Informationen zur Datenverarbeitung

Datenschutzerklärung

Diese Hinweise beschreiben die Verarbeitung personenbezogener Daten in MyCheckpointNow nach dem aktuellen App- und Betriebsstand. Sie sind vor der Veröffentlichung rechtlich zu prüfen.

1. Verantwortlicher und Kontakt

AngabeWert
Verantwortlichermycareernow GmbH
AnschriftSiemensstraße 10, 35463 Fernwald-Annerod
HandelsregisterHRB 42952
RegistergerichtDresden
USt-IDDE353201415
Telefon+49 351 89 88 14 16
E-Mailberatung@mycareernow.de

2. Hosting / Serverbetrieb

  • Der produktive Betrieb der Anwendung erfolgt nach aktuellem Stand auf einem IONOS VPS mit Ubuntu, Nginx und einem Next.js-Produktionsprozess.
  • Die öffentliche Erreichbarkeit erfolgt ausschließlich über HTTPS unter checkpoint.mycareernow.de.
  • Server- und Fehlerprotokolle werden zur technischen Stabilität, Sicherheit und Fehlersuche verarbeitet.
  • Die Logdaten werden nur so lange gespeichert, wie dies für Betrieb, Sicherheit und Nachvollziehbarkeit erforderlich ist.

3. Authentifizierung mit Microsoft Entra

  • Die Anmeldung erfolgt über Microsoft Entra bzw. Microsoft OAuth in Verbindung mit der serverseitigen Supabase-Session-Verarbeitung.
  • Verarbeitet werden nur die Daten, die für die Anmeldung, die Session und die Zugriffssteuerung erforderlich sind.
  • Rollen wie admin, instructor und participant werden serverseitig aus den freigegebenen Entra-bezogenen Daten abgeleitet.
  • Eine Speicherung von Zugangstokens im Browser ist im vorgesehenen App-Verhalten nicht implementiert.

4. Supabase als Backend- und Speicherplattform

  • Supabase wird als Backend-, Auth- und Speicherinfrastruktur verwendet.
  • Verarbeitet werden insbesondere Benutzer- und Kontodaten, Rolleninformationen, Kurszuordnungen, Quizdaten und Lernfortschritte.
  • Die Geschäftslogik liegt serverseitig in TypeScript-Services; die Datenbank dient primär als Persistenzschicht.
  • Die App verwendet keine clientseitigen Service-Role-Zugriffe.

5. Kurs-, Quiz- und Lernfortschrittsdaten

  • Die App verarbeitet Kurs- und Teilnehmerzuordnungen, Quizsessions, Antworten, Lernfortschritt und Favoriten bzw. Merkliste-Daten.
  • Dozenten und Administratoren können Kursdaten serverseitig verwalten; Teilnehmer sehen nur die für sie freigegebenen Inhalte.
  • Manuelle Teilnehmerbearbeitung bleibt ein produktiver Bestandteil der Anwendung.
  • Die Datenverarbeitung dient der Durchführung und Dokumentation der Lern- und Assessmentschritte.

6. Microsoft Teams und Microsoft Graph

  • Der Teams-Import erfolgt serverseitig über Microsoft Graph.
  • Im Browser werden keine Microsoft-Graph-Calls ausgeführt.
  • Es werden nur die für die Kursverwaltung benötigten Teilnehmerinformationen verarbeitet.
  • Rohe Graph-Payloads und Tokens werden nicht als normale Browserdaten persistiert.

7. SharePoint-Integration

  • Die SharePoint-Anbindung erfolgt serverseitig über Microsoft Graph bzw. den zugehörigen Server-Workflow.
  • Verknüpfungen dienen der Verwaltung von Kursdokumenten und Referenzen innerhalb der Anwendung.
  • Die App stellt keine anonyme Dokumentenfreigabe und keine clientseitige Tokenweitergabe bereit.
  • Welche Dokumentmetadaten tatsächlich gespeichert werden, richtet sich nach der jeweils genutzten Integrationsfunktion.

8. Gemini-KI-Assistent

  • Der Chat-Assistent läuft ausschließlich serverseitig über die interne Route /api/chat und die Umgebungsvariable GEMINI_API_KEY.
  • Im Browser ist kein Gemini-Schlüssel hinterlegt.
  • An Gemini werden nur die für die jeweilige Frage nötigen Inhalte und der erforderliche Kontext übertragen.
  • Session-, Token- oder Providerdaten werden nicht als regulärer Nutzkontext an Gemini weitergegeben.
  • KI-Antworten können inhaltlich fehlerhaft sein und müssen fachlich geprüft werden.

9. Cookies, Session und lokale Speicherung

  • Es werden technisch notwendige Cookies bzw. Sessionmechanismen für Anmeldung, Authentifizierung und sichere Serververarbeitung eingesetzt.
  • Für die UI wird lokal ein Navigations-Pinning über Local Storage verwendet (aktuell mcn.appNavigationPinned).
  • Nach aktuellem Stand sind keine Marketing- oder Analyse-Cookies im App-Code vorgesehen.
  • Ein separates Cookie-Banner ist im aktuellen App-Code nicht implementiert, da nach heutigem Stand nur technisch notwendige Speicherung verwendet wird.

10. Rechtsgrundlagen und Speicherdauer

ZweckTypische Rechtsgrundlage
Authentifizierung, Session und ZugriffsschutzArt. 6 Abs. 1 lit. b und/oder lit. f DSGVO
Bereitstellung der Lern- und Assessment-FunktionenArt. 6 Abs. 1 lit. b DSGVO
Sicherheit, Fehleranalyse und StabilitätArt. 6 Abs. 1 lit. f DSGVO
Erfüllung gesetzlicher PflichtenArt. 6 Abs. 1 lit. c DSGVO
Optionale EinwilligungsvorgängeArt. 6 Abs. 1 lit. a DSGVO, sofern künftig erforderlich

Daten werden gelöscht oder eingeschränkt, sobald sie für den jeweiligen Zweck nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Konkrete Fristen sollten vor Veröffentlichung in einer abschließenden Lösch- und Retentionsregelung dokumentiert werden.

11. Rechte der betroffenen Personen

  • Auskunft über die verarbeiteten personenbezogenen Daten
  • Berichtigung unrichtiger Daten
  • Löschung oder Einschränkung der Verarbeitung, soweit die Voraussetzungen vorliegen
  • Datenübertragbarkeit, soweit anwendbar
  • Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft

12. Beschwerderecht und Kontakt

  • Betroffene Personen können sich bei einer Datenschutzaufsichtsbehörde beschweren.
  • Für Fragen zum Datenschutz ist die offizielle Kontaktadresse beratung@mycareernow.de vorgesehen.
  • Falls vor Livegang ein externer Datenschutzbeauftragter benannt wird, sind dessen Kontaktdaten vor Veröffentlichung ergänzend einzupflegen.

13. Änderungen und rechtliche Endprüfung

  • Diese Datenschutzerklärung ist an den aktuellen Stand der Anwendung angepasst, muss aber vor Livegang abschließend juristisch geprüft werden.
  • Änderungen an Auth, Hosting, Integrationen oder Tracking-/Cookie-Verhalten können eine Aktualisierung dieser Seite erforderlich machen.
  • Neue Funktionen wie zusätzliche Analyse-, Tracking- oder Marketingdienste dürfen erst nach erneuter Datenschutzprüfung ergänzt werden.