DATENSCHUTZERKLÄRUNG
1 | Verantwortlicher (§ 4 Nr. 7 DSGVO)
OXO UG (haftungsbeschränkt)
Ruebenackerweg 2, 82418 Seehausen a. Staffelsee, Deutschland
E‑Mail: [email protected]
| Rollenmodell | Konto‑Typ | Standard‑Verantwortlicher |
|---|---|---|
| Wechsel in den Schul‑Modus | Familie‑Plan | Eltern‑Account |
| Klassen‑Plan | Lehrkraft | |
| Schul‑Plan | Schule/Schulträger | |
| Schüler‑Account | – (immer unter Aufsicht) |
Ein von den Eltern verwalteter Schüler wird einer Schule zugeordnet → Verantwortlich = Schule
Klassen‑Dashboard wird einer Schule zugeordnet → Verantwortlich = Schule
–
Kann nie Verantwortlicher werden; Nutzung nur unter obigen Konten
Sobald ein Klassen‑ oder Family‑Netzwerk einer Schule zugeordnet ist und der Schul‑Admin den AV‑Vertrag bestätigt, tritt automatisch die Schule als Verantwortlicher ein; die OXO UG handelt dann als Auftragsverarbeiter.
2 | Datenschutzanfragen
Ein gesetzlicher Datenschutzbeauftragter ist nach § 38 BDSG nicht erforderlich (weniger als 20 Personen, keine umfangreiche Verarbeitung besonderer Daten).
Kontakt für Betroffenenrechte: [email protected]
3 | Zwecke – Datenarten – Rechtsgrundlagen
| Zweck / Dienst | Typische Daten | Rechtsgrundlage |
|---|---|---|
| Konto‑ & Rollenverwaltung | Name, Alter, Rolle, Login‑E‑Mail / Code, PW‑Hash | Art. 6 Abs. 1 b |
| KI‑Chat | Chat‑Texte, Nutzungszähler | Art. 6 Abs. 1 b |
| Zahlung (Stripe) | Rechnungsadresse, Zahlungs‑Token | Art. 6 Abs. 1 b + c |
| Newsletter (Mailchimp) | Name, E‑Mail, DOI‑Zeitstempel | Art. 6 Abs. 1 a |
| Web‑Analyse (Google Analytics) | gekürzte IP, Cookie‑ID | Art. 6 Abs. 1 a |
| Marketing‑/Produkt‑Tracking (Meta, Google Ads, LinkedIn Insight, Twitter Pixel) | Cookie‑ID | Art. 6 Abs. 1 a |
| Support / CRM (HubSpot) | Kontaktdaten, Anfrageinhalt | Art. 6 Abs. 1 b |
| Server‑Logfiles (Security) | vollständige IP, Zeitstempel, URL, User‑Agent | Art. 6 Abs. 1 f |
Bei Schul‑Accounts kann zusätzlich Art. 6 Abs. 1 e DSGVO (öffentlicher Bildungsauftrag) einschlägig sein.
4 | Minderjährige (< 16 Jahre)
Die Plattform darf von Personen unter 16 Jahren nur genutzt werden, wenn
a) ein Eltern‑Account,
b) eine Lehrkraft oder
c) ein Schul‑Admin
die Verbindung bestätigt oder den kostenpflichtigen Master‑Toggle aktiviert.
Als Nachweis speichern wir ausschließlich die Account‑IDs der Beteiligten und den Zeitstempel. Bis zur Bestätigung ist der KI‑Chat gesperrt. Bitte keine besonderen Kategorien personenbezogener Daten im Chat verarbeiten.
5 | Speicherfristen
| Datenkategorie | Aufbewahrung |
|---|---|
| Konten, Rollen, Chats | Bis Nutzer löscht oder Konto endet; automatische Löschung inaktiver Konten nach 24 Monaten |
| Server‑Logfiles | 14 Tage (vollständige IP), danach automatische Löschung |
| Steuer‑/Handelsunterlagen | 10 Jahre (§§ 147 AO, 257 HGB) |
6 | Empfänger / Unterauftragsverarbeiter
Supabase (EU‑Frankfurt), Cloudflare, Stripe, Mailchimp, HubSpot, Google, Meta, LinkedIn, X, Amplitude, Mixpanel, OpenAI, Anthropic.
US‑Dienste arbeiten auf Grundlage des EU‑US Data Privacy Framework und/oder Standardvertragsklauseln; die jeweiligen Zertifikate bzw. SCC sind im Schul‑Dashboard als PDF abrufbar.
Neue Unterauftragsverarbeiter werden dem Verantwortlichen mindestens 30 Tage vor ihrer Einbindung per E‑Mail mitgeteilt; der Verantwortliche kann binnen dieser Frist widersprechen (Art. 28 Abs. 2 DSGVO).
7 | Cookies & Tracking
Nicht‑essenzielle Cookies und Pixel (Analyse, Marketing) werden erst nach ausdrücklicher Zustimmung gesetzt. Die vollständige Cookie‑Liste (Name, Zweck, Laufzeit) kann in den „Cookie‑Einstellungen" im Footer jederzeit eingesehen und angepasst werden.
8 | Betroffenenrechte
Sie haben jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch (Art. 15–21 DSGVO); außerdem ein Beschwerderecht bei der Bayerischen Landes‑Aufsichtsbehörde (BayLDA).
8.1 Widerruf einer erteilten Einwilligung
Sie können eine uns gegenüber erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf ist genauso einfach möglich wie die Erteilung – z. B. durch einen Klick im Benutzerkonto unter „Privatsphäre → Einwilligungen" oder per E‑Mail an [email protected]. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Ihnen entstehen dabei keine Kosten außer den Übermittlungskosten nach Basistarif.
8.2 Widerspruchsrecht gegen Direktwerbung
Sie haben das Recht, jederzeit ohne Angabe von Gründen der Verarbeitung Ihrer Daten zu Direktwerbezwecken zu widersprechen; dies gilt auch für damit zusammenhängendes Profiling. Nach Eingang Ihres Widerspruchs werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten. Den Widerspruch können Sie z. B. über den Link „Newsletter abbestellen" in jeder Werbe‑E‑Mail oder per E‑Mail an [email protected] erklären.
8.3 Beschwerderecht & zuständige Aufsichtsbehörde
Sie können sich jederzeit bei einer Datenschutzaufsichtsbehörde beschweren, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes. Für unseren Sitz ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zuständig:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach, Deutschland
Tel.: +49 (0)981 180093‑0 • Web: https://www.lda.bayern.de
9 | Technische & organisatorische Maßnahmen
TLS 1.3 (in transit), AES‑256 (at rest), Zwei‑Faktor‑Authentifizierung für Admins, rollenbasierte Rechte, tägliche verschlüsselte Back‑ups, Cloudflare WAF / DDoS‑Schutz, regelmäßige Sicherheits‑Scans.
10 | Legitime Interessen (Art. 6 Abs. 1 f DSGVO)
Soweit wir Daten auf Basis berechtigten Interesses verarbeiten, beruht dies auf folgenden Zwecken:
Betriebs‑ und IT‑Sicherheit (Server‑Logfiles, Cloudflare WAF, Supabase‑Monitoring) – Interesse: Abwehr von Angriffen, Sicherstellung der Systemintegrität.
Reichweiten‑Messung & Produkt‑Analytics (Amplitude, Mixpanel) bei pseudonymisierten Daten – Interesse: wirtschaftlicher Betrieb und fortlaufende Verbesserung der Plattform.
Die Interessenabwägung ergab, dass Ihre Grundrechte nicht überwiegen; Sie können dennoch gemäß Art. 21 DSGVO Widerspruch einlegen.
11 | Automatisierte Entscheidungen / Profiling (Art. 22 DSGVO)
Die Plattform trifft keine Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Auswirkung ausschließlich automatisiert.
Der KI‑Chat erzeugt Vorschläge auf Basis statistischer Wahrscheinlichkeiten („Generative AI"). Diese Ausgaben werden nicht ungeprüft übernommen; Lehrkräfte, Eltern oder Schul‑Admins prüfen die Inhalte (vgl. KI‑Disclaimer in den AGB).
Sie haben jederzeit das Recht,
● eine Erklärung zur Logik der Verarbeitung zu verlangen,
● eine menschliche Überprüfung zu fordern und
● Ihren Standpunkt darzulegen bzw. die Entscheidung anzufechten.