Datenschutzerkärung für die IServ-App
Wir freuen uns über Ihr Interesse an unserer App und unserem Unternehmen. Der Schutz Ihrer personenbezogenen Daten anlässlich der Installation der App ist uns ein wichtiges Anliegen. Ihre Daten werden natürlich im Rahmen der gesetzlichen Vorschriften der gesetzlichen Datenschutzvorschriften geschützt. Nachfolgend finden Sie Informationen, welche Daten während Nutzung der App erfasst und wie diese genutzt werden.
Bedenken Sie, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) grundsätzlich Sicherheitslücken aufweisen kann. Ein vollumfänglicher Schutz vor dem Zugriff durch Fremde ist nicht realisierbar.
Wer ist für Datenverarbeitung verantwortlich?
Verantwortlicher im Sinne der Datenschutzgesetze ist die IServ GmbH, Vossenkamp 6, 38104 Braunschweig.
Wenn Sie Fragen zum Datenschutz haben, Rechte oder Ansprüche zu Ihren personenbezogenen Daten ausüben möchten, wenden Sie sich gern per E-Mail an unseren Datenschutzbeauftragten Herrn Hans-Jürgen Vorbeck unter hans-juergen.vorbeck@hm-consult.de.
Welche Daten von Ihnen werden von uns in der App verarbeitet?
Gegenstand des Datenschutzes sind personenbezogene Daten. Diese sind nach Art. 4 Absatz 1 DS-GVO alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Person beziehen. Hierunter fallen z. B. Angaben wie Name, Post-Adresse, E-Mail-Adresse oder Telefonnummer, aber auch Nutzungsdaten wie Ihre IP-Adresse.
Die Funktionen der IServ-App sind in weiten Teilen mit denen der Schulplattform über einen Browser gleichzustellen. Da die IServ-Schulplattform und entsprechend auch die App in einer Reihe von Modulen verschiedene personenbezogene Daten verarbeiten, verweisen wir hier auf eine ausführliche Beschreibung im Dokument »24-Welche Daten werden in welchem Modul verarbeitet«, zu finden in unserem Dokumentenpaket, sowie auf den Datenschutzabschnitt unserer Produktdokumentation. Weitere Hinweise zur Verarbeitung von Daten auf dem IServ entnehmen Nutzer außerdem den ausgehändigten Betroffeneninformationen (Anhang zur Einwilligung).
Die meisten personenbezogenen Daten werden ausschließlich innerhalb von App und Plattform verarbeitet, IServ darf generell nur auf Weisung als Auftragsverarbeiter auftreten.
Die Plattformbetreiber der App-Stores informieren die IServ GmbH in Form von anonymisierten Statistiken über die Verbreitung der Anwendung, erfassen also die Installation der Anwendung bei den Nutzern.
Die IServ-App verwendet zum Versand von Fehlerberichten und Push-Benachrichtigungen eindeutige Tokens, die Nutzer oder Endgeräte eindeutig identifizierbar machen können. Details dazu entnehmen Sie den jeweiligen Themenabschnitten.
Weitergehende personenbezogene Daten werden nur verarbeitet, wenn Sie diese Angaben freiwillig, etwa im Rahmen einer E-Mail oder Anfrage direkt an die IServ GmbH versenden.
An welche Empfänger werden die Daten weitergegeben?
Eine Weitergabe Ihrer personenbezogenen Daten an Partner oder Dritte findet grundsätzlich nur statt, wenn dies für die Durchführung des Vertrages mit Ihnen erforderlich ist, die Weitergabe auf Basis einer Interessenabwägung i. S. d. Art. 6 Abs. 1 lit. f) DSGVO zulässig ist, wir rechtlich zu der Weitergabe verpflichtet sind oder Sie insoweit eine Einwilligung erteilt haben.
Zu welchem Zweck verarbeiten wir Ihre Daten?
Die genannten Daten werden durch uns zu folgenden Zwecken verarbeitet:
- Gewährleistung eines reibungslosen Verbindungsaufbaus und Funktion der App,
- Gewährleistung einer komfortablen Nutzung unserer App,
- Auswertung der Systemsicherheit und -stabilität sowie
- zu weiteren administrativen Zwecken.
Auf welcher rechtlichen Grundlage basiert das?
Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten ist grundsätzlich – soweit es nicht noch spezifische Rechtsvorschriften gibt – Art. 6 DSGVO. Hier kommen insbesondere folgende Möglichkeiten in Betracht:
- Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO)
- Datenverarbeitung zur Erfüllung von Verträgen (Art. 6 Abs. 1 lit. b) DSGVO)
- Datenverarbeitung auf Basis einer Interessenabwägung (Art. 6 Abs. 1 lit. f) DSGVO)
- Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO)
Wenn personenbezogene Daten auf Grundlage einer Einwilligung von Ihnen verarbeitet werden, haben Sie das Recht, die Einwilligung jederzeit mit Wirkung für die Zukunft dem Betreiber gegenüber zu widerrufen. Sie verwenden die IServ App auf Basis einer Einwilligung, die sie dem Betreiber freiwillig unterschrieben haben. Sollten wir personenbezogene Daten auf Basis einer Interessenabwägung verarbeiten, haben Sie als Betroffene/r das Recht, unter Berücksichtigung der Vorgaben von Art. 21 DSGVO der Verarbeitung der personenbezogenen Daten zu widersprechen.
Wie lange werden die Daten gespeichert?
Wir verarbeiten personenbezogene Daten nur, solange dies für den jeweiligen Zweck erforderlich ist. Falls gesetzliche Aufbewahrungspflichten bestehen – z. B. im Handelsrecht oder Steuerrecht – werden die betreffenden personenbezogenen Daten für die Dauer der Aufbewahrungspflicht gespeichert. Nach Ablauf der Aufbewahrungspflicht wird geprüft, ob eine weitere Erforderlichkeit für die Verarbeitung vorliegt. Liegt eine Erforderlichkeit nicht mehr vor, werden die Daten gelöscht.
Wo werden die Daten verarbeitet?
Ihre personenbezogenen Daten werden in der App, sofern sie nicht direkt mit dem IServ-Server Ihrer Organisation ausgetauscht werden, ausschließlich in zertifizierten Rechenzentren der Bundesrepublik Deutschland verarbeitet. Eine genaue Aufstellung entnehmen Sie als Kunde dem Anhang zu unserem AV-Vertrag.
Ihre Rechte als »Betroffene«
Auskunftsrecht, Berichtigung und Löschung
Sollten Benutzer auf die App bezogen Ihre Betroffenenrechte nach DSGVO wahrnehmen wollen, so ist i. d. R. der Betreiber des Servers der richtige Ansprechpartner.
Natürlich nimmt aber auch IServ Ihre Rechte ernst. Sie erhalten auf Antrag kostenfrei Auskunft über Ihre bei uns ggf. gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und dem Zweck und der Dauer der Verarbeitung sowie ein Recht auf Berichtigung, Einschränkung der Verarbeitung oder Löschung dieser Daten. Dies betrifft dann meist Daten, die Sie uns aus IServ oder der App heraus haben zukommen lassen.
Einer unverzüglichen Datenlöschung können gesetzliche Aufbewahrungsfristen entgegenstehen.
Widerrufsrecht
Wenn Sie eine Einwilligung zur Nutzung von Daten erteilt haben, können Sie diese jederzeit widerrufen.
Widerspruchsrecht
Der Datenverarbeitung auf Grundlage einer Interessenabwägung können Sie widersprechen. Für einen Widerspruch genügt eine einfache Nachricht an den Verantwortlichen, in der Sie Ihren Widerspruch begründen.
Beschwerderecht
Sie haben das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt.
Tracking
Es kommen weder in der IServ-App, noch auf dem IServ selbst Drittanbieter-Trackingwerkzeuge zum Einsatz.
Bezug der App
Nutzer(innen) können die IServ-App über den plattformspezifischen App-Store Ihres Endgerätes herunterladen. Dazu ist ggf. die Eröffnung eines Kontos und Zustimmung zu den Nutzungs- und Datenschutzbestimmungen der Betreiber nötig.
Für das Android-Betriebssystem stellen wir zusätzlich einen Download auf unserer Webseite bereit, der ohne ein zusätzliches Konto bei einem Plattformbetreiber auskommt. Auf iOS-Geräten ist die Installation von Fremdanwendungen aufgrund von Beschränkungen von Apple Inc. nicht möglich.
Ansonsten ist die Nutzung von IServ auch über einen mobilen Browser ohne Installation einer separaten App möglich.
Berechtigungen
ACCESS_NETWORK_STATE: Wird zur Information darüber verwendet, ob ein Download über eine mobile Datenverbindung durchgeführt werden würde.
CAMERA: Kann erteilt werden, um in Videokonferenzen das eigene Bild zu teilen. Die Berechtigung kann in der App zusätzlich je Schulserver erteilt oder verweigert werden.
INTERNET: Wird zur Kommunikation mit in der App genutzten IServ Schulservern genutzt.
MANAGE_DOCUMENTS: Wird zur Einbindung des IServ-Dateibereichs in die Android-Dateien-App benötigt.
MODIFY_AUDIO_SETTINGS: Kann zusammen mit RECORD_AUDIO erteilt werden, damit die Audioeinstellungen in der Videokonferenz geändert werden können.
RECEIVE_BOOT_COMPLETED: Wird zum Abrufen von Benachrichtigungen benötigt, falls auf dem Gerät keine Push-Dienste verfügbar sind.
RECORD_AUDIO: Kann erteilt werden, um in Videokonferenzen den eigenen Ton zu teilen und um Sprachnachrichten aufzunehmen. Die Berechtigung kann in der App zusätzlich je Schulserver erteilt oder verweigert werden.
VIBRATE: Wird benötigt, um bei Benachrichtigungen das Gerät vibrieren zu lassen.
WAKE_LOCK: Wird benötigt, um das Abrufen von Benachrichtigungen zuverlässiger zu machen.
WRITE_EXTERNAL_STORAGE: Wird bis einschließlich Android 9 (API 28) zum Speichern von Downloads benötigt, danach wird die Berechtigung nicht angefragt.
Push-Benachrichtigung
Eine Push-Benachrichtigung ist eine Meldung, die auf einem Gerät erscheint, ohne dass die App aktiv geöffnet werden muss. Über Push-Benachrichtigungen informieren wir Nutzer über aktuelle und zeitkritische Ereignisse.
Im Fall einer ausgelösten Push-Benachrichtigung wird eine eindeutige Benachrichtungs-ID und eine pseudonymisierte Konto-ID übermittelt. Der Inhalt der Push-Benachrichtigung selbst wird nicht übermittelt, sondern direkt vom ausstellenden Server abgerufen.
Die übertragenen Daten sind technisch notwendig, um die Funktion zur Verfügung stellen zu können.
Die Daten werden sowohl durch einen Server der IServ GmbH durchgeleitet als auch an den Betreiber der Push-Infrastruktur übermittelt. Je nach Gerät kann das Apple Inc., Google Ireland Limited oder Huawei Device Co., Ltd. sein. Die Betreiber der Push-Infrastruktur können dabei keine Rückschlüsse auf den ursprünglich versendenden Server ziehen. Als Absender tritt dem Betreiber immer ein Server der IServ GmbH gegenüber.
Ggf. wird der Nutzer durch sein Endgerät zur Zustimmung aufgefordert, bevor Push-Benachrichtigungen versendet werden können. Die Funktion kann zudem serverseitig deaktiviert werden. In diesem Fall findet keine Übertragung von Daten mehr statt.
Auf Android-Geräten kommt der Dienst "Firebase Cloud Messaging" zum Einsatz.
Auf iOS-Geräte kommt der "Apple Push-Notification Service" zum Einsatz.
Auf Huawei-Geräten kommt "HUAWEI Push Kit" zum Einsatz.
Fehlerberichte
Bei Fehlern kann der Nutzer dazu aufgefordert werden, dem Versenden eines Fehlerberichtes ("Crash-Report") zuzustimmen. In dem Report sind folgende Daten enthalten.
- Eindeutige Report-ID
- Anwendungsname
- Anwendungsversion
- Anwendungsvariante (z. B. Google oder Huawei)
- Betriebssystem
- Betriebssystemversion
- Gerätetyp und Modell
- Zeitstempel
- Details zum auftretenden Fehler in Form einer Stapelzurückverfolgung ("Stacktrace")
- ggf. anonymisierte Auszüge aus Logdateien
Der Versand eines Fehlerberichtes ist freiwillig und die darin enthaltenen Daten technisch notwendig. Ob eine Aufforderung zur Absendung eines Fehlerberichtes erfolgt, kann unter anderem davon abhängen, ob der Nutzer an einem Beta-Programm über den App-Store seiner Plattform teilnimmt.
Möglichkeiten der Optimierung
Die IServ GmbH kann die übermittelten Daten Endanwendern der App nicht zuordnen. Möchten sich Nutzer dennoch zusätzliche Sicherheit verschaffen, so sind mögliche indirekte Verknüpfungen von Daten über den jeweiligen IServ aufzuheben, indem die Anmeldung der Geräte über die IServ-Oberfläche gelöscht wird. Zusätzlich können die Anwendungsdaten der App jederzeit auf dem Endgerät selbst gelöscht werden. Grundsätzlich werden Daten dort nur so lange vorgehalten, wie es zur Durchführung der mit ihnen verknüpften Aufgabe nötig ist.
Benutzer haben jederzeit die Möglichkeit, die weitere Übertragung von Daten durch Deaktivierung der entsprechenden Funktionen zu unterbinden.
Die IServ GmbH kann die auf den Kundenservern gespeicherten Daten nur auf Weisung zugreifen und wird nur als Auftragsverarbeiter tätig.
Automatisierte Entscheidungen
Automatisierte Entscheidungen sind gemäß der Datenschutz-Grundverordnung nur zulässig, wenn Sie einwilligen, wenn sie für eine Vertragserfüllung erforderlich sind oder wenn nationale Gesetze diese Entscheidungen erlauben. Betroffene können in diesen Fällen verlangen, dass eine Person beim Datenverarbeiter in die automatisierte Entscheidung eingreift. Sie haben zudem das Recht, ihren eigenen Standpunkt zur Entscheidungsfindung darzulegen und die automatisierte Entscheidung anzufechten.
Es findet mit der IServ-App keinerlei automatisierte Entscheidungsfindung statt.