LC Education Systems
Weißdornweg 16
26725 Emden
Deutschland
Kontakt:
E-Mail: Lade E-Mail...
Wir informieren Sie nachfolgend über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten auf unserer Plattform „LehrerCopilot“. Die Verarbeitung erfolgt im Einklang mit den Vorgaben der EU‑Datenschutz-Grundverordnung (DSGVO) sowie den nationalen Datenschutzbestimmungen.
Je nach Zweck stützen wir die Verarbeitung personenbezogener Daten auf folgende Rechtsgrundlagen:
Bei der Registrierung erheben wir u. a. Ihren Namen und Ihre E-Mail-Adresse. Weitere Profildaten (z. B. Schule, Klassen, Fächer) sind freiwillig. Diese Daten nutzen wir, um Ihr Konto zu verwalten, Ihnen die Funktionen der Plattform bereitzustellen und die Nutzung zu personalisieren (z.B. durch Vorauswahl von Curricula). Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Alle von Ihnen erstellten Inhalte, wie Unterrichtseinheiten, Lektionen, Aufgaben, Notizen und zugeordnete Kompetenzen, werden in unserer Datenbank (Firebase Firestore) gespeichert. Sie dienen ausschließlich der Organisation und Durchführung Ihrer Unterrichtsplanung sowie, falls von Ihnen initiiert, dem Austausch mit anderen Nutzern.
Hochgeladene Dateien (z. B. Arbeitsblätter) werden sicher in Firebase Storage gespeichert. Die zugehörigen Metadaten (Dateiname, Dateityp etc.) werden in unserer Datenbank hinterlegt, um die Verwaltung und Zuordnung der Dateien zu ermöglichen.
Bei der Nutzung von Gruppenfunktionen speichern wir Ihre Beitrittsanfragen, Gruppenmitgliedschaften und die Information, welche Einheiten mit welchen Gruppen oder Personen geteilt werden. Diese Daten dienen der Ermöglichung der Kollaboration zwischen Lehrkräften.
Für einzelne Funktionen (z.B. Unterrichtsideen, Detailvorschläge) nutzen wir über das Genkit-Framework einen KI-Service von Google (Gemini API). Dabei können von Ihnen aktiv eingegebene Inhalte, wie Unterrichtskontexte oder Kompetenzangaben, zur Verarbeitung an den Dienst übermittelt werden.
Beim Zugriff auf die Plattform verarbeiten wir automatisch bestimmte Daten (z.B. anonymisierte IP-Adresse, Datum und Uhrzeit, Browsertyp). Diese Daten dienen der Systemsicherheit, Fehleranalyse und der Verbesserung der Stabilität unserer Dienste (berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO).
Wir verwenden Cookies und ähnliche Technologien, um die Nutzung unserer Website zu erleichtern und unser Angebot zu verbessern.
Soweit Sie Ihre Einwilligung erklärt haben, wird auf dieser Website Google Analytics eingesetzt, ein Webanalysedienst der Google LLC. Zuständiger Dienstanbieter in der EU ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“).
Umfang der Verarbeitung: Google Analytics verwendet Cookies, die eine Analyse der Benutzung unserer Webseiten durch Sie ermöglichen. Die durch die Cookies erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.
IP-Anonymisierung: Wir nutzen die Funktion „anonymizeIP“ (auch bekannt als IP-Masking): Ihre IP-Adresse wird von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.
Zwecke der Verarbeitung: Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen.
Rechtsgrundlage: Die Verarbeitung der Daten erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO).
Widerruf & Widerspruch: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Cookie-Einstellungen anpassen. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de.
Auftragsverarbeitung: Wir haben mit Google einen Vertrag zur Auftragsverarbeitung abgeschlossen und setzen die strengen Vorgaben der deutschen Datenschutzbehörden bei der Nutzung von Google Analytics vollständig um.
Alle Ihre primären Daten, wie Profildaten, Unterrichtsplanungen und hochgeladene Dateien, werden ausschließlich auf Servern in Frankfurt am Main, Deutschland (Google Cloud Region: europe-west3) verarbeitet und gespeichert.
Unsere technische Infrastruktur basiert vollständig auf Diensten der Google Cloud / Firebase. Dies umfasst Hosting (App Hosting), Authentifizierung (Firebase Authentication), Datenbank (Firestore), Dateispeicher (Storage) und serverseitige Logik (Cloud Functions), welche alle für die Region Frankfurt konfiguriert sind. Bei der Nutzung von KI-Funktionen kann eine Datenübermittlung an Server von Google außerhalb der EU erfolgen. Wir achten dabei auf ein angemessenes Datenschutzniveau (z.B. durch Standardvertragsklauseln).
Eine darüber hinausgehende Weitergabe an Dritte erfolgt grundsätzlich nur, wenn dies gesetzlich erlaubt ist oder Sie ausdrücklich eingewilligt haben.
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist (z.B. für die Dauer Ihres aktiven Kontos) oder wir gesetzlich dazu verpflichtet sind. Anschließend werden sie gelöscht oder anonymisiert. Ihren Account und alle damit verbundenen Daten können Sie jederzeit über die Kontoeinstellungen selbst löschen.
Sie haben nach der DSGVO insbesondere folgende Rechte:
Zur Ausübung dieser Rechte können Sie sich jederzeit an uns wenden. Für die Datenauskunft steht Ihnen zudem eine Export-Funktion in Ihren Kontoeinstellungen zur Verfügung.
Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen. Dazu gehören HTTPS-Verschlüsselung der gesamten Kommunikation, strenge Zugriffs- und Berechtigungskonzepte in der Datenbank sowie der Einsatz von Sicherheitsdiensten wie Google App Check zur Abwehr von missbräuchlichem Traffic.
Unsere Plattform kann Links zu externen Websites enthalten. Für deren Inhalte und Datenschutzpraktiken sind wir nicht verantwortlich.
Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, wenn sich rechtliche Anforderungen oder unsere Datenverarbeitungsprozesse ändern. Die aktuelle Version ist stets auf unserer Website verfügbar.
(gemäß Art. 32 DSGVO zur Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme)
Hosting-Standort: Das Hosting erfolgt ausschließlich in der Google Cloud Region europe-west3 (Frankfurt am Main, Deutschland).
Sicherheitsmaßnahmen des Rechenzentrums: Die physische Sicherheit wird durch den Rechenzentrumsbetreiber (Google) gewährleistet. Zu den Maßnahmen gehören:
Zertifizierungen: Es werden keine eigenen Serverstandorte betrieben. Die genutzten Google-Rechenzentren sind nach gängigen Standards zertifiziert (u.a. ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, C5 des BSI).
Autorisierung: Der Zugriff auf administrative Oberflächen und produktive Systeme ist auf einen streng definierten Kreis autorisierter Mitarbeiter (Rollen: Entwicklung, Betrieb, Support) beschränkt.
Authentifizierung: Die Authentifizierung erfolgt über Google Identity. Der Zugriff ist grundsätzlich durch eine Zwei-Faktor-Authentifizierung (2FA) abgesichert.
Protokollierung: Alle administrativen Zugriffe werden zentral protokolliert und überwacht (Audit Logs in der Google Cloud).
Passwortrichtlinien: Es gelten unternehmensweite Passwortrichtlinien nach dem Stand der Technik, die Mindestlänge, Komplexität und regelmäßige Überprüfung vorschreiben.
Rollenbasiertes Berechtigungskonzept (RBAC): Der Zugriff auf Daten innerhalb der Anwendung (Firestore) ist streng rollenbasiert. Die Trennung erfolgt auf Basis von Mandanten (z.B. Schule), Klassen und einzelnen Nutzern.
Need-to-Know-Prinzip: Nutzer können ausschließlich auf die für sie freigegebenen Daten und Materialien zugreifen. Ein Zugriff auf Daten anderer Nutzer oder Mandanten ist technisch ausgeschlossen.
Datentrennung: Uploads (z.B. in Firebase Storage) werden fest mit der jeweiligen Nutzer-ID verknüpft, um eine klare Zuordnung und Trennung sicherzustellen.
Logische Mandantentrennung: Die Daten verschiedener Verantwortlicher (z.B. Schulen) werden durch eine strikte logische Trennung innerhalb der Firestore-Datenbankstruktur (z.B. über Collections oder Namespaces) voneinander isoliert. Eine Vermischung von Daten wird so verhindert.
Transportverschlüsselung: Jegliche Datenübertragung zwischen Clients (Browser, App) und den Servern erfolgt ausnahmslos über verschlüsselte Verbindungen (HTTPS mit TLS 1.2 oder höher).
Verschlüsselung ruhender Daten (Encryption at Rest): Alle gespeicherten Daten, inklusive Datenbankeinträgen (Firestore), Dateien (Storage) und Backups, werden serverseitig standardmäßig verschlüsselt.
Sicherheitskonfiguration: Die Konfiguration der Verschlüsselungsprotokolle (Zertifikate, Ciphersuites) wird regelmäßig überprüft und an aktuelle Sicherheitsempfehlungen angepasst.
Nachvollziehbarkeit: Änderungen an zentralen Datensätzen werden protokolliert (z.B. durch Firestore Audit Logs). Dies ermöglicht die Nachvollziehbarkeit, wer wann welche Daten eingegeben, verändert oder gelöscht hat.
Versionierung: Bei bestimmten Datentypen (z.B. Dokumenten) kann eine Versionierung implementiert sein, um frühere Zustände wiederherstellen zu können.
Log-Zugriff: Der Zugriff auf Protokolldateien ist auf autorisierte Administratoren beschränkt.
Automatisierte Backups: Von der Firestore-Datenbank werden automatisiert tägliche Backups erstellt. Die Aufbewahrungsfrist (Retention) beträgt je nach Konfiguration zwischen 7 und 30 Tagen.
Redundanz: Die Daten und Systeme werden redundant in mindestens zwei geografisch getrennten Rechenzentren innerhalb der Google Cloud Region betrieben (Multi-AZ-Architektur), um die Verfügbarkeit bei Ausfällen zu gewährleisten.
Notfallkonzept: Das Disaster-Recovery-Konzept des Cloud-Anbieters sichert eine schnelle Wiederherstellung der Systeme zu. Die angestrebte Wiederanlaufzeit (RTO) liegt unter 24 Stunden.
Schutz vor Angriffen: Zum Schutz vor DDoS-Angriffen und anderen Web-Bedrohungen wird Google Cloud Armor eingesetzt.
Regelmäßige Wartung: Die Serverumgebung wird durch Google kontinuierlich gewartet und mit Sicherheitspatches versorgt (Managed Service).
Sicherheitsüberprüfungen: Die Anwendungsebene wird mindestens jährlich proaktiv durch Sicherheitstests (z.B. Penetrationstests) und Audits überprüft.
Monitoring & Alarmierung: Die Systemverfügbarkeit und sicherheitsrelevante Ereignisse werden permanent überwacht. Ein automatisiertes Alarmsystem informiert bei Ausfällen oder unbefugten Zugriffsversuchen.
Datenschutz-Review: Die Wirksamkeit dieser TOM wird mindestens einmal jährlich sowie bei wesentlichen technischen Änderungen überprüft und bei Bedarf angepasst.
Dokumentation: Alle datenschutzrelevanten technischen und organisatorischen Änderungen werden dokumentiert.
Datenschutzverantwortung: Es ist ein interner Ansprechpartner für Datenschutzfragen benannt.
Unterauftragsverarbeiter: Als wesentlicher Unterauftragsverarbeiter wird die Google Ireland Limited für die Bereitstellung der Google Cloud / Firebase Plattform (Standort Frankfurt) eingesetzt.
Vertragliche Grundlage: Die Beauftragung ist durch einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO mit Google rechtlich abgesichert.
Weitere Subunternehmer: Der Einsatz weiterer Subunternehmer erfordert die vorherige schriftliche Zustimmung des Verantwortlichen.
Funktionen zur Rechtsausübung: Die Umsetzung der Betroffenenrechte auf Auskunft, Berichtigung, Löschung und Datenexport wird durch entsprechende Funktionen in der Anwendung oder auf Anfrage unterstützt.
Datenlöschung: Personenbezogene Daten werden nach Vertragsende oder auf explizite Anforderung des Verantwortlichen innerhalb einer Frist von 30 Tagen sicher gelöscht.