typitrain

Governance-Überblick für Schulen

Die technische und organisatorische Sicht auf TypiTrain für Schulen.

Diese Seite fasst das institutionelle Setup von TypiTrain zusammen: welche Datenkategorien betroffen sind, wie der Dienst gehostet wird, welche Speicher- und Löschprinzipien gelten und welche Rolle optionale KI-Funktionen in einem schulischen Einsatz haben.

EU-Hosting in FrankfurtKeine Analytics für institutionelle KontenSSO via OpenID ConnectDer Kern-Einsatz für Schulen funktioniert ohne KI
Tracking-Dienste prüfenAVV/DPA anfragen

Auf einen Blick

Eine schnelle Orientierung für Governance, Beschaffung und Schul-IT vor einer vertieften Prüfung.

Maßgeblich bleiben Datenschutzerklärung, AVV/DPA und Vertrag; diese Seite fasst schulrelevante Punkte für die Erstprüfung zusammen.

Schlankes Identitätsmodell für Schüler
Das übliche Klassen-Onboarding kann mit Benutzername und Passwort erfolgen. Eine Schüler-E-Mail ist für den typischen Klassen-Code-Flow nicht erforderlich.
Cloud-first, schulgeeignetes Setup
Der verwaltete Dienst läuft auf Infrastruktur mit Schwerpunkt in Frankfurt am Main. Zusätzlich gibt es eine Desktop-App für stärker offline-orientierte Umgebungen.
Klare Speicherprinzipien
Personenbezogene Daten bleiben gespeichert, solange Konten aktiv sind, notwendige Logs werden nur begrenzt vorgehalten und bei Kontolöschung werden personenbezogene Daten entfernt.
KI ist für den Kern-Einsatz nicht erforderlich
Das Unterrichtsprodukt funktioniert ohne KI. KI-bezogene Funktionen sind optionale Module mit eigenem institutionellem Umfang.

Betreiber & Geltungsbereich

Wer ist beteiligt und wessen Daten sind betroffen?

Prüfungen im öffentlichen Bereich benötigen meist eine ausdrückliche Benennung von Betreiberkontakt und betroffenen Personengruppen statt nur impliziter Hinweise aus Marketingtexten.

Betreiber und Governance-Kontakt

TypiTrain wird von Tobias Wetzel betrieben. Anfragen zu Datenschutz, Governance und Prüfunterlagen können an [email protected] gerichtet werden.

  • TypiTrain wird von Tobias Wetzel betrieben.
  • Kontakt für Prüfung und Datenschutz: [email protected].
  • Governance-Abstimmungen können direkt per E-Mail erfolgen.

Kategorien betroffener Personen

Der institutionelle Einsatz umfasst die unten genannten Kategorien betroffener Personen.

  • Schüler
  • Lehrer
  • Schul- oder Organisationsadministratoren
  • Optionale SSO-bezogene Identitätskontakte, soweit angebunden

Datenkategorien

Welche personenbezogenen Daten sind typischerweise betroffen?

Institutionelle Konten sind so angelegt, dass Schüler-Identifikatoren möglichst schlank bleiben und dennoch Klassenverwaltung und Fortschrittsanzeige möglich sind.

Schülerkonten

Schüler können in der Regel mit wenigen Kontodaten angelegt werden.

  • Benutzername
  • Authentifizierungsdaten
  • Klassenzugehörigkeit und Freigabestatus
  • Rolle im schulischen Kontext
Lehrer und Administratoren

Mitarbeiterkonten enthalten die operativen Daten, die für Verwaltung, Kommunikation und Berechtigungen nötig sind.

  • Name und E-Mail, soweit erforderlich
  • Organisations- und Klassenzuweisungen
  • Rolle und Berechtigungen
  • Optionale SSO-Identitätszuordnung
Lern- und Fortschrittsdaten

Die Anwendung speichert die Daten, die zur Anzeige des Lernstands und zur Unterstützung des Unterrichts nötig sind.

  • Abgeschlossene Übungen und Aufgaben
  • Tippgeschwindigkeit, Genauigkeit und Fortschrittshistorie
  • Leistungsmuster pro Taste
  • Übungsdauer und Bearbeitungsstatus
Technische und operative Daten

Eine kleine operative Datenschicht ist notwendig, um den Dienst sicher und zuverlässig zu betreiben.

  • Authentifizierungs- und Zugriffstimestamps
  • Browser- und Gerätekontext, soweit für den Betrieb relevant
  • Notwendige Fehler- und Leistungsdiagnostik
  • Sicherheitsrelevante Systemereignisse

Zu welchem Zweck werden die Daten verarbeitet?

Der institutionelle Dienst nutzt Daten in einem engen operativen Rahmen, der auf Unterricht, Verwaltung und Service-Zuverlässigkeit beschränkt ist.

  • Bereitstellung von Anmeldung und rollenbasiertem Zugriff
  • Verwaltung von Schulen, Klassen und Mitgliedschaften
  • Anzeige von Fortschritt, Aufgaben und Lernhistorie
  • Unterstützung von Schulverwaltung und Passwort-Zurücksetzungen
  • Sicherstellung von Sicherheit, Verfügbarkeit und Fehleranalyse

Hosting & Verarbeiter

Wie ist der Dienst bereitgestellt?

Das institutionelle Standardszenario ist eine Cloud-Bereitstellung. Die Abschnitte unten trennen Kerninfrastruktur, Verhalten institutioneller Konten, optionale Werkzeuge und notwendigen Betrieb.

Primäres Bereitstellungsmodell

Der reguläre Einsatz für Schulen nutzt den verwalteten Cloud-Dienst.

  • Cloud-Anwendung mit Hosting-Schwerpunkt in der EU
  • Zentrale Konto- und Fortschrittsdaten werden in Frankfurt am Main gespeichert
  • Browserbasierter Zugriff auf Schulgeräten
  • Desktop-App für stärker offline-orientierte Umgebungen verfügbar

Operative Verarbeiter-Logik

Für institutionelle Prüfungen ist die Unterscheidung zwischen Kerninfrastruktur, notwendigem Fehlermonitoring und optionalen Tracking-Tools wesentlich.

  • Cloudflare unterstützt DNS, CDN/Edge-Bereitstellung und den Schutz der Webanwendung
  • Resend übernimmt den Versand transaktionaler E-Mails über die konfigurierte Supabase-SMTP-Anbindung
  • Institutionelle Konten nutzen keine Analytics- oder Session-Recording-Tools
  • Notwendiges Fehlermonitoring bleibt für die Betriebsstabilität aktiv
  • Zahlungsabwicklung ist nur für Abrechnungsvorgänge relevant
  • Eine Übersicht zu Verarbeitern und Unterauftragsverarbeitern ist für die schulische Prüfung verfügbar

Verarbeiter & Drittlandtransfers

Verarbeiter und internationale Übermittlungen

Zentrale Konto- und Fortschrittsdaten werden in Frankfurt am Main gespeichert. Verarbeiterbezogene Übermittlungen und die dazugehörigen Schutzmechanismen werden separat im AVV/DPA und in der Vertragsprüfung dokumentiert.

Typische Verarbeiterkategorien

Für den schulischen Einsatz sind vor allem die externen Dienste relevant, die Authentifizierung, Datenbankbetrieb, Auslieferung, Sicherheit, E-Mail-Versand, Fehlermonitoring oder Abrechnung unterstützen.

  • Supabase für Authentifizierung und Datenbankdienste
  • Cloudflare für DNS, CDN/Edge-Bereitstellung und Schutz der Webanwendung
  • Resend für transaktionale E-Mails wie Kontobestätigungen, Einladungen und Passwort-Zurücksetzungen
  • Sentry für notwendiges Fehlermonitoring und operative Diagnostik
  • Stripe nur dann, wenn bezahlte Abrechnungsprozesse relevant sind
  • Schulischer Identity Provider, wenn OpenID Connect oder VIDIS angebunden ist

Position zu internationalen Transfers

Kernspeicherung und mögliche verarbeiterbezogene Transferszenarien werden getrennt ausgewiesen: EU-Speicherung für zentrale Konto- und Fortschrittsdaten, separate Dokumentation für Verarbeiter und Schutzmechanismen.

  • Zentrale Konto- und Fortschrittsdaten werden in Frankfurt am Main gespeichert
  • Institutionelle Konten nutzen keine optionalen Analytics- oder Session-Recording-Verarbeiter
  • Mögliche internationale Transferszenarien müssen dennoch pro Verarbeiter bewertet werden
  • Schutzmechanismen und Verarbeiterdetails werden im AVV/DPA und in der Vertragsprüfung dokumentiert

Speicherung & Löschung

Wie ist der Umgang mit Speicherfristen angelegt?

Personenbezogene Daten bleiben an aktive schulische Nutzung und operative Notwendigkeit gebunden; Kontolöschung entfernt die dem Konto zugeordneten personenbezogenen Daten.

Kontodaten
Werden gespeichert, solange das institutionelle oder persönliche Konto aktiv ist.
Fortschritts- und Aufgabendaten
Werden gespeichert, solange sie für den aktiven Lernkontext und die Berichterstattung im Konto erforderlich sind.
Operative Logs
Notwendige Monitoring-Daten werden für begrenzte Zeiträume zur Fehleranalyse und nicht unbegrenzt aufbewahrt.
Löschlogik
Bei Löschung eines Kontos werden die diesem Konto zugeordneten personenbezogenen Daten entfernt; nicht-personenbezogene aggregierte Statistiken können verbleiben.

Speicherplan

Der Speicherplan nennt die wichtigsten Datenkategorien, den jeweiligen Aufbewahrungszeitraum und die Löschlogik in prüffähiger Form.

  • Kontodaten: Speicherung, solange das Konto aktiv ist
  • Fortschritts- und Aufgabendaten: Speicherung, solange sie für den aktiven Lernkontext und die Berichterstattung im Konto erforderlich sind
  • Notwendige Monitoring-Daten: Speicherung für bis zu 90 Tage zur Fehleranalyse
  • Kontolöschung: entfernt personenbezogene Daten, die diesem Konto zugeordnet sind
  • Aggregierte oder nicht-identifizierende Statistiken können verbleiben, sofern sie keine Person mehr identifizieren

Sicherheitsmaßnahmen

Welche technischen Kontrollen sind bereits Teil des Dienstes?

Die aktuelle Produktarchitektur enthält bereits zentrale Maßnahmen, die in einem schulischen SaaS-Umfeld erwartet werden.

  • TLS-verschlüsselte Übertragung
  • Passwort-Hashing mit bcrypt
  • Rollenbasierte Zugriffstrennung für Schüler, Lehrer und Administratoren
  • Row-Level Security in der Datenbankschicht
  • OpenID Connect für schulische SSO-Szenarien
  • Operatives Monitoring für Verfügbarkeit und Fehleranalyse

KI-Einordnung

KI-bezogene Funktionen in institutionellen Prüfungen

Das Kernprodukt für Schulen ist nicht von KI abhängig. KI-bezogene Funktionen sind optionale Module mit eigenem institutionellem Umfang neben dem Haupteinsatz.

Empfohlene Baseline für den institutionellen Einsatz

Der Basiseinsatz nutzt das Kernprodukt für den Unterricht; KI liegt außerhalb des ersten Prüfungsumfangs, sofern nichts anderes vereinbart wird.

  • Der schulische Kern-Workflow funktioniert ohne KI
  • Die erste Prüfung kann sich auf Hosting, Identität, Schülerdaten und Zugriffskontrolle konzentrieren
  • KI-bezogene Funktionen werden als optionale Module mit eigenem Prüfungsumfang behandelt
  • Das hält Beschaffungs- und Datenschutzprüfung auf den erforderlichen Unterrichtsdienst fokussiert

Optionaler KI-Prüfumfang

Wenn eine institutionelle KI-Funktion genutzt wird, werden Anbieter, Modell, Datenkategorien, Zweck, Nutzergruppen und Bereitstellungsumfang für die Prüfung festgehalten.

  • Der schulische Kern-Workflow bleibt ohne KI verfügbar
  • Institutionelle Konten können einen geprüften Anbieter nutzen oder KI-Funktionen außerhalb des Umfangs halten
  • Vor Aktivierung werden Funktion, übertragene Daten, Anbieter, Modell und Zweck festgehalten
  • Die freigegebenen Nutzergruppen werden vor der Einführung festgelegt

Prüfunterlagen

Verfügbare Prüfunterlagen

Für Beschaffung, IT-Governance oder Datenschutzprüfung kann TypiTrain gezielte Prüfunterlagen und AVV/DPA-Abstimmung bereitstellen.

  • Kurze Datenschutz- und Governance-Zusammenfassung
  • Preisübersicht und Leistungsübersicht für den institutionellen Einstieg
  • Übersicht zu Verarbeitern und Unterauftragsverarbeitern
  • Zusammenfassung zu Speicher- und Löschlogik
  • Sicherheits- und Zugriffskontrollübersicht
  • Hinweise zu SSO und Einführungsabstimmung
  • Vertrags- und AVV/DPA-Abstimmung für schulische Prüfungen
AVV/DPA anfragen
Druckfähigen Brief öffnenDatenschutzerklärung öffnenTracking-Details öffnen