Datenschutzerklärung

In dieser Datenschutzerklärung erfahren Sie, welche Daten in Zusammenhang mit der Nutzung der Online-Übungs- und -Prüfungs-Plattform www.istest2.ch anfallen, wie mit diesen umgegangen wird und welche Rechte Sie haben.

Kontaktdaten

isTest GmbH
Badstrasse 44
CH 8590 Romanshorn
Schweiz

Sie können sich jederzeit via Kontaktformular oder per Post unter der angegebenen Adresse an uns wenden.

Inhaltsverzeichnis

  1. Allgemeines
  2. Anwendbarkeit
  3. Ihre Betroffenenrechte
  4. isTest Datenmodell
    1. Datenstruktur
    2. Daten-Typen
    3. Benutzer-Typen
    4. Daten-Vertraulichkeit
      1. Zugriffsrechte nach Daten-Typ
      2. Zugriffsrechte nach Benutzer-Typ
    5. Kontaktformular
  5. Speicherdauer und Löschung
    1. Als Verantwortliche
    2. Als Auftragsverarbeiter
  6. Klone
  7. Links
    1. Eingebettete YouTube-Videos
    2. Links auf andere Seiten
  8. Technische und organisatorische Massnahmen
    1. Server
    2. Technische Massnahmen
    3. Organisatorische Massnahmen
  9. Datenweitergabe und Drittlandtransfer
    1. Cookies
  10. Änderung der Datenschutzerklärung

Allgemeines

Wir verarbeiten Daten verschiedener Akteure: Schulen, Lehrpersonen und Lernende. Die Bereitstellung der Daten und der Zugriff auf dieselben erfolgen ausschliesslich online. Die unterschiedlichen Rollen der Akteure bedingen unterschiedliche Zugriffsmöglichkeiten. Da wir möglichst vollständig und transparent informieren möchten, ist diese Erklärung recht umfangreich.

Wenn Sie nicht an Details interessiert sind, sind das unserer Meinung nach die wesentlichen Punkte:

Anwendbarkeit

Alle isTest-Daten sind Personendaten im Sinn von DSVGO 4.1 Wir verarbeiten sie im Einklang mit der EU-Datenschutz-Grundverordnung DSVGO und der schweizerischen Datenschutzgesetzgebung DSG.

Wir verstehen uns als Auftragsverarbeiter im Sinn von DSVGO 4.8. Verantwortlicher im Sinn von DSVGO 4.7 ist, ab erfolgtem Login der Kunde (die Schule). Wird unsere Webseite ohne Login benutzt, ist isTest der Verantwortliche.

Ihre Betroffenenrechte

Wo wir die Verantwortlichen sind, können Sie folgende Rechte ausüben: Auskunft über Ihre bei uns gespeicherten Daten und deren Verarbeitung (Art. 15 DSGVO), Berichtigung unrichtiger personenbezogener Daten (Art. 16 DSGVO), Löschung Ihrer bei uns gespeicherten Daten (Art. 17 DSGVO), Einschränkung der Datenverarbeitung, sofern wir Ihre Daten aufgrund gesetzlicher Pflichten noch nicht löschen dürfen (Art. 18 DSGVO), Widerspruch gegen die Verarbeitung Ihrer Daten bei uns (Art. 21 DSGVO) und Datenübertragbarkeit, sofern Sie in die Datenverarbeitung eingewilligt haben oder einen Vertrag mit uns abgeschlossen haben (Art. 20 DSGVO). Zudem steht Ihnen ein Kontrollrecht zu.

Wo wir nur Auftragsverarbeiter sind, wenden Sie sich bitte zuerst an den Verantwortlichen. Das ist der Benutzer, der bei uns eine Lizenz beantragt hat, in der Regel die Schule.

Sie können sich jederzeit mit einer Beschwerde an eine Aufsichtsbehörde wenden, z. B. an die zuständige Aufsichtsbehörde Ihres Wohnsitzes oder an die für uns als verantwortliche Stelle zuständige Behörde. In der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) zuständig bei Datenbearbeitungen durch Bundesorgane und Private. Für öffentliche Schulen in der Schweiz ist das jewilige kantonale Datenschutzrecht anwendbar und für Beschwerden sind die kantonalen Datenschutzbehörden zuständig.

isTest Datenmodell

Datenstruktur

Alle isTest-Daten, mit Ausnahme von Bild-Daten und Ton-Daten, sind in einer SQL-Datenbank gespeichert. Bild-Dateien und Ton-Dateien sind in entsprechenden Tabellen der Datenbank indexiert und nur über ihre Indices zugänglich. Alle Datensätze (Records) in der Datenbank sind mit zwei Fremdschlüsseln ‚userid‘ und ‚groupid‘ einem Benutzer (einem Individuum) und einer Gruppe (im Normalfall eine Schule, kann aber auch eine Einzelperson oder z.B. eine Firma sein) zugeordnet. Somit gehören alle Daten einem Benutzer und einer Gruppe. Diese Besitzverhältnisse bilden zusammen mit einem in der Folge erklärten Regelwerk die Grundlage für die Zugangskontrolle.

Daten-Typen

Je nach Inhalt können die Daten einem der folgenden Typen zugerechnet werden:

Benutzer-Typen

Alle isTest-Benutzer (alle, die über Login-Daten verfügen) können einem der folgenden Typen zugerechnet werden. Der Typ eines Benutzers ist entscheidend für seine Rechte, was er sieht, was er machen kann und welche Zugriffsrechte er auf die Daten hat.

Daten-Vertraulichkeit

Auf isTest-Daten kann nur über den verschlüsselten https-Webdienst nach erfolgtem Login zugegriffen werden.

Die einzige Ausnahme sind Datenbank-Administratoren, die naturgemäss auf alle Daten in der Datenbank zugreifen können. Die Datenbank ist passwortgesichert, die Daten sind innerhalb der Datenbank mit Ausnahme der Passwörter nicht kryptographisch verschlüsselt.

Wer Zugriff auf welche Daten hat, hängt vom Daten-Typ, vom Benutzer-Typ und einem Regelwerk ab, das nachstehend beschrieben wird.

Die Betreiber von isTest unterstehen der Geheimhaltungspflicht und haben eine Meldepflicht bei kritischen Vorfällen (Angriffen, Datenverlust etc.).

Zugriffsrechte nach Daten-Typ

Zugriffsrechte nach Benutzer-Typ

Beim isTest-Personal muss man zwischen direktem Zugriff und indirektem Zugriff unterscheiden. Ein direkter Zugriff besteht, wenn man innerhalb einer dafür ausgelegten Benutzeroberfläche auf die Daten zugreifen kann. Ein indirekter Zugriff besteht, wenn man als Datenbank-Administrator auf die Datenbank zugreifen kann und in Kenntnis der Architektur mittels SQL-Queries an die Daten gelangen kann. Einen solchen indirekten Zugang haben nur Entwickler. Als indirekter Zugang gilt auch, wenn ein Supporter sich als ein anderer Benutzer mit dessen Einverständnis anmeldet.

Kontaktformular

Die von Ihnen eingegebenen Daten werden zum Zweck der individuellen Kommunikation mit Ihnen gespeichert. Hierfür ist die Angabe einer validen E-Mail-Adresse sowie Ihres Namens erforderlich. Diese dient der Zuordnung der Anfrage und der anschließenden Beantwortung derselben. Die Verarbeitung der in das Kontaktformular eingegebenen Daten erfolgt auf der Grundlage eines berechtigten Interesses (DSVGO 6.1lit. f). Durch Bereitstellung des Kontaktformulars möchten wir Ihnen eine unkomplizierte Kontaktaufnahme ermöglichen. Ihre gemachten Angaben werden zum Zweck der Bearbeitung der Anfrage sowie für mögliche Anschlussfragen gespeichert.

Speicherdauer und Löschung

Als Verantwortliche

Bei anonymen Benutzern speichern wir nur technische Daten ( V ). Die Server-Logs werden vom Provider täglich archiviert und gelöscht. Die archivierten Daten und unsere Daten werden monatlich gelöscht. Wir speichern bei anonymen Benutzern nur IP-Adresse, Browseridentifikation und Zeitpunkt des Zugriffs.

Als Auftragsverarbeiter

Bei angemeldeten Benutzern verarbeiten wir die Daten in unserer Funktion als Auftragsverarbeiter. Diese Daten löschen wir selbst nicht aktiv. Ausgenommen sind unangemessene Inhalte oder ein Auftrag einer Behörde.

Wir können die Daten löschen, wenn

Der Verantwortliche (die Schule) kann seine Daten jederzeit löschen. Der uns gegenüber dafür Verantwortliche ist der Administrator ( a ).

Achtung! Geklonte Daten (siehe 6. Klone) werden mit dem Löschen von Daten nicht mitgelöscht.

Klone

isTest möchte die Zusammenarbeit unter Lehrpersonen in der eigenen Schule und auch über Schulen hinweg fördern. Aus diesem Grund können Lehrpersonen ( b ) ihre Prüfungs-Materialien ( IV ) Kolleginnen und Kollegen selektiv zur Verfügung stellen. Sie können einzelne Fragen, Fragen-Sammlungen, Tests und Test-Sammlungen einzeln den Lehrpersonen ihrer Schule, allen Lehrpersonen von isTest namentlich ausgewählten Lehrpersonen zur Verfügung stellen (siehe 4.4 Daten-Vertraulichkeit). Wenn eine andere Lehrperson diese Daten benutzt, wird ein Klon erstellt, der der anderen Lehrperson zugeordnet ist. Jeder Zugriff auf diese Daten erfolgt als Zugriff auf den Klon. Die ursprünglichen Daten können von der anderen Lehrperson weder mutiert noch gelöscht werden. Achtung! Der ursprüngliche Besitzer kann Klone von einmal zur Verfügung gestellten Daten nicht löschen.

isTest setzt nur Links auf sich selbst und auf Erklärungsvideos in YouTube. Eine Ausnahme bilden einzig die Links in dieser Datenschutzerklärung.

Eingebettete YouTube Videos

Auf unserer Website betten wir YouTube-Videos ein. Betreiber der entsprechenden Plugins ist die YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA (nachfolgend „YouTube“). Die YouTube, LLC ist einer Tochtergesellschaft der Google LLC, 1600 Amphitheatre Pkwy, Mountain View, CA 94043, USA (nachfolgend „Google“). Wenn Sie eine Seite mit dem YouTube-Plugin besuchen, wird eine Verbindung zu Servern von YouTube hergestellt. Dabei wird YouTube mitgeteilt, welche Seiten Sie besuchen. Wenn Sie in Ihrem YouTube-Account eingeloggt sind, kann YouTube Ihr Surfverhalten Ihnen persönlich zuordnen. Dies verhindern Sie, indem Sie sich vorher aus Ihrem YouTube-Account ausloggen. Wird ein YouTube-Video gestartet, setzt der Anbieter Cookies ein, die Hinweise über das Nutzerverhalten sammeln. Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch YouTube erhalten Sie in den Datenschutzerklärungen des Anbieters, Dort erhalten Sie auch weitere Informationen zu Ihren diesbezüglichen Rechten und Einstellungsmöglichkeiten zum Schutze Ihrer Privatsphäre (https://policies.google.com/privacy).

Lehrpersonen ( b ) können in ihren Unterrichts-Materialien Links auf beliebige Seiten setzen. Das Ziel und die Art dieser Links können von isTest nicht vorausgesehen werden. Die Verantwortung dafür liegt ausschliesslich bei diesen Lehrpersonen und dem Kunden, der Ihnen ein Login gegeben hat. Das Folgen dieser Links kann durch die Zielwebseiten analysiert werden.

Technische und organisatorische Sicherheits-Massnahmen

isTest trifft umfangreiche technische und organisatorische Massnahmen zum Schutz der Daten gegen unberechtigten Zugriff, Veränderung oder Verlust.

Server

Unser Hoster ist Cyon GmbH, Brunngäslein12, CH-4052 Basel, Schweiz.

Der Server steht im Rechenzentrum der IWB in Basel und ist nach ISAE3402 und SSAE16 Typ II auditiert.

Technische Massnahmen

Bemerkungen

Wie gut und vollständig technische Massnahmen sind, kann der Endbenutzer nicht beurteilen. Dazu wäre ein Review des Codes das beste Mittel, aber der Code ist nicht zugänglich und die meisten Endbenutzer würden ihn nicht verstehen. Ein Mittel steht dem Endbenutzer dennoch zur Verfügung. Das deutsche Ministerium für IT-Sicherheit hat einen Schnellcheck publiziert

https://siwecos.de

mit dem jedermann eine Webseite auf ihre Sicherheit überprüfen kann. Das kann einen Hinweis geben, ist aber keine Garantie.

Organisatorische Massnahmen

Daten Weitergabe und Drittlandtransfer

isTest gibt keine Daten weiter, weder im Inland noch im Ausland. isTest gewährt niemandem Einsicht in die Benutzung, im Besonderen verwendet isTest keine Analyse Tools (wie z.B. Google Analytics, Matomo Analytics Adobe Analytics, …).

Cookies

Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrem Endgerät (Laptop, Tablet, Smartphone o.ä.) gespeichert werden, wenn Sie unsere Webseite besuchen. Sie können die einzelnen Cookies oder den gesamten Cookie-Bestand löschen. Darüber hinaus erhalten Sie Informationen und Anleitungen, wie diese Cookies gelöscht oder deren Speicherung vorab blockiert werden können. Je nach Anbieter Ihres Browsers finden Sie die notwendigen Informationen unter den nachfolgenden Links:

Wir setzen ein Sitzungscooky ein, um unseren Auftrag erfüllen zu können. Unsere Internetseite erfordert, dass der aufrufende Benutzer auch nach einem Seitenwechsel identifiziert werden kann. Das Sitzungscooky wird für die Dauer einer Sitzung gespeichert, d.h. bis Sie sich abmelden oder den Browser schliessen.

Darüber hinaus setzt oder erlaubt isTest keine anderen Cookies. Im Besonderen erlauben wir keine third-party Cookies.

Änderung der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z.B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung. Sollten Sie mit der angepassten Datenschutzerklärung nicht einverstanden sein, haben Sie ein Rücktrittsrecht. Ebenso bei Änderungen der AGB.