Rechtliches

Datenschutzerklärung

Stand: Juli 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und im Rahmen der Infrastruktur OhayoSchool ist:

OhayoEducation UG (haftungsbeschränkt) i. G.
Waghäuslerstr. 7
68753 Waghäusel
Vertreten durch: Nicolas Richter

E-Mail: info@ohayoschool.com

2. Kontakt in Datenschutzfragen

Für alle Fragen zum Datenschutz und zur Ausübung Ihrer Betroffenenrechte erreichen Sie uns unter datenschutz@ohayoschool.com.

Sobald ein Datenschutzbeauftragter bestellt ist, werden dessen Kontaktdaten an dieser Stelle ergänzt.

3. Welche Daten wir verarbeiten

3.1 Schülerdaten

  • Vor- und Nachname, Klasse, Geburtsdatum
  • Kognitive Assessmentergebnisse (pseudonymisiert, nur mit Opt-in)
  • Lernfortschrittsdaten aus Übungsapps (Aufgabentyp, Ergebnis, Bearbeitungszeit)
  • Anwesenheits- und Fehlzeitendaten (Klassenbuch)

3.2 Lehrkräftedaten

  • Vor- und Nachname, E-Mail-Adresse
  • Qualifikationen, Deputat, Verfügbarkeiten
  • Unterrichtsinhalte und Planungsdaten

3.3 Elterndaten

  • Vor- und Nachname, E-Mail-Adresse, Telefonnummer
  • Kommunikationsverlauf über das Elternportal
  • Entschuldigungen und Krankmeldungen

3.4 Technische Daten

  • IP-Adresse (anonymisiert nach 7 Tagen)
  • Browser-Typ, Betriebssystem
  • Sitzungsdaten (Login-Zeitpunkt, Sitzungsdauer)

3.5 Anfragen über die Website (Demo- und Infopaket-Formulare)

Wenn Sie über unsere Website eine Demo anfragen oder das Infopaket anfordern, verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail-Adresse, ggf. Telefonnummer, Schule, Schulart, Funktion und Ihre Nachricht) zur Bearbeitung Ihrer Anfrage, zur Zusendung der angeforderten Informationen und zur Kontaktaufnahme. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen auf Ihre Anfrage). Die Daten werden in unserem Kundenverwaltungssystem gespeichert und gelöscht, sobald sie für die Bearbeitung nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten bestehen — auf Ihren Wunsch jederzeit früher (E-Mail an datenschutz@ohayoschool.com genügt).

4. Rechtsgrundlagen der Verarbeitung

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Die Verarbeitung ist für die Durchführung des Nutzungsvertrags mit der Schule erforderlich.
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: Kognitive Assessments werden nur mit ausdrücklicher Einwilligung der Erziehungsberechtigten durchgeführt.
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Technische Daten werden zur Sicherstellung des Betriebs und zur Fehlerbehebung verarbeitet.
  • Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Aufbewahrung von Rechnungsdaten gemäß steuerrechtlichen Vorschriften.

5. Empfänger der Daten

Personenbezogene Daten werden ausschließlich an folgende Kategorien von Empfängern weitergegeben:

  • Hosting-Provider (Serverstandort Deutschland)
  • Die jeweilige Schule als Auftraggeber (gemäß Auftragsverarbeitungsvertrag)

Es findet keine Weitergabe an Dritte zu Werbe- oder Marketingzwecken statt. Es findet kein Transfer in Drittländer außerhalb der EU/des EWR statt.

6. Speicherdauer und Löschung

  • Schülerdaten: Werden zum Ende des Schuljahres gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht. Kognitive Profile werden bei Widerruf der Einwilligung sofort gelöscht.
  • Lehrkräftedaten: Werden bei Beendigung des Beschäftigungsverhältnisses gelöscht, spätestens 3 Monate nach Vertragsende.
  • Elterndaten: Werden gelöscht, wenn das Kind die Schule verlässt.
  • Technische Daten: IP-Adressen werden nach 7 Tagen anonymisiert. Sitzungsdaten werden nach 90 Tagen gelöscht.
  • Bei Vertragskündigung: Vollständiger Datenexport auf Wunsch. Unwiderrufliche Löschung aller Daten nach 90 Tagen.

7. Ihre Rechte

Als betroffene Person haben Sie folgende Rechte:

  • Auskunft (Art. 15 DSGVO): Sie können jederzeit Auskunft über die bei uns gespeicherten personenbezogenen Daten verlangen.
  • Berichtigung (Art. 16 DSGVO): Sie haben das Recht auf Berichtigung unrichtiger Daten.
  • Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
  • Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten aus Gründen Ihrer besonderen Situation widersprechen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.
  • Beschwerde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

8. Cookies und Tracking

OhayoSchool verwendet keine Tracking-Cookies, kein Google Analytics, keine Social-Media-Tracker und keine Werbe-Cookies. Wir setzen ausschließlich technisch notwendige Cookies ein (Session-Cookie für die Authentifizierung).

9. Besondere Kategorie: Kognitive Assessments

Kognitive Assessmentergebnisse werden als besonders schützenswerte Daten behandelt:

  • Verarbeitung nur mit ausdrücklicher, informierter Einwilligung der Erziehungsberechtigten
  • Pseudonymisierung auf Datenbankebene — kein Rückschluss auf Klarnamen möglich
  • Zugriff nur durch die Lehrkraft der jeweiligen Klasse und das Kind selbst
  • Keine Weitergabe an Dritte
  • Sofortige Löschung bei Widerruf der Einwilligung
  • KI-Modelle werden mit anonymisierten, aggregierten Daten trainiert — niemals mit Individualdaten

10. Auftragsverarbeitung

Die Nutzung von OhayoSchool durch Schulen erfolgt im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO. Ein Auftragsverarbeitungsvertrag (AVV) ist Bestandteil jedes Nutzungsvertrags. Die Schule bleibt Verantwortliche im Sinne der DSGVO; OhayoSchool ist Auftragsverarbeiter.

11. Technische und organisatorische Maßnahmen

  • Verschlüsselung aller Daten in Transit (TLS 1.3) und at Rest (AES-256)
  • Serverstandort ausschließlich in Deutschland
  • Microservice-Architektur: Jeder Dienst hat nur Zugriff auf die für seine Funktion notwendigen Daten
  • Regelmäßige Sicherheitsaudits und Penetrationstests
  • Automatisierte Backups mit Verschlüsselung
  • Rollenbasierte Zugriffskontrolle (RBAC)

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslagen oder Änderungen unseres Dienstes anzupassen. Die aktuelle Fassung finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.