Datenschutz der SeminarPlan-Software
Diese Erklärung beschreibt, wie personenbezogene Daten in der SeminarPlan-Software (der Anwendung, z.B. unter app.seminarplan.app) verarbeitet werden. Für die reine Marketing-Website seminarplan.app gilt die separate Datenschutzerklärung der Website. Kurz gesagt: Wir verarbeiten die Daten unserer Kunden ausschließlich, um SeminarPlan bereitzustellen. Wir verkaufen keine Daten und geben sie nicht zu eigenen Zwecken weiter.
1. Verantwortlicher und Rollen
Anbieter und Betreiber der Software ist:
Yves Hoppe
Röthstr. 28
80992 München
E-Mail: kontakt@seminarplan.app
SeminarPlan ist eine Software für Bildungseinrichtungen und wird Organisationen (nachfolgend Kunden) zur Verfügung gestellt. Datenschutzrechtlich sind zwei Fälle zu unterscheiden:
- Inhaltsdaten der Kunden: Für die personenbezogenen Daten, die ein Kunde in SeminarPlan verwaltet (etwa Kontakte, Teilnehmer, Anfragen, Buchungen, Rechnungen, E-Mail-Inhalte), ist der jeweilige Kunde Verantwortlicher im Sinne der DSGVO. Wir verarbeiten diese Daten als Auftragsverarbeiter ausschließlich nach Weisung des Kunden (Abschnitt 2).
- Vertrags-, Konto- und Nutzungsdaten: Für die Daten, die zur Bereitstellung des Vertragsverhältnisses anfallen (etwa Konto- und Anmeldedaten der Nutzer des Kunden, Rechnungsdaten, Support-Anfragen, technische Protokolle), sind wir selbst Verantwortlicher (Abschnitte 4 und 5).
2. Auftragsverarbeitung und AVV (Art. 28 DSGVO)
Mit jedem Kunden schließen wir einen Vertrag zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO. Darin ist geregelt, dass wir die Inhaltsdaten nur auf dokumentierte Weisung des Kunden und nur zu den vereinbarten Zwecken verarbeiten, dass unsere Beschäftigten zur Vertraulichkeit verpflichtet sind und welche technischen und organisatorischen Maßnahmen wir treffen. Der AVV regelt außerdem den Einsatz von Unterauftragsverarbeitern (Abschnitt 6), die Unterstützung des Kunden bei Betroffenenanfragen sowie die Löschung oder Rückgabe der Daten nach Vertragsende. Den AVV stellen wir jedem Kunden zur Verfügung; er kann jederzeit über kontakt@seminarplan.app angefordert werden.
3. Welche Daten in der Anwendung verarbeitet werden
Welche personenbezogenen Daten konkret verarbeitet werden, bestimmt der jeweilige Kunde durch seine Nutzung. Typischerweise sind das:
- Stamm- und Kontaktdaten von Interessenten, Kunden und Teilnehmern (Name, Anschrift, E-Mail, Telefon)
- Vorgangsdaten (Anfragen, Angebote, Bestellungen, Buchungen, Teilnahmen)
- Seminar- und Termindaten sowie Trainer- und Raumzuordnungen
- Rechnungs- und Zahlungsdaten
- E-Mail-Korrespondenz, die über die verbundenen Postfächer verarbeitet wird
- Konto- und Anmeldedaten der Nutzer des Kunden sowie technische Protokoll- und Nutzungsdaten
4. Zwecke und Rechtsgrundlagen
Die Inhaltsdaten verarbeiten wir als Auftragsverarbeiter zur Erfüllung des mit dem Kunden geschlossenen Vertrags und auf dessen Weisung (Art. 28 DSGVO; die Rechtsgrundlage für die zugrunde liegende Verarbeitung verantwortet der Kunde). Konto-, Vertrags- und Abrechnungsdaten verarbeiten wir zur Begründung und Durchführung des Vertragsverhältnisses (Art. 6 Abs. 1 lit. b DSGVO), zur Erfüllung gesetzlicher Pflichten, etwa steuer- und handelsrechtlicher Aufbewahrung (Art. 6 Abs. 1 lit. c DSGVO), sowie auf Grundlage unseres berechtigten Interesses an einem sicheren, stabilen Betrieb (Art. 6 Abs. 1 lit. f DSGVO).
5. Hosting und Speicherort
SeminarPlan wird wahlweise als SaaS in einem Rechenzentrum in Deutschland (Hetzner Online GmbH) betrieben oder on-premise in der eigenen Infrastruktur des Kunden. Im SaaS-Betrieb werden die Daten in Deutschland gespeichert und gesichert. Beim On-Premise-Betrieb liegen die Daten beim Kunden, und die in Abschnitt 6 genannten Unterauftragsverarbeiter kommen nur insoweit zum Einsatz, wie der Kunde die jeweiligen Funktionen aktiviert.
6. Unterauftragsverarbeiter
Zur Bereitstellung einzelner Funktionen setzen wir sorgfältig ausgewählte Dienstleister als Unterauftragsverarbeiter ein. Mit allen bestehen Verträge nach Art. 28 DSGVO. Bei Übermittlungen in Drittländer (etwa die USA) sind geeignete Garantien vereinbart, insbesondere die Standardvertragsklauseln der EU-Kommission und, soweit zertifiziert, das EU-US Data Privacy Framework.
| Dienst | Anbieter / Sitz | Zweck | Grundlage |
|---|---|---|---|
| Microsoft 365 / Microsoft Graph / Azure | Microsoft Ireland Operations Ltd., Irland (Microsoft Corporation, USA) | Anmeldung über Microsoft (OAuth), Senden und Empfangen von E-Mails, Synchronisierung von Kalender und Kontakten, Microsoft Teams. Hosting wahlweise in der EU. | AVV (Microsoft DPA), Standardvertragsklauseln, EU-US Data Privacy Framework |
| Google (Sign-in, Ads API, Search Console API) | Google Ireland Ltd., Irland (Google LLC, USA) | Anmeldung über Google (OAuth: E-Mail-Adresse und Profil) sowie, sofern vom Kunden verbunden, Zugriff auf die Google Ads API (Verwaltung und Auswertung der Werbekampagnen des Kunden) und die Google Search Console API (nur lesender Abruf der Suchanalyse-Daten zur Website des Kunden). Der Zugriff erfolgt im Auftrag des Kunden auf dessen eigene Google-Konten. Kein Zugriff auf Gmail oder Google Kalender. | AVV (Google Cloud/Workspace DPA, Google Ads Data Processing Terms), Standardvertragsklauseln, EU-US Data Privacy Framework |
| OpenAI (API) | OpenAI Ireland Ltd., Irland (OpenAI, L.L.C., USA) | KI-gestützte Funktionen (z.B. Textentwürfe, Zusammenfassungen, Klassifizierung von Anfragen) über die Programmierschnittstelle. Keine Nutzung der Inhalte zum Training der Modelle. | AVV (OpenAI DPA), Standardvertragsklauseln |
| Anthropic (Claude, API) | Anthropic PBC, USA | KI-gestützte Funktionen über die Programmierschnittstelle. Keine Nutzung der Inhalte zum Training der Modelle. | AVV (Anthropic DPA), Standardvertragsklauseln |
| Google Gemini (API) | Google Ireland Ltd., Irland (Google LLC, USA) | KI-gestützte Funktionen über die Programmierschnittstelle (Gemini API). Keine Nutzung der Inhalte zum Training der Modelle. | AVV (Google Cloud DPA), Standardvertragsklauseln, EU-US Data Privacy Framework |
| SaaS-Hosting / Infrastruktur | Hetzner Online GmbH, Gunzenhausen (Rechenzentren in Deutschland) | Betrieb der Anwendung, Speicherung der Daten, Datensicherung. Bei On-Premise-Betrieb entfällt dieser Punkt, da der Betrieb in der Infrastruktur des Kunden erfolgt. | AVV, Verarbeitung ausschließlich in Deutschland |
Die jeweils aktuelle Liste der Unterauftragsverarbeiter ist Bestandteil des AVV. Wir informieren Kunden vorab über beabsichtigte Änderungen, sodass ein Widerspruch möglich ist.
7. Anbindung über OAuth und Verarbeitung von Google-Nutzerdaten
Verbindet ein Kunde sein Microsoft-365- oder Google-Konto, autorisiert er den Zugriff über das Standardverfahren OAuth. Wir erhalten dabei keine Passwörter, sondern ein widerrufbares Zugriffstoken. Der Zugriff ist auf die für die jeweils gewählte Funktion erforderlichen Berechtigungen (Scopes) beschränkt, erfolgt ausschließlich auf die eigenen Konten des Kunden und nur in dessen Auftrag. Der folgende Abschnitt beschreibt im Einzelnen, wie SeminarPlan auf Google-Nutzerdaten zugreift, sie verwendet, speichert und weitergibt.
Auf welche Google-Nutzerdaten wir zugreifen
Nur wenn der Kunde sein Google-Konto verbindet und nur im Umfang der dafür freigegebenen Scopes:
- Anmeldung mit Google (Scopes
userinfo.email,userinfo.profile): E-Mail-Adresse, Name und Profilangaben, um die Nutzer des Kunden zu authentifizieren. - Google Ads API (Scope
adwords): Kampagnen-, Anzeigen- und Leistungsdaten des Google-Ads-Kontos des Kunden, um dessen Kampagnen zu verwalten und auszuwerten. - Google Search Console API (Scope
webmasters.readonly, nur lesend): Suchanalyse-Daten (Suchanfragen, Impressionen, Klicks, Positionen) zur Website des Kunden, um deren Sichtbarkeit auszuwerten.
SeminarPlan fordert keine Berechtigungen für Gmail, Google Kalender oder Google Kontakte an.
Wie wir diese Daten verwenden
Wir verwenden Google-Nutzerdaten ausschließlich, um die vom Kunden in SeminarPlan aktivierten, für ihn sichtbaren Funktionen bereitzustellen: die Anmeldung zu authentifizieren, die Werbekampagnen des Kunden zu verwalten und auszuwerten sowie die Suchanalyse-Daten seiner Website darzustellen. Wir verwenden Google-Nutzerdaten nicht für eigene Werbung, nicht zur Profilbildung und nicht für Zwecke, die über diese Funktionen hinausgehen. Google-Nutzerdaten werden nicht zur Entwicklung, Verbesserung oder zum Training verallgemeinerter KI- oder ML-Modelle verwendet.
Wie wir diese Daten speichern
OAuth-Token werden verschlüsselt gespeichert. Google-Nutzerdaten werden überwiegend nur vorübergehend verarbeitet und nur in dem Umfang zwischengespeichert, der für die jeweilige Funktion erforderlich ist. Die Speicherung erfolgt auf Servern der Hetzner Online GmbH in Deutschland, mit Verschlüsselung bei der Übertragung (TLS) und im Ruhezustand sowie streng begrenztem Zugriff. Die Speicherdauer ist an das Vertragsverhältnis gebunden; bei Widerruf der Verbindung oder bei Vertragsende werden die betreffenden Daten und Token gelöscht.
Wie wir diese Daten weitergeben
Wir verkaufen Google-Nutzerdaten nicht und geben sie nicht zu Werbezwecken weiter. Eine Weitergabe erfolgt nur an Unterauftragsverarbeiter, soweit dies für die Leistungserbringung erforderlich ist (etwa das Hosting bei Hetzner in Deutschland), auf Weisung des Kunden oder soweit wir gesetzlich dazu verpflichtet sind. Google-Nutzerdaten werden nicht an die KI-Anbieter (OpenAI, Anthropic, Google Gemini) zum Training von Modellen übermittelt.
Eingeschränkte Nutzung (Limited Use) und menschlicher Zugriff
Die Nutzung und Weitergabe der von Google APIs erhaltenen Informationen durch SeminarPlan entspricht der Google API Services User Data Policy einschließlich der Anforderungen an die eingeschränkte Nutzung (Limited Use):
SeminarPlan's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.
Ein menschlicher Zugriff auf Google-Nutzerdaten erfolgt nicht, außer: mit ausdrücklicher Einwilligung des Kunden für bestimmte Inhalte, soweit dies zur Behebung eines konkreten Fehlers oder aus Sicherheits- und Missbrauchsgründen erforderlich ist, in aggregierter und anonymisierter Form für interne Betriebszwecke, oder soweit gesetzlich vorgeschrieben. Der Kunde kann eine erteilte Verbindung jederzeit in SeminarPlan oder direkt im Google-Konto (Sicherheit, Drittanbieter-Zugriff) widerrufen.
8. KI-Funktionen (OpenAI, Anthropic und Google Gemini)
Für einzelne KI-gestützte Funktionen, etwa das Entwerfen von Texten, das Zusammenfassen von Vorgängen oder das Einordnen von Anfragen, übermitteln wir die dafür notwendigen Inhalte an die Programmierschnittstellen (API) von OpenAI, Anthropic und Google (Gemini). Diese Funktionen werden nur ausgeführt, wenn der Kunde sie nutzt. Wir setzen die Dienste so ein, dass die übermittelten Inhalte nicht zum Training der Modelle der Anbieter verwendet werden; mit allen Anbietern bestehen Verträge zur Auftragsverarbeitung. Es findet keine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO statt; KI-Ergebnisse sind Vorschläge, die von Menschen geprüft werden.
9. Keine Weitergabe und kein Verkauf von Daten
Wir verkaufen keine personenbezogenen Daten und geben sie nicht zu eigenen oder fremden Werbezwecken weiter. Eine Übermittlung an Dritte erfolgt nur an die in Abschnitt 6 genannten Unterauftragsverarbeiter im Rahmen der Leistungserbringung, wenn der Kunde es weist, oder wenn wir gesetzlich dazu verpflichtet sind.
10. Speicherdauer und Löschung
Inhaltsdaten speichern wir, solange das Vertragsverhältnis mit dem Kunden besteht. Nach Vertragsende werden sie gemäß AVV gelöscht oder zurückgegeben, soweit keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Konto-, Vertrags- und Abrechnungsdaten bewahren wir im Rahmen der gesetzlichen Fristen (insbesondere handels- und steuerrechtlich) auf und löschen sie danach.
11. Datensicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen, um die Daten zu schützen. Dazu gehören eine verschlüsselte Übertragung (TLS/HTTPS), Zugriffskontrollen und ein rollenbasiertes Rechtekonzept, Datensicherungen sowie ein restriktiver Zugriff auf Produktivsysteme. Die Maßnahmen werden im AVV näher beschrieben.
12. Rechte der betroffenen Personen
Betroffene Personen haben nach der DSGVO die Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Für Inhaltsdaten ist der jeweilige Kunde als Verantwortlicher Ansprechpartner; an ihn sind solche Anfragen zu richten. Wir unterstützen unsere Kunden bei der Erfüllung dieser Anfragen. Für die Daten, für die wir selbst verantwortlich sind, kannst du dich direkt an uns wenden. Außerdem besteht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO).
13. Änderungen dieser Erklärung
Stand: Juni 2026. Wir passen diese Erklärung an, sobald sich an der Software, den eingesetzten Diensten oder der Rechtslage etwas ändert. Wesentliche Änderungen an den Unterauftragsverarbeitern teilen wir unseren Kunden vorab mit.