Informationen zur Datenverarbeitung
Datenschutzerklärung
Diese Hinweise beschreiben die Verarbeitung personenbezogener Daten in MyCheckpointNow nach dem aktuellen App- und Betriebsstand. Sie sind vor der Veröffentlichung rechtlich zu prüfen.
1. Verantwortlicher und Kontakt
| Angabe | Wert |
|---|---|
| Verantwortlicher | mycareernow GmbH |
| Anschrift | Siemensstraße 10, 35463 Fernwald-Annerod |
| Handelsregister | HRB 42952 |
| Registergericht | Dresden |
| USt-ID | DE353201415 |
| Telefon | +49 351 89 88 14 16 |
| beratung@mycareernow.de |
2. Hosting / Serverbetrieb
- Der produktive Betrieb der Anwendung erfolgt nach aktuellem Stand auf einem IONOS VPS mit Ubuntu, Nginx und einem Next.js-Produktionsprozess.
- Die öffentliche Erreichbarkeit erfolgt ausschließlich über HTTPS unter checkpoint.mycareernow.de.
- Server- und Fehlerprotokolle werden zur technischen Stabilität, Sicherheit und Fehlersuche verarbeitet.
- Die Logdaten werden nur so lange gespeichert, wie dies für Betrieb, Sicherheit und Nachvollziehbarkeit erforderlich ist.
3. Authentifizierung mit Microsoft Entra
- Die Anmeldung erfolgt über Microsoft Entra bzw. Microsoft OAuth in Verbindung mit der serverseitigen Supabase-Session-Verarbeitung.
- Verarbeitet werden nur die Daten, die für die Anmeldung, die Session und die Zugriffssteuerung erforderlich sind.
- Rollen wie admin, instructor und participant werden serverseitig aus den freigegebenen Entra-bezogenen Daten abgeleitet.
- Eine Speicherung von Zugangstokens im Browser ist im vorgesehenen App-Verhalten nicht implementiert.
4. Supabase als Backend- und Speicherplattform
- Supabase wird als Backend-, Auth- und Speicherinfrastruktur verwendet.
- Verarbeitet werden insbesondere Benutzer- und Kontodaten, Rolleninformationen, Kurszuordnungen, Quizdaten und Lernfortschritte.
- Die Geschäftslogik liegt serverseitig in TypeScript-Services; die Datenbank dient primär als Persistenzschicht.
- Die App verwendet keine clientseitigen Service-Role-Zugriffe.
5. Kurs-, Quiz- und Lernfortschrittsdaten
- Die App verarbeitet Kurs- und Teilnehmerzuordnungen, Quizsessions, Antworten, Lernfortschritt und Favoriten bzw. Merkliste-Daten.
- Dozenten und Administratoren können Kursdaten serverseitig verwalten; Teilnehmer sehen nur die für sie freigegebenen Inhalte.
- Manuelle Teilnehmerbearbeitung bleibt ein produktiver Bestandteil der Anwendung.
- Die Datenverarbeitung dient der Durchführung und Dokumentation der Lern- und Assessmentschritte.
6. Microsoft Teams und Microsoft Graph
- Der Teams-Import erfolgt serverseitig über Microsoft Graph.
- Im Browser werden keine Microsoft-Graph-Calls ausgeführt.
- Es werden nur die für die Kursverwaltung benötigten Teilnehmerinformationen verarbeitet.
- Rohe Graph-Payloads und Tokens werden nicht als normale Browserdaten persistiert.
7. SharePoint-Integration
- Die SharePoint-Anbindung erfolgt serverseitig über Microsoft Graph bzw. den zugehörigen Server-Workflow.
- Verknüpfungen dienen der Verwaltung von Kursdokumenten und Referenzen innerhalb der Anwendung.
- Die App stellt keine anonyme Dokumentenfreigabe und keine clientseitige Tokenweitergabe bereit.
- Welche Dokumentmetadaten tatsächlich gespeichert werden, richtet sich nach der jeweils genutzten Integrationsfunktion.
8. Gemini-KI-Assistent
- Der Chat-Assistent läuft ausschließlich serverseitig über die interne Route /api/chat und die Umgebungsvariable GEMINI_API_KEY.
- Im Browser ist kein Gemini-Schlüssel hinterlegt.
- An Gemini werden nur die für die jeweilige Frage nötigen Inhalte und der erforderliche Kontext übertragen.
- Session-, Token- oder Providerdaten werden nicht als regulärer Nutzkontext an Gemini weitergegeben.
- KI-Antworten können inhaltlich fehlerhaft sein und müssen fachlich geprüft werden.
9. Cookies, Session und lokale Speicherung
- Es werden technisch notwendige Cookies bzw. Sessionmechanismen für Anmeldung, Authentifizierung und sichere Serververarbeitung eingesetzt.
- Für die UI wird lokal ein Navigations-Pinning über Local Storage verwendet (aktuell mcn.appNavigationPinned).
- Nach aktuellem Stand sind keine Marketing- oder Analyse-Cookies im App-Code vorgesehen.
- Ein separates Cookie-Banner ist im aktuellen App-Code nicht implementiert, da nach heutigem Stand nur technisch notwendige Speicherung verwendet wird.
10. Rechtsgrundlagen und Speicherdauer
| Zweck | Typische Rechtsgrundlage |
|---|---|
| Authentifizierung, Session und Zugriffsschutz | Art. 6 Abs. 1 lit. b und/oder lit. f DSGVO |
| Bereitstellung der Lern- und Assessment-Funktionen | Art. 6 Abs. 1 lit. b DSGVO |
| Sicherheit, Fehleranalyse und Stabilität | Art. 6 Abs. 1 lit. f DSGVO |
| Erfüllung gesetzlicher Pflichten | Art. 6 Abs. 1 lit. c DSGVO |
| Optionale Einwilligungsvorgänge | Art. 6 Abs. 1 lit. a DSGVO, sofern künftig erforderlich |
Daten werden gelöscht oder eingeschränkt, sobald sie für den jeweiligen Zweck nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Konkrete Fristen sollten vor Veröffentlichung in einer abschließenden Lösch- und Retentionsregelung dokumentiert werden.
11. Rechte der betroffenen Personen
- Auskunft über die verarbeiteten personenbezogenen Daten
- Berichtigung unrichtiger Daten
- Löschung oder Einschränkung der Verarbeitung, soweit die Voraussetzungen vorliegen
- Datenübertragbarkeit, soweit anwendbar
- Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen
- Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft
12. Beschwerderecht und Kontakt
- Betroffene Personen können sich bei einer Datenschutzaufsichtsbehörde beschweren.
- Für Fragen zum Datenschutz ist die offizielle Kontaktadresse beratung@mycareernow.de vorgesehen.
- Falls vor Livegang ein externer Datenschutzbeauftragter benannt wird, sind dessen Kontaktdaten vor Veröffentlichung ergänzend einzupflegen.
13. Änderungen und rechtliche Endprüfung
- Diese Datenschutzerklärung ist an den aktuellen Stand der Anwendung angepasst, muss aber vor Livegang abschließend juristisch geprüft werden.
- Änderungen an Auth, Hosting, Integrationen oder Tracking-/Cookie-Verhalten können eine Aktualisierung dieser Seite erforderlich machen.
- Neue Funktionen wie zusätzliche Analyse-, Tracking- oder Marketingdienste dürfen erst nach erneuter Datenschutzprüfung ergänzt werden.