Datenschutz

Schneller Überblick: Wer ist bei Notenheld Verantwortlicher? Was ändert sich bei einer Schullizenz? Welche Rechte haben Schülerinnen, Schüler und Eltern? Klar getrennt nach Nutzungs-Rolle.

Datenschutz bei Notenheld

Diese Übersicht zeigt klar getrennt nach Nutzungs-Rolle, wer bei Notenheld für Ihre Daten verantwortlich ist – und wo Sie die rechtsverbindlichen Detail-Dokumente finden.

Stand: April 2026

Hosting in der EU

Server, Datenbank und Backups bei IONOS in Deutschland. Kein Drittlandtransfer im Regelbetrieb.

DSGVO + LBVO

Schul- und datenschutzrechtskonform. Verarbeitung im Rahmen des schulischen Bildungsauftrags.

Kein Tracking

Keine Werbe- oder Tracking-Cookies. Keine Profilbildung. Keine Drittanbieter-Analytics.

AVV per Klick

Sobald Schülerdaten verarbeitet werden, ist ein AVV Pflicht (Art. 28 DSGVO) – sowohl Schulen als auch Lehrkräfte (Einzel- und Team-Lizenz) schließen ihn elektronisch ab.

So nutzen Sie diese Seite

Wählen Sie unten die Sektion, die zu Ihrer Rolle passt. Jede Sektion erklärt:

  • Wer ist datenschutzrechtlich Verantwortlicher?
  • Welche Daten werden verarbeitet und wozu?
  • An wen wenden Sie sich mit Fragen oder Rechte-Anfragen?
  • Wo finden Sie das jeweils verbindliche Detail-Dokument (DSE oder AVV)?

Wichtig: Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist in beiden Konstellationen erforderlich – bei Schullizenzen schließt ihn die Schulleitung, bei Lehrer-Lizenzen (Einzel- oder Team-Lizenz) jede Lehrkraft einzeln. Erst mit dem AVV wird Notenheld rechtswirksam mit der Verarbeitung der Schülerdaten beauftragt.

Sie sind Lehrkraft – mit Einzel- oder Team-Lizenz

AVV-Pflicht auch für Lehrkräfte: Für die Schüler-, Klassen- und Leistungsdaten, die Sie in Notenheld eintragen, sind Sie als Lehrkraft Verantwortliche/r. Damit Notenheld diese Daten in Ihrem Auftrag verarbeiten darf, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwingend – das gilt gleichermaßen für Einzel- und Team-Lizenzen. Für Ihre eigenen Account- und Rechnungsdaten ist Notenheld Verantwortlicher.
Was wird verarbeitet?
  • Ihre Stammdaten (Vor-/Nachname, E-Mail)
  • Authentifizierungsdaten (Passwort-Hash, Sitzungs-Token)
  • Daten Ihrer eigenen Klassen, Fächer, Schüler/innen, Prüfungen, Noten
  • Optional: Microsoft-Teams-Daten (nur bei Ihrer ausdrücklichen Einwilligung)
  • Abo- und Rechnungsdaten (Karten-/Bankdaten ausschließlich bei Stripe)
AVV elektronisch abschließen
  • Jede Lehrkraft schließt den AVV einzeln ab – auch innerhalb einer Team-Lizenz.
  • Abschluss in der Anwendung unter Funktionen → Auftragsverarbeitungsvertrag (Art. 28 Abs. 9 DSGVO, elektronische Textform).
  • Versionierung, SHA-256-Hash und PDF-Beleg analog zum Schul-Pfad.
  • Soft-Wall-Banner erinnert; nach 30 Tagen greift der Hard-Wall und blockiert die weitere Nutzung bis zur Akzeptanz.
Welche Rechte haben Sie?

Gegenüber Notenheld haben Sie die Rechte aus Art. 15–21 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Für Ihre eigenen Daten richten Sie Anfragen an datenschutz@notenheld.net.

Für Schülerdaten, die Sie verarbeiten, sind Sie Ansprechperson für die Betroffenen und deren Erziehungsberechtigte – Notenheld unterstützt Sie dabei technisch (Export, Löschung).

Was Sie selbst tun sollten
  • Halten Sie sich an die schulrechtlichen Vorgaben Ihres Bundeslandes (SchUG, SchOG, LBVO – Verarbeitung von Schülerdaten nur soweit dienstrechtlich erlaubt).
  • Geben Sie keine Anmeldedaten weiter.
  • Bei schulweitem Einsatz ist eine Schullizenz in der Regel die saubere Lösung – dann ist die Schule Verantwortlicher und die Direktion schließt den AVV ab.
Verbindliches Detail-Dokument: AVV für Lehrkräfte (Einzel- oder Team-Lizenz)

Den Volltext inkl. TOMs und Unter­auftrags­verarbeitern finden Sie nach Login in der Notenheld-Anwendung unter Funktionen → Auftragsverarbeitungsvertrag. Der Text ist derselbe wie für Schulen – Sie akzeptieren ihn als Verantwortliche/r für Ihre eigenen Schülerdaten.

Sie sind Schule – mit Schullizenz

Die Schule ist Verantwortlicher. Notenheld verarbeitet die Daten in Ihrem Auftrag – das ist Auftragsverarbeitung nach Art. 28 DSGVO. Verbindliche Grundlage ist der Auftragsverarbeitungsvertrag (AVV).
Was wird verarbeitet?
  • Stammdaten von Lehrkräften, Schüler/innen und Eltern
  • Klassen-, Fach- und Gruppenstrukturen Ihrer Schule
  • Leistungs- und Beurteilungsdaten (Punkte, Noten, Anwesenheit, Frühwarnungen)
  • Termine, Aufgaben, Klassenbuch- bzw. Journaleinträge
  • Schüler-PIN-Login, Eltern-Portal-Zugänge, iCal-Feeds
  • Optional: MS-Teams-Synchronisation (nur bei Lehrer-Einwilligung)
  • Audit-Logs sicherheitsrelevanter Aktionen
Wie der AVV funktioniert
  • Elektronischer Abschluss: Direktion oder Stellvertretung akzeptiert in der Anwendung unter Schulleitung → Auftragsverarbeitungsvertrag (Art. 28 Abs. 9 DSGVO – Textform genügt).
  • Versionierung: Jede Änderung am AVV-Text führt zu einer neuen Version – bestehende Akzeptanzen bleiben revisionssicher.
  • Integritäts-Hash: Notenheld speichert einen SHA-256-Hash des akzeptierten Textstands; spätere Manipulation am Text ist erkennbar.
  • PDF-Beleg: Sofort nach Akzeptanz steht ein PDF zum Download bereit – inkl. Vertragstext, TOMs, Unterauftragsverarbeitern und Hash.
  • Erinnerung: Falls noch nicht akzeptiert: Banner für die Schulleitung; nach 30 Tagen wird die Akzeptanz für Direktion und Lehrkräfte verpflichtend.
Was Notenheld verbindlich zusichert
  • Weisungsgebundenheit: Verarbeitung ausschließlich nach dokumentierten Weisungen der Schule.
  • Vertraulichkeit: Alle befugten Personen sind zur Vertraulichkeit verpflichtet.
  • Technische und organisatorische Maßnahmen (TOMs): verschlüsselte Übertragung, Passwort-Hashing, Mandantentrennung, Audit-Logs, verschlüsselte Backups, regelmäßige Sicherheitsupdates – Anlage 1 des AVV.
  • Unterauftragsverarbeiter: Verbindliche Liste in Anlage 2 des AVV. Änderungen werden mindestens 30 Tage im Voraus angekündigt; Sie haben Widerspruchsrecht.
  • Datenpannen: Meldung an die Schule innerhalb von 48 Stunden (Art. 33 DSGVO).
  • Unterstützung: Bei Auskunfts-/Lösch-Anfragen, Datenschutz-Folgenabschätzung und Konsultation der Aufsichtsbehörde (Art. 32–36 DSGVO).
  • Löschung/Rückgabe: Innerhalb von 30 Tagen nach Vertragsende; auf Wunsch vorher strukturierter Datenexport.
Welche Rechte hat die Schule?
  • Pruef- und Auditrecht (Art. 28 Abs. 3 lit. h DSGVO)
  • Widerspruchsrecht gegen neue Unterauftragsverarbeiter
  • Recht auf jederzeitigen Datenexport in maschinenlesbarem Format
  • Sofortige Beendigung gemäß Hauptvertrag
Verbindliches Detail-Dokument: Auftragsverarbeitungsvertrag (AVV)

Den Volltext inklusive TOMs (Anlage 1) und Unterauftragsverarbeitern (Anlage 2) finden Sie nach Login als Direktion oder Stellvertretung in der Notenheld-Anwendung unter Schulleitung → Auftragsverarbeitungsvertrag – versioniert, hashbasiert nachweisbar und als PDF abrufbar.

Sie sind Schüler/in oder Erziehungsberechtigte/r

Wer ist Verantwortlicher?

Die Schule, an der das Kind unterrichtet wird, ist datenschutzrechtlich Verantwortlicher. Notenheld ist Auftragsverarbeiter und arbeitet streng weisungsgebunden im Rahmen eines AVV nach Art. 28 DSGVO.

Welche Daten sehen Sie?
  • Schüler/in: Eigene Stammdaten, eigene Noten, eigene Termine und Aufgaben, Lehrer-Kommentare zu eigenen Leistungen.
  • Eltern: Daten jener Schüler/innen, mit denen Sie über den Eltern-Claim verknüpft sind. Keine Daten anderer Schüler/innen.
Sicherheit beim Schüler-Login
  • Anmeldung über persönlichen Login-Code + PIN (kein E-Mail/Passwort nötig).
  • PIN wird verschlüsselt gespeichert.
  • Lehrkraft kann den Login-Code neu generieren, falls er kompromittiert wurde.
  • Schüler-Zugang ist read-only: Noten oder Beurteilungen können nicht verändert werden.
Welche Rechte haben Sie?

Sie haben sämtliche Rechte aus der DSGVO – insbesondere Auskunft, Berichtigung, Löschung, Einschränkung und Widerspruch (Art. 15–21 DSGVO).

Erste Ansprechperson ist die Schule bzw. die/der dortige Datenschutz­beauftragte – nicht Notenheld direkt. Notenheld unterstützt die Schule technisch bei der Beantwortung Ihrer Anfrage.

Eltern-Portal: Verknüpfung mit Schüler/in
  • Sie legen ein eigenes Eltern-Konto an (separates Authentifizierungs-Schema).
  • Verknüpfung erfolgt über einen einmaligen Eltern-Claim-Token, den Ihr Kind Ihnen weitergibt.
  • Sie können die Verknüpfung jederzeit lösen.
Was Notenheld nicht macht
  • Keine Werbung oder Werbe-Tracking gegenüber Schüler/innen oder Eltern.
  • Keine Weitergabe an Dritte zu Marketing- oder Profiling-Zwecken.
  • Keine automatisierten Entscheidungen mit rechtlicher Wirkung – die Lehrperson bleibt in der Beurteilungs-Verantwortung.
Verbindliches Detail-Dokument: Die Datenschutzerklärung mit Ihren Rechten im Detail. Konkrete Auskünfte zu personenbezogenen Daten Ihres Kindes erhalten Sie über die Schule.

Häufige Fragen

Hosting, Datenbank und Backups laufen ausschließlich in zertifizierten EU-Rechenzentren in Deutschland (IONOS SE). Es findet im Regelbetrieb kein Drittlandtransfer statt. Optionale Integrationen wie Microsoft Teams oder die Zahlungsabwicklung über Stripe können Daten konzernintern in die USA übertragen – auf Basis EU-US Data Privacy Framework und Standardvertragsklauseln.

Innerhalb der Anwendung: ausschließlich die zugewiesenen Lehrkräfte für ihre Fächer/Klassen, die Direktion bzw. Stellvertretung der eigenen Schule sowie verknüpfte Eltern und der Schüler/die Schülerin selbst. Mandantentrennung pro Schule schließt schul­übergreifenden Zugriff technisch aus. Notenheld-Mitarbeitende greifen nur im Rahmen der zur Vertragserfüllung notwendigen Wartung zu, dokumentiert über Audit-Logs.

Ein Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO zwingend, sobald ein externer Dienstleister personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Bei Notenheld gilt das in beiden Konstellationen: Schulen (Direktion akzeptiert im Namen der Schule) und private Lehrkräfte mit Einzel- oder Team-Lizenz (jede Lehrkraft akzeptiert für sich selbst, da sie für die von ihr eingetragenen Schülerdaten verantwortlich ist). Notenheld stellt den AVV elektronisch in der Anwendung bereit; Versionierung, SHA-256-Hash und PDF-Beleg sichern die Nachweisbarkeit.

Innerhalb von 30 Tagen nach Beendigung des Hauptvertrags werden alle personenbezogenen Daten gelöscht. Auf Wunsch erhält die Schule davor einen vollständigen Datenexport in einem strukturierten, maschinenlesbaren Format. Daten in routinemäßigen Backups werden im normalen Backup-Rotationszyklus (max. 30 Tage) endgültig überschrieben. Nur für gesetzlich aufbewahrungs­pflichtige Daten (z.B. Rechnungen) gelten die jeweiligen Aufbewahrungsfristen.

Nein. Die Microsoft-Teams-Integration nutzt ausschließlich delegated permissions – die Anwendung handelt im Namen der jeweiligen Lehrperson und nur auf Daten, zu denen diese in Teams ohnehin berechtigt ist. Es werden keine Application/Tenant-weiten Admin-Berechtigungen angefordert. Jede Lehrperson aktiviert die Integration für sich selbst und kann sie jederzeit widerrufen.

Nein. Notenheld verwendet keine Werbe- oder Tracking-Cookies, kein Drittanbieter-Analytics (Google Analytics, Facebook Pixel o.ä.) und keine Profiling-Logik. Die Notenberechnung dient ausschließlich als Unterstützung der Lehrperson – die endgültige Beurteilung trifft stets die Lehrperson selbst (keine automatisierte Entscheidung mit rechtlicher Wirkung gemäß Art. 22 DSGVO).
Lehrkräfte und Schulen

Fragen zur Datenverarbeitung durch Notenheld richten Sie an datenschutz@notenheld.net. Wir antworten innerhalb der gesetzlichen Frist von einem Monat.

Schüler/innen und Eltern

Erste Ansprechperson ist die Schule bzw. die/der dortige Datenschutz­beauftragte. Bei technischen Fragen kann die Schule uns einbeziehen; wir unterstützen sie bei der Beantwortung.

Werde zum Helden für deine Kollegen!

Wissen ist das einzige, das mehr wird, wenn man es teilt. Hilf deinem Team, rechtssicher und stressfrei durch das Semester zu kommen.

Aktuelles

Datenschutzbestimmungen

Datenschutzbestimmungen

Datenschutzerklärung

Wie Notenheld personenbezogene Daten verarbeitet – getrennt nach Lehrer (privat), Schule (Auftragsverarbeitung per AVV) und Schülerinnen/Schülern. DSGVO-konform, Serverstandort EU.

Notenheld Team 17. February 2026
Datenschutzbestimmungen

Datenschutz

Schneller Überblick: Wer ist bei Notenheld Verantwortlicher? Was ändert sich bei einer Schullizenz? Welche Rechte haben Schülerinnen, Schüler und Eltern? Klar getrennt nach Nutzungs-Rolle.

Notenheld Team
Impressum

Impressum

Impressum und Offenlegung der IT-DevCon e.U. gemäß § 5 E-Commerce-Gesetz, § 14 UGB und § 25 Mediengesetz.

Notenheld Team 17. February 2026
Lacks Heading

Bald verfügbar: Starten Sie Ihre digitale Klasse

Die Notenheld-App wird in Kürze freigeschaltet. Seien Sie von Anfang an dabei!

Bald verfügbar
TOP