‹ Zurück zu SchlauStart
Datenschutzerklärung
Information über die Verarbeitung personenbezogener Daten gemäß Art. 13, 14 DSGVO
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung auf dieser Plattform ist:
Murat Başoğlu
Benno-Strauß-Str 2
45145 Essen, Deutschland
E-Mail: schlaustart@gmail.com
2. Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist gesetzlich nicht bestellt. Bei Fragen zum Datenschutz wenden Sie sich bitte an den oben genannten Verantwortlichen.
3. Zweck und Rechtsgrundlagen der Verarbeitung
SchlauStart ist eine Plattform, mit der Lehrkräfte Lern-Quizze erstellen und mit Schülerinnen und Schülern teilen können. Wir verarbeiten personenbezogene Daten ausschließlich, soweit dies für den Betrieb der Plattform erforderlich ist.
| Zweck | Daten | Rechtsgrundlage |
|---|
| Lehrkraft-Konto (Registrierung, Login) | Name, E-Mail, Passwort (gehasht) | Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Nutzung) |
| Erstellen & Verwalten von Quizzen | Quiz-Inhalte, Fach, Thema, Klasse | Art. 6 Abs. 1 lit. b DSGVO |
| Quiz-Teilnahme der Schüler | Name/Pseudonym, Klasse, Ergebnis (Prozent), Antworten | siehe Abschnitt 7 (schulischer Kontext) |
| KI-gestützte Aufgabenerstellung | Vom Lehrer eingegebener Text (Fach, Thema, Prompt) | Art. 6 Abs. 1 lit. b DSGVO |
| Sicherheit & Betrieb (Server-Logs) | IP-Adresse (verkürzt/gehasht), Zeitstempel | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Einwilligungsnachweis | E-Mail, Dokumentversion, Zeitpunkt, IP-Hash | Art. 6 Abs. 1 lit. c i. V. m. Art. 7 Abs. 1 DSGVO |
4. Hosting und Speicherort der Daten
Webhosting: Die Plattform wird gehostet bei Render (Render Services, Inc.). Serverstandort: Frankfurt am Main (EU), Deutschland.
Datenbank: Die Speicherung der Daten erfolgt in einer PostgreSQL-Datenbank bei Neon (Neon, Inc.). Speicherort: AWS eu-central-1 (Frankfurt am Main, Deutschland).
Mit beiden Anbietern besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Die Datenspeicherung erfolgt ausschließlich innerhalb der Europäischen Union.
5. Eingesetzte Dienste und Empfänger (Auftragsverarbeiter)
Zur Bereitstellung der Plattform setzen wir folgende Dienstleister ein. Diese verarbeiten Daten ausschließlich in unserem Auftrag und nach unseren Weisungen:
| Dienst | Zweck | Mögliche Datenübermittlung |
|---|
| Render Services, Inc. | Webhosting / Serverbetrieb | Deutschland / EU |
| Neon, Inc. | Datenbank (Speicherung) | Deutschland / EU |
| Google (Gemini API) | KI-gestützte Aufgabenerstellung (primär); Lernassistent nur zur Bild-Auswertung | USA (Google LLC) – Drittland, gestützt auf SCC / EU-US DPF |
| Mistral AI SAS | KI-gestützte Aufgabenerstellung (Ausweichdienst); Lernassistent-Chat (primär, EU) | Frankreich (EU) |
| Groq, Inc. | KI-gestützte Aufgabenerstellung / Lernassistent (weiterer Ausweichdienst) | USA – Drittland, gestützt auf SCC |
| Google (OAuth-Login) | Anmeldung „Mit Google“ | USA, nur bei Nutzung dieser Login-Option |
| IServ GmbH | Anmeldung „Mit IServ“ | Deutschland/EU, nur bei Nutzung dieser Login-Option |
Wichtig zur KI-Nutzung bei der Aufgabenerstellung: An die KI-Dienste (Gemini, Mistral, Groq) werden bei der Erstellung von Quizzen und Unterrichtsmaterial ausschließlich die von der Lehrkraft eingegebenen fachlichen Aufgaben-, Themen- und Prompt-Texte übermittelt. Es werden hierbei KEINE Schülernamen, Klassenlisten oder Schülerergebnisse an die KI-Dienste übermittelt. Eine gesonderte Regelung gilt für den optionalen Schüler-Lernassistenten – siehe Abschnitt 7a.
6. Server-Logfiles
Beim Aufruf der Plattform werden technisch notwendige Zugriffsdaten verarbeitet (z. B. Zeitpunkt, aufgerufene Seite, übertragene Datenmenge, User-Agent). Die IP-Adresse wird nicht im Klartext dauerhaft gespeichert; für Einwilligungsnachweise wird ausschließlich ein gesalzener Hash gebildet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (sicherer und stabiler Betrieb).
7. Daten von Schülerinnen und Schülern (schulischer Kontext)
Wenn Lehrkräfte SchlauStart im Unterricht einsetzen, können Daten von Schülerinnen und Schülern verarbeitet werden (Name oder Pseudonym, Klasse, Quiz-Ergebnis). Hierbei gilt:
- Die Schule bzw. die Lehrkraft ist datenschutzrechtlich verantwortlich für die Erhebung dieser Daten im Unterricht (Verantwortlicher i. S. d. DSGVO bzw. nach Schulgesetz NRW und VO-DV I).
- SchlauStart verarbeitet diese Daten ausschließlich im Auftrag der Lehrkraft/Schule (Auftragsverarbeitung gemäß Art. 28 DSGVO). Hierfür stellen wir einen Auftragsverarbeitungsvertrag (AVV) bereit.
- Es wird empfohlen, Schüler nur mit Vornamen oder Pseudonym einzutragen (Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO).
- Schülerdaten werden automatisch ein Jahr nach Anlegen gelöscht, sofern sie nicht vorher manuell entfernt werden. Am Schuljahresende kann die Lehrkraft über „Schuljahr beenden“ alle Schüler- und Ergebnisdaten löschen.
- Es erfolgt keine Übermittlung von Schülerdaten an Dritte zu Werbezwecken; es findet kein Profiling und keine automatisierte Entscheidungsfindung i. S. d. Art. 22 DSGVO statt.
Hinweis für Lehrkräfte in NRW: Vor dem Einsatz im Unterricht ist die schulische Genehmigung (Schulleitung / behördlicher Datenschutzbeauftragter) einzuholen. Der Einsatz richtet sich nach dem Schulgesetz NRW und der VO-DV I.
7a. Optionaler Lernassistent („Lernhilfe“-Chatbot)
SchlauStart bietet einen optionalen, KI-gestützten Lernassistenten an, mit dem Schülerinnen und Schüler beim Lernen Fragen stellen können. Dieser wird nur genutzt, wenn die Lehrkraft ihn freigibt. Beim Einsatz gilt:
- Anonyme Nutzung ohne Anmeldung: Für den Lernassistenten ist kein Login und keine Registrierung erforderlich. Es wird lediglich ein zufälliges, anonymes Erkennungs-Token im Browser des Geräts gespeichert, damit der Gesprächsverlauf am selben Gerät fortgesetzt werden kann. Dieses Token enthält keinen Namen und keine personenbezogenen Daten.
- Keine Abfrage privater Daten: Der Lernassistent ist ausdrücklich so programmiert, dass er niemals nach Nachname, Adresse, Telefonnummer, E-Mail, Passwörtern oder anderen privaten Daten fragt. Lediglich der Vorname zur Ansprache darf einmalig erfragt werden – die Nennung ist freiwillig und kann gefahrlos verweigert werden.
- Inhalt der Chat-Nachrichten (Verarbeitung primär in der EU): Damit der Lernassistent antworten kann, werden die vom Kind eingegebenen Lernfragen an einen KI-Dienst übermittelt. Reine Text-Anfragen werden vorrangig über Mistral AI (Frankreich, EU) verarbeitet, sodass die Inhalte die Europäische Union nicht verlassen. Nur falls dieser EU-Dienst vorübergehend nicht erreichbar ist, wird ersatzweise auf Gemini bzw. Groq zurückgegriffen. Wird freiwillig ein Foto der Aufgabe gesendet, erfolgt dessen Auswertung über Gemini (Bild-Erkennung). In allen Fällen werden keine Namens-, Klassen- oder Ergebnisdaten mitgesendet.
- Regel-Hinweis vor dem Start: Bevor das Kind den Lernassistenten nutzt, erscheint ein kurzer, kindgerechter Hinweis, der erklärt, dass es niemals Nachnamen, Adresse oder Geheimnisse eingeben soll und hier nur über die Schule gesprochen wird (Privacy by Design).
- Verschiedene Lern-Charaktere: Der Assistent antwortet je nach Fach und Stimmung in einer von mehreren freundlichen Rollen (z. B. für Mathematik, Deutsch, Sachunterricht, Geschichte/Erdkunde, Englisch, Kunst/Musik sowie eine ermutigende Rolle bei Lernfrust). Alle Rollen folgen denselben Sicherheitsregeln.
- Sozial-emotionale Begleitung mit klaren Grenzen: Erkennt der Assistent, dass ein Kind über Sorgen, Streit oder belastende Gefühle spricht, wechselt er in eine ruhige, zuhörende Rolle. Diese stellt keine Diagnosen, gibt keine medizinischen oder psychologischen Ratschläge und ersetzt keine Beratung. Sie ermutigt das Kind stets, mit einer Vertrauensperson (Lehrkraft, Eltern, Schulsozialarbeit) zu sprechen. Spricht ein Kind von einer Gefahr für sich oder andere, weist der Assistent freundlich und deutlich darauf hin, sich sofort an eine erwachsene Vertrauensperson zu wenden, und nennt die kostenlose „Nummer gegen Kummer“ für Kinder und Jugendliche (116 111).
- Kindersicherer Betrieb: Der Assistent bleibt beim Lernthema, fragt selbst keine privaten Daten ab und ignoriert Versuche, ihn zu einer anderen Rolle zu überreden. Private Angaben, die ein Kind dennoch von sich aus schreibt, werden nicht im Lernprofil gespeichert oder wiederholt. Es findet kein Profiling und keine automatisierte Entscheidung mit rechtlicher Wirkung (Art. 22 DSGVO) statt.
- Schutz-Hinweis an die Lehrkraft (Kindeswohl): Deutet ein Gespräch auf eine seelische Belastung hin (z. B. Krise, anhaltende Niedergeschlagenheit, Prüfungsangst), wird die zuständige Lehrkraft darüber informiert, damit sie das Kind unterstützen kann. Dabei gilt der Grundsatz der Datensparsamkeit: Die Lehrkraft erhält zunächst nur einen Hinweis sowie eine kurze, sachliche Zusammenfassung (keine Diagnose); den vollständigen Gesprächsverlauf ruft sie nur bei Bedarf bewusst auf. Diese Zusammenfassung wird ausschließlich bei unserem EU-Anbieter (Mistral AI, Frankreich) erstellt; die Daten verlassen die EU nicht. Rechtsgrundlage ist das überwiegende Interesse am Schutz des Kindeswohls bzw. der Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d und f, Art. 9 Abs. 2 lit. c DSGVO). Den Hinweis sieht ausschließlich die zuständige Lehrkraft.
- Speicherung & Löschung: Der Gesprächsverlauf wird zur Fortsetzung des Lernens gespeichert und kann von der Lehrkraft beim Beenden des Schuljahres bzw. über die Löschfunktionen entfernt werden. Da keine Anmeldung erfolgt, sind die Verläufe nur über das anonyme Token des jeweiligen Geräts zugeordnet.
- Missbrauchsschutz: Zum Schutz vor Überlastung und Missbrauch gilt ein Tageslimit an Nachrichten pro Gerät.
8. Speicherdauer
- Lehrkraft-Konto: bis zur Löschung des Kontos durch die Lehrkraft.
- Schülerdaten & Ergebnisse: bis zur manuellen Löschung, spätestens automatisch ein Jahr nach Anlegen.
- Einwilligungsnachweise: solange dies zur Erfüllung der Rechenschaftspflicht erforderlich ist.
- Quiz-Inhalte: bis zur Löschung durch die erstellende Lehrkraft.
9. Ihre Rechte
Sie haben nach der DSGVO folgende Rechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21). Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).
Im Konto können Lehrkräfte ihre Daten jederzeit herunterladen („Alle meine Daten herunterladen“) und ihr Konto löschen. Bei der Kontolöschung werden Quizze, Klassen, Schüler- und Ergebnisdaten sowie die zugehörigen Einträge in Protokoll- und Support-Tabellen (z. B. Audit-Log, Support- und Limit-Anfragen, etwaige Lernassistent-Verläufe der eigenen Klassen) entfernt (Recht auf Vergessenwerden, Art. 17 DSGVO). Der Einwilligungsnachweis wird dabei anonymisiert (die E-Mail wird entfernt), der objektive Nachweis über die akzeptierte Dokumentversion und den Zeitpunkt bleibt zur Erfüllung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) erhalten.
10. Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für Verantwortliche in Nordrhein-Westfalen zuständig:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4, 40213 Düsseldorf
www.ldi.nrw.de
11. Cookies und lokale Speicherung
SchlauStart verwendet ausschließlich technisch notwendige Mechanismen (z. B. ein Session-Cookie zur Anmeldung sowie ggf. eine PWA-/Service-Worker-Funktion zum Offline-Betrieb). Es werden keine Tracking- oder Werbe-Cookies eingesetzt. Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch erforderlich).
12. Datensicherheit (technische & organisatorische Maßnahmen)
Wir treffen geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um Ihre Daten zu schützen:
- Verschlüsselte Übertragung: Sämtliche Verbindungen erfolgen ausschließlich verschlüsselt über TLS/HTTPS.
- Passwörter: Passwörter von Lehrkräften werden niemals im Klartext gespeichert, sondern ausschließlich als kryptografischer Hash.
- IP-Adressen: IP-Adressen werden nicht dauerhaft im Klartext gespeichert; für Einwilligungsnachweise wird nur ein gesalzener Hash gebildet.
- Manipulationsschutz: Sicherheitsrelevante Freischaltungen (z. B. Belohnungen) sind durch signierte Token (HMAC-SHA256) gegen Manipulation geschützt.
- Zugriffsschutz: Registrierung nur mit gültigem Einladungscode bzw. über das Schul-Login (SSO); Schülerlisten sind klassen- und lehrkraftbezogen getrennt.
- Datenminimierung & Protokollierung: Es werden nur die für den Betrieb nötigen Daten erhoben; datenschutzrelevante Vorgänge werden in einem Audit-Log dokumentiert.
- Begrenzte Sitzungsdauer: Anmeldungen bleiben aus Sicherheitsgründen nicht unbegrenzt gültig; eine Sitzung läuft spätestens nach 30 Tagen ab und erfordert eine erneute Anmeldung.
- Sichere Bild-Verarbeitung: Als Profilfoto werden ausschließlich gängige Rasterformate (PNG, JPG, WEBP) akzeptiert; potenziell skriptfähige Formate (z. B. SVG) werden zum Schutz vor eingebettetem Schadcode abgelehnt.
13. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, sobald Änderungen an der Plattform dies erforderlich machen. Bei wesentlichen Änderungen wird die Dokumentversion erhöht; angemeldete Lehrkräfte werden erneut um Zustimmung gebeten.
Stand: 22. Juni 2026 · Dokumentversion: 1.3