Datenschutzerklärung

Datenschutzerklärung nach Art. 13 DSGVO, § 13 TMG

1. Allgemeines

ERNA ist eine digitale Lern-App, die man direkt über den App- und Google Playstore herunterladen kann.
 Betreiber und Verantwortlicher im Sinne des Datenschutzes ist:

Ernani GmbH
Neuwerkhof 13
77933 Lahr/Schwarzwald

Bei Fragen zum Datenschutz kannst du uns unter datenschutz@ernani.eu schreiben.
Der Schutz deiner Daten ist uns besonders wichtig. Wir sammeln so wenig Daten wie möglich, löschen diese automatisch bei Inaktivität, speichern diese nur auf sicheren Servern in Europa und geben sie nicht an Dritte weiter.

2. Welche Daten speichert ERNA?

2.1. Daten, die du uns mitteilst

Als Nutzer der ERNA App fragen wir dich nach dem erstmaligen Öffnen der App im Rahmen der Registrierung nach folgenden Daten:

  • Vorname
  • 
Nachname
  • E-Mail-Adresse
  • Kennwort

Diese Daten (mit Ausnahme des Kennwortes) werden auf den ERNA Servern in der Datenbank gespeichert. Zur besseren Aufteilung der beteiligten Komponenten ist die Authentifizierung jedoch in einen eigenen Keycloak Server ausgelagert, welcher hierzu, Vor- & Nachname, sowie E-Mail-Adresse und eben auch das Kennwort speichert. Dieser Server sendet auch eine Bestätigungsmail (Double-OptIn) an dich als Nutzer, um die Registrierung abzuschließen.

Um dein Profil zu vervollständigen, kannst du optional die folgenden weiteren Daten angeben:

  • Geburtsjahr
  • gespielte Instrumente
  • Telefonnummer
  • eigener Benutzername

Im Rahmen der Nutzung der App kannst du in einem Kanban-Board Aufgaben anlegen bzw. angelegt bekommen und diese bearbeiten.
Nutzer können durch Einscannen eines QR-Codes oder manueller Eingabe eines Codes mit anderen Nutzern in Kontakt treten (z.B. Schüler ←→ Lehrer). Diese Nutzerverbindungen sind in der ERNA Datenbank hinterlegt. Die Kommunikation erfolgt über einen Chat. Der hierfür eigens verwendete Chat Server speichert Vor- und Nachname und die versendeten Nachrichten.

Erstellst du als Nutzer eigene Aufnahmen parallel zum Abspielen eines abgerufenen Stückes über das Mikrofon des verwendeten Endgerätes, so werden diese Aufnahmen ausschließlich lokal auf dem jeweiligen Endgerät gespeichert.
Über einen zusätzlichen Button ist es außerdem möglich einen eigenen Videochat zu starten. Hierfür wird ein externer Dienst (Sirius) eingesetzt, es werden jedoch keine Daten aus der Datenbank an diesen Dienst weitergegeben.

Wenn du als Lehrer/in oder Mitarbeiter/in einer Schule eine Gruppe und Anmelde-Codes für deine Schüler/innen und/oder Lehrer/innen anlegst, bist du bzw. deine Schule für den Datenschutz verantwortlich. Bitte verwende nur Spitznamen, mit denen ein Dritter die Schüler/innen nicht identifizieren könnte oder hole die Zustimmung der Eltern ein.

Wenn du Lehrer/in bist und dich einer Schule zuordnest, erlaubst du dem Administrator dieser Schule, deinen Nutzer ins Schulverzeichnis aufzunehmen, deinen Nutzer und Nutzer mit den durch dich erstellten Anmelde-Codes zu verwalten, Daten zur Person zu ergänzen, den Anmelde-Code einzusehen und Nutzer zur Löschung vorzumerken.

Wenn du entscheidest, dass dein/e Nutzer/in auf deinem Gerät gespeichert werden soll, speichern wir diese Information auf deinem Gerät.
Wir fragen dich gelegentlich, wie gut dir ERNA und die Lerninhalte gefallen, und wie wir diese verbessern können.
Du hast die Möglichkeit, unter Einstellungen deine E-Mail-Adresse oder Handynummer anzugeben, wenn du mindestens 16 Jahre alt bist. Dann können wir dir deinen Zugang wiederherstellen, falls du deine Zugangsdaten verlierst.

Wenn du mit uns per Hilfe-Chat oder per E-Mail Kontakt aufnimmst, werden diese Nachrichten und das Datum und die Uhrzeit der Nachrichten gespeichert, damit wir mit dir kommunizieren können.

2.2. Informationen, die wir durch deine Nutzung von ERNA automatisch erhalten

Wenn du ERNA verwendest, speichert ERNA Daten über deine Nutzung auf deinem Gerät und gleicht diese bei bestehender Internetverbindung mit unserem Server ab. So kannst du ERNA mit deinem Nutzer auf mehreren Geräten verwenden.
Dies beinhaltet: gestartete App-Seiten und deinen Lernfortschritt, deine Spiel-Ergebnisse, deine Mitgliedschaft in Gruppen, von dir erstellte Inhalte wie z.B. Ton- und Videoaufnahmen, dein Gerätetyp, Betriebssystem und Internetbrowser sowie deine anonymisierte IP-Adresse.
Wir speichern die letzten drei Ziffern deiner IP-Adresse nicht in unserem System, damit du anonym bleiben kannst.

3. Wofür werden diese Daten verwendet?

Die gespeicherten Daten werden ausschließlich dazu verwendet, um dir ERNA anbieten zu können, um dir bei Problemen mit ERNA helfen zu können, und um ERNA nach den Bedürfnissen unserer Nutzer/innen weiterzuentwickeln.

4. Wie lange werden die Daten gespeichert?

Deine personenbezogenen Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

5. Gibt ERNA Daten an Dritte weiter?

Nein, wir geben deine Daten nicht an Dritte weiter, es sei denn, der/die Nutzer/in hat vorher seine ausdrückliche Einwilligung erklärt oder es besteht eine gesetzliche Verpflichtung zur Datenweitergabe.
 Wir benutzen keine Google, Facebook, Amazon oder sonstige Produkt-Integrationen in ERNA, d.h. deine Daten bleiben wirklich nur auf unseren Servern.

Dies ist eine Liste der Dienstleister, mit denen wir die Daten jeweils verarbeiten:

  • ERNA Client (App bzw. WebApp)
  • ERNA Server
  • Keycloak Server (Authentifizierung)
  • Matrix/Synapse Server (Chat)
  • Sirius (Videochat)
  • Microsoft Azure (Medienserver)
  • Billwerk (zukünftig)

 

6. Wie wird die Sicherheit der Daten gewährleistet?

Sämtliche Daten werden ausschließlich auf Servern in der EU gespeichert und verschlüsselt übertragen. Die Rechenzentren erfüllen höchste Sicherheitsstandards und sind nach DIN ISO/IEC 27001 zertifiziert.
Zugleich sollte sich der/die Nutzer/in der Tatsache bewusst sein, dass aufgrund ständig neu auftauchender Viren und anderer Mittel zum Angriff auf gesicherte Datensysteme von Internet-Diensten ein hundertprozentiger Schutz vor Angriffen nicht gewährleistet werden kann.
Wir werden jeden entdeckten Angriff durch Hacker u.ä. zivilrechtlich und strafrechtlich verfolgen und den/die Nutzer/in über eine Kompromittierung seiner Daten informieren.

7. Welche Daten können andere Nutzer/innen sehen?

Andere Nutzer können deinen Spitznamen, deinen Avatar sehen. Falls du selbst Inhalte
wie z.B. Ton- oder Videoaufnahmen generierst, kannst du entscheiden, ob du diese für andere Nutzer veröffentlichen möchtest du sie gezielt an die Nutzer versenden, mit denen du in Kontakt stehst.
Wenn du über die Kontaktfunktion mit deinem/deiner LehrerIn in Kontakt getreten bist, so kann er/sie  deinen Namen und deinen Lernfortschritt einsehen.
Wenn du dich als Lehrer/in anmeldest und eine Schule auswählst, kann der Administrator des Schulverzeichnisses dieser Schule deine Daten und deinen Anmelde-Code einsehen und dich dem Schulverzeichnis hinzufügen. Dies gilt auch falls du falsche Angaben zu deiner Person oder deiner Zugehörigkeit zu der Schule gemacht haben solltest.

8. Deine Rechte

8.1. Auskunftsrecht


Jede/r Nutzer/in hat das Recht, kostenlos Auskunft über die zu seiner Person gespeicherten personenbezogenen Daten 
zu erhalten. Schicke uns bitte eine E-Mail an datenschutz@ernani.eu mit folgenden Angaben zu deiner Identifizierung:
Benutzername, Anmelde-Code, Name, E-Mail-Adresse, Postanschrift und Geburtsdatum.

8.2. Recht auf Berichtigung


Du hast ein Recht auf Berichtigung und/oder Vervollständigung, sofern die verarbeiteten personenbezogenen Daten, die
dich betreffen, unrichtig oder unvollständig sind.

8.3. Recht auf Einschränkung der Verarbeitung


Unter den folgenden Voraussetzungen kannst du die Einschränkung der Verarbeitung der dich betreffenden
 personenbezogenen Daten verlangen:

a. Wenn du die Richtigkeit der dich betreffenden personenbezogenen Daten für eine Dauer bestreitest, die es uns
ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.

b. Die Verarbeitung unrechtmäßig ist und du die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangst.

c. Wir die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigen, du diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigst.

d. Wenn du Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt hast und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber deinen Gründen überwiegen.

e. Wurde die Verarbeitung der dich betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit deiner Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden. Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, wirst du von uns unterrichtet, bevor die Einschränkung aufgehoben wird.

8.4. Recht auf Löschung


Auf Wunsch löschen wir deine Nutzerdaten. Schicke uns dazu bitte eine E-Mail an datenschutz@ernani.eu mit folgenden Angaben zu deiner Identifizierung: Benutzername, Anmelde-Code, Vor- und Zuname.
Um deine auf deinen Geräten gespeicherten Nutzerdaten zu löschen, kannst du ERNA deinstallieren oder in der App unter Einstellungen auf Abmelden klicken und dort das zu löschende Nutzerprofil auswählen.

8.5. Recht auf Datenübertragbarkeit


Schulen können Nutzeraccounts, die sie erstellt haben oder deren Verwaltung in ihre Verantwortung fällt, zur Löschung nach Ablauf einer Übergangsfrist von 60 Tagen vormerken. Die Nutzer – und falls notwendig deren Erziehungsberechtigte – sind durch die Schule zu informieren.
Die Nutzer erhalten die Möglichkeit, innerhalb einer Frist von 60 Tagen die in dem Nutzeraccount gespeicherten Daten in einen neuen Account zu überführen und eigenständig weiter zu verwenden. Nach Ablauf der Frist werden die Nutzerkonten automatisch gelöscht.
Du hast das Recht, eine Kopie deiner personenbezogenen Daten im elektronischen Format zu verlangen und das Recht, diese personenbezogenen Daten für die Nutzung in dem Dienst eines anderen zu übertragen. Auf Wunsch senden wir dir eine Datei mit deinen personenbezogenen Daten. Schicke uns dazu bitte eine E-Mail an datenschutz@ernani.eu mit folgenden Angaben zu deiner Identifizierung:
Benutzername, Anmelde-Code, Vor- und Zuname, evtl. Geburtsname, E-Mail-Adresse, Postanschrift und Geburtsdatum.

8.6. Widerspruchsrecht

Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der dich betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.

8.7. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung

Du hast das Recht, deine datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

8.8. Recht auf Beschwerde bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht dir das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat deines Aufenthaltsorts, Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes, zu, wenn du der Ansicht bist, dass die Verarbeitung der dich betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.

9. Was ist die Rechtsgrundlage für die Verarbeitung?

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.
Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.

10. Begriffserläuterung

EU-DSGVO: Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
Personenbezogene Daten: Gemäß Art. 4 Ziffer 1 EU-DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.