Datenschutzerklärung (nDSG)

1. Verantwortliche Stelle

hagmann internet agentur gmbh

Muracher 5

CH-6235 Winikon

E-Mail: info@hagmann.io

Website: hagmann.io

2. Geltungsbereich

Diese Erklärung gilt für die öffentliche Website (Marketing) und für die Lernplattform Learnica (Kurse, Klassen, Dashboard, Admin-Bereich), soweit von uns betrieben. Personendaten bearbeiten wir im Einklang mit dem revidierten Schweizer Datenschutzgesetz (nDSG). Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.

3. Welche Personendaten wir bearbeiten

Nachfolgend die für Learnica typischen Kategorien. Zusätzlich zur plattforminternen Nutzungsmessung (Lernfortschritt, Heartbeats, siehe unten) setzen wir auf der Marketing-Website und der Lernplattform Google Tag Manager und Google Analytics 4 (GA4) für Webstatistik ein (Details unter Abschnitt 3.8).

3.1 Konto, Anmeldung und Sicherheit

• Stammdaten: E-Mail-Adresse, Anzeigename, Rolle (z. B. Lernende Person, Admin), optional Profilbild (URL oder Referenz).
• Zugangsdaten: bei Login mit Kennwort: sicher gespeicherte Kennwort-Hashes (kein Klartext). Bei Anmeldung über Drittanbieter (z. B. Google oder GitHub): von diesen Anbietern übermittelte Identifikatoren und, soweit technisch nötig, Tokens zur Aufrechterhaltung der Sitzung.
• E-Mail-Bestätigung und Sicherheitscodes: Versand von Einmal-Codes (OTP) und Verifikationsdaten zur Absicherung des Kontos.
• Sitzungen: Sitzungs-Token in Cookies (soweit konfiguriert mit HttpOnly und restriktiven SameSite-Attributen), zugehörige Sitzungsdaten in der Datenbank; optional gespeicherte IP-Adresse und User-Agent der Sitzung zur Sicherheit und Missbrauchsprävention.
• Zwei-Faktor-Authentifizierung (2FA): technische Geheimnisse und Backup-Codes zur Prüfung des zweiten Faktors.
• Passkeys (WebAuthn): kryptografische Schlüsselmaterialien und Geräte-Metadaten (z. B. Kennung des Zugangs, Gerätetyp), die zur passwortlosen Anmeldung erforderlich sind.

3.2 Organisation, Klassen und Kurse (Mandanten)

• Zuordnung zu Mandanten (z. B. Schulen/Organisationen), Klassen und Kursen über Einschreibungen und Gutschein-Codes (Voucher).
• Technisches Cookie für den aktiven Mandanten (Slug), damit Inhalte und Berechtigungen korrekt geladen werden (soweit HttpOnly und mit restriktiven Attributen gesetzt).
• Sichtbarkeit von Lernaktivität und Fortschritt für Lehrpersonen und Administrationsrollen innerhalb desselben organisatorischen Kontexts (Klassen- und Kurslogik).

3.3 Lernfortschritt, Gamification und Inhalte

• Fortschritt: erledigte Seiten und Quizze, Freischaltungen, Abzeichen (Badges), aggregierte Aktivität pro Tag (z. B. für Streaks/Übersichten), Level und Erfahrungspunkte (XP).
• Einschätzungen und Prüfungen: Antworten und Ergebnisse zu Skill-Radar-Fragebögen, Lern-Quizversuchen inkl. gewählter Antworten, Musterprüfungen inkl. Punktestände und Bearbeitungsstand.
• Klassen-Q&A und Feedback: von Ihnen erfasste Fragen, Antworten, Kommentare und Sterne-Bewertungen zu Kursseiten (inkl. Zuordnung zu Seite/Klasse).
• Glossar / Skill-Terms: welche Begriffe Sie im Radar als bekannt markiert haben.

3.4 Nutzungs- und Präsenzsignale (Lernplattform)

• Ereignisprotokoll: typisierte Ereignisse wie Anmeldung, Gutschein-Einlösung, geöffnete Kurse/Seiten, abgeschlossene Seiten, abgegebene Quizze und Bewertungen, freigeschaltete Abzeichen sowie administrative XP-Anpassungen, inklusive technischer Kontextfelder (z. B. Seitenpfad, Seitentyp, Klassen- und Kurs-IDs, optionale Zusatzangaben in Textform).
• Heartbeats (Präsenz/Aktivität): in regelmässigen Abständen, solange die Lernoberfläche sichtbar ist: Speicherung, auf welcher Seite Sie sich befinden, ob die Nutzung als passiv sichtbar oder innerhalb eines kurzen Fensters als aktiv gewertet wird, sowie eine technische Sitzungskennung pro Browser-Tab (zufällige ID, kein Geräte-Fingerprinting durch Dritte).

3.5 Kommunikation per E-Mail

• Versand von Transaktions-E-Mails (z. B. Bestätigungscodes, Kennwort zurücksetzen, kontobezogene Hinweise) über einen E-Mail-Auftragsbearbeiter; Inhalte enthalten die für den jeweiligen Vorgang nötigen personenbezogenen Angaben (insbesondere E-Mail-Adresse und Anrede/Name).

3.6 Website (Marketing) und allgemeiner Besuch

• Bei rein informatorischer Nutzung der Website: wie üblich Server- und Verbindungsdaten (z. B. Zeitstempel, angefragte Ressource, IP-Adresse, User-Agent) in Logs des Hostings, soweit für Betrieb und Sicherheit erforderlich.
• Kontaktaufnahmen per E-Mail oder Formular: Inhalt der Nachricht und Metadaten zur Bearbeitung.

3.7 Betrieb, Support und Protokolle

• Audit-Log: protokollierte Vorgänge mit Bezug zu Nutzerkonten oder Verwaltungsaktionen (Aktion, Ziel, Zeitpunkt, optional Kurz-Metadaten).
• Fehlerprotokolle: technische Meldungen zur Fehleranalyse; je nach Vorfall können inhaltliche oder variable Anfragedaten in begrenztem Umfang mitprotokolliert werden.

3.8 Webanalyse (Google Tag Manager und Google Analytics 4)

• Google Tag Manager (GTM): Wir binden den Google Tag Manager (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland; Muttergesellschaft: Google LLC, USA) ein. Über GTM können Mess-Pixel und Skripte gesteuert werden. Dabei werden typischerweise Cookies oder vergleichbare Kennungen, IP-Adressen (ggf. gekürzt), Browser- und Geräteinformationen sowie ein clientseitiges Datenobjekt (dataLayer) mit Ereignisdaten verarbeitet.
• Google Analytics 4 (GA4): Über GTM und/oder ein separates gtag.js-Snippet (Mess-ID G-…) werten wir Nutzungsstatistiken aus (z. B. Seitenaufrufe, Verweildauer, Scroll- und Klick-Ereignisse, technische Fehlerseiten, ungefähre Region). Die Auswertung erfolgt pseudonym; eine direkte Identifikation Ihrer Person ist in der Regel nicht beabsichtigt, kann aber nicht in jedem Einzelfall ausgeschlossen werden, wenn Sie angemeldet sind oder Daten zusammenlaufen.
• Zweck: Reichweitenmessung, Verbesserung von Inhalten und Funktionen, Fehleranalyse auf öffentlichen Seiten.
• Widerspruch / Einstellungen: Sie können Cookies in Ihrem Browser einschränken oder löschen und Werbe- und Personalisierungseinstellungen bei Google anpassen (Google Werbeeinstellungen). Weitere Informationen finden Sie in der Datenschutzerklärung von Google.

4. Zwecke der Bearbeitung

• Bereitstellung und Absicherung der Lernplattform (Konto, Login, Mandanten, Berechtigungen)
• Durchführung und Nachweis von Unterricht, Kurszugriffen und Leistungsüberprüfungen
• Anzeige von Fortschritt, Gamification und Klassenübersichten für berechtigte Rollen
• Qualitätssicherung, Stabilität, IT-Sicherheit und Missbrauchsprävention
• Webstatistik und Reichweitenmessung (Google Tag Manager, Google Analytics 4)
• Erfüllung gesetzlicher Pflichten und Bearbeitung von Anfragen

5. Weitergabe an Dritte

Wir geben Personendaten nur weiter, wenn dies zur Leistungserbringung notwendig ist, eine rechtliche Verpflichtung besteht oder Sie eingewilligt haben. Insbesondere können Hosting- und Infrastrukturdienstleister, E-Mail-Versand-Dienstleister, bei Social Login die genannten Identitätsanbieter (z. B. Google, GitHub) sowie Google im Rahmen von Google Tag Manager und Google Analytics betroffen sein. Mit Auftragsbearbeitern werden geeignete Datenschutzvereinbarungen getroffen, soweit erforderlich.

6. Datenbearbeitung im Ausland

Sofern Daten in Staaten ohne anerkanntes Datenschutzniveau bearbeitet werden (z. B. durch Hosting, OAuth-Anbieter oder Google mit Sitz in den USA), stellen wir den Schutz durch geeignete Garantien sicher, soweit das Gesetz dies verlangt (z. B. Standardvertragsklauseln oder vergleichbare Massnahmen).

7. Aufbewahrungsdauer

Wir speichern Personendaten nur so lange, wie es für die genannten Zwecke notwendig ist oder gesetzliche Aufbewahrungspflichten bestehen. Protokolle und technische Logs werden regelmässig eingeschränkt oder gelöscht, sobald sie nicht mehr benötigt werden.

8. Cookies und ähnliche Technologien

• Sitzungs-Cookies für die Anmeldung (Learnica / Better Auth), in der Regel mit sicherheitsorientierten Attributen.
• Funktions-Cookies für den gewählten Mandanten (Organisationskontext) und ggf. kurzlebige Hilfs-Cookies für die Oberfläche (z. B. einmalige Hinweise).
• Analyse-Cookies und Speicher durch Google Tag Manager / Google Analytics 4 (z. B. _ga, _ga_*, _gid oder vergleichbare Kennungen), abhängig von Ihrer Konfiguration und Einwilligung.
• Die Lernoberfläche kann sessionStorage für rein technische Abläufe (z. B. einmalige OTP-Hilfen auf der Auth-Seite) nutzen — nicht zur Speicherung von Kennwörtern oder dauerhafter Profilerstellung.

Sie können Cookies in Ihrem Browser einschränken oder löschen; ohne erforderliche Sitzungs-Cookies ist die Anmeldung bei Learnica jedoch nicht möglich.

9. Datensicherheit

Wir setzen angemessene technische und organisatorische Massnahmen ein (z. B. verschlüsselte Transportwege, Zugriffsbeschränkungen, Protokollierung), um Personendaten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen.

10. Ihre Rechte

Im Rahmen des anwendbaren Rechts haben Sie insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Bearbeitung sowie auf Herausgabe oder Übertragung Ihrer Daten, soweit vorgesehen. Einwilligungen können Sie mit Wirkung für die Zukunft widerrufen. Hinweis: Einzelne Daten können wir aufbewahren, soweit ein überwiegendes Interesse (z. B. Beweisführung, Rechtsansprüche) oder gesetzliche Pflichten entgegenstehen.

11. Kontakt bei Datenschutzanliegen

Für Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte erreichen Sie uns unter info@hagmann.io.

12. Anpassungen dieser Erklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich Funktionen oder Rechtslage ändern. Es gilt die auf dieser Seite veröffentlichte Fassung.