Rechtliches

Datenschutzerklärung

Stand: April 2026 · gemäß DSGVO (EU) 2016/679

Inhalt

  1. Verantwortlicher
  2. Grundsätze der Verarbeitung
  3. Hosting & technische Infrastruktur
  4. Nutzerdaten (Konten & Anmeldung)
  5. Schülerdaten im Zeugnismaster
  6. KI-Textgenerierung (Anthropic Claude)
  7. Browser-Lokalspeicher
  8. Auftragsverarbeitung
  9. Ihre Rechte
  10. Kontakt & Beschwerden

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

NameKai Forst
UnternehmenToolZauber (Einzelunternehmen)
Anschrift[Straße], [PLZ] Frankfurt am Main, Deutschland
E-Mailhallo@toolzauber.de

2. Grundsätze der Verarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies für die Bereitstellung unserer Dienste erforderlich ist, und ausschließlich auf Grundlage der folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Bereitstellung des Zeugnismasters für angemeldete Nutzer
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Betrieb, Sicherheit und Verbesserung des Dienstes
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: soweit gesondert eingeholt

Es werden keine Daten zu Werbe- oder Analysezwecken an Dritte weitergegeben. Es werden keine Tracking-Cookies gesetzt.

3. Hosting & technische Infrastruktur

Der Zeugnismaster wird vollständig in der Europäischen Union betrieben. Für den Betrieb setzen wir folgende Infrastruktur ein:

Anwendungsserver Google Cloud Run, Region europe-west3 (Frankfurt am Main)
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Datenbank Microsoft Azure SQL Database, Region Germany West Central (Frankfurt)
Microsoft Ireland Operations Ltd., One Microsoft Place, Dublin 18, Irland

Beide Anbieter sind nach EU-Standardvertragsklauseln (Art. 46 DSGVO) gebunden und verarbeiten Daten ausschließlich in der EU. Es findet keine Übermittlung in Drittstaaten statt.

Beim Aufruf unserer Website werden durch den Server technisch notwendige Verbindungsdaten (IP-Adresse, Zeitstempel, aufgerufene URL) kurzfristig im Arbeitsspeicher verarbeitet, jedoch nicht dauerhaft protokolliert.

4. Nutzerdaten (Konten & Anmeldung)

Für die Nutzung des Zeugnismasters ist ein persönliches Konto erforderlich, das durch die Schuladministration angelegt wird. Folgende Daten werden gespeichert:

NameAnzeigename der Lehrkraft
E-Mail-AdresseDienstliche Adresse, dient als Anmeldename
PasswortAusschließlich als bcrypt-Hash gespeichert (nicht lesbar)
RolleZ.B. Lehrer, Schulleitung, Admin — bestimmt Zugriffsrechte
AktivitätsdatenFreigabezeitpunkt und -person bei Zeugnisfreigaben

Die Authentifizierung erfolgt über ein signiertes JWT-Token (JSON Web Token), das im Browser-Lokalspeicher abgelegt wird und nach Ablauf der Sitzung ungültig wird.

Aufbewahrung

Nutzerdaten werden für die Dauer der Vertragsbeziehung mit der Schule gespeichert. Nach Vertragsende werden alle Daten auf Anfrage vollständig gelöscht.

5. Schülerdaten im Zeugnismaster

Schulen und Lehrkräfte, die den Zeugnismaster nutzen, sind selbst Verantwortliche für die von ihnen eingegebenen Schülerdaten. ToolZauber agiert als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Eine Auftragsverarbeitungsvereinbarung (AVV) wird auf Anfrage bereitgestellt.

Folgende Schülerdaten werden im Rahmen der Zeugniserstellung verarbeitet:

Vorname, NachnamePflichtangabe zur Identifikation
GeschlechtFür korrekte grammatikalische Formen im Zeugnistext
Klassenzuordnung, KlassenstufeFür klassenspezifische Ausprägungen
MutterspracheOptional; für Übersetzungsfunktion
KompetenzbeurteilungenVom Lehrer ausgewählte Ausprägungen je Lernbereich
Generierte ZeugnistexteKI-generiert und ggf. manuell bearbeitet
FehltageOptional, sofern im System gepflegt

Es werden ausschließlich die Daten gespeichert, die Lehrkräfte aktiv eingeben. Es findet keine automatisierte Profilbildung oder Bewertung der Schülerinnen und Schüler durch das System statt.

6. KI-Textgenerierung (Anthropic Claude)

Für die automatische Erstellung von Zeugnistexten nutzt der Zeugnismaster die API des KI-Anbieters Anthropic, PBC (548 Market St PMB 90375, San Francisco, CA 94104, USA).

Pseudonymisierung vor der Übermittlung

Der Zeugnismaster setzt vor der Übermittlung an die Anthropic-API eine automatische Pseudonymisierungsstufe ein: Der echte Vor- und Nachname des Kindes wird durch einen geschlechtsspezifischen Platzhalter ersetzt (Tim für männlich, Lena für weiblich, Alex für divers). Nach dem Eingang des generierten Textes wird der Platzhalter serverseitig durch den echten Vornamen substituiert. Der Klarnamen verlässt die eigene Infrastruktur dabei zu keinem Zeitpunkt.

Welche Daten werden übermittelt?

Zur Generierung eines Zeugnistextes werden folgende — ausschließlich nicht-personenidentifizierende — Informationen an die Anthropic-API übertragen:

  • Pseudonymer Vorname (Tim / Lena / Alex) — kein Klarname
  • Geschlecht und Klassenstufe
  • Ausgewählte Kompetenzausprägungen je Lernbereich (generische Textbausteine)
  • Individuelle Ergänzungen der Lehrkraft (sofern eingegeben — kein Klarnamen empfohlen)

Kein Nachname, keine Klasse, kein Schulname und keine anderen identifizierenden Merkmale werden übertragen.

Rechtsgrundlage & Schutzmaßnahmen

Die Übermittlung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 28 DSGVO (Auftragsverarbeitung). Anthropic verarbeitet die Daten gemäß unserem API-Nutzungsvertrag nicht für eigene Trainingszwecke (Data Processing Agreement).

Da Anthropic, PBC in den USA ansässig ist, erfolgt eine Drittstaatenübermittlung. Diese ist durch EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert. Durch die Pseudonymisierung ist das verbleibende Restrisiko dieser Übermittlung auf ein Minimum reduziert.

Hinweis zur individuellen Ergänzung: Das Freitextfeld für individuelle Ergänzungen je Lernbereich wird unverändert übertragen. Wir empfehlen, dort keine Klarnamen einzutragen.

7. Browser-Lokalspeicher

Der Zeugnismaster verwendet keinen Tracking-Code und setzt keine Drittanbieter-Cookies. Im Browser-Lokalspeicher (localStorage) werden ausschließlich folgende technisch notwendige Einträge gespeichert:

zm_tokenJWT-Authentifizierungstoken — erlischt nach Sitzungsablauf
zeugnis_viewAnsichtspräferenz (kompakt/klassisch) — rein lokal, kein Personenbezug
zeugnis_onlyFilter-Präferenz — rein lokal, kein Personenbezug

Diese Daten verbleiben vollständig im Browser und werden nicht an den Server übertragen (außer dem Token zur Authentifizierung). Sie können den Lokalspeicher jederzeit über die Entwicklertools Ihres Browsers löschen.

8. Auftragsverarbeitung

ToolZauber schließt mit Schulen und Trägern auf Anfrage eine Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO ab. Darin werden Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie die Pflichten und Rechte der Beteiligten geregelt.

Zur Anforderung einer AVV wenden Sie sich bitte an: hallo@toolzauber.de

Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter werden eingesetzt:

Google Ireland LimitedCloud Run Hosting, Frankfurt — EU-Rechenzentrum
Microsoft Ireland Operations Ltd.Azure SQL Datenbank, Frankfurt — EU-Rechenzentrum
Anthropic, PBCKI-Textgenerierung — USA (SCCs vorhanden)

9. Ihre Rechte

Als betroffene Person stehen Ihnen folgende Rechte gemäß DSGVO zu. Zur Geltendmachung wenden Sie sich bitte per E-Mail an hallo@toolzauber.de.

Auskunft (Art. 15 DSGVO)

Sie können jederzeit Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.

Berichtigung (Art. 16 DSGVO)

Unrichtige oder unvollständige Daten werden auf Anfrage unverzüglich korrigiert.

Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflichten entgegenstehen.

Einschränkung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung verlangen, z.B. während eine Berichtigung geprüft wird.

Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten.

Widerspruch (Art. 21 DSGVO)

Sie können der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen.

Beschwerderecht

Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. Für Hessen ist dies der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI):

Gustav-Stresemann-Ring 1, 65189 Wiesbaden · datenschutz.hessen.de

10. Kontakt & Änderungen

Bei Fragen zum Datenschutz, zur Geltendmachung Ihrer Rechte oder zur Anforderung einer Auftragsverarbeitungsvereinbarung:

E-Mail: hallo@toolzauber.de

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen des Dienstes oder der Rechtslage anzupassen. Die jeweils aktuelle Version ist auf dieser Seite abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.