Auftragsverarbeitungsvertrag
Standard-AVV-Vorlage für jede Kundenschule. Definiert Rollen (Verantwortlicher, Auftragsverarbeiter), Verarbeitungszwecke, Aufbewahrungsfristen, Löschrichtlinie.
Sicherheit
Schutz personenbezogener Daten.
Sicherheit ist keine Wahl.
Schüler legen Prüfungen ab. Lehrer verwalten Noten.
Es ist unsere Verantwortung, dass diese Informationen nur
für diejenigen zugänglich sind, die Zugriff haben sollten.
GDPR
vollständige Konformität
Verschlüsselt
Verbindungen überall
24h
Backup-Archive
100%
Audit-Protokoll
Architektur
Mehrschichtiger Schutz vom Gerät bis zur Datenbank
01
Was Sie sehen
Anwendung oder Browser. Verschlüsselte Verbindung ab dem Öffnen.
02
Die Verbindung zwischen Ihnen und uns
Geschützt mit modernen Protokollen. Niemand auf dem Weg kann die Kommunikation mitlesen.
03
Bevor es den Server erreicht
Anfragelimits, Sicherheits-Header, Filter. Erste Linie gegen automatisierte Angriffe.
04
Wer was sieht
Eine aktive Sitzung gleichzeitig, Rollensteuerung, Isolation pro Schule.
05
Was passiert
Durchsetzung der Geschäftsregeln, Prüfungen für jede Aktion, Audit sensibler Operationen.
06
Wo die Daten leben
Geschützte Datenbank in einer isolierten Umgebung. Dienste haben nur die nötigen Rechte. Tägliche Sicherungen.
GDPR
Transparenz und Kontrolle
GDPR-Konformität ist im Design verankert. Export und Löschung sind Werkzeuge in der Anwendung — direkt zugänglich, ohne Formulare und ohne Wartezeiten.
Auskunftsrecht
Nutzer sehen, welche Daten wir über sie speichern — Namen, E-Mail, Noten, Prüfungen, Dateien. Transparent, im JSON-Export. (GDPR Art. 15)
Export personenbezogener Daten
Ein-Klick-Export in der App. JSON-Format — lesbar von Menschen und Programmen. Keine Formulare, keine E-Mail an den Support. (GDPR Art. 15 + 20)
Minimierte Informationen
Wir sammeln keine unnötigen Daten. Kein Tracking, keine Geräte-Fingerprints, kein Werbeverhalten. Nur das, was für die Prüfungsfunktion notwendig ist.
Löschantrag
Der Nutzer initiiert die Kontolöschung aus den Einstellungen. Der Antrag durchläuft eine kurze Genehmigung für Audit-Zwecke. Bei Genehmigung — vollständige kaskadierende Löschung aller personenbezogenen Daten. (GDPR Art. 17)
Meldung bei Vorfällen
Bei einer Sicherheitsverletzung — innerhalb von 72 Stunden benachrichtigen wir die betroffenen Schulen mit Details: was passiert ist, welche Daten betroffen sind, welche Maßnahmen wir ergriffen haben. (GDPR Art. 33)
Aktive Abwehr
Sicherheit in Echtzeit
Verschlüsselte Verbindungen überall
Der gesamte Datenverkehr wird mit modernen Protokollen verschlüsselt. Ältere Versionen sind deaktiviert. Zertifikate werden 30 Tage vor Ablauf automatisch erneuert.
Limits gegen übermäßigen Verkehr
Jeder Anfragetyp — Haupt-API, Dateien, Verwaltung — hat separate Limits. Schutz vor automatisierten Angriffen und übermäßiger Last.
Eine aktive Sitzung
Bei einer neuen Anmeldung desselben Nutzers werden alle vorherigen Sitzungen automatisch beendet. Schutz vor geteilten Zugängen.
Schulisolation
Daten einer Schule sind für andere nicht sichtbar, auch nicht für Administratoren. Anfragen werden auf Datenbankebene eingeschränkt — es ist unmöglich, versehentlich oder absichtlich fremde Schüler, Noten oder Prüfungen zu sehen.
Transparenz für alles Wichtige
Jede sensible Aktion wird protokolliert — wer sie wann auf welchem Objekt durchgeführt hat. Der Schulleiter sieht die Historie aller Aktionen innerhalb der Schule. Einträge können nicht gelöscht werden.
Isolierte Prozesse
Datenbank, Cache und Anwendung laufen als separate Benutzer ohne überflüssige Rechte. Jeder Dienst hat nur Zugriff auf das, was er benötigt.
Prüfungssicherheit
Schutz der Prüfungsumgebung
IP-Sperre
Optional: Die Schule kann ihre Prüfungen nur auf IP-Adressen aus dem eigenen Netzwerk beschränken. Der Schüler kann die Prüfung nicht von zu Hause ablegen, selbst wenn er eingeloggt ist.
Echtzeitüberwachung
Der Lehrer verfolgt die Aktivität der Schüler während der Prüfung — wer aktiv ist, wer aufgehört hat zu arbeiten, wer fertig ist.
Sichere erneute Einreichung
Die Prüfungsabgabe ist gegen Duplikate geschützt. Auch wenn das Netzwerk den Client zwingt, mehrfach zu wiederholen, erreichen die Antworten den Server genau einmal.
Automatische Abgabe bei Ablauf
Wenn die Zeit abläuft, werden die Antworten automatisch eingereicht. Es gibt keine Möglichkeit, über die festgelegte Frist hinaus fortzufahren.
Geschützte Prüfungsdateien
Bilder und PDFs in Prüfungen öffnen sich nur aus der Anwendung mit Sitzungs-Identifikation. Ein geteilter Link im Chat oder Browser funktioniert außerhalb der Sitzung nicht. Links haben eine begrenzte Lebensdauer.
Aufzeichnung jeder Verletzung
Fensterwechsel, Kopieren, Öffnen eines neuen Tabs werden aufgezeichnet. Der Lehrer sieht Verletzungen sofort im Prüfungsprotokoll.
Backups
Geprüftes Wiederherstellungsverfahren
Wir stellen die Daten regelmäßig in einer separaten Umgebung wieder her und prüfen ihre Integrität — um zu wissen, dass das Verfahren bei Bedarf funktioniert und unsere Backups keine Illusion von Sicherheit sind.
- Tägliches Backup der Datenbank
- 30-tägige Historie
- Wiederherstellung kritischer Daten
- Backup vor jedem Produktions-Deployment
- Optional: Off-Site-Backup an einem separaten Standort
Spezifische Anforderungen?
Kontaktieren Sie uns für eine detaillierte Sicherheitsprüfung oder eine AVV-Vorlage.
Kontakt aufnehmen