Stand: April 2026 (OAuth-Transparenz, Datenpannen-Meldung, Sub-Processor-Zertifizierungen)
Verantwortlicher im Sinne der DSGVO ist:
Für Lehrerinnen und Lehrer:
Für Eltern (bei Buchung):
Die Verarbeitung der Daten erfolgt zum Zweck der Terminverwaltung für Elternsprechtage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
E-Mail-Adressen von Eltern werden ausschließlich für den Versand der Buchungsbestätigung verwendet und nicht für Werbezwecke genutzt.
Feedback-Nachrichten, die Lehrkräfte freiwillig über die Feedback-Funktion einreichen, werden zur Verbesserung des Dienstes verarbeitet und gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Anbieters an der Weiterentwicklung der Plattform). Die Einreichung ist vollständig freiwillig.
Lehrkräfte können nach Ablauf eines Sprechtags freiwillig eine Bewertung abgeben (Sternebewertung von 1–5, optionaler Freitext). Die Speicherung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Qualitätssicherung und Weiterentwicklung des Dienstes). Eine Veröffentlichung der Bewertung auf der Webseite – gegebenenfalls mit Vor- und Nachname und/oder Schulname – erfolgt ausschließlich nach ausdrücklicher Einwilligung der Lehrkraft im Bewertungsformular (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO). Vor Veröffentlichung erfolgt eine Sichtprüfung durch den Anbieter. Die Einwilligung kann jederzeit formlos per E-Mail an kontakt@sprechtag.app widerrufen werden; die Bewertung wird dann von der Webseite entfernt.
Wenn Schulen sprechtag.app für die Durchführung von Elternsprechtagen einsetzen, ist die jeweilige Schule (vertreten durch die Schulleitung) datenschutzrechtlich Verantwortliche für die Verarbeitung von Eltern- und Schülerdaten im Sinne der DSGVO. sprechtag.app handelt in diesem Verhältnis als Auftragsverarbeiter gemäß Art. 28 DSGVO.
Schulen können einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abschließen. Anfragen richten Sie bitte an: kontakt@sprechtag.app
Buchungsdaten von Eltern (Name, E-Mail-Adresse, Kindname) werden automatisch 14 Tage nach dem Enddatum des jeweiligen Sprechtags gelöscht. Die zugehörigen Sprechtag-Strukturdaten (Termine, Terminraster) bleiben für die Lehrer-Übersicht erhalten.
Lehrerkonten und zugehörige Daten werden auf Wunsch jederzeit vollständig gelöscht (Funktion im Profil-Bereich verfügbar).
Lehrerkonten werden zudem automatisch gelöscht, wenn eine Schullizenz abgelaufen ist und das Konto über einen längeren Zeitraum nicht mehr genutzt wurde. Vor der automatischen Löschung wird eine Benachrichtigungs-E-Mail versandt. Die Löschung kann durch einen erneuten Login abgebrochen werden.
Rechnungs- und Zahlungsdaten (bei Lizenzkauf) werden gemäß § 257 HGB und § 147 AO zehn Jahre aufbewahrt (Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO – gesetzliche Pflicht) und danach gelöscht.
Alle personenbezogenen Buchungsdaten (Name der Eltern, E-Mail-Adresse, Name des Kindes) werden in der Datenbank verschlüsselt gespeichert (AES-256-GCM). Eine Entschlüsselung ist ausschließlich server-seitig möglich und erfordert einen geheimen Schlüssel, der nicht in der Datenbank gespeichert ist. Ein Datenbankzugriff ohne diesen Schlüssel liefert keine lesbaren Personaldaten.
Für den Betrieb des Dienstes werden folgende Drittanbieter eingesetzt. Mit allen Anbietern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO. Soweit eine Übermittlung in Drittstaaten (USA) erfolgt, geschieht dies auf Basis von Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO.
Supabase Inc. (USA) – Serverstandort: Deutschland (EU)
Datenbankhosting und Authentifizierung. Der Datenbankserver ist in Deutschland (AWS Frankfurt, eu-central-1) gehostet. Die gespeicherten Daten verlassen die EU nicht. Supabase ist nach SOC 2 Type 2 und ISO 27001 zertifiziert und HIPAA-konform. Datenschutzerklärung: supabase.com/privacy
Vercel Inc. (USA)
Hosting und Infrastruktur. Die Serverless-Functions und der Seiten-Rendering für sprechtag.app werden ausschließlich in der Vercel-Region Frankfurt (fra1, eu-central-1) ausgeführt. Beim Abruf der Website verarbeitet Vercel technische Server-Logfiles, die IP-Adresse, Browser-Typ, Datum/Uhrzeit und aufgerufene URL enthalten können. Inhalte von Request- oder Response-Bodies werden durch sprechtag.app nicht in Logs geschrieben. Diese Daten dienen ausschließlich dem Betrieb und der Sicherheit der Infrastruktur und werden nach spätestens 30 Tagen gelöscht (Art. 6 Abs. 1 lit. f DSGVO). Vercel Analytics erfasst zusätzlich aggregierte, nicht-personenbezogene Nutzungsmetriken (Seitenaufrufe, Ladezeiten) ohne Cookies oder Fingerprinting. Vercel ist nach ISO 27001:2013 und SOC 2 Type 2 zertifiziert und unter dem EU-US Data Privacy Framework gelistet. Datenschutzerklärung: vercel.com/legal/privacy-policy
Microsoft Corporation (USA) – optional
Anmeldung über Microsoft-Konto (OAuth). Bei Nutzung dieser Option wird die E-Mail-Adresse des Microsoft-Kontos an sprechtag.app übermittelt und zur Authentifizierung gespeichert. Die Übermittlung erfolgt auf Basis von Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO. Datenschutzerklärung: privacy.microsoft.com
Google LLC (USA) – optional
Anmeldung über Google-Konto (OAuth). Bei Nutzung dieser Option wird die E-Mail-Adresse des Google-Kontos an sprechtag.app übermittelt und zur Authentifizierung gespeichert. Die Übermittlung erfolgt auf Basis von Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO. Google ist im EU-US Data Privacy Framework zertifiziert. Datenschutzerklärung: policies.google.com/privacy
Resend Inc. (USA)
E-Mail-Versand (Buchungsbestätigungen, Magic Links, Einmal-Codes/OTP für die Anmeldung). Der Mail-Versand selbst erfolgt aus der Resend-Region Dublin (eu-west-1); Resend-Account-Metadaten (Empfängeradresse, Betreff, Delivery-Status, Message-IDs) sowie gesendete Mail-Inhalte werden jedoch nach Auskunft von Resend unabhängig von der Versand-Region in den USA gespeichert. Mit Resend besteht ein Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO; Rechtsgrundlage für den US-Transfer sind die EU-Standardvertragsklauseln (Art. 46 DSGVO). Resend speichert gesendete Nachrichten und zugehörige Versand-Logs zeitlich begrenzt zu Zustell- und Debugging-Zwecken. Resend ist SOC-2-konform und hält die Anforderungen der DSGVO ein. Datenschutzerklärung: resend.com/legal/privacy-policy
Supademo Inc. (USA) – interaktive Demo
Auf der Startseite wird beim Klick auf „Demo ansehen" ein interaktives Produktvideo über Supademo geladen. Das Script von Supademo wird ausschließlich auf Nutzerinteraktion hin (Lazy Load) nachgeladen — beim normalen Seitenaufruf werden keine Daten an Supademo übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Produktpräsentation). Datenschutzerklärung: supademo.com/privacy
Sentry GmbH (Deutschland) – Error-Monitoring
Erfassung von Programmfehlern (Stack-Traces, Browser-Kontextdaten wie User-Agent, URL, Zeitstempel) zur technischen Fehlerbehebung und Sicherstellung der Systemstabilität. Die Verarbeitung erfolgt ausschließlich in der Sentry-EU-Region (ingest.de.sentry.io, Frankfurt) — Daten verlassen die EU nicht. Speicherdauer: 30 Tage, danach automatische Löschung. Kein Session-Replay, kein Performance-Tracking, keine Cookies, kein Tracking über Seitenaufrufe hinweg. Mit Sentry besteht ein Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemstabilität und Fehlerbehebung). Sentry ist nach SOC 2 Type II zertifiziert. Datenschutzerklärung: sentry.io/privacy
Stripe Inc. (USA) – Zahlungsabwicklung
Zahlungen für kostenpflichtige Lizenzen werden über Stripe abgewickelt. Stripe verarbeitet Zahlungsdaten (Karteninformationen, SEPA-Daten, Rechnungsadresse) als eigenständiger Verantwortlicher im Sinne der DSGVO – nicht als Auftragsverarbeiter. Es gilt die Datenschutzerklärung von Stripe: stripe.com/de/privacy. Rechtsgrundlage für die Datenweitergabe: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe ist PCI-DSS-Level-1-zertifiziert, verfügt über SOC 1 und SOC 2 Type II-Berichte und ist unter dem EU-US Data Privacy Framework gelistet.
Bei der Anmeldung über ein Google- oder Microsoft-Konto wird Ihnen im Consent-Dialog angezeigt, welche Daten freigegeben werden (Scopes: openid email profile bei Google, email profile bei Microsoft). Technisch übermittelt der Anbieter Ihre E-Mail-Adresse sowie Profildaten (Name, Profilbild, Sprache). Gespeichert wird ausschließlich die E-Mail-Adresse — alle übrigen Profildaten werden verworfen. Ihre Anrede, Ihren Namen, Ihre Schule und Ihren Ort geben Sie anschließend selbst im Profil ein.
Unabhängig von sprechtag.app verarbeitet der jeweilige Anbieter (Google bzw. Microsoft) im Rahmen seiner Authentifizierungs-Infrastruktur eigene Daten, insbesondere IP-Adresse, Zeitpunkt des Logins, Gerätetyp und Browser-Informationen. Diese Verarbeitung liegt außerhalb unseres Einflussbereichs; es gelten die Datenschutzbestimmungen von Google bzw. Microsoft.
Sollte es trotz unserer Sicherheitsmaßnahmen zu einer Verletzung des Schutzes personenbezogener Daten kommen, benachrichtigen wir die zuständige Aufsichtsbehörde (LDI NRW) unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden (Art. 33 DSGVO). Betroffene Schulen informieren wir unverzüglich per E-Mail, damit sie ihre eigenen Informationspflichten erfüllen können. Ist ein hohes Risiko für betroffene Personen wahrscheinlich, benachrichtigen wir diese zusätzlich direkt (Art. 34 DSGVO). Unsere Meldungen enthalten Art und Umfang des Vorfalls, die voraussichtlichen Folgen und die ergriffenen Gegenmaßnahmen. Jede Panne — auch nicht-meldepflichtige — dokumentieren wir intern gemäß Art. 33 Abs. 5 DSGVO.
Strukturelle Risikominderung durch Datensparsamkeit: Buchungsdaten werden spätestens 14 Tage nach Ende des jeweiligen Sprechtags automatisch und unwiderruflich gelöscht (Art. 5 Abs. 1 lit. e DSGVO). Dadurch bleibt der Umfang personenbezogener Daten, die im Ernstfall überhaupt betroffen sein könnten, strukturell klein: Zu jedem Zeitpunkt sind nur Daten zu aktiven und unmittelbar bevorstehenden Sprechtagen im System vorhanden.
Sie haben das Recht auf:
Zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an: kontakt@sprechtag.app. Wir antworten innerhalb von einem Monat (Art. 12 Abs. 3 DSGVO).
Sie haben zudem das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestr. 2–4, 40213 Düsseldorf
Tel.: 0211 / 38424-0
poststelle@ldi.nrw.de · www.ldi.nrw.de
Die datenschutzrechtlichen Anforderungen an den Einsatz digitaler Dienste an Schulen variieren je nach Bundesland. Schulen sind verpflichtet, den Einsatz von sprechtag.app mit dem schulischen oder behördlichen Datenschutzbeauftragten abzustimmen, sofern dies nach dem jeweiligen Landesschulrecht vorgeschrieben ist.
Für Schulen in Bundesländern mit besonderen Anforderungen (z. B. Bayern, NRW, Baden-Württemberg) empfehlen wir:
sprechtag.app stellt auf Anfrage einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO sowie den TOM-Katalog (technisch-organisatorische Maßnahmen) zur Verfügung. Anfragen an: kontakt@sprechtag.app
sprechtag.app verwendet ausschließlich technisch notwendige Cookies für die Verwaltung von Anmeldesitzungen (Session-Cookie). Es werden keine Tracking- oder Werbe-Cookies eingesetzt. Eine Einwilligung ist daher gemäß § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich.