Datenschutzerklärung
1. Verantwortlicher
Aktueller Status: Zykloid befindet sich in einer Validierungsphase durch Fachkräfte ohne kommerzielle Tätigkeit. Die Teilnahme erfolgt unentgeltlich auf Basis individueller Test-Teilnahmevereinbarungen mit der jeweiligen Schule. Eine Monetarisierung des Dienstes findet derzeit nicht statt.
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (Art. 4 Nr. 7 DSGVO) und anderer nationaler Datenschutzgesetze ist der Betreiber dieser Website. Die vollständigen Kontaktdaten finden Sie im Impressum.
Kontakt für Datenschutzanfragen: datenschutz@zykloid-app.de
2. Datenschutzbeauftragter
Wegen der Verarbeitung von Lernstandsdaten von Kindern (im Umkreis von Art. 9 DSGVO — Daten zu Lernverhalten und kognitiver Entwicklung) wird derzeit anwaltlich geprüft, ob die Bestellung einer Datenschutzbeauftragten gemäß § 38 BDSG verpflichtend ist. Sobald geklärt: an dieser Stelle Kontaktdaten der/des DSB.
3. Rechtsgrundlagen der Verarbeitung
Wir verarbeiten personenbezogene Daten auf Basis folgender Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung bzw. vorvertragliche Maßnahmen (Test-Teilnahmevereinbarung mit der jeweiligen Schule, Lehrkräfte-Account, künftiger Pilot- oder Lizenzvertrag).
- Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (Validierung der pädagogischen Wirksamkeit des Dienstes, Logfiles zur IT-Sicherheit, Spam-Schutz, technische Stabilität).
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z. B. bei optionalen Verarbeitungen, sofern angeboten).
- Art. 28 DSGVO — Auftragsverarbeitung (für Schülerdaten im Schulauftrag).
- Landesschulgesetze und Schul-Datenschutzverordnungen — auf Seiten der Schule für die Verarbeitung von Schülerdaten.
4. Verarbeitung beim Besuch der Website
4.1 Logfiles (Server)
Beim Aufruf der Website werden vom Webserver automatisch Logdaten erfasst: IP-Adresse (gekürzt), Datum und Uhrzeit, aufgerufene URL, HTTP-Methode, Status-Code, übertragene Datenmenge, Referrer-URL, User-Agent.
Zweck: Bereitstellung der Website, IT-Sicherheit, Missbrauchserkennung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Speicherdauer: 7 Tage, danach automatische Löschung.
Empfänger: Hosting-Provider Hetzner Online GmbH (siehe Abschnitt 9).
4.2 Technisch notwendige Storage-Items
Wir nutzen ausschließlich die folgenden technisch notwendigen Speicher-Mechanismen. Sie sind nach § 25 Abs. 2 TDDDG einwilligungsfrei.
| Item | Typ | Zweck | Dauer |
|---|---|---|---|
kidi.lang |
localStorage | Sprachpräferenz (DE/EN) | dauerhaft, bis Nutzer:in löscht |
zykloid_theme |
localStorage | Helligkeits-Modus-Präferenz | dauerhaft, bis Nutzer:in löscht |
zykloid_key |
sessionStorage | Authentifizierungs-Token nach Login | nur Browser-Sitzung |
zykloid_session_start |
sessionStorage | Sitzungsablauf-Tracking | nur Browser-Sitzung |
Externe Cookies, Tracking, Analytics oder Embeds setzen wir nicht ein. Schriftarten und alle weiteren statischen Ressourcen werden lokal von unserem Server ausgeliefert — keine Übertragung an Google Fonts oder andere Drittanbieter.
5. Verarbeitung im Kontaktformular
Über das Kontaktformular auf der Startseite („Test-Teilnahme anfragen") können Schulen und Bildungsinstitutionen mit uns Kontakt aufnehmen, um sich für die laufende Validierungsphase zu interessieren. Erhoben werden die folgenden Daten:
- Pflichtfelder: Institution, Funktion, Bundesland, E-Mail-Adresse, Nachricht
- Optional: Anzeigename
- Technisch automatisch: SHA-256-gehashte IP-Adresse (Spam-/Rate-Limit, kein Klartext) und verkürzter User-Agent (max. 200 Zeichen)
Zweck: Bearbeitung der Anfrage und ggf. Vertragsanbahnung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (Spam-Schutz).
Speicherdauer: 6 Monate nach abschließender Bearbeitung; bei Vertragsabschluss: gemäß HGB- und AO-Aufbewahrungsfristen.
Spam-Schutz: Honeypot-Feld (kein externer Captcha-Dienst, keine Drittland-Übermittlung) plus serverseitiges Rate-Limit (5 Anfragen/Stunde pro IP-Hash).
6. Verarbeitung im Lehrkräfte-Account
Lehrkräfte erhalten ihren Zugang ausschließlich per Einladungslink über ihre Schule oder ihren Schulträger — Selbstregistrierung ist nicht möglich (B2B-Modell, siehe AGB). Im Account verarbeiten wir:
- Anmeldedaten (E-Mail-Adresse, Passwort-Hash, MFA-Token)
- Profildaten (Name, Schule, optional: Kollegium-Rolle)
- Sitzungs- und Sicherheits-Logs (Login-Zeitpunkt, Login-IP gehasht)
- Im Account erstellte Inhalte (Pseudonyme, Beobachtungen, KI-Chatverläufe — siehe Abschnitt 7)
Zweck: Bereitstellung des Dienstes, Kontoverwaltung, Sicherheit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (Sicherheit).
Speicherdauer: Während aktiver Nutzung des Accounts. Nach Vertragsende: Löschung innerhalb von 30 Tagen, soweit keine gesetzliche Aufbewahrungsfrist greift.
Rolle Zykloid: Wir sind Verantwortliche i. S. d. Art. 4 Nr. 7 DSGVO für die Lehrkräfte-Account-Daten.
7. Verarbeitung von Schülerdaten — Auftragsverarbeitung
Innerhalb des Lehrkräfte-Accounts können Lehrkräfte Beobachtungen, Lernstands-Einschätzungen und Förderpläne zu einzelnen Kindern erfassen. Diese Daten werden ausschließlich pseudonymisiert verarbeitet — die Lehrkraft vergibt ein Pseudonym, der Klarname des Kindes wird auf unseren Servern nicht gespeichert.
Rolle Schule: die Schule bzw. der Schulträger ist Verantwortliche i. S. d. Art. 4 Nr. 7 DSGVO für Schülerdaten.
Rolle Zykloid: wir sind Auftragsverarbeiter i. S. d. Art. 28 DSGVO im Auftrag der Schule.
Rechtsgrundlage: Art. 6 Abs. 1 lit. e DSGVO i. V. m. den Landesschulgesetzen und der jeweiligen Schul-Datenschutzverordnung.
Vertragsgrundlage: Auftragsverarbeitungsvertrag (AVV) zwischen Schule/Schulträger und Zykloid — bzw. Test-Teilnahmevereinbarung während der laufenden Validierungsphase.
Eltern und Sorgeberechtigte werden über die Verarbeitung im Rahmen der schulischen Information durch die Schule selbst aufgeklärt. Zykloid stellt der Schule auf Anforderung Informationen für Eltern-Newsletter und schulische Datenschutz-Hinweise zur Verfügung.
Wir nutzen keine Schülerdaten zum Training von KI-Modellen (siehe Abschnitt 8).
8. KI-Verarbeitung (Anthropic Claude API)
Zykloid nutzt zur Erstellung pädagogischer Diagnostik-Vorschläge und Förderplanungs-Bausteine die Claude-API der Anthropic PBC (San Francisco, USA). Anthropic ist nach dem EU-US Data Privacy Framework zertifiziert (vom EuG am 03.09.2025 bestätigt). Zusätzlich haben wir mit Anthropic Standardvertragsklauseln (SCC) und ein Transfer-Impact-Assessment (TIA) abgeschlossen, um auf eventuelle Schwächen des DPF (z. B. das Auslaufen von FISA Section 702) vorbereitet zu sein.
Zweck: Generierung pädagogischer Vorschläge im Diagnose-Chat (z. B. EIS-Sequenzen, Lernziel-Formulierungen, Rückmelde-Bausteine).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Kernfunktion des Dienstes).
Übermittelte Daten: der von der Lehrkraft eingegebene Beobachtungstext; keine Echtnamen, keine schulrechtlich-personenbezogenen Daten.
Speicherdauer bei Anthropic: Anthropic löscht API-Eingaben nach maximal 30 Tagen (Zero-Data-Retention nach Anthropic Privacy Policy).
Kein Training mit Eingabedaten: Anthropic nutzt API-Eingaben nicht zum Training seiner Modelle.
Subprozessor: AWS (für Hosting der Claude-Modelle), abgedeckt durch Anthropics SCC mit Subprozessor-Liste.
Keine automatisierte Entscheidung mit Rechtswirkung: Die KI liefert ausschließlich pädagogische Vorschläge. Jede pädagogische oder schulrechtliche Entscheidung (Lernziel, Förderbeschluss, Klassenarbeit) wird durch die Lehrkraft getroffen. Eine automatisierte Entscheidung im Sinne des Art. 22 DSGVO findet nicht statt.
Keine Emotionserkennung: Die KI ist technisch und im System-Prompt ausdrücklich darauf beschränkt, keine Aussagen über Emotionen, Stimmungen oder psychische Zustände von Schüler:innen zu treffen. Dies entspricht dem Verbot emotionserkennender KI-Systeme in Bildungseinrichtungen nach Art. 5 Abs. 1 lit. f) der KI-Verordnung (EU) 2024/1689, in Kraft seit 02.02.2025.
KI-Risikoklasse: Zykloid ist nach interner Einstufung ein KI-System mit begrenztem Risiko (Art. 50 KI-VO), kein Hochrisiko-System nach Anhang III. Begründung: Die KI bereitet pädagogische Vorschläge vor, ohne eigenständig Lernergebnisse zu bewerten oder den Lernweg zu steuern (Art. 6 Abs. 3 KI-VO). Die Einstufung ist intern dokumentiert und wird halbjährlich überprüft.
9. Empfänger und Subprozessoren
Wir setzen folgende Auftragsverarbeiter und Subprozessoren ein:
| Anbieter | Sitz | Zweck | Drittland-Garantie |
|---|---|---|---|
| Hetzner Online GmbH | Gunzenhausen, DE | Hosting, Backup, Logfiles | EU/EWR — keine Übermittlung |
| Sendinblue SAS (Brevo) | Paris, FR | Transaktionale E-Mails (Einladung, Passwort-Reset) | EU/EWR — keine Übermittlung |
| Anthropic PBC | San Francisco, US | KI-Modell für Diagnose-Chat (siehe Abschnitt 8) | DPF-zertifiziert + SCC + TIA |
| GitHub Inc. | San Francisco, US | Quellcode-Hosting (keine Endnutzer-Daten) | DPF-zertifiziert (Microsoft Inc.) |
Eine vollständige Subprozessor-Liste mit Versionsstand stellen wir Schulträgern im Rahmen des AVV (Art. 28 DSGVO) bereit.
10. Drittlandübermittlungen
Übermittlungen in die USA finden im Rahmen der unter Abschnitt 9 genannten Anbieter statt. Grundlage sind:
- Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 für das EU-US Data Privacy Framework (DPF), bestätigt durch das Gericht der EU am 03.09.2025.
- Ergänzende Standardvertragsklauseln (SCC) der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914.
- Transfer-Impact-Assessment (TIA) für jeden US-Anbieter.
Diese Doppelabsicherung ist bewusst gewählt: Sollte das DPF in einem späteren Verfahren („Schrems III") ausgesetzt oder revidiert werden, sind die Übermittlungen weiterhin durch die SCC gedeckt.
11. Speicherdauer im Überblick
| Datenkategorie | Dauer |
|---|---|
| Server-Logfiles | 7 Tage |
| Kontaktformular-Anfragen | 6 Monate nach Abschluss; bei Vertragsabschluss: HGB-/AO-Fristen |
| Lehrkräfte-Account-Daten | Während aktiver Nutzung; Löschung 30 Tage nach Vertragsende |
| Pseudonymisierte Schülerdaten | Nach Weisung der Schule (Verantwortliche), max. nach gesetzlicher Aufbewahrungsfrist Landesschulrecht |
| API-Eingaben an Anthropic | max. 30 Tage bei Anthropic |
| Backups | 30 Tage rolling, danach Überschreibung |
12. Ihre Rechte als betroffene Person
Sie haben jederzeit folgende Rechte:
- Auskunft über die Verarbeitung Ihrer Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten (Art. 17 DSGVO), soweit keine Aufbewahrungspflicht besteht
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit in einem strukturierten, gängigen, maschinenlesbaren Format (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde, insbesondere im EU-Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts oder Arbeitsplatzes (Art. 77 DSGVO)
Anfragen richten Sie bitte an datenschutz@zykloid-app.de. Wir bearbeiten Anliegen innerhalb der Frist von einem Monat nach Art. 12 Abs. 3 DSGVO.
13. Notwendigkeit der Datenbereitstellung
Die Bereitstellung Ihrer Daten erfolgt nicht aufgrund gesetzlicher Verpflichtung. Allerdings ist die Verarbeitung der unter Abschnitt 6 genannten Daten zwingend erforderlich, damit wir einen Lehrkräfte-Account einrichten und betreiben können. Ohne diese Daten ist eine Nutzung des Dienstes nicht möglich.
14. Automatisierte Entscheidungsfindung
Es findet keine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung oder ähnlicher Beeinträchtigung im Sinne von Art. 22 DSGVO statt. Die KI-gestützten Vorschläge (siehe Abschnitt 8) sind ausdrücklich Vorschläge — die Lehrkraft prüft, übernimmt, modifiziert oder verwirft sie. Die schulrechtliche Verantwortung liegt bei der Lehrkraft und der Schule.
15. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzureichen. Zuständig ist insbesondere die Behörde am gewöhnlichen Aufenthalts- oder Arbeitsort oder am Ort des mutmaßlichen Verstoßes. Eine Liste der Landesdatenschutzbeauftragten finden Sie auf der Seite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).
16. Aktualität und Änderung dieser Erklärung
Diese Datenschutzerklärung hat den Stand 27. April 2026. Aufgrund der Weiterentwicklung des Dienstes und gesetzlicher Anforderungen kann es notwendig werden, diese Erklärung zu aktualisieren. Die jeweils aktuelle Fassung finden Sie unter zykloid-app.de/datenschutz. Wesentliche Änderungen werden eingeloggten Lehrkräften zusätzlich per E-Mail mitgeteilt.