Datenschutzerklärung

VPlanPlus wurde von Grund auf konzipiert, um den strengen Richtlinien von Schulen und Drittanbietern gerecht zu werden. Zudem ist es wichtig, das Vertrauen der Nutzer zu wahren. Um alle Dienste anbieten zu können, müssen jedoch teilweise personenbezogene Daten erhoben und verarbeitet werden. Diese werden nur im Interesse der Bereitstellung der Funktionen erhoben und nur auf den vpp.ID Servern gespeichert. Eine Weitergabe an Dritte findet nicht statt.

Sollten Fragen oder Hinweise zu diesem Dokument aufkommen, können Sie sich jederzeit an mich wenden:
Julius Vincent Babies <julvin.babies@gmail.com>

Jegliche Daten, welche auf eine reale Person zugeordnet sind oder mittels weiterer Informationen Rückschlüsse auf eine reale Person ermöglicht, werden nach DSGVO als personenbezogen bezeichnet.

Betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von dem für die Verarbeitung Verantwortlichen verarbeitet werden.

Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Dieses Dokument verwendet an einigen Stellen Abkürzungen und Vereinfachungen von Bezeichnungen. Diese sind hier aufgelistet:

Abkürzung	Bedeutung
DSGVO	Datenschutzgrundverordnung nach VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
SP24	Stundenplan24.de von Indiware
VPP oder App	VPlanPlus für Android
vpp.ID	Optionaler Account für VPlanPlus, welcher mit personenbezogenen Daten arbeitet
FCM	Google Firebase Cloud Messaging

Die App greift auf Ressourcen von Drittanbietern zu, um dem Nutzer Daten zur Verfügung stellen zu können. Nachfolgend sind diese Drittanbieter aufgelistet:

Anbieter/Produkt	Datenschutzerklärung	Verwendung
Indiware/Stundenplan24.de	https://indiware.de/index.php?page=datenschutz	Abruf von Stunden- und Vertretungsplandaten
Schulverwalter/beste.schule	https://beste.schule/privacy	OAuth Authentifizierung für vpp.ID, Notenabruf (optional)
Familie Babies/vpp.ID	https://vplan.plus/about/privacy	Funktionen wie Hausaufgabenverwaltung, optionale Plattform für VPlanPlus
Google/Firebase	https://firebase.google.com/support/privacy	Echtzeit-Push-Benachrichtigungen

VPlanPlus sendet regelmäßig Netzwerkanfragen an Drittanbieter, um notwendige Daten zu erhalten. Jede dieser Anfragen beinhaltet standardmäßig einige Metadaten. Darin ist unter anderem die öffentliche IP-Adresse des Nutzers enthalten. Mit dieser ist es möglich, den ungefähren Standort des Nutzers auf einige Kilometer genau abzuschätzen. Ebenso gibt die IP-Adresse aufschluss über den verwendeten Internetanbieter.

Zudem erhalten die Drittanbieter die Information, dass die Anfrage aus VPlanPlus kommt, da VPP den User-Agent VPlanPlus mitsendet. Im Regelfall speichert jeder Anbieter eine Kombination aus Zugriffs-IP-Adresse, Datum, Uhrzeit und angefragten Daten in sogenannten Logdateien automatisch auf den Servern. Bitte lesen Sie hierzu auch die Datenschutzerklärungen der Drittanbieter, welche von VPP verwendet werden.

Zum Abrufen der Stunden- und Vertretungspläne wird Stundenplan24.de von Indiware verwendet. Diese Daten beinhalten personenbezogene Daten, wie das Kürzel einer Lehrkraft in Assoziation mit einer Orts- und Zeitangabe für deren Unterrichtseinheiten. Diese Informationen werden bei Indiware hinter einem schulweiten Zugang abgesichert. Diese Zugangsdaten werden von der Schule üblicherweise am Anfang eines Schuljahres bekannt gegeben. Die Richtlinien über die Vertraulichkeit dieser Zugänge entscheidet jede Schule für sich. VPlanPlus speichert diese Zugangsdaten zunächst lokal und verwendet sie wie die App VpMobil24 von Indiware beim Abruf der Daten. Indiware selbst erhält dabei keine weiteren Nutzerdaten. Die Zugangsdaten bestehen aus einer Schulnummer, einem Benutzernamen und einem Passwort.

Schulverwalter stellt mit beste.schule einen sogenannten Single-Sign-On (SSO) Provider (siehe Bundesamt für Sicherheit in der Informationstechnik) zur Verfügung. Damit kann ein Nutzer einer Drittanbieteranwendung Zugang zu der Schnittstelle des Anbieters im Namen seines Kontos geben, ohne dass das Passwort der Drittanbieteranwendung bekannt wird. Beim Versuch der Anmeldung an der Drittanbieteranwendung wird der Nutzer auf die Anmeldeseite des SSO-Providers umgeleitet. Dort meldet er sich wie gewohnt an. Nach erfolgreicher Authentifizierung wird der Nutzer wieder zur Drittanbieteranwendung zurückgeleitet, diese erhält einen Code, welcher einmalig gegen einen Zugriffstoken umgewandelt werden kann. Dies übernimmt die Drittanbieteranwendung im Hintergrund. Mit diesem Zugang kann die Drittanbieteranwendung Aktionen im Namen des Nutzers durchführen und Daten über den Nutzer abfragen.
Dieser Zugriffstoken wird auch an VPlanPlus übergeben. Dies ist zur Abfrage der Noten notwendig (mehr Details).

Welche Daten dabei gespeichert werden, können Sie im Abschnitt erhobene Daten nachlesen.

Die vpp.ID ist ein Zusatzangebot für VPlanPlus, in welchem Nutzerinnen und Nutzer Inhalte anlegen und freigeben können. Hierfür ist es wichtig, Verifizieren zu können, dass eine Schülerin oder ein Schüler einer Klasse tatsächlich angehören. Dabei wird die beste.schule Schnittstelle verwendet. Technisch gesehen kann der vpp.ID Server mit diesem Token die Noten des Nutzers anfragen, dies passiert jedoch nicht. Alle Noten werden ausschließlich auf dem Endgerät direkt bei beste.schule angefragt.

Authentifizierung an vpp.ID Diensten

Android hat aufgrund der sehr strengen Akkunutzungsrichtlinien für Apps nur wenig native und zuverlässige Wege, Echtzeitbenachrichtigungen für Apps anbieten zu können. Google Firebase Cloud Messaging (kurc FCM) ist tief in den Google-Play-Diensten unter Android integriert. FCM generiert ein Token, welches nur auf das Gerät des Nutzers zurückzuführen ist. Dieses Token wird vom VPP an die vpp.ID Server gesendet und mit der Klasse und - falls vorhanden - der vpp.ID des Nutzers verknüpft. Das Token kann nach einiger Zeit verfallen, in diesem Fall wird ein neues generiert und an die vpp.ID Server gesendet. Anhand der Zuordnung von Klasse und ggf. vpp.ID zu den Tokens können Benachrichtigungen zielgerichteter gesendet werden. Dies reduziert den Datenverkehr enorm. Echtzeitevents wie das Buchen eines Raumes oder das Anlegen einer Hausaufgabe lösen das Senden eines Event-Codes aus. Dieser Event-Code wird vom vpp.ID Server an die Google Firebase Server gesendet. Die Events selbst beinhalten keine weiteren Daten, bei Empfang eines solchen Event-Codes aktualisiert VPP automatisch teile der lokalen Datenbank. Damit werden keine Daten mit Google geteilt.

Bei der Verwendung von VPP werden zunächst keine personenbezogenen Daten des Nutzers erhoben und geteilt. Im Rahmen der normalen Nutzung werden anhand der Stundenplandaten häufig Informationen über den aktuellen Aufenthaltsort einer Lehrkraft gespeichert. Diese Daten umfassen das Kürzel der Lehrkraft, den Raumnamen und die Zeitspanne des Events. Diese Informationen werden direkt von stundenplan24.de bezogen und in der App-internen Datenbank abgespeichert. Die Daten werden tagesweise zwei Tage nach ihrem Gültigkeitsdatum automatisch gelöscht.

Wird eine vpp.ID verwendet, werden folgende Daten aus beste.schule auf den vpp.ID Servern gespeichert:

• Nutzer-ID bei beste.schule
• Vor- und Nachname
• E-Mail-Adresse
• Schule / Klasse

Um die vpp.ID-Dienste verwenden zu können, muss dem vpp.ID Server die Kombination aus Stundenplan24.de-Schulnummer und Schul-ID von beste.schule bekannt sein. Ist eine Schule dem System unbekannt, so wird der Nutzer darüber informiert und alle bereits gespeicherten Daten des Nutzers werden aus den vpp.ID Systemen vollständig entfernt.

Der Name und die Klassenzugehörigkeit eines Nutzers können an alle Nutzer einer Schule mit einer SP24-Auth ausgegeben werden. Damit können beispielsweise Hausaufgaben und Raumbuchungen auf eine Person zurückgeführt werden. Dies ist notwendig, um Spam vorzubeugen und bei Konflikten die entsprechende Person direkt ansprechen zu können.

Noten werden direkt aus VPP von beste.schule geladen. Somit wird sichergestellt, dass die Daten auf dem selben Stand wie die von beste.schule sind. vpp.ID Server erhalten diese Daten nicht.

Hausaufgaben können lokal auf dem Gerät oder in der vpp.ID gespeichert werden. Dort stehen sie zunächst nur dem Nutzer selbst zur Verfügung. Entscheidet sich der Nutzer zur Freigabe seiner Hausaufgabe, steht diese unter der SP24-Auth der Schule zur Verfügung. Der erledigt-Status einer Hausaufgabe wird lokal oder bei Verwendung einer vpp.ID in dieser gespeichert und steht nur dem Nutzer selbst zur Verfügung. Hausaufgaben können jederzeit vom Ersteller gelöscht werden.

Raumbuchungen stehen unter der SP24-Auth der Schule zur Verfügung. Hierbei wird auch der Name und die Klasse der buchenden Person angezeigt.

Jegliche Netzwerkanfragen werden mit TLS verschlüsselt. Die Netzwerkanfragen bezüglich vpp.ID verbleiben dabei in Deutschland.

Nutzer haben die Möglichkeit, ihre Noten in der App biometrisch zu schützen.

Für die Zugriffssicherheit einer vpp.ID ist der Nutzer selbst verantwortlich, indem er seinen beste.schule Zugang bestmöglich absichert.

Sie haben das Recht via E-Mail (Kontakt)

• Einen Auszug ihrer personenbezogenen Daten zu erhalten
• Änderungen an dieser Datenschutzerklärung auf Basis der DSGVO zu beantragen
• Die Löschung ihrer personenbezogenen Daten zu beantragen, wenn
  • Sie die Schule verlassen
  • Ihre Daten unrechtmäßig weiterverwendet werden

Die Löschung der vpp.ID kann unbegründet hier erfolgen.