Bearbeitungsverzeichnis

Verantwortliche/r: Thomas Walther, PruefAI, Schweiz · Kontakt: info@pruefai.ch

Rollen-Setup

Verantwortliche/r für Lehrer- und Kundendaten: PruefAI (E-Mail, Lizenz, Zahlung, Schulkontakt)
Auftragsbearbeiterin für Schülerdaten: PruefAI im Auftrag der jeweiligen Lehrperson/Schule (siehe AVV)
Sub-Auftragsbearbeiter: siehe Sub-Auftragsbearbeiter-Übersicht

Bearbeitungstätigkeiten

1. KI-gestützte Korrektur handschriftlicher Prüfungen

Zweck: Automatisierte Korrektur und Bewertung handschriftlicher Schülerprüfungen als Unterstützung der Lehrperson; finale Beurteilung bleibt bei der Lehrperson.
Rechtsgrundlage: Auftragsverhältnis mit der Lehrperson/Schule (Art. 9 nDSG / Art. 28 DSGVO). Die Lehrperson/Schule trägt die ursprüngliche Rechtsgrundlage – in aller Regel das kantonale Schulrecht bzw. der Schul-Auftrag (analog zum Einsatz von Excel oder Schul-LIS). Eine zusätzliche Einwilligung der Erziehungsberechtigten ist für die normale Notenerfassung üblicherweise nicht erforderlich.
Kategorien betroffener Personen: Schülerinnen und Schüler (überwiegend Minderjährige); Lehrpersonen (als Kontoinhaber)
Kategorien Personendaten: Schülernamen (lokal im Browser); Prüfungsbilder (handschriftliche Arbeiten); Notenpunkte, Korrekturkommentare
Pseudonymisierung: Vor jeder Übermittlung an die KI werden Schülernamen entfernt. Die KI erhält nur das Prüfungsbild und neutrale Prüfungsmetadaten.
Empfänger: Anthropic PBC (KI-Korrektur), Upstash Inc. (temporärer Foto-Relay bei QR-Funktion); siehe Subprocessor-Liste
Aufbewahrung: Lokal im Browser der Lehrperson (IndexedDB) bis zur manuellen Löschung. Bei Anthropic nicht persistiert (Standard-API-Terms). Bei Upstash TTL 10 Minuten.
Drittstaaten-Übermittlung: USA – auf Basis EU-Standardvertragsklauseln (SCCs) und, sofern Empfänger zertifiziert, Swiss-U.S. Data Privacy Framework
Technische/organisatorische Massnahmen (TOMs): TLS in Transit; lokale IndexedDB-Speicherung statt zentrales Backend; Bild-Komprimierung vor Übertragung; Pseudonymisierung; Lizenz-Validierung; CSP; Rate-Limit; Pflicht-AVVs mit allen Sub-Auftragsbearbeitern

2. Abonnement- und Lizenzverwaltung

Zweck: Abschluss und Verwaltung kostenpflichtiger Abonnements, Rechnungsstellung, Kontingent-Tracking
Rechtsgrundlage: Vertragserfüllung (Art. 31 Abs. 2 lit. a nDSG / Art. 6 Abs. 1 lit. b DSGVO)
Kategorien betroffener Personen: Lehrpersonen (Kund/innen)
Kategorien Personendaten: E-Mail, Zahlungsdaten (via Stripe), Lizenzschlüssel, Plan, monatliches Korrektur-Kontingent
Empfänger: Stripe Payments Europe Ltd. (Zahlungsabwicklung, Customer-Metadaten)
Aufbewahrung: Dauer des Abonnements sowie gesetzliche Aufbewahrungsfristen (10 Jahre für Buchungsbelege, Art. 958f OR)
Drittstaaten-Übermittlung: Keine – Stripe Payments Europe Ltd. in Irland (EU, adäquates Schutzniveau)
TOMs: Zahlungsdaten werden ausschliesslich bei Stripe verarbeitet (PCI-DSS-konform); Lizenzschlüssel werden über HMAC-SHA256-signierte Tokens validiert; Stripe-API-Calls über HTTPS

3. Versand transaktionaler E-Mails

Zweck: Willkommens-Mail beim Aktivieren des Gratis-Kontingents; Antworten auf Schul-/Enterprise-Anfragen
Rechtsgrundlage: Vertragserfüllung bzw. vorvertragliche Massnahme
Kategorien betroffener Personen: Interessenten, Lehrpersonen, Schulen
Kategorien Personendaten: E-Mail-Adresse, Name (falls angegeben), Inhalt der Nachricht
Empfänger: Resend (Drogon, Inc.)
Aufbewahrung: Bis Widerruf bzw. Abschluss der Anfrage
Drittstaaten-Übermittlung: USA – SCCs
TOMs: Rate-Limit auf API-Endpoint; CORS-Restriktion; HTML-Escape aller Eingaben

4. Hosting, Logging und Sicherheit

Zweck: Auslieferung der Web-App, Bereitstellung der Serverless-Functions, Fehler- und Sicherheits-Logs
Rechtsgrundlage: Berechtigtes Interesse am stabilen und sicheren Betrieb
Kategorien Personendaten: IP-Adressen (Request-Logs), Browser-User-Agent, HTTP-Method/Path, Fehlerstatus
Empfänger: Vercel Inc. (Hosting)
Aufbewahrung: Request-Logs typischerweise ≤ 30 Tage gemäss Vercel-Standard
Drittstaaten-Übermittlung: USA – Rechenzentrum für die App in Frankfurt (DE); SCCs + Swiss-U.S. DPF
TOMs: HTTPS-only, strict CSP, CORS-Allowlist, Rate-Limit pro IP

Allgemeine technische und organisatorische Massnahmen

Verschlüsselung: Sämtliche Übertragungen über HTTPS/TLS 1.2+; sensible Werte (Trial-Tokens) HMAC-SHA256-signiert
Datenminimierung: Pseudonymisierung vor KI-Übermittlung; keine zentrale Schülerdaten-Datenbank
Speicherbegrenzung: QR-Foto-Relay TTL 10 Minuten; Bild-Komprimierung vor Übertragung
Integrität: Lizenz-Validierung gegen Stripe, Revocation-Flag
Verfügbarkeit: Vercel-Hosting mit europäischem Rechenzentrum; Cloudflare-vergleichbare CDN-Anbindung
Sub-Auftragsbearbeiter-Kontrolle: Pflicht-DPAs/AVVs mit Anthropic, Stripe, Vercel, Upstash, Resend

Meldepflicht bei Datenschutzverletzungen

Bei Verletzungen der Datensicherheit erfolgt unverzüglich nach Bekanntwerden eine Meldung an die zuständige Aufsichtsbehörde (EDÖB für die Schweiz), sofern die Verletzung voraussichtlich zu einem hohen Risiko für die Persönlichkeit der betroffenen Personen führt (Art. 24 nDSG). Betroffene Auftraggeber/Lehrpersonen werden zeitnah informiert.

Aktualisierungen

Dieses Verzeichnis wird bei wesentlichen Änderungen aktualisiert. Die jeweils aktuelle Fassung ist unter pruefai.ch/bearbeitungsverzeichnis abrufbar.

Siehe auch: Datenschutzerklärung · Sub-Auftragsbearbeiter · Datenschutz-Folgenabschätzung KI · AVV