Datenschutzerklaerung

Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)

KiEPhub ist eine webbasierte Lern- und Verwaltungsplattform, die von mehreren Unternehmen genutzt wird. Gemaess Art. 26 DSGVO besteht eine gemeinsame Verantwortlichkeit zwischen dem Plattformbetreiber und dem jeweiligen Unternehmen, ueber das Sie auf KiEPhub zugreifen.

Plattformbetreiber (KiEPhub) ist verantwortlich fuer:

• Technische Infrastruktur, Hosting und Serverbetrieb
• Cookies, Sitzungsverwaltung und Plattform-Sicherheit
• Plattformweite Dienste (Matrix-Server, H5P Hub, OCR-Verarbeitung)
• OAuth 2.0 / OpenID Connect Authentifizierungssystem

Unternehmens-Verantwortlicher ist zusaetzlich verantwortlich fuer:

• Kundenstammdaten, Profildaten und Kontaktdaten
• Bestellungen, Zahlungen und Rechnungen
• Terminbuchungen und -verwaltung
• Lernplattform-Inhalte und Kurseinschreibungen
• Unternehmensspezifische Integrationen (EasyVerein, Lexware, Odoo, Moodle)
• Aktivitaetsverfolgung (Time-Tracking)

Die wesentlichen Inhalte der Vereinbarung ueber die gemeinsame Verantwortlichkeit sind beim Plattformbetreiber einsehbar. Unabhaengig von der internen Aufgabenteilung koennen Sie Ihre Rechte gegenueber jedem der Verantwortlichen geltend machen.

Cookies und Sitzungsverwaltung

Technisch notwendige Cookies

KiEPhub verwendet ausschliesslich technisch notwendige Cookies:

Cookie-Eigenschaften

Alle Cookies sind mit folgenden Sicherheitsmassnahmen versehen:

• HttpOnly: Ja – Cookies sind nicht per JavaScript auslesbar
• SameSite: Lax – Schutz vor CSRF-Angriffen
• Secure: Ja (bei HTTPS-Betrieb) – Uebertragung nur ueber verschluesselte Verbindung

Keine Tracking-Cookies

KiEPhub verwendet keine Tracking-Cookies, Analyse-Cookies oder Werbe-Cookies. Es werden keine Cookies von Drittanbietern gesetzt. Google Analytics, Facebook Pixel oder vergleichbare Tracking-Dienste werden nicht eingesetzt.

Da ausschliesslich technisch notwendige Cookies verwendet werden, ist keine gesonderte Cookie-Einwilligung nach § 25 TDDDG (ehem. TTDSG) erforderlich.

Sitzungsspeicherung

Sitzungsdaten werden in der Datenbank gespeichert und enthalten:

• Authentifizierungsstatus
• CSRF-Token
• Nutzereinstellungen fuer die aktuelle Sitzung

Sitzungen laufen nach 120 Minuten Inaktivitaet automatisch ab.

Datensicherheit

Technische Massnahmen

• Verschluesselung bei Uebertragung: Alle Verbindungen werden ueber TLS/HTTPS verschluesselt
• Passwort-Hashing: Passwoerter werden als Einweg-Hash (bcrypt) gespeichert und koennen nicht zurueckgerechnet werden
• Zwei-Faktor-Authentifizierung: Optional verfuegbar (TOTP-Verfahren)
• API-Authentifizierung: OAuth 2.0 mit verschluesselten Zugangstoken (Laravel Passport)
• Verschluesselte Speicherung: API-Schluessel und Zugangsdaten fuer externe Dienste werden verschluesselt in der Datenbank gespeichert
• CSRF-Schutz: Alle Formulare und zustandsaendernden Anfragen sind gegen Cross-Site-Request-Forgery geschuetzt
• HttpOnly-Cookies: Session-Cookies sind nicht per JavaScript auslesbar

Organisatorische Massnahmen

• Mandantentrennung: Unternehmensdaten werden durch eine mehrstufige Mandantenarchitektur strikt getrennt (Tenant-Middleware)
• Rollenbasierte Zugriffskontrolle: Zugriff auf Daten wird durch Rollen (Super-Admin, Unternehmens-Admin, Mitglied, Lernender etc.) gesteuert
• Prinzip der Datenminimierung: Es werden nur die fuer den jeweiligen Zweck erforderlichen Daten erhoben
• Lokale Datenverarbeitung: OCR und KI-Verarbeitung erfolgen ausschliesslich lokal auf dem Server, ohne Uebermittlung an externe Cloud-Dienste

Dateispeicherung

• Private Dateien werden in einem nicht oeffentlich zugaenglichen Verzeichnis gespeichert
• Oeffentlich zugaengliche Dateien (z. B. Profilbilder) sind nur ueber gesicherte Pfade erreichbar
• Hochgeladene Dokumente werden ausschliesslich serverseitig verarbeitet

OpenID Connect und API-Zugang

OAuth 2.0 / OpenID Connect

KiEPhub stellt einen OAuth 2.0-Autorisierungsserver mit OpenID-Connect-Unterstuetzung bereit. Dieser ermoeglicht es angebundenen Anwendungen, sich mit den KiEPhub-Zugangsdaten anzumelden (Single Sign-On).

Uebermittelte Daten bei OIDC-Authentifizierung:

• Nutzer-ID (sub)
• E-Mail-Adresse und Verifizierungsstatus
• Vor- und Nachname
• Unternehmens-ID und Rolle (KiEPhub-spezifisch)

Die Freigabe dieser Daten erfolgt nur nach ausdruecklicher Zustimmung des Nutzers im Rahmen des OAuth-Autorisierungsablaufs.

API-Endpunkte

KiEPhub bietet API-Endpunkte, die per Bearer-Token (OAuth 2.0) geschuetzt sind. Die folgenden Bereiche (Scopes) sind definiert:

• openid, profile, email – Standard-OIDC-Bereiche
• time-tracking – Zugriff auf die Zeiterfassungs-API
• archive-write – Schreibzugriff auf das Entwicklungsarchiv

Token koennen jederzeit vom Nutzer widerrufen werden.

Externe Plattform-Dienste

H5P Hub

Beim Abruf der verfuegbaren Inhaltstypen fuer die Lernplattform kontaktiert der Server den H5P Hub (h5p.org):

• Uebermittlung einer anonymen Server-Kennung (site_uuid)
• Abruf von Metadaten zu verfuegbaren Inhaltstypen

Es werden keine personenbezogenen Nutzerdaten uebertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an aktuellen Lerninhalten). Anbieter: H5P Group, Norwegen.

Matrix-Kommunikation

KiEPhub ist an einen selbst gehosteten Matrix-Server (Synapse) angebunden:

• Automatische Erstellung eines Matrix-Benutzerkontos bei Erstanmeldung
• Zuordnung zu Unternehmens-Chatraeumen
• Login-Token fuer Single-Sign-On (SSO)

Die Kommunikation erfolgt ueber den selbst gehosteten Synapse-Server. Nachrichten werden Ende-zu-Ende-verschluesselt uebertragen, sofern die beteiligten Clients dies unterstuetzen.

Archivierungsfunktion (geplant): Ueber das Signalwort #notiert koennen Chat-Threads im KiEPhub archiviert werden. Bei privaten Chats wird ausschliesslich die eigene Zusammenfassung des Nutzers gespeichert – nicht der vollstaendige Chatverlauf des Gegenueber (DSGVO-konform). Mit #vergessen kann eine Archivierung rueckgaengig gemacht werden.

Zweck: Interne Kommunikation, Teamkollaboration. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO.

Dokumentenverarbeitung und OCR

Nutzer koennen Dokumente (PDF, Bilder) hochladen, die lokal verarbeitet werden:

• Originaldateiname, Dateipfad, MIME-Typ, Dateigroesse
• Per OCR (Tesseract) extrahierter Text
• Per KI (Ollama) strukturiert extrahierte Daten (z. B. Rechnungsdaten)
• Verarbeitungsstatus

Wichtig: Die gesamte Dokumentenverarbeitung (OCR und KI-Extraktion) erfolgt ausschliesslich lokal auf dem Server. Es werden keine Dokumente oder deren Inhalte an externe Cloud-Dienste uebertragen. Die eingesetzte KI (Ollama) laeuft vollstaendig lokal und DSGVO-konform.

Zweck: Automatisierte Belegerfassung und -zuordnung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO.

Videokonferenzen (BigBlueButton)

Fuer Videokonferenzen wird BigBlueButton eingesetzt:

• Gastlinks mit Token-basiertem Zugang
• Teilnahmeprotokollierung (Gast-Eintraege)
• Analyserueckrufe (Teilnehmermetriken, Umfrageergebnisse)

Zweck: Durchfuehrung von Online-Meetings und Schulungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

E-Mail-Versand

Fuer den Versand transaktionaler E-Mails (Kontoverifizierung, Terminbestaetigungen, Bestellbestaetigungen, Passwort-Zuruecksetzung) wird ein E-Mail-Dienstleister eingesetzt. Je nach Konfiguration koennen folgende Dienste verwendet werden:

• SMTP-Server (selbst gehostet oder externer Provider)
• Postmark (Wildbit LLC, USA)
• Amazon SES (Amazon Web Services, Inc., USA)
• Resend (Resend, Inc., USA)

Bei Nutzung von US-Diensten erfolgt die Datenuebermittlung auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Uebermittelte Daten: E-Mail-Adresse, Name des Empfaengers, Nachrichteninhalt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Keine Weitergabe an Dritte zu Werbezwecken

Es findet keine Weitergabe personenbezogener Daten an Dritte zu Werbe- oder Marketingzwecken statt. Es werden keine Daten an Adresshaendler, Datenbroker oder aehnliche Unternehmen verkauft.

Drittlandsuebermittlung

Eine Uebermittlung personenbezogener Daten in Drittlaender (ausserhalb des EWR) findet nur dann statt, wenn einer der folgenden Dienste eingesetzt wird:

• Zoom (USA) – fuer Videokonferenzen
• Telegram (VAE) – fuer Bot-Integration
• Postmark / Amazon SES / Resend (USA) – fuer E-Mail-Versand (je nach Konfiguration)

In diesen Faellen ist die Uebermittlung durch Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und/oder einen Angemessenheitsbeschluss (Art. 45 DSGVO, EU-US Data Privacy Framework) abgesichert.

Die Kern-Datenverarbeitung (Datenbank, Dateispeicherung, OCR, KI) findet ausschliesslich auf Servern innerhalb des EWR statt.

Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO findet nicht statt. Die eingesetzte KI (Ollama) dient ausschliesslich der Unterstuetzung bei der Datenextraktion aus Dokumenten und der Chat-Funktion und trifft keine rechtlich relevanten Entscheidungen ueber betroffene Personen.

Rechte der betroffenen Personen

Betroffene Personen haben gemaess der DSGVO folgende Rechte:

Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, eine Bestaetigung darueber zu verlangen, ob personenbezogene Daten verarbeitet werden. Im Falle einer Verarbeitung haben Sie das Recht auf Auskunft ueber die verarbeiteten Daten sowie weitere Informationen (Verarbeitungszwecke, Kategorien, Empfaenger etc.).

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Die Aktualisierung von Profildaten kann jederzeit selbststaendig in den Kontoeinstellungen unter „Profil" vorgenommen werden.

Recht auf Loeschung (Art. 17 DSGVO)

Sie haben das Recht, die Loeschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. In den Kontoeinstellungen steht eine Funktion zur Kontoloeschung zur Verfuegung, die das Benutzerkonto und die zugehoerigen Daten dauerhaft entfernt.

Einschraenkung: Daten, die steuerlichen oder handelsrechtlichen Aufbewahrungspflichten unterliegen (z. B. Rechnungen, Zahlungsdaten), koennen erst nach Ablauf der gesetzlichen Fristen geloescht werden.

Recht auf Einschraenkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, unter bestimmten Voraussetzungen die Einschraenkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

Recht auf Datenuebertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gaengigen und maschinenlesbaren Format zu erhalten. Bitte wenden Sie sich hierzu an den Verantwortlichen unter der oben genannten Kontaktadresse.

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gruenden, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht, Widerspruch einzulegen.

Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sofern die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, diese Einwilligung jederzeit zu widerrufen. Die Rechtmaessigkeit der bis zum Widerruf erfolgten Verarbeitung wird davon nicht beruehrt.

Beschwerderecht bei einer Aufsichtsbehoerde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehoerde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstoesst.

Aenderungen dieser Datenschutzerklaerung

Wir behalten uns vor, diese Datenschutzerklaerung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Aenderungen an unseren Diensten umzusetzen. Fuer Ihren erneuten Besuch gilt dann die neue Datenschutzerklaerung.

Erhobene Daten und Zwecke der Verarbeitung

Registrierung und Benutzerkonto

Bei der Registrierung und Nutzung eines Benutzerkontos werden folgende Daten erhoben:

Die E-Mail-Adresse wird durch einen Verifizierungslink bestaetigt. Passwoerter werden nie im Klartext gespeichert, sondern ausschliesslich als Einweg-Hash (bcrypt).

Erweiterte Profildaten (Personen)

Nutzer koennen freiwillig zusaetzliche Profildaten hinterlegen:

• Anrede, Titel, Zweitname, Namenszusatz, Pseudonym
• Geschlecht
• Geburtsdatum
• Profilbild
• Telefonnummer(n) und weitere E-Mail-Adressen
• Postanschrift(en) inkl. Angaben zur Verwendung (Brief, Paket, Rechnung)
• Persoenliche Notizen

Zweck: Verwaltung von Kontaktdaten, Zuordnung zu Unternehmen und Kursen, Kommunikation, Rechnungsstellung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung), bei freiwilligen Angaben Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Unternehmensdaten

Fuer die Zuordnung zu Unternehmen und die Mandantenfaehigkeit werden Unternehmensdaten verarbeitet:

• Unternehmensname, Rechtsform, Gruendungsdatum
• Steuernummer, USt-IdNr., Handelsregisterdaten
• Website, Logo, Favicon, Primaerfarbe (Branding)
• Kontaktdaten und Bankverbindungen (IBAN, BIC)

Zweck: Mandantentrennung, Rechnungsstellung, rechtliche Anforderungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung, z. B. steuerliche Aufbewahrungspflichten).

Zahlungsdaten

Fuer die Abwicklung von Bestellungen und Zahlungen werden folgende Daten verarbeitet:

• SEPA-Lastschrift: Kontoinhaber, IBAN, BIC, Mandatsnummer, Mandatsdatum
• PayPal: E-Mail-Adresse des PayPal-Kontos
• Kreditkarte: Ausschliesslich die letzten 4 Ziffern, Karteninhaber, Ablaufdatum (keine vollstaendige Kartennummer)
• Bankueberweisung: Transaktionsdaten (Datum, Betrag, Verwendungszweck, Gegenpartei IBAN/Name)

Zweck: Zahlungsabwicklung, Rechnungsstellung, Buchhaltung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung), Art. 6 Abs. 1 lit. c DSGVO (steuerliche Aufbewahrungspflichten).

Bestellungen und E-Commerce

Bei Bestellungen ueber den integrierten Shop werden verarbeitet:

• Bestellnummer, Bestelldatum, Bestellstatus
• Bestellte Artikel mit Preisen, Mengen, Mehrwertsteuer
• Lieferadresse und Rechnungsadresse (vollstaendige Anschrift)
• Zahlungsstatus und -methode
• Sendungsverfolgungsnummer und Versanddienstleister
• Ggf. Verzicht auf das Widerrufsrecht mit Zeitstempel

Zweck: Vertragserfuellung, Versand, Buchhaltung, gesetzliche Aufbewahrungspflichten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO.

Lernplattform und H5P-Inhalte

Im Rahmen der Lernplattform werden folgende Daten verarbeitet:

• Kurseinschreibungen und Teilnehmerzuordnungen
• Erstellte H5P-Lerninhalte (Titel, Autor, Lizenz, Inhalt, Beschreibung)
• Kursbereiche, Kurs-Tags und Kursfortschritt
• Zuordnung von Inhalten zu Nutzern und Unternehmen

Zweck: Bereitstellung von Lerninhalten, Kursverwaltung, Fortschrittsverfolgung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung).

H5P-Inhalte werden lokal auf dem Server gespeichert.

Terminverwaltung

Fuer die Terminbuchung und -verwaltung werden verarbeitet:

• Name, E-Mail, Telefonnummer des Buchenden
• Termin-Zeitraum (Start/Ende), Termintyp
• Gastgeber und Buchender (Nutzerzuordnung)
• Nachricht des Buchenden
• Ort und ggf. Zoom-Meeting-Daten (Meeting-ID, Beitritts-URL)
• Stornierungsdaten (Zeitpunkt, Stornierungsgrund)
• Erinnerungsstatus

Zweck: Terminkoordination, Erinnerungen, Stornierungsverwaltung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Termine koennen als ICS-Datei exportiert und in Kalenderanwendungen (z. B. Google Calendar) importiert werden.

Aktivitaetsverfolgung (Time-Tracking)

Sofern aktiviert, werden im Rahmen der Aktivitaetsverfolgung folgende Daten erfasst:

• Anwendungsname und Fenstertitel der genutzten Applikation
• Aufgerufene URL
• Aktiv-/Inaktiv-Status
• Zeitstempel der Erfassung (Heartbeat)

Die Erfassung erfolgt ueber eine API-Schnittstelle und ist regelbasiert konfigurierbar (z. B. getrennte Regeln fuer berufliche und private Nutzung). Taeglich werden aggregierte Zusammenfassungen erstellt.

Zweck: Zeiterfassung, Produktivitaetsanalyse, Arbeitszeitdokumentation. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung im Rahmen eines Beschaeftigungsverhaeltnisses), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Arbeitgebers).

KI-Chat

Die Plattform bietet eine KI-Chat-Funktion, bei der folgende Daten verarbeitet werden:

• Chat-Sitzungen (Titel, zugeordneter Nutzer und Unternehmen)
• Chat-Nachrichten innerhalb der Sitzungen
• Verwendetes KI-Modell

Zweck: Unterstuetzung bei Aufgaben durch KI-basierte Textverarbeitung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung), Art. 6 Abs. 1 lit. f DSGVO.

Externe Dienste und Datenweitergabe

Moodle (Lernmanagementsystem)

Bei aktivierter Moodle-Integration werden Kurseinschreibungen und Teilnehmerdaten mit einer externen Moodle-Instanz synchronisiert. Die Kommunikation erfolgt ueber eine verschluesselte API-Verbindung. Der API-Schluessel wird verschluesselt gespeichert.

Uebermittelte Daten: Nutzername, E-Mail, Kurszuordnungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

EasyVerein (Mitgliederverwaltung)

Bei aktivierter EasyVerein-Integration werden Kontaktdaten, Adressen, Telefonnummern, E-Mail-Adressen, Mitgliedsgruppen und Belege mit EasyVerein synchronisiert.

Uebermittelte Daten: Kontaktdaten der Mitglieder, Adressdaten, Belegdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO. Anbieter: EasyVerein GmbH, Deutschland.

Lexware Office (Buchhaltung)

Bei aktivierter Integration werden Kontakt- und Rechnungsdaten mit Lexware Office synchronisiert.

Uebermittelte Daten: Kundendaten, Rechnungsinformationen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO. Anbieter: Haufe-Lexware GmbH & Co. KG, Deutschland.

Odoo (ERP-System)

Bei aktivierter Odoo-Integration werden folgende Daten synchronisiert:

• Produktdaten (Preise, Steuerklassen)
• Kundenstammdaten (Name, Adresse, Kontaktdaten)
• Bestellungen und Rechnungen
• Nutzerdaten (E-Mail, Name)

Die Odoo-Instanz wird selbst gehostet. Die Kommunikation erfolgt ueber eine verschluesselte Verbindung. Zugangsdaten werden verschluesselt gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO.

Nextcloud

Bei aktivierter Nextcloud-Integration wird der Nextcloud-Benutzername in den Kontaktdaten gespeichert, um die Verknuepfung mit dem Dateisystem zu ermoeglichen.

Uebermittelte Daten: Benutzername. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Telegram

KiEPhub bietet eine Telegram-Bot-Integration:

• Speicherung des Telegram-Benutzernamens und der Chat-ID in den Kontaktdaten
• Empfang von Nachrichten ueber einen Webhook

Uebermittelte Daten: Telegram-Benutzername, Chat-ID. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Verknuepfung). Anbieter: Telegram FZ-LLC, Dubai, VAE. Es gelten die Datenschutzbestimmungen von Telegram.

Zoom (Videokonferenzen)

Fuer bestimmte Termine kann eine Zoom-Integration genutzt werden:

• Meeting-ID, Beitritts-URL und Start-URL werden gespeichert
• Die Videokonferenz selbst wird ueber Zoom-Server abgewickelt

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Anbieter: Zoom Video Communications, Inc., USA. Es gelten die Datenschutzbestimmungen von Zoom. Die Datenuebermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Aufbewahrungsfristen

Datenuebermittlung an EasyVerein

Dieses Unternehmen nutzt EasyVerein zur Mitgliederverwaltung. Bei aktivierter EasyVerein-Integration werden Kontaktdaten, Adressen, Telefonnummern, E-Mail-Adressen, Mitgliedsgruppen und Belege automatisiert mit EasyVerein synchronisiert.

Uebermittelte Daten: Anrede, Vor- und Nachname, Geburtsdatum, Postanschriften (Privat/Geschaeftlich), Telefonnummern, E-Mail-Adressen, Bankverbindung (IBAN/BIC, Mandatsdatum), Mitgliedsnummer, Mitgliedsgruppen-Zuordnung, Belegdaten (Beitragsrechnungen, Spendenquittungen).

Zweck: Mitgliederverwaltung, Beitragsabrechnung, Spendenbescheinigungen, Buchhaltung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung im Rahmen der Mitgliedschaft), Art. 6 Abs. 1 lit. c DSGVO (steuerliche Aufbewahrungspflichten), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Vereinsverwaltung).

Anbieter: SD Software-Design GmbH (Betreiberin von EasyVerein), Basler Landstrasse 8, 79111 Freiburg im Breisgau, Deutschland.

Datenschutzhinweise des Anbieters: Es gelten zusaetzlich die Datenschutzbestimmungen von EasyVerein, abrufbar unter https://software-design.de/agentur/datenschutz?domain=easyVerein.com. Der Anbieter ist mit einem Auftragsverarbeitungsvertrag gemaess Art. 28 DSGVO verpflichtet.

Verarbeitung in Odoo (Buchhaltung)

Dieses Unternehmen nutzt Odoo als selbst betriebene Buchhaltungs-Software auf einem eigenen Server in Deutschland. Bei aktivierter Odoo-Anbindung werden buchhaltungsrelevante Daten aus KiEPhub und gegebenenfalls aus der eingesetzten Mitgliederverwaltungs-Software (z. B. EasyVerein) automatisiert in Odoo gespiegelt, um die gesetzlichen Anforderungen an die doppelte Buchfuehrung zu erfuellen und einen revisionssicheren Datenaustausch mit der Steuerberatung zu ermoeglichen.

Uebermittelte Daten: Anrede, Vor- und Nachname, Postanschrift, Belegnummern, Belegdaten (Datum, Betrag, Steuersatz, Verwendungszweck), Bankverbindung (sofern in der Buchung enthalten), zugeordnetes Sachkonto, Zahlungsstatus.

Zweck: Doppelte Buchfuehrung, Erstellung des Jahresabschlusses, Bereitstellung von Buchungsdaten an die Steuerberatung im DATEV-Format, Erfuellung gesetzlicher Aufbewahrungspflichten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (handels- und steuerrechtliche Aufzeichnungs- und Aufbewahrungspflichten gemaess § 257 HGB, §§ 140, 147 AO), Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung im Rahmen der Mitgliedschaft bzw. Geschaeftsbeziehung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer ordnungsgemaessen Buchfuehrung und an der Vermeidung von Medienbruechen bei der Steuerberatung).

Speicherort und Verantwortlicher: Die Daten werden auf einem eigenen, durch das Unternehmen betriebenen Server in Deutschland verarbeitet. Eine Auftragsverarbeitung an einen externen Cloud-Anbieter findet nicht statt. Verantwortlicher fuer die Verarbeitung ist das oben genannte Unternehmen.

Empfaenger: Die im Rahmen der Buchhaltung in Odoo gespeicherten Daten werden im Zuge der Steuerberatung an die mandatierte Steuerberatungs-Kanzlei uebermittelt (Empfaengerin ist die zur jeweiligen Geschaeftsbeziehung mandatierte Kanzlei; ein Auftragsverarbeitungsvertrag gemaess Art. 28 DSGVO besteht). Die Uebermittlung erfolgt im DATEV-Standardformat. Eine Rueckspielung der von der Kanzlei verbuchten Daten in Odoo erfolgt zur Aktualisierung des Buchungsbestandes.

Speicherdauer: Buchhaltungsrelevante Daten werden gemaess §§ 147 AO, 257 HGB fuer mindestens zehn Jahre nach Ablauf des Geschaeftsjahres aufbewahrt, in dem der zugehoerige Beleg entstanden ist.

Software: Odoo Community Edition (Open Source, OEE License Agreement v1.1), bereitgestellt durch die Odoo S.A., Chaussee de Namur 40, 1367 Ramillies, Belgien. Die Bereitstellung beschraenkt sich auf die Software selbst; eine Datenuebermittlung an die Odoo S.A. findet im Rahmen der Buchhaltungsanbindung nicht statt.

Lernplattform Moodle

Dieses Unternehmen nutzt die Open-Source-Lernplattform Moodle (erreichbar unter https://lernen.addonschule.de) fuer die Bereitstellung von Lerninhalten, Kursen und Lernfortschrittsverfolgung.

Verarbeitete Daten: Vor- und Nachname, Benutzername, E-Mail-Adresse, Kurszuordnungen, Kursfortschritt, Teilnahmeprotokolle, hochgeladene Aufgaben/Abgaben, Forenbeitraege, Bewertungen und Kommentare innerhalb der Kurse, Anmelde-Zeitstempel.

Datenuebermittlung KiEPhub → Moodle: Bei aktivierter Moodle-Integration werden Benutzername, E-Mail, Vor- und Nachname sowie Kurseinschreibungen automatisiert von KiEPhub an die Moodle-Instanz uebertragen, damit Sie sich mit Ihrem KiEPhub-Konto in Moodle anmelden koennen (Single-Sign-On). Die Kommunikation erfolgt ueber eine verschluesselte API-Verbindung. Der API-Zugangsschluessel wird verschluesselt gespeichert.

Hosting: Die genutzte Moodle-Instanz wird auf einem von uns kontrollierten Server innerhalb der Europaeischen Union betrieben. Es findet keine Uebermittlung an externe Cloud-Dienste oder Drittlaender statt. Wir sind als Betreiber der Moodle-Instanz selbst Verantwortlicher im Sinne der DSGVO; eine separate Auftragsverarbeitung durch Dritte erfolgt nicht.

Software-Hersteller: Die eingesetzte Software ist Moodle™ — eine Open-Source-Software, entwickelt von Moodle Pty Ltd, Perth, Australien. Da die Software lokal auf unserem Server laeuft, findet keine Datenuebermittlung an den Software-Hersteller statt.

Cookies in Moodle: Moodle setzt eigene technisch notwendige Sitzungs-Cookies (MoodleSession) zur Authentifizierung. Diese verbleiben auf unserer Moodle-Domain und werden nicht an Dritte uebermittelt.

Zweck: Bereitstellung von Lerninhalten, Kursverwaltung, Fortschrittsverfolgung, Bewertung von Aufgaben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung — Bereitstellung der Lernplattform), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen Lern- und Verwaltungsumgebung).

Aufbewahrung: Kursinhalte und Lernfortschritte werden bis zur Loeschung des Benutzerkontos oder bis zum Ende des jeweiligen Kurses aufbewahrt. Auf Wunsch werden Daten in der Moodle-Instanz frueher geloescht (Art. 17 DSGVO).

Messenger (Matrix/Element)

Dieses Unternehmen nutzt einen unternehmensinternen Messenger auf Basis der Open-Source-Software Matrix (erreichbar unter https://chat.kiepcloud.de) mit dem Web-Client Element. Der Messenger dient der verschluesselten Kommunikation zwischen Mitgliedern, Mitarbeitenden und ggf. zugeordneten Kontakten innerhalb der Plattform.

Verarbeitete Daten: Vor- und Nachname, Anzeigename (Display Name), interne Matrix-Benutzer-ID, Geraete-Identifikatoren (Device IDs) zum Zweck der Ende-zu-Ende-Verschluesselung, Profil-Bild (sofern hinterlegt), Sitzungs-Tokens, Inhalte gesendeter Nachrichten und versandter Dateien sowie Zeitstempel und Lese-Status. Mitgliedschaften in Raeumen, gesendete Reaktionen und Anwesenheits-Status.

Ende-zu-Ende-Verschluesselung: Nachrichten in Raeumen werden standardmaessig Ende-zu-Ende-verschluesselt (Megolm/Olm). Der Server-Betreiber kann Nachrichteninhalte technisch nicht mitlesen. Zur Wiederherstellung des Nachrichtenverlaufs auf neuen Geraeten wird ein Wiederherstellungsschluessel (Recovery Key) je Benutzer erzeugt.

Speicherung des Wiederherstellungsschluessels: Damit Sie bei Geraetewechsel oder Geraeteverlust nicht den gesamten Chatverlauf verlieren, wird Ihr Wiederherstellungsschluessel verschluesselt in der KiEPhub-Datenbank abgelegt. Die Verschluesselung erfolgt symmetrisch mit dem anwendungsweiten Verschluesselungsschluessel (Laravel APP_KEY); im Klartext wird der Schluessel nicht gespeichert. Der Schluessel kann von Ihnen jederzeit ueber die Funktion „Schluessel anzeigen“ im Messenger-Bereich abgerufen werden. Jeder Selbst-Abruf wird intern protokolliert (Zeitstempel, Benutzer-ID, IP-Adresse). Wenn Sie den Schluessel ausschliesslich selbst aufbewahren moechten, koennen Sie ihn nach dem Anlegen aus der KiEPhub-Datenbank loeschen lassen (Anfrage an den Plattformbetreiber).

Hosting: Die genutzte Matrix-Server-Instanz (Synapse) sowie der Element-Web-Client werden auf einem von uns bzw. dem Plattformbetreiber kontrollierten Server innerhalb der Europaeischen Union betrieben. Es findet keine Uebermittlung an externe Cloud-Dienste oder Drittlaender statt. Wir bzw. der Plattformbetreiber sind als Betreiber der Matrix-Instanz selbst Verantwortlicher im Sinne der DSGVO; eine separate Auftragsverarbeitung durch Dritte erfolgt nicht.

Software-Hersteller: Die eingesetzte Software ist Matrix Synapse (Server) sowie Element Web (Client) — beides Open-Source-Software, entwickelt von der Element GmbH bzw. der Matrix.org Foundation. Da die Software lokal auf unserem Server laeuft, findet keine Datenuebermittlung an die Hersteller statt.

Cookies: Element Web setzt eigene technisch notwendige Sitzungs-Cookies sowie nutzt den Browser-internen Speicher (localStorage, IndexedDB) zur Ablage der Verschluesselungs-Schluessel, der Sitzungs-Identifikatoren und einer lokalen Kopie kuerzlich gelesener Nachrichten. Diese Daten verbleiben auf Ihrem Geraet und werden nicht an Dritte uebermittelt.

Zweck: Sichere interne Kommunikation, Austausch von Lern- und Verwaltungsinformationen, optionale Gruppenchats nach Bereichen oder Klassen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung — Bereitstellung der Kommunikationsplattform), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen Kommunikationsumgebung).

Aufbewahrung: Nachrichteninhalte verbleiben verschluesselt im Matrix-Server, bis Sie diese in Element loeschen oder Ihr Konto ausser Betrieb genommen wird. Auf Antrag werden Konto, Inhalte sowie der gespeicherte Wiederherstellungsschluessel vollstaendig geloescht (Art. 17 DSGVO).

Videokonferenzen (BigBlueButton)

Dieses Unternehmen nutzt die Open-Source-Konferenzsoftware BigBlueButton (erreichbar unter https://bbb.kiepcloud.de/bigbluebutton/) fuer Online-Konferenzen, Unterrichtsraeume und Sprechstunden.

Verarbeitete Daten: Vor- und Nachname, Benutzername, E-Mail-Adresse (bei angemeldeten Teilnehmenden), Audio- und Video-Datenstroeme waehrend der Konferenz, geteilte Praesentationen und Whiteboard-Inhalte, Chat-Nachrichten, Beitritts- und Verlassenszeitpunkte, IP-Adresse waehrend der Sitzung.

Hosting: Der genutzte BigBlueButton-Server wird auf einer von uns kontrollierten Infrastruktur innerhalb der Europaeischen Union betrieben. Es findet keine Uebermittlung an externe Cloud-Dienste oder Drittlaender statt.

Software-Hersteller: Die eingesetzte Software ist BigBlueButton — eine Open-Source-Software, entwickelt durch BigBlueButton Inc. (Kanada). Da die Software lokal auf unserem Server laeuft, findet keine Datenuebermittlung an den Software-Hersteller statt.

Aufzeichnungen: Konferenzen werden ausschliesslich aufgezeichnet, wenn dies zu Beginn der Sitzung ausdruecklich aktiviert wird. Aufzeichnungen werden in unserer Konferenz-Software gespeichert und nach Ablauf der jeweiligen Aufbewahrungsfrist (im Standardfall 14 Tage fuer unveroeffentlichte, sonst nach Bedarf) automatisch geloescht. Sie haben das Recht, der Aufzeichnung zu widersprechen.

Gastlinks: Externe Personen koennen ueber einen Gastlink an Konferenzen teilnehmen, ohne ein Konto zu erstellen. Bei der Nutzung des Gastlinks werden der vom Gast selbst eingegebene Anzeigename, der Beitrittszeitpunkt sowie die IP-Adresse waehrend der Sitzung verarbeitet. Es erfolgt keine Identitaetspruefung der Gaeste.

Konferenz-Auswertung (Anwesenheits- und Aktivitaetsdokumentation)

Zur Qualitaetssicherung des Unterrichts und zur Anwesenheitsdokumentation werden nach Ende einer Konferenz folgende Daten dauerhaft in unsere Verwaltung uebertragen:

• Meeting-Name, Datum, Beginn und Ende
• Pro Teilnehmenden: Anzeigename, Rolle (Moderator/Teilnehmer), Beitritts- und Verlassenszeitpunkte, gesamte Anwesenheitsdauer
• Pro Teilnehmenden: Gesamtdauer mit eingeschalteter Kamera, Gesamtdauer mit offenem Mikrofon, Gesamtdauer mit aktivem Sprechen
• Bei Teilnehmenden mit Konto: Verknuepfung mit dem KiEPhub- oder Moodle-Benutzerprofil
• Bei Gaesten: Verknuepfung mit dem eingegebenen Anzeigenamen (anonym)

Inhalte werden NICHT gespeichert: Es werden keine Audio- oder Video-Aufnahmen, keine Chat-Nachrichten und keine Whiteboard-Inhalte aus der Konferenz in der Auswertung gespeichert. Erfasst werden ausschliesslich Metadaten (Zeitstempel, Dauern, Geraete-Status an/aus).

Zweck: Anwesenheitsdokumentation, Qualitaetssicherung, Nachvollziehbarkeit der Teilnahme an Pflicht-Veranstaltungen, Erkennung technischer Probleme.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung — Bereitstellung der Lern- und Konferenzangebote), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer Anwesenheitsdokumentation und Qualitaetssicherung). Bei Minderjaehrigen erfolgt die Verarbeitung im Einklang mit der elterlichen Einwilligung in die Plattformnutzung.

Wer hat Zugriff? Die Auswertung ist ausschliesslich fuer Verwaltungs-Mitarbeitende und Administratoren einsehbar (Rolle "Verwalter" oder "Administrator"). Lehrkraefte selbst haben keinen Zugriff auf die Anwesenheitsauswertung anderer Lehrkraefte oder einzelner Lernender.

Aufbewahrung: Aggregat-Daten (Anwesenheitsdauer, Kamera- und Mikrofon-Zeiten pro Teilnehmenden und Konferenz) werden bis zu 6 Monate aufbewahrt; detaillierte Roh-Ereignisse (einzelne Kamera-an/aus-Zeitpunkte) bis zu 30 Tage. Danach werden die Daten automatisch geloescht.

Cookies in BigBlueButton: BigBlueButton setzt eigene technisch notwendige Sitzungs-Cookies zur Authentifizierung der Konferenzteilnahme. Diese verbleiben auf unserer Konferenz-Domain und werden nicht an Dritte uebermittelt.

Ihre Rechte: Sie koennen jederzeit Auskunft ueber Ihre in der Konferenz-Auswertung gespeicherten Daten verlangen (Art. 15 DSGVO) sowie deren Loeschung (Art. 17 DSGVO) — auch vor Ablauf der oben genannten Aufbewahrungsfristen.