Privacy

Protecziun da datas

Status: 23.06.2026

Questa pagina legala è disponibla mo per tudestg e englais. La lingua tschernida (rm) mussa per standard la versiun tudestga.

Diese Datenschutzerklärung informiert dich darüber, wie wir mit deinen personenbezogenen Daten umgehen, wenn du die Website schuly.dev besuchst oder die Schuly-App und das zugehörige Backend nutzt. Die Erklärung erfüllt die Anforderungen des schweizerischen Datenschutzgesetzes (revDSG, in Kraft seit 01.09.2023) sowie der EU-Datenschutz-Grundverordnung (DSGVO).

1. Verantwortlicher

Niclas Erismann, Schweiz
E-Mail: [email protected]

2. Welche Daten werden verarbeitet?

2.1 Beim Besuch der Website (schuly.dev)

Die Website wird über Cloudflare Pages (Cloudflare Inc., USA) ausgeliefert. Cloudflare verarbeitet beim Aufruf folgende Daten: IP-Adresse, Datum und Uhrzeit, User-Agent, Referrer-URL, aufgerufene Ressource, Antwortstatus. Diese Daten sind technisch nötig für die Auslieferung und werden gemäss Cloudflare-Logaufbewahrung (in der Regel bis 30 Tage) gespeichert. Cloudflare ist nach dem Swiss-US Data Privacy Framework (in Kraft seit 15.09.2024) zertifiziert; ein angemessenes Schutzniveau im Sinn von Art. 16 revDSG ist damit gewährleistet. Rechtsgrundlage: berechtigtes Interesse (Art. 31 Abs. 2 lit. d revDSG) am sicheren Betrieb der Website.

Backend-Server: Das SchulyBackend, das die App nutzt, wird bei IONOS SE in Frankreich betrieben. Die gespeicherten App-Daten werden nicht in ein Drittland übermittelt und verbleiben im EU-/EWR-Raum. Mit IONOS besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO bzw. Art. 9 revDSG.

Schriftarten (Inter) werden selbst gehostet. Es findet keine Übermittlung an Google Fonts statt.

Beim Aufruf werden die öffentlichen Statistik-Endpunkte von GitHub (api.github.com) abgefragt (Anzahl Stars, Downloads). Dabei sendet dein Browser deine IP-Adresse an GitHub Inc., USA. Rechtsgrundlage: berechtigtes Interesse an Transparenz über das Projekt.

Keine Cookies, keine Tracker, keine Analytics, keine Werbung, keine Social-Media-Widgets.

2.2 Bei Nutzung der Schuly-App

Wenn du dich in der App anmeldest, werden folgende Daten verarbeitet:

  • Identitätsdaten deines Schuly-Accounts, ausgestellt von unserem Pocket-ID-OIDC-Anbieter: E-Mail-Adresse, Anzeigename, Profilbild, eindeutige Subject-ID.
  • Schul-Account-Zugangsdaten, die du innerhalb der App pro Schul-System hinterlegst. Wie diese authentifiziert werden, hängt vom jeweiligen Plugin ab. Tokens werden nur in dem für das jeweilige Schul-System zuständigen Plugin verarbeitet. Bei Schulnetz werden deine Schul-E-Mail und dein Passwort über die SchulwareAPI an die Microsoft-Anmeldung deiner Schule übermittelt, um eine Sitzung zu erhalten; E-Mail und Passwort werden nicht gespeichert, die daraus resultierenden Session- und Refresh-Tokens werden jedoch vom Plugin gespeichert, damit die Synchronisation ohne erneute Anmeldung funktioniert. Bei OdaOrg werden Benutzername und Passwort in der isolierten Datenbank des Plugins gespeichert.
  • Schuldaten, sofern dein Schulsystem sie liefert: Vor- und Nachname, private und schulische E-Mail, Telefonnummer, Adresse, Geburtsdatum, Eintritts- und Austrittsdatum, Klassenzugehörigkeit, Rolle (Schüler, Lehrperson).
  • Akademische Daten: Noten, Notengewichtungen, Semesterzeugnisse, Promotionsentscheide, Stundenplan, Termine, Prüfungen.
  • Absenzen: Datum, Art (entschuldigt / unentschuldigt) und der von der Schule erfasste Grund der Absenz. Diese Angabe kann Gesundheitsinformationen enthalten und gilt als besonders schützenswertes Personendatum (Art. 5 lit. c revDSG, Art. 9 DSGVO).
  • Schüler-Dokumente: Dateien und Metadaten, die deine Schule für dich hinterlegt hat. Die Speicherung erfolgt in einem S3-kompatiblen Objektspeicher.

Rechtsgrundlage: Vertragserfüllung (Art. 31 Abs. 2 lit. a revDSG, Art. 6 Abs. 1 lit. b DSGVO) und - für die Absenzgründe - deine ausdrückliche Einwilligung beim erstmaligen App-Login (Art. 6 Abs. 7 revDSG, Art. 9 Abs. 2 lit. a DSGVO).

2.3 Was wir nicht verarbeiten

  • Für deinen Schuly-Account: kein Passwort, da die Anmeldung über unseren Pocket-ID-OIDC-Anbieter erfolgt.
  • Für Schul-Accounts: Zugangsdaten werden nur an das zuständige Plugin weitergegeben und nicht zentral im Schuly-Kern gespeichert.
  • Für deinen Schuly-Account: kein serverseitig gespeicherter Refresh-Token; der OIDC-Access-Token wird pro Anfrage geprüft. Die Session- und Refresh-Tokens der Schul-Systeme werden hingegen vom jeweiligen Plugin gespeichert (siehe Ziffer 2.2).
  • Keine Push-Notification-Tokens (FCM/APNs) im Backend.
  • Kein Analytics- oder Telemetry-SDK in der Produktion.
  • Kein Logging von Request-Bodies in der Produktion.

3. Empfänger / Auftragsverarbeiter

  • Cloudflare Inc. (USA) - Webhosting für schuly.dev. Swiss-US Data Privacy Framework (zertifiziert).
  • IONOS SE (Montabaur, Deutschland) - Hosting des SchulyBackends in Frankreich, ISO-27001- zertifiziert, AVV nach Art. 28 DSGVO.
  • GitHub Inc. (USA) - Quellcode- und Release-Hosting; Quelle der auf der Website angezeigten Stern- und Download-Statistiken.
  • Pocket-ID-OIDC-Anbieter (von uns betrieben, IONOS Frankreich) - Authentifizierung deines Schuly-Accounts.
  • Schul-System(e), die du in der App hinterlegt hast - die in den jeweiligen Plugins implementierten Endpunkte werden im Rahmen der Synchronisation aufgerufen.
  • SchulwareAPI (von uns betrieben) - vermittelt die Schulnetz-Anmeldung und den Datenabruf; übermittelte Zugangsdaten werden nur transient zur Anmeldung verarbeitet.
  • Microsoft (Entra ID) (USA / global) - Identitätsanbieter deiner Schule für die Schulnetz-Anmeldung. Schul-E-Mail und Passwort werden zur Authentifizierung an Microsoft übermittelt; dies betrifft nur den Login-Vorgang, nicht die in Schuly gespeicherten Daten.

4. Speicherdauer

Cloudflare-Server-Logs: bis zu 30 Tage. App-Daten: solange dein Account aktiv ist. Auf Wunsch (E-Mail an [email protected]) löschen wir deinen Account und alle damit verbundenen Daten innert 30 Tagen. Eine Self-Service- Löschfunktion ist in Vorbereitung (siehe Issue #79).

5. Wer ist wofür verantwortlich?

Schuly ist kein Schulsystem, sondern im Kern ein Daten-Cache mit Sync-Funktion. Deine Noten, Absenzen, Stundenpläne und persönlichen Stammdaten werden von deiner Schule in deren Schulsystem (z. B. Schulnetz) erfasst und gepflegt. Schuly synchronisiert diese Daten in deinem Namen und speichert sie als Kopie auf dem Backend (IONOS, Frankreich), damit die App schnell und offline funktioniert.

Daraus ergeben sich zwei Verantwortungsbereiche:

  • Deine Schule ist Verantwortliche für die Originaldaten (z. B. Noten, Absenzgründe, Klassenzugehörigkeit, Stammdaten). Falsche oder veraltete Angaben dort kannst nur die Schule berichtigen.
  • Schuly ist Verantwortlicher für die Kopie dieser Daten im Backend sowie für die wenigen Daten, die Schuly selbst erhebt (deine OIDC-Identität: E-Mail, Anzeigename, Profilbild, Login-Zeitpunkt).

6. Deine Rechte

Du hast unter revDSG und DSGVO die folgenden Rechte. Wohin du dich wenden musst, hängt davon ab, worum es geht:

6.1 Rechte gegenüber Schuly

Bei uns kannst du folgende Rechte direkt ausüben:

  • Auskunft über die Kopie deiner Daten im Schuly-Backend (Art. 25 revDSG, Art. 15 DSGVO)
  • Löschung der Kopie deiner Daten im Schuly-Backend (Art. 32 revDSG, Art. 17 DSGVO) - die Originaldaten bei deiner Schule bleiben davon unberührt
  • Datenübertragbarkeit der bei uns gespeicherten Daten (Art. 28 revDSG, Art. 20 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft

Kontakt: [email protected].

6.2 Rechte gegenüber deiner Schule

Diese Rechte musst du direkt bei deiner Schule geltend machen, da sie die Originaldaten verwaltet:

  • Berichtigung falscher Daten (Art. 32 Abs. 1 revDSG, Art. 16 DSGVO) - z. B. eine falsch erfasste Note oder Absenz. Schuly kann nichts an dem ändern, was das Schulsystem liefert; sobald die Schule es korrigiert, übernimmt es Schuly bei der nächsten Synchronisation.
  • Auskunft über die vollständigen Originaldaten
  • Beschwerden über die Erfassung von Schul-Daten an sich

7. Beschwerderecht

Du kannst dich beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), Feldeggweg 1, 3003 Bern - edoeb.admin.ch beschweren. Wenn du in einem EU-/EWR-Staat wohnst, kannst du dich zusätzlich an die für dich zuständige nationale Datenschutzbehörde wenden.

8. Sicherheit

Die Übertragung erfolgt durchgehend per TLS. Datenbanken laufen auf verschlüsselten Volumes. Eine Spalten-Verschlüsselung für besonders sensible Felder (Noten, Absenzgründe) ist in Arbeit (siehe Issue #79 oben). Backend-Plugins laufen in isolierten Datenbanken pro Plugin und haben keinen Zugriff auf andere Plugin-Daten oder Kern-Tabellen.

9. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Einzelentscheidung im Sinn von Art. 21 revDSG / Art. 22 DSGVO statt. Schuly bewertet dich nicht und trifft keine automatisierten Entscheidungen über dich.

10. Änderungen

Wir können diese Erklärung anpassen, wenn sich Funktionen, Anbieter oder rechtliche Anforderungen ändern. Wesentliche Änderungen werden auf dieser Seite mit aktualisiertem Stand-Datum veröffentlicht.