Search toggle
Search toggle
Choose your language.
Suche

Datenschutzerklärung für app.schülerausweis.de

Einleitung zur dieser Datenschutzerklärung für app.schülerausweis.de

Auf www.schulfotograf.energy-imaging.de stellen wir hier eine detaillierte Datenschutzerklärung zur Verfügung, die sich speziell auf die Plattform app.schülerausweis.de bezieht. Diese Informationen richten sich an Datenschutzbeauftragte, Schulen und andere Interessierte, die sich über die Verarbeitung personenbezogener Daten im Zusammenhang mit unserem digitalen Schülerausweis informieren möchten.

Diese Datenschutzerklärung gilt ausschließlich für app.schülerausweis.de und betrifft Schülerinnen, Lehrerinnen sowie alle weiteren Personen, die über diese Plattform einen digitalen Schülerausweis erstellen oder verwalten. Sie beschreibt umfassend, welche Daten verarbeitet werden, wie diese geschützt sind und welche Rechte Nutzer*innen gemäß der DSGVO haben.

Datenschutzerklärung für app.schülerausweis.de
Stand: 19. April 2025

1. Verantwortlicher und allgemeine Hinweise

Der Schutz Ihrer persönlichen Daten hat für uns höchste Priorität. Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten im Rahmen der Nutzung von app.schülerausweis.de und die damit verbundenen Dienste.

1.1 Verantwortlicher für die Datenverarbeitung

Susanne Henkel
app.schülerausweis.de by Energy-Imaging: Die Experten für Schulmarketing
Schubertstraße 21
40699 Erkrath
E-Mail: datenschutz@energy-imaging.de

Für alle Fragen zum Datenschutz können Sie sich jederzeit an uns wenden. Das Kontaktformular finden Sie unten.

1.2 Rechtsgrundlage der Verarbeitung

Für den digitalen Schülerausweis gibt es mehrere rechtliche Grundlagen, die die Verarbeitung personenbezogener Daten regeln. Da unser Unternehmen als Auftragsverarbeiter für die Schulen tätig ist, sind insbesondere die DSGVO (Datenschutz-Grundverordnung) sowie spezifische landesrechtliche Vorschriften in Deutschland relevant.

1.2.1 Rechtsgrundlagen nach DSGVO

Die DSGVO bildet die allgemeine rechtliche Grundlage für die Verarbeitung personenbezogener Daten in der EU.

 Wichtige Artikel der DSGVO:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
    → Die Verarbeitung ist erlaubt, weil sie zur Erfüllung des Vertrags zwischen der Schule und dem Schüler bzw. den Erziehungsberechtigten erforderlich ist (z. B. Bereitstellung des Schülerausweises).
  • Art. 6 Abs. 1 lit. e DSGVO (Öffentliches Interesse)
    → Schulen sind öffentliche Einrichtungen, und Schülerausweise dienen der Identifikation im schulischen Umfeldund ggf. für Vergünstigungen (z. B. Nahverkehr).
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
    → Falls der Schülerausweis freiwillig genutzt wird oder Zusatzfunktionen hat (z. B. digitale Bezahlfunktion, Bibliothekszugang), kann eine Einwilligung der Schüler*innen bzw. Eltern erforderlich sein.
  • Art. 28 DSGVO (Auftragsverarbeitung)
    → Ihr Unternehmen ist Auftragsverarbeiter und darf Daten nur im Auftrag und nach Weisung der Schuleverarbeiten. Ein Auftragsverarbeitungsvertrag (AVV) ist erforderlich.

1.2.2 Landesrechtliche Regelungen in Deutschland

Jedes Bundesland hat eigene Schulgesetze und Datenschutzvorgaben, die beachtet werden müssen. Wichtige Aspekte:

  • Schulgesetze der Bundesländer → Die meisten Bundesländer regeln Schülerausweise als schulorganisatorische Maßnahme (Rechtsgrundlage für Schulen).
  • DSG-EKD & KDG → Falls eine kirchliche Schule beteiligt ist, können das Datenschutzgesetz der Evangelischen Kirche (DSG-EKD) oder das Katholische Datenschutzgesetz (KDG) gelten.

1.3 Zweck der Datenverarbeitung

  • Erstellung und Bereitstellung digitaler Schülerausweise für Apple Wallet, Google Wallet und PassWallet
  • Speicherung und Verifizierung von Schülerausweisen für Schulen
  • Optionale Produktion von Schülerausweisen im Scheckkartenformat
  • Sicherstellung der Funktionalität, Sicherheit und Administration der Plattform

2. Erhobene und verarbeitete personenbezogene Daten

2.1 Verarbeitete Datenkategorien

Datenkategorie Zweck der Verarbeitung
Name, Vorname Identifikation der Person
Geburtsdatum Altersverifikation
Schüler-ID (aus Schulverwaltung) Eindeutige Zuordnung im System
Foto des Schülers Darstellung auf dem Schülerausweis
E-Mail-Adresse Einladung zur Erstellung des Schülerausweises, Status-Updates, sicherheitsrelevante Informationen
Nutzungsdaten (IP-Adresse, Login-Zeiten, Gerätetyp) System- und Sicherheitsüberwachung

2.2 Dauer der Speicherung und Löschung

  • Daten werden nur so lange gespeichert, wie es gesetzlich vorgeschrieben ist.
  • Bei Deaktivierung eines Schülerausweises wird dieser ungültig gemacht.
  • Daten in Google Wallet werden über eine API überschrieben, um ungültige Einträge zu vermeiden.
  • Fotos und Identitätsdaten werden bei Löschung nicht mehr angezeigt.

3. Datenverarbeitung und eingesetzte Dienste

Wir haben mit folgenden Anbietern Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen:

  1. Mittwald (Hosting & Server-Infrastruktur)
  2. Brevo (E-Mail-Versand)
  3. Google (Google Wallet & Google Analytics)
  4. WebUntis (Schnittstelle zur Schulverwaltung, falls genutzt)
  5. HubSpot (Support & CRM-System, falls der Support-Fall initiiert wird)
  6. Vidyard (Hosting von Videoinhalten / Support)
  7. United Domains (Domain-Verwaltung und SSL-Zertifikate)

3.1 Hosting & Server-Infrastruktur

Unsere Server werden von Mittwald CM Service GmbH & Co. KG betrieben.
Serverstandort: Deutschland
Datenübertragung in Drittländer: Keine

Sicherheitsmaßnahmen von Mittwald:

  • ISO 27001-zertifizierte Rechenzentren
  • Intrusion Detection & Prevention System (IDS/IPS)
  • DDoS-Schutz
  • Tägliche Backups mit verschlüsselter Speicherung
  • Physische Zugangskontrollen zu den Rechenzentren

3.2 Authentifizierung & Zugriffskontrolle

  • 2-Faktor-Authentifizierung (2FA) für Schuladministratoren
  • Passwortschutz nach BSI-Standard
  • Kein Export personenbezogener Daten durch Schuladministratoren

3.3 Speicherung & Verarbeitung von Schülerfotos

  • Fotos werden verschlüsselt auf unseren Servern in Deutschland gespeichert.
  • Apple Wallet: Speicherung erfolgt lokal auf dem Schüler-Smartphone. Apple hat keinen Zugriff auf den Inhalt des Schülerausweises.
  • PassWallet (deutscher Anbieter): Läuft analog zu Apple Wallet.
  • Google Wallet: Speicherung erfolgt auf Google-Servern innerhalb der EU unter DSGVO/GDPR-Standards.

3.4 Analysen & Fehlerüberwachung

  • Google Analytics (DSGVO-konform mit IP-Anonymisierung)
  • Mittwald-Fehlermanagement & Sicherheitsüberwachung

3.5 E-Mail-Versand (Brevo)

Der E-Mail-Versand erfolgt über Brevo (vormals Sendinblue).
Serverstandort: EU
AVV liegt vor.

Zwecke des E-Mail-Versands:

  • Einladung zur Erstellung des Schülerausweises
  • Double-Opt-In (DOI) Bestätigungsmail
  • Bereitstellung des digitalen Schülerausweises
  • Benachrichtigung bei gelöschtem Schülerfoto durch Schulverwaltung
  • ggfs. Updates zu neuen Funktionen oder Änderungen
  • ggfs. Kundenzufriedenheitsbefragungen

3.6 Zahlungsdienstleister (Stripe – falls genutzt)

  • Verarbeitung in EU-Servern (DSGVO-konform)
  • Tokenisierte Zahlungsabwicklung (keine Speicherung von Kreditkartendaten)

3.7 Support & Kontaktaufnahme (HubSpot)

  • Nur wenn der Schüler aktiv eine Support-Anfrage stellt
  • Serverstandort: Deutschland (ab 1.4.2025)
  • Keine automatische Speicherung personenbezogener Daten ohne Anfrage
  • AVV liegt vor.

3.8 API-Schnittstellen & Drittanbieter-Integrationen

  • WebUntis (optional, falls Schule dies nutzt)
  • Vidyard (Hosting von Videoinhalten für Support & Erklärvideos)
  • United Domains (Verwaltung von Domainnamen und SSL-Zertifikaten)

3.9 Google Search Console

Zur technischen Optimierung und zur Überwachung der Indexierung unserer Website in der Google-Suchmaschine nutzen wir den Dienst Google Search Console der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Google Search Console ermöglicht uns die Analyse von technischen Informationen (z. B. Crawling-Fehler, Suchanfragen, Sichtbarkeit einzelner Seiten) und hilft uns dabei, die technische Struktur und Auffindbarkeit unserer Website zu verbessern. Dabei werden keine personenbezogenen Daten der Besucher*innen unserer Website verarbeitet, sondern ausschließlich aggregierte Daten zur Seitenstruktur, Performance und Indexierung.

Weitere Informationen zu diesem Dienst erhalten Sie unter:
https://support.google.com/webmasters/answer/9128668

Die Datenschutzerklärung von Google finden Sie unter:
https://policies.google.com/privacy

4. Rechte der Nutzer gemäß DSGVO

Die Datenschutz-Grundverordnung (DSGVO) gewährt betroffenen Personen umfangreiche Rechte, um ihre personenbezogenen Daten zu kontrollieren und zu schützen. Die folgenden Rechte können jederzeit ausgeübt werden:

4.1 Recht auf Auskunft (Art. 15 DSGVO)

Betroffene Personen können eine vollständige Auskunft über die Verarbeitung ihrer personenbezogenen Daten anfordern.
Wir sind verpflichtet, innerhalb eines Monats nach Antragstellung eine vollständige Antwort zu geben.

📌 Technische Umsetzung:

  • Daten werden in einer gesicherten Datenbank gespeichert und können auf schriftliche Anfrage bereitgestellt werden.
  • Anfragen werden in einem Protokollierungssystem erfasst.
  • Identitätsprüfung erfolgt über 2-Faktor-Authentifizierung (2FA).

4.2 Recht auf Berichtigung (Art. 16 DSGVO)

Falls gespeicherte Daten falsch oder unvollständig sind, können betroffene Personen die Korrektur verlangen.

📌 Technische Umsetzung:

  • Nutzer können in der Schulverwaltung ihre E-Mail-Adresse, Vorname(n), Name(n), Geburstag, Klassenbezeichnung und Fotos korrigieren.
  • Nur Schuladministratoren haben eingeschränkte Bearbeitungsrechte, um Änderungen vorzunehmen.
  • Alle Änderungen werden protokolliert, um Manipulationen zu verhindern.

4.3 Recht auf Löschung („Vergessenwerden“, Art. 17 DSGVO)

Nutzer haben das Recht, ihre personenbezogenen Daten löschen zu lassen, wenn:

  • Die Daten für den ursprünglichen Zweck nicht mehr erforderlich sind.
  • Sie ihre Einwilligung widerrufen.
  • Ein Widerspruch gegen die Verarbeitung vorliegt.

📌 Technische Umsetzung:

  • Daten werden aus der aktiven Datenbank gelöscht.
  • Google Wallet-Einträge werden durch eine API überschrieben.
  • Backups werden nach 30 Tagen überschrieben.

4.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Falls Nutzer die Löschung nicht wünschen, aber die Daten nicht mehr verarbeitet werden sollen, kann eine Einschränkung beantragt werden.

📌 Technische Umsetzung:

  • Daten werden in ein „Read-Only“-Format überführt.
  • Automatische Sperrmechanismen verhindern die Verarbeitung.

4.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Nutzer haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. JSON oder CSV) zu erhalten.

📌 Technische Umsetzung:

  • Datenbereitstellung in JSON oder CSV.
  • Identitätsprüfung erforderlich (2FA und schriftlich).

4.6 Recht auf Widerspruch (Art. 21 DSGVO)

Falls eine Verarbeitung auf berechtigten Interessen basiert (Art. 6 Abs. 1 lit. f DSGVO), kann eine betroffene Person Widerspruch einlegen.

📌 Technische Umsetzung:

  • Daten werden in eine „Opt-out“-Liste übertragen.
  • Alle zukünftigen Verarbeitungen werden unterbunden.

4.7 Beschwerderecht bei der Datenschutzbehörde

Betroffene Personen können sich bei der zuständigen Datenschutzbehörde beschweren.

📌 Zuständige Aufsichtsbehörde:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
E-Mail: poststelle@ldi.nrw.de

5. Technische & organisatorische Maßnahmen zur Datensicherheit

5.1 SSL/TLS-Verschlüsselung

  • TLS 1.2+ Verschlüsselung für alle Übertragungen.
  • Regelmäßige Erneuerung der Zertifikate.

5.2 Zugriffsbeschränkung & Authentifizierung

  • 2FA für Admins und Schulverwaltungen verpflichtend.
  • BSI-konforme Passwortstandards:
    • Mindestens 12 Zeichen
    • Regelmäßige Änderungen erforderlich

📌 Zugriffsprotokollierung:

  • Alle Zugriffe werden protokolliert und regelmäßig analysiert.

5.3 Speicherung & Backup-Strategie

  • Daten werden nur auf Servern in Deutschland (Mittwald) gespeichert.
  • Tägliche Backups mit Notfall-Wiederherstellungssystemen.

5.4 Protokollierung & Überwachung

  • Echtzeit-Überwachung auf Anomalien.
  • Automatische Sperrung verdächtiger Aktivitäten.

5.5 Maßnahmen gegen Cyberangriffe

  • Firewall & Intrusion Detection System (IDS) zur Erkennung von Angriffen.
  • DDoS-Schutz zur Absicherung gegen Überlastungsattacken.

6. Kontakt & Änderungen der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung regelmäßig zu aktualisieren, um sie an rechtliche Anforderungen oder technische Änderungen anzupassen.

📌 Kontakt für Datenschutzanfragen:
Susanne Henkel
Schubertstraße 21, 40699 Erkrath
E-Mail: datenschutz@energy-imaging.de

Fragen & Antworten

Wie sicher ist der digitale Schülerausweis?

Der digitale Schülerausweis wird auf sicheren Servern in Deutschland gespeichert und unterliegt den höchsten Datenschutzstandards gemäß DSGVO. Der Zugriff ist durch modernste Verschlüsselungstechniken und Sicherheitsmechanismen wie 2-Faktor-Authentifizierung (2FA) geschützt.

Welche Daten werden für die Erstellung des digitalen Schülerausweises gespeichert?

Zur Identifikation und Nutzung des digitalen Schülerausweises speichern wir folgende personenbezogene Daten: Name, Vorname, Geburtsdatum, Schüler-ID aus der Schulverwaltung, Foto für den Ausweis, E-Mail-Adresse (für den Zugang und Benachrichtigungen), Nutzungsdaten (z. B. Login-Zeiten und Gerätetyp, ausschließlich zur Sicherheitsüberwachung)

Wer hat Zugriff auf meine Daten?

Die personenbezogenen Daten sind ausschließlich für die autorisierten Schulverwaltungen und unser System-Team zugänglich. Lehrkräfte und Verwaltungsmitarbeiter*innen sehen nur die für den Schülerausweis relevanten Daten, nicht jedoch andere persönliche Informationen. Administratoren in der Schule können bestimmte Daten verwalten (z. B. Fotos aktualisieren). Daten werden niemals an Dritte weitergegeben oder für Werbezwecke genutzt.

Wo werden meine Daten gespeichert und werden diese an Dritte weitergegeben?

Alle Daten werden auf ISO 27001-zertifizierten Servern von Mittwald in Deutschland gespeichert. Die Daten bleiben innerhalb der EU und unterliegen den strengen Datenschutzrichtlinien der DSGVO. Google Wallet speichert die digitalen Schülerausweise auf Google-Servern innerhalb der EU – dabei gelten die Google-Datenschutzbestimmungen. Apple Wallet und PassWallet speichern die Daten ausschließlich auf dem jeweiligen Gerät des Nutzers – Apple und PassWallet haben keinen Zugriff auf die Inhalte. Es erfolgt keine Datenweitergabe an unberechtigte Dritte.

Kann ich meinen digitalen Schülerausweis löschen oder deaktivieren?

Ja, Schüler*innen können jederzeit die Löschung ihres digitalen Schülerausweises beantragen. Nach der Deaktivierung wird der Ausweis ungültig. In Google Wallet wird der Eintrag über eine API automatisch überschrieben. Alle personenbezogenen Daten werden nach gesetzlichen Vorgaben gelöscht oder anonymisiert. Bitte wenden Sie sich für die Löschung an die Schulverwaltung

Wie funktioniert die Authentifizierung für Schulverwaltungsmitarbeiter*innen?

Verwaltungsmitarbeiter*innen erhalten Zugang über ein sicheres Admin-Portal mit den folgenden Schutzmechanismen: 2-Faktor-Authentifizierung (2FA) ist für Schuladmins verpflichtend. Zugriff ist nur mit Schul-Login möglich. Schuladministratoren haben keinen Zugriff auf exportierbare Daten, sondern können nur einzelne Datensätze verwalten. Alle Änderungen und Zugriffe werden protokolliert und regelmäßig geprüft.

Image 001

Fragen zum Datenschutz? Kontaktieren Sie uns!

Haben Sie Fragen zur Verarbeitung personenbezogener Daten auf app.schülerausweis.de oder benötigen Sie weitere Informationen zur DSGVO-Konformität unseres Systems?

Nutzen Sie das untenstehende Formular, um uns direkt zu kontaktieren. Wir beantworten gerne Anfragen von Datenschutzbeauftragten, Schulen sowie Schüler*innen und Lehrkräften, die sich über den digitalen Schülerausweis informieren möchten.

📌 Bitte beachten Sie:
Für allgemeine Fragen zur Nutzung des digitalen Schülerausweises durch Schüler*innen und Lehrkräfte empfehlen wir zunächst einen Blick in unsere FAQ oder die Datenschutzerklärung.

🔐 Datenschutz-Hinweis:
Ihre Anfrage wird verschlüsselt übertragen und ausschließlich zur Bearbeitung Ihrer Anfrage verarbeitet. Weitere Informationen finden Sie in unserer Datenschutzerklärung.