Datenschutzerklärung

1. Verantwortlicher

Bluda UG (haftungsbeschränkt)
Loreleyring 26
56346 Sankt Goarshausen

Telefon: +49 1515 6969155
E-Mail: kontakt@cyanschool.com

2. Rechtsgrundlagen der Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Je nach Verarbeitungszweck stützen wir uns auf folgende Rechtsgrundlagen gemäß Art. 6 Abs. 1 DSGVO:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Nutzung des Kontaktformulars und Zustimmung zur Datenverarbeitung.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Bereitstellung und Nutzung der Lern-Apps, Verwaltung von Benutzerkonten.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — Gewährleistung der IT-Sicherheit, Protokollierung von Zugriffen, Schutz vor Missbrauch.

3. Hosting

Diese Website wird bei Amazon Web Services (AWS) gehostet. Beim Besuch der Website werden automatisch Informationen (z. B. IP-Adresse, Zeitpunkt des Zugriffs, verwendeter Browser) an die Server von AWS übermittelt. Dies ist technisch notwendig, um die Website auszuliefern.

Die Datenverarbeitung erfolgt primär auf Servern innerhalb der Europäischen Union. Weitere Informationen finden Sie in der Datenschutzerklärung von AWS.

4. Kontaktformular

Wenn Sie unser Kontaktformular nutzen, werden folgende Daten erhoben:

  • Name
  • E-Mail-Adresse
  • Betreff
  • Organisation (optional)
  • Nachricht

Die Daten werden auf Servern von AWS verarbeitet und dienen ausschließlich der Bearbeitung Ihrer Anfrage. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie durch Absenden des Formulars erteilen.

5. Benutzerkonten und Anmeldung

Die Anmeldung erfolgt über einen Zugangsschlüssel, der von der jeweiligen Organisation (z. B. Schule) bereitgestellt wird. Es ist keine E-Mail-Adresse erforderlich. Bei der Profilerstellung werden folgende Daten erhoben:

  • Vorname
  • Nachname
  • Klassenstufe (5–13)
  • Klasse (a–e, bei Klassenstufe 5–10)

Die Zugangsschlüssel werden mit SHA-256 gehasht gespeichert. Eine Zuordnung zu konkreten Personen ist nur innerhalb der jeweiligen Organisation möglich.

6. Sitzungsdaten

Bei der Anmeldung wird eine Sitzung erstellt. Dabei werden folgende Daten gespeichert:

  • Session-Token (zufällig generiert)
  • IP-Adresse
  • User-Agent (Browser- und Geräteinformationen)
  • Zeitpunkt der Erstellung und letzten Aktivität

Sitzungen sind 7 Tage gültig und werden nach Ablauf automatisch bereinigt. Diese Daten dienen der Authentifizierung und dem Schutz vor unbefugtem Zugriff (Art. 6 Abs. 1 lit. f DSGVO).

7. Cookies

Diese Website verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking- oder Analyse-Cookies eingesetzt. Folgende Cookies werden verwendet:

Cookie Zweck Laufzeit
cyanschool_auth Authentifizierungsstatus 7 Tage
cyanschool_session_token Sitzungskennung 7 Tage
cyanschool_user_id Benutzerkennung 7 Tage
cyanschool_key_id Organisationszuordnung 7 Tage
cyanschool_is_admin Administratorrolle 7 Tage
cyanschool_profile Profildaten für Anzeige 1 Jahr
cyanschool_csrf CSRF-Schutz 24 Stunden

Sensible Cookies sind als httpOnly gekennzeichnet und werden in der Produktionsumgebung nur über HTTPS übertragen (Secure-Flag). Alle Cookies verwenden das SameSite-Attribut zum Schutz vor Cross-Site-Anfragen.

8. Lern-Apps und Nutzungsstatistiken

Innerhalb der Lern-Apps werden folgende Daten erhoben:

  • Intervalltrainer: Anzahl richtiger und falscher Antworten, Zeitpunkt der Synchronisation. Die Synchronisation erfolgt ab 10 beantworteten Fragen.
  • Rhythmustrainer: Anzahl richtiger und falscher Antworten, Zeitpunkt der Synchronisation. Die Synchronisation erfolgt ab 5 beantworteten Fragen.
  • Piano, Quintenzirkel, Notensammlung: Es werden keine Nutzungsdaten erhoben. Diese Apps dienen ausschließlich als Übungs- und Nachschlagewerkzeuge.

Die erhobenen Statistiken werden für Bestenlisten (Top 3 pro Klasse) und zur Anzeige des individuellen Lernfortschritts verwendet. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

9. Administratoren-Zugang

Administratoren einer Organisation (z. B. Lehrkräfte) haben Zugriff auf die Statistiken aller Schüler innerhalb ihrer Organisation. Dies umfasst:

  • Profilinformationen (Name, Klasse, Klassenstufe)
  • Übungsstatistiken (richtige/falsche Antworten, Genauigkeit)
  • Leistungszeitverläufe und Verbesserungswerte
  • Klassenrangfolge

Ein organisationsübergreifender Zugriff auf Daten anderer Organisationen ist nicht möglich.

10. Datenspeicherung

Alle Nutzerdaten werden in einer Cloud-Infrastruktur von AWS gespeichert. Zugangsschlüssel werden mittels SHA-256-Hashing mit individuellem Salt gesichert und nicht im Klartext gespeichert.

11. Externe Dienste

Die Notensammlung greift auf die öffentlichen Schnittstellen von IMSLP (International Music Score Library Project) und RISM (Répertoire International des Sources Musicales) zu, um Noten und Musikinformationen bereitzustellen. Dabei werden keine personenbezogenen Nutzerdaten an diese Dienste übertragen.

Es werden keine Analyse- oder Tracking-Dienste (z. B. Google Analytics) eingesetzt. Es findet keine Zahlungsabwicklung statt.

12. Protokollierung und Sicherheit

Zum Schutz vor unbefugtem Zugriff werden Anmeldeereignisse protokolliert. Diese Protokolle umfassen:

  • Zeitpunkt des Ereignisses
  • Art des Ereignisses (Anmeldung, Abmeldung, fehlgeschlagener Versuch)
  • IP-Adresse
  • User-Agent (optional)

Die Protokolle werden ausschließlich im Arbeitsspeicher gehalten (maximal 10.000 Einträge) und nicht dauerhaft gespeichert. Zusätzlich besteht ein Rate-Limiting von maximal 40 Anmeldeversuchen pro 15 Minuten pro IP-Adresse. Dies dient dem Schutz vor Brute-Force-Angriffen (Art. 6 Abs. 1 lit. f DSGVO).

13. Ihre Rechte (DSGVO Art. 15–21)

Sie haben gemäß der DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO) — Sie können Auskunft über Ihre gespeicherten Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung (Art. 18 DSGVO) — Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Sie können verlangen, Ihre Daten in einem gängigen Format zu erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO) — Sie können der Verarbeitung Ihrer Daten widersprechen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte schriftlich an die oben genannte Adresse.

Darüber hinaus haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

14. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

  • Verschlüsselte Übertragung über HTTPS/TLS
  • httpOnly-Cookies für sensible Daten
  • CSRF-Schutz durch Token-Validierung
  • SameSite-Cookie-Attribute gegen Cross-Site-Angriffe
  • Gehashte Speicherung von Zugangsschlüsseln

15. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand Februar 2026. Durch die Weiterentwicklung unserer Website oder aufgrund geänderter gesetzlicher Vorgaben kann eine Anpassung dieser Datenschutzerklärung erforderlich werden.