Allmend./Datenschutzerklärung

Datenschutzerklärung

Letzte Aktualisierung: Mai 2026 (v4) · Grundlage: Bundesgesetz über den Datenschutz (DSG, SR 235.1)

Hinweis zum Betriebsstatus: Die Plattform Allmend wird derzeit kostenlos als privates Hobby-Projekt betrieben. Diese Datenschutzerklärung gilt unabhängig davon und beschreibt, wie mit personenbezogenen Daten umgegangen wird.

1. Verantwortliche Stelle

Verantwortlich für die Bearbeitung Ihrer Personendaten im Sinne des schweizerischen Datenschutzgesetzes (DSG) ist Jan Glauser (Betreiber der Plattform Allmend.) mit Sitz in der Schweiz.

Kontaktaufnahme ausschliesslich per E-Mail: glauserjan3@gmail.com

2. Welche Daten werden bearbeitet?

2.1 Registrierungs- und Profildaten (nur Lehrpersonen)

Schülerinnen und Schüler benötigen kein eigenes Konto und übermitteln keine Registrierungsdaten. Für Lehrpersonen werden folgende Daten gespeichert:

E-Mail-Adresse (zwingend für die Authentifizierung)
Vorname (optional, für personalisierte Anzeige)
Klasse / Stufe (optional)
Anthropic API-Schlüssel (optional, verschlüsselt gespeichert via AES-256-GCM — nur wenn von der Lehrperson hinterlegt, für den Betrieb eigener KI-Funktionen)

2.2 Nutzungsdaten

Von Lehrpersonen erstellte Kursinhalte (serverseitig gespeichert)
Lernfortschritte von Schüler:innen: ausschliesslich lokal im Browser (localStorage) — keine Übermittlung an den Server, keine Identifizierung möglich
Eingaben in KI-Elementen (Zusammenfassung, KI-Fragen): Text wird zur Feedback-Generierung an Anthropic übermittelt, ohne Personenidentifikatoren
Zeitstempel der Nutzungsaktivitäten (nur für angemeldete Lehrpersonen)

2.3 Technische Daten

IP-Adresse (temporär durch Hosting-Infrastruktur verarbeitet, nicht dauerhaft gespeichert)
Browser-Typ und Betriebssystem (keine dauerhafte Speicherung)
Keine Tracking-Cookies, keine Werbe-Cookies

2.4 Nicht erhobene Daten

Es werden keine Standortdaten, biometrischen Daten, Gesundheitsdaten oder besondere Kategorien von Personendaten (Art. 5 lit. c DSG) erhoben oder verarbeitet.

3. Zweck und Rechtsgrundlage der Datenbearbeitung

Zweck	Rechtsgrundlage (DSG)
Bereitstellung der Plattform und Authentifizierung	Vertragserfüllung / überwiegendes Interesse
Speicherung von Kursinhalten (Lehrpersonen)	Vertragserfüllung / überwiegendes Interesse
Kommunikation bei Support-Anfragen	Überwiegendes Interesse des Betreibers
Verbesserung und Weiterentwicklung der Plattform	Überwiegendes Interesse des Betreibers
Sicherheit und Missbrauchsprävention	Rechtliche Verpflichtung / überwiegendes Interesse

Daten werden nicht für Werbezwecke, Profiling oder automatisierte Entscheidungsfindung verwendet.

4. Aufbewahrungsdauer

Aktive Lehrpersonen-Konten: Daten werden für die Dauer der Nutzung gespeichert
Nach Kontolöschung (Lehrperson): Alle personenbezogenen Daten werden innerhalb von 30 Tagen unwiderruflich gelöscht
Lernfortschritte Schüler:innen: Ausschliesslich lokal im Browser (localStorage) — keine serverseitige Speicherung, keine Löschung durch den Betreiber nötig
Von Lehrpersonen erstellte Kursinhalte: Verbleiben bis zur expliziten Löschung durch die Lehrperson oder den Betreiber
Logs / technische Daten: Maximal 30 Tage, danach automatisch gelöscht

5. Weitergabe an Dritte

Personendaten werden nicht verkauft, vermietet oder zu Werbezwecken an Dritte weitergegeben.

Für den Betrieb der Plattform werden folgende Auftragsverarbeiter eingesetzt:

Anbieter	Zweck	Standort	Datenschutz
Supabase Inc.	Datenbank & Authentifizierung	EU (Frankfurt)	GDPR-konform, nDSG-adäquat
Vercel Inc.	Web-Hosting & Deployment	EU / USA (SCCs)	GDPR-konform
Anthropic PBC	KI-Funktionen (nur wenn Lehrperson eigenen API-Key hinterlegt hat — Anfragen laufen über den Key der Lehrperson, nicht über den Betreiber)	USA (SCCs)	Datenschutzrichtlinie anthropic.com — keine Speicherung für Training; Lehrperson ist eigenverantwortlich für ihre API-Nutzung

Eingebettete Drittdienste (nur auf explizite Einbindung durch Lehrpersonen):

YouTube (Google LLC): Video-Embeds — bei Aktivierung gelten die Datenschutzbestimmungen von Google
GeoGebra GmbH: Interaktive Mathematik-Applets — keine personenbezogene Datenübermittlung bei reiner Einbettung
Swisstopo (Bundesamt für Landestopografie): Karteneinbettungen — keine Nutzer-Identifizierung, Daten verbleiben in der Schweiz
transport.opendata.ch: ÖV-Verbindungsabfragen — keine personenbezogenen Daten übermittelt
Nominatim / OpenStreetMap: Ortsnamen-Suche — IP-Adresse wird kurzzeitig übermittelt (keine dauerhafte Speicherung gemäss OSM-Datenschutzrichtlinie)
Open-Meteo (open-meteo.com): Wetterdaten für das Wetter-Analyse-Element — keine personenbezogenen Daten übermittelt, IP-Adresse verarbeitet gemäss Open-Meteo-Datenschutzrichtlinie (Schweiz/EU)
PubChem / NIH (National Institutes of Health, USA): Molekül-Daten und 2D-Strukturbilder — keine personenbezogenen Daten übermittelt; Inhalte sind Public Domain

Beim Aufruf eingebetteter Dienste werden Daten direkt zwischen dem Browser der Nutzerin / des Nutzers und dem jeweiligen Drittanbieter ausgetauscht. Lehrpersonen sind verantwortlich dafür, dass nur datenschutzkonforme Inhalte in ihre Kurse eingebettet werden.

6. Cookies und lokale Speicherung

Session-Cookies: Für die Authentifizierung zwingend erforderlich (kein Tracking)
localStorage: Für lokal gespeicherte Einstellungen (z.B. Kartenrouten) — verbleiben auf dem Gerät, keine Übermittlung an Server
Keine Analyse-Cookies: Es werden keine Tools wie Google Analytics, Hotjar oder ähnliche eingesetzt
Keine Werbe-Cookies: Keinerlei Werbetracking

Da ausschliesslich technisch notwendige Cookies verwendet werden, ist kein Cookie-Banner erforderlich.

7. Ihre Rechte (Art. 25 ff. DSG)

Sie haben gegenüber dem Betreiber folgende Rechte:

Auskunftsrecht: Welche Daten über Sie gespeichert sind
Berichtigungsrecht: Unrichtige Daten korrigieren lassen
Löschungsrecht: Konto und alle zugehörigen Daten löschen — self-service unter Einstellungen → «Konto löschen» oder per E-Mail
Einschränkungsrecht: Verarbeitung einschränken lassen
Datenübertragbarkeit: Export aller eigenen Kursdaten als JSON — self-service unter Einstellungen → «Daten exportieren»
Widerspruchsrecht: Gegen bestimmte Verarbeitungen Widerspruch einlegen

Zur Ausübung Ihrer Rechte (ausser self-service) wenden Sie sich per E-Mail an:glauserjan3@gmail.com

Sie haben ausserdem das Recht, beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Beschwerde einzureichen: edoeb.admin.ch

8. Besondere Hinweise zu Minderjährigen

Kein AVV nötig: Da Allmend keinerlei personenbezogene Schülerdaten serverseitig speichert (Lernfortschritte verbleiben ausschliesslich lokal im Browser), entfällt die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrags (AVV) gemäss Art. 28 DSGVO / Art. 9 DSG für den Schüler:innen-Bereich.

Schülerinnen und Schüler erhalten Zugang ausschliesslich über einen von der Lehrperson generierten Link oder Klassencode — ohne eigenes Konto, ohne E-Mail-Adresse, ohne Registrierung. Lehrpersonen, die Minderjährige mit der Plattform arbeiten lassen, sind verantwortlich für:

Die Einhaltung der schulinternen Datenschutzrichtlinien
Die Information der Erziehungsberechtigten über die Nutzung digitaler Tools im Unterricht (gemäss kantonalem Recht)

Hinweis zu KI-Funktionen: Einzelne Kurs-Elemente («Zusammenfassung + KI», «KI-Fragen») übermitteln den Freitext der Schülerin / des Schülers an die KI-API von Anthropic PBC (USA) zur Feedback-Generierung. Es werden dabei keine Namen, Kontonamen oder Personenidentifikatoren übermittelt. Lehrpersonen, die diese Elemente für Minderjährige einsetzen, sollten die Erziehungsberechtigten entsprechend informieren. Für diesen Datenfluss kann ein schlanker AVV mit dem Betreiber abgeschlossen werden (auf Anfrage: glauserjan3@gmail.com).

9. Datensicherheit

Der Betreiber trifft angemessene technische und organisatorische Massnahmen zum Schutz Ihrer Daten:

Verschlüsselte Übertragung via HTTPS/TLS
Authentifizierung über Supabase Auth mit sicheren Session-Tokens
Datenhaltung in der EU (Frankfurt) mit GDPR-Niveau-Schutz
Passwörter werden nie im Klartext gespeichert (gehasht via bcrypt)
Anthropic API-Schlüssel werden verschlüsselt gespeichert (AES-256-GCM, serverseitiger Schlüssel)
Regelmässige Sicherheitsupdates der verwendeten Dienste

Im Falle einer Datenpanne werden betroffene Nutzer:innen und — sofern erforderlich — der EDÖB gemäss Art. 24 DSG innerhalb von 72 Stunden informiert.

10. Änderungen dieser Datenschutzerklärung

Der Betreiber behält sich vor, diese Datenschutzerklärung jederzeit anzupassen. Die jeweils aktuelle Version ist unter /datenschutz abrufbar. Bei wesentlichen Änderungen werden Nutzer:innen per E-Mail oder über die Plattform informiert.

← Startseite AGB