Datenschutzerklärung für app.schülerausweis.de
Stand: 18. Juni 2025

1. Verantwortlicher und allgemeine Hinweise

Der Schutz Ihrer persönlichen Daten hat für uns höchste Priorität. Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten im Rahmen der Nutzung von app.schülerausweis.de und die damit verbundenen Dienste.

1.1 Verantwortlicher für die Datenverarbeitung

Im Rahmen des digitalen Schülerausweises agieren wir ausschließlich als technischer Dienstleister im Auftrag der jeweiligen Schule.

Verantwortliche Stelle im Sinne der Datenschutz-Grundverordnung (DSGVO) ist die jeweilige Schule, vertreten durch die Schulleitung.
Diese entscheidet über Zweck und Mittel der Datenverarbeitung.

Unser Unternehmen übernimmt die technische Umsetzung als Auftragsverarbeiter gemäß Art. 28 DSGVO:

app.schülerausweis.de
by Energy-Imaging: Die Experten für Schulmarketing
Inhaberin: Susanne Henkel
Schubertstraße 21, 40699 Erkrath
E-Mail: datenschutz@energy-imaging.de

Für alle Fragen zum Datenschutz können Sie sich jederzeit an uns wenden. Das Kontaktformular finden Sie unten.

1.2 Rechtsgrundlage der Verarbeitung

Für den digitalen Schülerausweis gibt es mehrere rechtliche Grundlagen, die die Verarbeitung personenbezogener Daten regeln. Da unser Unternehmen als Auftragsverarbeiter für die Schulen tätig ist, sind insbesondere die DSGVO (Datenschutz-Grundverordnung) sowie spezifische landesrechtliche Vorschriften in Deutschland relevant.

Rechtsgrundlagen nach DSGVO (für Schulen als Verantwortliche)

Die Verarbeitung personenbezogener Daten im Zusammenhang mit dem digitalen Schülerausweis erfolgt ausschließlich auf Grundlage einer rechtlichen Befugnis der jeweiligen Schule. Als öffentliche Stelle stützt sich die Schule bei der Verarbeitung nicht auf vertragliche oder wirtschaftliche Interessen, sondern auf spezialgesetzliche Vorschriften in Verbindung mit der DSGVO.

Relevante Rechtsgrundlagen sind insbesondere:

• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
  Wenn die Erstellung von Schülerausweisen in landesrechtlichen Vorschriften (z. B. Schulgesetzen, Verordnungen oder Verwaltungsvorschriften) geregelt ist.
• Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit landesrechtlichen Regelungen
  Wenn der Schülerausweis als Maßnahme im Rahmen der Aufgabenerfüllung im öffentlichen Interesse dient – z. B. zur Identifikation im schulischen Kontext oder zur Inanspruchnahme von Schülervergünstigungen (z. B. ÖPNV). Die genaue Ausgestaltung und Erforderlichkeit ergibt sich aus dem jeweiligen Schulgesetz des Bundeslandes.
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
  Für bestimmte freiwillige Zusatzfunktionen (z. B. Integration von Bibliotheks-, Mensa- oder Bezahlsystemen oder Anzeige der Adresse) kann eine ausdrückliche Einwilligung der betroffenen Person (bzw. bei Minderjährigen: der Erziehungsberechtigten) erforderlich sein.
  Die Einwilligung ist durch die jeweilige Schule im Rahmen eines datenschutzkonformen Verfahrens einzuholen. Es gelten die Anforderungen des Art. 7 DSGVO (Nachweisbarkeit, Freiwilligkeit, Widerrufbarkeit).

Ergänzend zu Art. 28 DSGVO:

Als technischer Dienstleister verarbeitet app.schülerausweis.de by Energy-Imaging personenbezogene Daten ausschließlich im Auftrag der jeweiligen Schule und ist gemäß Art. 28 DSGVO verpflichtet, geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung auf den eigenen Systemen zu gewährleisten.

1.2.2 Landesrechtliche Regelungen in Deutschland

Die Verarbeitung personenbezogener Daten im schulischen Kontext erfolgt ergänzend zur DSGVO auf Grundlage landesrechtlicher Vorschriften, insbesondere den Schulgesetzen und den entsprechenden Datenschutzverordnungen der Länder.

Relevante Grundlagen sind insbesondere:

• Schulgesetz des jeweiligen Bundeslandes in Verbindung mit:
  • VO-DV I: Verordnung über die zur Verarbeitung zugelassenen Daten von Schüler*innen
  • VO-DV II: Verordnung über die zur Verarbeitung zugelassenen Daten von Lehrkräften
    Diese Vorschriften erlauben die Verarbeitung von Personenstammdaten wie Name, Geburtsdatum, Klassen- und Schulzugehörigkeit sowie schulinterne ID zur Erfüllung schulischer Aufgaben, z. B. zur Bereitstellung von Schülerausweisen.
• Fotos und private E-Mail-Adressen dürfen ausschließlich auf Grundlage einer ausdrücklichen und dokumentierten Einwilligung gemäß 6 Abs. 1 lit. a DSGVO verarbeitet werden. Diese Einwilligung ist von der Schule einzuholen und nachweisbar aufzubewahren. Ohne gültige Einwilligung erfolgt keine Verarbeitung.
• Protokolldaten (wie IP-Adresse, Gerätetyp, Login-Zeitpunkte) werden durch den Auftragsverarbeiter ausschließlich zur Sicherstellung der Systemstabilität, Missbrauchsprävention und Fehlerdiagnose Die Rechtsgrundlage hierfür ist Art. 32 DSGVO (Sicherheit der Verarbeitung).
• DSG-EKD & KDG: Falls es sich bei der Schule um eine Einrichtung in Trägerschaft einer Kirche handelt, gelten alternativ die Datenschutzgesetze der Kirchen, insbesondere das Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. das Katholische Datenschutzgesetz (KDG). Diese Regelwerke sehen eigene Regelungen zur Datenverarbeitung und zur Einwilligung vor.

1.3 Zweck der Datenverarbeitung

• Erstellung und Bereitstellung digitaler Schülerausweise für Apple Wallet, Google Wallet und PassWallet
• Speicherung und Verifizierung von Schülerausweisen für Schulen
• Optionale Produktion von Schülerausweisen im Scheckkartenformat
• Sicherstellung der Funktionalität, Sicherheit und Administration der Plattform

2. Erhobene und verarbeitete personenbezogene Daten

2.1 Verarbeitete Datenkategorien

2.2 Dauer der Speicherung und Löschung

• Die Dauer der Speicherung personenbezogener Daten richtet sich nach den folgenden Grundlagen:

  • Vertragsverhältnis (Auftragsverarbeitung):
    Personenbezogene Daten werden so lange gespeichert, wie dies zur Vertragserfüllung mit der Schule erforderlich ist. Nach Vertragsende erfolgt die Löschung gemäß den Vereinbarungen im Auftragsverarbeitungsvertrag.

  • Landesrechtliche Vorgaben (§ 9 VO-DV I / VO-DV II):
    Die Aufbewahrungsdauer von Schüler- und Lehrkraftdaten richtet sich nach den landesrechtlichen Vorschriften, insbesondere den Verordnungen über die zur Verarbeitung zugelassenen Daten (VO-DV I bzw. VO-DV II).

  • Einwilligungsbasierte Daten (z. B. Fotos, private E-Mail-Adressen):
    Daten, die auf Grundlage einer Einwilligung verarbeitet werden, werden unverzüglich gelöscht, sobald die Einwilligung widerrufen wird. Eine weitere Verarbeitung ist dann unzulässig.

  • Protokolldaten (z. B. IP-Adressen, Logins):
    Diese werden ausschließlich zur Sicherstellung des sicheren Betriebs verarbeitet und nach spätestens 30 Tagen automatisch gelöscht, sofern keine sicherheitsrelevante Aufbewahrung erforderlich ist (z. B. zur Missbrauchserkennung).

3. Datenverarbeitung und eingesetzte Dienste

Wir haben mit folgenden Anbietern Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen:

1. Mittwald (Hosting & Server-Infrastruktur)
2. Brevo (E-Mail-Versand)
3. Google (Google Wallet & Google Analytics)
4. WebUntis (Schnittstelle zur Schulverwaltung, falls genutzt)
5. HubSpot (Support & CRM-System, falls der Support-Fall initiiert wird)
6. Vidyard (Hosting von Videoinhalten / Support)
7. United Domains (Domain-Verwaltung und SSL-Zertifikate)

3.1 Hosting & Server-Infrastruktur

Unsere Server werden von Mittwald CM Service GmbH & Co. KG betrieben.
Serverstandort: Deutschland
Datenübertragung in Drittländer: Keine

Sicherheitsmaßnahmen von Mittwald:

• ISO 27001-zertifizierte Rechenzentren
• Intrusion Detection & Prevention System (IDS/IPS)
• DDoS-Schutz
• Tägliche Backups mit verschlüsselter Speicherung
• Physische Zugangskontrollen zu den Rechenzentren

3.2 Authentifizierung & Zugriffskontrolle

• 2-Faktor-Authentifizierung (2FA) für Schuladministratoren
• Passwortschutz nach BSI-Standard
• Kein Export personenbezogener Daten durch Schuladministratoren

3.3 Speicherung & Verarbeitung von Schülerfotos

• Schülerfotos und Ausweisdaten (Name, Geburtsdatum, Schüler-ID, etc.) werden ausschließlich verschlüsselt auf Servern in Deutschland (Mittwald) verarbeitet und gespeichert.

• Bei der Anzeige in digitalen Wallets gelten folgende Unterschiede:

  • Apple Wallet
    Die Ausweise werden lokal auf dem Endgerät der Nutzer*innen gespeichert. Apple hat keinen Zugriff auf den Inhalt des Ausweises. Eine Verarbeitung durch Apple im Rahmen eines Auftragsverhältnisses mit der Schule oder Energy-Imaging findet nicht statt.
    Empfehlung: Datenschutzrechtlich besonders vorteilhaft, da keine Übertragung an externe Server erfolgt.

  • PassWallet (Android)
    Die Anzeige der Ausweise erfolgt ebenfalls ausschließlich lokal auf dem Gerät. Auch hier findet keine zentrale Speicherung oder serverseitige Verarbeitung statt.
    Empfehlung: Datenschutzfreundlich, vergleichbar mit Apple Wallet.

  • Google Wallet
    Bei Nutzung von Google Wallet erfolgt die Verarbeitung auf Servern von Google. Diese Datenverarbeitung liegt außerhalb des Auftragsverhältnisses zwischen Schule und Energy-Imaging und kann nicht als datenschutzkonform im Sinne der DSGVO-Verantwortlichkeit der Schule garantiert werden.
    Hinweis: Die Nutzung von Google Wallet erfolgt daher auf eigenes Risiko der Nutzer*innen. Eine datenschutzkonforme Konfiguration im Sinne eines schulischen Verantwortlichen ist derzeit nicht gewährleistet.

3.4 Analysen & Fehlerüberwachung

Zur technischen Überwachung und Fehleranalyse verwenden wir ausschließlich datenschutzkonforme Systeme auf eigenen Servern:

• Matomo (ehemals Piwik)
  Die Plattform nutzt Matomo zur Webanalyse, das auf einem eigenen Server bei IONOS in Deutschland betrieben wird.
  Dabei werden keine personenbezogenen Daten an Dritte übermittelt. Die IP-Adressen der Besucher*innen werden anonymisiert gespeichert. Es findet kein geräteübergreifendes Tracking und keine Profilbildung statt.
  Die Nutzung erfolgt ausschließlich zur Optimierung der Plattform, zur Erkennung technischer Fehler und zur Verbesserung der Systemstabilität.

• Mittwald (Hostinganbieter)
  Zusätzlich nutzen wir die serverseitige Fehlerüberwachung von Mittwald zur technischen Absicherung, zur Ausfallprävention und zum Schutz vor Angriffen. Dabei werden ausschließlich technische Protokolldaten verarbeitet (z. B. Fehlercodes, Zugriffszeitpunkte, Serverstatus).

Der E-Mail-Versand erfolgt über Brevo (vormals Sendinblue).
Serverstandort: EU
AVV liegt vor.

Zwecke des E-Mail-Versands:

• Einladung zur Erstellung des Schülerausweises
• Double-Opt-In (DOI) Bestätigungsmail
• Bereitstellung des digitalen Schülerausweises
• Benachrichtigung bei gelöschtem Schülerfoto durch Schulverwaltung
• ggfs. Updates zu neuen Funktionen oder Änderungen
• ggfs. Kundenzufriedenheitsbefragungen

3.6 Zahlungsdienstleister (Stripe – falls genutzt)

• Verarbeitung in EU-Servern (DSGVO-konform)
• Tokenisierte Zahlungsabwicklung (keine Speicherung von Kreditkartendaten)

3.7 Support & Kontaktaufnahme (HubSpot)

Supportanfragen, die direkt durch Schülerinnen oder andere Nutzerinnen über das Kontaktformular oder per E-Mail gestellt werden, erfolgen freiwillig und betreffen nicht das Auftragsverhältnis zwischen Schule und Energy-Imaging.

Die Verarbeitung personenbezogener Daten (z. B. E-Mail-Adresse, Name, Inhalt der Anfrage) erfolgt in diesen Fällen auf Grundlage einer individuellen Anfrage durch die betroffene Person gemäß Art. 6 Abs. 1 lit. a oder f DSGVO.

Technische Umsetzung:

• Supportanfragen werden über das CRM-System HubSpot
• Serverstandort: Deutschland (ab 01.04.2025)
• Es findet keine automatische Speicherung personenbezogener Daten ohne aktive Anfrage statt.
• Die Kommunikation erfolgt verschlüsselt.
• Ein Auftragsverarbeitungsvertrag mit HubSpot liegt vor.

Hinweis: Die Verarbeitung personenbezogener Daten im Supportkontext erfolgt außerhalb der Verantwortlichkeit der Schule und basiert auf dem direkten Kontakt zwischen Nutzer*in und Anbieter.

3.8 API-Schnittstellen & Drittanbieter-Integrationen

• WebUntis (optional, falls Schule dies nutzt)
• Vidyard (Hosting von Videoinhalten für Support & Erklärvideos)
• United Domains (Verwaltung von Domainnamen und SSL-Zertifikaten)

3.9 Hinweis zur Unternehmenswebseite (nicht relevant für Schülerausweise) - Google Search Console

Zur technischen Optimierung und zur Überwachung der Indexierung unserer allgemeinen Website in der Google-Suchmaschine nutzen wir den Dienst Google Search Console der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Google Search Console ermöglicht uns die Analyse von technischen Informationen (z. B. Crawling-Fehler, Suchanfragen, Sichtbarkeit einzelner Seiten) und hilft uns dabei, die technische Struktur und Auffindbarkeit unserer Website zu verbessern. Dabei werden keine personenbezogenen Daten der Besucher*innen unserer Website verarbeitet, sondern ausschließlich aggregierte Daten zur Seitenstruktur, Performance und Indexierung.

Weitere Informationen zu diesem Dienst erhalten Sie unter:
https://support.google.com/webmasters/answer/9128668

Die Datenschutzerklärung von Google finden Sie unter:
https://policies.google.com/privacy

4. Rechte der Nutzer gemäß DSGVO

Die Datenschutz-Grundverordnung (DSGVO) gewährt betroffenen Personen umfangreiche Rechte, um ihre personenbezogenen Daten zu kontrollieren und zu schützen. Die folgenden Rechte können jederzeit ausgeübt werden:

4.1 Recht auf Auskunft (Art. 15 DSGVO)

Betroffene Personen können eine vollständige Auskunft über die Verarbeitung ihrer personenbezogenen Daten anfordern.
Wir sind verpflichtet, innerhalb eines Monats nach Antragstellung eine vollständige Antwort zu geben.

📌 Technische Umsetzung:

• Daten werden in einer gesicherten Datenbank gespeichert und können auf schriftliche Anfrage bereitgestellt werden.
• Anfragen werden in einem Protokollierungssystem erfasst.
• Identitätsprüfung erfolgt über 2-Faktor-Authentifizierung (2FA).

4.2 Recht auf Berichtigung (Art. 16 DSGVO)

Falls gespeicherte Daten falsch oder unvollständig sind, können betroffene Personen die Korrektur verlangen.

📌 Technische Umsetzung:

• Nutzer können in der Schulverwaltung ihre E-Mail-Adresse, Vorname(n), Name(n), Geburstag, Klassenbezeichnung und Fotos korrigieren.
• Nur Schuladministratoren haben eingeschränkte Bearbeitungsrechte, um Änderungen vorzunehmen.
• Alle Änderungen werden protokolliert, um Manipulationen zu verhindern.

4.3 Recht auf Löschung („Vergessenwerden“, Art. 17 DSGVO)

Nutzer haben das Recht, ihre personenbezogenen Daten löschen zu lassen, wenn:

• Die Daten für den ursprünglichen Zweck nicht mehr erforderlich sind.
• Sie ihre Einwilligung widerrufen.
• Ein Widerspruch gegen die Verarbeitung vorliegt.

📌 Technische Umsetzung:

• Daten werden aus der aktiven Datenbank gelöscht.
• Google Wallet-Einträge werden durch eine API überschrieben.
• Backups werden nach 30 Tagen überschrieben.

4.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Falls Nutzer die Löschung nicht wünschen, aber die Daten nicht mehr verarbeitet werden sollen, kann eine Einschränkung beantragt werden.

📌 Technische Umsetzung:

• Daten werden in ein „Read-Only“-Format überführt.
• Automatische Sperrmechanismen verhindern die Verarbeitung.

4.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Nutzer haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. JSON oder CSV) zu erhalten.

📌 Technische Umsetzung:

• Datenbereitstellung in JSON oder CSV.
• Identitätsprüfung erforderlich (2FA und schriftlich).

4.6 Recht auf Widerspruch (Art. 21 DSGVO)

Falls eine Verarbeitung auf berechtigten Interessen basiert (Art. 6 Abs. 1 lit. f DSGVO), kann eine betroffene Person Widerspruch einlegen.

📌 Technische Umsetzung:

• Daten werden in eine „Opt-out“-Liste übertragen.
• Alle zukünftigen Verarbeitungen werden unterbunden.

4.7 Beschwerderecht bei der Datenschutzbehörde

Betroffene Personen können sich bei der zuständigen Datenschutzbehörde beschweren.

📌 Zuständige Aufsichtsbehörde:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
E-Mail: poststelle@ldi.nrw.de

5. Technische & organisatorische Maßnahmen zur Datensicherheit

5.1 SSL/TLS-Verschlüsselung

• TLS 1.2+ Verschlüsselung für alle Übertragungen.
• Regelmäßige Erneuerung der Zertifikate.

5.2 Zugriffsbeschränkung & Authentifizierung

• 2FA für Admins und Schulverwaltungen verpflichtend.
• BSI-konforme Passwortstandards:
  • Mindestens 12 Zeichen
  • Regelmäßige Änderungen erforderlich

📌 Zugriffsprotokollierung:

• Alle Zugriffe werden protokolliert und regelmäßig analysiert.

5.3 Speicherung & Backup-Strategie

• Daten werden nur auf Servern in Deutschland (Mittwald) gespeichert.
• Tägliche Backups mit Notfall-Wiederherstellungssystemen.

5.4 Protokollierung & Überwachung

• Echtzeit-Überwachung auf Anomalien.
• Automatische Sperrung verdächtiger Aktivitäten.

5.5 Maßnahmen gegen Cyberangriffe

• Firewall & Intrusion Detection System (IDS) zur Erkennung von Angriffen.
• DDoS-Schutz zur Absicherung gegen Überlastungsattacken.

6. Kontakt & Änderungen der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung regelmäßig zu aktualisieren, um sie an rechtliche Anforderungen oder technische Änderungen anzupassen.

📌 Kontakt für Datenschutzanfragen:
Susanne Henkel
Schubertstraße 21, 40699 Erkrath
E-Mail: datenschutz@energy-imaging.de