Grundlegendes

Auf Basis dieser Datenschutzerklärung kannst du entnehmen, wie und welche deiner personenbezogenen Daten – sowie gegebenenfalls die Daten deiner Erziehungsberechtigten – im Rahmen der Nutzung von dgtal® verarbeitet werden. Personenbezogene Daten sind alle Informationen, durch die du persönlich identifiziert werden kannst, wie zum Beispiel dein Name, deine Anschrift, oder deine E-Mail-Adresse sowie Daten zu deinem Lernfortschritt.

Außerdem erfährst du hier, welche Rechte dir im Zusammenhang mit der Datenverarbeitung zustehen.

Diese Datenschutzerklärung gilt für die Nutzung der dgtal® Platform („dgtal® Platform“), insbesondere bei der Teilnahme an Projekten, Workshops, Events und sonstigen Aktivitäten im Rahmen sogenannter „Quests“. Sie umfasst zudem die Bereitstellung von Equipment, Software, Dienstleistungen sowie sonstigen Ressourcen und Einrichtungen – einschließlich der Nutzung des dgtal® Lab der Mossakowski Stiftung in Ravensburg, Charlottenstraße 19 + 21, 88212 Ravensburg („dgtal® Lab“), unserer Website https://www.dgtal.de („Website“) und unserer Profile in sozialen Netzwerken.

Für Begriffe wie „Verarbeitung“, „Einschränkung der Verarbeitung“ oder „Dritter“ gelten die Definitionen gemäß Art. 4 DSGVO.

Die Datenschutzerklärung kann bei Bedarf vom Betreiber entsprechend geändert und angepasst werden. Sollte dies der Fall sein, werden die betroffenen Personen über ihre persönliche E-Mail-Adresse informiert.

Wer ist für die Datenverarbeitung verantwortlich?

Verantwortlich im hier beschriebenen Umfang ist:

Mossakowski Stiftung
Stiftung bürgerlichen Rechts
Friedhofstraße 59
88281 Ravensburg

Solltest Du Fragen zu diesem Dokument haben oder eine Beschwerde in Bezug auf die Erhebung und Verarbeitung deiner personenbezogenen Daten vorbringen wollen, kontaktiere uns bitte wie folgt:

dgtal® Ravensburg
Charlottenstraße 19 + 21
88212 Ravensburg
E-Mail: privacy@dgtal.de
Web: www.dgtal.de

Welche Daten werden erhoben und zu welchen Zwecken verarbeiten wir diese?

Im Rahmen deiner Nutzung der dgtal® Plattform verarbeiten wir verschiedene personenbezogene Daten, die für die Durchführung unserer Angebote sowie für organisatorische und rechtliche Zwecke erforderlich sind.

Welche personenbezogenen Daten wir erheben:

• Bei der Anmeldung: Dein Name, Geburtsdatum, Geschlecht, Anschrift und E-Mail-Adresse. Wenn du noch nicht volljährig bist, erfassen wir zusätzlich die Kontaktdaten eines Erziehungsberechtigten (Name, Anschrift, E-Mail-Adresse, Telefonnummer).

• Für die Registrierung auf der dgtal® Plattform: Eine User-ID, eine pseudonyme E-Mail-Adresse, ein selbst gewählter Nickname sowie Daten zur Teilnahme und Lernaktivität. Dazu gehören insbesondere Angaben zu deinem Lernfortschritt, eingereichten Aufgaben, Projektdaten sowie weitere von dir zur Verfügung gestellte Inhalte.

• Bei der Kommunikation: Informationen, die im Rahmen deiner Interaktion mit uns entstehen – etwa über Kontaktformulare, E-Mails, Telefonate, postalische Kommunikation sowie über Social Media.

• Technische Daten über Computer- und Verbindungsinformationen: Dazu zählen u.a. IP-Adresse, Datum und Uhrzeit der Zugriffsanfrage, angeforderte Inhalte, Zugriffsstatus/HTTP-Statuscode, übertragenes Datenvolum, die Quelle des Zugriffs (z.B. Website), Browsertyp und -sprache, Gerätetyp sowie das Betriebssystem.

Wozu wir deine Daten verarbeiten:

• Zur Anbahnung, Durchführung und Nachbereitung deiner Teilnahme an den Angeboten von dgtal®, zum Beispiel im Rahmen von Bewerbungsverfahren sowie der Organisation von Projekten, Workshops und Quests, und an Angeboten von Drittanbietern, die über die dgtal® Platform bereitgestellt werden,

• Zur Kommunikation mit dir über verschiedene Kanäle wie E-Mail, Telefon, Social Media oder Post.

• Zur Auswertung deines Lernfortschritts und zur individuellen Unterstützung im Rahmen deiner Teilnahme.

• Zur Bereitstellung der erforderlichen Softwarewerkzeuge und Dienste, einschließlich der Einrichtung eines E-Mail-Postfachs mit pseudonymer Adresse über die Domain „*.dgtal.de“, unter Verwendung von Microsoft.

Verarbeitung auf Grundlage berechtigter Interessen

Darüber hinaus verarbeiten wir personenbezogene Daten auf Basis berechtigter Interessen von dgtal® oder Dritten, sofern keine überwiegenden schutzwürdigen Interessen oder Grundrechte der betroffenen Personen entgegenstehen. Dies umfasst insbesondere:

• Allgemeinen Kommunikation sowie Beantwortung von Anfragen.

• Technischen Bereitstellung und Optimierung der Plattform sowie unserer Website.

• Erstellung aggregierter, pseudonymisierter Auswertungen zur Erfolgsmessung und Qualitätssicherung.

• Weiterentwicklung und Evaluation des Konzepts von dgtal® sowie der angebotenen Projekte und Angebote im Hinblick auf die Erreichung von Förderzielen.

• Veröffentlichung von Inhalten, z. B. Projektergebnisse, an denen du mitgewirkt hast – auf unserer dgtal® Plattform.

Wer erhält Zugriff auf deine Daten? Auf welcher Rechtsgrundlage werden die personenbezogenen Daten verarbeitet?

Nur autorisierte Personen bzw. ein eingeschränkter Personenkreis des dgtal® Lab, die die personenbezogenen Daten kennen müssen, haben Zugriff auf diese Daten. Eine Weitergabe an externe Stellen erfolgt ausschließlich, wenn:

• dies im Rahmen einer Vertragserfüllung erforderlich ist,

• wir gesetzlich dazu verpflichtet sind (z. B. Weitergabe von Daten an Steuerbehörden),

• wir ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO an der Weitergabe haben, oder

• wenn eine sonstige Rechtsgrundlage die Datenweitergabe erlaubt.

An Auftragsverarbeiter übermitteln wir personenbezogene Daten ausschließlich auf Grundlage eines gesetzlich vorgeschriebenen Vertrags zur Auftragsverarbeitung (AVV). Dieser stellt sicher, dass der Auftragsverarbeiter personenbezogene Daten ausschließlich gemäß unserer Weisung und im Einklang mit den Vorgaben der DSGVO verarbeitet.

Hast du in die Verarbeitung deiner personenbezogenen Daten eingewilligt, erfolgt diese auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Soweit besondere Kategorien personenbezogener Daten betroffen sind, gilt zusätzlich Art. 9 Abs. 2 lit. a DSGVO. Bei einer ausdrücklichen Einwilligung zur Datenübertragung in sogenannte Drittstaaten stützt sich die Verarbeitung auf Art. 49 Abs. 1 lit. a DSGVO.

Sofern du in die Speicherung von Cookies oder dem Zugriff auf Informationen auf deinem Endgerät (z. B. durch Device-Fingerprinting) eingewilligt hast, erfolgt die Datenverarbeitung zusätzlich auf Grundlage von § 25 Abs. 1 TDDDG. Die Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen.

Sind deine Daten zur Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, verarbeiten wir deine Daten auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO. Des Weiteren verarbeiten wir deine Daten, sofern diese zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Die Datenverarbeitung kann ferner auf Grundlage unseres berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erfolgen.

Hinweis zu Datenübermittlungen in Drittstaaten:

Wir weisen darauf hin, dass wir unter anderem Tools von Unternehmen mit Sitz in datenschutzrechtlich nicht sicheren Drittstaaten sowie US-Tools, deren Anbieter nicht nach dem EU-US-Data Privacy Framework (DPF) zertifiziert sind, verwenden. Bei der Nutzung dieser Tools können personenbezogene Daten in diese Staaten übertragen und dort verarbeitet werden. Dabei wird im Rahmen der Bereitstellung von Zugängen zu Softwareprodukten ausschließlich eine pseudonyme E-Mail-Adresse an Subprozessoren übermittelt. Eine Identifizierung einer natürlichen Person durch die Subprozessoren ist anhand dieser E-Mail-Adresse nicht möglich.

Abhängig von der jeweils eingesetzten Software können darüber hinaus im Rahmen der Nutzung weitere Daten wie beispielsweise Eingabedaten, IP-Adresse, Zugriffszeitpunkt oder der verwendete User-Agent verarbeitet werden.

Es gilt zu beachten, dass in datenschutzrechtlich unsicheren Drittstaaten kein mit der EU vergleichbares Datenschutzniveau garantiert werden kann. Insbesondere können Betroffenenrechte eingeschränkt sein oder staatliche Stellen auf personenbezogene Daten zugreifen, ohne dass EU-Standards zur Anwendung kommen.

Für Datenübermittlungen in die USA gilt: Als sicherer Drittstaat bietet die USA grundsätzlich ein der EU vergleichbares Datenschutzniveau. Eine Übertragung dorthin ist zulässig, wenn das empfangende Unternehmen entweder nach dem EU-US Data Privacy Framework (DPF) zertifiziert ist oder geeignete zusätzliche Garantien zum Schutz der Daten vorweist. Weitere Informationen zu konkreten Empfängern und Übermittlungen findest du in dieser Datenschutzerklärung.

Welche Dienstleister, Auftragsverarbeiter oder Behörden verarbeiten die personenbezogenen Daten? Anhand welcher eigenen Dienste verarbeitet dgtal® solche Daten?

Zur Erfüllung unserer Aufgaben sowie zur Bereitstellung unserer Angebote bedienen wir uns verschiedener externer Dienstleister, die im Rahmen von Auftragsverarbeitungsverhältnissen gemäß Art. 28 DSGVO tätig sind. Diese Dienstleister unterstützen uns insbesondere bei der technischen Infrastruktur, der Durchführung interner Verwaltungsprozesse sowie bei der Bereitstellung und dem Betrieb der dgtal® Platform. Wir verarbeiten Daten zu den folgenden Zwecken:

Webauftritt und Onlineangebote

Beim Aufruf unserer Website übermittelt der auf deinem Endgerät eingesetzte Browser automatisch bestimmte Daten an den Server unseres Hostinganbieters. Diese Daten werden temporär in sogenannten Logfiles gespeichert und anschließend automatisiert gelöscht. Im Einzelnen handelt es sich um folgende Zugriffsdaten:

• IP-Adresse des anfragenden Endgeräts,

• Datum und Uhrzeit des Zugriffs,

• Name und URL der abgerufenen Datei,

• Website, von der aus der Zugriff erfolgt (Referrer-URL),

• verwendeter Browser und ggf. das Betriebssystem des Endgeräts sowie der Name deines Internet-Service-Providers.

Die Verarbeitung dieser Daten erfolgt zu folgenden Zwecken:

• Gewährleistung eines reibungslosen Verbindungsaufbaus der Website,

• Gewährleistung der fehlerfreien Darstellung und komfortablen Nutzung unserer Website,

• Auswertung der Systemsicherheit und -stabilität sowie

• zur administrativen Betreuung des Webangebots.

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse folgt aus oben aufgelisteten Zwecken.

Das Hosting des Webauftritts erfolgt durch STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlin. Die STRATO AG speichert die Zugriffsdaten in Server-Logfiles in unserem Auftrag und stellt die technische Infrastruktur für den Betrieb unserer Website zur Verfügung. Mit der STRATO AG besteht ein den Anforderungen von Art. 28 DSGVO entsprechender Auftragsverarbeitungsvertrag.

Weitere Informationen zum Datenschutz bei STRATO findest du unter: www.strato.de/datenschutz/.

Logfiles werden für die Dauer von 30 Tagen gespeichert und anschließend automatisch gelöscht. Eine längere Speicherung erfolgt nur im Ausnahmefall, beispielsweise bei Sicherheitsvorfällen, bis der Vorfall vollständig aufgeklärt ist.

Schutz von Webformularen vor automatisierten Zugriffen (Bots)

Zum Schutz unserer Webformulare – insbesondere im Rahmen der Newsletteranmeldung – vor Missbrauch durch automatisierte Zugriffe durch Bots verwenden wir Google reCAPTCHA, ein Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Google reCAPTCHA analysiert verschiedene Informationen über das Nutzerverhalten, um festzustellen, ob es sich um eine menschliche Interaktion handelt.

Dabei werden folgende Daten verarbeitet:

• IP-Adresse

• User Agent des Browsers

• Mausbewegungen und Tastatureingaben

• Datum- und Spracheinstellungen

• Verweildauer auf der Seite

• Bildschirmauflösung

• Javascript-Objekte im Browserkontext

Bei der Nutzung dieses Dienstes kann es zu einer Übermittlung von Daten in die USA kommen. Google verpflichtet sich zur Einhaltung der DSGVO-Standards und ist ebenfalls nach dem EU-U.S. Data Privacy Framework zertifiziert. Die Datenverarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO

Rechtsgrundlagen für die Verarbeitung sind:

• Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die Sie im Rahmen der Nutzung unserer Webformulare erteilen.

• Unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO, um die Sicherheit und Funktionsfähigkeit unseres Online-Angebots zu gewährleisten.

Bitte beachten Sie, dass die über Google reCAPTCHA erfassten Daten grundsätzlich direkt an Google übermittelt werden. Um eine Löschung dieser Daten zu beantragen, wenden Sie sich bitte direkt an den Google-Support: support.google.com

Weitere Informationen zum Datenschutz bei Google finden Sie unter:
https://policies.google.com/privacy

Verlinkung externer Inhalte und Dienste

Auf unserer Website stellen wir Verlinkungen zu externen Angeboten bereit. Solche Links sind – insbesondere im Fall von sozialen Netzwerken – entweder durch Icons der entsprechenden Dienste oder durch ein Verlinkungssymbol gekennzeichnet.

Es handelt sich hierbei um direkte Links. Sofern du keine externen Links aufrufst, wird keine Verbindung zu den Servern der jeweiligen Dienste hergestellt und es werden keine personenbezogenen Daten übertragen.

Erst beim Aufruf, primär ausgelöst durch eine Interaktion wie einen Klick auf den Link, wirst du zum verlinkten externen Angebot weitergeleitet. Ab diesem Zeitpunkt gelten die Nutzungsbedingungen und Datenschutzrichtlinien des jeweiligen Anbieters. Die Anbieter der Dienste können dabei personenbezogene Daten wie deine IP-Adresse erfassen oder Cookies und andere Tracking-Technologien einsetzen.

Bitte informiere dich vor der Nutzung der verlinkten Angebote Dritter über die jeweiligen Datenschutzbestimmungen. Insbesondere weisen wir darauf hin, dass bei einzelnen Anbietern eine Übermittlung personenbezogener Daten in Drittländer außerhalb der Europäischen Union erfolgen kann. In diesen Ländern besteht möglicherweise kein mit der EU vergleichbares Datenschutzniveau.

• Instagram: https://privacycenter.instagram.com/policy/

• TikTok: https://www.tiktok.com/legal/page/eea/privacy-policy/de

• YouTube: https://policies.google.com/privacy?hl=de

Wir haben keinen Einfluss auf Art und Umfang der Datenverarbeitung durch diese Drittanbieter.

Nutzung von verkürzten URLs

Wir nutzen den Dienst short.io, um Teile unserer Webangebote sowie Webangebote Dritter über verkürzte und einprägsame URLs unter einer eigenen Vanity-Domain "go.dgtal.de" erreichbar zu machen.

Anbieter: Short.cm Inc, 2093 Philadelphia Pike # 1366 Claymont, DE, 19703-2424 USA

short.io ermöglicht die Erstellung und Verwaltung von sogenannten Short-URLs, informativen Pretty-URLs als auch dazugehörigen QR-Codes. Beim Aufruf dieser URLs findet ein Redirect auf die hinterlegte Ziel-URL statt.

Die folgenden Daten werden zum Zweck der Bereitstellung von vertrauenswürdigen Short-URLs und zur Analyse von URL-Aufrufen verarbeitet:

• IP-Adresse des aufrufenden Clients (bei Zugriffen innerhalb der EU anonymisiert durch Maskierung, z.B. 192.168.xxx.xxx)

• Browser-Name des aufrufenden Clients

• Betriebssystem des aufrufenden Clients

• Land und Stadt, aus dem der Aufruf stattfand

• Referrer-URL des Aufrufs

• Zeitpunkt des Aufrufs

Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse daran, unsere Webangebote sowie verbundene Webangebote Dritter mit einfachen und aussagekräftigen Short-URLs zugänglich zu machen. Bei Aufrufen von Standorten innerhalb der EU besteht durch die Anonymisierung der IP-Adresse kein Personenbezug mehr. Sofern Sie keine URLs der Domain "go.dgtal.de" aufrufen, werden keine Daten an Short.cm Inc übermittelt.

Ihre Daten können in die USA übertragen werden. Short.cm Inc verplichtet sich, die Standards der DSGVO einzuhalten. Weitere Informationen zur Datenverarbeitung durch Short.cm Inc finden Sie unter: https://short.io/de/privacy

Organisation und Verwaltung

Personenbezogene Daten werden im Rahmen interner Abläufe verarbeitet, soweit dies für die ordnungsgemäße Verwaltung, Dokumentation und Projektorganisation erforderlich ist. Dazu zählen insbesondere die Verwaltung von Nutzer- und Projektdaten, interne Kommunikationsprozesse, die Anbahnung und Erfüllung von Verträgen, die Erfüllung von Nachweis- und Dokumentationspflichten gegenüber Zuwendungsgebern oder Aufsichtsbehörden sowie die Evaluation und Weiterentwicklung unseres Bildungsangebots.

Rechtsgrundlagen sind im Allgemeinen die Anbahnung und Erfüllung vertraglicher Verpflichtungen gemäß Art. 6 Abs. 1 lit. b DSGVO sowie das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO an der Durchführung und Verbesserung unserer gemeinnützigen Arbeit. Dazu gehört auch die Erstellung von pseudonymisierten Statistiken zur Evaluation und Optimierung von Maßnahmen, Prozessen und Services, die direkt oder indirekt zur Erreichung der Förderziele dienen. Diese Daten können ggf. mit Dritten oder der Öffentlichkeit geteilt werden, insbesondere mit Zuwendungsgebern. Die dabei erstellten pseudonymisierten Statistiken lassen keine Rückschlüsse auf einzelne Nutzer oder Nutzerinnen zu.

Folgende Datenkategorien werden verarbeitet:

Von Nutzern

• Vor- und Nachname

• Adresse (Straße, Hausnummer, Postleitzahl, Ort)

• E-Mail-Adresse

• Geschlecht

• Geburtsdatum

• Bei der Nutzung des dgtal® Labs zu berücksichtigende Angaben, z. B. zu gesundheitlichen Einschränkungen (z. B. Allergien, chronische Erkrankungen)

• Projektanmeldungen, -teilnahmen und -fehlzeiten

Von Erziehungsberechtigten

• Vor- und Nachname

• Adresse (Straße, Hausnummer, Postleitzahl, Ort)

• Geschlecht

• Geburtsdatum

• E-Mail-Adresse

• Telefonnummer

In bestimmten Fällen – insbesondere bei der Verarbeitung sensibler Daten oder der Nutzung freiwilliger Angebote – verarbeiten wir personenbezogene Daten auf Grundlage einer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung erfolgt freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Die Daten werden direkt bei den betroffenen Personen erhoben oder durch befugte Dritte (z. B. Erziehungsberechtigte) übermittelt.

Zur Unterstützung dieser Prozesse nutzen die folgenden Softwarewerkzeuge und -dienste:

• Microsoft 365 – Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA (https://www.microsoft.com/de-de/privacy)

• Notion – Notion Labs, Inc., 2300 Harrison Street, San Francisco, CA 94110, USA (https://notion.notion.site/Privacy-Policy-3468d120cf614d4c9014c09f6adc9091)

• Adobe Sign – Adobe Inc., 345 Park Avenue, San Jose, CA 95110-2704, USA (https://www.adobe.com/de/privacy/policy.html)

Die eingesetzten Dienstleister verarbeiten personenbezogene Daten in unserem Auftrag und gelten gemäß Art. 28 DSGVO als Auftragsverarbeiter. Mit beiden Anbietern wurde jeweils ein Auftragsverarbeitungsvertrag abgeschlossen, um ein angemessenes Datenschutzniveau und die Einhaltung der geltenden Datenschutzvorgaben sicherzustellen. Eine Verarbeitung kann auch in Drittländern (z. B. den USA) erfolgen. In diesen Fällen wird ein angemessenes Datenschutzniveau durch geeignete Garantien wie Standardvertragsklauseln gemäß Art. 46 DSGVO gewährleistet.

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die oben genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen, und anschließend innerhalb von 30 Tagen gelöscht bzw. anonymisiert.

Bereitstellung der dgtal® Platform im Rahmen des Early Access

Zur Planung, Organisation und Umsetzung von Aktivitäten sowie zur Förderung einer aktiven Lernumgebung im dgtal® Lab bieten wir eine zentrale Plattform, über die Nutzer eingebunden werden, erweiterte Inhalte und Zugänge freischalten und aktiv Verantwortung übernehmen.

Der Zugang zur dgtal® App im Rahmen des Early Access erfolgt über TestFlight (für iOS) und die Google Play Console (für Android). Diese Dienste ermöglichen es, Testversionen von Apps für Open- und Closed-Beta-Tests zugänglich zu machen. Im Rahmen dieser Tests werden durch Apple bzw. Google automatisch folgende Daten verarbeitet:

• Geräteinformationen (z. B. Modell, Betriebssystem, Version),

• App-Nutzungsdaten (z. B. Fehlerberichte, Absturzprotokolle, Performance-Daten),

• technische Informationen zur Fehlerbehebung (z. B. Diagnosedaten, Crash-Reports),

• Feedback-Daten (z. B. Kommentare oder Bewertungen),

• E-Mail-Adresse (für den Versand von Einladungslinks).

Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) zur Qualitätssicherung, Fehleranalyse und Weiterentwicklung der App. Es gelten die jeweiligen Datenschutzrichtlinien von Apple und Google.

Zusätzlich werden im Rahmen der technischen Bereitstellung der dgtal® Plattform personenbezogene Daten durch beauftragte Dienstleister in unserem Auftrag verarbeitet. Dies betrifft insbesondere:

• Amazon Web Services Inc. (USA) sowie

• Amazon Web Services EMEA SARL (Luxemburg)

als Infrastruktur- und Hostinganbieter. Dabei können insbesondere folgende personenbezogene Daten verarbeitet werden:

• Technische Verbindungsdaten wie IP-Adresse, Geräteinformationen (User-Agent), Zugriffszeiten

• E-Mail-Adresse,

• Nickname,

• Pseudonyme Benutzerkennung (Institutions-E-Mail-Adresse),

• Kontakt- und Kommunikationsdaten,

• Vertragsdaten,

• Fortschrittsdaten (z.B. aktive Quests, Daten zu Questannahmen und -abschlüssen, Lernanalysedaten wie absolvierter Workload nach Inhaltskategorie, freigeschaltete Titel und Nutzerberechtigungen),

• nutzergenerierte Inhalte (z.B. Projektdaten, Bewertungen und Feedback).

Alle Daten werden verschlüsselt gespeichert („Encryption at Rest“). Diese Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren, stabilen und skalierbaren Plattformbereitstellung). Die Datenverarbeitung erfolgt ausschließlich auf unsere Weisung hin und im Rahmen eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.

Eine Übermittlung in Drittländer (insbesondere in die USA) kann im Rahmen der Nutzung von Cloud-Diensten wie AWS erfolgen. Dabei wird sichergestellt, dass geeignete Schutzmaßnahmen gemäß Art. 44 ff. DSGVO bestehen, etwa durch den Abschluss von Standardvertragsklauseln der EU-Kommission.

Die Speicherung personenbezogener Daten erfolgt nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist und längstens 180 Tage nach Beendigung einer Testphase, um eine vollständige technische Auswertung, Fehleranalyse und Qualitätssicherung vorzunehmen. Diese Auswertungen sind notwendig, um sicherzustellen, dass Plattformfunktionen fehlerfrei und stabil funktionieren und um eventuelle Probleme, die während des Tests aufgetreten sind, zu beheben. Nach Ablauf dieses Zeitraums werden die Daten automatisiert gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen oder die Daten zur Aufklärung technischer oder sicherheitsrelevanter Vorfälle benötigt werden.

Integrierte Drittanbieterdienste

Im Rahmen der dgtal® Platform können bestimmte Drittanbieterdienste genutzt werden, die Funktionen der Plattform unterstützen oder erweitern. Diese Angebote sind Bestandteil unseres Produkts, ihre Nutzung erfolgt jedoch optional durch die Nutzerinnen und Nutzer.

Aktuell sind insbesondere die folgenden Drittanbieterdienste verfügbar:

• Blockbrain ist ein KI-Dienst der Blockbrain GmbH (Stuttgart, Deutschland). Über den Dienst werden sog. Knowledge-Bots als Werkzeuge bereitgestellt, die Nutzern auf Anfrage insbesondere in Projekten kontextsensitive Informationen bereitstellen.
  Dabei nutzt Blockbrain u.a. die folgenden Dienste von Subdienstleistern:

• Microsoft Azure AI zur Bereitstellung von Sprachmodellen (Rechenzentren in Frankfurt/Main und Paris),

• Google Vertex AI zur Bereitstellung von Sprachmodellen (Rechenzentren in Hanau und Saint-Ghislain),

• Amazon Web Services (AWS) zur Bereitstellung der Infrastruktur für Speicherung und Verarbeitung (Standorte: Frankfurt und Rüsselsheim),

• MongoDB Atlas für die Datenbankdienste auf AWS-Infrastruktur in Deutschland.

Daten in Blockbrain werden verschlüsselt gespeichert („Encryption at Rest“). Weitere Informationen zu den Datenverarbeitungsprozessen von Blockbrain findest du in der Datzenschutzerklärung der Blockbrain GmbH.

• Flux AI ist ein KI-Bildgenerator der Black Forest Labs GmbH (Freiburg, Deutschland). Der Dienst ermöglicht es Nutzern, Bilder aus Textbeschreibungen zu erstellen. Weitere Informationen findest du in den Nutzungsbedingungen. Die Nutzung von Flux AI über die dgtal® Platform ist auf die täglich kostenlos zur Verfügung gestellten Credits beschränkt.

Die Nutzung dieser Dienste im Rahmen der dgtal® Platform erfordert keine gesonderte Registrierung. Für die Bereitstellung werden keine Nutzerkonten erstellt. Folgende Datenkategorien werden für die Bereitstellung und Nutzung verarbeitet:

• Technische Verbindungsdaten wie IP-Adresse, Geräteinformationen (User-Agent), Zugriffszeiten

• Eingabedaten: Texte (z. B. Prompts), hochgeladene Dateien oder andere freiwillig übermittelte Inhalte

Eine Übermittlung weiterer ggf. personenbezogener Daten erfolgt nur, wenn der Nutzer diese in Eingabedaten übermittelt. Bei Nichtnutzung werden ausschließlich die zur Bereitstellung erforderlichen technischen Verbindungsdaten verarbeitet.

Es ist möglich, dass die Datenverarbeitung auch außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EWR) stattfindet, insbesondere durch Subdienstleister mit Standorten in sogenannten Drittländern. In solchen Fällen erfolgt die Verarbeitung nur unter Einhaltung der gesetzlichen Vorgaben, z. B. auf Basis von Standardvertragsklauseln gemäß Art. 46 DSGVO.

Sollte der Dienst ausschließlich im dgtal® Lab über von uns bereitgestellte Geräte genutzt werden und keine personenbezogenen Eingabedaten übermittelt werden, findet keine Übermittlung personenbezogener Daten an Drittanbieter statt. Zur Sicherstellung eines angemessenen Datenschutzniveaus wurden mit allen genannten Dienstanbietern Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen.

Push-Benachrichtigungen

Die dgtal® Plattform nutzt Push-Benachrichtigungsdienste, um dir relevante Updates und Mitteilungen zukommen zu lassen. Diese Benachrichtigungen werden durch die folgenden Drittanbieter-Dienste abgewickelt:

• Firebase Cloud Messaging (Google)

• Apple Push Notification Service (Apple)

Im Rahmen der Bereitstellung dieser Dienste können bestimmte personenbezogene Daten verarbeitet werden, wie beispielsweise die Geräte-ID und der Zeitpunkt der Benachrichtigung, um sicherzustellen, dass die Benachrichtigungen ordnungsgemäß zugestellt werden. Diese Datenverarbeitung erfolgt gemäß den Datenschutzrichtlinien der jeweiligen Anbieter. Du kannst die Push-Benachrichtigungen jederzeit in den Einstellungen deiner App oder auf deinem Gerät deaktivieren.

Anmeldung und Newsletter

Zur Verwaltung von Anmeldungen, dem Versand von Newslettern sowie der Analyse von Nutzerinteraktionen nutzen wir den Dienst ActiveCampaign, angeboten von ActiveCampaign, LLC, 1 North Dearborn Street, 5th Floor, Chicago, IL 60602, USA. ActiveCampaign ermöglicht es uns, E-Mail-Kommunikation effizient zu gestalten und das Nutzerverhalten auszuwerten, um unsere Angebote zu optimieren.

Im Rahmen der Anmeldung zum Newsletter und der Nutzung unserer E-Mail-Kommunikation werden personenbezogene Daten verarbeitet. Dazu gehören insbesondere:

• Technische Verbindungsdaten wie IP-Adresse, Geräteinformationen (User-Agent), Zugriffszeiten

• E-Mail-Adresse

• Abonnementeinstellungen (z.B. Kategorie der abonnierten Inhalte)

• Nutzungsverhalten (z.B. Öffnungsereignisse und Klickverhalten in E-Mails)

• Einverständnis zur Datenverarbeitung

Die Verarbeitung dieser Daten erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die Sie bei der Anmeldung erteilen. Diese Einwilligung können Sie jederzeit widerrufen, z. B. durch den Abmeldelink in unseren E-Mails oder durch direkte Kontaktaufnahme mit uns.

Die Datenverarbeitung durch ActiveCampaign erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO. Eine Übermittlung Ihrer Daten in die USA kann stattfinden. ActiveCampaign ist im Rahmen des EU-U.S. Data Privacy Framework zertifiziert und verpflichtet sich zur Einhaltung der Datenschutzstandards der Europäischen Union.

Weitere Informationen zum Datenschutz bei ActiveCampaign finden Sie unter: www.activecampaign.com/de/security

Bereitstellung von Equipment zur Nutzung innerhalb und außerhalb des dgtal® Lab

Zur Verwaltung von Equipment, das innerhalb und außerhalb des dgtal® Lab genutzt werden kann, setzen wir die Softwarelösung Cheqroom ein. Für die Nutzung wird automatisiert ein Account mithilfe der pseudonymisierten Benutzerkennung (z. B. 318509@u.dgtal.de) erstellt, die im Rahmen der Anmeldung generiert wurde.

Dabei werden folgende Daten verarbeitet:)

• Pseudonymisierte Benutzerkennung (Institutions-E-Mail)

• Geräte- und Buchungshistorie (z. B. entliehene Geräte, Ausleih- und Rückgabezeitpunkte)

• Zugewiesene Rollen oder Berechtigungen innerhalb der Cheqroom-Plattform

• Statusinformationen zum Equipment (z. B. defekt, in Reparatur, verfügbar)

Die Datenverarbeitung erfolgt zum Zweck der ordnungsgemäßen Bereitstellung, Verwaltung und Nachverfolgung von Equipment sowie zur Sicherstellung einer klaren Verantwortlichkeit während der Nutzung. Die Buchung erfolgt stets personenbezogen auf den jeweiligen Nutzeraccount, um Ausleihen nachvollziehbar zu dokumentieren. Die Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in der sicheren, transparenten und administrativ erforderlichen Organisation der Geräteausgabe und -rückgabe.

Die Daten werden so lange gespeichert, wie ein aktives Nutzungsverhältnis besteht bzw. solange sie zur Dokumentation von Ausleihen erforderlich sind. Nach Beendigung des Nutzungsverhältnisses und Ablauf etwaiger gesetzlicher Aufbewahrungsfristen werden die Daten gelöscht oder anonymisiert.

Betreiber der Plattform ist Cheqroom NV, Wiedauwkaai 23x, 9000 Ghent, Belgien. Die Verarbeitung erfolgt durch Cheqroom als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Eine Datenübermittlung in ein Drittland (USA) findet statt. Diese erfolgt auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO, insbesondere durch den Abschluss von EU-Standardvertragsklauseln. Weitere Informationen zur Datenverarbeitung durch Cheqroom findest du in deren https://www.cheqroom.com/privacy-policy-cookies/.

Bereitstellung von Computersystemen, Software und Zugängen

Die Bereitstellung und Verwaltung von Client-Geräten, Software und Anwendungen erfolgt über Microsoft Intune (Microsoft Corporation). Dieser Dienst gewährleistet eine einheitliche und sichere Nutzung der Geräte und Software, einschließlich der Umsetzung von Sicherheits- und Datenschutzrichtlinien (z. B. durch Zurücksetzen von Geräten oder Löschen von Nutzerdaten).

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b (Vertragserfüllung) und lit. f (berechtigtes Interesse) DSGVO.

Verarbeitete Daten umfassen insbesondere:

• IP-Adresse (bei der Verbindung mit dem Dienst)

• Geräteinformationen (z. B. Gerätetyp, MAC-Adresse, Betriebssystem, Sicherheitsstatus)

• Nutzeraktivitäten wie Login-Ereignisse

Die Verarbeitung erfolgt durch Microsoft als Auftragsverarbeiter, ggf. unter Nutzung von Servern außerhalb der EU mit Standardvertragsklauseln. Die Daten werden so lange vorgehalten, wie es für die Verwaltung und Bereitstellung der Geräte erforderlich ist. Weiterführende Informationen findest du in den Datenschutzrichtlinien von Microsoft.

Zugänge zu Software und Diensten von Drittanbietern

Je nach Lizenzmodell kann es erforderlich sein, dass für die Bereitstellung von Software und Diensten individuelle Konten erstellt werden.

Um keine Klarnamen an Diensteanbieter zu übermitteln, nutzen wir für die Bereitstellung der Zugänge eine pseudonymisierte Benutzerkennung in der Form ######@u.dgtal.de (z. B. 362948@u.dgtal.de). Das bedeutet, dass alle Zugänge – einschließlich der zu Microsoft 365 und anderen Anwendungen – mit dieser pseudonymisierten Benutzerkennung verknüpft sind, um die Privatsphäre der Nutzer zu wahren.

Im Rahmen dieses Prozesses wird auch ein Exchange-Online-Postfach eingerichtet, das ausschließlich auf die pseudonymisierte Benutzerkennung gebunden ist. Dadurch erfolgt der gesamte E-Mail-Verkehr (intern und extern) über diese pseudonymisierte Adresse, ohne dass Klarnamen oder andere personenbezogene Daten weitergegeben werden.

Die folgenden Softwaredienste werden den Nutzern derzeit zur Verfügung gestellt:

• Microsoft 365 (inkl. Word, Excel, PowerPoint, Outlook, Teams, SharePoint, OneDrive)
  Mit der Bereitstellung uns Nutzung des Exchange-Online-Postfachs werden personenbezogene Daten wie E-Mail-Adresse, Kommunikationsinhalte sowie Nutzungsmetadaten verarbeitet.

• Apple Productivity Apps Pages, Keynote und Numbers
  Diese Apps werden über speziell eingerichtete Apple-Accounts für Organisationen zur Verfügung gestellt

Des Weiteren werden derzeit u.a. die folgenden Softwareprodukte gerätegebunden bereitgestellt:

• Affinity Apps (Affinity Photo, Affinity Designer, Affinity Publisher)

• Unity

• LumaFusion

• Procreate for iPad

• Visual Studio Code

• NDI Tools

Die Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung von Softwarediensten erfolgt auf Grundlage von:

• Art. 6 Abs. 1 lit. b DSGVO – zur Erfüllung vertraglicher Pflichten oder zur Durchführung vorvertraglicher Maßnahmen, z. B. zur Nutzung digitaler Lern- und Arbeitsmittel.

• Art. 6 Abs. 1 lit. f DSGVO – auf Grundlage unseres berechtigten Interesses an einer funktionalen und sicheren digitalen Infrastruktur. Dabei achten wir auf datensparsame und datenschutzfreundliche Umsetzung (z. B. durch Pseudonymisierung).

• ggf. Art. 6 Abs. 1 lit. a DSGVO – wenn eine ausdrückliche Einwilligung erforderlich ist (z. B. bei optionalen Zusatzdiensten).

Der Schutz der im Rahmen der Nutzung verarbeiteten personenbezogenen Daten wird durch den Abschluss von Auftragsverarbeitungsverträgen mit den jeweiligen Anbietern gemäß Art. 28 DSGVO sichergestellt.

Nutzung anderer Software und Dienste von Drittanbietern

Die Nutzung weiterer, ggf. vorinstallierter Software oder online verfügbarer Dienste auf bereitgestellten Geräten, für die kein zentraler Zugang durch uns bereitgestellt wird, erfolgt eigenverantwortlich durch den Nutzer. Dies betrifft insbesondere auch Dienste, die über einen Webbrowser aufgerufen werden, z. B. durch die Nutzung persönlicher Konten bei Cloud-Diensten, Kommunikationsplattformen oder Webanwendungen.

In solchen Fällen erfolgt die Erstellung, Nutzung und Verwaltung von Benutzerkonten eigenständig. Die dabei anfallende Verarbeitung personenbezogener Daten – einschließlich der möglichen Übermittlung an Drittstaaten – liegt in der datenschutzrechtlichen Verantwortung des jeweiligen Diensteanbieters. Eine datenschutzrechtliche Verantwortung durch uns besteht in diesen Fällen nicht.

Zu den vorinstallierte Softwareclients, für deren verbundene Dienste wir keine Zugänge bieten, gehören beispielsweise:

• Webbrowser (z.B. Microsoft Edge, Google Chrome)

• Chat-Clients (z.B. WhatsApp, Signal, Discord)

Zutrittsmanagement der Räumlichkeiten des dgtal® Lab

Für die Verwaltung des Zugangs zum dgtal® Lab verwenden wir das cloudbasierte Zugangskontrollsystem Salto KS. Die folgenden Daten werden im Rahmen des Zutrittsmanagements verarbeitet:

• Pseudonyme Benutzerkennung (Institutions-E-Mail-Adresse)

• Zutrittsereignis (Datum, Uhrzeit und Schlossbezeichnung des Zutritts)

Bei Verwendung der Salto KS-App, werden zudem folgende Daten verarbeitet:

• IP-Adresse des Clients

• Geräteinformationen des Clients

• Nutzungsdaten wie App-Zugriffe in der Salto KS-App

• ggf. Standortdaten nach Einwilligung des Nutzers innerhalb der Salto KS-App

Betreiber ist SALTO Systems S.L., c/Arkotz 9, Polígono Lanbarren, 20180 Oiartzun, Spanien

Die Verarbeitung dient der Sicherheit der Räumlichkeiten und der Zutrittsbeschränkung. Zutrittsereignisse werden für 30 Tage gespeichert und anschließend automatisch gelöscht, sofern die Daten nicht zur Aufklärung eines Sicherheitsvorfalls genutzt werden und keine gesetzlichen Aufbewahrungspflichten bestehen.

Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO das berechtigte Interesse an der Zugangskontrolle zum Schutz von Personen und Infrastruktur. Mit dem Anbieter wurde ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen.

Schließfachnutzung im dgtal® Lab

Nutzer des dgtal® Lab haben während ihres Aufenthalts die Möglichkeit, nach Verfügbarkeit ein Schließfach zur sicheren Verwahrung persönlicher Gegenstände zu nutzen. Die Verwaltung der Schließfächer erfolgt über das cloudbasierte Smartlocker-System „Keynius“, das vom Auftragsverarbeiter Capsa Digital Limited, Upper House, Clifton upon Teme, Worcestershire WR6 6EE, UNITED KINGDOM bereitgestellt wird.

Für die Nutzung des Systems werden folgende Daten verarbeitet:

• Pseudonyme Benutzerkennung (Institutions-E-Mail-Adresse)

• Zugriffszeitpunkte (z.B. Öffnungs- und Schließereginisse)

• Schließfachzuweisungen (Verknüpfung der Benutzerkennung bei Belegung)

Diese Daten dienen ausschließlich der technischen Bereitstellung und Absicherung der Schließfachfunktionalität. Eine Weitergabe an Dritte erfolgt nicht.

Zur datenschutzkonformen Verarbeitung wurde mit Capsa Digital Limited ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen. Die Speicherung der Daten erfolgt ausschließlich für den erforderlichen Zeitraum. Zutritts- und Zugriffsereignisse werden für 30 Tage gespeichert und anschließend automatisch gelöscht, sofern sie nicht zur Aufklärung eines Sicherheitsvorfalls benötigt werden und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Weitere Informationen zur Datenverarbeitung findest du unter https://keynius.eu/privacy-statement/.

Nutzung des Internetzugangs über das Netzwerk für mitgebrachte Geräte im dgtal® Lab

Für die Bereitstellung des Internetzugangs für mitgebrachte Geräte nutzen wir ein Captive Portal. Dabei werden folgende personenbezogene Daten verarbeitet:

• MAC-Adresse des verwendeten Geräts

• IP-Adresse, die dem Gerät im Netzwerk zugewiesen wurde

• Zeitpunkt der Anmeldung und Dauer der Nutzung

• übertragene Datenmenge

• Geräteinformationen (z. B. Betriebssystem, Gerätetyp)

• Protokolldaten zu aufgerufenen IP-Adressen und Ports (Verbindungs-Logs, keine Inhalte)

Diese Daten werden verarbeitet, um den Zugang zum Internet bereitzustellen, die Sicherheit des Netzwerks zu gewährleisten und mögliche Missbrauchsfälle nachvollziehen zu können.

Ein Auftragsverarbeitungsvertrag mit dem Anbieter des Captive Portals regelt die Verarbeitung dieser Daten und stellt sicher, dass alle datenschutzrechtlichen Anforderungen erfüllt werden.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Netzwerksicherheit und Missbrauchsprävention).

Die Daten werden für 30 Tage gespeichert und anschließend automatisch gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Sollte jedoch ein Sicherheitsvorfall festgestellt werden, können die Daten für die Dauer der Aufklärung des Vorfalls gespeichert werden.

Teilnahme an Aktivitäten und Usertests

Im Rahmen der freiwilligen Teilnahme an Aktivitäten des dgtal® Labs – darunter Einzel- und Teamprojekte, Workshops und Events – verarbeiten wir personenbezogene Daten zur Organisation, Durchführung, Dokumentation und Qualitätssicherung. Die technische Abwicklung erfolgt in der Regel über die dgtal® Platform, deren Betreiber wir sind.

Wir verarbeiten diese Daten auf den folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung der betroffenen Person

• Art. 6 Abs. 1 lit. b DSGVO – Erforderlichkeit zur Durchführung vorvertraglicher Maßnahmen oder zur Erfüllung eines Vertrages

• Art. 6 Abs. 1 lit. f DSGVO – Wahrung berechtigter Interessen, insbesondere zur Qualitätssicherung, Projektbetreuung und internen Auswertung

Je nach Aktivitätsformat können folgende Daten verarbeitet werden:

• Name, Vorname und E-Mail-Adresse der anmeldenden Person

• IP-Adresse, Datum und Uhrzeit der Registrierung

• Bild-, Video- und Tonaufnahmen der teilnehmenden Personen

• Beiträge, Projektergebnisse oder Interaktionen mit Personenbezug

• Interessen- und Themenschwerpunkte (z. B. bei Workshops und Projekten)

• anonyme oder pseudonyme Analysedaten (z. B. Projektbeginn, Projektabbrüche, Nutzungsdauer, Abgaben, Umfragen)

• Zugriffs- und Nutzungsdaten bei Einsatz von Drittsoftware oder Online-Plattformen

• ggf. Name und Adresse der Schule sowie Klassenbezeichnung, sofern die Teilnahme im schulischen Rahmen oder über Gruppenanmeldungen erfolgt

Bild-, Ton- und Videoaufnahmen erfolgen ausschließlich im Rahmen klar angekündigter Aktivitäten (z. B. Projektarbeit) und nur von aktiv teilnehmenden Personen. Eine Weitergabe oder Veröffentlichung personenbezogener Inhalte erfolgt ausschließlich mit vorheriger ausdrücklicher Zustimmung der betroffenen Personen oder ihrer Erziehungsberechtigten.

Im Rahmen von Projektarbeiten können personenbezogene Daten projektbezogen mit verantwortlichen Personen geteilt werden – z. B. mit Reviewern zur Bewertung, Supervisoren zur Projektbegleitung oder Tutoren zur Unterstützung der Teilnehmenden. Der Zugriff erfolgt ausschließlich im für die Durchführung erforderlichen Umfang.

Sofern Projektergebnisse personenbezogene Inhalte enthalten (z. B. Bild-, Ton- oder Videoaufnahmen, Namensnennungen), können Teilnehmende gesondert ihr Einverständnis geben, dass diese Inhalte nicht-öffentlich oder öffentlich wiedergegeben bzw. veröffentlicht werden, z.B. auf Social Media. Eine Weitergabe oder Veröffentlichung erfolgt ausschließlich nach dokumentierter Zustimmung.

Bei der Nutzung von Drittsoftware oder externen Diensten (z. B. für Kollaboration, Medienerstellung) kann eine Datenverarbeitung außerhalb der EU (insbesondere in Drittländern wie den USA) erfolgen. In diesen Fällen setzen wir geeignete datenschutzrechtliche Schutzmaßnahmen um – z. B. durch den Einsatz von Standardvertragsklauseln (SCC) – und informieren die Teilnehmenden bzw. ihre Sorgeberechtigten vorab über die Datenschutzbedingungen der jeweiligen Anbieter.

Die Teilnahme an allen Aktivitäten ist freiwillig. Eine Nichtteilnahme hat keine negativen Konsequenzen. Allerdings kann die Mitwirkung an bestimmten Formaten technisch oder organisatorisch nicht möglich sein, wenn einzelne datenschutzrechtliche Einwilligungen nicht erteilt werden.

Speicherdauer und Löschung von Daten

Projektdaten werden auf dem persönlichen Share im dgtal® Lab gespeichert, solange der Zugang zur dgtal® Plattform besteht. Diese Daten werden nicht redundant gespeichert. Optional ist die Nutzung von Sharepoint und OneDrive (siehe „Zugänge zu Software und Diensten von Drittanbietern“) abgelegt werden.

Nach Löschung des Accounts werden alle gespeicherten Daten innerhalb von 30 Tagen gelöscht oder anonymisiert. Diese Regelung gilt sowohl für persönliche Daten als auch für projektrelevante Inhalte, die auf der dgtal® Plattform vorgehalten wurden.

Veröffentlichte Projektergebnisse bleiben unabhängig davon gespeichert, solange die Veröffentlichung besteht. Teilnehmende können der weiteren Nutzung jederzeit widersprechen. Eine nachträgliche Löschung erfolgt im Rahmen der technischen und rechtlichen Möglichkeiten.

Usability-Tests und Evaluationen

Im Rahmen der Weiterentwicklung und Qualitätssicherung von Angeboten und Produkten der Mossakowski Stiftung – insbesondere der dgtal® Platform, einzelner Quests oder Formate im dgtal® Lab – führen wir gelegentlich Usability-Tests und Evaluationen durch. Die Teilnahme erfolgt ausschließlich auf Grundlage einer separaten, freiwilligen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Verarbeitete Daten können je nach Testformat u. a. sein:

• Bild-, Ton- und Bildschirmaufnahmen bei Nutzung bereitgestellter Endgeräte

• Aufzeichnungen aus Interviews oder Beobachtungssituationen

• anonyme Umfragedaten (z. B. Zufriedenheit, Feedback)

• pseudonymisierte Nutzungs- oder Interaktionsdaten (z. B. Bearbeitungsdauer, Abbrüche, Abgaben)

• Zugriffsdaten bei Nutzung von Lernplattformen (insbesondere der dgtal® Platform) oder Drittsoftware (in kontrollierter Umgebung mit zugewiesenen Geräten)

Die erhobenen Daten dienen ausschließlich internen Zwecken, z. B. zur Verbesserung der Benutzerführung, pädagogischen Wirksamkeit oder technischen Stabilität der Angebote. Eine Veröffentlichung oder Weitergabe an Dritte erfolgt nur nach Anonymisierung in aggregierter Form.

Speicherdauer:
Aufzeichnungen (z. B. Bild-/Tonmaterial) werden innerhalb von 60 Tagen gelöscht oder nach erfolgter Transkription anonymisiert. Auswertungen erfolgen ausschließlich durch berechtigte Personen der Mossakowski Stiftung im Rahmen der erklärten Zwecke.

Die Teilnahme ist freiwillig und kann jederzeit widerrufen werden. Bis zum Zeitpunkt des Widerrufs bleibt die Verarbeitung rechtmäßig (Art. 7 Abs. 3 DSGVO).

Audio- und Videokonferenzen

Für die Durchführung von Audio- und Videokonferenzen nutzen wir Online-Konferenz-Tools. Wenn du an einer solchen Konferenz teilnimmst, werden personenbezogene Daten wie deine E-Mail-Adresse und/oder Telefonnummer von uns und dem Anbieter des jeweiligen Konferenz-Tools erfasst und verarbeitet. Ferner verarbeiten die Konferenz-Tools sogenannte Metadaten, also Kontextinformationen wie die Dauer, Beginn und Ende der Teilnahme an der Konferenz und Anzahl der Teilnehmer. Weitere technische Daten, die zur Durchführung der Online-Kommunikation erforderlich sind, wie IP-Adressen, MAC-Adressen, Geräte-IDs, Gerätetyp, Betriebssystemversion und Verbindungstyp, werden ebenfalls erfasst.

Alle Inhalte, die innerhalb der Konferenz-Tools ausgetauscht oder bereitgestellt werden (wie Dateien, Cloud-Aufzeichnungen, Chatnachrichten, Voicemails, Fotos und Videos), werden auf den Servern des jeweiligen Anbieters gespeichert. Bitte beachte, dass wir nicht vollumfänglich Einfluss auf die Datenverarbeitungsvorgänge der verwendeten Tools haben. Unsere Möglichkeiten richten sich maßgeblich nach der Unternehmenspolitik des jeweiligen Anbieters. Weitere Hinweise zur Datenverarbeitung durch die Konferenztools entnehme bitte den Datenschutzerklärungen der jeweils eingesetzten Tools, die wir unter diesem Text aufgeführt haben.

Löschung und Speicherdauer

Wenn du die Löschung deiner Daten verlangst oder der Zweck der Datenspeicherung entfällt, werden die von uns über die Konferenz-Tools erfassten Daten gelöscht. Gespeicherte Cookies verbleiben auf deinem Endgerät, bis du sie löschst. Zwingende gesetzliche Aufbewahrungsfristen bleiben unberührt. Bitte beachte, dass wir keine Kontrolle über die Speicherdauer von Daten haben, die von den Betreibern der Konferenz-Tools für eigene Zwecke gespeichert werden. Informiere dich hierzu bitte direkt bei den Betreibern der Konferenz-Tools, sofern du hierzu Einzelheiten erfahren willst.

Die von uns eingesetzten Tools sind:

• Microsoft Teams

Weitere Informationen zur Datenverarbeitung durch Microsoft Teams findest du in der Datenschutzerklärung von Microsoft.

Behörden, Gerichte, externe Berater und ähnliche Dritte, die öffentliche Stellen sind.

Eine Übermittlung von personenbezogenen Daten an Behörden, Gerichte, externe Berater oder ähnliche öffentliche Stellen erfolgt nur, soweit dies nach geltendem Recht erforderlich oder zulässig ist.

Beispielsweise kann eine Weitergabe an das zuständige Jugendamt erfolgen, wenn Anhaltspunkte für eine Kindeswohlgefährdung vorliegen (§ 8a SGB VIII). Als anerkannter Träger der freien Jugendhilfe ist Mossakowski Stiftung gesetzlich verpflichtet, zum Schutz des Kindeswohls mitzuwirken und erforderliche Informationen weiterzugeben. Die Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. c und e DSGVO.

Profiling

Es erfolgt keine automatisierte Entscheidungsfindung, einschließlich Profiling, im Rahmen unserer Datenverarbeitung.

Wie lange werden personenbezogene Daten gespeichert und wann werden diese gelöscht?

Personenbezogene Daten werden von uns so lange aufbewahrt, wie es nötig ist, um die jeweiligen Zwecke zu erfüllen. Wenn wir personenbezogene Daten nicht mehr zur Einhaltung vertraglicher oder gesetzlicher Verpflichtungen benötigen, werden sie von unseren Systemen innerhalb von 30 Tagen gelöscht oder pseudonymisiert, sodass keine Identifizierung der natürlichen Person mehr möglich ist.

Wenn Du ein berechtigtes Löschersuchen geltend machst oder eine Einwilligung zur Datenverarbeitung widerrufst, werden deine Daten innerhalb von 30 Tagen gelöscht, sofern wir keine anderen rechtlich zulässigen Gründe für die Speicherung Deiner personenbezogenen Daten haben (z. B. steuer- oder handelsrechtliche Aufbewahrungsfristen).

Welche Rechte hast du bezüglich deiner personenbezogenen Daten?

Gemäß dem geltenden Datenschutzrecht hast du zusätzlich zu dem Recht auf Beschwerde bei einer Aufsichtsbehörde die folgenden Rechte. Um solche Rechte auszuüben, kontaktiere uns bitte über oben angegebene Kontaktdaten.

Auskunftsrecht

Du hast das Recht, von uns eine Bestätigung darüber zu verlangen, ob Deine personenbezogenen Daten verarbeitet werden. Ist dies der Fall, so besteht ein Recht auf Auskunft über diese personenbezogenen Daten. Das Auskunftsrecht erfasst insbesondere Auskunft zu den Verarbeitungszwecken, den Kategorien personenbezogener Daten, die verarbeitet werden, und zu den Empfängern oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Bitte beachte, dass es sich bei dem Auskunftsrecht nicht um ein absolutes Recht handelt und berechtigte Interessen anderer Personen zu einer Einschränkung des Auskunftsrechts führen können.

Recht auf Berichtigung

Ggf. das Recht, die Berichtigung nachweislich falscher personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung besteht zudem das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen – auch mittels einer ergänzenden Erklärung.

Recht auf Löschung („Recht auf Vergessenwerden“)

Bei Vorliegen der entsprechenden Voraussetzungen kann verlangt werden, dass personenbezogene Daten gelöscht werden.

Recht auf Einschränkung der Verarbeitung

Du hast das Recht, die Einschränkung der Verarbeitung deiner personenbezogenen Daten zu verlangen. Hierzu kannst du dich jederzeit an uns wenden. Das Recht auf Einschränkung der Verarbeitung besteht in folgenden Fällen:

• Wenn du die Richtigkeit deiner bei uns gespeicherten personenbezogenen Daten bestreitest, benötigen wir in der Regel Zeit, um dies zu überprüfen. Für die Dauer der Prüfung hast du das Recht, die Einschränkung der Verarbeitung deiner personenbezogenen Daten zu verlangen.

• Wenn die Verarbeitung deiner personenbezogenen Daten unrechtmäßig geschah/geschieht, kannst du statt der Löschung die Einschränkung der Datenverarbeitung verlangen.

• Wenn wir deine personenbezogenen Daten nicht mehr benötigen, du sie jedoch zur Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen benötigst, hast du das Recht, statt der Löschung die Einschränkung der Verarbeitung deiner personenbezogenen Daten zu verlangen.

• Wenn du einen Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt hast, muss eine Abwägung zwischen deinen und unseren Interessen vorgenommen werden. Solange noch nicht feststeht, wessen Interessen überwiegen, hast du das Recht, die Einschränkung der Verarbeitung deiner personenbezogenen Daten zu verlangen.

Wenn du die Verarbeitung deiner personenbezogenen Daten eingeschränkt hast, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit deiner Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Europäischen Union oder eines Mitgliedstaats verarbeitet werden.

Recht auf Datenübertragbarkeit

Bei Vorliegen der entsprechenden Voraussetzungen besteht ein Recht auf Datenübertragbarkeit hinsichtlich der uns bereitgestellten Daten, d.h. das Recht, diese in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und ggf. diese Daten einem anderen Verantwortlichen ohne Behinderung durch denjenigen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln.

Dieses Recht bezieht sich ausschließlich auf Daten, die du uns aktiv übermittelt hast. Dazu zählen:

• Registrierungsdaten (z. B. Vor- und Nachname, Adresse, E-Mail-Adresse)

• Angaben im Nutzerprofil (z. B. Benutzername, Profilbild, Interessenangaben)

• Persönliche Einstellungen (z. B. Sprache, Privatsphäre-Einstellungen)

• Questabgaben (z. B. Projektdaten)

• Gegebenes und erhaltenes Feedback zu Projekten

Daten, die im Rahmen der Nutzung automatisch erzeugt wurden – etwa Fortschrittsdaten wie Punktestände, Lernleistungen oder systeminterne Bewertungen – sind an die jeweilige Plattform und deren Funktionsweise gebunden. Um die Integrität, Fairness und Funktionssicherheit des Nutzungserlebnisses zu gewährleisten, ist eine Herausgabe und Übertragung dieser Daten auf andere Systeme grundsätzlich nicht möglich.

Ebenso ist ein Datentransfer zwischen Produktiv- und Testumgebungen ausgeschlossen. Testumgebungen dienen der Erprobung neuer oder sich noch in Entwicklung befindlicher Funktionen, die möglicherweise noch nicht vollständig stabil oder kompatibel mit der Produktivumgebung sind. Um unbeabsichtigte Auswirkungen auf das Nutzungserlebnis und die Systemfunktionalität zu vermeiden, werden diese Umgebungen unabhängig voneinander betrieben. Eine Synchronisation oder Übertragung von Nutzungsdaten ist daher technisch und konzeptionell nicht vorgesehen.

Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen sowie gegen Direktwerbung (Art. 21 DSGVO)

WENN DIE DATENVERARBEITUNG AUF GRUNDLAGE VON ART. 6 ABS. 1 LIT. E ODER F DSGVO ERFOLGT, HAST DU JEDERZEIT DAS RECHT, AUS GRÜNDEN, DIE SICH AUS DEINER BESONDEREN SITUATION ERGEBEN, GEGEN DIE VERARBEITUNG DEINER PERSONENBEZOGENEN DATEN WIDERSPRUCH EINZULEGEN; DIES GILT AUCH FÜR EIN AUF DIESE BESTIMMUNGEN GESTÜTZTES PROFILING. WENN DU WIDERSPRUCH EINLEGST, WERDEN WIR DEINE BETROFFENEN PERSONENBEZOGENEN DATEN NICHT MEHR VERARBEITEN, ES SEI DENN, WIR KÖNNEN ZWINGENDE SCHUTZWÜRDIGE GRÜNDE FÜR DIE VERARBEITUNG NACHWEISEN, DIE DEINE INTERESSEN, RECHTE UND FREIHEITEN ÜBERWIEGEN ODER DIE VERARBEITUNG DIENT DER GELTENDMACHUNG, AUSÜBUNG ODER VERTEIDIGUNG VON RECHTSANSPRÜCHEN (WIDERSPRUCH NACH ART. 21 ABS. 1 DSGVO).

WERDEN DEINE PERSONENBEZOGENEN DATEN VERARBEITET, UM DIREKTWERBUNG ZU BETREIBEN, SO HAST DU DAS RECHT, JEDERZEIT WIDERSPRUCH GEGEN DIE VERARBEITUNG SIE BETREFFENDER PERSONENBEZOGENER DATEN ZUM ZWECKE DERARTIGER WERBUNG EINZULEGEN; DIES GILT AUCH FÜR DAS PROFILING, SOWEIT ES MIT SOLCHER DIREKTWERBUNG IN VERBINDUNG STEHT. WENN DU WIDERSPRICHST, WERDEN DEINE PERSONENBEZOGENEN DATEN ANSCHLIESSEND NICHT MEHR ZUM ZWECKE DER DIREKTWERBUNG VERWENDET (WIDERSPRUCH NACH ART. 21 ABS. 2 DSGVO).

Auftritt in den sozialen Netzwerken und anderen Kommunikationsplattformen

Wir betreiben Profile auf verschiedenen sozialen Netzwerken sowie Kommunikationsplattformen, um über unsere Angebote, Veranstaltungen und aktuelle Themen zu informieren und den direkten Austausch mit Interessierten zu ermöglichen. Beim Aufruf dieser Plattformen gelten die Geschäftsbedingungen und Datenschutzbestimmungen der jeweiligen Betreiber.

Sofern in dieser Datenschutzerklärung nichts anderes angegeben ist, verarbeiten wir personenbezogene Daten nur, wenn du direkt mit uns über die jeweiligen Plattformen interagierst – etwa durch das Senden von Nachrichten, das Kommentieren unserer Inhalte oder das Teilen von Beiträgen.

Verarbeitung personenbezogener Daten auf Social-Media-Plattformen (Instagram, TikTok, YouTube)

Bei der Interaktion über soziale Netzwerke können insbesondere folgende personenbezogene Daten durch die Plattformbetreiber verarbeitet werden:

• Profilinformationen (z. B. Nutzername, Profilbild)

• Kommunikationsinhalte (z. B. Kommentare, Nachrichten, Likes)

• technische Daten (z. B. IP-Adresse, verwendetes Gerät, Nutzungsverhalten)

• Zeitstempel von Interaktionen

• Metadaten (z. B. Geräteinformationen, Verbindungsdaten, Nutzungsverhalten)

• ggf. Standortinformationen

Diese Datenverarbeitung erfolgt in Verantwortung der jeweiligen Plattformbetreiber. Eine Verarbeitung durch uns selbst erfolgt nur in dem Umfang, in dem du mit unseren Inhalten interagierst oder mit uns kommunizierst.

Bitte beachte: Daten können in Staaten außerhalb der Europäischen Union (insbesondere in die USA) übertragen werden. Die Plattformbetreiber sichern sich hierbei in der Regel über sogenannte Standardvertragsklauseln oder andere Mechanismen zur Einhaltung europäischer Datenschutzstandards ab.

Wir stützen die Verarbeitung deiner Daten auf Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht darin, unsere Angebote öffentlich sichtbar zu machen, mit unserer Community in Kontakt zu treten und auf aktuelle Entwicklungen zeitnah reagieren zu können.

Weitere Informationen zum Datenschutz der jeweiligen Plattformen findest du hier:

• Instagram: https://privacycenter.instagram.com/policy/?entry_point=ig_help_center_data_policy_redirect

• TikTok: https://www.tiktok.com/legal/page/eea/privacy-policy/de

• YouTube: https://policies.google.com/privacy

Nutzung von WhatsApp Business als Kommunikationskanal

Wir nutzen WhatsApp Business, bereitgestellt von der Meta Platforms Ireland Limited, als zusätzlichen Kommunikationskanal, über den Nutzer uns kontaktieren können.

Personenbezogene Daten, die im Rahmen der Nutzung von WhatsApp Business verarbeitet und an Meta übermittelt werden können, sind insbesondere:

• Telefonnummer

• Profilinformationen (z. B. Profilbild, Anzeigename, Info-Text – falls vom Nutzer gesetzt)

• Nachrichteninhalte (Text, Bilder, Sprachaufnahmen etc.)

• Zeitstempel der Nachrichten (z. B. Versand- und Empfangszeiten von Nachrichten)

• Metadaten (z. B. Geräteinformationen, Verbindungsdaten, Nutzungsverhalten)

Die Daten können auf Server übertragen und dort verarbeitet werden, die sich außerhalb der Europäischen Union befinden, insbesondere in den USA. In diesen Ländern besteht kein dem europäischen Datenschutzrecht gleichwertiges Schutzniveau. Meta hat sich jedoch vertraglich zur Einhaltung der Anforderungen der Datenschutz-Grundverordnung (DSGVO) verpflichtet.

Wir erheben keine Daten aus den Kontaktlisten oder Adressbüchern der Endgeräte der Nutzer und geben keine personenbezogenen Daten unbeteiligter Dritter weiter.

Rechtsgrundlagen für die Datenverarbeitung über WhatsApp sind:

• Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Kommunikation im Rahmen von Anfragen, die Nutzer oder Erziehungsberechtigte selbst über WhatsApp initiieren

Nutzer oder Erziehungsberechtigte können die Kommunikation über WhatsApp jederzeit ablehnen oder beenden. Wir bieten in diesem Fall alternative Kontaktwege (z. B. E-Mail, Telefon) an.

Weitere Informationen zum Datenschutz bei WhatsApp findest du hier:
https://www.whatsapp.com/legal/privacy-policy-eea