Datenschutz
Grundlegendes
Auf Basis dieser Datenschutzerklärung kannst du entnehmen, wie und welche deiner personenbezogenen Daten – sowie gegebenenfalls die Daten deiner Vertretungsperson – im Rahmen der Nutzung von dgtal® verarbeitet werden. Die Vertretungsperson ist eine gesetzlich berechtigte Person, die dich vertreten darf (z. B. ein Elternteil). Personenbezogene Daten sind alle Informationen, durch die du persönlich identifiziert werden kannst, wie zum Beispiel dein Name, deine Anschrift oder deine E-Mail-Adresse sowie Daten zu deinem Lernfortschritt.
Außerdem erfährst du hier, welche Rechte dir im Zusammenhang mit der Datenverarbeitung zustehen.
Diese Datenschutzerklärung gilt für die Nutzung der dgtal® Platform („dgtal® Platform“), insbesondere bei der Teilnahme an Projekten, Workshops, Events und sonstigen Aktivitäten im Rahmen sogenannter „Quests“. Sie umfasst zudem die Bereitstellung von Equipment, Software, Dienstleistungen sowie sonstigen Ressourcen und Einrichtungen – einschließlich der Nutzung des dgtal® Lab der Mossakowski Stiftung in Ravensburg, Charlottenstraße 19 + 21, 88212 Ravensburg („dgtal® Lab“), unserer Website https://www.dgtal.de („Website“) und unserer Profile in sozialen Netzwerken.
Für Begriffe wie „Verarbeitung“, „Einschränkung der Verarbeitung“ oder „Dritter“ gelten die Definitionen gemäß Art. 4 DSGVO.
Die Datenschutzerklärung kann bei Bedarf vom Betreiber entsprechend geändert und angepasst werden. Sollte dies der Fall sein, werden die betroffenen Personen über ihre persönliche E-Mail-Adresse informiert.
Wer ist für die Datenverarbeitung verantwortlich?
Verantwortlich im hier beschriebenen Umfang ist:
Mossakowski Stiftung
Stiftung bürgerlichen Rechts
Friedhofstraße 59
88212 Ravensburg
Wir haben einen externen Datenschutzbeauftragten benannt, der für die Einhaltung der Datenschutzbestimmungen verantwortlich ist.
Patrizia Ehl, CHG-MERIDIAN AG, Franz-Beer-Straße 111, 88250 Weingarten, Deutschland
Solltest Du Fragen zu diesem Dokument haben oder eine Beschwerde in
Bezug auf die Erhebung und Verarbeitung deiner personenbezogenen Daten
vorbringen wollen, kontaktiere uns bitte wie folgt:
E-Mail: privacy@dgtal.de
Welche Daten werden erhoben und zu welchen Zwecken verarbeiten wir diese?
Im Rahmen deiner Nutzung der dgtal® Plattform verarbeiten wir verschiedene personenbezogene Daten, die für die Durchführung unserer Angebote sowie für organisatorische und rechtliche Zwecke erforderlich sind.
Welche personenbezogenen Daten wir erheben:
Bei der Registrierung: Dein Name, Geburtsdatum, deine Anschrift, E-Mail-Adresse und optional deine Telefonnummer sowie dein Geschlecht. Wenn du noch nicht volljährig bist, erfassen wir zusätzlich die Kontaktdaten einer Vertretungsperson (Name, Anschrift, E-Mail-Adresse, Telefonnummer).
Für die Registrierung auf der dgtal® Plattform: Eine User-ID, eine pseudonyme E-Mail-Adresse, ein selbst gewählter Anzeigename (Alias) sowie Daten zur Teilnahme und Lernaktivität. Dazu gehören insbesondere Angaben zu deinem Lernfortschritt, eingereichten Aufgaben, Projektdaten sowie weitere von dir zur Verfügung gestellte Inhalte.
Bei der Kommunikation: Informationen, die im Rahmen deiner Interaktion mit uns entstehen – etwa über Kontaktformulare, E-Mails, Telefonate, postalische Kommunikation sowie über Social Media.
Technische Daten über Computer- und Verbindungsinformationen: Dazu zählen u.a. IP-Adresse, Datum und Uhrzeit der Zugriffsanfrage, angeforderte Inhalte, Zugriffsstatus/HTTP-Statuscode, übertragenes Datenvolum, die Quelle des Zugriffs (z.B. Website), Browsertyp und -sprache, Gerätetyp sowie das Betriebssystem.
Wozu wir deine Daten verarbeiten:
Zur Anbahnung, Durchführung und Nachbereitung deiner Teilnahme an den Angeboten von dgtal®, zum Beispiel im Rahmen von Bewerbungsverfahren sowie der Organisation von Projekten, Workshops und Quests, und an Angeboten von Drittanbietern, die über die dgtal® Platform bereitgestellt werden,
Zur Kommunikation mit dir über verschiedene Kanäle wie E-Mail, Telefon, Social Media oder Post.
Zur Auswertung deines Lernfortschritts und zur individuellen Unterstützung im Rahmen deiner Teilnahme.
Zur Bereitstellung der erforderlichen Softwarewerkzeuge und Dienste, einschließlich der Einrichtung eines E-Mail-Postfachs mit pseudonymer Adresse über die Domain „*.dgtal.de“, unter Verwendung von Microsoft.
Verarbeitung auf Grundlage berechtigter Interessen
Darüber hinaus verarbeiten wir personenbezogene Daten auf Basis berechtigter Interessen von dgtal® oder Dritten, sofern keine überwiegenden schutzwürdigen Interessen oder Grundrechte der betroffenen Personen entgegenstehen. Dies umfasst insbesondere:
Allgemeinen Kommunikation sowie Beantwortung von Anfragen.
Technischen Bereitstellung und Optimierung der Plattform sowie unserer Website.
Erstellung aggregierter, pseudonymisierter Auswertungen zur Erfolgsmessung und Qualitätssicherung.
Weiterentwicklung und Evaluation des Konzepts von dgtal® sowie der angebotenen Projekte und Angebote im Hinblick auf die Erreichung von Förderzielen.
Veröffentlichung von Inhalten, z. B. Projektergebnisse, an denen du mitgewirkt hast – auf unserer dgtal® Plattform.
Wer erhält Zugriff auf deine Daten? Auf welcher Rechtsgrundlage werden die personenbezogenen Daten verarbeitet?
Nur autorisierte Personen bzw. ein eingeschränkter Personenkreis des dgtal® Lab, die die personenbezogenen Daten kennen müssen, haben Zugriff auf diese Daten. Eine Weitergabe an externe Stellen erfolgt ausschließlich, wenn:
dies im Rahmen einer Vertragserfüllung erforderlich ist,
wir gesetzlich dazu verpflichtet sind (z. B. Weitergabe von Daten an Steuerbehörden),
wir ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO an der Weitergabe haben, oder
wenn eine sonstige Rechtsgrundlage die Datenweitergabe erlaubt.
An Auftragsverarbeiter übermitteln wir personenbezogene Daten ausschließlich auf Grundlage eines gesetzlich vorgeschriebenen Vertrags zur Auftragsverarbeitung (AVV). Dieser stellt sicher, dass der Auftragsverarbeiter personenbezogene Daten ausschließlich gemäß unserer Weisung und im Einklang mit den Vorgaben der DSGVO verarbeitet.
Die personenbezogenen Daten werden nach Art. 6 Abs. 1 lit. b DSGVO verarbeitet. Bei einer ausdrücklichen Einwilligung zur Datenübertragung in sogenannte Drittstaaten stützt sich die Verarbeitung auf Art. 49 Abs. 1 lit. a DSGVO.
Sofern du in die Speicherung von Cookies oder dem Zugriff auf Informationen auf deinem Endgerät (z. B. durch Device-Fingerprinting) eingewilligt hast, erfolgt die Datenverarbeitung zusätzlich auf Grundlage von § 25 Abs. 1 TDDDG. Die Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen.
Sind deine Daten zur Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, verarbeiten wir deine Daten auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO. Des Weiteren verarbeiten wir deine Daten, sofern diese zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Die Datenverarbeitung kann ferner auf Grundlage unseres berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erfolgen.
Hinweis zu Datenübermittlungen in Drittstaaten:
Wir weisen darauf hin, dass wir unter anderem Tools von Unternehmen mit Sitz in datenschutzrechtlich nicht sicheren Drittstaaten sowie US-Tools, deren Anbieter nicht nach dem EU-US-Data Privacy Framework (DPF) zertifiziert sind, verwenden. Bei der Nutzung dieser Tools können personenbezogene Daten in diese Staaten übertragen und dort verarbeitet werden. Dabei wird im Rahmen der Bereitstellung von Zugängen zu Softwareprodukten ausschließlich eine nutzerspezifische Institutions-E-Mail-Adresse (enthält lediglich ein Pseudonym) an Subprozessoren übermittelt. Eine Identifikation des Nutzers durch die Subprozessoren ist anhand dieser E-Mail-Adresse nicht möglich.
Abhängig von der jeweils eingesetzten Software können darüber hinaus im Rahmen der Nutzung weitere Daten wie beispielsweise Eingabedaten, IP-Adresse, Zugriffszeitpunkt oder der verwendete User-Agent verarbeitet werden.
Es gilt zu beachten, dass in datenschutzrechtlich unsicheren Drittstaaten kein mit der EU vergleichbares Datenschutzniveau garantiert werden kann. Insbesondere können Betroffenenrechte eingeschränkt sein oder staatliche Stellen auf personenbezogene Daten zugreifen, ohne dass EU-Standards zur Anwendung kommen.
Für Datenübermittlungen in die USA gilt: Als sicherer Drittstaat bietet die USA grundsätzlich ein der EU vergleichbares Datenschutzniveau. Eine Übertragung dorthin ist zulässig, wenn das empfangende Unternehmen entweder nach dem EU-US Data Privacy Framework (DPF) zertifiziert ist oder geeignete zusätzliche Garantien (z.B. Standardvertragsklauseln) zum Schutz der Daten vorweist. Weitere Informationen zu konkreten Empfängern und Übermittlungen findest du in dieser Datenschutzerklärung.
Welche Dienstleister, Auftragsverarbeiter oder Behörden verarbeiten die personenbezogenen Daten? Anhand welcher eigenen Dienste verarbeitet dgtal® solche Daten?
Zur Erfüllung unserer Aufgaben sowie zur Bereitstellung unserer Angebote bedienen wir uns verschiedener externer Dienstleister, die im Rahmen von Auftragsverarbeitungsverhältnissen gemäß Art. 28 DSGVO tätig sind. Diese Dienstleister unterstützen uns insbesondere bei der technischen Infrastruktur, der Durchführung interner Verwaltungsprozesse sowie bei der Bereitstellung und dem Betrieb der dgtal® Platform. Wir verarbeiten Daten zu den folgenden Zwecken:
Webauftritt und Onlineangebote
Beim Aufruf unserer Website übermittelt der auf deinem Endgerät eingesetzte Browser automatisch bestimmte Daten an den Server unseres Hostinganbieters. Diese Daten werden temporär in sogenannten Logfiles gespeichert und anschließend automatisiert gelöscht. Im Einzelnen handelt es sich um folgende Zugriffsdaten:
IP-Adresse des anfragenden Endgeräts (Anonymisierung innerhalb von 7 Tagen),
Datum und Uhrzeit des Zugriffs,
Name und URL der abgerufenen Datei,
Website, von der aus der Zugriff erfolgt (Referrer-URL),
verwendeter Browser und ggf. das Betriebssystem des Endgeräts sowie der Name deines Internet-Service-Providers.
Die Verarbeitung dieser Daten erfolgt zu folgenden Zwecken:
Gewährleistung eines reibungslosen Verbindungsaufbaus der Website,
Gewährleistung der fehlerfreien Darstellung und komfortablen Nutzung unserer Website,
Auswertung der Systemsicherheit und -stabilität sowie
zur administrativen Betreuung des Webangebots.
Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse folgt aus den oben aufgelisteten Zwecken.
Das Hosting des Webauftritts erfolgt durch STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlin. Die STRATO AG speichert die Zugriffsdaten in Server-Logfiles in unserem Auftrag und stellt die technische Infrastruktur für den Betrieb unserer Website zur Verfügung. Mit der STRATO AG besteht ein entsprechender Auftragsverarbeitungsvertrag gemäß 28 DSGVO.
Weitere Informationen zum Datenschutz bei STRATO findest du unter: www.strato.de/datenschutz/.
Logfiles werden für die Dauer von 7 Tagen gespeichert und anschließend anonymisiert. Eine längere Speicherung erfolgt nur im Ausnahmefall, beispielsweise bei Sicherheitsvorfällen, bis der Vorfall vollständig aufgeklärt ist.
Schutz von Webformularen vor automatisierten Zugriffen
Zum Schutz unserer Webformulare – insbesondere im Rahmen der Newsletteranmeldung – vor Missbrauch durch automatisierte Zugriffe von Bots verwenden wir Google reCAPTCHA, ein Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Google reCAPTCHA analysiert verschiedene Informationen über das Nutzerverhalten, um festzustellen, ob es sich um eine menschliche Interaktion handelt.
Dabei werden folgende Daten verarbeitet:
IP-Adresse
User Agent des Browsers
Mausbewegungen und Tastatureingaben
Datum- und Spracheinstellungen
Verweildauer auf der Seite
Bildschirmauflösung
Javascript-Objekte im Browserkontext
Der Dienstleister verarbeitet personenbezogene Daten in unserem Auftrag und gilt gemäß Art. 28 DSGVO als Auftragsverarbeiter. Die Datenverarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.
Bei der Nutzung dieses Dienstes kann es zu einer Übermittlung von Daten in die USA kommen. In diesen Fällen wird ein angemessenes Datenschutzniveau durch Standardvertragsklauseln gemäß Art. 46 DSGVO gewährleistet.
Rechtsgrundlagen für die Verarbeitung sind:
Unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO, um die Sicherheit und Funktionsfähigkeit unseres Online-Angebots zu gewährleisten.
Verlinkung externer Inhalte und Dienste
Auf unserer Website stellen wir Verlinkungen zu externen Angeboten bereit. Solche Links sind – insbesondere im Fall von sozialen Netzwerken – entweder durch Icons der entsprechenden Dienste oder durch ein Verlinkungssymbol gekennzeichnet.
Es handelt sich hierbei um direkte Links. Sofern du keine externen Links aufrufst, wird keine Verbindung zu den Servern der jeweiligen Dienste hergestellt und es werden keine personenbezogenen Daten übertragen.
Erst beim Aufruf, primär ausgelöst durch eine Interaktion wie einen Klick auf den Link, wirst du zum verlinkten externen Angebot weitergeleitet. Ab diesem Zeitpunkt gelten die Nutzungsbedingungen und Datenschutzrichtlinien des jeweiligen Anbieters. Die Anbieter der Dienste können dabei personenbezogene Daten wie deine IP-Adresse erfassen oder Cookies und andere Tracking-Technologien einsetzen.
Bitte informiere dich vor der Nutzung der verlinkten Angebote Dritter über die jeweiligen Datenschutzbestimmungen. Insbesondere weisen wir darauf hin, dass bei einzelnen Anbietern eine Übermittlung personenbezogener Daten in Drittländer außerhalb der Europäischen Union erfolgen kann. In diesen Ländern besteht möglicherweise kein mit der EU vergleichbares Datenschutzniveau.
Instagram: https://privacycenter.instagram.com/policy/
TikTok: https://www.tiktok.com/legal/page/eea/privacy-policy/de
Wir haben keinen Einfluss auf Art und Umfang der Datenverarbeitung durch diese Drittanbieter.
Nutzung von verkürzten URLs
Wir nutzen den Dienst short.io, um Teile unserer Webangebote sowie Webangebote Dritter über verkürzte und einprägsame URLs unter einer eigenen Vanity-Domain "go.dgtal.de" erreichbar zu machen.
Anbieter: Short.cm Inc, 2093 Philadelphia Pike # 1366 Claymont, DE, 19703-2424 USA
short.io ermöglicht die Erstellung und Verwaltung von sogenannten Short-URLs, informativen Pretty-URLs als auch dazugehörigen QR-Codes. Beim Aufruf dieser URLs findet ein Redirect auf die hinterlegte Ziel-URL statt.
Die folgenden Daten werden zum Zweck der Bereitstellung von vertrauenswürdigen Short-URLs und zur Analyse von URL-Aufrufen verarbeitet:
IP-Adresse des aufrufenden Clients (bei Zugriffen innerhalb der EU anonymisiert durch Maskierung, z.B. 192.168.xxx.xxx)
Browser-Name des aufrufenden Clients
Betriebssystem des aufrufenden Clients
Land und Stadt, aus dem der Aufruf stattfand
Referrer-URL des Aufrufs
Zeitpunkt des Aufrufs
Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse daran, unsere Webangebote sowie verbundene Webangebote Dritter mit einfachen und aussagekräftigen Short-URLs zugänglich zu machen. Bei Aufrufen von Standorten innerhalb der EU besteht durch die Anonymisierung der IP-Adresse kein Personenbezug mehr. Sofern Sie keine URLs der Domain "go.dgtal.de" aufrufen, werden keine Daten an Short.cm Inc übermittelt.
Der Dienstleister verarbeitet personenbezogene Daten in unserem Auftrag und gilt gemäß Art. 28 DSGVO als Auftragsverarbeiter. Die Datenverarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.
Ihre Daten können in die USA übertragen werden. In diesen Fällen wird ein angemessenes Datenschutzniveau durch Standardvertragsklauseln gemäß Art. 46 DSGVO gewährleistet.
Organisation und Verwaltung
Personenbezogene Daten werden im Rahmen interner Abläufe verarbeitet, soweit dies für die ordnungsgemäße Verwaltung, Dokumentation und Projektorganisation erforderlich ist. Dazu zählen insbesondere die Verwaltung von Nutzer- und Projektdaten, interne Kommunikationsprozesse, die Anbahnung und Erfüllung von Verträgen, die Erfüllung von Nachweis- und Dokumentationspflichten gegenüber Zuwendungsgebern oder Aufsichtsbehörden sowie die Evaluation und Weiterentwicklung unseres Bildungsangebots.
Rechtsgrundlagen sind im Allgemeinen die Anbahnung und Erfüllung vertraglicher Verpflichtungen gemäß Art. 6 Abs. 1 lit. b DSGVO sowie das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO an der Durchführung und Verbesserung unserer gemeinnützigen Arbeit. Dazu gehört auch die Erstellung von pseudonymisierten Statistiken zur Evaluation und Optimierung von Maßnahmen, Prozessen und Dienste, die direkt oder indirekt zur Erreichung der Förderziele dienen. Diese Daten können ggf. mit Dritten oder der Öffentlichkeit geteilt werden, insbesondere mit Zuwendungsgebern. Die dabei erstellten pseudonymisierten Statistiken lassen keine Rückschlüsse auf einzelne Nutzer oder Nutzerinnen zu.
Folgende Datenkategorien werden verarbeitet:
Von Nutzern
Vor- und Nachname
Adresse (Straße, Hausnummer, Postleitzahl, Ort)
E-Mail-Adresse
Geschlecht (optional)
Geburtsdatum
Telefonnummer (optional)
Projektanmeldungen, -teilnahmen und -fehlzeiten
Von Vertretungsperson
Vor- und Nachname
Adresse (Straße, Hausnummer, Postleitzahl, Ort)
Geburtsdatum
E-Mail-Adresse
Telefonnummer
In bestimmten Fällen – insbesondere bei der Verarbeitung sensibler Daten oder der Nutzung freiwilliger Angebote – verarbeiten wir personenbezogene Daten auf Grundlage einer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung erfolgt freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
Die Daten werden direkt bei den betroffenen Personen erhoben oder durch befugte Dritte (z. B. Vertretungsperson) übermittelt.
Zur Unterstützung dieser Prozesse nutzen wir die folgenden Softwarewerkzeuge und -dienste:
Microsoft 365 – Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA (https://www.microsoft.com/de-de/privacy)
Notion – Notion Labs, Inc., 2300 Harrison Street, San Francisco, CA 94110, USA (https://notion.notion.site/Privacy-Policy-3468d120cf614d4c9014c09f6adc9091)
Acrobat Sign – Adobe Inc., 345 Park Avenue, San Jose, CA 95110-2704, USA (https://www.adobe.com/de/privacy/policy.html)
Die eingesetzten Dienstleister verarbeiten personenbezogene Daten in unserem Auftrag und gelten gemäß Art. 28 DSGVO als Auftragsverarbeiter. Die Datenverarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO mit dem jeweiligen Anbieter.
Eine Verarbeitung kann auch in Drittländern (z. B. den USA) erfolgen. Die eingesetzten Anbieter sind nach dem EU‑U.S. Data Privacy Framework (DPF) zertifiziert. Daher besteht gemäß Art. 45 DSGVO ein angemessenes Datenschutzniveau.
Personenbezogene Daten werden nur so
lange gespeichert, wie dies für die oben genannten Zwecke erforderlich
ist oder gesetzliche Aufbewahrungspflichten bestehen, und anschließend
innerhalb von 30 Tagen gelöscht bzw. anonymisiert.
Bereitstellung der dgtal® Platform
Zur Planung, Organisation und Umsetzung von Aktivitäten sowie zur Förderung einer aktiven Lernumgebung im dgtal® Lab bieten wir eine zentrale Plattform, über die Nutzer eingebunden werden, erweiterte Inhalte und Zugänge freischalten und aktiv Verantwortung übernehmen.
Die dgtal® App wird über Plattformen wie den Apple App Store und den Google Play Store bereitgestellt. Beim Download und der Installation können durch den jeweiligen Plattformbetreiber personenbezogene Daten verarbeitet werden. Auf diese Datenverarbeitung haben wir keinen Einfluss. Es gelten die Datenschutzbestimmungen des jeweiligen Anbieters.
Zusätzlich werden im Rahmen der technischen Bereitstellung der dgtal® Platform personenbezogene Daten durch beauftragte Dienstleister in unserem Auftrag verarbeitet. Dies betrifft insbesondere:
Amazon Web Services EMEA SARL (Luxemburg) sowie
Amazon Web Services Inc. (USA)
als Infrastruktur- und Hostinganbieter. Dabei können insbesondere folgende personenbezogene Daten verarbeitet werden:
Technische Verbindungsdaten wie IP-Adresse, Geräteinformationen (User-Agent), Zugriffszeiten
E-Mail-Adresse,
Anzeigename (Alias),
Pseudonyme Benutzerkennung (Institutions-E-Mail-Adresse),
Kontakt- und Kommunikationsdaten,
Vertragsdaten,
Fortschrittsdaten (z.B. aktive Quests, Daten zu Questannahmen und -abschlüssen, Lernanalysedaten wie absolvierter Workload nach Inhaltskategorie, freigeschaltete Titel und Nutzerberechtigungen),
nutzergenerierte Inhalte (z.B. Projektdaten, Bewertungen und Feedback).
Alle Daten werden verschlüsselt gespeichert („Encryption at Rest“). Diese Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren, stabilen und skalierbaren Plattformbereitstellung). Die Datenverarbeitung erfolgt ausschließlich auf unsere Weisung hin und im Rahmen eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.
Die Hosting-Dienste werden von Amazon Web Services EMEA SARL erbracht, wobei personenbezogene Daten auf Servern innerhalb der Europäischen Union verarbeitet werden. Es kann nicht vollständig ausgeschlossen werden, dass in Einzelfällen – etwa im Rahmen von Support- oder Wartungsleistungen – ein Zugriff durch Amazon Web Services Inc. mit Sitz in den USA erfolgt. Amazon Web Services Inc. ist nach dem EU‑U.S. Data Privacy Framework (DPF) zertifiziert. Daher besteht gemäß Art. 45 DSGVO ein angemessenes Datenschutzniveau.
Die Speicherung personenbezogener Daten erfolgt nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist und längstens 180 Tage nach Beendigung einer Testphase, um eine vollständige technische Auswertung, Fehleranalyse und Qualitätssicherung vorzunehmen. Diese Auswertungen sind notwendig, um sicherzustellen, dass Plattformfunktionen fehlerfrei und stabil funktionieren und um eventuelle Probleme, die während des Tests aufgetreten sind, zu beheben. Nach Ablauf dieses Zeitraums werden die Daten automatisiert gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen oder die Daten zur Aufklärung technischer oder sicherheitsrelevanter Vorfälle erforderlich sind.
Integrierte KI-basierte Drittanbieterdienste
Auf der dgtal® Platform können bestimmte KI-basierte Drittanbieterdienste genutzt werden, die Funktionen der Plattform unterstützen oder erweitern. Die Nutzung dieser Dienste sowie die dafür erforderliche Datenverarbeitung erfolgt auf Grundlage der Einwilligung des Nutzers bzw. der Einwilligung der Vertretungsperson des minderjährigen Nutzers gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung erfolgt über die App-Einstellungen bzw. bei Minderjährigkeit der Vertretungsperson stellvertretend über das Elternportal unter parent.dgtal.de erteilt. Diese Einwilligung können Sie jederzeit widerrufen, z. B. in den App-Einstellungen, im Elternportal oder durch direkte Kontaktaufnahme mit uns.
Aktuell sind insbesondere die folgenden Drittanbieterdienste verfügbar:
Blockbrain ist ein KI-basierter Dienst der Blockbrain GmbH (Stuttgart, Deutschland). Über den Dienst werden sog. Knowledge-Bots als Werkzeuge bereitgestellt, die Nutzern auf Anfrage insbesondere in Projekten kontextsensitive Informationen bereitstellen.
Dabei nutzt Blockbrain u.a. die folgenden Dienste von Subdienstleistern:
Microsoft Azure AI zur Bereitstellung von Sprachmodellen (Rechenzentren in Frankfurt/Main und Paris),
Google Vertex AI zur Bereitstellung von Sprachmodellen (Rechenzentren in Hanau und Saint-Ghislain),
Amazon Web Services (AWS) zur Bereitstellung der Infrastruktur für Speicherung und Verarbeitung (Standorte: Frankfurt und Rüsselsheim),
MongoDB Atlas für die Datenbankdienste auf AWS-Infrastruktur in Deutschland.
Daten in Blockbrain werden verschlüsselt gespeichert („Encryption at Rest“).
Flux AI ist ein KI-basierter Dienst zur Erstellung von Bildinhalten aus Texteingaben betrieben von der Black Forest Labs Inc. (2261 Market Street STE 22997, San Francisco, CA 94114). Die Nutzung von Flux AI über die dgtal® Platform ist auf die täglich kostenlos zur Verfügung gestellten Credits beschränkt.
Die Nutzung dieser Dienste im Rahmen der dgtal® Platform erfordert keine gesonderte Registrierung. Für die Bereitstellung werden keine Nutzerkonten erstellt. Folgende Datenkategorien werden für die Bereitstellung und Nutzung verarbeitet:
Technische Verbindungsdaten wie IP-Adresse, Geräteinformationen (User-Agent), Zugriffszeitpunkt
Eingabedaten: Texte (z. B. Prompts), hochgeladene Dateien oder andere freiwillig übermittelte Inhalte
Eine Übermittlung weiterer ggf. personenbezogener Daten erfolgt nur, wenn der Nutzer diese in Eingabedaten übermittelt. Bei Nichtnutzung werden ausschließlich die zur Bereitstellung erforderlichen technischen Verbindungsdaten verarbeitet.
Es ist möglich, dass die Datenverarbeitung auch außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EWR) stattfindet, insbesondere durch Subdienstleister mit Standorten in sogenannten Drittländern. In solchen Fällen erfolgt die Verarbeitung nur unter Einhaltung der gesetzlichen Vorgaben, z. B. auf Basis von Standardvertragsklauseln gemäß Art. 46 DSGVO.
Sollte der Dienst ausschließlich im dgtal® Lab über von uns bereitgestellte Geräte genutzt werden und keine personenbezogenen Eingabedaten übermittelt werden, findet keine Übermittlung personenbezogener Daten an Drittanbieter statt. Zur Sicherstellung eines angemessenen Datenschutzniveaus wurden mit allen genannten Dienstanbietern Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen.
Push-Benachrichtigungen
Die dgtal® Plattform nutzt Push-Benachrichtigungsdienste, um dir relevante Updates und Mitteilungen zukommen zu lassen. Hierzu zählen insbesondere Mitteilungen zum Nutzungsablauf und zum Nutzererlebnis, wie z. B. Fortschrittsanzeigen, neue Quests oder Interaktionen mit anderen Nutzern. Diese Benachrichtigungen sind Bestandteil des vereinbarten Leistungsumfangs und erfolgen auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.
Darüber hinaus können Push-Benachrichtigungen auch für optionale Hinweise oder allgemeine Informationen genutzt werden. In diesen Fällen erfolgt der Versand ausschließlich auf Grundlage deiner Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.
Für die technische Zustellung der Push-Benachrichtigungen nutzt die dgtal® Plattform Dienste der Anbieter Google LLC (Firebase Cloud Messaging) und Apple Inc. (Apple Push Notification Service). Diese fungieren als technische Dienstleister für die Übermittlung der Benachrichtigungen an dein Endgerät. Die Verarbeitung erfolgt gemäß den Datenschutzbestimmungen der jeweiligen Anbieter.
Im Rahmen der Zustellung werden insbesondere folgende Daten verarbeitet:
eine gerätespezifische Kennung (Device-Token),
Informationen zum verwendeten Endgerät und Betriebssystem,
technische Zustellinformationen (z. B. Zeitpunkte der Übermittlung),
sowie ggf. Inhalte der Benachrichtigung in pseudonymisierter Form.
Push-Benachrichtigungen werden nur aktiviert, wenn du dem Erhalt auf deinem Endgerät ausdrücklich zugestimmt hast (z. B. über den nativen Berechtigungsdialog deines Betriebssystems). Du kannst diese Einwilligung jederzeit in den Einstellungen deiner App oder deines Geräts widerrufen.
Newsletter
Zur Verwaltung von Newsletteranmeldungen, dem Versand von Newslettern sowie der Analyse von Nutzerinteraktionen nutzen wir den Dienst ActiveCampaign, angeboten von ActiveCampaign, LLC, 1 North Dearborn Street, 5th Floor, Chicago, IL 60602, USA. ActiveCampaign ermöglicht es uns, E-Mail-Kommunikation effizient zu gestalten und das Nutzerverhalten auszuwerten, um unsere Angebote zu optimieren.
Im Rahmen der Anmeldung zum Newsletter und der Nutzung unserer E-Mail-Kommunikation werden personenbezogene Daten verarbeitet. Dazu gehören insbesondere:
Technische Verbindungsdaten wie IP-Adresse, Geräteinformationen (User-Agent), Zugriffszeiten
E-Mail-Adresse
Abonnementeinstellungen (z.B. Kategorie der abonnierten Inhalte)
Nutzungsverhalten (z.B. Öffnungsereignisse und Klickverhalten in E-Mails)
Einverständnis zur Datenverarbeitung
Die Verarbeitung dieser Daten erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die Sie bei der Anmeldung erteilen. Diese Einwilligung können Sie jederzeit widerrufen, z. B. durch den Abmeldelink in unseren E-Mails oder durch direkte Kontaktaufnahme mit uns.
Der Dienstleister verarbeitet personenbezogene Daten in unserem Auftrag und gilt gemäß Art. 28 DSGVO als Auftragsverarbeiter. Die Datenverarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.
Eine Verarbeitung kann auch in Drittländern (USA) erfolgen. ActiveCampaign ist im Rahmen des EU-U.S. Data Privacy Framework zertifiziert. Daher besteht gemäß Art. 45 DSGVO ein angemessenes Datenschutzniveau.
Bereitstellung von Equipment
Zur Verwaltung von Equipment, das innerhalb und außerhalb des dgtal® Lab genutzt werden kann, setzen wir die Softwarelösung Cheqroom ein. Für die Nutzung wird automatisiert ein Account mithilfe der pseudonymen Benutzerkennung (z. B. 318509@u.dgtal.de) erstellt, die im Rahmen der Anmeldung generiert wurde.
Dabei werden folgende Daten verarbeitet:
Pseudonyme Benutzerkennung (Institutions-E-Mail-Adresse)
Equipment- und Buchungshistorie (z. B. betroffene Gegenstände, Reservierungs-, Buchungs- sowie Aus- und Rückgabezeitpunkte, Gerätezustände im Zusammenhang mit der jeweiligen Nutzung)
Rollen und Berechtigungen innerhalb der Plattform
Die Datenverarbeitung erfolgt zum Zweck der ordnungsgemäßen Bereitstellung, Verwaltung und Nachverfolgung von Equipment sowie zur Sicherstellung einer klaren Verantwortlichkeit während der Nutzung. Die Buchung erfolgt stets personenbezogen auf den jeweiligen Nutzeraccount, um Ausleihen nachvollziehbar zu dokumentieren. Die Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in der sicheren, transparenten und administrativ erforderlichen Organisation der Geräteausgabe und -rückgabe.
Die Daten werden so lange gespeichert, wie ein aktives Nutzungsverhältnis besteht bzw. solange sie zur Dokumentation von Ausleihen erforderlich sind. Nach Beendigung des Nutzungsverhältnisses und Ablauf etwaiger gesetzlicher Aufbewahrungsfristen werden die Daten gelöscht oder anonymisiert.
Betreiber der Plattform ist Cheqroom NV, Wiedauwkaai 23x, 9000 Ghent, Belgien. Die Verarbeitung erfolgt durch Cheqroom als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Eine Datenübermittlung in die USA findet an Amazon Web Services Inc. (AWS) als Unterauftragsverarbeiter statt, welche die Service-Infrastruktur bereitstellen. AWS ist im Rahmen des EU-U.S. Data Privacy Framework zertifiziert. Daher besteht gemäß Art. 45 DSGVO ein angemessenes Datenschutzniveau.
Bereitstellung von Computersystemen, Software und Zugängen
Die Bereitstellung und Verwaltung von Client-Geräten, Software und Anwendungen erfolgt über Microsoft Intune (Microsoft Corporation). Dieser Dienst gewährleistet eine einheitliche und sichere Nutzung der Geräte und Software, einschließlich der Umsetzung von Sicherheits- und Datenschutzrichtlinien (z. B. durch Zurücksetzen von Geräten oder Löschen von Nutzerdaten).
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b (Vertragserfüllung) und lit. f (berechtigtes Interesse) DSGVO.
Verarbeitete Daten umfassen insbesondere:
IP-Adresse des Clients (bei der Verbindung mit dem Dienst)
Geräteinformationen (z. B. Gerätetyp, MAC-Adresse, Betriebssystem, Sicherheitsstatus)
Nutzeraktivitäten wie Login-Ereignisse
Der Dienstleister verarbeitet personenbezogene Daten in unserem Auftrag und gilt gemäß Art. 28 DSGVO als Auftragsverarbeiter. Die Datenverarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.
Die Daten werden so lange vorgehalten, wie es für die Verwaltung und Bereitstellung der Geräte erforderlich ist. Eine Übermittlung Ihrer Daten in die USA kann stattfinden. Microsoft Corporation ist im Rahmen des EU-U.S. Data Privacy Framework zertifiziert und verpflichtet sich zur Einhaltung der Datenschutzstandards der Europäischen Union.
Zugänge zu Software und Diensten von Drittanbietern
Je nach Lizenzmodell der einzelnen Anbieter kann die Bereitstellung von Software und Diensten die Erstellung von individuelle Nutzerkonten erfordern.
Um keine Klarnamen an Diensteanbieter zu übermitteln, nutzen wir für die Bereitstellung der Zugänge eine pseudonyme Benutzerkennung in der Form ######@u.dgtal.de.
Im Rahmen dieses Prozesses wird ein Exchange-Online-Postfach eingerichtet, das an die pseudonymisierte Benutzerkennung gebunden ist. Dadurch erfolgt der E-Mail-Verkehr (intern und extern) über diese Adresse, ohne dass zwangsläufig der Klarname oder andere personenbezogene Daten an den Dienstanbieter weitergegeben werden.
Die folgenden Softwaredienste werden den Nutzern zur Verfügung gestellt:
Microsoft 365 (inkl. Word, Excel, PowerPoint, Outlook, Teams, SharePoint, OneDrive)
Im Rahmen der Nutzung des Exchange-Online-Postfachs sowie der weiteren Microsoft-365-Dienste werden personenbezogene Daten verarbeitet, insbesondere E-Mail-Adressen, Kommunikationsinhalte sowie Nutzungs- und Metadaten (z. B. Zugriffsdaten und Zeitstempel).Apple Productivity Apps Pages, Keynote und Numbers
Diese Apps werden über speziell eingerichtete Apple-Accounts für Organisationen zur Verfügung gestellt.
Des Weiteren werden derzeit u.a. die folgenden Softwareprodukte gerätegebunden bereitgestellt, ohne dass Nutzerkonten erstellt werden:
Affinity Apps (Affinity Photo, Affinity Designer, Affinity Publisher)
Unity
Blender
LumaFusion
Procreate for iPad
Visual Studio Code
NDI Tools
Die Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung von Softwarediensten erfolgt auf Grundlage von:
Art. 6 Abs. 1 lit. b DSGVO – zur Erfüllung vertraglicher Pflichten oder zur Durchführung vorvertraglicher Maßnahmen, z. B. zur Nutzung digitaler Lern- und Arbeitsmittel.
Art. 6 Abs. 1 lit. f DSGVO – auf Grundlage unseres berechtigten Interesses an einer funktionalen und sicheren digitalen Infrastruktur. Dabei achten wir auf datensparsame und datenschutzfreundliche Umsetzung (z. B. durch Pseudonymisierung).
ggf. Art. 6 Abs. 1 lit. a DSGVO – wenn eine ausdrückliche Einwilligung erforderlich ist (z. B. bei optionalen Zusatzdiensten).
Der Schutz der im Rahmen der Nutzung verarbeiteten personenbezogenen Daten wird durch den Abschluss von Auftragsverarbeitungsverträgen mit den jeweiligen Anbietern gemäß Art. 28 DSGVO sichergestellt.
Nutzung anderer Software und Dienste von Drittanbietern
Die Nutzung weiterer, ggf. vorinstallierter Software oder online verfügbarer Dienste auf bereitgestellten Geräten, für die kein zentraler Zugang durch uns bereitgestellt wird, erfolgt eigenverantwortlich durch den Nutzer. Dies betrifft insbesondere auch Dienste, die über einen Webbrowser aufgerufen werden, z. B. durch die Nutzung persönlicher Konten bei Cloud-Diensten, Kommunikationsplattformen oder Webanwendungen.
In solchen Fällen erfolgt die Erstellung, Nutzung und Verwaltung von Benutzerkonten eigenständig. Die dabei anfallende Verarbeitung personenbezogener Daten – einschließlich der möglichen Übermittlung an Drittstaaten – liegt in der datenschutzrechtlichen Verantwortung des jeweiligen Diensteanbieters. Eine datenschutzrechtliche Verantwortung durch uns besteht in diesen Fällen nicht.
Zu den vorinstallierte Softwareclients, für deren verbundene Dienste wir keine Zugänge bereitstellen, gehören beispielsweise:
Webbrowser (z.B. Microsoft Edge, Google Chrome)
Chat-Clients (z.B. WhatsApp, Signal, Discord)
Zutrittsmanagement der Räumlichkeiten des dgtal® Lab
Für die Verwaltung des Zugangs zum dgtal® Lab verwenden wir das cloudbasierte Zugangskontrollsystem Salto KS. Die folgenden personenbezogene Daten werden im Rahmen des Zutrittsmanagements verarbeitet:
Pseudonyme Benutzerkennung (Institutions-E-Mail-Adresse)
nutzerbezogene Zutrittsereignisse (Datum, Uhrzeit, Identmedium und Schlossbezeichnung des Zutritts)
Bei Verwendung der Salto KS-App, werden zudem folgende Daten verarbeitet:
IP-Adresse des Clients
Geräteinformationen des Clients
Nutzungsdaten wie App-Zugriffe in der Salto KS-App
ggf. Standortdaten nach Einwilligung des Nutzers innerhalb der Salto KS-App
Betreiber ist SALTO Systems S.L., c/Arkotz 9, Polígono Lanbarren, 20180 Oiartzun, Spanien
Die Verarbeitung dient der Sicherheit der Räumlichkeiten und der Zutrittsbeschränkung. Zutrittsereignisse werden für 30 Tage gespeichert und anschließend automatisch gelöscht, sofern die Daten nicht zur Aufklärung eines Sicherheitsvorfalls genutzt werden und keine gesetzlichen Aufbewahrungspflichten bestehen.
Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO das berechtigte Interesse an der Zugangskontrolle zum Schutz von Personen und Infrastruktur. Mit dem Anbieter wurde ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen.
Schließfachnutzung im dgtal® Lab
Nutzer des dgtal® Lab haben während ihres Aufenthalts die Möglichkeit, nach Verfügbarkeit ein Schließfach zur sicheren Verwahrung persönlicher Gegenstände zu nutzen. Die Verwaltung der Schließfächer erfolgt über das cloudbasierte Smartlocker-System „Keynius“, das vom Auftragsverarbeiter Capsa Digital Limited, Upper House, Clifton upon Teme, Worcestershire WR6 6EE, UNITED KINGDOM bereitgestellt wird.
Für die Nutzung des Systems werden folgende Daten verarbeitet:
Pseudonyme Benutzerkennung (Institutions-E-Mail-Adresse)
Zugriffszeitpunkte (z.B. Öffnungs- und Schließereignisse)
Schließfachzuweisungen (Verknüpfung der Benutzerkennung bei Belegung)
Diese Daten dienen ausschließlich der technischen Bereitstellung und Absicherung der Schließfachfunktionalität.
Die Verarbeitung kann auch in Drittländern (Vereinigtes Königreich) erfolgen. Für die Übermittlung personenbezogener Daten in das Vereinigte Königreich liegt ein Angemessenheitsbeschluss vor, sodass gemäß Art. 45 DSGVO ein angemessenes Datenschutzniveau gewährleistet ist.
Zur datenschutzkonformen Verarbeitung wurde mit Capsa Digital Limited ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen. Die Speicherung der Daten erfolgt ausschließlich für den erforderlichen Zeitraum. Zutritts- und Zugriffsereignisse werden für 30 Tage gespeichert und anschließend automatisch gelöscht, sofern sie nicht zur Aufklärung eines Sicherheitsvorfalls benötigt werden und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Nutzung des Internetzugangs über das Netzwerk für mitgebrachte Geräte im dgtal® Lab
Für die Bereitstellung des Internetzugangs für mitgebrachte Geräte nutzen wir ein Captive Portal. Dabei werden folgende personenbezogene Daten verarbeitet:
MAC-Adresse des verwendeten Geräts
IP-Adresse, die dem Gerät im Netzwerk zugewiesen wurde
Zeitpunkt der Anmeldung und Dauer der Nutzung
übertragene Datenmenge
Geräteinformationen (z. B. Betriebssystem, Gerätetyp)
Protokolldaten zu aufgerufenen IP-Adressen und Ports (Verbindungs-Logs, keine Inhalte)
Diese Daten werden verarbeitet, um den Zugang zum Internet bereitzustellen, die Sicherheit des Netzwerks zu gewährleisten und mögliche Missbrauchsfälle nachvollziehen zu können.
Ein Auftragsverarbeitungsvertrag mit dem Anbieter des Captive Portals regelt die Verarbeitung dieser Daten und stellt sicher, dass alle datenschutzrechtlichen Anforderungen erfüllt werden.
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Netzwerksicherheit und Missbrauchsprävention).
Die Daten werden für 30 Tage gespeichert und anschließend automatisch gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Sollte jedoch ein Sicherheitsvorfall festgestellt werden, können die Daten für die Dauer der Aufklärung des Vorfalls gespeichert werden.
Teilnahme an Aktivitäten und Usertests
Im Rahmen der freiwilligen Teilnahme an Aktivitäten des dgtal® Labs – darunter Einzel- und Teamprojekte, Workshops und Events – verarbeiten wir personenbezogene Daten zur Organisation, Durchführung, Dokumentation und Qualitätssicherung. Die technische Abwicklung erfolgt in der Regel über die dgtal® Platform, deren Betreiber wir sind.
Wir verarbeiten diese Daten auf den folgenden Rechtsgrundlagen:
Art. 6 Abs. 1 lit. a DSGVO – Einwilligung der betroffenen Person
Art. 6 Abs. 1 lit. b DSGVO – Erforderlichkeit zur Durchführung vorvertraglicher Maßnahmen oder zur Erfüllung eines Vertrages
Art. 6 Abs. 1 lit. f DSGVO – Wahrung berechtigter Interessen, insbesondere zur Qualitätssicherung, Projektbetreuung und internen Auswertung
Je nach Aktivitätsformat können folgende Daten verarbeitet werden:
Name, Vorname und E-Mail-Adresse der anmeldenden Person
IP-Adresse, Datum und Uhrzeit der Registrierung
Bild-, Video- und Tonaufnahmen der teilnehmenden Personen
Beiträge, Projektergebnisse oder Interaktionen mit Personenbezug
Interessen- und Themenschwerpunkte (z. B. bei Workshops und Projekten)
anonyme oder pseudonyme Analysedaten (z. B. Projektbeginn, Projektabbrüche, Nutzungsdauer, Abgaben, Umfragen)
Zugriffs- und Nutzungsdaten bei Einsatz von Drittsoftware oder Online-Plattformen
ggf. Name und Adresse der Schule sowie Klassenbezeichnung, sofern die Teilnahme im schulischen Rahmen oder über Gruppenanmeldungen erfolgt
Bild-, Ton- und Videoaufnahmen erfolgen ausschließlich im Rahmen klar angekündigter Aktivitäten (z. B. Projektarbeit) und nur von aktiv teilnehmenden Personen. Eine Weitergabe oder Veröffentlichung personenbezogener Inhalte erfolgt ausschließlich mit vorheriger ausdrücklicher Zustimmung der betroffenen Personen oder ihrer Vertretungsperson.
Im Rahmen von Projektarbeiten können personenbezogene Daten projektbezogen mit verantwortlichen Personen geteilt werden – z. B. mit Reviewern zur Bewertung, Supervisoren zur Projektbegleitung oder Tutoren zur Unterstützung der Teilnehmenden. Der Zugriff erfolgt ausschließlich im für die Durchführung erforderlichen Umfang.
Sofern Projektergebnisse personenbezogene Inhalte enthalten (z. B. Bild-, Ton- oder Videoaufnahmen, Namensnennungen), können Teilnehmende gesondert ihr Einverständnis geben, dass diese Inhalte nicht-öffentlich oder öffentlich wiedergegeben bzw. veröffentlicht werden, z.B. auf Social Media. Eine Weitergabe oder Veröffentlichung erfolgt ausschließlich nach dokumentierter Zustimmung.
Bei der Nutzung von Drittsoftware oder externen Diensten (z. B. für Kollaboration, Medienerstellung) kann eine Datenverarbeitung außerhalb der EU (insbesondere in Drittländern wie den USA) erfolgen. In diesen Fällen setzen wir geeignete datenschutzrechtliche Schutzmaßnahmen um – z. B. durch den Einsatz von Standardvertragsklauseln (SCC) – und informieren die Teilnehmenden bzw. die Vertretungsperson vorab über die Datenschutzbedingungen der jeweiligen Anbieter.
Die Teilnahme an allen Aktivitäten ist freiwillig. Eine Nichtteilnahme hat keine negativen Konsequenzen. Allerdings kann die Mitwirkung an bestimmten Formaten technisch oder organisatorisch nicht möglich sein, wenn einzelne datenschutzrechtliche Einwilligungen nicht erteilt werden.
Speicherdauer und Löschung von Daten
Projektdaten werden auf dem persönlichen Share im dgtal® Lab gespeichert, solange der Zugang zur dgtal® Plattform besteht. Diese Daten werden nicht redundant gespeichert. Optional ist die Nutzung von Sharepoint und OneDrive (siehe „Zugänge zu Software und Diensten von Drittanbietern“) abgelegt werden.
Nach Löschung des Accounts werden alle gespeicherten Daten innerhalb von 30 Tagen gelöscht oder anonymisiert. Diese Regelung gilt sowohl für persönliche Daten als auch für projektrelevante Inhalte, die auf der dgtal® Plattform vorgehalten wurden.
Veröffentlichte Projektergebnisse bleiben unabhängig davon gespeichert, solange die Veröffentlichung besteht. Teilnehmende können der weiteren Nutzung jederzeit widersprechen. Eine nachträgliche Löschung erfolgt im Rahmen der technischen und rechtlichen Möglichkeiten.
Usability-Tests und Evaluationen
Im Rahmen der Weiterentwicklung und Qualitätssicherung von Angeboten und Produkten der Mossakowski Stiftung – insbesondere der dgtal® Platform, einzelner Quests oder Formate im dgtal® Lab – führen wir gelegentlich Usability-Tests und Evaluationen durch. Die Teilnahme erfolgt ausschließlich auf Grundlage einer separaten, freiwilligen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Verarbeitete Daten können je nach Testformat u. a. sein:
Bild-, Ton- und Bildschirmaufnahmen bei Nutzung bereitgestellter Endgeräte
Aufzeichnungen aus Interviews oder Beobachtungssituationen
anonyme Umfragedaten (z. B. Zufriedenheit, Feedback)
pseudonymisierte Nutzungs- oder Interaktionsdaten (z. B. Bearbeitungsdauer, Abbrüche, Abgaben)
Zugriffsdaten bei Nutzung von Lernplattformen (insbesondere der dgtal® Platform) oder Drittsoftware (in kontrollierter Umgebung mit zugewiesenen Geräten)
Die erhobenen Daten dienen ausschließlich internen Zwecken, z. B. zur Verbesserung der Benutzerführung, pädagogischen Wirksamkeit oder technischen Stabilität der Angebote. Eine Veröffentlichung oder Weitergabe an Dritte erfolgt nur nach Anonymisierung in aggregierter Form.
Speicherdauer:
Aufzeichnungen (z. B. Bild-/Tonmaterial) werden innerhalb von 60 Tagen
gelöscht oder nach erfolgter Transkription anonymisiert. Auswertungen
erfolgen ausschließlich durch berechtigte Personen der Mossakowski
Stiftung im Rahmen der erklärten Zwecke.
Die Teilnahme ist freiwillig und kann jederzeit widerrufen werden. Bis zum Zeitpunkt des Widerrufs bleibt die Verarbeitung rechtmäßig (Art. 7 Abs. 3 DSGVO).
Audio- und Videokonferenzen
Für die Durchführung von Audio- und Videokonferenzen nutzen wir Online-Konferenz-Tools. Wenn du an einer solchen Konferenz teilnimmst, werden personenbezogene Daten wie deine E-Mail-Adresse und/oder Telefonnummer von uns und dem Anbieter des jeweiligen Konferenz-Tools erfasst und verarbeitet. Ferner verarbeiten die Konferenz-Tools sogenannte Metadaten, also Kontextinformationen wie die Dauer, Beginn und Ende der Teilnahme an der Konferenz und Anzahl der Teilnehmer. Weitere technische Daten, die zur Durchführung der Online-Kommunikation erforderlich sind, wie IP-Adressen, MAC-Adressen, Geräte-IDs, Gerätetyp, Betriebssystemversion und Verbindungstyp, werden ebenfalls erfasst.
Alle Inhalte, die innerhalb der Konferenz-Tools ausgetauscht oder bereitgestellt werden (wie Dateien, Cloud-Aufzeichnungen, Chatnachrichten, Voicemails, Fotos und Videos), werden auf den Servern des jeweiligen Anbieters gespeichert. Bitte beachte, dass wir nicht vollumfänglich Einfluss auf die Datenverarbeitungsvorgänge der verwendeten Tools haben. Unsere Möglichkeiten richten sich maßgeblich nach der Unternehmenspolitik des jeweiligen Anbieters. Weitere Hinweise zur Datenverarbeitung durch die Konferenztools entnehme bitte den Datenschutzerklärungen der jeweils eingesetzten Tools, die wir unter diesem Text aufgeführt haben.
Löschung und Speicherdauer
Wenn du die Löschung deiner Daten verlangst oder der Zweck der Datenspeicherung entfällt, werden die von uns über die Konferenz-Tools erfassten Daten gelöscht. Gespeicherte Cookies verbleiben auf deinem Endgerät, bis du sie löschst. Zwingende gesetzliche Aufbewahrungsfristen bleiben unberührt. Bitte beachte, dass wir keine Kontrolle über die Speicherdauer von Daten haben, die von den Betreibern der Konferenz-Tools für eigene Zwecke gespeichert werden. Informiere dich hierzu bitte direkt bei den Betreibern der Konferenz-Tools, sofern du hierzu Einzelheiten erfahren willst.
Die von uns eingesetzten Tools sind:
Microsoft Teams
Weitere Informationen zur Datenverarbeitung durch Microsoft Teams findest du in der Datenschutzerklärung von Microsoft.
Behörden, Gerichte, externe Berater und ähnliche Dritte, die öffentliche Stellen sind.
Eine Übermittlung von personenbezogenen Daten an Behörden, Gerichte, externe Berater oder ähnliche öffentliche Stellen erfolgt nur, soweit dies nach geltendem Recht erforderlich oder zulässig ist.
Beispielsweise kann eine Weitergabe an das zuständige Jugendamt erfolgen, wenn Anhaltspunkte für eine Kindeswohlgefährdung vorliegen (§ 8a SGB VIII). Als anerkannter Träger der freien Jugendhilfe ist Mossakowski Stiftung gesetzlich verpflichtet, zum Schutz des Kindeswohls mitzuwirken und erforderliche Informationen weiterzugeben. Die Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. c und e DSGVO.
Profiling
Es erfolgt keine automatisierte Entscheidungsfindung, einschließlich Profiling, im Rahmen unserer Datenverarbeitung.
Wie lange werden personenbezogene Daten gespeichert und wann werden diese gelöscht?
Personenbezogene Daten werden von uns so lange aufbewahrt, wie es nötig ist, um die jeweiligen Zwecke zu erfüllen. Wenn wir personenbezogene Daten nicht mehr zur Einhaltung vertraglicher oder gesetzlicher Verpflichtungen benötigen, werden sie von unseren Systemen innerhalb von 30 Tagen gelöscht oder pseudonymisiert, sodass keine Identifizierung der natürlichen Person mehr möglich ist.
Wenn Du ein berechtigtes Löschersuchen geltend machst oder eine Einwilligung zur Datenverarbeitung widerrufst, werden deine Daten innerhalb von 30 Tagen gelöscht, sofern wir keine anderen rechtlich zulässigen Gründe für die Speicherung Deiner personenbezogenen Daten haben (z. B. steuer- oder handelsrechtliche Aufbewahrungsfristen).
Welche Rechte hast du bezüglich deiner personenbezogenen Daten?
Gemäß dem geltenden Datenschutzrecht hast du zusätzlich zu dem Recht auf Beschwerde bei einer Aufsichtsbehörde die folgenden Rechte. Um solche Rechte auszuüben, kontaktiere uns bitte über oben angegebene Kontaktdaten.
Auskunftsrecht
Du hast das Recht, von uns eine Bestätigung darüber zu verlangen, ob deine personenbezogenen Daten verarbeitet werden. Ist dies der Fall, so besteht ein Recht auf Auskunft über diese personenbezogenen Daten. Das Auskunftsrecht erfasst insbesondere Auskunft zu den Verarbeitungszwecken, den Kategorien personenbezogener Daten, die verarbeitet werden, und zu den Empfängern oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Bitte beachte, dass es sich bei dem Auskunftsrecht nicht um ein absolutes Recht handelt und berechtigte Interessen anderer Personen zu einer Einschränkung des Auskunftsrechts führen können.
Recht auf Berichtigung
Ggf. das Recht, die Berichtigung nachweislich falscher personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung besteht zudem das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen – auch mittels einer ergänzenden Erklärung.
Recht auf Löschung („Recht auf Vergessenwerden“)
Bei Vorliegen der entsprechenden Voraussetzungen kann verlangt werden, dass personenbezogene Daten gelöscht werden.
Recht auf Einschränkung der Verarbeitung
Du hast das Recht, die Einschränkung der Verarbeitung deiner personenbezogenen Daten zu verlangen. Hierzu kannst du dich jederzeit an uns wenden. Das Recht auf Einschränkung der Verarbeitung besteht in folgenden Fällen:
Wenn du die Richtigkeit deiner bei uns gespeicherten personenbezogenen Daten bestreitest, benötigen wir in der Regel Zeit, um dies zu überprüfen. Für die Dauer der Prüfung hast du das Recht, die Einschränkung der Verarbeitung deiner personenbezogenen Daten zu verlangen.
Wenn die Verarbeitung deiner personenbezogenen Daten unrechtmäßig geschah/geschieht, kannst du statt der Löschung die Einschränkung der Datenverarbeitung verlangen.
Wenn wir deine personenbezogenen Daten nicht mehr benötigen, du sie jedoch zur Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen benötigst, hast du das Recht, statt der Löschung die Einschränkung der Verarbeitung deiner personenbezogenen Daten zu verlangen.
Wenn du einen Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt hast, muss eine Abwägung zwischen deinen und unseren Interessen vorgenommen werden. Solange noch nicht feststeht, wessen Interessen überwiegen, hast du das Recht, die Einschränkung der Verarbeitung deiner personenbezogenen Daten zu verlangen.
Wenn du die Verarbeitung deiner personenbezogenen Daten eingeschränkt hast, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit deiner Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Europäischen Union oder eines Mitgliedstaats verarbeitet werden.
Recht auf Datenübertragbarkeit
Bei Vorliegen der entsprechenden Voraussetzungen besteht ein Recht auf Datenübertragbarkeit hinsichtlich der uns bereitgestellten Daten, d.h. das Recht, diese in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und ggf. diese Daten einem anderen Verantwortlichen ohne Behinderung durch denjenigen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln.
Dieses Recht bezieht sich ausschließlich auf Daten, die du uns aktiv übermittelt hast. Dazu zählen:
Registrierungsdaten (z. B. Vor- und Nachname, Adresse, E-Mail-Adresse)
Angaben im Nutzerprofil (z. B. Benutzername, Profilbild, Interessenangaben)
Persönliche Einstellungen (z. B. Sprache, Privatsphäre-Einstellungen)
Questabgaben (z. B. Projektdaten)
Gegebenes und erhaltenes Feedback zu Projekten
Daten, die im Rahmen der Nutzung automatisch erzeugt wurden – etwa Fortschrittsdaten wie Punktestände, Lernleistungen oder systeminterne Bewertungen – sind an die jeweilige Plattform und deren Funktionsweise gebunden. Um die Integrität, Fairness und Funktionssicherheit des Nutzungserlebnisses zu gewährleisten, ist eine Herausgabe und Übertragung dieser Daten auf andere Systeme grundsätzlich nicht möglich.
Ebenso ist ein Datentransfer zwischen Produktiv- und Testumgebungen ausgeschlossen. Testumgebungen dienen der Erprobung neuer oder sich noch in Entwicklung befindlicher Funktionen, die möglicherweise noch nicht vollständig stabil oder kompatibel mit der Produktivumgebung sind. Um unbeabsichtigte Auswirkungen auf das Nutzungserlebnis und die Systemfunktionalität zu vermeiden, werden diese Umgebungen unabhängig voneinander betrieben. Eine Synchronisation oder Übertragung von Nutzungsdaten ist daher technisch nicht vorgesehen.
Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen sowie gegen Direktwerbung (Art. 21 DSGVO)
WENN DIE DATENVERARBEITUNG AUF GRUNDLAGE VON ART. 6 ABS. 1 LIT. E ODER F DSGVO ERFOLGT, HAST DU JEDERZEIT DAS RECHT, AUS GRÜNDEN, DIE SICH AUS DEINER BESONDEREN SITUATION ERGEBEN, GEGEN DIE VERARBEITUNG DEINER PERSONENBEZOGENEN DATEN WIDERSPRUCH EINZULEGEN; DIES GILT AUCH FÜR EIN AUF DIESE BESTIMMUNGEN GESTÜTZTES PROFILING. WENN DU WIDERSPRUCH EINLEGST, WERDEN WIR DEINE BETROFFENEN PERSONENBEZOGENEN DATEN NICHT MEHR VERARBEITEN, ES SEI DENN, WIR KÖNNEN ZWINGENDE SCHUTZWÜRDIGE GRÜNDE FÜR DIE VERARBEITUNG NACHWEISEN, DIE DEINE INTERESSEN, RECHTE UND FREIHEITEN ÜBERWIEGEN ODER DIE VERARBEITUNG DIENT DER GELTENDMACHUNG, AUSÜBUNG ODER VERTEIDIGUNG VON RECHTSANSPRÜCHEN (WIDERSPRUCH NACH ART. 21 ABS. 1 DSGVO).
WERDEN DEINE PERSONENBEZOGENEN DATEN VERARBEITET, UM DIREKTWERBUNG ZU BETREIBEN, SO HAST DU DAS RECHT, JEDERZEIT WIDERSPRUCH GEGEN DIE VERARBEITUNG SIE BETREFFENDER PERSONENBEZOGENER DATEN ZUM ZWECKE DERARTIGER WERBUNG EINZULEGEN; DIES GILT AUCH FÜR DAS PROFILING, SOWEIT ES MIT SOLCHER DIREKTWERBUNG IN VERBINDUNG STEHT. WENN DU WIDERSPRICHST, WERDEN DEINE PERSONENBEZOGENEN DATEN ANSCHLIESSEND NICHT MEHR ZUM ZWECKE DER DIREKTWERBUNG VERWENDET (WIDERSPRUCH NACH ART. 21 ABS. 2 DSGVO).
Auftritt auf Social Media- und Kommunikationsplattformen
Wir betreiben Profile auf verschiedenen sozialen Netzwerken sowie Kommunikationsplattformen, um über unsere Angebote, Veranstaltungen und aktuelle Themen zu informieren und den direkten Austausch mit Interessierten zu ermöglichen. Beim Aufruf dieser Plattformen gelten die Geschäftsbedingungen und Datenschutzbestimmungen der jeweiligen Betreiber.
Sofern in dieser Datenschutzerklärung nichts anderes angegeben ist, verarbeiten wir personenbezogene Daten nur, wenn du direkt mit uns über die jeweiligen Plattformen interagierst – etwa durch das Senden von Nachrichten, das Kommentieren unserer Inhalte oder das Teilen von Beiträgen.
Verarbeitung personenbezogener Daten auf Social-Media-Plattformen (Instagram, TikTok, YouTube)
Bei der Interaktion über soziale Netzwerke können insbesondere folgende personenbezogene Daten durch die Plattformbetreiber verarbeitet werden:
Profilinformationen (z. B. Nutzername, Profilbild)
Kommunikationsinhalte (z. B. Kommentare, Nachrichten, Likes)
technische Daten (z. B. IP-Adresse, verwendetes Gerät, Nutzungsverhalten)
Zeitstempel von Interaktionen
Metadaten (z. B. Geräteinformationen, Verbindungsdaten, Nutzungsverhalten)
ggf. Standortinformationen
Diese Datenverarbeitung erfolgt in Verantwortung der jeweiligen Plattformbetreiber. Eine Verarbeitung durch uns selbst erfolgt nur in dem Umfang, in dem du mit unseren Inhalten interagierst oder mit uns kommunizierst.
Bitte beachte: Daten können in Staaten außerhalb der Europäischen Union (insbesondere in die USA) übertragen werden. Die Plattformbetreiber sichern sich hierbei in der Regel über sogenannte Standardvertragsklauseln oder andere Mechanismen zur Einhaltung europäischer Datenschutzstandards ab.
Wir stützen die Verarbeitung deiner Daten auf Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht darin, unsere Angebote öffentlich sichtbar zu machen, mit unserer Community in Kontakt zu treten und auf aktuelle Entwicklungen zeitnah reagieren zu können.
Weitere Informationen zum Datenschutz der jeweiligen Plattformen findest du hier:
Instagram: https://privacycenter.instagram.com/policy/?entry_point=ig_help_center_data_policy_redirect
TikTok: https://www.tiktok.com/legal/page/eea/privacy-policy/de
YouTube: https://policies.google.com/privacy
Nutzung von Discord als Community-Plattform
Wir nutzen Discord, einen Dienst der Discord Inc., 444 De Haro Street, Suite 200, San Francisco, CA 94107, USA, als optionale Community-Plattform für Jugendliche ab 16 Jahren. Der Zugang zu unserem Discord-Server ist nur auf Einladung für registrierte Nutzer möglich.
Im Rahmen der Nutzung können folgende personenbezogene Daten verarbeitet werden:
Discord-Benutzername und ID
Profilinformationen (z. B. Profilbild, Status)
Nachrichteninhalte (z. B. Textbeiträge, Bilder, Sprachaufnahmen)
Zeitstempel und Aktivitätsdaten (z. B. Login-Zeiten, Teilnahme an Sprachchats)
Geräte- und Verbindungsdaten (z. B. IP-Adresse, verwendetes Endgerät)
Discord Inc. verarbeitet Daten auf Servern in den USA. Das Unternehmen ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Die Datenübermittlung erfolgt auf Grundlage eines Angemessenheitsbeschlusses gemäß Art. 45 DSGVO.
Wir sind für die Nutzung unseres Discord-Servers allein datenschutzrechtlich verantwortlich. Discord Inc. verarbeitet darüber hinaus personenbezogene Daten eigenständig zu eigenen Zwecken (z. B. Analyse, Sicherheit). Es besteht keine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO.
Rechtsgrundlagen der Verarbeitung:
Art. 6 Abs. 1 lit. a DSGVO – freiwillige Einwilligung der Nutzer zur Nutzung von Discord die Annahme der Einladung
Die Nutzung von Discord ist freiwillig. Bei Nichtnutzung stehen alternative Kommunikationswege zur Verfügung (z. B. E-Mail).
Weitere Informationen zur Datenverarbeitung durch Discord findest du
unter:
https://discord.com/privacy
Nutzung von WhatsApp Business als Kommunikationskanal
Wir nutzen WhatsApp Business, bereitgestellt von der Meta Platforms Ireland Limited, als zusätzlichen Kommunikationskanal, über den Nutzer uns kontaktieren können.
Personenbezogene Daten, die im Rahmen der Nutzung von WhatsApp Business verarbeitet und an Meta übermittelt werden können, sind insbesondere:
Telefonnummer
Profilinformationen (z. B. Profilbild, Anzeigename, Info-Text – falls vom Nutzer gesetzt)
Nachrichteninhalte (Text, Bilder, Sprachaufnahmen etc.)
Zeitstempel der Nachrichten (z. B. Versand- und Empfangszeiten von Nachrichten)
Metadaten (z. B. Geräteinformationen, Verbindungsdaten, Nutzungsverhalten)
Die Daten können auf Server übertragen und dort verarbeitet werden, die sich außerhalb der Europäischen Union befinden, insbesondere in den USA. In diesen Ländern besteht kein dem europäischen Datenschutzrecht gleichwertiges Schutzniveau. Meta hat sich jedoch vertraglich zur Einhaltung der Anforderungen der Datenschutz-Grundverordnung (DSGVO) verpflichtet.
Wir erheben keine Daten aus den Kontaktlisten oder Adressbüchern der Endgeräte der Nutzer und geben keine personenbezogenen Daten unbeteiligter Dritter weiter.
Rechtsgrundlagen für die Datenverarbeitung über WhatsApp sind:
Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Kommunikation im Rahmen von Anfragen, die Nutzer oder Vertretungsperson selbst über WhatsApp initiieren
Nutzer oder Vertretungspersonen können die Kommunikation über WhatsApp jederzeit ablehnen oder beenden. Wir bieten in diesem Fall alternative Kontaktwege (z. B. E-Mail, Telefon) an.
Weitere Informationen zum Datenschutz bei WhatsApp findest du
hier:
https://www.whatsapp.com/legal/privacy-policy-eea