Datenschutz (WebUntis & App)

Diese Datenschutzerklärung ergänzt die allgemeine Datenschutzerklärung der Website und beschreibt, wie FehlzeitenRadar personenbezogene Daten verarbeitet, die über die Schnittstelle zu WebUntis (Untis GmbH) bezogen werden.

1. Verantwortlicher

sermo media UG (haftungsbeschränkt)
Erftstr. 17, D-40670 Meerbusch
E-Mail: datenschutz@fehlzeitenradar.de
Vertretungsberechtigter: Elmar Distelhoff

2. Zweck der Datenverarbeitung

FehlzeitenRadar ist ein Frühwarnsystem für Schulabsentismus. Die Anwendung analysiert Fehlzeitendaten aus WebUntis, um Muster zu erkennen, die auf Schulvermeidung hindeuten können. Ziel ist es, Lehrkräften und Schulsozialarbeitern eine frühzeitige Intervention zu ermöglichen.

3. Kategorien verarbeiteter Daten

Über die WebUntis-Schnittstelle (v3 Platform API) werden folgende Daten abgerufen:

  • Schülerdaten: WebUntis-ID, Vor- und Nachname, Klassenzugehörigkeit
  • Klassendaten: Klassenbezeichnung, Schuljahr
  • Fehlzeitendaten: Datum, Art der Fehlzeit (entschuldigt/unentschuldigt), betroffene Unterrichtsstunden
  • Zuordnungsdaten: Schüler-Klassen-Zuweisungen (Enrollments)

Es werden keine Noten, Zeugnisse, Stundenpläne, Kontaktdaten von Erziehungsberechtigten oder sonstige über die genannten Kategorien hinausgehende Daten abgerufen.

4. Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Das berechtigte Interesse liegt in der Erfüllung des schulischen Erziehungsauftrags und der gesetzlichen Schulpflichtüberwachung. Die Schule als Auftraggeber legitimiert die Verarbeitung im Rahmen ihrer Aufsichtspflicht.

Zusätzlich wird ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zwischen der jeweiligen Schule und sermo media UG geschlossen.

5. Datenfluss und Zugriffsrechte

5.1 Authentifizierung

Der Datenabruf aus WebUntis erfolgt über die OAuth2 Client Credentials Grant (Server-to-Server). Die Zugangsdaten (Client-ID und Client-Secret) werden automatisch durch die WebUntis Platform App Manager (PAM) bereitgestellt, wenn eine Schule die Integration aktiviert. Es ist kein manueller Austausch von Zugangsdaten erforderlich.

5.2 Benutzeranmeldung

Endnutzer (Lehrkräfte, Schulsozialarbeiter) authentifizieren sich über OpenID Connect (OIDC) Single Sign-On via WebUntis. Es werden keine separaten Passwörter in FehlzeitenRadar gespeichert.

5.3 Zugriffsberechtigungen

FehlzeitenRadar verwendet ausschließlich lesende Zugriffsrechte (read-only). Die Anwendung kann keine Daten in WebUntis verändern, löschen oder hinzufügen. Folgende API-Berechtigungen werden verwendet:

  • OneRoster read (Schüler, Klassen, Zuordnungen)
  • Class Register Absences read (Fehlzeitendaten)

6. Datenspeicherung

6.1 Speicherort

Alle Daten werden ausschließlich auf einem Server der Hetzner Online GmbH in Nürnberg, Deutschland gespeichert. Es findet keine Datenübermittlung in Drittländer statt.

6.2 Speicherdauer

  • Schüler- und Klassendaten: solange die Schule die Integration aktiv nutzt
  • Fehlzeitendaten: rollierend 12 Monate, danach automatische Löschung
  • OAuth-Zugangsdaten: solange die Schule die Integration aktiv nutzt; bei Deaktivierung sofortige Löschung
  • Erkannte Muster und Alerts: solange die zugehörigen Fehlzeitendaten bestehen

6.3 Deaktivierung

Wenn eine Schule die Integration über WebUntis deaktiviert, werden alle OAuth-Zugangsdaten sofort gelöscht. Schüler- und Fehlzeitendaten werden nach einer Übergangsfrist von 30 Tagen vollständig entfernt.

7. Datenminimierung

FehlzeitenRadar folgt dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO):

  • Es werden nur die für die Mustererkennung notwendigen Datenkategorien abgerufen
  • Fehlzeitendaten werden nur für einen rollierenden Zeitraum von 30 Tagen synchronisiert
  • Es werden keine Noten, Kontaktdaten oder sonstige nicht benötigte Daten verarbeitet
  • Die Datenhaltung erfolgt nur so lange wie für den Zweck erforderlich

8. Technische und organisatorische Maßnahmen

Detaillierte Informationen zu den technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten Daten finden Sie auf unserer Seite Datensicherheit.

9. Empfänger der Daten

Die verarbeiteten Daten werden nicht an Dritte weitergegeben. Zugriff auf die Daten haben ausschließlich:

  • Autorisierte Lehrkräfte (nur Daten der eigenen Klassen)
  • Schulsozialarbeiter (schulweite Übersicht, sofern von der Schulleitung freigegeben)
  • Der technische Administrator (sermo media UG) im Rahmen der Systemwartung

10. Rechte der betroffenen Personen

Die Rechte der betroffenen Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) gemäß Art. 15–21 DSGVO gelten uneingeschränkt. Anfragen können an datenschutz@fehlzeitenradar.de oder an die Schulleitung gerichtet werden.

Stand: Februar 2026