Einleitung
Der schul.cloud Messenger ist ein Kommunikationsdienst, welcher von der stashcat GmbH mit Sitz in Hannover angeboten wird. Der Dienst richtet sich speziell an Bildungseinrichtungen wie etwa Schulen, die den Messenger organisationsintern und z.B. auf Klassen oder Jahrgangsstufen bezogen einsetzen können. Alle einschlägigen datenschutzrechtlichen Bestimmungen, insbesondere die Regelungen des Telemediengesetzes (TMG) und der Datenschutzgrundverordnung (EU-DSGVO) werden beachtet. Nachstehend möchten wir Sie über die Art, den Umfang und Zweck der Verarbeitung personenbezogener Daten innerhalb von schul.cloud informieren. Im Hinblick auf die verwendeten Begrifflichkeiten wie z.B. „Verarbeitung“ oder „Verantwortlicher“ verweisen wir auf die Definitionen im Art. 4 der Datenschutzgrundverordnung (DSGVO).
Inhaltsübersicht:
1. WER IST VERANTWORTLICH FÜR DIE DATENVERARBEITUNG BEIM SCHUL.CLOUD MESSENGER?
2. WIE FINDET DATENVERARBEITUNG IM RAHMEN DES SCHUL.CLOUD MESSENGERS STATT?
3. ZWECKE DER DATENVERARBEITUNG
4. RECHTSGRUNDLAGE DER DATENVERARBEITUNG
5. SICHERHEITSMAßNAHMEN
6. DATENÜBERMITTLUNG AN DRITTE
7. GRENZÜBERSCHREITENDE DATENÜBERMITTLUNGEN AUßERHALB DER EU
8. DAUER DER SPEICHERUNG UND LÖSCHUNG VON DATEN
9. ÄNDERUNGEN UND AKTUALISIERUNGEN IN DIESER DATENSCHUTZERKLÄRUNG
10. RECHTE DER BETROFFENEN
11. BESCHWERDERECHT BEI DER ZUSTÄNDIGEN AUFSICHTSBEHÖRDE
1. Wer ist verantwortlich für die Datenverarbeitung beim schul.cloud Messenger?
Für den Datenschutz verantwortlich ist der Anbieter dieses Angebots (nachfolgend „Anbieter“):
stashcat GmbH
Schiffgraben 47
30175 Hannover
Deutschland
Tel.: 0511/675190
E-Mail: hello@stashcat.com
Bei datenschutzrechtlichen Anliegen wenden Sie sich bitte vorzugsweise direkt an die stashcat GmbH unter Nennung hinreichender Angaben zur Identifizierung Ihrer Person (z.B. Name, E-Mail-Adresse, Name Ihrer Institution).
Sie erreichen den Anbieter in datenschutzrechtlichen Fragen unter dieser E-Mail: datenschutz@stashcat.com Die stashcat GmbH wird zwecks optimaler Umsetzung der gesetzlichen Datenschutz-Vorgaben von einem externen Datenschutzbeauftragten unterstützt und beraten. Dieser ist:
Sebastian von der Au
EDV-Unternehmensberatung Floß GmbH Hopfengarten 10
33775 Versmold
Telefon 05423 / 96490-0
Telefax 05423 / 96490-60
E-Mail: info@floss-consult.de
Die stashcat GmbH bedient sich für die Bereitstellung des schul.cloud Messengers der Dienste von Auftragsverarbeitern. Eine Auflistung der Auftragsverarbeiter und den Verarbeitungstätigkeiten finden Sie unter Punkt 6. Alle Auftragsverarbeiter der stashcat GmbH sind vertraglich gebunden. Hierbei übernimmt die heinekingmedia GmbH für die stashcat GmbH weisungsgebunden die Entgegennahme von Support-Anfragen. Die entsprechenden Kontaktdaten hierfür sind: E-Mail (Support-Anfragen): support@heinekingmedia.de
2. Wie findet Datenverarbeitung im Rahmen des schul.cloud Messengers statt?
Der Anbieter stellt eine über das Internet (Web-Applikation/Desktop-Applikation/Mobile Applikationen für iOS und Android) erreichbare Software (nachfolgend „schul.cloud“) bereit, welche direkte Messenger-Kommunikation zwischen Nutzern ermöglicht. Im Folgenden wird erläutert, wer von dieser Datenverarbeitung betroffen ist und auf welche Weise, in welchem Umfang sowie zu welchen Zwecken diese Datenverarbeitung stattfindet.
Von der Datenverarbeitung betroffene Personen sind die Nutzer der schul.cloud Kommunikationsplattform (nachfolgend „Nutzer“). Diese sind üblicherweise:
Der Messenger schul.cloud ist als Web-Oberfläche im Browser, als Desktop-Applikation für Windows oder Mac wie auch als mobile App für iOS und Android verfügbar. Mit dem integrierten Echtzeit-Messenger ist die direkte Kommunikation über die Plattform möglich. Es gibt eine integrierte Dateiablage, die von jedem Benutzer als persönliche Cloud verwendet werden kann. Für jeden Benutzer wird ein eigener Account mit entsprechender Berechtigungsstufe erstellt, der zur Nutzung der Plattform berechtigt. Auch Sprach- und Videotelefonie ist möglich. Eine Aufzeichnung der Sprach- und Videotelefonate findet nicht statt. Nachrichten können übersetzt oder mit einem Standort versehen werden.
Folgende Arten personenbezogener Daten werden verarbeitet:
Webserver Logfiles
E-Mail-Logfiles
Bei Verwendung des Kartendienstes von Mapbox:
Bei Verwendung des Kartendienstes von Apple (Apple Maps bei iOS Geräten) nach angeben des Dienstleisters mindestens:
Bei Verwendung von IBM Watson Übersetzer:
Geräte-IDs, Asset-Kennungen, nutzungsbasierte Identifikatoren, statische IP-Adresse, Online-Zugangs- und Authentifizierungsdaten, Online-Verbindungs- und Netzwerkverbindungsdaten - wenn sie einer Person zugeordnet werden können.
Die stashcat GmbH nutzt keine rein automatisierten Verarbeitungsprozesse zur Herbeiführung von Entscheidungen – einschließlich Profiling – hinsichtlich der Nutzer des schul.cloud Messenger-Dienstes
3. Zwecke der Datenverarbeitung
Wie bereits oben beschrieben, wird der Messenger schul.cloud vor allem in Bildungseinrichtungen verwendet. Die Bereitstellung dieser Kommunikationsplattform dient der Ermöglichung von direkter und sicherer Kommunikation zwischen Nutzern und ihren Organisationen innerhalb geschlossener Kommunikationsbereiche. Zudem lässt sich die komplette interne Struktur anhand von Channels (z.B. für einzelne Klassen/Jahrgangsstufen) abbilden. Ziele sind die Beschleunigung von Kommunikationswegen, Verkürzung der Dienstwege, organisationsübergreifende Zusammenarbeit und die vereinfachte Dateiverwaltung.
Metadaten der Nutzung werden verwendet, um Ausfallsicherheit sowie sonstig technisch reibungslose Dienst- Bereitstellung zu ermöglichen. Ferner nutzen wir von Nutzern erhobene Daten, um diese über technische Updates und Sicherheitswarnungen zu informieren sowie Support- und sonstige Nutzernachrichten an uns zu verwalten und zu bearbeiten. Zudem dienen Informationen bei gegebenem Anlass der Aufdeckung, Untersuchung und Verhinderung von betrügerischen und anderen illegalen Aktivitäten. Dies schließt Verstöße gegen unsere Nutzungsbedingungen sowie den Schutz der Rechte und des Eigentums der stashcat GmbH und anderen mit ein.
Darüber hinaus informieren wir die Nutzer über weitere Zwecke der Verarbeitung bei Erhebung der jeweiligen Daten
4. Rechtsgrundlage der Datenverarbeitung
Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung direkt von der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.
Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind. Zum Beispiel stützt die stashcat GmbH bei ihren Messenger-Produkten die Verarbeitung auf die Rechtsgrundlage des Vertrags, wenn der Dienst in einer Institution (Unternehmen, Schule, Behörde o.ä.) eingesetzt werden soll und die besagte Institution zu dem Zweck mit der stashcat GmbH einen Auftragsverarbeitungsvertrag schließt. In dem Fall wird von den Mitgliedern, Mitarbeitern oder sonstig Angehörigen jener Institution die Einwilligung zur Verarbeitung ihrer personenbezogenen Daten gemäß Art. 6 Abs. 1 lit. a DSGVO eingeholt.
Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage. Beispiele hierfür sind die Aufbewahrung von Daten für steuerliche Zwecke oder wenn eine Verpflichtung zur Herausgabe aufgrund von polizeilichen Ermittlungsverfahren besteht.
Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage. Ein Beispiel hierfür wäre, wenn der Schutz der körperlichen Unversehrtheit oder des Lebens einer Person eine Datenverarbeitung notwendig macht.
Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung. Für den schul.cloud Messenger Dienst verarbeitet die stashcat GmbH Ihre Daten etwa auf der Grundlage des berechtigten Interesses für Maßnahmen zur Verbesserung, Entwicklung und für die Sicherheit des Messenger Dienstes durchzuführen. Ferner hat die stashcat GmbH ein berechtigtes Interesse daran, bei Bedarf Datenverarbeitung durchzuführen um rechtliche Ansprüche geltend machen oder sich bei rechtlichen Streitigkeiten verteidigen zu können.
Die stashcat GmbH wie auch ihre Auftragsverarbeiter implementieren und unterhalten entsprechend der gesetzlichen Vorgaben eine Reihe von technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten der Nutzer des Messengers. Diese Maßnahmen werden im Sinne von Art. 32 DSGVO unter Berücksichtigung von dem Stand der Technik, den Kosten ihrer Implementierung und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit sowie Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen getroffen. Diese Maßnahmen sollen ein dem Risiko angemessenes Schutzniveau für die personenbezogenen Daten der Messenger-Nutzer gewährleisten.
Der schul.cloud Messengerdienst wird in einem gesicherten Hochsicherheitsrechenzentrum in Deutschland zur Verfügung gestellt. Die Kommunikationsdaten der Nutzer bleiben üblicherweise im Rechtsraum der EU-Datenschutzgrundverordnung (DSGVO). Lediglich im Hinblick auf die Nutzung des Übersetzungsdienstes und des Standortdienstes im Messenger kann nicht völlig ausgeschlossen werden, dass eine Datenübermittlung in die USA über unseren Dienstleister IBM (im Rahmen des in schul.cloud implementierten IBM Watson Language Translator) beziehungsweise Apple Maps und Mapbox (als Kartendienst für die Standorte) erfolgt. Genauere Informationen hierzu finden Sie unter Punkt 6 und 7. Das Rechenzentrum verfügt über höchste Standards zur Ausfall- und Zugangssicherung.
6. Datenübermittlung an Dritte
Die stashcat GmbH bedient sich für die Bereitstellung von schul.cloud der Dienste von Auftragsverarbeitern. Diese sind vertraglich gebunden und unterliegen den Weisungen von stashcat. Die Auftragsverarbeiter der stashcat GmbH für die Bereitstellung des Messenger-Dienstes sind:
Weiterhin finden Datenübermittlungen an Dritte nur statt, insoweit die stashcat GmbH zur Einhaltung von Gesetzen, rechtlichen Verfahren oder einer berechtigten Anfrage von Behörden oder Dritten dazu verpflichtet ist. Andere Datenübermittlungen an Dritte finden nicht statt.
7. Grenzüberschreitende Datenübermittlungen außerhalb der EU
Alle in der schul.cloud erfassten Daten werden auf den sich in Deutschland befindlichen Hosting-Servern zur Sicherstellung der problemlosen Nutzung der Plattform verarbeitet. In der Regel gibt es keine Datenübermittlung in Fremdländer, weder an Firmen noch an Privatpersonen. Lediglich bei Nutzung des Übersetzungsdienstes von IBM, sowie bei der Verwendung des Kartendienstes von Mapbox bzw. Apple kann nicht vollständig ausgeschlossen werden, dass eine Datenübermittlung in Drittländer (vornehmlich USA) stattfindet. Die Nutzung dieser Dienste ist optional.
Für den Fall der Datenübermittlung in die USA stützt sich IBM Deutschland GmbH im Hinblick auf die Konzernmutter und Unterauftragsverarbeiter auf die EU-Standardvertragsklauseln ab. Darüber hinaus werden ergänzende Garantien technischer, organisatorischer und vertraglicher Natur wie Verschlüsselung, Zugriffskontrollen und Zusicherungen der Benachrichtigung des Verantwortlichen im Fall der Anfrage einer Ermittlungsbehörde ebenfalls implementiert. Dies ist im Dezember 2020 Update des Appendix on Additional Safeguards to EU Standard Contractual Clauses (EU SCCs) niedergelegt: www.ibm.com/support/customer/csol/terms/. Aus diesem Grund wird der Einsatz des IBM Watson Language Translators nach erfolgter Risikoabwägung durch die stashcat GmbH für vorläufig einsetzbar erachtet, wobei die Rechtmäßigkeitsaspekte einer wiederholten Überprüfung unterzogen werden.
Mapbox stellt für die Drittstaatenübermittlung auf die EU-Standardvertragsklauseln ab. Weder in der Datenschutzerklärung noch in dem DPA sieht Mapbox explizit ergänzende Garantien im Sinne des EuGH Urteils vor. Jedoch hat der Dienstleister diverse technische und organisatorische Maßnahmen im DPA referenziert (https://www.mapbox.com/platform/security/), welche solche ergänzenden Garantien darstellen können. Dazu gehören z.B. TLS-Transportverschlüsselung, Rechte- und Rollenkonzept für Angestellte des Unternehmens, Protokollierung von Datenzugriffen sowie Audits/Zertifizierungen (SOC 2, SOC3, etc.). Infolge der sehr begrenzten Erhebung personenbezogener Daten wurde daher nach erfolgter Risikoeinschätzung entschieden, dass der Schutz personenbezogener Daten hinreichend gewährleistet und folglich der Dienst einsetzbar ist.
Apple stellt für die Drittstaatenübermittlung auf die EU-Standardvertragsklauseln ab. Diese sind unter www.apple.com/legal/enterprise/data-transfer-agreements/datatransfer-de.pdf verfügbar. Weder in der Datenschutzerklärung noch in den Anhängen zu den Standardvertragsklauseln sieht Apple explizit ergänzende Garantien im Sinne des EuGH Urteils vor. Jedoch hat der Dienstleister diverse technische und organisatorische Maßnahmen sowohl im Appendix 2 zu diesen Standardvertragsklauseln sowie in der Information über Datenschutz-Features auf der eigenen Webseite (https://www.apple.com/de/privacy/features/ m DPA referenziert. Dazu gehören speziell bei Kartendiensten durchgehende Verschlüsselung, lokale Verarbeitungen auf dem Gerät des Nutzers, zufällige Kennungen, Standort-Fuzzing und das Sandboxing von Karten-Erweiterungen.
Nach erfolgter Risikoeinschätzung wird daher davon ausgegangen, dass diese Maßnahmen als ergänzende Garantien im Sinne des Schrems II Urteils eingeschätzt werden können. Folglich wird derzeit der Schutz personenbezogener Daten als hinreichend gewährleistet und der Dienst als rechtskonform einsetzbar angesehen.
8. Dauer der Speicherung und Löschung von Daten
Die von uns verarbeiteten Daten werden nach Maßgabe der Art. 17 und 18 DSGVO gelöscht oder in ihrer Verarbeitung eingeschränkt. Sofern nicht im Rahmen dieser Datenschutzerklärung ausdrücklich angegeben, werden die bei uns gespeicherten Daten gelöscht, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Verlässt ein Nutzer die Organisation und löscht dieser seinen schul.cloud-Account, werden in diesem Zuge gleichzeitig alle personenbezogenen Daten gelöscht. Grundsätzlich werden personenbezogene Daten auf Anfrage / Weisung des Nutzers / der Organisation / des Administrators entsprechend gelöscht. Die Benutzer selbst haben die Möglichkeit, ihre hochgeladenen Dateien in der persönlichen Dateiablage selbstständig zu löschen.
Eine Anonymisierung des Accounts kann von den Nutzern selbst nicht vorgenommen werden, da die Zuordnung der Nutzer auf der Plattform sonst nicht möglich wäre. Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung eingeschränkt. D.h. die Daten werden gesperrt und nicht für andere Zwecke verarbeitet. Das gilt z.B. für Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen.
Nutzerdaten werden nach Löschung des Accounts gelöscht. Chatinhalte können durch den User selbst oder durch von der Schule definierte Löschfristen automatisiert gelöscht werden.
Webserver Logfiles:
Automatisches Löschen alter Logs nach 14 Tagen.
Mailserver Logfiles:
Automatisches Löschen alter Logs nach 30 Tagen.
Endgeräte:
Automatisches Löschen von nicht mehr aktiven/benutzten Geräten nach 30 Tagen.
Bei der Verwendung des Kartendienstes von Mapbox wird die IP-Adresse von diesem Dienstleister nach 30 Tagen gelöscht. Nur stichprobenartige längere Speicherung bis zu
36 Monaten zum Zweck der Nutzungsanalyse für die Verbesserung der API.
Die vom Apple Kartendienst erhobenen Daten unterliegen einer Regellöschfrist von zwei Jahren.
9. Änderungen und Aktualisierungen in dieser Datenschutzerklärung
Diese Datenschutzerklärung gilt vorbehaltlich zukünftiger inhaltlicher Änderungen und Aktualisierungen. Dies kann geschehen, weil sich entweder die rechtlichen Vorgaben oder die Art und Weise, wie wir Daten von unseren Nutzern verarbeiten, ändert. Soweit für solche Änderungen eine Einwilligung der Nutzer erforderlich sein wird, werden wir diese unmittelbar und individuell kontaktieren.
Nutzer des schul.cloud Messengerdienstes haben als Betroffene der Verarbeitung ihrer personenbezogenen Daten Rechte, die ihnen insbesondere gemäß den Art. 15-21 DSGVO zustehen. Diese können sie als Einzelnutzer gegenüber der stashcat GmbH geltend machen. Etabliert jedoch eine andere Organisation (Behörde, Unternehmen, Schule, o.ä.) den schul.cloud Messenger organisationsintern als Kommunikationsplattform, ist die stashcat GmbH üblicherweise Auftragsverarbeiter dieser Organisation. In diesem Fällen können sie diese Rechte direkt bei dieser Organisation geltend machen.
Ihre Betroffenenrechte als Nutzer des Messengers sind:
Recht auf Auskunft:
Sie haben das Recht, entsprechend den gesetzlichen Vorgaben unentgeltlich eine Bestätigung darüber zu verlangen, ob und welche Sie betreffende personenbezogene Daten verarbeitet werden. Ferner können Sie eine Kopie der Daten entsprechend den gesetzlichen Vorgaben verlangen.
Recht auf Berichtigung Ihrer Daten:
Sie haben das Recht, entsprechend den gesetzlichen Vorgaben die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ebenso haben sie das Recht, entsprechend den gesetzlichen Vorgaben die Vervollständigung unvollständiger Daten zu verlangen.
Recht auf Löschung und Einschränkung der Verarbeitung:
Sie haben das Recht, die unverzügliche Löschung oder zumindest die Sperrung ihrer personenbezogenen Daten entsprechend den gesetzlichen Vorgaben zu verlangen.
Recht auf Datenübertragbarkeit:
Sie haben das Recht, die Sie betreffenden personenbezogenen. Daten entsprechend den gesetzlichen Vorgaben in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung dieser Daten an einen anderen Verantwortlichen zu verlangen.
Recht, Ihre gegebene Einwilligung zu widerrufen:
Soweit die Verarbeitung ihrer personenbezogenen Daten auf Ihrer Einwilligung basiert, haben sie jederzeit das Recht, diese zu widerrufen. Beachten Sie hierbei, dass der Widerruf Ihrer Einwilligung je nach Bezug eine vollständige Löschung Ihres Nutzer-Accounts bedeuten kann.
Recht auf Widerspruch:
Sofern eine Datenverarbeitung auf dem berechtigten Interesse nach Art. 6 Abs. 1 lit. f) DSGVO basiert, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten Widerspruch einzulegen. Im Falle eines Widerspruchs wird der Verantwortliche prüfen, ob schutzwürdige Interessen für die Verarbeitung gegenüber Ihren Interessen, Rechten und Freiheiten überwiegen, z.B. bei der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Bei einem Widerspruch, der sich auf Direktwerbung bezieht, wird dem Widerspruch immer unmittelbar entsprochen und die Verarbeitung eingestellt.
Soweit Sie ihre Betroffenenrechte direkt gegenüber der stashcat GmbH wahrnehmen möchten oder andere datenschutzbezogene Anliegen im Kontext des schul.cloud Messengers haben, erreichen Sie uns unter der E-Mail datenschutz@stashcat.com. Anderenfalls wenden Sie sich direkt an ihre Organisation (Behörde, Unternehmen, Schule o.ä.), sofern diese unseren Messenger als Kommunikationsplattform etabliert hat. Die stashcat GmbH wird dann die betreffende Organisation nach den gesetzlichen Vorgaben bei der Umsetzung der Betroffenenrechte unterstützen.
11. Beschwerderecht bei der zuständigen Aufsichtsbehörde
Im Falle datenschutzrechtlicher Verstöße steht dem Betroffenen ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde zu. Zuständige Aufsichtsbehörde ist in der Regel jene in dem Bundesland, in dem das datenverarbeitende Unternehmen seinen Sitz hat. Die für unser Unternehmen zuständige Aufsichtsbehörde in datenschutzrechtlichen Fragen ist:
Die Landesdatenschutzbeauftragte des Bundeslandes Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon: 0511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
Webseite: www.lfd.niedersachsen.de/startseite
stashcat.com