Umgang mit Dybuster-Daten

Datenschutz wird bei Dybuster gross geschrieben. Wir gehen sorgfältig mit den uns anvertrauten Daten um und setzen sie nur ein, um die Lernenden mit Dybuster ideal zu fördern. Auf dieser Seite beschreiben wir zuerst die Förder-Systeme in einer Zusammenfassung und erklären dann, welche Daten zu welchem Zweck gespeichert und welche technischen Vorkehrungen getroffen werden, um diese Daten zu schützen.

Inhaltsverzeichnis

Zusammenfassung der Dybuster Förder-Systeme
Training und Coaching
Lizenzen und Benutzerverwaltung
Datenschutz und private Daten
Allgemeine Bemerkungen: "Anonyme Benutzer"
Zugriff auf Daten über Benutzer-Rollen
Zugriff auf Daten durch Dybuster selber
Normaler Ablauf
Support und Unterhalt
Übermittelte und gespeicherte Daten
Übermitteln und Speichern der Passwörter
Daten ausserhalb der Förder-Systeme
Technische Umsetzung
Hosting und Aufbewahrungsort
Verschlüsselung der Daten
Back-ups der Daten
Rechtliches
Maßgebendes Recht
Datenschutzbeauftragter

Zusammenfassung der Dybuster Förder-Systeme

Training und Coaching

Die Dybuster Förder-Systeme, Dybuster Orthograph für Rechtschreibung und Dybuster Calcularis für mathematische Fähigkeiten, sind computerbasiert. Sie passen sich automatisch an die individuellen Schwierigkeiten und den individuellen Lernstand jedes Benutzers an und wählen die Aufgaben entsprechend optimal aus. Nach jeder Antwort des Benutzers wird sein Wissen neu eingeschätzt und die nächste Aufgabe ausgewählt. Die Lernenden können selbständig mit den Trainings-Programmen arbeiten, während ihre Betreuer (Lehrpersonen, Therapeuten, ev. Eltern) den Lernfortschritt in den Coaching-Programmen einsehen und das Lernen begleiten können.

Das Training sollte 3 bis 4 Mal pro Woche für je 15 bis 20 Minuten stattfinden. Diese Intensität soll zumindest zu Beginn für 3 Monate oder für einen Zeitraum von insgesamt 12 Trainingswochen eingehalten werden. Um diese Intensität zu erreichen, können die Dybuster-Programme auf beliebig vielen Geräten und an beliebig vielen Orten, insbesondere in der Schule und zu Hause, verwendet werden. Damit die Lernenden überall und auf jedem Gerät mit dem gleichen Lernzustand weiterarbeiten können, werden die Fortschrittsdaten über die Server von Dybuster ausgetauscht. Zudem können die Betreuer jederzeit in den Coach-Programmen den aktuellen Lernzustand einsehen, um den Lernenden zu unterstützen.

Abbildung 1: Übersicht über das Dybuster Fördersystem und die übertragenen Daten

Um jedem Lernenden einen individuellen Lernplan zur Verfügung stellen zu können, muss jeder Lernende durch seinen Benutzernamen eindeutig identifizierbar sein. Auch Betreuer des Lernenden bzw. des Benutzers müssen eindeutig durch ihre Benutzernamen identifizierbar sein, um sicherzustellen, dass nur berechtigte Personen über die Coaching-Programme auf die Daten eines Lernenden zugreifen können.

Lizenzen und Benutzerverwaltung

Lizenzen, welche den Benutzern erlauben, Dybuster-Programme einzusetzen, werden für 6 oder 12 Monate gemietet. Im Falle der privaten Nutzung (z.B. über Eltern) registrieren sich die Eltern als Elternbenutzer und legen unter ihrem Elternbenutzer einen oder mehrere Kinder-Benutzer an. Um den Kontakt mit den Eltern zu gewährleisten (u.a. für die Rechnungsstellung), müssen die Eltern ihre Adresse sowie ihren richtigen Namen während der Bestellung der Lizenz angeben. Die Angabe des Namens des Kindes oder der Kinder ist nicht notwendig.

Im Falle von institutionellen Lizenzen (Schullizenzen) erhält die Institution einen Lehrer-Benutzer mit Administrator-Rechten von Dybuster zugeteilt. Dieser Lehrer-Benutzer mit Administrator-Rechten kann Lehrer-Benutzer anlegen, welche wiederum für ihre Schüler einen Schüler-Benutzer anlegen können. Dadurch entsteht eine Verknüpfung vom Lehrer-Benutzer mit Administrator-Rechten zu Lehrer- und Schüler-Benutzern, welche es Dybuster ermöglicht, die Gültigkeit der Lizenz für die Lehrer- und Schüler-Benutzer zu überprüfen. Für die Rechnungsstellung und die allgemeine Kommunikation muss die Institution Dybuster ihren Namen, ihre Adresse sowie eine Kontaktperson angeben. Diese Information wird dem Administrator-Benutzer bzw. der Institution hinterlegt. Die Angabe der richtigen Namen von Lehrer- oder Schüler-Benutzern ist nicht notwendig.

Im Falle von Schulgemeinden, welche mehrere Schullizenzen erwerben, erhält die Schulgemeinde einen Schulgemeinde-Administrator, welcher die Schullizenzen den Schuleinheiten zuteilen kann. Dadurch erweitert sich die oben erwähnte Verknüpfung der Benutzer auf eine weitere Ebene. Nur die Schulgemeinde muss ihren Namen, ihre Adresse sowie eine Kontaktperson angeben. Die Angabe von Adressen und Kontaktpersonen der einzelnen Schullizenzen ist freiwillig.

Datenschutz und private Daten

Allgemeine Bemerkungen: "Anonyme Benutzer"

Wie oben unter Lizenzen und Benutzerverwaltung, erläutert, genügt es, wenn pro Kunde (Schule, Familie,…) eine Adresse und eine Kontaktperson angegeben werden. Insbesondere müssen weder Vor- noch Nachname der Lernenden bekannt gegeben werden. Nur Benutzernamen und Passwörter sind notwendig. Um es für unberechtigte Personen unmöglich zu machen, einen Schüler-Benutzer mit einem realen Lernenden in Verbindung zu bringen, können die Lehrer oder Eltern anonyme Benutzernamen wie „MikeyMaus23" oder „batman47" verwenden. Wenn sie zudem die Passwörter unspezifisch wählen wie „katze" oder „i9Pxkr3", kennen nur der Lehrer oder die Eltern sowie der Lernende selber, wer der wirkliche Lernende hinter einem Dybuster Schüler-Benutzer ist.

Vor- und Nachname von Administrator-, Lehrer- und Schüler-Benutzern können zusammen mit der E-Mail-Adresse sowie dem Geschlecht des Benutzers freiwillig hinterlegt werden. Diese Information wird verwendet, um die Lernenden persönlicher anzusprechen und die Lernbereitschaft und Motivation des Lernenden zu erhöhen. So können die Lehrpersonen z.B. Zertifikate für ihre Schüler ausdrucken, welche den richtigen Namen verwenden, sofern dieser verfügbar ist:

Abbildung 2: Zertifikate von Dybuster Orthograph für einen Schüler-Benutzer. Links wird der Schüler mit seinem richtigen Namen angesprochen und der Lehrer kann über seinem richtigen Namen unterschreiben, was persönlicher und motivierender ist.

Gemäß der Erfahrung von Dybuster geben rund 95% aller Institutionen zumindest den richtigen Vornamen der Lernenden an, weil die ganze Präsentation dadurch persönlicher wird. Es erleichtert auch die Handhabung durch die Lehrpersonen, welche z.B. Berichte nach den richtigen Namen organisieren können und nicht auf anonymen Benutzernamen ihrer Schüler basieren müssen. Die Angabe von E-Mail-Adresse erlaubt das automatische Zusenden von Zertifikaten und Berichten an die Lernenden. Die Angabe des Geschlechts wird für geschlechterspezifische Formulierungen verwendet.

Nach den mehrjährigen Erfahrungen von Dybuster überwiegen die Vorteile der Angabe der freiwilligen Daten ihre möglichen Risiken. Einerseits stuft Dybuster diese Risiken als gering ein, andererseits sind auch die gespeicherten Daten wenig sensitiv. Sie beziehen sich zwar auf einzelne Benutzer, aber sie bestehen hauptsächlich aus der Liste der Aufgaben und Antworten aus den Dybuster-Programmen. Insbesondere enthalten die Daten keine Angaben über schulische Noten, Beurteilungen durch die Lehrpersonen oder soziale Indikatoren.

Bemerkung: Schulgemeinde-Administrator und Administratoren einzelner Schullizenzen können ihren Institutionen hinterlegen, dass Schüler-Benutzer nur mit zufälligen Benutzernamen angelegt werden können.

Zugriff auf Daten über Benutzer-Rollen

Für Institutionen verwendet Dybuster eine mehrstufige Benutzer-Hierarchie:

Dybuster

Partner-Benutzer

Schulgemeinde-Administrator

Lehrer-Benutzer

Schüler-Benutzer

Für private Benutzer (Familien) wird die Ebene der „Lehrer-Benutzer" durch „Eltern-Benutzer" ersetzt. Die Ebene der Schulgemeinde-Administratoren existiert nur bei Schulgemeinden, welche die Lizenzen mehrerer ihrer Schulen als Gemeinde organisieren und verwalten können wollen.

Jeder Benutzer kann die Benutzer auf der unteren Ebene erstellen und kann festlegen, wie viele Benutzer diese Benutzer wiederum erstellen können. Einem oder mehreren Lehrer-Benutzern einer Institution kann zudem die zusätzliche Rolle des „Lehrer-Benutzers mit Administrator-Rechten" zugewiesen werden. Diese erlaubt den Lehrer-Benutzern, andere Lehrer-Benutzer zu erstellen, und diesen, falls gewünscht, ebenfalls Administrator-Rechte zu erteilen.

Jeder Benutzer kann sich nur Berichte über die Benutzer unterer Ebenen anzeigen lassen. Ein Benutzer kann sich keine Daten von Benutzern außerhalb seines Teils der Benutzer-Hierarchie anzeigen lassen, mit Ausnahme von Lehrer-Benutzern mit Administrator-Rechten, welche ihre gesamte Institution verwalten und Berichte über den Einsatz in der ganzen Institution erstellen können. Zudem können diese Lehrer-Benutzer die Zugriffsrechte der Lehrer-Benutzer auf Klassen/Gruppen definieren, und z.B. dem Lehrer-Benutzer A, der eine Klasse in Team-Teaching mit Lehrer-Benutzer B führt, erlauben, die Schüler-Benutzer zu sehen, welche von Lehrer-Benutzer B erstellt wurden.

Zugriff auf Daten durch Dybuster selber

Normaler Ablauf

Dybuster verwendet die Benutzerdaten, insbesondere die Benutzerdaten der Lernenden, nur für die Weiterentwicklung und die Verbesserung der Förder-Systeme. Insbesondere verwendet Dybuster die Daten nicht für Marketing-Zwecke oder das Anlegen von Verhaltensprofilen außerhalb von Dybuster Orthograph und Dybuster Calcularis.

Im normalen Ablauf (im Vergleich zu Support-Fällen, vgl. unten) greifen Dybuster bzw. seine Mitarbeiter nicht auf die Daten der Benutzer zu. Alle Prozesse sind automatisiert und benötigen keine manuellen Eingriffe. Dybuster behält sich das Recht vor, die Benutzungsdaten (aktueller Lernzustand und Log-Dateien der Interaktion der Benutzer mit den Dybuster-Programmen) für die eigene Forschung und Entwicklung zu verwenden, nachdem die Daten anonymisiert wurden, so dass kein Rückschluss von den Daten auf den Benutzer und die Person dahinter möglich ist. Dybuster will dabei auch die Effizienz der Förderprogramme auf Grund anonymisierter und aggregierter (d.h. über mehrere Benutzer zusammengefasste) Benutzerdaten aufzeigen.

Support und Unterhalt

Für Support und Unterhaltsarbeiten an seiner Hosting- und Server-Infrastruktur (vgl. Hosting) ist es nicht notwendig, dass Dybuster-Mitarbeiter auf die individuellen Daten eines Benutzers zugreifen. Allfällige Arbeiten können global und ohne die Inspektionen einzelner Benutzerdaten vorgenommen werden.

Bei individuellen Support-Fällen, in welchen die Benutzer selber Dybuster auf Grund eines konkreten Problems kontaktieren, kann es notwendig sein, dass Dybuster bzw. seine Mitarbeiter die Benutzerdaten von Hand inspizieren müssen. Eine solche Aktion wird Dybuster nur nach einem vorgängigen Kontakt durch den Benutzer vornehmen.

Die Benutzerdaten sind unter einer zufälligen Benutzer-ID gespeichert und nicht unter dem Benutzernamen. In den meisten Support-Fällen genügt die Kommunikation dieser Benutzer-ID, so dass Dybuster bzw. seine Mitarbeiter weder den Benutzernamen, den richtigen Namen noch den Namen der Institiution kennen müssen. (Die Verknüpfung von Benutzerdaten und Benutzernamen ist separat gespeichert und muss für die meisten Support-Fälle nicht hergestellt werden.)

Übermittelte und gespeicherte Daten

Die folgende Tabelle listet alle Daten auf, welche im Rahmen der Dybuster Förder-Systeme ausgetauscht und gespeichert werden. Zudem gibt sie den Zweck an, für welchen diese Daten verwendet werden.

Was wird übermittelt und gespeichert? Zu welchem Zweck?
Benutzername und Passwort Alle Daten sind mit einem Benutzernamen verknüpft, welcher benötigt wird, um auf die Daten zuzugreifen. Das Passwort dient der Identifikation des Benutzers. Auf Grund des Benutzernamens wird zudem die Gültigkeit der Lizenz überprüft.
Zusätzliche persönliche Information (sofern angegeben): Vor- und Nachname, E-Mail-Adresse, Geschlecht Der Vor- und Nachname sowie das Geschlecht werden für die persönliche Ansprache des Benutzers (Begrüßung, Zertifikate, Berichte) verwendet. Die E-Mail-Adresse erlaubt den Betreuern das automatische Versenden von Berichten und Zertifikaten.
Informationen über die Institution des Benutzers: Dybuster ID, Lizenz, Adresse, Benutzer in der Benutzerhierarchie über dem Benutzer (Lehrer-Benutzer und/oder Elternbenutzer) Die Information über die Institution wird zur Überprüfung der Lizenz verwendet. Zudem wird die Adresse z.B. auf Berichten und Zertifikaten aufgedruckt.
Benutzungsdaten: Aktueller Lernzustand Der aktuelle Lernzustand erlaubt dem Lernenden, auf mehreren Geräten mit dem gleichen Lernzustand zu arbeiten.
Benutzungsdaten: Log-Datei mit den Eingaben zu den Dybuster-Programmen Diese Information wird in zusammengefasster Form (Lernzeiten, Fehler-Muster, Anzahl beantworteter Aufgaben) den Betreuern der Lernenden in den Coach-Programmen angezeigt, damit diese den Lernenden unterstützen können.
Technische Daten über die Lerneinheit, insbesondere: Login- und Logout-Zeit, Programm-Version, Computer ID Diese Information wird von Dybuster für den technischen Support verwendet. Zudem erlaubt sie den Betreuern in den Coach-Programmen, allfällige Probleme z.B. mit der Internet-Verbindung zu erkennen.
Im Falle von Programm-Crashes der installierten Version von Dybuster Calcularis: Der Benutzer wird gefragt, ob er einen Crash-Report an Dybuster senden will Gezielter, möglicherweise gerätespezifischer Support

Dybuster speichert keine Kreditkarten- oder PayPal-Informationen. Bei Bezahlung mit diesen Mitteln über den Dybuster Webshop überlässt Dybuster die gesamte Abwicklung bezüglich Kreditkarte oder PayPal entsprechenden, durch die Kreditkartenanbieter zertifizierten Dienstleistern.

Übermitteln und Speichern der Passwörter

Die Passwörter werden bei der Übermittlung durch „Salted MD5 Hashes" geschützt. Bei Dybuster werden sie im Normalfall nur als Hashes gespeichert. Solche Hashes erlauben Dybuster, die Korrektheit eines Passwortes zu überprüfen, ohne das Passwort selber kennen und speichern zu müssen, was die Sicherheit erhöht, da das Passwort selber nirgends mehr gespeichert wird. Beim Vergessen eines Passwortes muss dann allerdings ein neues Passwort gesetzt werden. Dies bedingt die Hinterlegung einer E-Mail-Adresse bei Dybuster oder das Recht für den Administrator einer Lizenz, die Passwörter neu zu setzen. Dybuster bietet deshalb den Benutzern die Option an, die Passwörter auch in „Plain Text" zu speichern.

Dybuster geht davon aus, dass die Institutionen insbesondere die Passwörter von Schüler-Benutzern nach wie vor in „Plain Text" speichern werden, da dies die Handhabung durch die Lehrpersonen erleichtert. So können die Lehrpersonen die Passwörter ihrer Lernenden z.B. in der Benutzerverwaltung einsehen, falls ein Schüler sein Passwort vergessen sollte, oder im vorbereiteten Elternbrief automatisch aufdrucken lassen. Da die Lehrpersonen die Passwörter ihrer Lernenden selber wählen und oft sehr unspezifisch setzen, sieht Dybuster kein erhöhtes Risiko darin, dass die Lehrpersonen die Passwörter einsehen können.

Schulgemeinde-Administratoren und Administratoren einzelner Institutionen können ihren Institutionen eine Passwort-Policy hinterlegen, d.h. sie können festsetzen, dass Passwörter eine gewisse Länge haben und eine gewisse Anzahl an Sonderzeichen enthalten müssen. Zudem können sie festlegen, dass Passwörter in regelmäßigen Intervallen neu gesetzt werden müssen und nicht als "Plain Text" gespeichert werden.

Daten ausserhalb der Förder-Systeme

Im Rahmen ihrer Marketing-Aktivitäten und zur Pflege der Kundenbeziehungen bietet die Dybuster AG an, dass sich Personen für E-Mail-Newsletter und für den Erhalt zu Informationen zu ihrer Programm-Nutzung und Lizenzen anmelden können. Die Anmeldung kann erfolgen, ohne die Dybuster Förderprogramme zu nutzen. Gleichzeitig ist sie keine Voraussetzung für die Verwendung allfälliger Testversionen. Schliesslich ist eine Abmeldung von den Mailing-Listen jederzeit möglich.

Die entsprechenden Mailing-Listen verwaltet Dybuster auf der Platform von MailChimp (www.mailchimp.com) und Customer.io (www.customer.io), und übermittelt dafür die E-Mail-Adressen sowie ein Minimum an zusätzlichen Daten, welche zur Organisation der Newsletter notwendig sind, an MailChimp und Customer.io. Die zusätzlichen Daten sind, sofern sie von den Personen an Dybuster übermittelt wurden:

  • Die Sprache der Personen, damit die Newsletter in der entsprechenden Sprache versandt werden können.
  • Der Name des Programmes (Orthograph oder Calcularis oder beide), welche die Person verwendet oder für welche sie sich interessiert, sowie ob es sich um ein institutionelles oder privates Interesse handelt, damit die Inhalte auf die Interessen abgestimmt werden können.
  • Allfällige Ablaufdaten von Lizenzen, um im Newsletter Kunden von Nicht-Kunden unterscheiden zu können.
  • Vor- und Nachname der Person, um sie freundlich ansprechen zu können.
  • Der Dybuster Benutzername, um bei allfälligem Vergessen dieses Benutzernamens diesen gleich in der Mitteilung oder dem Newsletter erwähnen zu können.

Die Daten werden nur für den Versand von Dybuster-bezogenen Mitteilungen und Newslettern verwendet. Insbesondere werden damit nicht andere Produkte oder Dienstleistungen beworben oder Online-Werbung betrieben. Weder MailChimp noch Customer.io selber verwenden die von Dybuster übermittelten Daten und geben sie nicht an Dritte weiter, sofern dies nicht im „Data Processing Agreement“ zwischen Dybuster und MailChimp bzw. Customer.io vorgesehen ist, damit MailChimp und Customer.io kritische Dienstleistungen wie den Schutz vor Missbrauch leisten können. Dies entspricht der gängigen Rechtsprechung in der Schweiz, der EU und den USA. Dybuster, MailChimp wie auch Customer.io halten sich an alle rechtlichen Vorschriften dieser Gebiete.

Technische Umsetzung

Hosting und Aufbewahrungsort

Dybuster verwendet Server bei Hetzner Online (Link) in Deutschland. Deutschland ist Mitglied der Europäischen Union und untersteht den EU-Richtlinien für Datenschutz und Datensicherheit. Für Schweizer Benutzerdaten gilt Deutschland nach Schweizer Rechtsprechung als „Safe Harbor", was bedeutet, dass Benutzerdaten in Deutschland als gleich sicher wie in der Schweiz betrachtet werden.

Die verwendete Infrastruktur erfüllt folgende Bedingungen:

  • Alle Server sind dedizierte Server.
  • Alle Server werden von einer dedizierten Firewall geschützt.
  • Das Datencenter garantiert eine Verfügbarkeit von 99.99%.
  • Dybuster hält die Betriebssysteme, Open-Source-Software und andere Software aktuell.

Verschlüsselung der Daten

Die folgenden Verschlüsselungs-Systeme werden verwendet, um die Daten zu schützen:

  • Die gesamte Kommunikation, welche Benutzerdaten involviert (d.h. die gesamte Kommunikation außer der Downloads der Updates) wird mit SSL/TLS verschlüsselt. Das SSL-Zertifikat kann z.B. über https://go.dybuster.com eingesehen werden, vgl. Abbildung 3 unten.
  • Lokal gespeicherte Zugangsdaten für die Offline-Verwendung der Trainingsprogramme sind mit „salted MD5 Hashes" geschützt.
  • Lokal gespeicherte Fortschrittsdaten eines Benutzers sind binär gespeichert und durch das Passwort des Benutzers geschützt.
Abbildung 3: SSL-Zertifikat auf go.dybuster.com

Back-ups der Daten

Alle Back-ups der Daten sind sowohl bei der Übermittlung wie auch auf dem Speichermedium verschlüsselt. Der Verlust der Benutzerdaten wird durch folgendes Back-up-System verhindert:

  • Der „Fortschritt" und der „Lernplan" (vgl. Abbildung 1) werden immer mindestens auf 3 Dybuster-Servern im gleichen Rechenzentrum gespeichert.
  • Die Daten der „Benutzer- und Lizenzverwaltung" werden einmal pro Tag innerhalb des Rechenzentrums auf einen zweiten Server gesichert.
  • Von diesem zweiten Server werden die Daten jede Nacht verschlüsselt an einen Server bei Dybuster in Zürich übermittelt und dort gespeichert.
  • Zwei Mal pro Woche werden die so gesicherten Daten auf verschlüsselten Hard-Drives off-site abgelegt.

Rechtliches

Maßgebendes Recht

Dybuster wendet die Vorschriften des schweizerischen "Bundesgesetz über den Datenschutz" sowie die EU-Datenschutzverordnung (ab 25. Mai 2018) an. Diese umfassen insbesondere:

  • Das Recht für jeden Benutzer, alle seine von Dybuster gespeicherten persönlichen Daten einzusehen.
  • Das Recht für jeden Benutzer, seine persönlichen Daten vollständig löschen zu lassen ("Recht auf Löschung").
  • Das Recht für jeden Benutzer, allfällige falsche persönlichen Daten korrigieren zu lassen ("Recht auf Berichtigung").

Benutzer im Ausland wenden sich für Fragen des Einsatzes von Dybuster Förder-Programmen unter Datenschutzaspekten an Dybuster oder ihren lokalen Bezugspartner.

Datenschutzbeauftragter

Der Geschäftsführer der Dybuster AG nimmt persönlich die Funktion des Datenschutzverantwortlichen von Dybuster wahr. Dadurch wird die höchste Priorität im Umgang mit Daten unterstrichen und auf oberster Ebene sichergestellt.

Der Datenschutzbeauftragte bzw. der Geschäftsführer der Dybuster AG in seiner Rolle als Datenschutzbeauftragter ist unter dpo@dybuster.com erreichbar.

Zürich, 14. 12. 2018