Rechtliches

Datenschutzerklärung StudyConnect

Informationen zur Verarbeitung personenbezogener Daten

Stand: 22. Juni 2026Diese Fassung entspricht den in StudyConnect hinterlegten rechtlichen Dokumenten.PDF öffnen
01

Dokumentangaben

DokumentangabeWert
Stand22.06.2026
AnbieterMarcos Caprile Santos, handelnd unter MinutMate, Heltorfer Mark 131, 40489 Düsseldorf
Datenschutzkontaktdatenschutz@minutmate.com
DokumentstatusFinalisierte Prüffassung für die anwaltliche Prüfung
02

1. Verantwortliche Stelle und Datenschutzkontakt

Für eigene Verarbeitungen von StudyConnect verantwortlich ist Marcos Caprile Santos, handelnd unter MinutMate, Heltorfer Mark 131, 40489 Düsseldorf. Telefon: +49 172 7723349. Allgemeiner Kontakt: info@minutmate.com.

Datenschutzkontakt: datenschutz@minutmate.com. Dabei handelt es sich um die Datenschutzkontaktstelle von MinutMate / StudyConnect, nicht um einen externen oder gesetzlich bestellten Datenschutzbeauftragten.

Bei schulischen Nutzerkonten ist regelmäßig die jeweilige Schule oder der Schulträger für die pädagogische und organisatorische Verarbeitung verantwortlich. MinutMate verarbeitet diese Daten im Auftrag. Kontaktdaten der Schule werden im Schul-Workspace oder durch die Schule bereitgestellt.

Derzeit ist kein Datenschutzbeauftragter bestellt. Die gesetzliche Benennungspflicht wird noch abschließend geprüft.

03

2. Verarbeitete Daten

  • Stamm- und Kontodaten: Name, E-Mail-Adresse, Schule, Rolle und interne Kennungen.
  • Nutzungsinhalte: Hilfsangebote, Gesuche, Gruppen, Posts, Chats, Termine, Dateien und Moderationsinformationen.
  • Technische Daten: IP-Adresse, Browser, Gerät, Zeitpunkte, Sitzungs-, Audit-, Fehler- und Sicherheitsereignisse.
  • Kommunikationsdaten: Supportanfragen, E-Mail-Zustellung und vertragliche Kommunikation.
04

3. Zwecke und Rechtsgrundlagen

ZweckRechtsgrundlage
Schulische PlattformbereitstellungArt. 6 Abs. 1 lit. e DSGVO in Verbindung mit schulrechtlichen Vorschriften oder eine andere von der Schule bestimmte Rechtsgrundlage; Verarbeitung durch MinutMate nach Art. 28 DSGVO
Vertrag, Pilot und AdministrationArt. 6 Abs. 1 lit. b DSGVO beziehungsweise Art. 6 Abs. 1 lit. f DSGVO bei Ansprechpartnern juristischer Personen
IT-Sicherheit und MissbrauchspräventionArt. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse an sicherem und zuverlässigem Betrieb
Rechtliche PflichtenArt. 6 Abs. 1 lit. c DSGVO
Einwilligungsabhängige FunktionenArt. 6 Abs. 1 lit. a DSGVO, soweit die Schule oder MinutMate wirksam eine Einwilligung einholt
05

4. Hosting und Empfänger

StudyConnect setzt die folgenden aktiven Dienstleister ein. Zugriff erhalten daneben nur autorisierte Personen, die ihn für Betrieb, Support, Sicherheit oder vertragliche Aufgaben benötigen.

EmpfängerFunktion und Region
VercelFrontend, Webseiten und CDN; Frankfurt, Germany West, mit technisch möglicher CDN-Verarbeitung
RailwayAPI- und Backend-Hosting; EU West, Amsterdam
ALL-INKL.COMMySQL-Datenbank und Hosting-Infrastruktur; Deutschland
Google Cloud / FirebaseDateispeicherung; europe-west3, Frankfurt
ResendTransaktions- und System-E-Mails; möglicher Drittlandbezug nach DPA/SCC
06

5. Drittlandübermittlungen

Bei Anbietern mit möglichem Zugriff aus Drittländern stützen wir Übermittlungen auf die jeweils anwendbaren Garantien der Art. 44 ff. DSGVO, insbesondere Angemessenheitsbeschlüsse und Standardvertragsklauseln. Die konkreten Unterauftragnehmernachweise werden Vertragsschulen bereitgestellt.

07

6. Authentifizierung und Cookies

Für Anmeldung und Sitzungsverwaltung werden technisch notwendige Cookies eingesetzt. Auth-Cookies sind als httpOnly ausgestaltet, verwenden SameSite=Lax und werden in der Produktionsumgebung nur über sichere HTTPS-Verbindungen übertragen.

StudyConnect setzt derzeit keine Tracking-, Marketing- oder Analyse-Cookies zu Werbezwecken ein.

08

7. Speicherdauer

Konten und schulische Inhalte werden für die Dauer des Schulvertrags und entsprechend Weisungen der Schule gespeichert. Nach Vertragsende gelten die im AVV festgelegten Export-, Reaktivierungs- und Löschfristen.

Sicherheits-, Audit-, Support- und Moderationsnachweise werden grundsätzlich zwölf Monate gespeichert, soweit keine kürzere technische Anbieterfrist gilt oder ein Rechtsfall beziehungsweise eine gesetzliche Pflicht eine längere Speicherung erfordert.

Nachweise über Betroffenenanfragen werden grundsätzlich drei Jahre gespeichert.

Verschlüsselte FTPS-Backups werden derzeit ohne automatische Remote-Löschfrist gespeichert. Diese Abweichung ist vor Produktivfreigabe durch eine technisch erzwungene Rotation zu beheben.

09

8. Sicherheit

StudyConnect nutzt rollen- und schulbezogene Zugriffskontrollen, Passwort-Hashing, signierte Sitzungen, Audit-Protokollierung, Rate-Limits und verschlüsselte Transportwege. Chat-Inhalte werden serverseitig mit AES-256-GCM verschlüsselt; dies ist keine Ende-zu-Ende-Verschlüsselung.

Dateien im Firebase Storage sind nicht öffentlich lesbar. Der Abruf erfolgt über zeitlich begrenzte signierte Links. Weitere Maßnahmen sind in den TOMs beschrieben.

10

9. Betroffenenrechte

  • Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung.
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen.
  • Datenübertragbarkeit, soweit die gesetzlichen Voraussetzungen erfüllt sind.
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.
  • Beschwerde bei einer Datenschutzaufsichtsbehörde.
11

10. Zuständigkeit bei Schulkonten

Anfragen zu schulischen Inhalten, Rollen, Klassen- oder Jahrgangszuordnungen sollten zunächst an die Schule gerichtet werden. MinutMate unterstützt die Schule bei der Bearbeitung. Fragen zu eigenen Verarbeitungen von MinutMate können direkt an den Datenschutzkontakt gesendet werden.

12

11. Pflicht zur Bereitstellung

Ohne die für Konto, Rolle, Schule und Authentifizierung erforderlichen Daten kann StudyConnect nicht bereitgestellt werden. Optionale Angaben werden in der jeweiligen Eingabemaske kenntlich gemacht.

13

12. Automatisierte Entscheidungen

StudyConnect trifft derzeit keine ausschließlich automatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO.

14

13. Aktualisierung und Links