Datenschutzerklärung

1. Verantwortlicher

Bluda UG (haftungsbeschränkt)
Loreleyring 26
56346 Sankt Goarshausen

Telefon: +49 1515 6969155
E-Mail: kontakt@cyanschool.com

2. Rechtsgrundlagen der Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Je nach Verarbeitungszweck stützen wir uns auf folgende Rechtsgrundlagen gemäß Art. 6 Abs. 1 DSGVO:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Nutzung des Kontaktformulars und Zustimmung zur Datenverarbeitung.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Bereitstellung und Nutzung der Lern-Apps, Verwaltung von Benutzerkonten.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — Gewährleistung der IT-Sicherheit, Protokollierung von Zugriffen, Schutz vor Missbrauch.

3. Hosting

Diese Website wird in einer Cloud-Infrastruktur bei Amazon Web Services (AWS) betrieben. Beim Aufruf der Website werden technisch erforderliche Verbindungsdaten (z. B. IP-Adresse, Zeitpunkt, angefragte Ressource, Browserinformationen) verarbeitet, um die Auslieferung und Sicherheit der Anwendung zu gewährleisten.

Weitere Informationen finden Sie in der Datenschutzerklärung von AWS .

4. Kontaktformular

Wenn Sie unser Kontaktformular nutzen, werden folgende Daten erhoben:

  • Name
  • E-Mail-Adresse
  • Betreff
  • Organisation (optional)
  • Nachricht

Die Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verarbeitet und per E-Mail an unser Support-Team übermittelt. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie durch Absenden des Formulars erteilen.

Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, z. B. per E-Mail an kontakt@cyanschool.com.

5. Benutzerkonten und Anmeldung

Die Anmeldung erfolgt je nach Bereich über einen organisationsbezogenen Zugangsschlüssel, Schülercode oder über konfigurierbare OIDC-Anbieter für berechtigte Konten (z. B. Lehrkräfte). Bei der Profilerstellung für Schülerkonten werden folgende Daten erhoben:

  • Vorname
  • Nachname
  • Klassenstufe (5–13)
  • Klasse (a–e, bei Klassenstufe 5–10)

Zugangsschlüssel, Schülercodes und Sitzungs-Token werden nicht im Klartext gespeichert, sondern in gehashter bzw. signierter Form verarbeitet. Eine Zuordnung zu konkreten Personen ist nur innerhalb der jeweiligen Organisation möglich.

6. Sitzungsdaten

Bei der Anmeldung wird eine Sitzung erstellt. Dabei werden folgende Daten gespeichert:

  • Session-Token (zufällig generiert)
  • IP-Adresse
  • User-Agent (Browser- und Geräteinformationen)
  • Zeitpunkt der Erstellung und letzten Aktivität

Sitzungen sind 7 Tage gültig und werden nach Ablauf automatisch bereinigt. Diese Daten dienen der Authentifizierung und dem Schutz vor unbefugtem Zugriff (Art. 6 Abs. 1 lit. f DSGVO).

7. Cookies

Diese Website verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking- oder Analyse-Cookies eingesetzt. Folgende Cookies werden verwendet:

Cookie Zweck Laufzeit
cyanschool_auth Authentifizierungs- oder Anmelde-Token 7 Tage
cyanschool_csrf CSRF-Schutz 24 Stunden

Sensible Cookies sind als httpOnly gekennzeichnet und werden in der Produktionsumgebung nur über HTTPS übertragen (Secure-Flag). Alle Cookies verwenden das SameSite-Attribut zum Schutz vor Cross-Site-Anfragen.

Zusätzlich speichern einzelne Apps technische Einstellungen lokal im Browser (Local Storage), z. B. Anzeige- und Übungsoptionen. Diese Daten verbleiben auf Ihrem Endgerät.

8. Lern-Apps und Nutzungsstatistiken

Innerhalb der Lern-Apps können je nach App und Funktion folgende Daten erhoben und verarbeitet werden:

  • Profildaten zur Zuordnung innerhalb der Organisation (Vorname, Nachname, Klassenstufe, Klasse).
  • Übungs- und Leistungsdaten (z. B. richtige/falsche Antworten, Schwierigkeitsstufe, Zeitpunkte von Synchronisationen).
  • Aufgaben- und Bearbeitungsdaten für den Zuweisungs-/Assignment-Bereich.
  • Aggregierte Daten für Bestenlisten, Fortschrittsanzeigen und Auswertungen im Admin-Dashboard.

Diese Daten werden zur Bereitstellung der Lernfunktionen, Fortschrittsanzeige, Klassenübersichten, Aufgabenverwaltung und zur Qualitätssicherung verwendet. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie unser berechtigtes Interesse an einem sicheren und stabilen Betrieb (Art. 6 Abs. 1 lit. f DSGVO).

9. Administratoren-Zugang

Administratoren einer Organisation (z. B. Lehrkräfte) haben Zugriff auf die Statistiken aller Schüler innerhalb ihrer Organisation. Dies umfasst:

  • Profilinformationen (Name, Klasse, Klassenstufe)
  • Übungsstatistiken (richtige/falsche Antworten, Genauigkeit)
  • Leistungszeitverläufe und Verbesserungswerte
  • Klassenrangfolge

Ein organisationsübergreifender Zugriff auf Daten anderer Organisationen ist nicht möglich.

10. Datenspeicherung

Nutzerdaten werden in unserer eingesetzten Cloud-Infrastruktur gespeichert. Zugangsschlüssel, Schülercodes und Token werden nicht im Klartext hinterlegt.

11. Externe Dienste

Je nach genutzter Funktion setzen wir externe Dienste ein:

  • AWS (Teilbereiche der Infrastruktur)
  • SMTP-Dienst für den Versand von Kontaktformular-E-Mails
  • OIDC-Identitätsanbieter, sofern Ihre Organisation diese Anmeldung aktiviert hat
  • IMSLP und RISM für die Notensammlung

Es werden keine Analyse- oder Tracking-Dienste (z. B. Google Analytics) eingesetzt. Es findet keine Zahlungsabwicklung statt.

12. Protokollierung und Sicherheit

Zum Schutz vor unbefugtem Zugriff werden Anmeldeereignisse protokolliert. Diese Protokolle umfassen:

  • Zeitpunkt des Ereignisses
  • Art des Ereignisses (Anmeldung, Abmeldung, fehlgeschlagener Versuch)
  • IP-Adresse
  • User-Agent (optional)

Anmeldeereignisse werden zur Erkennung und Abwehr von Missbrauch verarbeitet. Zusätzlich besteht ein Rate-Limiting von maximal 40 Anmeldeversuchen pro 15 Minuten pro IP-Adresse. Dies dient dem Schutz vor Brute-Force-Angriffen (Art. 6 Abs. 1 lit. f DSGVO).

13. Ihre Rechte (DSGVO Art. 15–21)

Sie haben gemäß der DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO) — Sie können Auskunft über Ihre gespeicherten Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung (Art. 18 DSGVO) — Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Sie können verlangen, Ihre Daten in einem gängigen Format zu erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO) — Sie können der Verarbeitung Ihrer Daten widersprechen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte schriftlich an die oben genannte Adresse.

Darüber hinaus haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständig ist insbesondere der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.

14. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

  • Verschlüsselte Übertragung über HTTPS/TLS
  • httpOnly-Cookies für sensible Daten
  • CSRF-Schutz durch Token-Validierung
  • SameSite-Cookie-Attribute gegen Cross-Site-Angriffe
  • Gehashte Speicherung von Zugangsschlüsseln

15. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand 26. März 2026. Durch die Weiterentwicklung unserer Website oder aufgrund geänderter gesetzlicher Vorgaben kann eine Anpassung dieser Datenschutzerklärung erforderlich werden.