Datenschutz-Dokumentation MatheZeiten

Stand: Januar 2026
Version: 2.0
System: MatheZeiten H5P Lernplattform
Verantwortlich: [Betreiber eintragen]

1. Übersicht

MatheZeiten ist eine Lernplattform für Mathematik-Übungen (H5P-basiert). Die Plattform erfasst Lernfortschritte von Schüler:innen zur pädagogischen Auswertung durch Lehrkräfte.

2. Verantwortlichkeiten (Controller/Processor)

Rollenverteilung nach DSGVO:

2.1 Die Schule als Verantwortlicher (Controller)

Die Schule ist datenschutzrechtlich Verantwortlicher (Art. 4 Nr. 7 DSGVO) für die Verarbeitung der Schülerdaten, da sie:

über Zweck und Mittel der Datenverarbeitung entscheidet
die Nutzung der Plattform im Unterricht anordnet
die Zuordnung Code ↔ Schüler:in kennt und verwaltet
Informationspflichten gegenüber Schüler:innen/Eltern erfüllt

2.2 Der Plattformbetreiber als Auftragsverarbeiter (Processor)

Der Betreiber der MatheZeiten-Plattform ist Auftragsverarbeiter (Art. 28 DSGVO), da er:

Daten nur im Auftrag der Schule verarbeitet
keinen eigenen Zugang zur Zuordnung Code ↔ Person hat
technische Infrastruktur bereitstellt

2.3 Erforderliche Vereinbarung

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO:
Vor Nutzung der Plattform muss zwischen Schule und Betreiber ein AVV geschlossen werden. Dieser regelt:

Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten
Kategorien betroffener Personen
Technische und organisatorische Maßnahmen (TOMs)
Weisungsbefugnisse
Subunternehmer

Status: AVV-Vorlage verfügbar unter [Link einfügen]

3. Rechtsgrundlagen

Hinweis: Im Schulkontext ist die Rechtsgrundlage primär Art. 6 Abs. 1 lit. e DSGVO (öffentliche Aufgabe), nicht "berechtigtes Interesse".

Verarbeitung	Rechtsgrundlage	Erläuterung
Lernfortschritt erfassen	Art. 6 Abs. 1 lit. e DSGVO i.V.m. Landesschulrecht	Wahrnehmung einer Aufgabe im öffentlichen Interesse (Bildungsauftrag)
Pseudonyme Auswertung durch Lehrkraft	Art. 6 Abs. 1 lit. e DSGVO	Erfüllung des pädagogischen Auftrags, individuelle Förderung
Session-Verwaltung	Art. 6 Abs. 1 lit. b/f DSGVO	Technisch erforderlich für Funktionalität
Lehrkraft-Accounts	Art. 6 Abs. 1 lit. b DSGVO	Vertragserfüllung (Nutzungsvereinbarung)
Server-Logs (anonymisiert)	Art. 6 Abs. 1 lit. f DSGVO	Berechtigtes Interesse an IT-Sicherheit

3.1 Landesrechtliche Grundlagen (Beispiele)

Schleswig-Holstein: § 30 SchulG SH (Datenverarbeitung für schulische Zwecke)
NRW: § 120 SchulG NRW
Bayern: Art. 85 BayEUG

Die jeweils einschlägigen landesrechtlichen Vorschriften sind von der Schule zu prüfen.

4. Pseudonymisierung und DSGVO-Relevanz

Wichtige Klarstellung:
Pseudonymisierte Daten sind personenbezogene Daten im Sinne der DSGVO (Art. 4 Nr. 5). Die DSGVO gilt vollumfänglich, auch wenn nur Codes statt Namen gespeichert werden.

4.1 Warum sind Schüler-Codes personenbezogen?

Die Lehrkraft kann jederzeit die Zuordnung Code → Schüler:in herstellen
Damit ist eine Re-Identifikation durch die Schule möglich
Dies macht die Daten zu pseudonymisierten personenbezogenen Daten

4.2 Vorteile der Pseudonymisierung

Geringeres Risiko bei Datenpannen (Art. 32 DSGVO)
Der Betreiber selbst hat keinen Personenbezug
Erfüllt Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c)

Schutzmaßnahme: Die Zuordnungsliste Code ↔ Name verbleibt ausschließlich bei der Lehrkraft und wird nicht auf der Plattform gespeichert. Der Betreiber hat keinen Zugriff auf diese Liste.

5. Erhobene Daten

5.1 Schüler-Codes (pseudonymisiert)

Datenpunkt	Beispiel	Zweck	Speicherdauer
Schüler-Code	`10701`	Pseudonyme Identifikation	Bis Löschung durch Lehrkraft
Klassen-Präfix	`107`	Zuordnung zur Klasse	Bis Klassenlöschung

5.2 Lern-Events (xAPI)

Datenpunkt	Beschreibung	Speicherdauer
`timestamp`	Zeitpunkt der Interaktion	Bis Schuljahresende + 4 Wochen (empfohlen) oder auf Weisung der Schule
`training_slug`	Bezeichnung der Übung
`object_name`	Name der Aufgabe
`verb`	Art der Aktion (answered, completed)
`success`	Richtig/Falsch
`response_raw`	Gegebene Antwort
`duration_seconds`	Bearbeitungszeit

5.3 Session-Daten

Datenpunkt	Speicherung	Speicherdauer
`session_id`	UUID (zufällig generiert)	90 Tage
`ip_hash`	SHA-256 Hash mit Salt	90 Tage
`user_agent`	Browser-Kennung	90 Tage

5.4 Lehrkräfte-Daten

Datenpunkt	Beschreibung	Speicherdauer
E-Mail-Adresse	Login-Kennung	Bis Kontolöschung
Passwort-Hash	Bcrypt-verschlüsselt	Bis Kontolöschung
Erstellte Klassen	Klassenname, Präfix	Bis Klassenlöschung
Login-Zeitstempel	Letzte Anmeldung	90 Tage
Session-Token	Authentifizierung	30 Tage (Cookie-Ablauf)

5.5 Klassen-Daten

Datenpunkt	Beschreibung	Speicherdauer
`name`	Klassenbezeichnung (z.B. "4b")	Bis Klassenlöschung
`prefix`	3-stelliger Code-Präfix	Bis Klassenlöschung
`teacher_id`	Zuordnung zur Lehrkraft	Bis Klassenlöschung
`student_count`	Anzahl generierter Codes	Bis Klassenlöschung
`grade_level`	Klassenstufe (1-4)	Bis Klassenlöschung

6. NICHT erhobene Daten

Folgende Daten werden explizit NICHT gespeichert:

Namen der Schüler:innen
E-Mail-Adressen der Schüler:innen
Geburtsdaten
Fotos oder biometrische Daten
Standortdaten (GPS)
Geräte-IDs oder Fingerprints
Daten aus anderen Apps/Websites

7. Server-Logs und IP-Adressen

Transparenzhinweis zu IP-Adressen:

7.1 Anwendungsdatenbank

IP-Adressen werden nur gehasht gespeichert (SHA-256 mit Salt)
Keine Rückrechnung auf Original-IP möglich
Zweck: Erkennung von Session-Anomalien

7.2 Webserver-Logs (Nginx)

Log-Typ	Inhalt	Speicherdauer	Maßnahme
Access Logs	IP-Adresse, Zeitstempel, URL, Status	7 Tage	Automatische Rotation/Löschung via logrotate
Error Logs	IP-Adresse, Fehlermeldungen	14 Tage	Automatische Rotation/Löschung via logrotate

7.3 Rechtsgrundlage für Logging

Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse an:

IT-Sicherheit (Erkennung von Angriffen)
Fehlerdiagnose und Systemstabilität
Missbrauchsprävention

7.4 Konfiguration Log-Rotation

# /etc/logrotate.d/nginx
/var/log/nginx/*.log {
    daily
    missingok
    rotate 7
    compress
    delaycompress
    notifempty
    create 0640 www-data adm
    sharedscripts
    postrotate
        [ -f /var/run/nginx.pid ] && kill -USR1 `cat /var/run/nginx.pid`
    endscript
}

8. Speicherdauer und Löschkonzept

8.1 Übersicht Aufbewahrungsfristen

Datenkategorie	Aufbewahrungsfrist	Löschverfahren
Lern-Events (xAPI)	Bis Schuljahresende + 4 Wochen	Automatisch oder auf Anforderung
Schüler-Codes	Bis Klassenlöschung durch Lehrkraft	Manuell durch Lehrkraft im Dashboard
Klassen-Daten	Bis Löschung durch Lehrkraft	Manuell durch Lehrkraft
Lehrkraft-Accounts	Bis Kündigung + 30 Tage	Auf Anforderung
Session-Daten	90 Tage	Automatisch (Cron-Job)
Nginx Access Logs	7 Tage	Automatisch (logrotate)
Nginx Error Logs	14 Tage	Automatisch (logrotate)
Datenbank-Backups	30 Tage	Automatisch (Rotation)

8.2 Automatische Löschung (implementiert)

# Cron-Job für automatische Löschung alter Sessions (täglich um 3:00)
0 3 * * * psql -d mz_analytics -c "DELETE FROM sessions WHERE created_at < NOW() - INTERVAL '90 days';"

# Log-Rotation: Automatisch durch logrotate (siehe 7.4)

8.3 Manuelle Löschung durch Lehrkraft

Klasse löschen: Dashboard → Klasse → "Klasse löschen" (löscht alle zugehörigen Codes und Events)
Einzelnen Schüler-Code löschen: Aktuell nur durch Betreiber auf Anfrage

8.4 Löschung auf Anfrage (Art. 17 DSGVO)

Betroffene können Löschung verlangen bei:

Widerruf der Einwilligung (falls Grundlage)
Wegfall des Verarbeitungszwecks
Unrechtmäßiger Verarbeitung

Bearbeitungszeit: Innerhalb von 30 Tagen

9. Technische und organisatorische Maßnahmen (TOMs)

9.1 Zutrittskontrolle

Server in gesichertem Rechenzentrum des Hosting-Anbieters
Kein physischer Zugang durch Betreiber erforderlich

9.2 Zugangskontrolle

Maßnahme	Umsetzung
SSH-Zugang	Nur mit SSH-Key, kein Passwort-Login
SSH-Port	Standard-Port 22, nur von definierten IPs (optional)
Root-Login	Deaktiviert (sudo erforderlich)
Firewall	UFW aktiv, nur Ports 22, 80, 443
Admin-Accounts	Individuelle Accounts, keine geteilten Zugänge

9.3 Zugriffskontrolle

Rolle	Zugriff	Authentifizierung
Schüler:in	Nur eigene Übungen	Schüler-Code
Lehrkraft	Nur eigene Klassen	E-Mail + Passwort
Admin	Alle Daten	SSH-Key + sudo

9.4 Weitergabekontrolle

Verschlüsselung: HTTPS/TLS 1.2+ für alle Verbindungen
Zertifikat: Let's Encrypt (automatische Erneuerung)
HSTS: Aktiviert

9.5 Eingabekontrolle

Alle Datenbankänderungen werden mit Zeitstempel protokolliert
Lehrkraft-Aktionen (Login, Klassenerstellung) werden geloggt

9.6 Auftragskontrolle

Verarbeitung nur nach dokumentierter Weisung der Schule
AVV regelt Weisungsbefugnisse

9.7 Verfügbarkeitskontrolle

Maßnahme	Umsetzung
Backups	Täglich, verschlüsselt, 30 Tage Aufbewahrung
Backup-Speicherort	Separater Speicher beim Hosting-Anbieter
Restore-Tests	Quartalsweise
Monitoring	Uptime-Monitoring mit Alerting

9.8 Trennungsgebot

Daten verschiedener Schulen/Klassen sind durch Fremdschlüssel getrennt
Lehrkräfte sehen nur eigene Klassen
Keine mandantenfähige Trennung auf Datenbankebene (logische Trennung)

9.9 Patch-Management

Komponente	Update-Zyklus
Betriebssystem (Ubuntu)	Automatische Sicherheitsupdates (unattended-upgrades)
Nginx	Mit OS-Updates
Node.js	Quartalsweise oder bei kritischen CVEs
PostgreSQL	Mit OS-Updates
npm-Pakete	Monatlich (npm audit)

10. Auftragsverarbeiter und Subunternehmer

10.1 Hosting

Anbieter	[Hosting-Anbieter eintragen]
Standort	[z.B. Deutschland / EU]
Rechenzentrum	[z.B. Frankfurt am Main]
AVV vorhanden	[Ja/Nein]
Zertifizierungen	[z.B. ISO 27001]

10.2 Weitere Auftragsverarbeiter

Memberstack (geplant für Lehrkraft-Auth): US-Anbieter, SCCs erforderlich

10.3 Nicht eingesetzte Dienste

Keine Analytics-Dienste (Google Analytics etc.)
Keine Werbung
Keine Social-Media-Plugins
Keine externen CDNs für Schülerdaten

11. Betroffenenrechte

11.1 Rechte der Schüler:innen / Eltern

Recht	Umsetzung	Ansprechpartner
Auskunft (Art. 15)	Export aller Daten zu einem Code	Lehrkraft / Betreiber
Berichtigung (Art. 16)	Korrektur falscher Daten	Betreiber
Löschung (Art. 17)	Löschung aller Daten zu einem Code	Lehrkraft / Betreiber
Einschränkung (Art. 18)	Sperrung der Verarbeitung	Betreiber
Datenübertragbarkeit (Art. 20)	Export in maschinenlesbarem Format	Betreiber
Widerspruch (Art. 21)	Beendigung der Nutzung	Schule / Lehrkraft

11.2 Rechte der Lehrkräfte

Auskunft über gespeicherte Account-Daten
Löschung des Accounts
Export eigener Klassendaten

11.3 Beschwerderecht

Betroffene haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren:

[Zuständige Aufsichtsbehörde eintragen, z.B.:]
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)
Holstenstraße 98, 24103 Kiel
mail@datenschutzzentrum.de

12. Datenschutz-Folgenabschätzung (DPIA-Vorprüfung)

12.1 Prüfung der DPIA-Pflicht

Eine DPIA nach Art. 35 DSGVO ist erforderlich bei:

Systematischer Überwachung öffentlich zugänglicher Bereiche
Umfangreicher Verarbeitung besonderer Kategorien von Daten
Systematischer Bewertung persönlicher Aspekte (Profiling)

12.2 Bewertung für MatheZeiten

Kriterium	Bewertung
Systematische Überwachung	Nein - keine Überwachung öffentlicher Bereiche
Besondere Datenkategorien	Nein - keine Gesundheitsdaten etc.
Profiling/Scoring	Eingeschränkt - Lernfortschrittsmessung, aber pseudonymisiert
Vulnerable Gruppe	Ja - Kinder/Schüler:innen
Innovative Technologie	Nein - Standard-Webtechnologie

12.3 Ergebnis der Vorprüfung

Empfehlung: Eine vollständige DPIA wird empfohlen, da:

Verarbeitung von Daten von Kindern (vulnerable Gruppe)
Systematische Erfassung von Lernverhalten über längeren Zeitraum

Die Risiken werden durch Pseudonymisierung erheblich reduziert. Eine DPIA sollte dokumentieren, dass angemessene Schutzmaßnahmen getroffen wurden.

Status: DPIA [ausstehend / durchgeführt am: ____]

13. Incident Response (Datenschutzverletzungen)

13.1 Meldepflicht (Art. 33 DSGVO)

Bei einer Datenschutzverletzung muss die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informiert werden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko.

13.2 Benachrichtigung Betroffener (Art. 34 DSGVO)

Bei hohem Risiko für die Rechte der Betroffenen müssen diese unverzüglich benachrichtigt werden.

13.3 Verantwortlichkeiten

Betreiber: Meldet Vorfall unverzüglich an betroffene Schulen
Schule: Entscheidet über Meldung an Aufsichtsbehörde und Betroffene

13.4 Kontakt bei Vorfällen

Sicherheitsvorfall melden:
E-Mail: [security@example.com]
Telefon: [Notfallnummer]

14. Datenfluss-Diagramm

┌─────────────┐ HTTPS ┌─────────────┐ localhost ┌─────────────┐ │ Browser │ ─────────────► │ Nginx │ ───────────────► │ Node.js │ │ (Schüler) │ │ (Proxy) │ │ API │ └─────────────┘ └─────────────┘ └──────┬──────┘ │ │ │ Access Logs │ ▼ (7 Tage) ▼ ┌─────────────┐ ┌─────────────┐ │ Log-Datei │ │ PostgreSQL │ │ (IP-Adresse)│ │ (IP-Hash) │ └─────────────┘ └─────────────┘

15. Kontakt

15.1 Verantwortlicher (für Schulen)

Die jeweilige Schule
vertreten durch die Schulleitung
Kontaktdaten der Schule verwenden

15.2 Auftragsverarbeiter (Plattformbetreiber)

[Name/Organisation eintragen]
[Adresse]
[E-Mail]
[Telefon]

15.3 Datenschutzbeauftragter

Schule: [DSB der Schule]
Betreiber: [DSB des Betreibers, falls vorhanden]

16. Versionshistorie

Version	Datum	Änderungen
1.0	Januar 2026	Initiale Version
2.0	Januar 2026	Klarstellung Pseudonymisierung und DSGVO-Relevanz Korrektur Rechtsgrundlage (Art. 6 Abs. 1 lit. e statt lit. f) Rollenverteilung Controller/Processor ergänzt Löschkonzept mit konkreten Fristen Log-Retention und IP-Verarbeitung präzisiert Lehrkräfte-Daten ergänzt DPIA-Vorprüfung hinzugefügt TOMs erweitert Incident Response ergänzt

Dokument erstellt: Januar 2026
Letzte Aktualisierung: Januar 2026 (Version 2.0)