Zum Hauptinhalt springen

Datenschutzerklärung

Zur Startseite

1. Allgemeines

Das MitarbeiterQuiz ist ein internes Schulungs- und Gamification-System, das ausschließlich für Mitarbeiterinnen und Mitarbeiter unseres Unternehmens bereitgestellt wird. Der Schutz deiner personenbezogenen Daten ist uns wichtig. Diese Datenschutzerklärung informiert dich darüber, welche Daten erhoben werden, zu welchem Zweck und auf welcher Rechtsgrundlage sie verarbeitet werden und welche Rechte dir zustehen.

2. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

Jens Everhardt
Roemerstr. 187
47495 Rheinberg
E-Mail: Jens@Everhardt.de

3. Erhobene Daten

Im Rahmen der Nutzung des MitarbeiterQuiz werden folgende Daten erhoben und verarbeitet:

  • Stammdaten: Vorname, Nachname, E-Mail-Adresse, Team- und Filialzugehörigkeit
  • Nutzungsdaten: Quiz-Ergebnisse, erreichte Punktzahlen, Antwortverhalten und Zeitstempel
  • Gamification-Daten: Ranglisten-Platzierungen, Battle-Ergebnisse, Challenge-Teilnahmen und Spielstände (Memory, Domino, Faktencheck)
  • Kommunikationsdaten: Chat-Nachrichten, Support-Tickets und Freundschaftsanfragen
  • Technische Daten: Session-Informationen zur Authentifizierung (Session-Cookies)
  • Technische Verarbeitungsdaten: Zur Bereitstellung der Funktionen „Wer ist online“, Missbrauchsschutz (Rate-Limiting) und Performance-Caching werden kurzlebige technische Datensätze in einem internen Arbeitsspeicher (Redis) gehalten. Diese enthalten deine Benutzer-ID, Zeitstempel der letzten Aktivität und Zähler pro Funktionsbereich (z. B. Login-Versuche, API-Aufrufe). Die Datensätze werden automatisch nach 30 Sekunden (Online-Status) bis 15 Minuten (Rate-Limit-Fenster bei Login) überschrieben und beim Logout bzw. bei Kontolöschung sofort entfernt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und performanten Betrieb).
  • Sicherheits-Verstoßmeldungen (Content-Security-Policy): Dein Browser sendet automatisch eine Meldung, wenn eine Seitenkomponente gegen unsere Sicherheitsrichtlinien verstößt (z. B. bei einem blockierten Script). Die Meldung enthält die aufgerufene URL, die verletzte Richtlinie, ggf. Quelldatei mit Zeilennummer sowie den User-Agent und die IP-Adresse deiner Anfrage. Diese Meldungen werden kurzfristig in den Server-Logs gespeichert und ausschließlich zur Erkennung von Angriffsversuchen und Fehlern ausgewertet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).
  • Push-Benachrichtigungen (optional, Drittlandübermittlung): Wenn du Push-Benachrichtigungen in den Einstellungen aktivierst, speichern wir pro registriertem Gerät eine Push-Adresse (Endpoint des Push-Dienstes deines Browser-Herstellers), zwei Kryptoschlüssel (p256dh/auth) zur Ende-zu-Ende-Verschlüsselung nach RFC 8291 sowie den User-Agent-String deines Browsers zur Anzeige im Geräte-Manager. Wir senden Benachrichtigungen ausschließlich für Ereignisse, die dich direkt betreffen (Battle-Herausforderungen, neue Chat-Nachrichten, Freundschaftsanfragen, gestartete Challenges, Admin-Broadcasts).

    Empfängerkette und Drittlandübermittlung: Die Zustellung erfolgt zwingend über den Push-Dienst deines Browser-Herstellers, der vom Gerätehersteller vorgegeben ist:
    • Chrome / Edge / Android: Google Firebase Cloud Messaging (FCM), Google LLC, USA
    • Safari / iOS / iPadOS: Apple Push Notification Service (APNs), Apple Inc., USA
    • Firefox: Mozilla autopush, Mozilla Corporation, USA
    Der eigentliche Inhalt (Titel, Text, Deep-Link) ist Ende-zu-Ende verschlüsselt und kann von diesen Diensten nicht gelesen werden. Übermittelt werden allerdings zwangsläufig technische Metadaten: die Geräte-Endpoint-URL, der Zeitpunkt der Zustellung und die Größe der verschlüsselten Payload. Dies stellt eine Übermittlung in ein Drittland (USA) i. S. v. Art. 44 ff. DSGVO dar.

    Rechtsgrundlage des Drittlandtransfers: Google LLC, Apple Inc. und Mozilla sind nach dem EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023) zertifiziert. Die Übermittlung erfolgt auf Basis Art. 45 DSGVO (Angemessenheitsbeschluss) i. V. m. deiner ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a und Art. 49 Abs. 1 lit. a DSGVO. Sollte der Angemessenheitsbeschluss widerrufen werden, gelten ergänzend die Standardvertragsklauseln (SCC) der Europäischen Kommission.

    Widerruf: Du kannst die Aktivierung jederzeit in den Einstellungen mit Wirkung für die Zukunft widerrufen. Dabei werden alle gespeicherten Push-Daten (Endpoints, Schlüssel, offene In-App-Benachrichtigungen) sofort gelöscht und es werden keine weiteren Nachrichten an deine Geräte gesendet. Der Widerruf ist gleichwertig zum Deaktivieren der Benachrichtigungen in den Geräteeinstellungen deines Browsers.
  • In-App-Benachrichtigungen: Unabhängig von Push speichern wir In-App-Benachrichtigungen (Titel, Text, Link, Zeitstempel, Lese-Status) in unserer Datenbank, damit du sie über die Glocke im Header nachlesen kannst. Gelesene Benachrichtigungen werden nach 90 Tagen automatisch gelöscht, ungelesene nach 180 Tagen.

4. Rechtsgrundlage

Die Verarbeitung deiner personenbezogenen Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Akzeptieren dieser Datenschutzerklärung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Durchführung interner Schulungsmaßnahmen und der Förderung des Wissenstransfers).

5. Zweck der Datenverarbeitung

Die erhobenen Daten werden ausschließlich für folgende Zwecke verwendet:

  • Bereitstellung und Betrieb des Quiz- und Lernsystems
  • Authentifizierung und Verwaltung von Benutzerkonten
  • Auswertung des Lernfortschritts und der Wissensstanderhebung
  • Erstellung von Ranglisten und Vergabe von Auszeichnungen (Gamification)
  • Statistische Auswertungen zur Verbesserung der Schulungsinhalte
  • Team- und filialübergreifende Performance-Vergleiche
  • Ermöglichung der Kommunikation zwischen Nutzern (Chat, Battles)

Automatisierte Profilbildung (Art. 22 DSGVO): Aus deinen Antworten wird automatisiert ein Lernprofil abgeleitet (Skill-Level, Rank/Tier, Ranglistenplatz, Schwächen-Analyse). Dieses Profil dient ausschließlich der Lernmotivation und der Verbesserung deines persönlichen Lernfortschritts. Es wird nichtfür personalrelevante Entscheidungen (Vertragsverlängerung, Beurteilung, Vergütung, Beförderung) herangezogen. Du hast jederzeit das Recht, der automatisierten Profilbildung gemäß Art. 21 DSGVO zu widersprechen, indem du deine Einwilligung in den Einstellungen widerrufst.

6. Spieleportal

Über das MitarbeiterQuiz kannst du auf das externe Spieleportal zugreifen, das auf demselben Server gehostet wird. Das Spieleportal öffnet sich in einem neuen Tab und ist auch ohne Anmeldung öffentlich zugänglich. Dort werden mehrere Minispiele angeboten (aktuell SunHunter und SunRacer77), die gemeinsam dieselbe Highscore-Infrastruktur nutzen.

  • Highscore-Daten: Freiwillige Eingabe eines Spielernamens (max. 15 Zeichen); pro Spiel gespeichert werden Punktzahl bzw. Distanz, je nach Spiel zusätzlich Level oder Trefferquote, sowie das Eintragungsdatum — öffentlich einsehbar, maximal 10 Einträge pro Spiel
  • Lokale Daten: Spielbezogene Einstellungen (z. B. Lautstärke), zuletzt verwendeter Spielername und offline gepufferte Highscore-Einträge werden ausschließlich lokal im Browser gespeichert (localStorage)
  • Keine Verknüpfung: Es findet keine Verknüpfung zwischen deinem MitarbeiterQuiz-Konto und den Spieleportal-Daten statt

Das Spieleportal verwendet keine Cookies, kein Tracking und keine externen Dienste. Jedes Spiel verfügt über ein eigenes Impressum und eine eigene Datenschutzerklärung.

7. Cookies und Sessions

Diese Plattform verwendet ausschließlich technisch notwendige Session-Cookies zur Authentifizierung und Aufrechterhaltung deiner Sitzung. Es werden keine Tracking-Cookies, Analyse-Tools oder Werbe-Cookies eingesetzt. Die Session-Cookies werden nach 48 Stunden automatisch ungültig.

8. Speicherung, Sicherheit und Drittlandübermittlung

Alle Stamm-, Nutzungs- und Kommunikationsdaten werden auf Servern in Deutschland gespeichert, die von Jens Everhardt betrieben und bei der Hetzner Online GmbH (Gunzenhausen, Deutschland) gehostet werden. Hetzner fungiert als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die Übertragung zwischen Browser und Server erfolgt ausschließlich verschlüsselt (TLS). Der Zugriff auf personenbezogene Daten ist auf autorisierte Personen (Administratoren und Teamleitungen im Rahmen ihrer Zuständigkeit) beschränkt.

Drittlandübermittlung: Die Kernanwendung (Datenbank, Quiz, Battles, Chat, In-App-Benachrichtigungen) verarbeitet deine Daten ausschließlich auf Servern in Deutschland. Eine Drittlandübermittlung findet ausschließlich dann statt, wenn du den optionalen Push-Benachrichtigungs-Dienst aktivierst — in diesem Fall werden die in Abschnitt 3beschriebenen verschlüsselten Push-Payloads über den Push-Dienst deines Browser-Herstellers (Google FCM, Apple APNs, Mozilla autopush) zugestellt. Diese Dienste sind in den USA ansässig und nach dem EU-US Data Privacy Framework zertifiziert. Ausführliche Informationen zu Rechtsgrundlagen und Empfängerkette findest du in Abschnitt 3 („Push-Benachrichtigungen“).

Eine Weitergabe an sonstige Dritte findet nicht statt. Deine Quiz-, Chat- und Lernergebnisse werden zu keiner Zeit in ein Drittland übermittelt.

9. Sicherheitsmonitoring

Zum Schutz dieses Systems vor unbefugtem Zugriff, Missbrauch und Angriffen protokollieren wir sicherheitsrelevante Ereignisse (z. B. Anmeldeversuche, Zugriffe auf den Admin-Bereich, Web-Requests). Verarbeitet werden dabei: IP-Adresse, E-Mail-Adresse (nur für Login-Events), Zeitstempel, User-Agent, Ereignistyp.

Rechtsgrundlage:Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Netz- und Informationssicherheit, Erwägungsgrund 49).

Aufbewahrungsdauer:Sicherheitsereignisse werden nach 90 Tagen gelöscht. Web-Zugriffsprotokolle nach 7 Tagen.

Security-Alerts an den Betreiber (Drittlandübermittlung): Bei erkannten Sicherheitsvorfällen (z. B. SSH-Brute-Force, Login-Missbrauch, Scanner/Exploit-Probes) sendet der Monitor einen Alarm an den Betreiber über die Telegram-Bot-API. Übertragen werden ausschließlich maskierte IP-Adressen (letztes Oktett bzw. letzte 80 Bit entfernt), Ereignis-Typ, Ländercode (aus Offline-GeoIP), Zeitstempel und technische Metadaten (HTTP-Status, Pfad-Präfix).Keine E-Mail-Adressen, keine User-IDs, keine Klartext-IPs, keine Inhalte deiner Aktivitäten.Telegram FZ-LLC sitzt in Dubai (Vereinigte Arabische Emirate) — einem Drittland ohne Angemessenheitsbeschluss. Da Telegram für die Bot-API keine Standardvertragsklauseln anbietet, stützt sich die Übermittlung auf Art. 49 Abs. 1 lit. f DSGVO (wichtige Gründe des öffentlichen Interesses an IT-Sicherheit) i. V. m. Art. 6 Abs. 1 lit. f DSGVO sowie konsequenter Datenminimierung durch die IP-Maskierung. Die Übermittlung erfolgt ausschließlich ereignisgetrieben bei konkretem Sicherheitsvorfall, kein Dauer- oder Bulk-Transfer. Typische Betroffene sind unbekannte Dritte (Angreifer, Scanner), nicht die angemeldeten Mitarbeitenden.

An darüber hinausgehende Dritte werden die Sicherheitsereignisse nicht weitergegeben. Geographische Zuordnungen werden ausschließlich lokal auf Basis einer Offline-Datenbank (DB-IP Lite) ermittelt.

10. Deine Rechte

Du hast gemäß DSGVO jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO) über die zu deiner Person gespeicherten Daten
  • Berichtigung (Art. 16 DSGVO) unrichtiger Daten
  • Löschung (Art. 17 DSGVO) deiner Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) — Erhalt deiner Daten in einem gängigen, maschinenlesbaren Format
  • Widerspruch (Art. 21 DSGVO) gegen die Verarbeitung deiner Daten
  • Widerruf deiner Einwilligung jederzeit mit Wirkung für die Zukunft

Du kannst diese Rechte direkt in den Einstellungen der App ausüben (Datenexport, Profilbearbeitung, Einwilligungswiderruf, Kontolöschung) oder dich an Jens@Everhardt.de wenden.

11. Beschwerderecht

Dir steht gemäß Art. 77 DSGVO das Recht zu, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für Nordrhein-Westfalen zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44, 40102 Düsseldorf
www.ldi.nrw.de

12. Aufbewahrungsdauer

Deine Daten werden für die Dauer deiner Nutzung des Systems gespeichert. Nach Beendigung der Nutzung oder auf deinen Wunsch hin werden deine personenbezogenen Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Anonymisierte, statistische Daten können darüber hinaus erhalten bleiben.

Im Detail gelten folgende Aufbewahrungsfristen:

  • Chat-Nachrichten: Automatische Löschung nach 12 Monaten
  • Sessions: Automatisches Ablaufen nach 48 Stunden (2 Stunden Inaktivität)
  • Audit-Protokolle: Aufbewahrung für 24 Monate, danach automatische Löschung
  • Abgelehnte Freundschaftsanfragen: Automatische Löschung nach 30 Tagen
  • Quiz-Antwort-Rohdaten: Automatische Löschung nach 24 Monaten; aggregierte Scores bis zur Kontolöschung
  • In-App-Benachrichtigungen: Gelesene nach 90 Tagen, ungelesene nach 180 Tagen
  • Push-Geräte-Registrierungen: Automatische Abmeldung nach 180 Tagen Inaktivität oder bei Fehler vom Push-Dienst
  • Quiz- und Spielergebnisse: Bis zur Kontolöschung

13. Änderungen

Diese Datenschutzerklärung kann bei Bedarf aktualisiert werden. Über wesentliche Änderungen wirst du informiert und gegebenenfalls um eine erneute Zustimmung gebeten.

Stand: 23. April 2026 · Version 11

Zur Startseite