Datenschutzerklärung

Hallo, ich bin Daniel Meyer und betreibe die Taskly Schul-App. Die App ist ein Schulprojekt und soll den Alltag einfacher machen, ohne deine Daten unnötig auszuschlachten. Hier erkläre ich dir, welche Daten anfallen, wie sie verarbeitet werden und wofür ich sie nutze.

1) Verantwortlicher

Daniel Meyer
E-Mail: kontakt@taskly.page

2) Welche Daten die App verarbeitet

• Account-Daten: Name, Anmeldename (Loginname), Passwort in Form eines Passwort-Hashes (Passwort wird nie im Klartext gespeichert).
• Optionale Untis-Daten im Profil: hinterlegte Untis-Instanz (Host), Schule und Untis-Benutzername (Passwort verschlüsselt, nicht im Klartext in der Datenbank).
• Kurslisten: von dir gewählte Gruppen und Fächer (werden im Klartext gespeichert).
• Hausaufgaben: Titel, Fach, Beschreibung, Fälligkeitsdatum und Status (erledigt oder aktiv) (werden im Klartext gespeichert, bitte keine sensiblen Inhalte eintragen).
• Nutzungsdaten und technische Protokolle: Zeitpunkt von Anfragen, angefragte Routen der API, Statuscodes, eine zufällige Geräte-ID sowie die IP-Adresse im Server-Log (nur für Betrieb, Stabilität und eigene Statistik, keine Werbung).

3) Untis – so funktioniert die Anbindung

• Speicherung der Untis-Zugangsdaten: Wenn du deine Untis-Zugangsdaten direkt in Taskly hinterlegst, werden Host, Schule, Benutzername und Passwort in einem Datenpaket gespeichert. Dieses Paket wird mit einem starken Verfahren (AES 256 GCM) verschlüsselt, der Schlüssel wird aus einem geheimen Server-Secret abgeleitet. In der Datenbank liegt dein Untis-Passwort daher nur in verschlüsselter Form.
• Zusätzliche Klartextfelder: Host, Schule und Untis-Benutzername werden zusätzlich im Klartext gespeichert, damit die App dir z. B. anzeigen kann, ob Untis in deinem Profil hinterlegt ist. Das Untis-Passwort selbst liegt nur verschlüsselt vor.
• Direktaufruf ohne Speicherung: Bei der älteren / technischen Schnittstelle /api/get kannst du Untis-Daten einmalig mitsenden, ohne sie im Profil zu speichern. Diese Zugangsdaten werden nur für diese Anfrage genutzt und danach verworfen.
• Kein Credential-Logging: Untis-Zugangsdaten werden in den Server-Logs nicht protokolliert.
• Zwischenspeicherung von Stundenplandaten: Um Untis nicht zu überlasten und die App flüssig zu halten, werden nur die Stundenplandaten (also Unterrichtseinträge, nicht deine Zugangsdaten) für etwa 60 Sekunden im Arbeitsspeicher des Servers zwischengespeichert. Danach laufen sie ab und werden verworfen.
• AI-Wecker: Wenn du den optionalen AI-Wecker nutzt, wird dein Stundenplan für heute und morgen abgerufen und automatisch ausgewertet (z. B. nächste Stunde, entfallende Stunden). Das Ergebnis ist ein Text bzw. maschinenlesbare Daten, die nur für diesen Zweck genutzt werden.
• Admin-Zugriff auf Untis-Daten: Für Wartung und Support existiert ein passwortgeschützter Adminbereich. Dort können Untis-Daten einzelnen Accounts zugeordnet, geprüft oder aktualisiert werden. Auf das verschlüsselte Passwort kann in Ausnahmefällen im Klartext zugegriffen werden, zum Beispiel wenn ein Nutzer explizit Unterstützung anfragt. Es gibt keine automatische Weitergabe dieser Daten an Dritte.
• Haftung für Untis-Zugänge: Taskly ist ein technischer Durchleiter zu deinem Untis-Konto. Für Vorgänge direkt in Untis, die außerhalb der Nutzung dieser App stattfinden, kann ich keine Verantwortung übernehmen.

4) Cookies und lokale Speicherung

• Geräte-ID-Cookie: Beim Aufruf der API wird ein Cookie mit einer zufälligen Geräte-ID (did) gesetzt. Dieser Cookie hilft mir, tägliche aktive Geräte zu zählen und grundlegende Nutzungsstatistiken zu erzeugen (eigene Statistik, keine Drittanbieter). Der Cookie ist an die Taskly-Domain gebunden und bleibt bis zu etwa 400 Tage auf deinem Gerät, sofern du ihn nicht selbst löschst.
• Admin-Session-Cookie: Für den internen Adminbereich wird zusätzlich ein eigenes Session-Cookie gesetzt, der nur im Adminbereich gilt und nicht für Nutzer sichtbar ist.
• JWT-Token im Client: Für deine Anmeldung erzeugt der Server ein signiertes Token, das im Client (z. B. im Local Storage oder in einem sicheren Speicher des Browsers) liegt. Dieses Token wird bei API-Aufrufen mitgesendet, damit die App deinen Account zuordnen kann.

5) Wie deine Daten gespeichert und geschützt werden

• Passwortschutz: Deine App-Passwörter werden mit Salt und dem Verfahren scrypt sicher gehasht. Selbst wenn jemand an die Datenbank käme, könnte das Passwort nicht einfach ausgelesen werden.
• PIN und Legacy-Logins: Ältere Accounts mit PIN-Login werden nach und nach auf das neue Passwortsystem umgestellt. Alte PIN-Werte werden nur gehasht gespeichert und bei einer Passwortänderung entfernt.
• Verschlüsselung der Untis-Zugangsdaten: Die Kombination aus Host, Schule, Benutzername und Untis-Passwort wird in einem verschlüsselten Datenfeld abgelegt. Die Entschlüsselung ist nur mit dem geheimen Server-Secret möglich, das nicht in der Datenbank liegt.
• Klartext-Felder: Kurslisten und Hausaufgaben werden im Klartext gespeichert, damit die App sie dir jederzeit anzeigen und bearbeiten kann. Sie werden nicht zu anderen Zwecken genutzt und nicht weitergegeben.
• Technische Protokolle und Logs: Für Stabilität, Fehlersuche und Missbrauchserkennung speichert der Server Protokolle über Anfragen. Dabei fallen unter anderem Logzeilen mit IP-Adresse, Geräte-ID, angefragter Route und Statuscode an.
• Serverstandort: Die Datenbank wird auf einem Server in der EU (bzw. Deutschland) betrieben.

6) Wofür ich die Daten nutze (Zwecke)

• Betrieb deines Accounts und der Taskly-App
• Speichern und Anzeigen deiner Kurslisten und Hausaufgaben
• Abfragen und Darstellen deines Stundenplans über Untis
• Bereitstellung von Komfortfunktionen wie dem AI-Wecker
• Systemsicherheit, Fehlersuche und Missbrauchserkennung
• Einfache Nutzungsstatistiken und Auswertung, zum Beispiel tägliche aktive Geräte

7) Keine Weitergabe an Dritte

Es findet keine Weitergabe deiner personenbezogenen Daten an Dritte zu Werbe- oder Marketingzwecken statt. Es gibt keine Einbindung externer Trackingdienste wie Google Analytics und keine Weitergabe von Nutzungsprofilen an andere Unternehmen.

Technische Dienstleister, die für den Betrieb des Servers nötig sind (z. B. Hosting-Anbieter), verarbeiten die Daten nur in meinem Auftrag.

8) Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO für alle Verarbeitungen, die nötig sind, um dir die Funktionen von Taskly zur Verfügung zu stellen (Account, Hausaufgaben, Kurslisten, Stundenplan).
• Art. 6 Abs. 1 lit. f DSGVO für die Verarbeitung von Nutzungsdaten, Server-Logs, Cookie mit Geräte-ID, kurzzeitiges Caching und einfache Nutzungsstatistiken. Hier besteht mein berechtigtes Interesse darin, den Dienst stabil, sicher und sinnvoll weiterentwickeln zu können.

9) Speicherdauer

• Account-Daten, Kurslisten und Hausaufgaben: solange dein Account besteht. Wenn ein Account gelöscht wird, werden auch die zugehörigen Hausaufgaben entfernt.
• Untis-Stundenplandaten im Cache: etwa 60 Sekunden im Arbeitsspeicher des Servers, danach automatische Löschung.
• Geräte-ID-Cookie: bis zu etwa 400 Tage, oder bis du ihn in deinem Browser selbst entfernst.
• Technische Logs und Analytics-Daten: Server-Logs und Tagesstatistiken werden nur so lange gespeichert, wie sie für Stabilität, Auswertung und Fehlersuche erforderlich sind. Konkrete Löschintervalle hängen von der Serverkonfiguration ab, ich halte sie aber so knapp wie praktikabel.

10) Deine Rechte

Du hast im Rahmen der DSGVO das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen bestimmte Verarbeitungen.

Wenn du eines dieser Rechte nutzen möchtest oder Fragen hast, schreib mir einfach an kontakt@taskly.page.

11) Minderjährige

Die App wird im Schulkontext genutzt. Bitte geh verantwortungsvoll mit Freitextfeldern um und trage dort keine hochsensiblen Informationen ein, etwa zu deiner Gesundheit oder zu anderen besonders schützenswerten Daten.

12) Änderungen dieser Erklärung

Wenn sich Technik oder Rechtslage ändert, passe ich diese Datenschutzerklärung an. Die jeweils aktuelle Fassung findest du immer auf dieser Seite.

Stand: 22.11.2025