Einleitung
Der schul.cloud Messenger ist ein Kommunikationsdienst, welcher von der stashcat GmbH mit Sitz in Hannover angeboten wird. Der Dienst richtet sich speziell an Bildungseinrichtungen wie etwa Schulen, die den Messenger organisationsintern und z.B. auf Klassen oder Jahrgangsstufen bezogen einsetzen können. Alle einschlägigen datenschutzrechtlichen Bestimmungen, insbesondere die Regelungen des Telemediengesetzes (TMG) und der Datenschutzgrundverordnung (EU-DSGVO) werden beachtet. Nachstehend möchten wir Sie über die Art, den Umfang und Zweck der Verarbeitung personenbezogener Daten innerhalb von schul.cloud informieren. Im Hinblick auf die verwendeten Begrifflichkeiten wie z.B. "Verarbeitung" oder "Verantwortlicher" verweisen wir auf die Definitionen im Art. 4 der Datenschutzgrundverordnung (DSGVO).
Inhaltsübersicht:
1. WER IST VERANTWORTLICH FÜR DIE DATENVERARBEITUNG BEIM SCHUL.CLOUD MESSENGER?
2. WIE FINDET DATENVERARBEITUNG IM RAHMEN DES SCHUL.CLOUD MESSENGERS STATT?
3. ZWECKE DER DATENVERARBEITUNG
4. RECHTSGRUNDLAGE DER DATENVERARBEITUNG
5. SICHERHEITSMAßNAHMEN
6. DATENÜBERMITTLUNG AN DRITTE
7. GRENZÜBERSCHREITENDE DATENÜBERMITTLUNGEN AUßERHALB DER EU
8. DAUER DER SPEICHERUNG UND LÖSCHUNG VON DATEN
9. ÄNDERUNGEN UND AKTUALISIERUNGEN IN DIESER DATENSCHUTZERKLÄRUNG
10. RECHTE DER BETROFFENEN
11. BESCHWERDERECHT BEI DER ZUSTÄNDIGEN AUFSICHTSBEHÖRDE
1. Wer ist verantwortlich für die Datenverarbeitung beim schul.cloud Messenger?
Für den Datenschutz verantwortlich ist der Anbieter dieses Angebots (nachfolgend „Anbieter“):
stashcat GmbH
Hamburger Allee 2-4
30161 Hannover
Deutschland
Tel.: 0511/675190
E-Mail: hello@stashcat.com
Bei datenschutzrechtlichen Anliegen wenden Sie sich bitte vorzugsweise direkt an die stashcat GmbH unter Nennung hinreichender Angaben zur Identifizierung Ihrer Person (z.B. Name, E-Mail-Adresse, Name Ihrer Institution).
Sie erreichen den Anbieter in datenschutzrechtlichen Fragen unter dieser E-Mail: datenschutz@stashcat.com.
Die stashcat GmbH wird zwecks optimaler Umsetzung der gesetzlichen Datenschutz-Vorgaben von einem externen Datenschutzbeauftragten unterstützt und beraten. Dieser ist:
Sebastian von der Au
EDV-Unternehmensberatung Floß GmbH
Hopfengarten 10
33775 Versmold
Telefon 05423 / 96490-0
Telefax 05423 / 96490-60
E-Mail: info@floss-consult.de
Die stashcat GmbH bedient sich für die Bereitstellung des schul.cloud Messengers der Dienste von Auftragsverarbeitern. Eine Auflistung der Auftragsverarbeiter und den Verarbeitungstätigkeiten finden Sie unter Punkt 6. Alle Auftragsverarbeiter der stashcat GmbH sind vertraglich gebunden. Hierbei übernimmt die heinekingmedia GmbH für die stashcat GmbH weisungsgebunden die Entgegennahme von Support-Anfragen. Die entsprechenden Kontaktdaten hierfür sind:
E-Mail (Support-Anfragen): support@heinekingmedia.de
2. Wie findet Datenverarbeitung im Rahmen des schul.cloud Messengers statt?
Der Anbieter stellt eine über das Internet (Web-Applikation/Desktop-Applikation/Mobile Applikationen für iOS und Android) erreichbare Software (nachfolgend "schul.cloud") bereit, welche direkte Messenger-Kommunikation zwischen Nutzern ermöglicht. Im Folgenden wird erläutert, wer von dieser Datenverarbeitung betroffen ist und auf welche Weise, in welchem Umfang sowie zu welchen Zwecken diese Datenverarbeitung stattfindet.
Von der Datenverarbeitung betroffene Personen sind die Nutzer der schul.cloud Kommunikationsplattform (nachfolgend "Nutzer"). Diese sind üblicherweise:
Der Messenger schul.cloud ist als Web-Oberfläche im Browser, als Desktop-Applikation für Windows oder Mac wie auch als mobile App für iOS und Android verfügbar. Mit dem integrierten Echtzeit-Messenger ist die direkte Kommunikation über die Plattform möglich. Es gibt eine integrierte Dateiablage, die von jedem Benutzer als persönliche Cloud verwendet werden kann. Für jeden Benutzer wird ein eigener Account mit entsprechender Berechtigungsstufe erstellt, der zur Nutzung der Plattform berechtigt. Auch Sprach- und Videotelefonie ist möglich. Eine Aufzeichnung der Sprach- und Videotelefonate findet nicht statt.
Folgende Arten personenbezogener Daten werden verarbeitet:
Die stashcat GmbH nutzt keine rein automatisierten Verarbeitungsprozesse zur Herbeiführung von Entscheidungen – einschließlich Profiling – hinsichtlich der Nutzer des schul.cloud Messenger-Dienstes
3. Zwecke der Datenverarbeitung
Wie bereits oben beschrieben, wird der Messenger schul.cloud vor allem in Bildungseinrichtungen verwendet. Die Bereitstellung dieser Kommunikationsplattform dient der Ermöglichung von direkter und sicherer Kommunikation zwischen Nutzern und ihren Organisationen innerhalb geschlossener Kommunikationsbereiche. Zudem lässt sich die komplette interne Struktur anhand von Channels (z.B. für einzelne Klassen/Jahrgangsstufen) abbilden. Ziele sind die Beschleunigung von Kommunikationswegen, Verkürzung der Dienstwege, organisationsübergreifende Zusammenarbeit und die vereinfachte Dateiverwaltung.
Metadaten der Nutzung werden verwendet, um Ausfallsicherheit sowie sonstig technisch reibungslose Dienst-Bereitstellung zu ermöglichen. Ferner nutzen wir von Nutzern erhobene Daten, um diese über technische Updates und Sicherheitswarnungen zu informieren sowie Support- und sonstige Nutzernachrichten an uns zu verwalten und zu bearbeiten. Zudem dienen Informationen bei gegebenem Anlass der Aufdeckung, Untersuchung und Verhinderung von betrügerischen und anderen illegalen Aktivitäten. Dies schließt Verstöße gegen unsere Nutzungsbedingungen sowie den Schutz der Rechte und des Eigentums der stashcat GmbH und anderen mit ein.
Darüber hinaus informieren wir die Nutzer über weitere Zwecke der Verarbeitung bei Erhebung der jeweiligen Daten.
4. Rechtsgrundlage der Datenverarbeitung
Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage. Soweit Kinder betroffen sind, wird die Einwilligung über den Träger der elterlichen Verantwortung gemäß Art. 8 Abs. 1 DSGVO eingeholt.
Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.
Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.
Die stashcat GmbH wie auch ihre Auftragsverarbeiter implementieren und unterhalten entsprechend der gesetzlichen Vorgaben eine Reihe von technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten der Nutzer des Messengers. Diese Maßnahmen werden im Sinne von Art. 32 DSGVO unter Berücksichtigung von dem Stand der Technik, den Kosten ihrer Implementierung und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit sowie Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen getroffen. Diese Maßnahmen sollen ein dem Risiko angemessenes Schutzniveau für die personenbezogenen Daten der Messenger-Nutzer gewährleisten.
Der schul.cloud Messengerdienst wird in einem gesicherten Hochsicherheitsrechenzentrum in Deutschland zur Verfügung gestellt. Die Kommunikationsdaten der Nutzer bleiben üblicherweise im Rechtsraum der EU-Datenschutzgrundverordnung (DSGVO). Lediglich im Hinblick auf die Nutzung des Übersetzungsdienstes im Messenger kann nicht völlig ausgeschlossen werden, dass eine Datenübermittlung in die USA über unseren Dienstleister IBM (im Rahmen des bei stashcat implementierten IBM Watson Language Translator) erfolgt. Genauere Informationen hierzu finden Sie unter Punkt 6 und 7. Das Rechenzentrum verfügt über höchste Standards zur Ausfall- und Zugangssicherung.
6. Datenübermittlung an Dritte
Die stashcat GmbH bedient sich für die Bereitstellung von schul.cloud der Dienste von Auftragsverarbeitern. Diese sind vertraglich gebunden und unterliegen den Weisungen von stashcat. Die Auftragsverarbeiter der stashcat GmbH für die Bereitstellung des Messenger-Dienstes sind:
Weiterhin finden Datenübermittlungen an Dritte nur statt, insoweit die stashcat GmbH zur Einhaltung von Gesetzen, rechtlichen Verfahren oder einer berechtigten Anfrage von Behörden oder Dritten dazu verpflichtet ist.
Andere Datenübermittlungen an Dritte finden nicht statt.
7. Grenzüberschreitende Datenübermittlungen außerhalb der EU
Alle in schul.cloud erfassten Daten werden auf den sich in Deutschland befindlichen Hosting-Servern zur Sicherstellung der problemlosen Nutzung der Plattform verarbeitet. In der Regel gibt es keine Datenübermittlung in Fremdländer, weder an Firmen noch an Privatpersonen. Lediglich hinsichtlich des Übersetzungsdienstes von IBM kann nicht vollständig ausgeschlossen werden, dass eine Übermittlung von Kommunikationsdaten in Drittländer (vornehmlich USA) stattfindet. Für den Fall der Datenübermittlung in die USA stützt sich IBM Deutschland GmbH im Hinblick auf die Konzernmutter und Unterauftragsverarbeiter auf die EU-Standardvertragsklauseln ab. Darüber hinaus werden ergänzende Garantien technischer, organisatorischer und vertraglicher Natur wie Verschlüsselung, Zugriffskontrollen und Zusicherungen der Benachrichtigung des Verantwortlichen im Fall der Anfrage einer Ermittlungsbehörde ebenfalls implementiert. Dies ist im Dezember 2020 Update des Appendix on Additional Safeguards to EU Standard Contractual Clauses (EU SCCs) niedergelegt: www.ibm.com/support/customer/csol/terms/. Aus diesem Grund wird der Einsatz des IBM Watson Language Translators nach erfolgter Risikoabwägung durch die stashcat GmbH für vorläufig einsetzbar erachtet, wobei die Rechtmäßigkeitsaspekte einer wiederholten Überprüfung unterzogen werden.
8. Dauer der Speicherung und Löschung von Daten
Die von uns verarbeiteten Daten werden nach Maßgabe der Art. 17 und 18 DSGVO gelöscht oder in ihrer Verarbeitung eingeschränkt. Sofern nicht im Rahmen dieser Datenschutzerklärung ausdrücklich angegeben, werden die bei uns gespeicherten Daten gelöscht, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Verlässt ein Nutzer die Organisation und löscht dieser seinen schul.cloud-Account, werden in diesem Zuge gleichzeitig alle personenbezogenen Daten gelöscht. Grundsätzlich werden personenbezogene Daten auf Anfrage / Weisung des Nutzers / der Organisation / des Administrators entsprechend gelöscht. Die Benutzer selber haben die Möglichkeit, ihre hochgeladenen Dateien in der persönlichen Dateiablage selbstständig zu löschen.
Eine Anonymisierung des Accounts kann von den Nutzern selber nicht vorgenommen werden, da die Zuordnung der Nutzer auf der Plattform sonst nicht möglich wäre. Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung eingeschränkt. D.h. die Daten werden gesperrt und nicht für andere Zwecke verarbeitet. Das gilt z.B. für Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen.
9. Änderungen und Aktualisierungen in dieser Datenschutzerklärung
Diese Datenschutzerklärung gilt vorbehaltlich zukünftiger inhaltlicher Änderungen und Aktualisierungen. Dies kann geschehen, weil sich entweder die rechtlichen Vorgaben oder die Art und Weise, wie wir Daten von unseren Nutzern verarbeiten, ändert. Soweit für solche Änderungen eine Einwilligung der Nutzer erforderlich sein wird, werden wir diese unmittelbar und individuell kontaktieren.
Nutzer des schul.cloud Messengerdienstes haben als Betroffene der Verarbeitung ihrer personenbezogenen Daten Rechte, die ihnen insbesondere gemäß den Art. 15-21 DSGVO zustehen. Diese können sie als Einzelnutzer gegenüber der stashcat GmbH geltend machen. Etabliert jedoch eine andere Organisation (z.B. Schule oder sonstige Bildungseinrichtung) die schul.cloud organisationsintern als Kommunikationsplattform, ist die stashcat GmbH üblicherweise Auftragsverarbeiter dieser Organisation. In diesem Fällen können sie diese Rechte direkt bei dieser Organisation geltend machen.
Ihre Betroffenenrechte als Nutzer des Messengers sind:
Recht auf Auskunft:
Sie haben das Recht, entsprechend den gesetzlichen Vorgaben unentgeltlich eine Bestätigung darüber zu verlangen, ob und welche Sie betreffende personenbezogene Daten verarbeitet werden. Ferner können Sie eine Kopie der Daten entsprechend den gesetzlichen Vorgaben verlangen.
Recht auf Berichtigung Ihrer Daten:
Sie haben das Recht, entsprechend den gesetzlichen Vorgaben die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ebenso haben sie das Recht, entsprechend den gesetzlichen Vorgaben die Vervollständigung unvollständiger Daten zu verlangen.
Recht auf Löschung und Einschränkung der Verarbeitung:
Sie haben das Recht, die unverzügliche Löschung oder zumindest die Sperrung ihrer personenbezogenen Daten entsprechend den gesetzlichen Vorgaben zu verlangen.
Recht auf Datenübertragbarkeit:
Sie haben das Recht, die Sie betreffenden personenbezogenen. Daten entsprechend den gesetzlichen Vorgaben in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung dieser Daten an einen anderen Verantwortlichen zu verlangen.
Recht, Ihre gegebene Einwilligung zu widerrufen:
Soweit die Verarbeitung ihrer personenbezogenen Daten auf Ihrer Einwilligung basiert, haben sie jederzeit das Recht, diese zu widerrufen. Beachten Sie hierbei, dass der Widerruf Ihrer Einwilligung je nach Bezug eine vollständige Löschung Ihres Nutzer-Accounts bedeuten kann.
Recht auf Widerspruch:
Sofern eine Datenverarbeitung auf dem berechtigten Interesse nach Art. 6 Abs. 1 lit. f) DSGVO basiert, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten Widerspruch einzulegen. Im Falle eines Widerspruchs wird der Verantwortliche prüfen, ob schutzwürdige Interessen für die Verarbeitung gegenüber Ihren Interessen, Rechten und Freiheiten überwiegen, z.B. bei der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Bei einem Widerspruch, der sich auf Direktwerbung bezieht, wird dem Widerspruch immer unmittelbar entsprochen und die Verarbeitung eingestellt.
Soweit Sie ihre Betroffenenrechte direkt gegenüber der stashcat GmbH wahrnehmen möchten oder andere datenschutzbezogene Anliegen im Kontext des schul.cloud Messengers haben erreichen Sie uns unter der E-Mail: datenschutz@stashcat.com. Anderenfalls wenden Sie sich direkt an ihre Organisation (z.B. Schule oder sonstige Bildungseinrichtung), sofern diese unseren Messenger als Kommunikationsplattform etabliert hat. Die stashcat GmbH wird dann die betreffende Organisation nach den gesetzlichen Vorgaben bei der Umsetzung der Betroffenenrechte unterstützen.
11. Beschwerderecht bei der zuständigen Aufsichtsbehörde
Im Falle datenschutzrechtlicher Verstöße steht dem Betroffenen ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde zu. Zuständige Aufsichtsbehörde ist in der Regel jene in dem Bundesland, in dem das datenverarbeitende Unternehmen seinen Sitz hat. Die für unser Unternehmen zuständige Aufsichtsbehörde in datenschutzrechtlichen Fragen ist:
Die Landesdatenschutzbeauftragte des Bundeslandes Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon: 0511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
Webseite: lfd.niedersachsen.de/startseite/