Rechtliches

Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und im Rahmen der Plattform OhayoSchool ist:

OhayoSchool gUG (haftungsbeschränkt) i. G.
Walldorf, 69190
Baden-Württemberg, Deutschland
E-Mail: datenschutz@ohayoschool.de

2. Datenschutzbeauftragter

Unser Datenschutzbeauftragter ist erreichbar unter:
E-Mail: dsb@ohayoschool.de

3. Welche Daten wir verarbeiten

3.1 Schülerdaten

  • Vor- und Nachname, Klasse, Geburtsdatum
  • Kognitive Assessmentergebnisse (pseudonymisiert, nur mit Opt-in)
  • Lernfortschrittsdaten aus Übungsapps (Aufgabentyp, Ergebnis, Bearbeitungszeit)
  • Anwesenheits- und Fehlzeitendaten (Klassenbuch)

3.2 Lehrkräftedaten

  • Vor- und Nachname, E-Mail-Adresse
  • Qualifikationen, Deputat, Verfügbarkeiten
  • Unterrichtsinhalte und Planungsdaten

3.3 Elterndaten

  • Vor- und Nachname, E-Mail-Adresse, Telefonnummer
  • Kommunikationsverlauf über das Elternportal
  • Entschuldigungen und Krankmeldungen

3.4 Technische Daten

  • IP-Adresse (anonymisiert nach 7 Tagen)
  • Browser-Typ, Betriebssystem
  • Sitzungsdaten (Login-Zeitpunkt, Sitzungsdauer)

4. Rechtsgrundlagen der Verarbeitung

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Die Verarbeitung ist für die Durchführung des Nutzungsvertrags mit der Schule erforderlich.
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: Kognitive Assessments werden nur mit ausdrücklicher Einwilligung der Erziehungsberechtigten durchgeführt.
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Technische Daten werden zur Sicherstellung des Betriebs und zur Fehlerbehebung verarbeitet.
  • Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Aufbewahrung von Rechnungsdaten gemäß steuerrechtlichen Vorschriften.

5. Empfänger der Daten

Personenbezogene Daten werden ausschließlich an folgende Kategorien von Empfängern weitergegeben:

  • Hosting-Provider (Serverstandort Deutschland)
  • Die jeweilige Schule als Auftraggeber (gemäß Auftragsverarbeitungsvertrag)

Es findet keine Weitergabe an Dritte zu Werbe- oder Marketingzwecken statt. Es findet kein Transfer in Drittländer außerhalb der EU/des EWR statt.

6. Speicherdauer und Löschung

  • Schülerdaten: Werden zum Ende des Schuljahres gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht. Kognitive Profile werden bei Widerruf der Einwilligung sofort gelöscht.
  • Lehrkräftedaten: Werden bei Beendigung des Beschäftigungsverhältnisses gelöscht, spätestens 3 Monate nach Vertragsende.
  • Elterndaten: Werden gelöscht, wenn das Kind die Schule verlässt.
  • Technische Daten: IP-Adressen werden nach 7 Tagen anonymisiert. Sitzungsdaten werden nach 90 Tagen gelöscht.
  • Bei Vertragskündigung: Vollständiger Datenexport auf Wunsch. Unwiderrufliche Löschung aller Daten nach 90 Tagen.

7. Ihre Rechte

Als betroffene Person haben Sie folgende Rechte:

  • Auskunft (Art. 15 DSGVO): Sie können jederzeit Auskunft über die bei uns gespeicherten personenbezogenen Daten verlangen.
  • Berichtigung (Art. 16 DSGVO): Sie haben das Recht auf Berichtigung unrichtiger Daten.
  • Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
  • Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten aus Gründen Ihrer besonderen Situation widersprechen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.
  • Beschwerde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

8. Cookies und Tracking

OhayoSchool verwendet keine Tracking-Cookies, kein Google Analytics, keine Social-Media-Tracker und keine Werbe-Cookies. Wir setzen ausschließlich technisch notwendige Cookies ein (Session-Cookie für die Authentifizierung).

9. Besondere Kategorie: Kognitive Assessments

Kognitive Assessmentergebnisse werden als besonders schützenswerte Daten behandelt:

  • Verarbeitung nur mit ausdrücklicher, informierter Einwilligung der Erziehungsberechtigten
  • Pseudonymisierung auf Datenbankebene — kein Rückschluss auf Klarnamen möglich
  • Zugriff nur durch die Lehrkraft der jeweiligen Klasse und das Kind selbst
  • Keine Weitergabe an Dritte
  • Sofortige Löschung bei Widerruf der Einwilligung
  • KI-Modelle werden mit anonymisierten, aggregierten Daten trainiert — niemals mit Individualdaten

10. Auftragsverarbeitung

Die Nutzung von OhayoSchool durch Schulen erfolgt im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO. Ein Auftragsverarbeitungsvertrag (AVV) ist Bestandteil jedes Nutzungsvertrags. Die Schule bleibt Verantwortliche im Sinne der DSGVO; OhayoSchool ist Auftragsverarbeiter.

11. Technische und organisatorische Maßnahmen

  • Verschlüsselung aller Daten in Transit (TLS 1.3) und at Rest (AES-256)
  • Serverstandort ausschließlich in Deutschland
  • Microservice-Architektur: Jeder Dienst hat nur Zugriff auf die für seine Funktion notwendigen Daten
  • Regelmäßige Sicherheitsaudits und Penetrationstests
  • Automatisierte Backups mit Verschlüsselung
  • Rollenbasierte Zugriffskontrolle (RBAC)

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslagen oder Änderungen unseres Dienstes anzupassen. Die aktuelle Fassung finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.