In welcher Rolle nutzen Sie Notenheld?

Diese Datenschutzerklärung gilt für die Nutzung der Website notenheld.net sowie der Anwendung. Welche datenschutzrechtliche Rolle Notenheld einnimmt, hängt davon ab, wer den Dienst nutzt:

§ 1 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) sowie des österreichischen Datenschutzgesetzes (DSG) ist:

Für alle Anliegen rund um den Datenschutz wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse. Wir beantworten Ihre Anfrage innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).

§ 2 Begriffsbestimmungen

In dieser Datenschutzerklärung verwenden wir die Begriffe der Art. 4 DSGVO – insbesondere personenbezogene Daten, Verarbeitung, Verantwortlicher, Auftragsverarbeiter, Empfänger, Einwilligung und Betroffene Person. Eine vollständige Liste finden Sie im Originaltext der DSGVO.

§ 3 Datenkategorien

Je nach Nutzungsrolle (siehe oben) verarbeitet Notenheld folgende Kategorien personenbezogener Daten:

• Stammdaten: Vor- und Nachname, Schul-E-Mail, Funktion (Lehrkraft, Direktion, Schüler/in, Erziehungsberechtigte/r), Klassen-/Fach-/Gruppenzuordnung
• Authentifizierungsdaten: Benutzername, Passwort-Hash (BCrypt/Argon2), Sitzungs-Token, optional verschlüsselte Schüler-PIN, Eltern-Claim-Token
• Leistungs- und Beurteilungsdaten: Prüfungen, Punkte, Noten, Anwesenheit, Lehrer-Kommentare, Plausibilitäts- und Korrekturprotokoll, Frühwarnungen
• Termin-, Aufgaben- und Journaldaten: Prüfungstermine, Hausaufgaben, Kalendereinträge, Klassenbuch-Einträge, Kalender-Feed-Tokens (iCal)
• Optionale Microsoft-Teams-Daten: nur bei aktiver Lehrer-Einwilligung; Klassen-, Aufgaben- und Bewertungsdaten
• Abo- und Vertragsdaten: Abo-Status, Rechnungsmetadaten – Karten- und Bankdaten ausschließlich beim Zahlungsdienstleister Stripe
• Technische Protokoll- und Sicherheitsdaten: IP-Adresse, Zeitstempel, User-Agent, Audit-Logs sicherheitsrelevanter Aktionen, Fehler-Logs
• Feedback- und Supportdaten: freiwillig übermittelte Inhalte aus Feedback-Formularen oder Supportanfragen

§ 4 Zwecke und Rechtsgrundlagen

§ 5 Empfänger und Auftragsverarbeiter

Personenbezogene Daten werden ausschließlich in dem Umfang weitergegeben, der zur Erbringung des Dienstes technisch erforderlich oder gesetzlich vorgeschrieben ist. Folgende Dienstleister kommen zum Einsatz:

• IONOS SE, Montabaur (Deutschland) – Hosting, Datenbank, Backups, transaktionaler E-Mail-Versand. Serverstandort EU. Auftragsverarbeitung gemäß Art. 28 DSGVO, kein Drittlandtransfer.
• Microsoft Ireland Operations Ltd. – nur bei aktiv aktivierter Microsoft-Teams-Integration einer Lehrperson; ausschließlich delegierte Berechtigungen im Namen der Lehrperson.
• Stripe Payments Europe, Limited (Irland) – Zahlungsabwicklung kostenpflichtiger Abonnements. Stripe verarbeitet Karten-/Bankdaten in eigener Verantwortung; Notenheld speichert keine vollständigen Zahlungsdaten.
• PromoteKit (USA) – ausschließlich für das freiwillige Affiliate-/Empfehlungsprogramm; keine Schüler- oder Elterndaten betroffen.

Innerhalb der Anwendung werden Daten nur an autorisierte Personen weitergegeben: Lehrkräfte der eigenen Schule im Rahmen ihrer Unterrichtszuständigkeit, Erziehungsberechtigte mit bestätigter Schülerverknüpfung sowie die Schülerinnen und Schüler selbst.

§ 6 Übermittlung in Drittländer

Der Kernbetrieb von Notenheld – Hosting, Datenbank, Backups und transaktionaler E-Mail-Versand – findet ausschließlich innerhalb der Europäischen Union statt. Für den Regelbetrieb findet somit kein Drittlandtransfer statt.

In folgenden optionalen Konstellationen kann ein Drittlandtransfer auftreten:

• Microsoft Teams (nur bei aktiver Einwilligung der Lehrperson): EU-US Data Privacy Framework und EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
• Stripe (bei kostenpflichtigen Abonnements): EU-Standardvertragsklauseln.
• PromoteKit (bei aktivem Affiliate-Programm bzw. Aufruf über Empfehlungs-Link): EU-Standardvertragsklauseln, ggf. Einwilligung.

§ 7 Optionale Integrationen

7.1 Microsoft Teams (opt-in)

Die Microsoft-Teams-Integration ist ein optionales Zusatzfeature, das jede Lehrperson für ihren persönlichen Microsoft-Account selbst aktivieren oder deaktivieren kann. Notenheld nutzt ausschließlich delegated permissions; die Anwendung handelt technisch im Namen der jeweiligen Lehrperson und kann nur auf Daten zugreifen, zu denen diese in Microsoft Teams ohnehin berechtigt ist. Es werden keine Admin-/Application-Permissions angefordert; die Schul-IT muss Notenheld weder genehmigen noch in der Microsoft-365-Verwaltung freischalten.

Verbindliche Details zum Berechtigungsmodell, zu den übertragenen Datenarten, zum Konflikt-Management und zum Widerruf finden Sie im AVV (§ 7.4).

7.2 Stripe – Zahlungsabwicklung

Kostenpflichtige Abonnements werden über die Stripe Payments Europe, Limited (1 Grand Canal Street Lower, Dublin, D02 H210, Irland) abgewickelt. Stripe handelt für die Zahlungsabwicklung als eigenständig Verantwortlicher; vollständige Karten- und Bankdaten werden ausschließlich von Stripe verarbeitet (PCI-DSS Level 1) und gelangen zu keinem Zeitpunkt in den Speicher von Notenheld. Stripe-Datenschutzerklärung: stripe.com/at/privacy.

7.3 PromoteKit – Affiliate-Programm

Notenheld betreibt ein freiwilliges Empfehlungsprogramm. PromoteKit kommt ausschließlich zum Einsatz, wenn Sie sich aktiv als Affiliate-Partner/in registrieren oder die Website über einen Empfehlungs-Link aufrufen. Es werden keine Daten von Schülerinnen, Schülern oder Eltern verarbeitet. Tracking erfolgt über ein technisch notwendiges Cookie bzw. lokalen Speicher (Attributionsfenster); Sie können dies durch Löschen der Cookies jederzeit zurücknehmen.

§ 8 Speicherdauer

• Aktive Benutzerkonten: solange das Konto aktiv und das Abonnement gültig ist.
• Gelöschte Benutzerkonten: endgültige Löschung innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
• Noten- und Leistungsdaten: während des laufenden Schuljahres und im Rahmen schulrechtlicher Aufbewahrungspflichten.
• Rechnungs- und Abrechnungsdaten: 7 Jahre (§ 132 BAO, § 212 UGB).
• Technische Protokolle: maximal 90 Tage.
• Audit-Logs sicherheitsrelevanter Aktionen: bis zu 12 Monate, soweit zur Erfüllung gesetzlicher Nachweispflichten erforderlich darüber hinaus.
• Backups: rollierend, maximal 30 Tage, anschließend automatische Überschreibung.

§ 9 Datensicherheit

• Verschlüsselte Übertragung sämtlicher Daten per TLS (HTTPS)
• Passwörter ausschließlich als kryptographischer Hash (BCrypt/Argon2)
• Schüler-PINs verschlüsselt gespeichert
• Rollen- und berechtigungsbasierte Zugriffssteuerung; Mandantentrennung pro Schule
• Regelmäßige Sicherheitsupdates und Abhängigkeitsprüfungen (Dependency Scanning)
• Automatisierte, verschlüsselte Backups (rollierend 30 Tage)
• Lückenlose Protokollierung sicherheits­relevanter Aktionen (Audit-Log)
• Datenspeicherung ausschließlich in der Europäischen Union

§ 10 Ihre Rechte als betroffene Person

Nach der DSGVO stehen Ihnen gegenüber dem Verantwortlichen folgende Rechte zu:

§ 11 Cookies und lokale Speicherung

Notenheld verwendet ausschließlich technisch erforderliche Cookies und lokale Speichermechanismen (localStorage, sessionStorage):

• Session-Cookie: speichert die Login-Sitzung, spätestens beim Schließen des Browsers entfernt.
• Authentifizierungs-Cookie: ASP.NET Core Identity Auth-Cookie (verschlüsselt, HttpOnly, Secure).
• Anti-Forgery-Token (XSRF): Schutz vor Cross-Site-Request-Forgery.
• Benutzereinstellungen (localStorage): Filter, Anzeigeoptionen, individuelle Darstellungspräferenzen.

Wir setzen kein Tracking durch Drittanbieter (Google Analytics, Facebook Pixel, Marketing-Cookies o.ä.) ein. Eine gesonderte Cookie-Einwilligung ist daher nicht erforderlich.

§ 12 Keine automatisierte Entscheidungsfindung

Eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung mit rechtlicher Wirkung gegenüber der betroffenen Person findet bei Notenheld nicht statt. Die Notenberechnung dient als Unterstützung für die Lehrperson; die endgültige Beurteilung erfolgt stets durch die Lehrperson selbst.

§ 13 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Rechtslage oder unserer Verarbeitungsprozesse anzupassen. Die jeweils aktuelle Fassung ist stets auf dieser Seite abrufbar. Über wesentliche Änderungen informieren wir aktiv per E-Mail oder per Hinweis im System. Änderungen am Auftragsverarbeitungsvertrag werden Schulen gesondert über die Anwendung kommuniziert (siehe § 11 AVV).