird, um die Nutzung der App zu
analysieren und Fehlerberichte zu sammeln. Dabei werden keine personenbezogenen Daten erhoben. Lediglich
technische Informationen wie Android-Version, App-Version und Gerätetyp werden erfasst. Diese Informationen
helfen dabei, die App zu verbessern und Probleme zu beheben.
Wir erheben auch Daten zum Nutzungsverhalten, wie z.B. welche Funktionen am häufigsten verwendet werden und
wie dein Endgerät mit der App interagiert. Diese Daten werden nicht mit dir oder einer vpp.ID assoziiert und
dienen ausschließlich der Verbesserung der App-Funktionalität und Benutzererfahrung.
Erhobene Daten
Bei der Verwendung von VPP werden zunächst keine personenbezogenen Daten des Nutzers erhoben und
geteilt. Im
Rahmen
der normalen Nutzung werden anhand der Stundenplandaten häufig Informationen über den aktuellen
Aufenthaltsort einer
Lehrkraft gespeichert. Diese Daten umfassen das Kürzel der Lehrkraft, den Raumnamen und die Zeitspanne
des
Events.
Diese Informationen werden direkt von stundenplan24.de bezogen und in der App-internen Datenbank
abgespeichert. Die Daten
werden tagesweise zwei Tage nach ihrem Gültigkeitsdatum automatisch gelöscht.
Wird eine vpp.ID verwendet, werden folgende Daten aus beste.schule auf den vpp.ID Servern
gespeichert:
- Nutzer-ID bei beste.schule
- Vor- und Nachname
- E-Mail-Adresse
- Schule / Klasse
Um die vpp.ID-Dienste verwenden zu können, muss dem vpp.ID Server die Kombination aus
Stundenplan24.de-Schulnummer und
Schul-ID von beste.schule bekannt sein. Ist eine Schule dem System unbekannt, so wird der Nutzer
darüber
informiert und
alle bereits gespeicherten Daten des Nutzers werden aus den vpp.ID Systemen vollständig entfernt.
Verwendung und Freigabe der erhobenen Daten
Metadaten des Benutzers
Der Name und die Klassenzugehörigkeit eines Nutzers können an alle Nutzer einer Schule mit einer
SP24-Auth
ausgegeben werden.
Damit können beispielsweise Hausaufgaben und Raumbuchungen auf eine Person zurückgeführt werden. Dies
ist
notwendig, um Spam
vorzubeugen und bei Konflikten die entsprechende Person direkt ansprechen zu können.
Noten
Noten werden direkt aus VPP von beste.schule geladen. Somit wird sichergestellt, dass die Daten auf dem
selben Stand wie die von beste.schule sind.
vpp.ID Server erhalten diese Daten nicht.
Hausaufgaben
Hausaufgaben können lokal auf dem Gerät oder in der vpp.ID gespeichert werden. Dort stehen sie zunächst
nur
dem Nutzer selbst zur Verfügung.
Entscheidet sich der Nutzer zur Freigabe seiner Hausaufgabe, steht diese unter der SP24-Auth der Schule
zur
Verfügung. Der erledigt-Status einer
Hausaufgabe wird lokal oder bei Verwendung einer vpp.ID in dieser gespeichert und steht nur dem Nutzer
selbst zur Verfügung. Hausaufgaben können
jederzeit vom Ersteller gelöscht werden.
Raumbuchungen
Raumbuchungen stehen unter der SP24-Auth der Schule zur Verfügung. Hierbei wird auch der Name und die
Klasse
der buchenden Person angezeigt.
Datensicherheit
Verschlüsselung
Jegliche Netzwerkanfragen werden mit TLS verschlüsselt. Die Netzwerkanfragen bezüglich vpp.ID verbleiben
dabei in Deutschland.
Zugriffssicherung
Nutzer haben die Möglichkeit, ihre Noten in der App biometrisch zu schützen.
Für die Zugriffssicherheit einer vpp.ID ist der Nutzer selbst verantwortlich, indem er seinen
beste.schule Zugang bestmöglich absichert.
Ihre Rechte
Sie haben das Recht via E-Mail (
Kontakt)
- Einen Auszug ihrer personenbezogenen Daten zu erhalten
- Änderungen an dieser Datenschutzerklärung auf Basis der DSGVO zu beantragen
- Die Löschung ihrer personenbezogenen Daten zu beantragen, wenn
- Sie die Schule verlassen
- Ihre Daten unrechtmäßig weiterverwendet werden
Löschen der vpp.ID
Die Löschung der vpp.ID kann unbegründet
hier erfolgen.