Verantwortliche Stelle im Sinne der DSGVO (EU 2016/679) ist Felix Plattner, Strange 12, 39042 Brixen, Italien. Kontakt: [email protected]
Schulzugangsdaten (Stundenplan-Login)
Dein Benutzername und Passwort werden ausschließlich zur Authentifizierung an deiner Schule's Stundenplan-Server verwendet. Weder Passwort noch Klartext-Zugangsdaten werden gespeichert. Das Session-Token wird AES-GCM-verschlüsselt in einem httpOnly-Cookie gespeichert.
Session-Cookie (pockyh_session)
Verschlüsseltes httpOnly-Cookie mit dem Schulportal-Session-Token. Läuft beim Logout oder nach 4 Stunden ab. Nicht für JavaScript zugänglich (XSS-Schutz).
POKYH-Konto (Alternative Login)
Nutzer ohne Schulaccount können sich mit einem POKYH-eigenen Konto registrieren (Benutzername + Passwort). Das Passwort wird bcrypt-gehasht gespeichert. Ein Klartext-Passwort wird niemals gespeichert.
Benutzer-Cookie (pockyh_user)
Enthält nicht-sensible Anzeigeinformationen (Benutzername, Klasse) für die Darstellung in der App. Kein Passwort, kein Token.
POKYH-Backend (Todos & Erinnerungen)
Todos und Klassen-Erinnerungen werden auf dem eigenen POKYH-Backend gespeichert: Titel, Details, Zeitstempel, Benutzername. Löschung jederzeit selbst möglich. Es werden keine externen Cloud-Dienste für diese Funktionen genutzt.
Google Analytics 4 (GA4)
Diese Website verwendet Google Analytics 4 (Google LLC). GA4 erhebt anonymisierte Nutzungsdaten (Seitenaufrufe, Gerätekategorie, Herkunftsland). Die IP-Adresse wird vor Übermittlung an Google anonymisiert (IP-Masking). Es werden keine Werbedaten erhoben. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) zur Verbesserung des Dienstes. Du kannst der Datenerhebung durch Google Analytics unter analytics.google.com/analytics/optout widersprechen.
Cloudflare Tunnel (Cloudflare, Inc.)
Zur öffentlichen Erreichbarkeit des selbst gehosteten Servers wird Cloudflare Tunnel verwendet. Cloudflare verarbeitet dabei Netzwerk-Metadaten (IP-Adressen, Anfrage-Header) zur Weiterleitung des Datenverkehrs. Es werden keine Inhalte dauerhaft gespeichert. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für den sicheren Serverbetrieb.
Server-Protokollierung (Request Logs)
Der POKYH-Backend-Server speichert automatisch Zugriffsprotokolle: IP-Adresse, HTTP-Methode, aufgerufener Pfad, HTTP-Statuscode, Antwortdauer, Benutzername und User-Agent. Zweck: Sicherheit, Fehlerdiagnose und Missbrauchserkennung. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Logs werden spätestens nach 30 Tagen gelöscht.
Mobile App (iOS & Android)
Die nativen POKYH-Apps speichern Zugangsdaten ausschließlich im verschlüsselten OS-Keychain (iOS) bzw. Android Keystore. iCloud-Synchronisierung ist deaktiviert. Firebase Analytics ist deaktiviert – es werden keine Analysedaten durch die App erhoben. Erinnerungen werden als lokale Gerätbenachrichtigungen ausgeliefert (kein Remote-Push). Update-Prüfungen erfolgen über die öffentliche GitHub-API (kein personenbezogenes Datum übertragen).
Lokaler Speicher (localStorage)
Für Einstellungen (Theme, Sidebar-Status) wird localStorage genutzt. Diese Daten verlassen nie das Gerät.
Die Verarbeitung erfolgt zur Erbringung des Dienstes (Art. 6 Abs. 1 lit. b DSGVO) sowie auf Grundlage deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Analytics-Daten werden auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeitet.
Untis GmbH (Schulportal)
Stundenplan, Noten, Abwesenheiten und Nachrichten – nur bei Schulaccount-Login
POKYH Backend (pokyh-backend)
Eigener Server für Todos, Erinnerungen, Klassen-Features und Echtzeit-Updates
Google Analytics 4 (Google LLC)
Anonymisierte Nutzungsstatistiken zur Verbesserung des Dienstes
Cloudflare, Inc.
Netzwerkweiterleitung via Cloudflare Tunnel für den selbst gehosteten Server
Mensa API (plattnericus.dev)
Anzeige des Mensa-Speiseplans
GitHub API (GitHub, Inc.)
Update-Prüfung der mobilen Apps – es werden keine personenbezogenen Daten übertragen
Google LLC und Cloudflare, Inc. sind in den USA ansässig. Der Datentransfer erfolgt auf Basis von Standardvertragsklauseln (Art. 46 DSGVO) sowie – im Fall von Google – auf Basis des EU-US Data Privacy Framework. Cloudflare ist nach ISO 27001 zertifiziert.
Session-Cookies werden beim Logout oder nach 30 Minuten gelöscht. Todos und Erinnerungen werden auf dem POKYH-Backend gespeichert, bis du sie selbst löschst. Abgeschlossene Todos werden nach 24 Stunden automatisch ausgeblendet. Google Analytics-Daten werden nach 14 Monaten gelöscht.
Du hast folgende Rechte bezüglich deiner personenbezogenen Daten:
Kontakt: [email protected]
Beschwerde bei der Datenschutzbehörde: In Österreich www.dsb.gv.at · In Italien www.garanteprivacy.it
Alle Verbindungen erfolgen über HTTPS/TLS (bereitgestellt via Cloudflare Tunnel). WebUntis-Session-Tokens werden serverseitig AES-GCM-verschlüsselt und ausschließlich in httpOnly-Cookies gespeichert (kein JavaScript-Zugriff). Passwörter werden nie gespeichert. Eingaben werden serverseitig validiert. Der Server wird auf privater Hardware betrieben und ist ausschließlich über den verschlüsselten Cloudflare-Tunnel zugänglich.
pockyh_sessionNotwendigVerschlüsseltes Schulportal-Session-Token (httpOnly, AES-GCM, 4 Stunden)
pockyh_userNotwendigNicht-sensible Benutzerinfo zur Anzeige (kein Token, kein Passwort, 4 Stunden)
pockyh_api_tokenNotwendigPOKYH Backend JWT für API-Zugriff (nicht httpOnly, 8 Stunden)
pockyh_api_refreshNotwendigPOKYH Backend Refresh-Token zum automatischen Erneuern des API-Tokens (httpOnly, 30 Tage)
pockyh_themeEinstellungGespeichertes Farbschema (localStorage, kein Cookie)
pockyh_sidebar_collapsedEinstellungSidebar-Status (localStorage, kein Cookie)
_ga, _ga_*AnalyticsGoogle Analytics 4 – anonymisierte Nutzungsstatistiken (nur bei Einwilligung), 1–2 Jahre Laufzeit
Diese Datenschutzerklärung kann bei Bedarf angepasst werden. Die aktuelle Version ist stets unter /legal?view=datenschutz abrufbar. Stand: Mai 2026.