> For the complete documentation index, see [llms.txt](https://docs.hspv-timetable.de/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.hspv-timetable.de/rechtliches/datenschutzerklarung.md).

# Datenschutzerklärung

Die folgende Datenschutzerklärung klärt Sie über die Art, den Umfang und den Zweck der Verarbeitung von personenbezogenen Daten bei der Nutzung der App *HSPV-Timetable*, der zugehörigen Serverdienste sowie der Webseiten des Anbieters auf.

#### 1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung und sonstiger datenschutzrechtlicher Bestimmungen ist der Verein zur Förderung der Verwaltungsinformatik e.V., die Kontaktdaten sind im Impressum aufgeführt.

#### 2. Begriffsdefinitionen

* Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. HSPV‑Kennung).
* Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, ob automatisiert oder nicht, z. B. Erheben, Speichern, Nutzen, Übermitteln, Löschen.
* Verantwortlicher: Die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet (hier: der Anbieter).
* Anbieter: Der Verein zur Förderung der Verwaltungsinformatik e. V. gemäß Impressum.
* Serverdienste: Die serverseitigen Dienste des Anbieters unter api.hspv-timetable.de, über die Nachrichten an die Nutzenden bereitgestellt und anonyme Nutzungsstatistiken entgegengenommen werden.&#x20;
* App: Die iOS‑ bzw. Android‑App „HSPV‑Timetable“, bereitgestellt und verwaltet durch den Anbieter.
* Inhaltliche Nutzungsdaten: Durch die App von Systemen der HSPV NRW abgerufene Inhaltsdaten (z. B. Lehrveranstaltungsplan oder E-Mails). Prüfungsleistungen sind explizit hiervon ausgenommen.
* Webseiten: Die Webseite hspv-timetable.de sowie die Dokumentationsseite docs.hspv-timetable.de.

Soweit die Nutzungsbedingungen den Begriff „Dienste“ weiter fassen, ist für diese Datenschutzerklärung die vorstehende Definition der „Serverdienste“ maßgeblich.

#### 3. Allgemeines zum Datenschutz

**3.1** Inhaltliche Nutzungsdaten werden ausschließlich lokal auf dem Endgerät gespeichert. Eine Speicherung auf Servern des Anbieters findet nicht statt.

**3.2** Zur Darstellung der Inhalte kommuniziert die App direkt mit Servern der HSPV NRW. Dieser Vorgang entspricht dem Abruf über einen Webbrowser. Der Anbieter hat keinen Einfluss auf die dortige Datenverarbeitung. Es gelten die [Datenschutzbestimmungen der HSPV NRW](https://www.hspv.nrw.de/datenschutz).

**3.3** Bei den Zugriffen auf die Serverdienste fallen technische Protokolldaten an, die personenbezogene Daten enthalten können (siehe Abschnitt 7).

**3.4** In der App werden keine Cookies oder Tracking-Technologien eingesetzt. Zur Weiterentwicklung der App erhebt der Anbieter anonyme Nutzungsstatistiken (siehe Abschnitt 6).

#### 4. Verbindungen zu externen Servern

**4.1** Für die Nutzung der App ist nicht zwingend eine Internetverbindung erforderlich. Die App kann mit den zuletzt synchronisierten inhaltlichen Nutzungsdaten auch offline verwendet werden.

**4.2** Eine Synchronisation der App mit den Systemen der HSPV NRW erfordert eine aktive Internetverbindung und wird dringend empfohlen, um die angezeigten Inhalte aktuell zu halten. Die Synchronisation des Lehrveranstaltungsplans findet bei geöffneter App und bestehender Internetverbindung täglich automatisch statt.

**4.3** Im Rahmen von Synchronisationen oder anderen Prozessen stellt die App Verbindungen zu folgenden externen Servern her:

*4.3.1* Server der HSPV NRW: Über diese Server werden inhaltliche Nutzungsdaten abgerufen (insbesondere Lehrveranstaltungspläne, E-Mails und Prüfungsleistungen). Der Anbieter hat keinen Einfluss auf die dortige Datenverarbeitung. Es gelten ausschließlich die [Datenschutzbestimmungen der HSPV NRW](https://www.hspv.nrw.de/datenschutz).

*4.3.2* Serverdienste des Anbieters: Über diese werden generische Nachrichten an die Nutzenden bereitgestellt sowie anonyme Nutzungsstatistiken entgegengenommen. Inhaltliche Nutzungsdaten werden nicht an die Serverdienste übermittelt. Ausnahme: Zur Aktivierung des Entwicklermodus in der App wird eine pseudonymisierte Version der HSPV-Nutzer-Kennung übermittelt. Es erfolgt keine Übertragung der HSPV-Nutzer-Kennung im Klartext.

{% hint style="info" %}
Inhaltliche Nutzungsdaten werden ausschließlich zwischen dem Endgerät und den Systemen der HSPV NRW übertragen und im Übrigen lokal auf dem Endgerät gespeichert. Eine Übermittlung an den Anbieter oder sonstige Dritte findet nicht statt.
{% endhint %}

#### 5. Lokale Speicherung von inhaltlichen Nutzungsdaten

**5.1** Die App speichert inhaltliche Nutzungsdaten ausschließlich lokal auf dem Endgerät des Nutzenden.

**5.2** Alle lokal gespeicherten Daten werden in einem abgesicherten Bereich auf dem Endgerät abgelegt. Besonders sensible Daten wie die Zugangsdaten des HSPV-Nutzerkontos werden zusätzlich verschlüsselt.

**5.3** Lokal gespeicherte Daten verbleiben auf dem Endgerät, bis der Nutzende sie aktiv löscht oder die App deinstalliert. Auf die lokal gespeicherten Daten hat der Anbieter keinen Zugriff; insoweit findet keine Verarbeitung durch den Anbieter statt.

#### 6. Anonyme Nutzungsstatistiken

**6.1** Die App erhebt anonyme Nutzungsstatistiken, um die Weiterentwicklung und Verbesserung der App zu unterstützen. Erfasst werden ausschließlich aggregierte und nicht personenbeziehbare Informationen, beispielsweise:

* Häufigkeit und Zeitpunkt der App-Nutzung
* Aufgerufene Ansichten innerhalb der App
* App-Version
* Nutzergruppe (Studierende, Lehrende oder Verwaltungsmitarbeitende)

**6.2** Die erhobenen Statistikdaten enthalten weder IP-Adressen noch inhaltliche Nutzungsdaten und lassen keinen Rückschluss auf einzelne Nutzende zu. Die Nutzergruppe wird auf grundlage der HSPV-Nutzer-Kennung abgeleitet. Ein Übermittlung der Kennung erfolgt nicht. Ein Rueckschluss auf einzelne Personen ist nicht moeglich.

**6.3** Bei der Übermittlung der Statistikdaten an die Serverdienste fallen – wie bei jedem Serverzugriff – kurzlebige technische Protokolldaten nach Abschnitt 7 an. Diese Protokolldaten werden nicht mit den Statistikdaten zusammengeführt und nicht zu deren Auswertung herangezogen.

#### 7. Protokoll- und Log-Dateien

**7.1** Die Serverdienste werden über einen externen Rechenzentrumsdienstleister gehostet:

IONOS SE\
Elgendorfer Str. 57\
56410 Montabaur\
Deutschland\
[Impressum der IONOS SE](https://www.ionos.de/impressum)

Die genutzten Server befinden sich in Deutschland. Die Server der IONOS SE verfügen über verschiedene Zertifizierungen, darunter das C5-Testat sowie die Zertifizierung nach dem IT-Grundschutz des BSI. Alle Zertifizierungen können auf der Webseite von IONOS eingesehen werden: <https://cloud.ionos.de/zertifikate>

Mit der IONOS SE wurde ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen.

**7.2** Bei jedem Zugriff auf die Serverdienste werden folgende Informationen kurzzeitig erfasst:

* **Zeitstempel:** Datum und Uhrzeit der Anfrage sowie die Verarbeitungszeit bis zum Abschluss.
* **Ressourcenabfrage:** Angeforderter URI-Pfad, HTTP-Methode (GET/POST/PUT/etc.) und Parameter aus dem Anfragezeilen-Bereich.
* **Statusinformation:** HTTP-Antwortstatuscode (z. B. 200, 404, 502) und Größe der gesendeten Antwort-Header und Body-Inhalte in Bytes.
* **IP-Adresse des anfragenden Clients:** Die Netzwerkadresse des Geräts oder Systems, von dem die HTTP-Anfrage initiiert wurde.
* **Metadaten des anfragenden Clients:** Informationen über den Client wie User-Agent-String, Browser-Typ, Betriebssystemversion und Gerätetyp.
* **Antwortzeit in Sekunden:** Die Gesamtzeit zwischen dem Empfang der vollständigen Anfrage und dem Versand des vollständigen Antwort-Headers sowie des Bodies.
* **Eventuelle Fehlerprotokolle:** Detaillierte Informationen zu eventuellen Fehlern, die sich ausschließlich auf die Serverkonfiguration beziehen.

**7.3** Die Protokolldaten werden nach 14 Tagen automatisch und dauerhaft gelöscht. Im Rahmen technischer Schutzmaßnahmen (z. B. bei Angriffen auf die Infrastruktur oder bei Missbrauch) können Verbindungsdaten vorübergehend länger verarbeitet werden, bis der jeweilige Vorfall abschließend geklärt ist.

**7.4** Die Verarbeitung der Protokolldaten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse des Anbieters liegt in der Gewährleistung der Sicherheit, Stabilität und Funktionsfähigkeit der Serverdienste sowie in der Abwehr und Aufklärung von Angriffen und Missbrauch.

#### 8. Webseiten

**8.1** Beim Aufruf der Webseite hspv-timetable.de fallen technische Protokolldaten entsprechend Abschnitt 7 an; Speicherdauer und Rechtsgrundlage gelten entsprechend.

**8.2** Die Dokumentationsseite docs.hspv-timetable.de wird über die Plattform GitBook (GitBook Inc., USA) bereitgestellt. Beim Aufruf verarbeitet GitBook technische Zugriffsdaten (z. B. IP-Adresse) zur Auslieferung der Inhalte; dabei kann eine Verarbeitung in den USA stattfinden. Ergänzend gilt die [Datenschutzerklärung von GitBook](https://gitbook.com/docs/policies/privacy-and-security/statement). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse liegt in der effizienten und sicheren Bereitstellung der Dokumentation.

#### 9. Art der verarbeiteten Daten, Zwecke und Rechtsgrundlagen

**Art der verarbeiteten Daten:**

* Nutzungsdaten, beispielsweise Zugriffszeiten
* Meta-/Kommunikationsdaten, beispielsweise IP-Adressen und Geräteinformationen (User-Agent)

**Zwecke der Verarbeitung:**

* Gewährleistung von Sicherheit, Stabilität und Funktionsfähigkeit der Serverdienste und Webseiten
* Messung der Nutzung zur Verbesserung und Weiterentwicklung der App (vgl. Abschnitt 6)

**Rechtsgrundlagen:**

* Protokolldaten der Serverdienste und Webseiten: Art. 6 Abs. 1 lit. f DSGVO (siehe Abschnitte 7.4 und 8)
* Anonyme Nutzungsstatistiken: kein Personenbezug, daher keine Verarbeitung personenbezogener Daten (siehe Abschnitt 6)
* Inhaltliche Nutzungsdaten: verbleiben lokal auf dem Endgerät und werden vom Anbieter nicht verarbeitet (siehe Abschnitt 5)

#### 10. Rechte der betroffenen Personen

1. Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden, und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend Art. 15 DSGVO.
2. Sie haben entsprechend Art. 16 DSGVO das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
3. Sie haben nach Maßgabe des Art. 17 DSGVO das Recht zu verlangen, dass betreffende Daten unverzüglich gelöscht werden, beziehungsweise alternativ nach Maßgabe des Art. 18 DSGVO eine Einschränkung der Verarbeitung der Daten zu verlangen.
4. Sie haben das Recht, die betreffenden Daten, die Sie bereitgestellt haben, nach Maßgabe des Art. 20 DSGVO zu erhalten, und können deren Übermittlung an andere Verantwortliche fordern.
5. Sie können der künftigen Verarbeitung der Sie betreffenden Daten nach Maßgabe des Art. 21 DSGVO jederzeit widersprechen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO beruht.
6. Sie haben ferner gemäß Art. 77 DSGVO das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen.

Hinweis: Da die Verarbeitung durch den Anbieter im Wesentlichen auf kurzlebige technische Protokolldaten beschränkt ist, kann eine Zuordnung einzelner Datensätze zu bestimmten Personen in der Regel nicht erfolgen (Art. 11 DSGVO). Zur Ausübung Ihrer Rechte können daher ergänzende Angaben erforderlich sein, die eine Identifizierung ermöglichen.

#### 11. Weitergabe personenbezogener Daten

Eine Weitergabe an den Hosting-Dienstleister erfolgt im Rahmen der Auftragsverarbeitung (siehe Abschnitt 7). Darüber hinaus werden Daten, die beim Zugriff auf die Serverdienste oder Webseiten protokolliert werden, an Dritte nur übermittelt, soweit gesetzliche, richterliche beziehungsweise staatsanwaltschaftliche Anordnungen dazu verpflichten oder die Weitergabe im Falle von Angriffen auf die Infrastruktur des Anbieters zur Rechts- oder Strafverfolgung erforderlich ist.

#### 12. Änderungen dieser Datenschutzerklärung

Im Zuge der Weiterentwicklung der App, der Serverdienste oder der Webseiten können Änderungen dieser Datenschutzerklärung erforderlich werden. Wir empfehlen deshalb, die Datenschutzerklärung von Zeit zu Zeit erneut zu lesen
