Datenschutzerklärung

1. Verantwortlicher

Gymnasium Landsberg, Bergstraße 19, 06188 Landsberg, Sachsen-Anhalt
Vertreten durch: Stephan Baier (Schulleiter)
E-Mail: buch@gym-landsberg.de

2. Zweck der Datenverarbeitung

Diese Webanwendung dient der Verwaltung der Schulbuchausleihe am Gymnasium Landsberg. Die erhobenen Daten werden zur Durchführung des Schulbuchausleihverfahrens gemäß der Lernmittelkostenentlastungsverordnung des Landes Sachsen-Anhalt verarbeitet. Dies umfasst insbesondere:

• Die Bestellung von Leih- und Kaufbüchern durch Erziehungsberechtigte
• Die Erstellung und den Versand von Zahlungsaufforderungen (Leihgebühren)
• Die Verwaltung des Zahlungseingangs und den Abgleich mit Bankdaten
• Die Ausgabe, Rückgabe und Inventarisierung von Schulbüchern
• Die Kommunikation mit Erziehungsberechtigten per E-Mail
• Die Schadenserfassung und -abwicklung bei beschädigten oder verlorenen Büchern

3. Erhobene Daten

• Schülerdaten: Name, Vorname, Geburtsdatum, Klassenzugehörigkeit, Jahrgangsstufe, Schüler-ID, Barcode
• Bestelldaten: Gewählte Leih- und Kaufbücher, Bestellzeitpunkt, Fächerwahl, Bestellstatus
• Kontaktdaten der Erziehungsberechtigten: E-Mail-Adresse (optional, für Bestellbestätigungen, Zugangscodes und Zahlungsaufforderungen)
• Finanzdaten: Leihgebühren, Zahlungsstatus, Kassenzeichen, Zahlungseingänge (bei Bankabgleich: Zahler-Name, IBAN, Verwendungszweck)
• Lehrkräftedaten: Name, E-Mail-Adresse, Klassenleitungszuordnung
• Technische Daten: IP-Adresse, Session-Cookies, Zeitstempel der Zugriffe

4. Rechtsgrundlage

• Art. 6 Abs. 1 lit. e DSGVO (öffentliches Interesse) in Verbindung mit dem Schulgesetz des Landes Sachsen-Anhalt — für die Kerndaten der Schulbuchausleihe
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — für die optionale Angabe der E-Mail-Adresse sowie Nachfrist-Benachrichtigungen
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — für die technische Sicherheit (IP-Logging, Rate-Limiting, Audit-Protokolle)

5. E-Mail-Versand

Die Anwendung versendet E-Mails in folgenden Fällen:

• Zugangscodes: Einmalcodes für den Zugang zum Bestellportal
• Bestellbestätigungen: Bestätigung mit PDF-Anhang nach Abschluss einer Bestellung
• Zahlungsaufforderungen: Leihgebühren als PDF-Zahlungsaufforderung
• Nachfrist-Benachrichtigungen: Info bei Eröffnung einer Nachfrist für Nachzügler
• Lehrer-Onboarding: Einmalige Zugangslinks (Magic Links) für Lehrkräfte

Der Versand erfolgt über den Mailserver des Webhosters. E-Mail-Adressen werden nicht an Dritte weitergegeben.

6. Zahlungsabgleich (Bankdaten)

Zur Erfassung des Zahlungseingangs werden Kontoauszüge (CAMT/CSV) importiert. Dabei werden Buchungsdatum, Betrag, Name und IBAN des Zahlenden sowie der Verwendungszweck verarbeitet. Die Zuordnung erfolgt anhand des Kassenzeichens. Bankdaten werden ausschließlich zum Zahlungsabgleich verwendet und nicht an Dritte weitergegeben.

7. Speicherdauer

Die Daten werden für die Dauer des aktuellen und des darauffolgenden Schuljahres gespeichert. Bankdaten werden nach Abschluss des Zahlungsabgleichs und Ablauf gesetzlicher Aufbewahrungsfristen gelöscht. Audit-Protokolle werden für maximal zwei Schuljahre gespeichert.

8. Empfänger der Daten

Die Daten werden ausschließlich schulintern durch Administratoren und — im Rahmen der Klassenleitungsfunktion — durch die jeweiligen Lehrkräfte verarbeitet. Lehrkräfte haben nur Zugriff auf die Daten ihrer zugeordneten Klassen. Eine Weitergabe an Dritte erfolgt nicht.

9. Auftragsverarbeitung

Die Anwendung wird auf einem Webserver des Hosters betrieben. Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

10. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO). Anfragen richten Sie bitte an die oben genannte Adresse.

11. Beschwerderecht

Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt, Leiterstraße 9, 39104 Magdeburg · datenschutz.sachsen-anhalt.de

12. Cookies & Sessions

Es werden ausschließlich technisch notwendige Session-Cookies eingesetzt. Keine Tracking-, Analyse- oder Werbe-Cookies. Die Sessions werden nach Sitzungsende gelöscht.

13. Technische Sicherheit

• Verschlüsselte Verbindung über HTTPS (TLS)
• Passwörter als kryptografische Hashes (bcrypt)
• Brute-Force-Schutz durch Rate-Limiting
• CSRF-Schutz für alle Formulare
• Optionale Zwei-Faktor-Authentifizierung (2FA) für Administratoren
• Audit-Protokollierung sicherheitsrelevanter Vorgänge

14. Externe Ressourcen

Diese Anwendung lädt keine externen Ressourcen von Drittanbietern. Alle Schriftarten, Scripts und Stylesheets werden lokal bereitgestellt. Es findet keine Datenübertragung an externe Dienste statt.

Stand: April 2026