Datenschutz und DSGVO: Wie CampusHub deine Organisation schweizerisch-konform schützt
Ist CampusHub DSGVO-konform? Wo werden Daten gespeichert? Wie sicher ist die Plattform? Alle Antworten für Datenschutzbeauftragte, Schulleiter und Vereinspräsidenten.
Datenschutz und DSGVO: Wie CampusHub deine Organisation schweizerisch-konform schützt
Du bist Datenschutzbeauftragter, Schulleiter oder Vereinspräsident. Du trägst die Verantwortung für die Daten deiner Mitglieder, Schüler oder Mitarbeiter. Und du hast eine berechtigte Frage: „Wie schützt CampusHub diese Daten?“
Dieser Artikel beantwortet alle deine Fragen zur Datenschutz-Konformität von CampusHub. Wir gehen nicht nur oberflächlich auf die DSGVO ein, sondern erklären konkret, wo Daten gespeichert werden, wie sie verschlüsselt sind, und was du als Verantwortlicher wissen musst.
Die wichtigsten Fragen — kurz beantwortet
Wo werden meine Daten gespeichert?
Auf Servern in der Europäischen Union. CampusHub nutzt:
- Hetzner Cloud (Deutschland) für die Anwendungsserver
- Supabase PostgreSQL (EU-Regionen verfügbar) für die Datenbank
- Keine US-Anbieter für Kerndienste — keine Google, Meta, Amazon in der Datenkette
Ist CampusHub DSGVO-konform?
Ja. CampusHub wurde von Grund auf mit Datenschutz im Kopf entwickelt. Wir implementieren:
- Privacy by Design
- Privacy by Default
- Datenminimierung
- Zweckbindung
- Speicherbegrenzung
Was ist mit dem revDSG?
Das revidierte Schweizer Datenschutzgesetz (revDSG) ist seit September 2023 in Kraft. CampusHub erfüllt auch diese Anforderungen:
- Datenverarbeitung nur mit Rechtsgrundlage
- Transparente Datenverarbeitung
- Auskunftsrecht für Betroffene
- Löschung und Berichtigung
- Meldepflicht bei Datenpannen
Wo werden Daten gespeichert?
Server-Standorte
| Komponente | Standort | Anbieter |
|---|---|---|
| Anwendungsserver | Deutschland (Hetzner) | Hetzner Cloud |
| Datenbank | EU (Supabase) | Supabase |
| Datei-Uploads | Lokal (Docker-Volume) oder EU (Supabase Storage) | CampusHub / Supabase |
| E-Mail-Versand | EU (Resend / Stalwart) | Resend / Stalwart Mail |
| Backups | Deutschland (Hetzner) | Hetzner Cloud |
Wichtig: Alle Kerndienste laufen in der EU. Es gibt keine Datenübertragung in die USA oder andere Drittländer.
Warum ist das wichtig?
- DSGVO Art. 44: Datenübertragung in Drittländer nur unter strengen Bedingungen
- Schweizer revDSG: Gleiche Anforderungen an Datenübertragung
- US-Cloud Act: US-Behörden können auf Daten in US-Anbieter zugreifen — auch wenn sie in der EU gespeichert sind
- Kein Schrems-II-Risiko: Keine Abhängigkeit von Privacy Shield oder Standard Contractual Clauses
Psychologischer Vorteil: Ruhe. Du musst dir keine Sorgen über US-Behörden oder Datenübertragungen machen. Deine Daten bleiben in der EU.
Wie sicher sind die Daten?
Verschlüsselung
Übertragung (in Transit):
- TLS 1.3 für alle Verbindungen
- HSTS (HTTP Strict Transport Security) — erzwingt HTTPS
- Perfect Forward Secrecy — selbst bei Kompromittierung des Schlüssels sind vergangene Sitzungen sicher
Speicherung (at Rest):
- Datenbank: PostgreSQL-verschlüsselte Speicherung
- Backups: Verschlüsselte S3-kompatible Speicherung
- Datei-Uploads: Verschlüsselte Speicherung im Docker-Volume oder Supabase Storage
Authentifizierung
- Magic-Link-Login: Passwortlos, zeitlich begrenzt, einmalig
- Session-Cookies: HMAC-SHA256 signiert, HttpOnly, Secure, SameSite
- Rate-Limiting: Brute-Force-Schutz bei Login-Versuchen
- Keine Passwort-Speicherung: Wir speichern keine Passwörter — weil es keine gibt
Zugriffskontrolle
| Wer | Zugriff | Warum |
|---|---|---|
| Benutzer | Eigene Daten, eigene Organisation | Notwendig für Nutzung |
| Admin | Daten seiner Organisation | Notwendig für Verwaltung |
| Superadmin | Nur bei technischer Notwendigkeit | Nur für Support und Wartung |
| Dritte | Kein Zugriff | Keine Weitergabe |
Wichtig: CampusHub-Mitarbeiter haben keinen routine-mäßigen Zugriff auf Kundendaten. Support-Anfragen werden mit dem minimal notwendigen Datenzugriff bearbeitet.
Was speichert CampusHub — und was nicht?
Daten, die gespeichert werden
Benutzerdaten:
- Name, E-Mail, Rolle, Profilbild (optional)
- Organisationszugehörigkeit
- Login-History (für Sicherheit)
- Benachrichtigungseinstellungen
Kommunikationsdaten:
- Chat-Nachrichten (mit Zeitstempel)
- News-Artikel und Kommentare
- E-Mail-Versand-Logs
Finanzdaten (nur wenn Finanzmodul genutzt):
- Beiträge, Budgets, Ausgaben
- Zahlungsstatus
- QR-Rechnungs-Referenzen
Technische Daten:
- Session-Cookies
- IP-Adressen (für Rate-Limiting, kurzzeitig)
- Geräte-Informationen (für Sicherheit)
Daten, die NICHT gespeichert werden
- Passwörter: Wir nutzen Magic Links — keine Passwörter
- Kreditkarten-Daten: Zahlungen über Stripe, keine Kartendaten auf unseren Servern
- Standort-Daten: Kein Tracking, keine GPS-Daten
- Biometrische Daten: Keine Fingerabdrücke, keine Gesichtserkennung
- Kommunikationsinhalte ausserhalb CampusHub: Wir haben keinen Zugriff auf E-Mails, WhatsApp, etc.
DSGVO-Rechte: Was können deine Mitglieder?
1. Auskunft (Art. 15 DSGVO)
Jedes Mitglied kann jederzeit eine vollständige Liste aller gespeicherten Daten anfordern.
Wie es bei CampusHub funktioniert:
- Mitglied geht zu
Einstellungen > Datenschutz - Klickt auf "Meine Daten exportieren"
- Erhält ein JSON-File mit allen Daten
- Oder: Kontaktiert den Admin, der den Export durchführt
2. Berichtigung (Art. 16 DSGVO)
Mitglieder können ihre Daten jederzeit korrigieren.
Wie es bei CampusHub funktioniert:
- Mitglied geht zu
Einstellungen > Profil - Bearbeitet Name, E-Mail, Bild, Kontaktdaten
- Änderungen sind sofort aktiv
3. Löschung (Art. 17 DSGVO) — „Recht auf Vergessenwerden"
Mitglieder können ihre Daten vollständig löschen lassen.
Wie es bei CampusHub funktioniert:
- Mitglied geht zu
Einstellungen > Datenschutz > Konto löschen - Bestätigt die Löschung
- Alle Daten werden gelöscht (mit Ausnahme von Finanzdaten, die gesetzlich aufbewahrt werden müssen)
Wichtig: Als Admin kannst du auch Mitglieder löschen. Die Löschung ist DSGVO-konform und unwiderruflich.
4. Einschränkung der Verarbeitung (Art. 18 DSGVO)
Mitglieder können die Verarbeitung ihrer Daten einschränken.
Wie es bei CampusHub funktioniert:
- Mitglied kann das Konto deaktivieren (Daten bleiben gespeichert, aber keine Verarbeitung)
- Oder: Mitglied kann bestimmte Module deaktivieren (z.B. keine Chat-Benachrichtigungen)
5. Datenübertragbarkeit (Art. 20 DSGVO)
Mitglieder können ihre Daten in einem maschinenlesbaren Format exportieren.
Wie es bei CampusHub funktioniert:
- Export als JSON (vollständige Daten)
- Export als CSV (für Mitgliederlisten, Finanzdaten)
Speicherdauer: Wie lange werden Daten aufbewahrt?
| Datenkategorie | Speicherdauer | Grund |
|---|---|---|
| Benutzerkonto | Bis zur Löschung | Notwendig für Nutzung |
| Chat-Nachrichten | 2 Jahre | Nachweisbarkeit, DSGVO-konform |
| News-Artikel | Unbegrenzt (bis Organisation löscht) | Informationsarchiv |
| Finanzdaten | 10 Jahre | Schweizer Steuerrecht |
| E-Mail-Versand-Logs | 1 Jahr | Nachweisbarkeit |
| Session-Cookies | 30 Tage | Sicherheit |
| IP-Adressen (Logs) | 7 Tage | Rate-Limiting, Sicherheit |
| Backups | 30 Tage | Wiederherstellung |
Wichtig: Nach Ablauf der Speicherdauer werden Daten automatisch gelöscht. Du musst nichts tun.
Meldepflicht bei Datenpannen
Was ist eine Datenpanne?
Eine Datenpanne ist ein Verstoß gegen die Datensicherheit, der zu einer unbeabsichtigten oder unrechtmäßigen Zerstörung, Verlust, Veränderung oder Offenlegung von Daten führt.
Beispiele:
- Unbefugter Zugriff auf die Datenbank
- Verlust eines Backups
- Fehlerhafte Konfiguration, die Daten öffentlich macht
- Phishing-Angriff, der Admin-Zugänge kompromittiert
CampusHub-Prozess bei Datenpannen
- Erkennung: Automatisierte Monitoring-Systeme erkennen Anomalien
- Eindämmung: Sofortige Isolierung des betroffenen Systems
- Untersuchung: Analyse des Ausmaßes der Panne
- Benachrichtigung: Betroffene Benutzer werden informiert
- Meldung: Datenschutzbehörden werden informiert (DSGVO: innerhalb 72 Stunden)
- Nachbereitung: Maßnahmen zur Verhinderung ähnlicher Pannen
Wichtig: CampusHub hat noch nie eine Datenpanne gehabt. Unsere Sicherheitsmaßnahmen sind so robust, dass Pannen extrem unwahrscheinlich sind.
Datenschutz-Folgenabschätzung (DPIA)
Für Organisationen, die CampusHub nutzen, ist in der Regel keine Datenschutz-Folgenabschätzung nötig, weil:
- CampusHub verarbeitet keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO)
- Keine automatisierte Entscheidungsfindung mit rechtlichen Folgen
- Keine systematische Überwachung
- Keine Datenübertragung in Drittländer
Ausnahme: Wenn deine Organisation besonders sensible Daten verarbeitet (z.B. Gesundheitsdaten von Schülern), empfehlen wir eine DPIA.
Was du als Admin tun musst
1. Datenschutzerklärung bereitstellen
CampusHub stellt eine Must-Datenschutzerklärung zur Verfügung. Du musst sie:
- Anpassen (Name deiner Organisation, Kontaktdaten)
- Veröffentlichen (z.B. auf deiner Webseite)
- Verlinken (in CampusHub unter
Admin > Einstellungen > Datenschutz)
2. Verantwortlichen benennen
Benenne einen Datenschutzbeauftragten oder eine Kontaktperson für Datenschutzfragen:
Admin > Einstellungen > Datenschutz > Verantwortlicher- Diese Person wird bei Datenschutzanfragen kontaktiert
3. Mitglieder informieren
Informiere deine Mitglieder über:
- Welche Daten gespeichert werden
- Warum sie gespeichert werden
- Wie lange sie gespeichert werden
- Wer Zugriff hat
- Wie sie ihre Rechte ausüben können
4. Regelmäßige Überprüfung
- Überprüfe jährlich, ob die gespeicherten Daten noch notwendig sind
- Lösche inaktive Mitglieder nach Ablauf einer Frist
- Aktualisiere die Datenschutzerklärung bei Änderungen
Fazit: Datenschutz ist kein Add-on, sondern Grundlage
CampusHub wurde mit Datenschutz im Kern entwickelt. Nicht als nachträgliches Feature, sondern als fundamentale Design-Entscheidung.
Was du mitnehmen solltest:
- Daten werden in der EU gespeichert — keine US-Abhängigkeit
- Verschlüsselung ist Standard — nicht optional
- DSGVO- und revDSG-konform — nicht nur Marketing-Sprache
- Mitglieder haben volle Kontrolle über ihre Daten
- Keine Passwörter, keine Tracking, keine Datenverkäufe
Die nächsten Schritte:
- Magic-Link-Anmeldung — Wie die sichere Anmeldung funktioniert
- Sicherheit ohne Passwörter — Tieferer Einblick in unsere Sicherheitsarchitektur
- Erste Schritte mit CampusHub — So startest du datenschutzkonform
- Account wiederherstellen — Was tun bei Problemen
Hast du Fragen zum Datenschutz? Schreibe uns an support@campushub.ch — wir beraten dich gerne. Für komplexe Datenschutzfragen empfehlen wir auch einen Datenschutzbeauftragten oder Rechtsanwalt.