Zurück

Datenschutzerklärung

Dinoschule – debuff interactive

Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Diese Datenschutzerklärung informiert Sie darüber, welche Daten bei der Nutzung von Dinoschule verarbeitet werden, zu welchem Zweck und welche Rechte Ihnen zustehen.

1. Verantwortlicher

Debuff Interactive UG (haftungsbeschränkt), Hauptstraße 156, 66386 St. Ingbert. Die vollständigen Kontaktdaten finden Sie im Impressum.

2. Welche Daten werden verarbeitet?

2.1 Lehrkräfte und Schuladministratoren

Bei der Registrierung und Nutzung erheben wir: E-Mail-Adresse, Vor- und Nachname, Schulzugehörigkeit sowie Anmeldezeitpunkte. Zusätzlich speichern wir Einwilligungsdaten: Zeitstempel der Zustimmung zur Datenschutzerklärung und den AGB sowie – sofern erteilt – den Zeitstempel der Einwilligung zum Empfang von Marketing-E-Mails. Technische Aktivitätsprotokolle (Audit-Logs) werden für 90 Tage gespeichert.

Schuladministratoren einer Schule haben innerhalb der Plattform Einsicht in die Namen und E-Mail-Adressen der an ihrer Schule registrierten Lehrkräfte sowie in statistische Informationen (z. B. Anzahl durchgeführter Unterrichtssitzungen). Personenbezogene Schülerdaten werden Schuladministratoren nicht zugänglich gemacht, da diese in unserem System nicht gespeichert werden.

Sofern Lehrkräfte eigene Inhalte öffentlich oder schulöffentlich teilen (siehe Abschnitt 2.5), wird ihr Vorname in der Entdecken-Ansicht der Plattform für andere registrierte Lehrkräfte sichtbar.

2.2 Schülerinnen und Schüler

Nur der Vorname wird temporär während einer Spielsitzung verarbeitet. Während der aktiven Sitzung wird der Name im Arbeitsspeicher des Servers gehalten und bei Sitzungsende vollständig gelöscht. Zusätzlich speichert der Browser des verwendeten Endgeräts den eingegebenen Namen im lokalen Speicher (localStorage) für bis zu 30 Tage, damit er beim erneuten Besuch vorausgefüllt werden kann. Dieser Speicher ist ausschließlich auf dem Endgerät vorhanden und für uns nicht zugänglich. Es werden keine Schüler-Accounts oder dauerhafte Schülerdaten auf unseren Servern gespeichert – in der Datenbank werden lediglich Teilnehmerzahlen in anonymisierter Form erfasst.

2.3 Bestellungs- und Rechnungsdaten (Einzelkauf)

Bei kostenpflichtigen Einzelkäufen verarbeiten wir zur Vertragserfüllung und Rechnungsstellung: Name, Rechnungsadresse, Rechnungs-E-Mail-Adresse, bestellte Produkte und Preise sowie Zahlungsstatus. Diese Daten werden dauerhaft gespeichert, da sie steuerrechtlich aufbewahrungspflichtig sind (§ 147 AO, § 257 HGB – 10 Jahre).

2.4 Schulkauf und Angebotserstellung

Entscheidet sich eine Schule oder ein Schulträger für den Erwerb von Lizenzen über den Schulkauf-Prozess, erheben wir zur Angebotserstellung und Vertragserfüllung folgende zusätzliche Daten:

  • Lieferadresse: Name der Schule bzw. Institution, Straße, PLZ, Ort
  • Rechnungsadresse: Sofern abweichend: Name, optionaler Ansprechpartner, Straße, PLZ, Ort
  • Rechnungs-E-Mail: E-Mail-Adresse für die Übersendung von Angebot und Rechnung
  • Schüleranzahl: Die angegebene Schüleranzahl der Schule dient ausschließlich zur Berechnung des Staffelpreises. Es handelt sich um einen Aggregatwert ohne Personenbezug zu einzelnen Schülerinnen und Schülern.
  • E-Mail-Adresse des Schuladministrators (optional): Sofern im Kaufprozess eine E-Mail-Adresse für die Person angegeben wird, die die erworbenen Lizenzen verwalten soll, verwenden wir diese ausschließlich zur Zusendung einer einmaligen Einladung zur Plattform. Ist die genannte Person noch nicht auf der Plattform registriert, wird automatisch eine Einladungs-E-Mail versandt. Die Eingabe dieser E-Mail-Adresse erfolgt durch den kaufenden Schulverantwortlichen, der damit bestätigt, zur Weitergabe dieser Daten berechtigt zu sein.

Aus dem Schulkauf-Prozess wird ein PDF-Angebot erstellt, das die vorstehend genannten Adress- und Bestelldaten enthält. Dieses Angebot sowie alle zugehörigen Daten werden als Handelskorrespondenz gemäß § 257 Abs. 2 HGB für mindestens 6 Jahre aufbewahrt. Führt das Angebot zu einer Bestellung und Rechnungsstellung, gilt die steuerrechtliche Aufbewahrungspflicht von 10 Jahren (§ 147 AO, § 257 HGB).

2.5 Öffentlich geteilte Inhalte

Lehrkräfte können in interaktiven Lernmodulen selbst erstellte Inhalte als öffentlich (sichtbar für alle registrierten Lehrkräfte der Plattform) oder schulöffentlich (sichtbar für Lehrkräfte der eigenen Schule) kennzeichnen. Solche Inhalte erscheinen im Entdecken-Bereich der Plattform. Dabei werden folgende Daten verarbeitet:

  • Bewertungen: Markiert eine Lehrkraft einen öffentlichen Inhalt positiv, wird diese Bewertung mit der Lehrkraft-ID und der Inhalts-ID gespeichert.
  • Nutzungserfassung: Nutzt eine Lehrkraft einen von einer anderen Lehrkraft öffentlich geteilten Inhalt im Unterricht, wird diese Nutzung einmalig mit der Lehrkraft-ID und der Inhalts-ID gespeichert. Diese Daten dienen ausschließlich der Berechnung des Beitragswerts und der automatischen Vergabe von Contributor Premium (siehe unten).
  • Adaptions-Attribution: Übernimmt eine Lehrkraft einen öffentlichen Inhalt und passt ihn an, wird die Verknüpfung zum Originalinhalt und zur erstellenden Lehrkraft dauerhaft gespeichert und in der Entdecken-Ansicht angezeigt.
  • Inhaltsmeldungen: Lehrkräfte können öffentliche Inhalte über eine Meldefunktion zur Überprüfung einreichen. Dabei werden die Inhalts-ID, ein optionaler Meldetext sowie die Lehrkraft-ID der meldenden Person intern protokolliert und ausschließlich zur Moderation genutzt.

Automatische Vergabe von Contributor Premium: Auf Basis von Bewertungen, Nutzungsvorgängen und Adaptionen durch andere Lehrkräfte wird pro Lehrkraft automatisch ein Beitragswert berechnet. Überschreitet dieser einen Schwellenwert, wird kostenloses Contributor Premium für 24 Monate automatisch gewährt. Es handelt sich um eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO, die auf Grundlage von Art. 22 Abs. 2 lit. a DSGVO zulässig ist, da sie zur Erfüllung des Nutzungsvertrags erforderlich ist. Betroffene Personen haben das Recht, den eigenen Standpunkt darzulegen und eine menschliche Überprüfung der Entscheidung zu verlangen. Entsprechende Anfragen richten Sie bitte an datenschutz@dinoschule.de.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Bewertungen, Nutzungserfassung, Attribution und die automatische Vergabe von Contributor Premium als Teil des Nutzungsvertrags; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Plattformsicherheit) für Inhaltsmeldungen.

3. Zweck der Verarbeitung

Die Daten werden für folgende Zwecke verarbeitet: Betrieb der Lernplattform und Bereitstellung der Spielfunktionen, Verwaltung von Spielräumen und Zugriffsrechten, Authentifizierung von Lehrkräften, Betrieb des Entdecken-Bereichs und Bereitstellung öffentlich geteilter Lerninhalte, Berechnung von Beitragswerten und automatische Vergabe von Contributor Premium, Abwicklung von Einzelkäufen und Schullizenzen, Erstellung und Versand von Schulangeboten (PDF) sowie Aktivierung von Lizenzen nach Zahlungseingang, Erstellung und Versand von Rechnungen, Erfüllung steuerrechtlicher Pflichten sowie – nur bei ausdrücklicher Einwilligung – Versand von Informations- und Marketing-E-Mails über Neuigkeiten und Angebote von Dinoschule.

4. Rechtsgrundlage

Art. 6 Abs. 1 lit. a (Einwilligung) – für den Versand von Marketing- und Newsletter-E-Mails. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Art. 6 Abs. 1 lit. b (Vertragserfüllung und vorvertragliche Maßnahmen) – für registrierte Nutzer sowie für die gesamte Abwicklung von Kauf- und Lizenzverträgen, einschließlich der Erstellung von Schulangeboten und des Versands von Einladungs-E-Mails an als Schuladministrator vorgesehene Personen, soweit dies zur Erfüllung des Schullizenzvertrags erforderlich ist. Ebenfalls Grundlage für die Verarbeitung im Zusammenhang mit öffentlich geteilten Inhalten und der automatischen Vergabe von Contributor Premium (siehe Abschnitt 2.5).

Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung) – für die steuerrechtlich und handelsrechtlich vorgeschriebene Aufbewahrung von Rechnungs- und Angebotsdaten.

Art. 6 Abs. 1 lit. f (berechtigtes Interesse) – für die Teilnahme an Spielsitzungen ohne Registrierung, für den Betrieb und die Sicherheit der Plattform sowie für die Moderation gemeldeter Inhalte.

5. Speicherung und Löschung

Schülerdaten (Vornamen) werden nur während der aktiven Spielsitzung im Arbeitsspeicher gehalten und danach automatisch gelöscht.

Lehrkräfte-Accounts und zugehörige Nutzungsdaten werden gespeichert, bis der Account auf Anfrage gelöscht wird.

Einwilligungsdaten (Zeitstempel für Datenschutz-, AGB- und Marketing-Einwilligung) werden für die Dauer des Nutzerverhältnisses gespeichert und dienen als Nachweis der Einwilligung gemäß Art. 7 Abs. 1 DSGVO.

Audit-Logs werden nach 90 Tagen automatisch gelöscht.

Bewertungs- und Nutzungserfassungsdaten zu öffentlich geteilten Inhalten (Abschnitt 2.5) werden bis zur Löschung des jeweiligen Kontos gespeichert. Bei Kontolöschung werden öffentlich geteilte Inhalte auf ein anonymes Plattformkonto übertragen, sodass sie für andere Lehrkräfte weiterhin nutzbar bleiben; private und schulöffentliche Inhalte werden gelöscht. Verbleibende Bewertungs- und Nutzungserfassungseinträge können nach Löschung des Kontos keiner natürlichen Person mehr zugeordnet werden.

Rechnungs- und Bestelldaten aus Einzelkäufen unterliegen der gesetzlichen Aufbewahrungspflicht und werden für 10 Jahre aufbewahrt (§ 147 AO, § 257 HGB).

Schulangebote (PDF-Angebote) sowie die zugehörigen Adress- und Bestelldaten werden als Handelskorrespondenz für mindestens 6 Jahre aufbewahrt (§ 257 Abs. 2 HGB). Führt ein Angebot zu einer Bestellung und Rechnungsstellung, gilt die steuerrechtliche Aufbewahrungspflicht von 10 Jahren.

6. Weitergabe an Dritte und Auftragsverarbeiter

Personenbezogene Daten werden nur an Dritte weitergegeben, soweit dies zur Vertragserfüllung notwendig oder gesetzlich vorgeschrieben ist. Folgende Dienstleister sind als Auftragsverarbeiter gemäß Art. 28 DSGVO eingebunden:

Hosting – Hetzner

Die Plattform und Datenbank werden auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland (hetzner.com) betrieben. Die Verarbeitung erfolgt ausschließlich in Deutschland bzw. der EU. Es besteht ein Auftragsverarbeitungsvertrag.

Content Delivery – Bunny.net

Spieldateien, Unterrichtsmaterialien und statische Inhalte werden über das CDN-Netzwerk von BunnyWay d.o.o., Cesta komandanta Staneta 4A, 1215 Medvode, Slowenien (bunny.net) ausgeliefert. Dabei kann die IP-Adresse der Nutzer zur Auslieferung der Inhalte verarbeitet werden. Bunny.net betreibt Server innerhalb der EU. Es werden keine personenbezogenen Nutzer- oder Schülerdaten auf Bunny.net-Servern gespeichert. Es besteht ein Auftragsverarbeitungsvertrag.

Zahlungsabwicklung – Mollie

Für die Abwicklung von Online-Zahlungen (Einzelkauf) nutzen wir den Dienst Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Niederlande (mollie.com/de/privacy).

Beim Bezahlvorgang werden Sie auf die gesicherte Zahlungsseite von Mollie weitergeleitet. Dort gelten die Datenschutzbestimmungen von Mollie. Auf dieser externen Seite haben wir keinen Einfluss auf die Datenverarbeitung durch Mollie.

Mollie verarbeitet zur Durchführung der Transaktion: Zahlungsdaten (z. B. IBAN, Kreditkartendaten), IP-Adresse, Geräteinformationen sowie Transaktionsdetails. Diese Verarbeitung erfolgt teils auf Grundlage eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO), teils auf Basis eigener gesetzlicher Verpflichtungen von Mollie (z. B. Geldwäscheprävention, PSD2), für die Mollie als eigenständiger Verantwortlicher handelt.

Die Übermittlung in die Niederlande ist auf Basis des EU-Binnenmarkts zulässig. Für weitere Informationen zur Datenverarbeitung durch Mollie verweisen wir auf die Datenschutzerklärung von Mollie.

E-Mail-Versand – Brevo

Transaktionale und systembezogene E-Mails werden über den Dienst Brevo SAS, 7 rue de Madrid, 75008 Paris, Frankreich (brevo.com) versendet. Dazu gehören: E-Mail-Adressverifizierung bei der Registrierung, Passwort-Zurücksetzen, Bestellbestätigungen und Rechnungen, Übersendung von Schulangeboten (PDF), Einladungs-E-Mails an als Schuladministrator vorgesehene Personen sowie interne Benachrichtigungen an den Plattformbetreiber bei Neuregistrierungen und die Weiterleitung von Nutzerfeedback und Fehlermeldungen. Dabei werden E-Mail-Adressen und Nachrichteninhalte an Brevo übermittelt. Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Die Verarbeitung erfolgt auf Servern innerhalb der EU.

7. Auftragsverarbeitung durch Schulen (AVV)

Schulen, die Dinoschule im Unterricht einsetzen, sind im datenschutzrechtlichen Sinne eigenständige Verantwortliche für die Nutzung durch ihre Lehrkräfte. Auf Wunsch stellen wir Schulen einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO zur Verfügung, der im Schulkauf-Prozess heruntergeladen werden kann.

8. Spiele und interaktive Lernmodule

8.1 Spiele (Godot/WebAssembly)

Die Kernspiele von Dinoschule werden als WebAssembly-Anwendungen im Browser der Schülerinnen und Schüler ausgeführt. Die Spieledateien werden über unser CDN (Bunny.net) ausgeliefert; dabei wird die IP-Adresse der Nutzer zur Inhaltsauslieferung verarbeitet (siehe Abschnitt 6). Für die Spiele selbst gelten folgende Grundsätze:

  • Keine eigenständige Datenübertragung: Die Spiele bauen keine eigenen Verbindungen zu externen Servern auf und enthalten kein Tracking, keine Telemetrie und keine Werbung. Sämtliche Kommunikation erfolgt ausschließlich über die Plattform-Infrastruktur.
  • Spielsitzungsdaten: Während einer Unterrichtssitzung wird der Vorname der teilnehmenden Schülerinnen und Schüler sowie der Spielverlauf (Punktestände, Antworten) im Arbeitsspeicher des Servers verarbeitet. Diese Daten dienen ausschließlich der Echtzeit-Koordination des Spiels und werden bei Sitzungsende vollständig gelöscht. Es findet keine dauerhafte Speicherung von Spielergebnissen auf Schülerebene statt.
  • Kein persistenter Spielstand: Individuelle Spielfortschritte von Schülerinnen und Schülern werden nicht dauerhaft gespeichert. In der Datenbank werden lediglich anonymisierte Teilnehmerzahlen pro Sitzung erfasst.
  • Lokaler Browserspeicher: Einige Spiele nutzen den localStorage des Browsers für technisch notwendige Spielzustände (z. B. Zwischenstände während einer laufenden Sitzung). Diese Daten verbleiben ausschließlich auf dem Endgerät und sind für uns nicht zugänglich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Unterrichtsdurchführung) für die temporäre Verarbeitung von Spielsitzungsdaten.

8.2 Interaktive Lernmodule

Dinoschule umfasst neben den Kernspielen weitere interaktive Lernmodule, die Lehrkräften erweiterte Unterrichtsfunktionen bieten. Für alle Module gelten folgende einheitliche Datenschutzgrundsätze:

  • Lehrkraft-Inhalte: Sofern ein Modul die Erstellung eigener Inhalte ermöglicht, werden diese in unserer Datenbank gespeichert und sind mit der Lehrkraft-ID verknüpft. Sie werden auf Wunsch oder bei Kontolöschung entfernt.
  • Schülerdaten während Sitzungen: Antworten, Punktestände und sonstige sitzungsbezogene Schülerdaten werden ausschließlich für die Dauer der aktiven Unterrichtssitzung im Arbeitsspeicher verarbeitet. Nach Sitzungsende werden diese Daten vollständig gelöscht. Es findet keine dauerhafte Speicherung von Schülerantworten oder -ergebnissen statt.
  • Sitzungs-Cookies der Module: Module können technisch notwendige Sitzungs-Cookies setzen, die verschlüsselte Sitzungsdaten (Benutzerrolle, Sitzungs-ID, Vorname) enthalten. Diese Cookies sind HttpOnly, werden nur über HTTPS übertragen und laufen nach Ende der Unterrichtsstunde automatisch ab (in der Regel nach 4 Stunden).
  • Keine externen Dienste: Die Module verwenden keine externen Analyse-, Tracking- oder Werbedienste. Alle Ressourcen werden vom eigenen Server ausgeliefert.
  • Öffentlich geteilte Inhalte: Sofern ein Modul das öffentliche Teilen von Inhalten unterstützt, gelten die Regelungen aus Abschnitt 2.5.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Lehrkraft-Inhalte; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Unterrichtsdurchführung) für die temporäre Verarbeitung von Schülerdaten während aktiver Sitzungen.

9. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und Widerspruch (Art. 21 DSGVO). Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die im Impressum genannte Kontaktadresse. Sie haben außerdem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

Soweit automatisierte Entscheidungen im Sinne von Art. 22 DSGVO getroffen werden – etwa die automatische Vergabe von Contributor Premium auf Basis von Nutzungsmetriken (siehe Abschnitt 2.5) – haben Sie das Recht, den eigenen Standpunkt darzulegen und eine Überprüfung durch eine Person zu verlangen. Entsprechende Anfragen richten Sie bitte an datenschutz@dinoschule.de.

10. Cookies und lokale Speicherung

Dinoschule verwendet auf eigenen Seiten ausschließlich technisch notwendige Cookies für die Authentifizierung (Sitzungsverwaltung). Nach der Anmeldung wird ein Cookie mit dem Namen next-auth.session-token gesetzt, das einen verschlüsselten Sitzungstoken enthält. Dieses Cookie ist HttpOnly (nicht per JavaScript auslesbar), wird ausschließlich über HTTPS übertragen und läuft nach 24 Stunden automatisch ab. Darüber hinaus wird der Browser-Speicher (sessionStorage) für temporäre Spielsitzungsdaten sowie localStorage für folgende Zwecke verwendet: den zuletzt eingegebenen Schülernamen (bis zu 30 Tage), den Inhalt des Warenkorbs (bis zum Abschluss des Kaufvorgangs oder manuellen Leeren), Anzeigeeinstellungen der Plattform (z. B. gewählte Shop-Ansicht) sowie weitere technische Benutzereinstellungen. Alle localStorage-Daten verbleiben ausschließlich auf dem jeweiligen Endgerät und sind für uns nicht zugänglich. Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt.

Hinweis: Beim Bezahlvorgang werden Sie auf die externe Zahlungsseite von Mollie weitergeleitet. Auf dieser Seite kann Mollie eigene Cookies und Tracking-Technologien zur Betrugsprävention und Transaktionsabwicklung einsetzen. Dies unterliegt ausschließlich der Datenschutzerklärung und Cookie-Richtlinie von Mollie.

11. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten gegen Manipulation, Verlust oder unberechtigten Zugriff zu schützen. Dazu gehören verschlüsselte Datenübertragung (HTTPS/TLS), sichere Passwort-Speicherung (Hashing) sowie Zugriffsbeschränkungen auf produktive Systeme.

12. Kontakt bei Datenschutzfragen

Bei Fragen zum Datenschutz wenden Sie sich bitte an: datenschutz@dinoschule.de