DSGVO & Server in Deutschland — Datenschutz, der zu Musikunterricht passt

Notenzimmer läuft auf einem dedizierten Server in Nürnberg, betrieben bei einem deutschen Hosting-Anbieter mit Rechenzentrum in Bayern. Das bedeutet: kein US-Anbieter, keine Daten-Übertragung in Drittländer, kein Patriot-Act, kein CLOUD-Act. Wenn du Schülerdaten in Notenzimmer eingibst, liegen sie auf einer Maschine, die deutscher Rechtsprechung untersteht — Punkt.

Das ist ein bewusster Unterschied zu vielen anderen Musiklehrer-Tools, die zwar deutsch beschriftet sind, aber im Hintergrund auf AWS in Frankfurt, Google Cloud oder Microsoft Azure laufen. Das ist datenschutzrechtlich umstritten, weil die Mutter-Konzerne US-amerikanisch sind und damit dem CLOUD-Act unterliegen — auch wenn der Server physisch in Europa steht. Notenzimmer umgeht diese Unschärfe komplett: der Anbieter ist deutsch, der Server steht in Deutschland, der Betreiber (Oertel Computers Inh. Robin Oertel) sitzt in Oberasbach bei Nürnberg.

Falls deine Schüler-Eltern dich nach dem Server-Standort fragen — und das passiert mit zunehmend datenschutzbewussten Familien immer öfter — kannst du eine klare Antwort geben: „Mein Verwaltungs-Tool läuft auf einem deutschen Server in Nürnberg, betrieben von einem deutschen Anbieter."

Nicht alle Daten sind gleich schutzbedürftig. Ein Schüler-Vorname ist unkritisch, eine IBAN dagegen ist ein Bank-Identifikator, der bei einem Datenleck direkt für Lastschrift-Betrug missbraucht werden kann. Deshalb behandelt Notenzimmer diese Felder unterschiedlich: IBAN, Steuer-ID und USt-IdNr sind in der Datenbank verschlüsselt gespeichert (Application-Level-Encryption mit AES-256). Selbst wenn ein Angreifer die rohe Datenbank in die Hände bekäme, läge dort nur Chiffrat ohne Klartext.

Der Verschlüsselungs-Schlüssel liegt nicht in der Datenbank, sondern getrennt davon im Server-Konfigurations-Speicher (Rails-Credentials), gesichert durch Linux-Datei-Berechtigungen und nur dem Notenzimmer-Prozess zugänglich. Damit greift Defense-in-Depth: ein Datenbank-Leak alleine reicht nicht aus, um an die sensiblen Felder zu kommen — der Angreifer bräuchte zusätzlich Zugriff auf den Server-Schlüssel.

Die Datenbank-Verbindung läuft über TLS, alle Verbindungen von deinem Browser zum Server ebenfalls (HTTPS mit aktuellem Let’s-Encrypt-Zertifikat, aktuelle TLS-Konfiguration mit HSTS). Klartext-HTTP gibt es nicht — wer http://notenzimmer.de eintippt, wird sofort auf https umgeleitet.

Sobald du Notenzimmer für die Verarbeitung von Schüler-Daten nutzt, bist du der Verantwortliche nach Art. 4 Nr. 7 DSGVO und Notenzimmer (Oertel Computers Inh. Robin Oertel) ist Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO. Diese Konstellation verlangt nach Art. 28 DSGVO einen schriftlichen Auftragsverarbeitungs-Vertrag — den brauchst du in deiner Datenschutz-Dokumentation, falls die Aufsichtsbehörde irgendwann anklopft.

Notenzimmer macht das einfach: der AVV liegt unterschriftsbereit in deinem Konto. Du findest ihn unter „Einstellungen → Datenschutz", kannst ihn als PDF herunterladen, prüfen, gegenzeichnen (digital oder per Hand) und ablegen. Der Vertrag deckt alle Pflicht-Punkte aus Art. 28 DSGVO ab: Verarbeitungs-Zwecke, Daten-Kategorien, technische und organisatorische Maßnahmen (TOMs), Sub-Auftragsverarbeiter (E-Mail-Versand über Brevo, Zahlungs-Abwicklung über Mollie), Lösch-Konzept, Auditrechte.

Die Sub-Auftragsverarbeiter sind übrigens minimal gehalten: Brevo (französisch, DSGVO-konform) für transaktionalen E-Mail-Versand und Mollie (niederländisch) für die Zahlungs-Abwicklung. Beide EU-Anbieter, beide mit eigenem AVV-Stack — keine US-Cloud im Weg.

Verschlüsselung schützt vor Datendiebstahl, aber nicht vor Datenverlust. Deshalb läuft jede Nacht ein vollständiges Datenbank-Backup der gesamten Notenzimmer-Installation. Die Backups landen nicht auf demselben Server, sondern auf einem getrennten Storage-Volume bei einem anderen Standort des Hosters — physisch entkoppelt, damit ein einzelner Hardware-Defekt nicht beide Kopien auf einmal trifft.

30 Tage Aufbewahrung: du kannst bis zu einen Monat zurück. Das deckt typische Notfall-Szenarien ab — versehentlich gelöschter Schüler, falscher Vertrag, defektes Import-Skript. Backups älter als 30 Tage werden automatisch gelöscht, damit auch hier das Datensparsamkeits-Prinzip (Art. 5 Abs. 1 lit. c DSGVO) eingehalten wird.

Die Wiederherstellung läuft nicht auf Selbstbedienung — wenn du Daten zurückbrauchst, schreibst du eine kurze E-Mail an kontakt@notenzimmer.de, und wir spielen den gewünschten Zeitstand zurück (in der Regel innerhalb eines Werktags). Das ist Absicht: Restore-Aktionen sind selten und brauchen Augenmaß — ein „Wiederherstellungs-Knopf" für jeden Lehrer wäre eher gefährlich als hilfreich.

Wenn ein Schüler oder ein Elternteil dich fragt, „welche Daten habt ihr von mir gespeichert?" (Art. 15 DSGVO — Auskunftsrecht), willst du diese Antwort nicht händisch zusammensuchen müssen. Notenzimmer hat einen Daten-Export pro Schüler eingebaut: ein Klick erzeugt eine ZIP-Datei mit allen Stammdaten, Vertrags-Daten, gehaltenen Stunden, gestellten Rechnungen, hochgeladenen Notizen — alles, was zu diesem Schüler in der Datenbank steht. Format: lesbares JSON plus alle Rechnungs-PDFs.

Für das Recht auf Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden") gibt es einen Schüler-Lösch-Knopf, der die Stamm- und Vertrags-Daten unwiderruflich entfernt. Ausnahme: Rechnungen. Diese müssen wegen § 147 AO (10-jährige Aufbewahrungspflicht) erhalten bleiben — sie werden aber anonymisiert (Empfänger-Name wird durch „Schüler gelöscht am [Datum]" ersetzt), so dass das Steuerrecht erfüllt bleibt, ohne dass Personendaten unnötig liegen bleiben.

Berichtigung (Art. 16) und Widerspruch (Art. 21) sind ohnehin selbsterklärend: jede Schüler- und Eltern-Information lässt sich direkt im Notenzimmer-Profil ändern oder zurückziehen. Für Lehrer, die eine vollständige Liste ihrer Verarbeitungs-Tätigkeiten brauchen (Art. 30 DSGVO), liegt im Konto eine vorbereitete Verfahrens-Beschreibung zum Download — du musst sie nur noch um deine Lehrer-spezifischen Punkte ergänzen.