Datenschutzerklärung

Präambel

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als „Daten“ bezeichnet) wir zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, sowohl im Rahmen der Erbringung unserer Leistungen als auch insbesondere auf unseren Webseiten, in mobilen Applikationen sowie innerhalb externer Onlinepräsenzen, wie z. B. unserer Social-Media-Profile sowie unseres Discord-Servers und Discord-Bots (nachfolgend zusammenfassend bezeichnet als „Onlineangebot“).

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Stand: 29. April 2026

Inhaltsübersicht

• Präambel
• Verantwortlicher
• Übersicht der Verarbeitungen
• Maßgebliche Rechtsgrundlagen
• Sicherheitsmaßnahmen
• Allgemeine Informationen zur Datenspeicherung und Löschung
• Rechte der betroffenen Personen
• Bereitstellung des Onlineangebots und Webhosting
• Einsatz von Cookies und Consent-Management (CookieYes)
• Registrierung, Anmeldung und Nutzerkonto
• Community Funktionen
• Single-Sign-On (Authentik / OpenID Connect)
• Externe Single-Sign-On-Anbieter (Apple, Google, X, Discord)
• Blogs und Publikationsmedien
• Kontakt- und Anfrageverwaltung (Contact Form 7 + CFDB7)
• Cloud-Speicher (Nextcloud)
• Online-Umfragen (LimeSurvey)
• Discord-Server und Discord-Bot
• Fachinformatiker-Lern-App (fachinformatiker.univastro.net)
• WordPress-Plugins und Funktionserweiterungen
• Gewinnspiele und Wettbewerbe
• Onlinemarketing
• Affiliate-Programme und Affiliate-Links
• Kundenrezensionen und Bewertungsverfahren
• Präsenzen in sozialen Netzwerken (Social Media)
• Plug-ins und eingebettete Funktionen sowie Inhalte
• Änderung und Aktualisierung
• Begriffsdefinitionen

Verantwortlicher

Marius Koch Südostallee 216 12487 Berlin Deutschland

E-Mail-Adresse: management@univastro.net

Impressum: https://univastro.net/impressum/

Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

• Bestandsdaten
• Kontaktdaten
• Inhaltsdaten
• Vertragsdaten
• Nutzungsdaten
• Meta-, Kommunikations- und Verfahrensdaten
• Event-Daten (Facebook)
• Protokolldaten
• Authentifizierungsdaten (OIDC-Tokens, Session-Identifier)
• Discord-Account-Daten (User-ID, Username, Server-ID, Rollen)
• Discord-Nachrichteninhalte (im Rahmen von Bot-Befehlen und Moderationsfunktionen)

Kategorien betroffener Personen

• Leistungsempfänger und Auftraggeber
• Interessenten
• Kommunikationspartner
• Nutzer
• Gewinnspiel- und Wettbewerbsteilnehmer
• Teilnehmer
• Mitglieder des Discord-Servers
• Nutzer des Fachinformatiker-Projekts

Zwecke der Verarbeitung

• Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten
• Kommunikation
• Sicherheitsmaßnahmen
• Reichweitenmessung
• Tracking
• Zielgruppenbildung
• Affiliate-Nachverfolgung
• Organisations- und Verwaltungsverfahren
• Durchführung von Gewinnspielen und Wettbewerben
• Feedback
• Umfragen und Fragebögen
• Marketing
• Profile mit nutzerbezogenen Informationen
• Anmeldeverfahren und zentrale Identitätsverwaltung
• Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit
• Informationstechnische Infrastruktur
• Öffentlichkeitsarbeit
• Bereitstellung von Cloud-Speicherdiensten
• Moderation von Community-Inhalten (Discord)
• Durchführung des Fachinformatiker-Abschlussprojekts (Ausbildungs- und Prüfungszweck) sowie Bereitstellung der Lern-App

Maßgebliche Rechtsgrundlagen

Maßgebliche Rechtsgrundlagen nach der DSGVO: Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten.

• Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) – Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen spezifischen Zweck oder mehrere bestimmte Zwecke gegeben.
• Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) – Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
• Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) – die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten notwendig, vorausgesetzt, dass die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten verlangen, nicht überwiegen.

Nationale Datenschutzregelungen in Deutschland: Zusätzlich zu den Datenschutzregelungen der DSGVO gelten nationale Regelungen zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Bundesdatenschutzgesetz (BDSG) sowie das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG), das insbesondere für die Speicherung und das Auslesen von Informationen auf Endgeräten der Nutzer (z. B. Cookies, § 25 TDDDG) maßgeblich ist.

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben (insb. Art. 32 DSGVO) unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Konkrete technische und organisatorische Maßnahmen (TOMs):

• Transportverschlüsselung: Sämtliche Web- und Subdomain-Dienste (univastro.net, auth.univastro.net, cloud.univastro.net, umfrage.univastro.net, fachinformatiker.univastro.net) sind durch TLS 1.2/1.3 mit aktuellen Cipher-Suites abgesichert. HTTP-Anfragen werden automatisch auf HTTPS umgeleitet (HSTS).
• Verschlüsselung im Ruhezustand (At-Rest): Server-Festplatten werden mittels LUKS verschlüsselt. Backup-Daten werden vor der Übertragung mittels restic (AES-256) verschlüsselt.
• Backup-Strategie: Regelmäßige automatisierte, verschlüsselte Backups gemäß 3-2-1-Regel. Die Aufbewahrungsdauer der Backups beträgt maximal 30 Tage.
• Zugriffskontrolle: Administrativer Zugriff auf Server erfolgt ausschließlich über SSH-Public-Key-Authentifizierung; Passwort-basierte SSH-Logins sind deaktiviert. Root-Login ist gesperrt. fail2ban schützt gegen Brute-Force-Angriffe.
• Zentralisierte Authentifizierung: Nutzerkonten werden zentral über Authentik (siehe Abschnitt „Single-Sign-On“) verwaltet. Authentik unterstützt Multi-Faktor-Authentifizierung (TOTP, WebAuthn/FIDO2).
• Trennung von Diensten: Einzelne Dienste werden in separaten Docker-Containern bzw. virtuellen Maschinen voneinander isoliert betrieben.
• Netzwerksicherheit: Eingehender Datenverkehr wird durch eine Firewall (nftables/UFW) auf erforderliche Ports begrenzt. Reverse-Proxy (Nginx) mit Rate-Limiting schützt gegen Missbrauch.
• Monitoring & Logging: Zugriffe auf systemkritische Komponenten werden protokolliert; Anomalien werden über Uptime Kuma überwacht.
• Software-Aktualität: Sicherheitsupdates für Betriebssystem und Anwendungen werden zeitnah eingespielt. Container-Images werden regelmäßig aktualisiert.
• Sichere Datei-Uploads: Hochgeladene SVG-Dateien werden vor der Speicherung sanitisiert; das Hochladen ist auf vertrauenswürdige Nutzerrollen beschränkt.

Kürzung der IP-Adresse (IP-Masking): Sofern IP-Adressen von uns oder von den eingesetzten Dienstleistern verarbeitet werden und die Verarbeitung einer vollständigen IP-Adresse nicht erforderlich ist, wird die IP-Adresse gekürzt.

Sicherung von Online-Verbindungen durch TLS-/SSL-Verschlüsselungstechnologie (HTTPS): Um die Daten der Nutzer, die über unsere Online-Dienste übertragen werden, vor unerlaubten Zugriffen zu schützen, setzen wir auf die TLS-/SSL-Verschlüsselungstechnologie.

Allgemeine Informationen zur Datenspeicherung und Löschung

Wir löschen personenbezogene Daten, die wir verarbeiten, gemäß den gesetzlichen Bestimmungen, sobald die zugrundeliegenden Einwilligungen widerrufen werden oder keine weiteren rechtlichen Grundlagen für die Verarbeitung bestehen. Ausnahmen bestehen, wenn gesetzliche Pflichten oder besondere Interessen eine längere Aufbewahrung oder Archivierung der Daten erfordern.

Aufbewahrung und Löschung von Daten: Die folgenden allgemeinen Fristen gelten für die Aufbewahrung und Archivierung nach deutschem Recht:

• 10 Jahre – Aufbewahrungsfrist für Bücher und Aufzeichnungen, Jahresabschlüsse, Inventare, Lageberichte (§ 147 Abs. 1 Nr. 1 i.V.m. Abs. 3 AO, § 14b Abs. 1 UStG, § 257 Abs. 1 Nr. 1 i.V.m. Abs. 4 HGB).
• 8 Jahre – Buchungsbelege, wie z. B. Rechnungen und Kostenbelege (§ 147 Abs. 1 Nr. 4 und 4a i.V.m. Abs. 3 Satz 1 AO sowie § 257 Abs. 1 Nr. 4 i.V.m. Abs. 4 HGB).
• 6 Jahre – Übrige Geschäftsunterlagen (§ 147 Abs. 1 Nr. 2, 3, 5 i.V.m. Abs. 3 AO, § 257 Abs. 1 Nr. 2 u. 3 i.V.m. Abs. 4 HGB).
• 3 Jahre – Daten zur Berücksichtigung von Gewährleistungs- und Schadensersatzansprüchen (§§ 195, 199 BGB).

Rechte der betroffenen Personen

Rechte der betroffenen Personen aus der DSGVO: Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 21 DSGVO ergeben:

• Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten Widerspruch einzulegen.
• Widerrufsrecht bei Einwilligungen: Sie haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen.
• Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung unrichtiger Daten zu verlangen.
• Recht auf Löschung und Einschränkung der Verarbeitung (Art. 17, 18 DSGVO): Sie haben das Recht, zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Sie betreffende Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Beschwerde bei Aufsichtsbehörde (Art. 77 DSGVO): Die für uns zuständige Aufsichtsbehörde ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59-61, 10555 Berlin.

Bereitstellung des Onlineangebots und Webhosting

Wir verarbeiten die Daten der Nutzer, um ihnen unsere Online-Dienste zur Verfügung stellen zu können. Zu diesem Zweck verarbeiten wir die IP-Adresse des Nutzers, die notwendig ist, um die Inhalte und Funktionen unserer Online-Dienste an den Browser oder das Endgerät der Nutzer zu übermitteln.

• Verarbeitete Datenarten: Nutzungsdaten; Meta-, Kommunikations- und Verfahrensdaten; Protokolldaten.
• Betroffene Personen: Nutzer.
• Zwecke der Verarbeitung: Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit; Informationstechnische Infrastruktur; Sicherheitsmaßnahmen.
• Aufbewahrung und Löschung: Logfiles werden für die Dauer von maximal 30 Tagen gespeichert.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

• Hetzner: Leistungen auf dem Gebiet der Bereitstellung von informationstechnischer Infrastruktur; Dienstanbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland; Datenschutzerklärung: https://www.hetzner.com/de/rechtliches/datenschutz; Auftragsverarbeitungsvertrag: https://docs.hetzner.com/de/general/general-terms-and-conditions/data-privacy-faq/.
• netcup: Leistungen auf dem Gebiet der Bereitstellung von informationstechnischer Infrastruktur; Dienstanbieter: netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe, Deutschland; Datenschutzerklärung: https://www.netcup.de/kontakt/datenschutzerklaerung.php; Auftragsverarbeitungsvertrag: https://helpcenter.netcup.com/de/wiki/general/avv/.

Einsatz von Cookies und Consent-Management (CookieYes)

Unter dem Begriff „Cookies“ werden Funktionen, die Informationen auf Endgeräten der Nutzer speichern und aus ihnen auslesen, verstanden. Wir verwenden Cookies gemäß den gesetzlichen Vorschriften (insb. § 25 TDDDG und Art. 6 DSGVO). Dazu holen wir, wenn erforderlich, vorab die Zustimmung der Nutzer ein. Ist eine Zustimmung nicht notwendig, setzen wir auf unsere berechtigten Interessen.

Speicherdauer:

• Temporäre Cookies (Session-Cookies): Werden spätestens gelöscht, nachdem ein Nutzer ein Onlineangebot verlassen und sein Endgerät geschlossen hat.
• Permanente Cookies: Bleiben auch nach dem Schließen des Endgeräts gespeichert. Sofern wir keine expliziten Angaben zur Speicherdauer mitteilen, sollten Nutzer davon ausgehen, dass die Speicherdauer bis zu zwei Jahre betragen kann.

Allgemeine Hinweise zum Widerruf und Widerspruch (Opt-out): Nutzer können die von ihnen abgegebenen Einwilligungen jederzeit widerrufen — entweder über das Cookie-Banner / die persistente Cookie-Schaltfläche auf der Website oder mittels der Privatsphäre-Einstellungen ihres Browsers.

• Verarbeitete Datenarten: Meta-, Kommunikations- und Verfahrensdaten.
• Betroffene Personen: Nutzer.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO).

CookieYes | GDPR Cookie Consent

Zur Einholung, Protokollierung und Verwaltung von Einwilligungen für den Einsatz von Cookies und vergleichbaren Technologien setzen wir den Dienst CookieYes (Cloud-Variante) ein. CookieYes scannt unsere Website nach gesetzten Cookies und Tracking-Technologien, blendet ein Consent-Banner ein und protokolliert die Einwilligungsentscheidungen der Nutzer. Die Einwilligungserklärungen werden auf den Servern von CookieYes gespeichert, um den Nachweis der Einwilligung gemäß den gesetzlichen Anforderungen führen zu können.

Im Rahmen des Consent-Vorgangs werden insbesondere folgende Daten verarbeitet: pseudonymer Consent-Identifier, Zeitpunkt der Einwilligung, Umfang der Einwilligung (welche Cookie-Kategorien akzeptiert wurden), gekürzte IP-Adresse, Browser-Informationen, User-Agent sowie URL der Website. Personenbezogene Identifikationen (Name, E-Mail) werden über CookieYes nicht erhoben.

• Dienstanbieter: CookieYes Limited, 3 Shortlands, London, W6 8DA, Vereinigtes Königreich.
• Datenverarbeitung: Daten werden auf Servern in der Europäischen Union (AWS Frankfurt) verarbeitet. Eine Übermittlung in Drittländer kann im Einzelfall durch Sub-Auftragsverarbeiter erfolgen; CookieYes hat hierfür Standardvertragsklauseln abgeschlossen.
• Speicherdauer: Die Einwilligungserklärungen werden für einen Zeitraum von bis zu 12 Monaten gespeichert. Anschließend wird der Nutzer erneut um Einwilligung gebeten.
• Rechtsgrundlagen: Rechtliche Verpflichtung gemäß Art. 7 Abs. 1 DSGVO i.V.m. § 25 TDDDG (Nachweispflicht der Einwilligung); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
• Datenschutzerklärung: https://www.cookieyes.com/privacy-policy/
• Auftragsverarbeitungsvertrag: https://www.cookieyes.com/data-processing-addendum/
• Widerspruchsmöglichkeit: Nutzer können ihre Einwilligung jederzeit über die persistente Cookie-Schaltfläche (Banner) widerrufen.

Registrierung, Anmeldung und Nutzerkonto

Nutzer können ein Nutzerkonto anlegen. Im Rahmen der Registrierung werden den Nutzern die erforderlichen Pflichtangaben mitgeteilt. Die Authentifizierung erfolgt zentral über unsere Authentik-Instance (siehe Abschnitt „Single-Sign-On“). Zu den verarbeiteten Daten gehören insbesondere die Login-Informationen (Nutzername, Passwort sowie eine E-Mail-Adresse).

Im Rahmen der Inanspruchnahme unserer Registrierungs- und Anmeldefunktionen sowie der Nutzung des Nutzerkontos speichern wir die IP-Adresse und den Zeitpunkt der jeweiligen Nutzerhandlung. Die Speicherung erfolgt auf Grundlage unserer berechtigten Interessen als auch jener der Nutzer an einem Schutz vor Missbrauch und sonstiger unbefugter Nutzung.

Passwörter werden ausschließlich als gesalzener Hash (bcrypt/Argon2) gespeichert; Klartext-Passwörter werden zu keinem Zeitpunkt persistiert.

• Verarbeitete Datenarten: Bestandsdaten; Kontaktdaten; Inhaltsdaten; Nutzungsdaten; Protokolldaten.
• Betroffene Personen: Nutzer.
• Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten; Sicherheitsmaßnahmen; Organisations- und Verwaltungsverfahren; Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit.
• Aufbewahrung und Löschung: Löschung nach Kündigung des Nutzerkontos.
• Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise:

• Registrierung mit Pseudonymen: Nutzer dürfen statt Klarnamen Pseudonyme als Nutzernamen verwenden.
• Profile der Nutzer sind öffentlich: Die Profile der Nutzer sind öffentlich sichtbar und zugänglich.
• Multi-Faktor-Authentifizierung: Wir bieten TOTP (Time-based One-Time Password, RFC 6238) und WebAuthn/FIDO2 als zusätzliche Sicherheitsebene an. Die Verwaltung erfolgt zentral über Authentik.
• Löschung von Daten nach Kündigung: Wenn Nutzer ihr Nutzerkonto gekündigt haben, werden deren Daten im Hinblick auf das Nutzerkonto, vorbehaltlich einer gesetzlichen Erlaubnis, Pflicht oder Einwilligung der Nutzer, gelöscht.

Community Funktionen

Die von uns bereitgestellten Community Funktionen erlauben es Nutzern miteinander in Konversationen oder sonst miteinander in einen Austausch zu treten.

• Verarbeitete Datenarten: Bestandsdaten; Nutzungsdaten.
• Betroffene Personen: Nutzer.
• Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten; Sicherheitsmaßnahmen; Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit.
• Aufbewahrung und Löschung: Löschung entsprechend Angaben im Abschnitt „Allgemeine Informationen zur Datenspeicherung und Löschung“.
• Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise:

• Beiträge der Nutzer sind öffentlich: Die von Nutzern erstellten Beiträge und Inhalte sind öffentlich sichtbar und zugänglich.
• Speicherung von Daten zu Sicherheitszwecken: Die Beiträge und sonstige Eingaben der Nutzer werden zu Zwecken der Community- und Konversationsfunktionen verarbeitet. Wir weisen darauf hin, dass neben den Inhalten der Beiträge auch deren Zeitpunkt und die IP-Adresse der Nutzer gespeichert werden.

Single-Sign-On (Authentik / OpenID Connect)

Unter der Subdomain auth.univastro.net betreiben wir eine selbst gehostete Instanz der Identity-Management-Lösung Authentik. Authentik dient als zentraler Identity Provider (IdP) für unsere internen Dienste und ermöglicht eine einheitliche, sichere Anmeldung über das OpenID-Connect-Protokoll (OIDC).

Verarbeitete Daten

Im Rahmen der Anmeldung und Verwaltung von Nutzerkonten verarbeitet Authentik folgende personenbezogene Daten:

• Stammdaten des Kontos: Benutzername, E-Mail-Adresse, Anzeigename (optional), Passwort-Hash (bcrypt/Argon2).
• Authentifizierungsfaktoren: TOTP-Secret (verschlüsselt gespeichert), registrierte WebAuthn/FIDO2-Credentials (Public-Key-basiert; private Schlüssel verbleiben auf dem Endgerät des Nutzers).
• Session- und Token-Daten: OIDC-ID-Tokens, Access-Tokens, Refresh-Tokens, Session-Identifier.
• Authentifizierungs- und Autorisierungs-Logs: Login-Versuche (erfolgreich/fehlgeschlagen), Zeitstempel, IP-Adresse, User-Agent, Quell-Dienst (Audience), gewährte Berechtigungen.
• Mitgliedschaft in Gruppen/Rollen: Zur Steuerung der Berechtigungen in den angebundenen Diensten.

Angebundene Dienste

An die Authentik-Instance sind folgende Dienste über OpenID Connect angebunden:

• WordPress (univastro.net) — über das Plugin „OpenID Connect Generic“
• Nextcloud (cloud.univastro.net) — über die Nextcloud-App „OpenID Connect Login“ / „user_oidc“
• LimeSurvey (umfrage.univastro.net) — über die OAuth2/OIDC-Authentifizierungserweiterung
• Discord-Bot Admin-Panel — über OIDC-Integration
• Fachinformatiker-Lern-App (fachinformatiker.univastro.net) — über OIDC-Integration

Beim Anmeldevorgang wird der Nutzer vom jeweiligen Dienst auf auth.univastro.net weitergeleitet, authentifiziert sich dort einmalig und wird anschließend zum ursprünglichen Dienst zurückgeführt. Der Zieldienst erhält ausschließlich die für ihn freigegebenen Claims (typischerweise: Benutzername, E-Mail-Adresse, Gruppenzugehörigkeit). Das Passwort selbst verlässt zu keinem Zeitpunkt die Authentik-Instance.

Datenfluss & Sicherheit

• Self-hosting: Authentik läuft ausschließlich auf eigener Infrastruktur in Deutschland (Hetzner/netcup). Es findet keine Datenübermittlung an Authentik Security Inc. oder andere Drittanbieter statt.
• Verschlüsselung: Alle OIDC-Kommunikation erfolgt über TLS 1.2/1.3. Tokens sind kryptografisch signiert (RS256/ES256).
• Token-Lebensdauer: Access-Tokens sind kurzlebig (typischerweise 1 Stunde), Refresh-Tokens sind langlebiger und können widerrufen werden.
• MFA: Wir empfehlen und unterstützen Multi-Faktor-Authentifizierung (TOTP, WebAuthn/FIDO2).

Rechtsgrundlagen, Speicherdauer & Betroffenenrechte

• Verarbeitete Datenarten: Bestandsdaten; Kontaktdaten; Authentifizierungsdaten; Meta-, Kommunikations- und Verfahrensdaten; Protokolldaten.
• Betroffene Personen: Nutzer mit einem Konto in unseren Diensten.
• Zwecke der Verarbeitung: Anmeldeverfahren; zentrale Identitäts- und Berechtigungsverwaltung; Sicherheitsmaßnahmen (insbesondere Erkennung und Abwehr von unbefugten Anmeldeversuchen); Single-Sign-On.
• Aufbewahrung und Löschung:
  • Stammdaten: bis zur Löschung des Nutzerkontos
  • Authentifizierungs-Logs: maximal 90 Tage, danach Anonymisierung oder Löschung
  • Sessions/Tokens: nach Ablauf der Token-Lebensdauer bzw. Logout
  • Fehlgeschlagene Login-Versuche: maximal 30 Tage zur Abwehr von Brute-Force-Angriffen
• Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO – sicherer und einheitlicher Authentifizierungsdienst); Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO – sofern Nutzer eine externe Identität wie Apple, Google, X oder Discord für die Anmeldung verknüpfen).
• Löschung auf Anfrage: Nutzer können ihr Authentik-Konto jederzeit löschen lassen. Hierzu genügt eine Anfrage an management@univastro.net. Die Löschung wirkt sich automatisch auf alle angebundenen Dienste aus.

Externe Single-Sign-On-Anbieter (Apple, Google, X, Discord)

Zusätzlich zur internen Authentifizierung über Authentik bieten wir die Möglichkeit, sich über externe Single-Sign-On-Anbieter (Identity Provider) anzumelden. Diese externen Anmeldungen werden technisch durch Authentik vermittelt (Authentik fungiert als „Federation Broker“). Die Authentifizierung erfolgt direkt beim jeweiligen externen Anbieter; das dort hinterlegte Passwort ist für uns weder einsehbar noch wird es von uns gespeichert.

Im Rahmen einer solchen Authentifizierung erhalten wir eine Nutzer-ID mit der Information, dass der Nutzer beim jeweiligen Single-Sign-On-Anbieter eingeloggt ist. Welche zusätzlichen Daten übermittelt werden, hängt vom genutzten Anbieter, von den gewählten Datenfreigaben im Rahmen der Authentifizierung und davon ab, welche Daten der Nutzer in den Privatsphäre-Einstellungen beim Anbieter freigegeben hat. In der Regel sind dies die E-Mail-Adresse, der Benutzername und ein Avatar.

• Verarbeitete Datenarten: Bestandsdaten; Kontaktdaten; Nutzungsdaten; Meta-, Kommunikations- und Verfahrensdaten.
• Betroffene Personen: Nutzer.
• Zwecke der Verarbeitung: Anmeldeverfahren; Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit.
• Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO – durch aktive Auswahl des externen Anbieters); Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO).

Weitere Hinweise:

• Apple Single-Sign-On: Dienstanbieter: Apple Inc., Infinite Loop, Cupertino, CA 95014, USA; Datenschutzerklärung: https://www.apple.com/legal/privacy/de-ww/; Grundlage Drittlandtransfers: Standardvertragsklauseln.
• Google Single-Sign-On: Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Datenschutzerklärung: https://policies.google.com/privacy; Grundlage Drittlandtransfers: Data Privacy Framework (DPF).
• X Single-Sign-On: Dienstanbieter: X Internet Unlimited Company, One Cumberland Place, Fenian Street, Dublin 2 D02 AX07, Irland; Datenschutzerklärung: https://x.com/privacy; Grundlage Drittlandtransfers: Standardvertragsklauseln.
• Discord Single-Sign-On: Dienstanbieter: Discord Netherlands BV, Schiphol Boulevard 195, 1118 BG Schiphol, Niederlande; Datenschutzerklärung: https://discord.com/privacy; Grundlage Drittlandtransfers: Data Privacy Framework (DPF), Standardvertragsklauseln (Mutterkonzern Discord Inc., USA).

Blogs und Publikationsmedien

Wir nutzen Blogs oder vergleichbare Mittel der Onlinekommunikation und Publikation. Die Daten der Leser werden für die Zwecke des Publikationsmediums nur insoweit verarbeitet, als es für dessen Darstellung und die Kommunikation zwischen Autoren und Lesern oder aus Gründen der Sicherheit erforderlich ist.

• Verarbeitete Datenarten: Bestandsdaten; Kontaktdaten; Inhaltsdaten; Nutzungsdaten; Meta-, Kommunikations- und Verfahrensdaten.
• Betroffene Personen: Nutzer.
• Zwecke der Verarbeitung: Feedback; Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit; Sicherheitsmaßnahmen; Organisations- und Verwaltungsverfahren.
• Aufbewahrung und Löschung: Löschung entsprechend Angaben im Abschnitt „Allgemeine Informationen zur Datenspeicherung und Löschung“.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise:

• Kommentare und Beiträge: Wenn Nutzer Kommentare oder sonstige Beiträge hinterlassen, können ihre IP-Adressen auf Grundlage unserer berechtigten Interessen gespeichert werden. Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
• Akismet Anti-Spam-Prüfung: Wir nutzen den Dienst „Akismet“ zur Spam-Erkennung. Dazu werden alle Kommentarangaben (eingegebener Name, E-Mailadresse, IP-Adresse, Kommentarinhalt, Referrer, Browser- und Computersystem-Angaben sowie Zeit des Eintrags) an einen Server in den USA verschickt, dort analysiert und für Vergleichszwecke vier Tage lang gespeichert. Ist ein Kommentar als Spam eingestuft, werden die Daten über diese Zeit hinaus gespeichert. Nutzer können Pseudonyme verwenden oder auf die Eingabe des Namens oder der E-Mailadresse verzichten. Dienstanbieter: Aut O’Mattic A8C Irland Ltd., Grand Canal Dock, 25 Herbert Pl, Dublin, D02 AY86, Irland; Datenschutzerklärung: https://automattic.com/privacy/; Grundlage Drittlandtransfers: Data Privacy Framework (DPF), Standardvertragsklauseln.

Kontakt- und Anfrageverwaltung (Contact Form 7 + CFDB7)

Bei der Kontaktaufnahme mit uns (z. B. per Post, Kontaktformular, E-Mail, Telefon oder via soziale Medien) sowie im Rahmen bestehender Nutzer- und Geschäftsbeziehungen werden die Angaben der anfragenden Personen verarbeitet, soweit dies zur Beantwortung der Kontaktanfragen und etwaiger angefragter Maßnahmen erforderlich ist.

Auf unserer Website setzen wir das WordPress-Plugin Contact Form 7 zur Bereitstellung des Kontaktformulars sowie das Plugin Contact Form CFDB7 zur Speicherung der Formulareingaben in unserer WordPress-Datenbank ein. Beide Plugins werden vollständig auf unseren eigenen Servern ausgeführt; eine Datenübermittlung an externe Dritte findet im Rahmen dieser Plugins nicht statt.

Verarbeitete Daten

Wenn Sie unser Kontaktformular nutzen, verarbeiten wir die von Ihnen eingegebenen Daten — typischerweise:

• Name (oder Pseudonym)
• E-Mail-Adresse
• Betreff
• Nachrichteninhalt
• ggf. weitere im Formular abgefragte Felder
• technische Metadaten: IP-Adresse, Zeitstempel, User-Agent

Die Daten werden zum einen per E-Mail an die im System hinterlegte Empfänger-Adresse versendet (Contact Form 7), zum anderen in der WordPress-Datenbank gespeichert (CFDB7), um Anfragen auch nach einem Mail-Verlust nachvollziehen zu können.

• Verarbeitete Datenarten: Kontaktdaten; Inhaltsdaten; Meta-, Kommunikations- und Verfahrensdaten.
• Betroffene Personen: Kommunikationspartner.
• Zwecke der Verarbeitung: Kommunikation; Organisations- und Verwaltungsverfahren; Feedback; Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit.
• Aufbewahrung und Löschung: Anfragen werden in der CFDB7-Datenbank gespeichert, bis sie nicht mehr für die Beantwortung erforderlich sind. Spätestens 6 Monate nach abschließender Bearbeitung der Anfrage werden die Datensätze gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Anfragen mit vertraglichem Bezug werden im Rahmen der gesetzlichen Aufbewahrungsfristen archiviert.
• Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Hinweis: Personenbezogene Daten in Kontaktanfragen werden ausschließlich zum Zweck der Beantwortung verwendet und nicht für Werbung oder andere Zwecke weiterverarbeitet.

Cloud-Speicher (Nextcloud)

Unter der Subdomain cloud.univastro.net betreiben wir eine selbstgehostete Nextcloud-Instanz, die registrierten Nutzern einen Cloud-Speicher- und Kollaborationsdienst zur Verfügung stellt. Im Rahmen der Bereitstellung der Nextcloud-Instanz verarbeiten wir personenbezogene Daten der Nutzer, um Anmeldung, Speicherung, Synchronisation und Freigabe von Dateien sowie weitere Funktionen (Kalender, Kontakte, Notizen, sofern aktiviert) zu ermöglichen.

Die Authentifizierung erfolgt über die OpenID-Connect-Anbindung an unsere Authentik-Instance (siehe Abschnitt „Single-Sign-On“). Die Inhaltsdaten (hochgeladene Dateien) werden ausschließlich auf von uns betriebenen Servern in Deutschland gespeichert. Eine Weitergabe der Inhaltsdaten an Dritte erfolgt nicht, sofern keine gesetzliche Verpflichtung dies erfordert. Server-Festplatten werden mittels LUKS verschlüsselt; dies stellt jedoch keinen Schutz gegen einen kompromittierten Server zur Laufzeit dar. Nutzer, die ihre Daten zusätzlich vor Zugriffen durch den Betreiber schützen möchten, können clientseitige Verschlüsselung (z. B. Cryptomator) einsetzen.

• Verarbeitete Datenarten: Bestandsdaten; Kontaktdaten; Inhaltsdaten (hochgeladene Dateien, Kalendereinträge, Kontakte, Notizen); Nutzungsdaten; Meta-, Kommunikations- und Verfahrensdaten; Protokolldaten.
• Betroffene Personen: Nutzer der Nextcloud-Instanz; Dritte, deren Daten Nutzer in die Cloud hochladen.
• Zwecke der Verarbeitung: Bereitstellung von Cloud-Speicherdiensten; Erbringung vertraglicher Leistungen; Sicherheitsmaßnahmen; informationstechnische Infrastruktur.
• Aufbewahrung und Löschung: Inhaltsdaten werden gespeichert, bis der Nutzer sie löscht oder das Konto gelöscht wird. Nach Kontolöschung werden alle Inhaltsdaten und Metadaten innerhalb von 30 Tagen unwiederbringlich entfernt. Backups werden maximal 30 Tage aufbewahrt. Login-Protokolldaten werden nach 30 Tagen anonymisiert oder gelöscht.
• Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise:

• Self-Hosting auf eigener Infrastruktur: Die Nextcloud-Instanz wird auf eigenen, von uns angemieteten Servern in Deutschland (Hetzner, netcup) betrieben. Es findet keine Datenübermittlung an die Nextcloud GmbH oder Drittanbieter statt, sofern dies nicht durch den Nutzer (z. B. durch Einrichtung externer Speicher-Anbindungen) explizit veranlasst wird.
• Föderierte Freigaben: Falls Nutzer Dateien per föderierter Freigabe (Federation) mit Nutzern anderer Nextcloud-Instanzen teilen, werden zwangsläufig technische Metadaten (Benutzername, Server-Adresse, Freigabe-ID) an die Zielinstanz übermittelt. Die dortige Verarbeitung liegt außerhalb unserer Verantwortung.

Online-Umfragen (LimeSurvey)

Unter der Subdomain umfrage.univastro.net betreiben wir eine selbstgehostete LimeSurvey-Instanz zur Durchführung von Umfragen und Befragungen. Die Auswertung erfolgt in der Regel anonym.

Eine Verarbeitung personenbezogener Daten erfolgt nur insoweit, als dies zur Bereitstellung und technischen Durchführung der Umfragen erforderlich ist (z. B. Verarbeitung der IP-Adresse, um die Umfrage im Browser des Nutzers darzustellen oder mithilfe eines Cookies eine Wiederaufnahme der Umfrage zu ermöglichen). Die Authentifizierung von Administratoren und ggf. registrierten Teilnehmern erfolgt über die Anbindung an Authentik (siehe Abschnitt „Single-Sign-On“). Bei jeder Umfrage werden die Teilnehmer vor Beginn darüber informiert, ob sie anonym oder personalisiert teilnehmen.

• Verarbeitete Datenarten: Bestandsdaten (sofern nicht-anonyme Umfrage); Kontaktdaten; Inhaltsdaten (Antworten der Teilnehmer); Nutzungsdaten; Meta-, Kommunikations- und Verfahrensdaten.
• Betroffene Personen: Teilnehmer.
• Zwecke der Verarbeitung: Feedback; Umfragen und Fragebögen.
• Aufbewahrung und Löschung: Antworten werden nach Abschluss der Auswertung anonymisiert oder gelöscht, spätestens jedoch nach Erreichen des Umfragezwecks.
• Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise:

• Dienstanbieter: LimeSurvey wird auf eigener Infrastruktur (Hetzner/netcup, Deutschland) selbst gehostet. Es erfolgt keine Datenübermittlung an die LimeSurvey GmbH.
• IP-Speicherung: Sofern technisch erforderlich, werden IP-Adressen während der Umfragelaufzeit gespeichert und nach Abschluss der Umfrage gekürzt oder gelöscht.

Discord-Server und Discord-Bot

Wir betreiben einen offiziellen Discord-Server für die Univastro-Community sowie einen eigens entwickelten Discord-Bot. Discord ist ein Dienst der Discord Netherlands BV, die personenbezogene Daten der Nutzer eigenverantwortlich verarbeitet. Wir weisen ausdrücklich darauf hin, dass die Teilnahme an unserem Discord-Server zwingend ein Discord-Konto voraussetzt und damit die Datenschutzbestimmungen von Discord gelten. Auf die Datenverarbeitung durch Discord selbst haben wir keinen Einfluss.

Discord-Server (Mitgliedschaft & Moderation)

Im Rahmen des Betriebs unseres Discord-Servers verarbeiten wir Daten unserer Server-Mitglieder, um die Kommunikation, Moderation und Bereitstellung von Inhalten zu ermöglichen.

• Verarbeitete Datenarten: Discord-User-ID; Discord-Username/Discriminator/Display-Name; Avatar-URL; Server-Beitrittszeitpunkt; zugewiesene Rollen; öffentlich gepostete Inhaltsdaten; Voice-Channel-Aktivität (sofern genutzt); Moderationsereignisse.
• Betroffene Personen: Mitglieder des Discord-Servers.
• Zwecke der Verarbeitung: Kommunikation; Moderation; Sicherheitsmaßnahmen; Öffentlichkeitsarbeit.
• Aufbewahrung und Löschung: Nachrichten und Inhalte verbleiben grundsätzlich in Discord, bis sie vom Verfasser, einem Moderator oder durch Discord selbst gelöscht werden.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Univastro Discord-Bot

Wir betreiben einen eigens entwickelten Discord-Bot (basierend auf dem Framework Discord.Net in C# / .NET), der Funktionen wie Community-Verwaltung, Moderationsunterstützung, Befehls-Auswertung und automatisierte Server-Interaktion bereitstellt. Der Bot wird auf eigener, von uns betriebener Server-Infrastruktur in Deutschland ausgeführt.

Der Bot verarbeitet personenbezogene Daten ausschließlich in dem Umfang, der für die Bereitstellung der jeweiligen Funktion erforderlich ist, und speichert Daten in einer von uns betriebenen, eigenen Datenbank, die ausschließlich auf unserer Infrastruktur liegt. Das Admin-Panel des Bots ist über OpenID Connect an unsere Authentik-Instance angebunden.

• Verarbeitete Datenarten:
  • Identifikatoren: Discord-User-ID, Discord-Username, Discord-Server-ID (Guild-ID), Channel-ID, Nachrichten-ID, zugewiesene Rollen.
  • Inhaltsdaten: Nachrichteninhalte werden ausschließlich verarbeitet, wenn (a) der Bot direkt durch ein Präfix oder einen Slash-Befehl angesprochen wird, (b) die Nachricht in einem Kanal gepostet wird, in dem der Bot aktiv moderiert (z. B. Spam-/Wortfilter, Auto-Moderation) oder (c) eine sonstige aktivierte Funktion (z. B. Reaktionsrollen, Welcome-Message, Logging) dies erfordert. Inhaltsdaten werden nicht dauerhaft archiviert, sofern dies nicht für die Funktion zwingend erforderlich ist (z. B. Moderations-Logs bei Regelverstößen).
  • Nutzungsdaten: Zeitpunkt der Befehlsausführung, ausgeführte Befehle, Erfolgs-/Fehlerstatus.
  • Audit- und Moderations-Logs: Bei Moderationsereignissen werden User-ID, Zeitstempel, Aktionstyp, ausführender Moderator und (bei Nachrichtenlöschungen) der Nachrichteninhalt zur Nachvollziehbarkeit protokolliert.
• Betroffene Personen: Mitglieder unseres Discord-Servers; Nutzer, die mit dem Bot interagieren.
• Zwecke der Verarbeitung:
  • Bereitstellung der Bot-Funktionen
  • Moderation und Schutz der Community vor Spam, Missbrauch und Regelverstößen
  • Nachvollziehbarkeit von Moderationsentscheidungen (Audit-Logging)
  • Statistische Auswertung der Bot-Nutzung in aggregierter, nicht-personenbezogener Form
• Aufbewahrung und Löschung:
  • Befehls-Logs: maximal 30 Tage
  • Moderations-Logs: bis zu 12 Monate, danach Anonymisierung oder Löschung
  • Konfigurationsdaten: bis zur Löschung durch den Server-Administrator
  • Nutzerbezogene Daten werden gelöscht, sobald der Nutzer den Server verlässt oder eine Löschung explizit anfordert
• Rechtsgrundlagen:
  • Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO)
  • Soweit Funktionen freiwillig genutzt werden, zusätzlich Einwilligung bzw. Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. a) bzw. lit. b) DSGVO)

Logging über Discord-Webhooks: Der Bot nutzt zur Visualisierung von Moderations- und System-Ereignissen Discord-Webhooks, mit denen strukturierte Log-Nachrichten in dedizierte (nur für Moderatoren sichtbare) Discord-Kanäle gesendet werden. Bei der Nutzung von Webhooks werden die Logdaten technisch über die Infrastruktur von Discord übertragen. Wir achten darauf, dass über Webhooks keine sensiblen Daten oder Klartext-Passwörter geloggt werden.

Nicht-Verarbeitung: Der Bot liest keine Direktnachrichten (DMs) anderer Nutzer mit, speichert keine vollständigen Channel-Historien und leitet keine Daten an Dritte außerhalb der von Discord ohnehin betriebenen Infrastruktur weiter.

Datenlöschung auf Anfrage: Nutzer können jederzeit die Löschung der vom Bot über sie gespeicherten Daten verlangen. Hierzu genügt eine formlose Anfrage an management@univastro.net unter Angabe der Discord-User-ID.

Drittlandtransfer: Die Discord-Plattform selbst wird durch die Discord Inc. (USA) bzw. die Discord Netherlands BV (Niederlande) betrieben.

• Dienstanbieter (Plattform Discord): Discord Netherlands BV, Schiphol Boulevard 195, 1118 BG Schiphol, Niederlande; Datenschutzerklärung: https://discord.com/privacy; Grundlage Drittlandtransfers: Data Privacy Framework (DPF), Standardvertragsklauseln.

Fachinformatiker-Lern-App (fachinformatiker.univastro.net)

Unter der Subdomain fachinformatiker.univastro.net betreiben wir eine Web-Anwendung als Lern-App zur Vorbereitung auf die Abschlussprüfung Fachinformatiker (IHK). Die Anwendung wurde im Rahmen meiner Ausbildung bzw. Weiterqualifikation entwickelt und dient sowohl als IHK-Abschluss-/Projektarbeit als auch als öffentlich zugängliches Lernangebot für andere Auszubildende.

Die Lern-App stellt typischerweise Funktionen wie Lernkarten, Multiple-Choice-Übungen, Fortschritts-Tracking, Wiederholungs-Algorithmen (Spaced Repetition) und ggf. Statistiken zum eigenen Lernstand bereit. Die Authentifizierung erfolgt über die OpenID-Connect-Anbindung an unsere Authentik-Instance (siehe Abschnitt „Single-Sign-On“); eine Nutzung ohne Authentik-Konto ist — sofern überhaupt möglich — auf öffentliche Inhalte beschränkt.

Verarbeitete Daten

• Stammdaten des Lernkontos: Benutzername / Pseudonym, E-Mail-Adresse (über Authentik bezogen), Discord-User-ID (sofern Discord-SSO genutzt wird).
• Lernfortschritts- und Inhaltsdaten: Bearbeitete Aufgaben, gegebene Antworten (richtig/falsch), Bearbeitungszeitpunkte, Lernstreaks, Wiederholungsintervalle pro Karte/Aufgabe, individuell erstellte Karteikarten oder Notizen.
• Nutzungsdaten: Aufgerufene Lernmodule, Sitzungsdauer, Klickpfade, verwendete Filter.
• Meta-, Kommunikations- und Verfahrensdaten: IP-Adresse, User-Agent, Zeitstempel.
• Protokolldaten: Server-Logfiles (Zugriff, Fehler, Sicherheitsereignisse).
• Betroffene Personen: Lernende, Testnutzer, Besucher der App, Prüfer und Ausbildungsbeauftragte (im Rahmen der Prüfungsabnahme).
• Zwecke der Verarbeitung:
  • Bereitstellung der Lernfunktionen und individuelle Speicherung des Lernfortschritts (Vertragserfüllung im weiteren Sinne)
  • Durchführung des Fachinformatiker-Abschlussprojekts (Ausbildungs- und Prüfungszweck)
  • Funktionsdemonstration vor Prüfern und Ausbildungsbeauftragten der IHK
  • Sicherheitsmaßnahmen, Missbrauchs- und Spamprävention
  • Bereitstellung der technischen Infrastruktur
  • Statistische Auswertung der App-Nutzung in aggregierter, nicht-personenbezogener Form (z. B. „70 % der Nutzer beantworten Frage X im ersten Anlauf falsch“) zur kontinuierlichen Verbesserung der Lerninhalte
• Aufbewahrung und Löschung:
  • Lernfortschrittsdaten: Werden so lange gespeichert, wie der Nutzer sein Konto aktiv nutzt. Bei Inaktivität von mehr als 24 Monaten wird das Konto vorab per E-Mail informiert und anschließend automatisch gelöscht.
  • Konto-Daten bei Löschung: Bei aktiver Konto-Löschung durch den Nutzer werden alle personenbezogenen Daten innerhalb von 30 Tagen unwiederbringlich entfernt. Aggregierte, nicht-personenbezogene Statistik-Daten verbleiben anonymisiert im System.
  • Server-Logfiles: Maximal 30 Tage.
  • IHK-Prüfungsphase: Während der aktiven Prüfungsphase (Demonstration vor Prüfern) werden ggf. Test-Konten und Beispiel-Datensätze angelegt. Diese werden innerhalb von 30 Tagen nach Abschluss der Prüfung vollständig gelöscht.
  • Projektdokumentation: Daten, die zwingend Teil der Projektdokumentation für die IHK sind (z. B. Screenshots), werden vor Abgabe sorgfältig auf personenbezogene Daten geprüft und nur in anonymisierter Form für maximal 5 Jahre aufbewahrt (analog zur üblichen Aufbewahrungsfrist für Ausbildungsnachweise).
• Rechtsgrundlagen:
  • Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) — für die Bereitstellung der angeforderten Lern-Funktionen gegenüber registrierten Nutzern.
  • Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) — für die Registrierung und für ggf. optionale Funktionen wie Bestenlisten/Leaderboards (sofern angeboten).
  • Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) — für Sicherheits-Logging, Missbrauchsprävention, anonymisierte Statistik-Auswertung und das Bestehen der Abschlussprüfung als Fachinformatiker.

Besondere Hinweise

Pseudonyme Nutzung empfohlen: Da es sich um ein Lernangebot handelt, das keine personenbezogene Identifikation erfordert, empfehlen wir ausdrücklich die Nutzung mit einem Pseudonym. Klarnamen sind nicht erforderlich.

Hinweis für IHK-Prüfer und Ausbildungsbeauftragte: Im Rahmen der Prüfungsabnahme können Prüfer Test-Konten erhalten, um die Funktionalität der App zu evaluieren. Diese Konten werden unmittelbar nach der Prüfungsabnahme deaktiviert und innerhalb von 30 Tagen gelöscht.

Hinweis zur Projektdokumentation: Die im Rahmen der IHK-Projektdokumentation erstellten Screenshots, Diagramme und Code-Beispiele werden vor Abgabe sorgfältig auf personenbezogene Daten geprüft. Etwaige Test- oder Beispieldaten werden vor der Abgabe an die IHK durch nicht-personenbezogene Platzhalter ersetzt.

Trennung der Infrastruktur: Die Lern-App wird isoliert von der produktiven Univastro-Infrastruktur betrieben (eigener Container, separate Datenbank, eigener OIDC-Client in Authentik). Eine Datenweitergabe oder ein direkter Zugriff zwischen Lern-App und sonstigen Univastro-Diensten findet nicht statt; lediglich die Authentifizierungs-Claims (Username, E-Mail) werden über Authentik vermittelt.

Keine Inhalte der IHK / Prüfungsfragen: Die Lern-App enthält keine offiziellen Prüfungsfragen der IHK oder anderer Prüfungsstellen. Sämtliche Inhalte sind selbst erstellt oder aus frei zugänglichen Quellen (z. B. Lehrbüchern unter Beachtung des Zitatrechts) abgeleitet, um Urheberrechte zu wahren.

Datenexport (Recht auf Datenübertragbarkeit, Art. 20 DSGVO): Nutzer können ihren gesamten Lernfortschritt jederzeit in einem maschinenlesbaren Format (JSON) exportieren. Die Funktion ist in den Konto-Einstellungen verfügbar.

WordPress-Plugins und Funktionserweiterungen

Auf unserer WordPress-Instanz (univastro.net) setzen wir verschiedene Plugins ein, um Funktionen wie Suchmaschinenoptimierung, Barrierefreiheit, Block-Editor-Erweiterungen und sichere Datei-Uploads bereitzustellen. Im Folgenden werden die datenschutzrelevanten Plugins beschrieben:

Rank Math SEO / Rank Math SEO PRO

Wir nutzen das Plugin Rank Math SEO (Pro-Version) zur Suchmaschinenoptimierung unserer Inhalte. Das Plugin verarbeitet Inhalte und Metadaten von Beiträgen lokal in der WordPress-Datenbank. Die Übertragung anonymer Nutzungsstatistiken an die Rank-Math-Server ist in unseren Einstellungen deaktiviert.

• Dienstanbieter: One.com Group AB / Rank Math (BoxSEO Pvt Ltd), Indien.
• Datenverarbeitung: Lokale Verarbeitung in der WordPress-Datenbank. Sofern in den Einstellungen aktiviert, kann das Plugin externe Schema.org-Daten oder Google-Search-Console-Daten beziehen. In unserer Konfiguration werden ausschließlich serverseitige, lokale Funktionen genutzt.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
• Datenschutzerklärung: https://rankmath.com/privacy-policy/

AccessYes Accessibility Widget

Wir setzen das Plugin AccessYes ein, um die Zugänglichkeit unserer Website (gemäß WCAG/EAA) zu verbessern. Das Widget ermöglicht es Nutzern, Anpassungen wie Schriftgrößen, Kontraste oder Vorlesefunktionen zu aktivieren.

• Datenverarbeitung: Nutzungsentscheidungen (z. B. aktivierte Anpassungen) können in einem lokalen Cookie auf dem Endgerät des Nutzers gespeichert werden, um die Einstellungen über mehrere Seitenaufrufe hinweg beizubehalten.
• Verarbeitete Datenarten: Meta-, Kommunikations- und Verfahrensdaten.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO – Schaffung von Barrierefreiheit gemäß BFSG/EAA).

OpenID Connect Generic

Das Plugin OpenID Connect Generic stellt die Anbindung von WordPress an unsere Authentik-Instance (siehe Abschnitt „Single-Sign-On“) her. Beim Login werden Nutzer auf auth.univastro.net weitergeleitet und nach erfolgreicher Authentifizierung mit den von Authentik bereitgestellten Claims (Benutzername, E-Mail, Gruppen) in WordPress angemeldet.

• Datenverarbeitung: Lokal in WordPress (univastro.net). Externe Kommunikation ausschließlich mit auth.univastro.net (eigene Infrastruktur).
• Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

SVG Support

Das Plugin SVG Support erlaubt das Hochladen und Einbinden von SVG-Grafiken im WordPress-Mediencenter. Da SVG-Dateien aktiven Code (JavaScript) enthalten können, werden Uploads ausschließlich administrativ berechtigten Nutzern erlaubt und Inhalte sanitisiert.

• Datenverarbeitung: Rein lokal; keine Datenübermittlung an Dritte.
• Sicherheitsmaßnahme: Upload-Berechtigung beschränkt; SVG-Dateien werden vor Auslieferung bereinigt.

Weitere Funktions-Plugins ohne externe Datenübertragung

Folgende Plugins werden rein zur Inhaltsdarstellung und Bedienbarkeit eingesetzt und übermitteln keine personenbezogenen Daten an externe Dienste:

• aBlocks — Erweiterte Gutenberg-Blöcke
• Breadcrumb NavXT — Generierung von Breadcrumb-Navigationen
• Code Block Pro — Syntax-Hervorhebung in Code-Blöcken
• SimpleTOC — Automatische Inhaltsverzeichnisse

Diese Plugins arbeiten serverseitig bzw. mit lokal eingebundenen Ressourcen und stellen keine eigenständige Datenverarbeitung im Sinne der DSGVO dar.

Gewinnspiele und Wettbewerbe

Wir verarbeiten personenbezogene Daten der Teilnehmer von Gewinnspielen und Wettbewerben nur unter Einhaltung der einschlägigen Datenschutzbestimmungen, soweit die Verarbeitung zur Bereitstellung, Durchführung und Abwicklung des Gewinnspiels vertraglich erforderlich ist, die Teilnehmer in die Verarbeitung eingewilligt haben oder die Verarbeitung unseren berechtigten Interessen dient.

• Verarbeitete Datenarten: Bestandsdaten; Kontaktdaten; Inhaltsdaten.
• Betroffene Personen: Gewinnspiel- und Wettbewerbsteilnehmer.
• Zwecke der Verarbeitung: Durchführung von Gewinnspielen und Wettbewerben.
• Aufbewahrung und Löschung: Spätestens 6 Monate nach Ende des Gewinnspiels.
• Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Onlinemarketing

Wir verarbeiten personenbezogene Daten zum Zweck des Onlinemarketings. Wir nutzen IP-Masking-Verfahren (Pseudonymisierung durch Kürzung der IP-Adresse) zum Nutzerschutz.

• Verarbeitete Datenarten: Nutzungsdaten; Meta-, Kommunikations- und Verfahrensdaten.
• Betroffene Personen: Nutzer.
• Zwecke der Verarbeitung: Reichweitenmessung; Tracking; Zielgruppenbildung; Marketing; Profile mit nutzerbezogenen Informationen.
• Aufbewahrung und Löschung: Speicherung von Cookies bis zu 2 Jahre.
• Sicherheitsmaßnahmen: IP-Masking.

Affiliate-Programme und Affiliate-Links

In unser Onlineangebot binden wir sogenannte Affiliate-Links auf die Angebote und Leistungen von Drittanbietern ein. Wenn Nutzer den Affiliate-Links folgen bzw. anschließend die Angebote wahrnehmen, können wir von diesen Drittanbietern eine Provision erhalten.

• Verarbeitete Datenarten: Vertragsdaten; Nutzungsdaten; Meta-, Kommunikations- und Verfahrensdaten.
• Betroffene Personen: Interessenten; Nutzer.
• Zwecke der Verarbeitung: Affiliate-Nachverfolgung.
• Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise:

• Amazon-Partnerprogramm: Dienstanbieter: Amazon EU S.à r.l., 38 avenue John F. Kennedy, L-1855 Luxemburg; Datenschutzerklärung: https://www.amazon.de/gp/help/customer/display.html?nodeId=201909010; Grundlage Drittlandtransfers: Data Privacy Framework (DPF).

Kundenrezensionen und Bewertungsverfahren

Wir nehmen an Rezensions- und Bewertungsverfahren teil, um unsere Leistungen zu evaluieren, zu optimieren und zu bewerben.

• Verarbeitete Datenarten: Vertragsdaten; Nutzungsdaten; Meta-, Kommunikations- und Verfahrensdaten.
• Betroffene Personen: Leistungsempfänger und Auftraggeber; Nutzer.
• Zwecke der Verarbeitung: Feedback; Marketing.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Präsenzen in sozialen Netzwerken (Social Media)

Wir unterhalten Onlinepräsenzen innerhalb sozialer Netzwerke und verarbeiten in diesem Rahmen Nutzerdaten, um mit den dort aktiven Nutzern zu kommunizieren oder Informationen über uns anzubieten.

Wir weisen darauf hin, dass dabei Nutzerdaten außerhalb des Raumes der Europäischen Union verarbeitet werden können.

• Verarbeitete Datenarten: Kontaktdaten; Inhaltsdaten; Nutzungsdaten.
• Betroffene Personen: Nutzer.
• Zwecke der Verarbeitung: Kommunikation; Feedback; Öffentlichkeitsarbeit.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise:

• Instagram: Dienstanbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland; Datenschutzerklärung: https://privacycenter.instagram.com/policy/; Grundlage Drittlandtransfers: Data Privacy Framework (DPF).
• X: Dienstanbieter: X Internet Unlimited Company, One Cumberland Place, Fenian Street, Dublin 2 D02 AX07, Irland; Datenschutzerklärung: https://x.com/de/privacy.
• YouTube: Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Datenschutzerklärung: https://policies.google.com/privacy; Grundlage Drittlandtransfers: Data Privacy Framework (DPF).
• Discord: Kommunikationsplattform mit Community-Server; siehe gesonderter Abschnitt „Discord-Server und Discord-Bot“.

Plug-ins und eingebettete Funktionen sowie Inhalte

Wir binden Funktions- und Inhaltselemente in unser Onlineangebot ein, die von den Servern ihrer jeweiligen Anbieter bezogen werden.

• Verarbeitete Datenarten: Nutzungsdaten; Meta-, Kommunikations- und Verfahrensdaten.
• Betroffene Personen: Nutzer.
• Zwecke der Verarbeitung: Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit; Reichweitenmessung; Tracking; Zielgruppenbildung; Marketing.
• Aufbewahrung und Löschung: Speicherung von Cookies bis zu 2 Jahren.
• Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise:

• Font Awesome (Bereitstellung auf eigenem Server): Schriftarten und Symbole werden auf unserem Server gehostet, es werden keine Daten an den Anbieter von Font Awesome übermittelt.
• YouTube-Videos (erweiterter Datenschutzmodus): Videos werden über youtube-nocookie.com eingebettet. Erst nach Klick und Einwilligung der Nutzer wird das Video geladen. Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Datenschutzerklärung: https://policies.google.com/privacy.

Änderung und Aktualisierung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits oder eine sonstige individuelle Benachrichtigung erforderlich wird.

Begriffsdefinitionen

In diesem Abschnitt erhalten Sie eine Übersicht über die in dieser Datenschutzerklärung verwendeten Begrifflichkeiten.

• Affiliate-Nachverfolgung: Im Rahmen der Affiliate-Nachverfolgung werden Links protokolliert, mit deren Hilfe verlinkende Webseiten Nutzer zu Webseiten mit Produkt- oder sonstigen Angeboten verweisen.
• Bestandsdaten: Bestandsdaten umfassen wesentliche Informationen, die für die Identifikation und Verwaltung von Vertragspartnern, Benutzerkonten, Profilen und ähnlichen Zuordnungen notwendig sind.
• Discord-User-ID: Eine eindeutige numerische Kennung („Snowflake“), die Discord jedem Nutzerkonto zuweist.
• Identity Provider (IdP): Ein Dienst, der Nutzer authentifiziert und ihre Identität in standardisierter Form (z. B. via OpenID Connect) an angebundene Dienste weitergibt. In unserem Fall: Authentik unter auth.univastro.net.
• Inhaltsdaten: Inhaltsdaten umfassen Informationen, die im Zuge der Erstellung, Bearbeitung und Veröffentlichung von Inhalten aller Art generiert werden.
• Kontaktdaten: Kontaktdaten sind essentielle Informationen, die die Kommunikation mit Personen oder Organisationen ermöglichen.
• Meta-, Kommunikations- und Verfahrensdaten: Diese Kategorien umfassen Informationen über die Art und Weise, wie Daten verarbeitet, übermittelt und verwaltet werden.
• Nutzungsdaten: Nutzungsdaten beziehen sich auf Informationen, die erfassen, wie Nutzer mit digitalen Produkten, Dienstleistungen oder Plattformen interagieren.
• OpenID Connect (OIDC): Ein offenes, auf OAuth 2.0 basierendes Authentifizierungsprotokoll, mit dem Nutzer sich über einen zentralen Identity Provider bei mehreren Diensten anmelden können.
• Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
• Profile mit nutzerbezogenen Informationen: Die Verarbeitung von Profilen umfasst jede Art der automatisierten Verarbeitung personenbezogener Daten zur Analyse, Bewertung oder Vorhersage persönlicher Aspekte.
• Protokolldaten: Informationen über Ereignisse oder Aktivitäten, die in einem System oder Netzwerk protokolliert wurden.
• Reichweitenmessung: Auswertung der Besucherströme eines Onlineangebotes.
• Single-Sign-On (SSO): Verfahren, das es Nutzern erlaubt, sich einmalig zentral zu authentifizieren und anschließend ohne erneute Anmeldung mehrere Dienste zu nutzen.
• Tracking: Vom „Tracking“ spricht man, wenn das Verhalten von Nutzern über mehrere Onlineangebote hinweg nachvollzogen werden kann.
• Verantwortlicher: Die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
• Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten.
• Webhook (Discord): Ein technischer Mechanismus, mit dem externe Systeme strukturierte Nachrichten an einen festgelegten Discord-Kanal senden können, ohne dass ein Nutzerkonto in Discord verwendet wird.