Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Datenschutzverantwortlicher: Jens-Henning Gläsker (Adresse wie oben).

2. Welche Daten wir verarbeiten

• Kontodaten: Name (Anzeigename), E-Mail-Adresse, verschlüsseltes Passwort
• Rolle: Lehrer:in, Schüler:in, Elternteil oder Administrator:in
• Aufgaben: Von Lehrer:innen erstellte Aufgaben mit Beschreibungen und angehängten Dateien/Links
• Krankmeldungen: Datum, optionale Nachricht des/der Schüler:in
• Push-Abonnements: Technische Endpunkt-Daten für Web-Push-Benachrichtigungen (kein Gerätename, keine persönliche Zuordnung außer dem Account)
• Hochgeladene Dateien: Noten, PDFs, Audio- und Videodateien im Rahmen des Unterrichts
• Zuordnungen: Welche Schüler:innen welchen Lehrer:innen bzw. Elternteilen zugewiesen sind

3. Zweck und Rechtsgrundlage

Die Verarbeitung erfolgt zur Erfüllung des Vertragsverhältnisses zwischen der Musikschule und ihren Schüler:innen sowie Eltern (Art. 6 Abs. 1 lit. b DSGVO) – konkret zur Organisation des Unterrichts, zur Kommunikation von Aufgaben und zur Verwaltung von Abwesenheiten.

Push-Benachrichtigungen werden nur nach ausdrücklicher Einwilligung aktiviert (Art. 6 Abs. 1 lit. a DSGVO) und können jederzeit im Browser-Einstellungen widerrufen werden.

4. Weitergabe an Dritte

Daten werden grundsätzlich nicht an Dritte weitergegeben. Folgende technische Ausnahmen bestehen:

• Hetzner Online GmbH (Serverstandort Deutschland) – Hosting und Datenspeicherung als Auftragsverarbeiter gemäß Art. 28 DSGVO.
• odesli / song.link – Wenn Lehrer:innen einen Streaming-Link (z. B. Spotify) einfügen, wird dieser Link an die API von odesli.co übermittelt, um entsprechende Links für andere Plattformen zu ermitteln. Es werden keine personenbezogenen Daten übertragen.
• Push-Dienste (z. B. Google FCM, Mozilla) – Push-Benachrichtigungen werden über den jeweiligen Browser-Push-Dienst zugestellt. Dabei wird lediglich ein verschlüsselter Benachrichtigungstext übermittelt; der Inhalt ist für den Anbieter nicht lesbar (Ende-zu-Ende-Verschlüsselung via Web Push Protocol).

5. Speicherdauer

Daten werden solange gespeichert, wie der Account aktiv ist. Nach Löschung eines Accounts durch den/die Administrator:in werden alle zugehörigen Daten (Aufgaben, Dateien, Krankmeldungen, Zuordnungen) unwiderruflich gelöscht. Hochgeladene Dateien werden vom Server entfernt.

6. Cookies und Sitzungsdaten

Die App verwendet ausschließlich technisch notwendige Cookies zur Aufrechterhaltung der Anmeldung (signiertes JWT-Session-Cookie). Es werden keine Tracking-Cookies, keine Werbe-Cookies und keine Analysetools eingesetzt.

7. Ihre Rechte

Sie haben das Recht auf:

• Auskunft (Art. 15 DSGVO) – Welche Daten über Sie gespeichert sind
• Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten
• Löschung (Art. 17 DSGVO) – Löschung Ihres Accounts und aller Daten
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Widerspruch (Art. 21 DSGVO)
• Beschwerde bei der zuständigen Aufsichtsbehörde

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an den oben genannten Verantwortlichen.

8. Datensicherheit

Die Übertragung erfolgt ausschließlich über HTTPS (TLS). Passwörter werden mit bcrypt gehasht und niemals im Klartext gespeichert. Dateizugriffe sind auf authentifizierte Nutzer:innen der eigenen Schule beschränkt.