Datenschutzerklärung
Diese Datenschutzerklärung beschreibt, welche personenbezogenen Daten beim Einsatz von Prezenz – bestehend aus der Prezenz Student-App (für Windows und iPadOS), dem Prezenz Teacher Dashboard und der Browser-Erweiterung „Prezenz Web Guard" – erhoben, verarbeitet und gespeichert werden.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne von Art. 5 lit. j revDSG bzw. Art. 4 Nr. 7 DSGVO ist:
Fabio Derendinger
Schweiz
E-Mail:
[email protected]
Ein Datenschutzbeauftragter ist nach geltendem Recht aufgrund der Unternehmensgrösse nicht erforderlich. Anfragen zum Datenschutz werden über die obenstehende E-Mail-Adresse beantwortet.
2. Welche Daten erhoben werden
2.1 Konto- und Profildaten
| Datenkategorie | Beispiel | Quelle |
|---|---|---|
| E-Mail-Adresse | [email protected] | Registrierung |
| Passwort (gehashed) | — | Registrierung (von Supabase verarbeitet, niemals im Klartext sichtbar) |
| Vor- und Nachname (optional) | Anna Muster | Registrierung |
| Rolle | student / teacher | Automatisch beim Anlegen des Kontos gesetzt |
2.2 Klassen- und Sitzungsdaten
| Datenkategorie | Beschreibung |
|---|---|
| Klassenzugehörigkeit | Verknüpfung zwischen Schüler-Konto und Klassen-ID |
| Stundenplan | Vom Lehrer definierte Sitzungs-Zeitfenster (Wochentage, Uhrzeit, Zeitzone) |
| Live-Sitzungen | Start-Zeit, geplantes Ende, tatsächliches Ende einer Fokus-Sitzung |
| Teilnahmestatus | pending, joined, declined, left |
2.3 Fokus-Profile
Vom Nutzer (Schüler oder Lehrer) selbst angelegte Regelsätze. Diese enthalten
Namen wie z.B. spotify.exe oder Domains wie z.B. youtube.com,
die der Nutzer als blockiert oder erlaubt einträgt. Diese Listen werden vom
Nutzer selbst befüllt und stellen keine Beobachtung des Nutzerverhaltens dar.
2.4 Sitzungs-Ereignisse
Während einer aktiven Fokus-Sitzung werden bestimmte Ereignisse für die Lehrperson protokolliert (durabler Audit-Log). Es handelt sich ausschliesslich um Status- und Teilnahme-Ereignisse – keine Inhalte, URLs oder Eingaben. Folgende Ereignistypen werden erfasst:
| Ereignis | Was gespeichert wird |
|---|---|
interruption | Beginn, Ende und Dauer einer Unterbrechung während einer Sitzung (z. B. Verbindungsverlust, Standby). |
ui_tamper | Die Desktop-App wurde während einer Sitzung beendet, während der Hintergrunddienst weiterlief. |
service_tamper | Der Hintergrunddienst wurde während einer Sitzung beendet. |
enforcement_degraded | Der Schutz war zeitweise beeinträchtigt (z. B. die Browser-Erweiterung war inaktiv). |
did_not_join | Der Schüler ist einer geplanten Sitzung nicht beigetreten. |
joined_late | Der Schüler ist einer Sitzung verspätet beigetreten. |
left_early | Der Schüler hat eine Sitzung vorzeitig verlassen. |
Zu jedem Ereignis können eine technische Ursache (z. B.
device_sleep, network_loss, device_shutdown,
ui_kill, service_kill, ext_disabled) sowie ein
Schweregrad gespeichert werden, damit die Lehrperson eine legitime Unterbrechung
(z. B. Standby) von einer absichtlichen Umgehung unterscheiden kann.
2.5 Geräte-Identität und Schutz-Telemetrie
Damit der Schutz manipulationssicher ist, registriert die Desktop-App das Gerät und sendet während einer aktiven Sitzung regelmässig ein Lebenszeichen (Heartbeat) an das Backend. Erfasst werden:
- Geräte-Kennung: ein Hash (SHA-256) eines geräteeigenen Tokens – niemals im Klartext –, optional der Gerätename (Hostname), Plattform und Zeitpunkt des letzten Kontakts.
- Status-Signale: ob Dienst und App laufen (
service_up,ui_alive), ob die Browser-Erweiterung aktiv ist (ext_state), ob der Schutz aktiv ist, sowie eine fortlaufende Sequenznummer zur Erkennung von Lücken. - OS-Ereignis-Journal: ausschliesslich technische System-Marker zur Erklärung von Unterbrüchen – Standby, Sperrbildschirm, Netzwerkverlust, Herunterfahren. Keine URLs, Fenstertitel, Inhalte oder Tastatureingaben.
Diese Telemetrie dient allein dazu, dem Lehrer zu zeigen, dass der Schutz auf dem Gerät tatsächlich aktiv ist – nicht der Beobachtung der Tätigkeit des Schülers.
2.6 Anwesenheits-Status (Presence)
Während einer aktiven Sitzung sendet die Desktop-App zusätzlich ein flüchtiges Online-/Offline-Signal über einen Realtime-Kanal, damit die Lehrperson die Teilnahme in Echtzeit sehen kann. Dieses Signal wird nicht dauerhaft gespeichert und nur während der laufenden Sitzung übertragen.
2.7 Technische Daten beim Verbindungsaufbau
Bei jedem Verbindungsaufbau zum Backend werden technisch bedingt folgende Daten verarbeitet, die typischerweise von jedem Webdienst protokolliert werden (durch unseren Auftragsverarbeiter Supabase):
- IP-Adresse (kurzfristig in Authentifizierungs- und Server-Logs für Sicherheitszwecke)
- Zeitpunkt des Zugriffs
- HTTP User-Agent
Diese Daten werden nicht für Profilbildung oder Tracking verwendet und nicht mit weiteren Datenkategorien verknüpft.
2.8 Anmeldung über Drittanbieter (Single Sign-On)
Zusätzlich zur Anmeldung mit E-Mail und Passwort kann ein Konto über die
Anbieter Google, Microsoft oder
Apple („Sign in with Apple") erstellt bzw. genutzt werden. Dabei
erhalten wir vom jeweiligen Anbieter ausschliesslich die zur Kontoerstellung nötigen
Basisdaten (E-Mail-Adresse sowie, sofern vom Anbieter übermittelt, Vor- und Nachname).
Bei „Sign in with Apple" kann der Nutzer wählen, seine E-Mail-Adresse zu verbergen;
in diesem Fall erhalten wir lediglich eine anonymisierte Apple-Weiterleitungsadresse
(@privaterelay.appleid.com). Es werden keine weiteren Profildaten der
Anbieter abgerufen.
2a. Zusätzliche Verarbeitung in der iPadOS-App
Die Prezenz-Student-App für iPadOS erbringt dieselbe Fokus-Funktion wie die Windows-App, nutzt dafür jedoch die Bildschirmzeit-Technologie von Apple (Screen Time / Family Controls) statt eines Hintergrunddienstes. Daraus ergeben sich folgende Besonderheiten:
2a.1 Bildschirmzeit-Berechtigung und App-Auswahl
- Selbst erteilte Berechtigung: Der Schüler autorisiert die
Bildschirmzeit für sein eigenes Gerät selbst (Apple-Dialog,
.individual). Es besteht kein Eltern-/Aufsichts-Verhältnis und kein Mobile-Device-Management (MDM). Die Berechtigung ist jederzeit widerrufbar. - Opake App-Tokens: Wählt der Schüler seine schulischen Lern-Apps aus, liefert das Betriebssystem nur anonyme, gerätegebundene Kennungen (ApplicationTokens). Prezenz erfährt dadurch nicht, welche konkreten Apps installiert sind, und liest die installierten Apps nicht aus. Diese Auswahl wird ausschliesslich lokal auf dem Gerät gespeichert und nicht an unsere Server übertragen.
- Sperrung lokal: Das Ausblenden ablenkender Apps während einer Sitzung geschieht vollständig auf dem Gerät über Apples ManagedSettings. Es werden keine Bildschirminhalte erfasst oder übertragen.
2a.2 Manipulations-Erkennung (Tampering)
Wird die Bildschirmzeit-Berechtigung während einer laufenden Lehrer-Sitzung
entzogen, kann der Schutz nicht mehr greifen. Dieser eine Vorgang wird – analog zu den
Tamper-Ereignissen der Windows-App – als Sitzungs-Ereignis erfasst (Ursache
authorization_revoked), damit die Lehrperson eine absichtliche Umgehung
erkennen kann. Es werden dabei keine Inhalte oder App-Namen gespeichert.
2a.3 Push-Benachrichtigungen (Apple Push Notification service)
Damit Sitzungs-Einladungen und -Hinweise das iPad auch bei geschlossener App erreichen, registriert die App ein Apple-Push-Gerätetoken und speichert es mit dem Konto verknüpft (Plattform, Umgebung, Zeitstempel). Die Zustellung der Benachrichtigungen erfolgt über den Apple Push Notification service (APNs); dabei wird Apple Inc. (USA) als Vermittler tätig. Übertragen werden ausschliesslich die technischen Daten zur Zustellung der Benachrichtigung – keine Inhalte über das Verhalten des Schülers. Das Gerätetoken wird bei Abmeldung bzw. Ungültigkeit deaktiviert.
3. Was wir nicht erheben
- Keine Browserverläufe – besuchte URLs werden nicht gespeichert oder gesendet
- Keine Inhalte von Webseiten – nichts wird gelesen, ausser dem Hostnamen zum Vergleich mit der Sperrliste
- Keine Fenstertitel oder Dokumenteninhalte
- Keine Tastatureingaben (kein Keylogging)
- Keine Screenshots, keine Bildschirmaufnahmen
- Keine Aufnahme von Mikrofon, Kamera oder Standort
- Keine Zwischenablage (Clipboard)
- Keine vollständige Liste installierter Anwendungen
- Keine Analyse-, Werbe- oder Tracking-Cookies
- Keine Weitergabe an Werbenetzwerke
4. Browser-Erweiterung „Prezenz Web Guard"
Die Browser-Erweiterung ist ein separater Bestandteil von Prezenz, der ausschliesslich lokal auf dem Gerät des Schülers arbeitet.
4.1 Funktionsweise
Die Erweiterung kommuniziert ausschliesslich mit der lokal installierten Prezenz Desktop-App über eine Chrome Native-Messaging-Bridge. Sie holt sich von dort die für die aktive Sitzung geltenden Domain-Regeln und blockiert entsprechende Webseiten in Echtzeit. Es findet keine direkte Kommunikation mit irgendeinem externen Server statt – auch nicht mit Servern des Anbieters.
4.2 Berechtigungen und ihre Notwendigkeit
| Berechtigung | Wofür |
|---|---|
declarativeNetRequest |
Zur effizienten Sperrung definierter Domains ohne Verarbeitung von Seiteninhalten. |
nativeMessaging |
Für die ausschliesslich lokale Verbindung zur Prezenz Desktop-App auf demselben Gerät. |
webNavigation |
Erkennt Navigationen als Fallback für seltene Fälle, in denen declarativeNetRequest nicht greift. Es werden ausschliesslich Host-Vergleiche durchgeführt, keine URLs gespeichert. |
<all_urls> (Host-Berechtigung) |
Erforderlich, damit Sperrlisten mit beliebigen vom Lehrer/Nutzer definierten Domains funktionieren. Es findet keinerlei Datenextraktion von besuchten Seiten statt. |
Inkognito-/private Fenster werden nicht von der Erweiterung erfasst, sondern von der Prezenz-Desktop-App während einer Sitzung minimiert. Die Erweiterung benötigt daher keine Inkognito-Berechtigung.
4.3 Datenverarbeitung der Erweiterung
Die Erweiterung verarbeitet ausschliesslich lokal den Hostnamen aktuell
besuchter Seiten zum Vergleich mit der vom Lehrer definierten Sperrliste.
Wird ein Treffer erkannt, leitet die Erweiterung den Tab auf eine lokale
Sperrseite (blocked.html) um. URLs, Inhalte oder Verlauf werden
weder gespeichert noch übertragen.
5. Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage |
|---|---|
| Bereitstellung des Dienstes (Konto, Authentifizierung, Klassenverwaltung, Sitzungen) | Vertragserfüllung – Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 31 Abs. 2 lit. a revDSG |
| Erfassung von Sitzungs-Ereignissen und Schutz-Telemetrie während einer Sitzung (zur Kontrolle des Unterrichtsfokus und der Wirksamkeit des Schutzes durch die Lehrperson) | Berechtigtes Interesse – Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 31 Abs. 1 revDSG, bei Minderjährigen ggf. zusätzliche Einwilligung gemäss Art. 8 DSGVO |
| Sicherheitsprotokollierung beim Verbindungsaufbau (IP, Zeitstempel) | Berechtigtes Interesse an Systemsicherheit |
6. Empfänger und Auftragsverarbeiter
Folgende Auftragsverarbeiter werden eingesetzt:
| Anbieter | Zweck | Standort |
|---|---|---|
| Supabase Inc. / Supabase Pte. Ltd. | Authentifizierung, Datenbank, Realtime-Kanal | Schweiz (Zürich, eu-central-2) |
| Cloudflare Inc. | DNS, Bereitstellung der statischen Dashboard-Dateien (HTML, CSS, JavaScript) | Global / EU-Edge |
| Google LLC (nur für die Browser-Erweiterung) | Bereitstellung über Chrome Web Store | USA (Privacy Shield Successor) |
| Apple Inc. (nur für die iPadOS-App) | Zustellung von Push-Benachrichtigungen (APNs) sowie „Sign in with Apple" | USA (EU-US Data Privacy Framework) |
Sämtliche Schüler- und Klassendaten werden in einem Schweizer Rechenzentrum
in Zürich (Supabase, eu-central-2) gespeichert. Es findet keine
Übermittlung dieser Daten in Drittländer ausserhalb der Schweiz und des EU/EWR
statt. Mit Supabase als Auftragsverarbeiter besteht eine entsprechende
Vereinbarung inkl. Standardvertragsklauseln.
Einzige Ausnahme (nur iPadOS): Bei Nutzung der iPad-App werden technisch bedingt das Apple-Push-Gerätetoken (zur Zustellung von Benachrichtigungen über APNs) sowie – bei „Sign in with Apple" – die Anmelde-Basisdaten durch Apple Inc. in den USA verarbeitet. Diese Übermittlung stützt sich auf das EU-US Data Privacy Framework bzw. die Standardvertragsklauseln und beschränkt sich auf die zur Anmeldung und Benachrichtigungs-Zustellung nötigen Daten. Schul-, Klassen- und Sitzungsinhalte verlassen die Schweiz nicht.
Hinweis zur Rolle von Cloudflare: Cloudflare hält ausschliesslich die statischen Dateien des Teacher Dashboards (HTML, CSS, JavaScript) vor und verarbeitet selbst keine Anwendungs- oder Schülerdaten. Sämtliche Datenbankzugriffe (Login, Klassen, Profile, Sitzungs-Ereignisse, Telemetrie, Realtime-Kanal) erfolgen direkt zwischen der App bzw. dem Browser und Supabase Zürich, ohne dass Cloudflare in diesen Datenfluss eingebunden wäre. Cloudflare hat technisch keinen Zugriff auf Inhalte der Anwendung.
7. Speicherdauer
| Datenkategorie | Dauer |
|---|---|
| Konto- und Profildaten | Bis zur Löschung des Kontos durch den Nutzer |
| Klassen, Sitzungen, Sitzungs-Ereignisse | Bis zur Löschung des Kontos oder der zugehörigen Klasse |
| Geräte-Kennung (Token-Hash) | Bis zur Löschung des Kontos oder Widerruf des Geräts |
| Apple-Push-Gerätetoken (iPadOS) | Bis zur Abmeldung, Ungültigkeit (Deaktivierung) oder Löschung des Kontos |
| Heartbeat-Live-Status (pro Sitzung) | Flüchtiger Hot-State; wird bei Sitzungsende abgeschlossen, dauerhaft bleiben nur die Sitzungs-Ereignisse |
| Anwesenheits-Status (Presence) | Wird nicht dauerhaft gespeichert |
| Authentifizierungs-Logs (IP) | Gemäss Supabase-Richtlinien (typischerweise wenige Tage) |
8. Ihre Rechte
Sie haben jederzeit das Recht auf:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO / Art. 25 revDSG)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO / Art. 32 revDSG)
- Löschung Ihrer Daten (Art. 17 DSGVO / Art. 28 revDSG) – siehe unten
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde (in der Schweiz: EDÖB; in Deutschland: zuständige Landesdatenschutzbehörde)
8.1 Konto und Daten löschen
Sie können Ihr Konto und sämtliche zugehörigen Daten jederzeit selbständig in der App löschen (Einstellungen → Konto löschen). Die Löschung erfolgt unmittelbar und unwiderruflich. Alternativ können Sie eine Löschanfrage per E-Mail an [email protected] stellen.
9. Einsatz im Schulkontext und Minderjährige
Prezenz wird im Rahmen von Schulen eingesetzt. Die jeweilige Schule ist datenschutzrechtlich Verantwortliche für den Einsatz und holt – sofern erforderlich – die Einwilligung der Erziehungsberechtigten von Schülern unter 16 Jahren gemäss Art. 8 DSGVO ein. Mit Schulen, die Prezenz produktiv einsetzen, wird ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen.
10. Sicherheit
Die Übertragung sämtlicher Daten erfolgt verschlüsselt über TLS (HTTPS / WSS). Zugriff auf gespeicherte Daten ist durch Row Level Security in der Datenbank beschränkt – jeder Nutzer kann ausschliesslich auf die eigenen Daten zugreifen, Lehrpersonen zusätzlich auf die Daten der Schüler ihrer eigenen Klasse während laufender Sitzungen.
11. Änderungen dieser Erklärung
Diese Datenschutzerklärung kann angepasst werden, wenn sich die Funktionalität der Anwendung wesentlich ändert. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar. Wesentliche Änderungen werden über die App kommuniziert.