Datenschutz bei Miralearn

Privacy by Design - Datenschutz ist von Beginn an in die Plattform integriert.

Mira Learning Lab GmbH

Kirchgasse 3
8560 Märstetten, Schweiz

Kontakt:
datenschutz@miralearn.com

Stand: 17. November 2025

1. Grundsätze

Wir entwickeln Miralearn nach dem Prinzip Privacy by Design – Datenschutz ist von Beginn an in die Plattform integriert. Wir sammeln nur Daten, die für den Schulbetrieb notwendig sind.

Diese Datenschutzerklärung gilt nach Schweizerischem Datenschutzgesetz (nDSG) und EU-Datenschutz-Grundverordnung (DSGVO).

Verantwortlichkeit

Ihre Schule = Verantwortlicher (Data Controller)
Die Schule bestimmt, welche Daten verarbeitet werden und zu welchem Zweck.

Miralearn = Auftragsverarbeiter (Data Processor)
Wir verarbeiten die Daten ausschliesslich im Auftrag Ihrer Schule.

Mit jeder Schule schliessen wir einen Auftragsverarbeitungsvertrag (AVV) ab.

2. Welche Daten werden verarbeitet?

2.1 Bei Registrierung der Schule

Verarbeitete Daten:

  • Name der Schule
  • Kontaktdaten (E-Mail, Telefon)
  • Name des Administrators
  • Anzahl Sitze (Lehrpersonen)

Zweck: Vertragsabwicklung
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

2.2 Bei Nutzung durch Lehrpersonen

Verarbeitete Daten:

  • Name, E-Mail-Adresse
  • Passwort (verschlüsselt)
  • Profilbild (optional)
  • Erstellte Inhalte (Lernlandkarten, Aufgaben, Lernmaterialien)
  • Beobachtungen und Notizen zu Lernenden
  • Klassenzuordnungen

Zweck: Bereitstellung der Plattform
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

2.3 Bei Nutzung durch Schülerinnen und Schüler

Die Schule bestimmt, welche Identifikatoren verwendet werden (Vorname, Pseudonym, Nummer, etc.).

Verarbeitete Daten:

  • Namensfeld/Identifikator
  • Lernaktivitäten und Fortschritte
  • Selbstreflexionen und persönliche Lernziele
  • Zuordnung zu Klassen und Lernmaterialien

Zweck: Lernbegleitung
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Empfehlung: Wir empfehlen die Verwendung von Pseudonymen statt vollständigen Namen.

2.4 Upload von Lernprodukten

Schülerinnen und Schüler können Lernprodukte hochladen (Fotos, Audio- und Videoaufnahmen).

Beispiele: Fotos von Experimenten oder Zeichnungen, Audioaufnahmen beim Vorlesen, Videos von Präsentationen

Zugriff: Nur die zugeordnete Lehrperson und das Kind selbst (via QR-Code + Passwort)

Rechtsgrundlage: Einwilligung der Erziehungsberechtigten

Wichtig: Wir analysieren die Dateien nicht. Keine Gesichtserkennung, keine Stimmanalyse.

2.5 Einbindung von Drittinhalten

Lehrpersonen können externe Inhalte in Lernaufgaben einbinden (z.B. YouTube-Videos, Links zu Websites, eingebettete Inhalte von Drittanbietern).

Wichtig: Diese Inhalte werden von Dritten bereitgestellt, auf die wir keinen Einfluss haben. Wenn externe Inhalte aufgerufen werden, können die jeweiligen Anbieter Daten erfassen (z.B. IP-Adressen).

Verantwortung: Die Lehrperson ist dafür verantwortlich, beim Einbinden externer Dienste auf die Einhaltung des Datenschutzes zu achten.

2.6 Besonderer Schutz von Kinderdaten

Datenminimierung: Wir verarbeiten nur die notwendigen Daten:

  • Identifikator (nach Wahl der Schule)
  • Lernfortschritte
  • Zuordnung zu Lernlandkarten

Wir verzichten bewusst auf Geburtsdaten oder Standortinformationen von Schülerinnen und Schülern.

Einwilligung der Eltern:

Die Schule ist dafür zuständig, die Erlaubnis der Eltern einzuholen, soweit erforderlich. In der Schweiz und der EU gilt: Ab 16 Jahren kann das Kind selbst einwilligen. Unter 16 Jahren ist die Erlaubnis der Eltern erforderlich.

Miralearn stellt Muster-Einwilligungserklärungen zur Verfügung.

Keine automatisierten Entscheidungen: Miralearn verzichtet bewusst auf automatisierte Vorhersagen, Bewertungen oder Entscheidungen auf Basis der auf der Plattform erhobenen Daten. Die Auswertung und Interpretation der Daten sowie darauf beruhende pädagogische Entscheidungen liegen ausschliesslich in der Verantwortung der jeweiligen Lehrpersonen.

3. Hosting und Dienstleister

Mit allen Dienstleistern haben wir Data Processing Agreements (DPA) abgeschlossen.

Datenbank und Speicherung:

  • Anbieter: Supabase (nutzt AWS-Infrastruktur)
  • Standort: Zürich, Schweiz (alle Daten bleiben in der Schweiz)

Website:

  • Anbieter: Vercel
  • Standort: Primär Zürich, Schweiz

E-Mail-Versand:

  • Anbieter: Resend
  • Standort: Irland
  • Zweck: Transaktions-E-Mails (Registrierung, Passwort-Reset)
  • Garantien: EU-Serverstandort, DSGVO-konform

Rechnungen:

  • Anbieter: Bexio (Schweiz)
  • Zweck: Rechnungsstellung

Kundenbetreuung:

  • Anbieter: Brevo (Sendinblue GmbH)
  • Standort: Frankreich (EU)
  • Zweck: CRM für Kundenbetreuung, Support und E-Mail-Marketing
  • Garantien: EU-Serverstandort, DSGVO-konform
  • Verarbeitete Daten: Kontaktdaten bei Registrierung (E-Mail, Name, Schulangaben)
  • Rechtsgrundlage: Berechtigtes Interesse an effektiver Kundenbetreuung (Art. 6 Abs. 1 lit. f DSGVO)
  • Widerspruchsrecht: Sie können der Nutzung Ihrer Daten für Marketingzwecke jederzeit widersprechen

4. Cookies

Wir verwenden ausschliesslich technisch notwendige Session-Cookies für:

  • Login und Authentifizierung
  • Session-Management

Diese Cookies werden beim Schliessen des Browsers gelöscht.

Keine Tracking-Cookies: Wir setzen bewusst keine Analytics oder andere Tracking-Tools auf der Lernplattform ein.

5. Sicherheit

Technische Massnahmen:

  • SSL/TLS-Verschlüsselung für die gesamte Plattform
  • Verschlüsselte Passwörter
  • Tägliche Backups (verschlüsselt)
  • Zugriffsbeschränkungen

Backups:

  • Tägliche automatisierte Backups, verschlüsselt
  • Aufbewahrung: Täglich 7 Tage, Wöchentlich 4 Wochen, Monatlich 3 Monate
  • Gelöschte Daten werden auch aus Backups entfernt (kann bis zu 90 Tage dauern)

6. Speicherdauer

  • Schul-Registrierung: Vertragslaufzeit + 10 Jahre (gesetzliche Aufbewahrungspflicht)
  • Lehrpersonen-Daten: Bis zur Löschung durch Administrator oder 2 Jahre nach letzter Nutzung
  • Schüler-Daten: Bis zur Löschung durch die Schule oder 2 Jahre nach letzter Nutzung
  • Hochgeladene Medien (Fotos, Audio, Video): Werden zusammen mit dem Kinderkonto gelöscht
  • Nach Vertragsende: Alle personenbezogenen Daten werden innerhalb von 30 Tagen vollständig gelöscht
  • Rechnungsdaten: 10 Jahre (gesetzliche Pflicht)

7. Ihre Rechte

Sie haben das Recht auf:

  • Auskunft über Ihre gespeicherten Daten
  • Berichtigung unrichtiger Daten
  • Löschung Ihrer Daten
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Export als JSON/CSV)
  • Widerruf Ihrer Einwilligung
  • Beschwerde bei einer Datenschutzbehörde

Datenexport

Jederzeit möglich über: datenschutz@miralearn.com
Bearbeitungszeit: 5-10 Werktage
Format: JSON oder CSV

Löschung

Sofortige Löschung durch Administrator:

  • Einzelne Schülerprofile löschen
  • Klassen löschen
  • Lehrpersonen entfernen
  • Gesamten Workspace löschen

Die Löschung ist unwiderruflich.

Reaktionszeit

Wir beantworten Anfragen innerhalb von 30 Tagen.

Für Anfragen zu Schülerdaten: Bitte wenden Sie sich an Ihre Schule. Die Schule ist als Verantwortlicher für die Bearbeitung von Anfragen zuständig.

Kontakt:
E-Mail: datenschutz@miralearn.com
Telefon: +41 71 539 17 39

8. Weitergabe von Daten

Wir geben Ihre Daten nicht an Dritte weiter, ausser:

  • An Auftragsverarbeiter (siehe Punkt 3)
  • Bei gesetzlicher Verpflichtung
  • Mit Ihrer ausdrücklichen Einwilligung

Wir verkaufen keine Daten.

9. Datenschutzbehörden

Bei Beschwerden können Sie sich an folgende Stellen wenden:

Schweiz:
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1, 3003 Bern
edoeb.admin.ch

Deutschland:
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
bfdi.bund.de

Österreich:
Österreichische Datenschutzbehörde
dsb.gv.at

Liechtenstein:
Datenschutzstelle Liechtenstein
datenschutzstelle.li

10. Änderungen

Wir können diese Datenschutzerklärung anpassen, um sie an geänderte Rechtsverhältnisse oder technische Gegebenheiten anzupassen.

Bei wesentlichen Änderungen informieren wir die Schulen per E-Mail.

Die aktuelle Fassung finden Sie immer in der Plattform.