Datenschutzerklärung und Impressum - Kando

Stand: 11. Juni 2026

1. Anbieter und Verantwortlicher für den Kando-Dienst

David Herder
E-Mail: info@kandoapp.de

2. Verantwortlichkeit im Schulbetrieb

Für die Verarbeitung von Schülerdaten im Unterricht ist regelmäßig die einsetzende Schule beziehungsweise der zuständige Schulträger verantwortlich. Kando verarbeitet serverseitige Schülerdaten in diesem Fall nach den Vorgaben der verantwortlichen Stelle. Vor dem schulischen Produktivbetrieb ist die erforderliche Vereinbarung zur Auftragsverarbeitung abzuschließen.

Für die Verwaltung von Lehrkraft-Konten, die Sicherheit und Bereitstellung des Kando-Dienstes sowie Support- und Feedbackanfragen ist der Kando-Betreiber im jeweils beschriebenen Umfang verantwortlich.

3. Zwecke und Datenarten

Lehrkraft-Konto

• Bereitstellung, Anmeldung, Wiederherstellung und Löschung des Kontos
• E-Mail-Adresse in serverseitig verschlüsselter Form, gehashter Name, Anzeigename und Zustimmungszeitpunkt
• Aufgaben, Tests, Ergebnisse und Einstellungen zur geräteübergreifenden Synchronisierung
• Signaturname und optionales Signaturbild, sofern die Lehrkraft diese Funktionen nutzt

Tests und Ergebnisse

• Vorname, Schülernummer beziehungsweise pseudonymer Identifier und Lerngruppe
• ausgewähltes Niveau, Antworten, Bewertungen, Punkte, Prozentwerte und Rückmeldungen
• gegebenenfalls LRS- oder LE-Zuordnungen; diese können einen besonderen Schutzbedarf haben
• technische Prüfungsereignisse wie Start, Unterbrechung, Sichtbarkeits- oder Fokuswechsel und Verbindungsstatus

Gemeinsamer Aufgabenpool

• Aufgaben und Tests, die eine Lehrkraft ausdrücklich im gemeinsamen Pool veröffentlicht
• technische Konto-ID zur Zuordnung der Veröffentlichung und zur Bearbeitung oder Löschung durch die veröffentlichende Lehrkraft

Veröffentlichte Pool-Inhalte sind für andere angemeldete Lehrkräfte sichtbar und werden deshalb nicht wie die private Konto-Synchronisierung verschlüsselt gespeichert. In Pool-Inhalten dürfen keine personenbezogenen Daten von Schülerinnen und Schülern oder anderen Dritten veröffentlicht werden.

Support, Feedback und E-Mail

• E-Mail-Adresse und Anzeigename bei Konto-, Recovery- und Feedbacknachrichten
• freiwillig eingegebener Inhalt eines Verbesserungsvorschlags

Technische Verbindungsdaten

• IP-Adresse, Zeitpunkt, aufgerufene Serveradresse, Geräte- beziehungsweise Browserinformationen und technische Fehlerdaten, soweit diese beim sicheren Betrieb des Webservers anfallen
• zufälliger Sitzungscode beim Öffnen eines Tests über QR-Code oder Universal Link

4. Rechtsgrundlagen

Die Bereitstellung eines Lehrkraft-Kontos und der zugehörigen Funktionen erfolgt grundsätzlich zur Durchführung des Nutzungsverhältnisses nach Art. 6 Abs. 1 lit. b DSGVO. Sicherheitsmaßnahmen und die Abwehr missbräuchlicher Zugriffe können auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden.

Für schulische Test-, Bewertungs- und Ergebnisdaten bestimmt die verantwortliche Schule die konkrete Rechtsgrundlage. Regelmäßig kommt Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit dem jeweils anwendbaren Schulrecht in Betracht. Für Angaben mit Gesundheits- oder Behinderungsbezug, insbesondere bestimmte LRS- oder LE-Zuordnungen, ist zusätzlich eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO beziehungsweise dem einschlägigen Landesrecht zu prüfen.

5. Automatische Bewertung und Prüfungsmodus

Kando unterstützt Lehrkräfte mit regelbasierter automatischer Korrektur. Lehrkräfte können die Bewertung prüfen und manuell ändern. Technische Auffälligkeiten des Soft Exam Mode sind Hinweise und dürfen nicht ohne menschliche Prüfung automatisch zur Ungültigkeit eines Tests oder zu einer Sanktion führen.

Der Soft Exam Mode kann technische Ereignisse erfassen, um Unterbrechungen eines laufenden Tests nachvollziehbar zu machen. Er erfasst keine Kamera- oder Mikrofonaufnahmen und liest keine Inhalte anderer Apps aus.

6. Verschlüsselung und Zugriff

Inhalte der privaten Konto-Synchronisierung werden auf dem Endgerät mit AES-256-GCM verschlüsselt und ausschließlich verschlüsselt auf dem Kando-Server gespeichert. Der Server speichert keinen unverschlüsselten Kontoschlüssel. Der Kontoschlüssel wird lokal mit der PIN beziehungsweise dem Wiederherstellungscode geschützt. Ohne diese Zugangsdaten kann der Betreiber die verschlüsselten privaten Synchronisierungsinhalte nicht entschlüsseln.

Lerngruppen mit Namen, Nummern sowie LRS- oder LE-Zuordnungen gehören zu diesen verschlüsselten Kontoeinstellungen. Bei einer Testverteilung mit Schülercodes wird nicht die offen lesbare Klassenliste an die Schülergeräte übertragen. Jeder Identitätsdatensatz wird einzeln verschlüsselt und kann nur mit dem persönlichen zufälligen Schülercode des jeweiligen Kindes geöffnet werden. Der Code wird nach erfolgreicher Zuordnung nicht als Teil der Testantwort gespeichert.

Wenn die Schule beziehungsweise Lehrkraft die automatische Ergebnislöschung aktiviert, wird zusätzlich das technische Ablaufdatum eines verschlüsselten Ergebnisdatensatzes unverschlüsselt an den Server übertragen. Es enthält weder Schülername noch Antworten, Bewertung oder Testinhalt und ermöglicht die fristgerechte Löschung auch ohne geöffnete App.

Temporäre Test- und Ergebnisdateien werden verschlüsselt übertragen. Der Zugriff auf Kontodaten und eingesammelte Ergebnisse ist durch zufällig erzeugte Sitzungstoken geschützt.

Der für die Testverteilung erzeugte QR-Code wird ausschließlich innerhalb von Kando erstellt. Er enthält einen HTTPS-Link zu test.kandoapp.de mit einer zufälligen Sitzungskennung und dem nur auf dem Endgerät verwendeten Testschlüssel, aber keinen Schülernamen und keine Testantworten. Alternativ kann ein gruppierter manueller Zugangscode eingegeben werden, aus dessen geheimem Anteil der Testschlüssel lokal abgeleitet wird. Beim Öffnen wird ausschließlich der Kando-Server kontaktiert. Kando bindet dafür keinen externen QR-, Kurzlink-, Analyse- oder Trackingdienst ein.

7. Empfänger und Dienstleister

• berechtigte Lehrkräfte und die zuständige schulische Administration
• andere angemeldete Lehrkräfte ausschließlich bei ausdrücklich im gemeinsamen Aufgabenpool veröffentlichten Inhalten
• Strato AG als Hosting- und E-Mail-Dienstleister
• weitere Empfänger nur bei gesetzlicher Verpflichtung oder dokumentierter Beauftragung

Der Server wird nach derzeitigem Betriebsstand in Deutschland gehostet. Eine Drittlandübermittlung durch Kando ist nicht vorgesehen. Angaben der eingesetzten Dienstleister und deren Unterauftragsverarbeiter sind ergänzend vertraglich zu prüfen.

8. Speicherdauer

• Temporäre Server-Testsession einschließlich verschlüsselter Abgaben und Prüfungsereignisse: Löschung beim Schließen durch die Lehrkraft, spätestens nach 24 Stunden
• Recovery-Token: Gültigkeit eine Stunde
• Serverseitige Lehrkraft-Sitzung: technisch höchstens 90 Tage; die WebApp sperrt den Lehrkraftbereich nach 15 Minuten Inaktivität und verlangt beim erneuten Start eine Anmeldung
• Kontodaten, Aufgaben, Tests und Einstellungen: bis zur Löschung durch die Lehrkraft beziehungsweise bis zum Ende des Nutzungsverhältnisses
• Veröffentlichungen im gemeinsamen Aufgabenpool: bis zur Entfernung durch die veröffentlichende Lehrkraft oder zur Löschung ihres Kontos
• Schülerergebnisse im Lehrkraftkonto und auf verbundenen Geräten: nach der von der verantwortlichen Schule festgelegten Aufbewahrungsfrist. Kando kann ein Löschdatum berechnen, vor Fristablauf erinnern und bei ausdrücklicher Aktivierung fällige Ergebnisse automatisch löschen.
• Bei einem laufenden Widerspruchs-, Prüfungs- oder Rechtsverfahren kann die Lehrkraft die Löschfrist einzelner Ergebnisse zeitlich verlängern. Die weitere Speicherung muss durch die verantwortliche Schule sachlich gerechtfertigt werden.
• CSV-, PDF- und sonstige Exporte außerhalb von Kando: nach dem Lösch- und Aufbewahrungskonzept der verantwortlichen Schule; Kando kann externe Kopien technisch nicht automatisch löschen.
• Backups sowie Support- und Feedback-E-Mails: Fristen sind im betrieblichen Löschkonzept verbindlich festzulegen und umzusetzen

9. Bereitstellung der Daten

Für ein Lehrkraft-Konto sind Name, Anzeigename, E-Mail-Adresse, PIN und nach der Ersteinrichtung ein Passkey erforderlich. Schüler benötigen kein eigenes Konto. Die Schule beziehungsweise Lehrkraft kann verschlüsselte Lerngruppen anlegen und persönliche Schülercodes ausgeben. Welche Schülerangaben für einen konkreten Test benötigt werden, bestimmt die verantwortliche Schule. Ohne die erforderliche Zuordnung kann der Test gegebenenfalls nicht begonnen oder eindeutig zugeordnet werden.

10. Betroffenenrechte

Betroffene Personen haben nach Maßgabe der gesetzlichen Voraussetzungen Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Eine Einwilligung kann mit Wirkung für die Zukunft widerrufen werden, sofern eine Verarbeitung auf Einwilligung beruht.

Bei Schülerdaten ist die Schule beziehungsweise der Schulträger die erste Anlaufstelle. Für Kontodaten und den Kando-Dienst kann die Anfrage an info@kandoapp.de gerichtet werden. Zudem besteht ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde.

11. Datenschutzbeauftragter und Aufsichtsbehörde

Datenschutzbeauftragter: N/A
Zuständige Aufsichtsbehörde: N/A

12. Lokale Speicherung und Exporte

WebApp und App speichern Daten zusätzlich lokal auf dem verwendeten Gerät. Löschungen von Ergebnissen werden bei angemeldetem Lehrkraftkonto geräteübergreifend synchronisiert. Bis zur erfolgreichen Synchronisierung kann eine lokale Kopie auf einem vorübergehend nicht verbundenen Gerät fortbestehen.

Zur Verhinderung einer Wiederherstellung durch lange nicht synchronisierte Geräte kann serverseitig nach der Löschung ein minimaler technischer Löschmarker mit zufälliger Datensatz-ID und Zeitstempel verbleiben. Der verschlüsselte Ergebnisinhalt wird dabei entfernt.

CSV-, JSON- und PDF-Exporte können personenbezogene Schülerdaten enthalten und müssen auf schulisch freigegebenen Geräten und Speicherorten geschützt sowie dort eigenständig fristgerecht gelöscht werden.

13. Tracking und Cookies

Kando setzt derzeit keine Werbe-, Analyse- oder Trackingdienste ein. Technisch notwendige lokale Speicherbereiche dienen der App-Funktion, Anmeldung und Synchronisierung. Bei späterer Einführung weiterer Dienste wird diese Erklärung vor deren Einsatz aktualisiert.

Auf unterstützten Apple-Geräten kann ein Kando-Testlink als Universal Link direkt in der installierten App geöffnet werden. Hierfür stellt kandoapp.de eine technische Domainzuordnungsdatei bereit. Der darin veröffentlichte App-Bezug enthält keine Schüler- oder Kontodaten. Die QR-Erzeugung und Testzuordnung verwenden keine Dienste von Google oder anderen Werbe- und Analyseunternehmen.

14. Beispielsätze aus Tatoeba

Kando kann Lehrkräften Beispielsätze aus der Tatoeba-Datenbank (tatoeba.org) vorschlagen. Der dafür verwendete Satzkorpus wird auf dem Kando-Server gespeichert und durchsucht. Bei der Suche werden keine Vokabeln, Kontodaten oder Schülerdaten an Tatoeba oder andere Drittanbieter übertragen.

Die verwendeten Sätze sind unter Creative Commons Attribution 2.0 France (CC BY 2.0 FR) lizenziert. Kando speichert und zeigt deshalb den Tatoeba-Benutzernamen der erstellenden Person, die Satz-ID, die Lizenz und eine Kennzeichnung nachträglicher Änderungen. Lizenztext: https://creativecommons.org/licenses/by/2.0/fr/

15. Kontakt

Datenschutz- und Betroffenenanfragen: info@kandoapp.de