Datenschutzerklärung

Stand: 2026-04-21

PlayInsight Studios GmbH

Hans-Knöll-Straße 6, 07745 Jena

E-Mail: project@playinsightstudios.com

(Angaben gemäß Art. 4 Nr. 7 DSGVO)

Verantwortlicher

Überblick: Datenschutzfreundliche Gestaltung

Diese Plattform wurde nach dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) entwickelt:

  • Keine persistenten Cookies — Weder eigene noch von Drittanbietern.
  • Keine personenbezogene Erfassung — Wir erheben keine IP-Adressen, keine vollständigen User-Agent-Strings und erstellen keine Nutzerprofile.
  • Nur aggregierte Statistiken — Nutzungsdaten werden ausschließlich anonymisiert und zusammengefasst gespeichert.
  • Getrennte Datenbereiche — Zugriffe über Kunden-URLs (/c/<slug>/...) und die öffentliche Demo werden niemals zusammengeführt.
  • Lokaler Speicher — Wir nutzen localStorage im Browser nur für technisch notwendige Funktionen.

Die zwei Verarbeitungs-Lanes

Diese Plattform verarbeitet Daten in zwei strikt getrennten Wegen:

  1. Öffentliche Demo-Nutzung (lab.playinsightstudios.com/lernwelten/..., lab.playinsightstudios.com/...): Wir sind eigenständig Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Rechtsgrundlage ist unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Bereitstellung und Verbesserung des Dienstes.
  2. Nutzung über den Kundenbereich einer Bildungseinrichtung (lab.playinsightstudios.com/c/<kennung>/...): In diesem Fall verarbeiten wir die anfallenden Daten als Auftragsverarbeiter im Auftrag der Bildungseinrichtung (Art. 28 DSGVO). Verantwortlicher im datenschutzrechtlichen Sinn ist die jeweilige Einrichtung. Rechtsgrundlage für die Verarbeitung ist der mit der Einrichtung geschlossene Auftragsverarbeitungsvertrag (AVV); für die Rechtsgrundlage der Verarbeitung der Schülerdaten durch die Einrichtung verweisen wir auf deren eigene Datenschutzinformationen.

Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Daten auf folgenden Rechtsgrundlagen (Art. 6 Abs. 1 DSGVO):

VerarbeitungRechtsgrundlageErläuterung
Aggregierte Nutzungsstatistiken (öffentliche Demo-Lane)Art. 6 Abs. 1 lit. f (berechtigtes Interesse)Produktverbesserung und Reichweitenmessung auf Basis anonymer, zusammengefasster Zahlen.
Verarbeitung als Auftragsverarbeiter (Kunden-Lane)Art. 28 DSGVO in Verbindung mit Art. 6 Abs. 1 lit. b / lit. e / lit. f auf Seiten der beauftragenden EinrichtungGrundlage ist der AVV zwischen PlayInsight und der Einrichtung; der Rechtsgrund der Erhebung auf Seiten der Einrichtung ergibt sich aus deren gesetzlicher Aufgabenerfüllung.
localStorage (funktional)Art. 6 Abs. 1 lit. b (Vertragserfüllung)Technisch notwendig für die Nutzung der Lernwelt.
Tab-lokaler Sitzungsmarker c_sid (nur Kunden-Lane, 30 Min. idle, nicht persistent)§ 25 Abs. 2 Nr. 2 TDDDG (technisch unbedingt erforderlich)Ausschließlich zur Korrelation von Ereignissen innerhalb eines Browser-Tabs für die Berechnung aggregierter Sitzungsdauer.
Verbindungsaufbau (Hosting)Art. 6 Abs. 1 lit. f (berechtigtes Interesse)Notwendig für die Bereitstellung der Website.

Da wir keine nicht-essenziellen Cookies setzen, ist ein Cookie-Consent-Banner nicht erforderlich.

Was wir verarbeiten

Die vollständige, feldgenaue Liste ergibt sich aus unserem internen Dokument data-scope.md. In zusammengefasster Form:

Serverseitig am Edge abgeleitet

  • Land (2-Buchstaben-ISO, z. B. DE, AT, CH) — Cloudflare leitet das Land aus der IP-Adresse am Edge ab (CF-IPCountry). Die Roh-IP-Adresse erreicht unsere Datenbank nie.
  • Gerätekategorie (desktop, mobile, tablet) — am Edge aus dem User-Agent klassifiziert. Der vollständige User-Agent wird nicht gespeichert.
  • Tagesdatum (z. B. 2026-04-21) — keine Uhrzeit-genauen Zeitstempel.

Clientseitig erhoben und an den Server übermittelt

  • Ereignistyp (z. B. page_view, download_complete, station_completed) aus einer festen Liste erlaubter Ereignisse.
  • Seitenpfad ohne Query-String.
  • Quelle / Kampagne (UTM-Parameter oder Hostname des Referrers), strikt sanitisiert und auf 100 Zeichen begrenzt.
  • Viewport-Bucket (einer von vier Werten: <768, 768-1023, 1024-1439, ≥1440).
  • Ereignisspezifische Zähler (z. B. Download-Fortschritt in 10-%-Schritten, Build-Gesamtgröße in Byte).
  • Fehlermeldung — serverseitig bereinigt (URLs / Tokens werden entfernt), um Debugging zu ermöglichen ohne Identifikatoren zu speichern.

Ausschließlich in der Kunden-Lane

  • Kundenkennung (customer_id) — nicht betroffenenbezogen, kennzeichnet die Einrichtung.
  • Stationsfortschritt — numerischer Stationsindex beim Ereignis station_completed.
  • Kohort-Tag — opaker, von der Einrichtung gewählter String (z. B. Wochen-/Klassensplit).
  • Sitzungsdauer (Sekunden) — abgeleitet pro Tab-Sitzung, nur aggregiert persistiert.

Was wir ausdrücklich NICHT verarbeiten

  • Roh-IP-Adressen — werden am Edge verworfen und nie in unsere Datenbank geschrieben.
  • Vollständige User-Agent-Strings — werden am Edge auf eine Gerätekategorie reduziert.
  • Persistente Cookies — weder eigene, noch Drittanbieter, noch Werbe- oder Trackingcookies.
  • Schüleridentifikatoren jeder Art — weder Name, E-Mail, LMS-ID noch eine stabile, geräteabgeleitete Kennung.
  • Browser-Fingerabdrücke — kein Canvas-, Audio-, Font-, Hardware- oder Pluginsensing.
  • Vollständige document.referrer-Strings — nur der Hostname bzw. sanitisierte UTM-Werte werden übernommen.
  • Standortdaten — außer dem am Edge abgeleiteten Ländercode keine Geolokalisierung.
  • Individuelle Nutzungsprofile — keine Nachverfolgung einzelner Nutzer über Sitzungsgrenzen hinweg.
  • Tracker-Query-Parameter (gclid, fbclid, msclkid etc.).

Hosting und Auftragsverarbeitung

Cloudflare, Inc.

Diese Website wird über Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) bereitgestellt. Cloudflare erbringt für uns folgende Leistungen: Hosting (Pages), Edge-Compute (Workers / Pages Functions), Datenbank (D1), Objektspeicher (R2). Cloudflare ist als Auftragsverarbeiter gemäß Art. 28 DSGVO vertraglich gebunden (Cloudflare Customer DPA v6.4, effektiv ab 03.04.2026).

Drittlandtransfer erfolgt auf Grundlage der EU Standard Contractual Clauses (Art. 46 DSGVO), zusätzlich ist Cloudflare unter dem EU-US Data Privacy Framework zertifiziert (Grundlage für Art. 45 DSGVO).

Weitere Informationen: Cloudflare Customer DPA · Cloudflare Datenschutzrichtlinie · Cloudflare Sub-Processor-Liste

Eine vollständige Liste der von uns eingesetzten Unterauftragnehmer und Dienste findet sich in unserem internen Dokument subprocessors.md, dessen jeweils aktueller Stand Bestandteil des AVV mit unseren B2B-Kunden ist.

Speicherdauer

DatenkategorieAufbewahrung
Rohereignisse30 Tage rollierend, danach automatische Löschung durch den Retention-Worker
Tagesaggregate (öffentliche Lane, z. B. events_daily)unbegrenzt in nicht-personenbezogener, aggregierter Form
Tagesaggregate (Kunden-Lane, customer_usage_daily)Vertragslaufzeit + 90 Tage; danach Löschung
Kundenstammdatenwährend aktivem Vertrag, Löschung binnen 14 Tagen nach Ablauf der Aggregat-Aufbewahrung
Tab-Session-Marker c_sid (nur Kunden-Lane)30 Minuten Leerlauf, nicht persistent, nicht in Datenbank gespeichert

Rechte betroffener Personen

Nach der DSGVO stehen Ihnen folgende Rechte zu:

  • Auskunftsrecht (Art. 15) — Bestätigung, ob und welche Daten verarbeitet werden
  • Berichtigung (Art. 16) — Korrektur unrichtiger Daten
  • Löschung (Art. 17) — Entfernung Ihrer Daten unter bestimmten Voraussetzungen
  • Einschränkung (Art. 18) — Begrenzung der Verarbeitung in bestimmten Fällen
  • Datenübertragbarkeit (Art. 20) — Erhalt Ihrer Daten in strukturiertem Format
  • Widerspruch (Art. 21) — Einspruch gegen Verarbeitung auf Basis berechtigter Interessen

Da wir auf der öffentlichen Demo-Lane keine personenbezogenen Identifikatoren erheben, lässt sich ein Auskunfts- oder Löschersuchen dort regelmäßig keiner konkreten Person zuordnen. Für die Kunden-Lane richten Sie Ihre Anfrage an die verantwortliche Bildungseinrichtung; wir unterstützen die Einrichtung bei der Beantwortung im Rahmen von § 6 AVV.

Anfragen an uns richten Sie an: project@playinsightstudios.com.

Recht auf Beschwerde bei einer Aufsichtsbehörde

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Die für uns zuständige Behörde ist:

Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI) Häßlerstraße 8, 99096 Erfurt tlfdi.de

Übermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Drittländer erfolgt ausschließlich im Rahmen des Cloudflare-Hostings (siehe Abschnitt „Cloudflare, Inc.“ oben). Darüber hinaus findet keine Drittland-Übermittlung statt.

Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Rechtslage oder bei Änderungen unseres Dienstes anzupassen. Die jeweils aktuelle Version finden Sie stets auf dieser Seite. Das Datum der letzten Aktualisierung ist oben angegeben.