Verantwortliche Anbieterin

Schule für Gestaltung Zürich
Ausstellungsstrasse 104
8005 Zürich

Die Schule für Gestaltung Zürich ist eine öffentliche Bildungsinstitution des Kantons Zürich. Sie untersteht dem Mittelschul- und Berufsbildungsamt des Kantons Zürich (MBA).

Kontakt

E-Mail: [email protected]
Telefon: 044 446 97 77

Vertretungsberechtigte Person

Orlando Temperli, Rektor

Inhalt und Betrieb der Website

Diese Website dient dem Betrieb der IT-Wissensdatenbank sowie weiterer interner Webapplikationen der Schule für Gestaltung Zürich, insbesondere der Benutzerverwaltung und des Leihshops.

Urheberrecht

Inhalte, Texte, Bilder, Icons, Dokumente und Gestaltungselemente dieser Website sind urheberrechtlich geschützt. Jede Nutzung ausserhalb der gesetzlichen Schranken bedarf der vorgängigen Zustimmung der Rechteinhaberin oder des Rechteinhabers.

Bild- und Icon-Nachweise

Soweit auf dieser Website Icons, Illustrationen oder sonstige grafische Elemente von Drittanbietern verwendet werden, bleiben die Rechte bei den jeweiligen Urheberinnen, Urhebern oder Lizenzgebern. Verwendete kostenlose Ressourcen stammen insbesondere von Freepik und unDraw. Einige Grafiken wurden mithilfe von KI (OpenAI) generiert. Die Nutzung erfolgt gemäss den geltenden Nutzungsbedingungen.

Freepik: https://www.freepik.com
unDraw: https://undraw.co

Haftungsausschluss

Die Inhalte dieser Website werden mit Sorgfalt erstellt und gepflegt. Es wird jedoch keine Gewähr für Richtigkeit, Vollständigkeit und Aktualität übernommen. Für Inhalte externer Links sind ausschliesslich deren Betreiber verantwortlich.

1. Verantwortliche Stelle

Verantwortlich für die Bearbeitung von Personendaten im Zusammenhang mit dieser Website ist:
Schule für Gestaltung Zürich
Informatik
Ausstellungsstrasse 104
8005 Zürich
E-Mail: [email protected]
Telefon: 079 502 62 95

2. Welche Personendaten bearbeitet werden

Je nach Nutzung der Website werden insbesondere folgende Kategorien von Personendaten bearbeitet:

• technische Verbindungsdaten wie IP-Adresse, Zeitpunkt des Zugriffs, Browser- und Geräteinformationen
• technische Protokolldaten aus Webserver, Applikationsserver, Sicherheits- und Proxy-Diensten
• Session- und Sicherheitsdaten wie Session-ID, CSRF-Token, Login-Status, aktive Sitzungen und Angaben zu fehlgeschlagenen Login-Versuchen
• Identifikations- und Kontaktdaten wie Name, Vorname, E-Mail-Adresse und organisatorische Zuordnung
• Inhaltsdaten aus Formularen, administrativen Eingaben und Beiträgen in der Wissensdatenbank
• Datei- und Anhangsdaten bei hochgeladenen Dokumenten oder Bildern
• Bestell- und Abwicklungsdaten aus dem Leihshop, soweit diese einer bestimmten Person oder einem Benutzerkonto zugeordnet sind, insbesondere Bestellzeitraum, bestellte Produkte, Lieferangaben, Mitteilungen und interne Bearbeitungsvermerke
• Daten aus Benutzerverwaltungs- und Systemprozessen, insbesondere Einladungen, Passwort-Reset und System-E-Mails
• Bestätigungen von Nutzungsrichtlinien, einschliesslich Zeitpunkt, Version und Benutzerkonto

3. Zwecke der Datenbearbeitung

Die Daten werden insbesondere zu folgenden Zwecken bearbeitet:

• Betrieb, Bereitstellung und Sicherheit der Website
• Authentifizierung von Benutzerinnen und Benutzern
• Verwaltung von Benutzerkonten, Rollen und Zugriffsrechten
• Durchführung von Passwort-Reset-, Onboarding- und Supportprozessen
• Versand von System-E-Mails und administrativen Mitteilungen
• Dokumentation der Zustimmung zu Nutzungsrichtlinien und Nutzungsbedingungen
• Pflege und Bereitstellung der Inhalte der Wissensdatenbank
• Durchführung und Verwaltung des Leihshops
• Nachvollziehbarkeit von Zugriffen und Schutz vor Missbrauch

4. Rechtsgrundlagen der Bearbeitung

Die Bearbeitung von Personendaten erfolgt im Rahmen der gesetzlichen Aufgaben der Schule für Gestaltung Zürich. Sie erfolgt nur, soweit sie für diese Aufgaben geeignet und erforderlich ist. Massgebend sind insbesondere die für öffentliche Organe des Kantons Zürich geltenden datenschutzrechtlichen Bestimmungen, namentlich das IDG und die IDV.

Eine Einwilligung wird nur dort eingeholt, wo sie für einen zusätzlichen oder freiwilligen Vorgang tatsächlich erforderlich ist.

5. Technische Umsetzung, Cookies und Sitzungsverwaltung

Diese Website basiert auf modernen Webtechnologien und verwendet ausschliesslich Funktionen, die für den sicheren und zuverlässigen Betrieb erforderlich sind.

Im Einsatz sind insbesondere folgende Komponenten:

• Backend auf Basis von Django
• Betrieb der Applikation über Gunicorn und Nginx
• PostgreSQL-Datenbank auf dem produktiven Server
• serverseitige Sitzungen sowie CSRF-Schutz zur Absicherung von Formularen
• Benutzerverwaltung mit Login, Logout, Einladungen und Passwort-Reset
• Datei-Uploads für Inhalte und Anhänge
• Versand von System-E-Mails über Microsoft Graph
• Cloudflare für DNS, HTTPS/TLS, Proxy- und Sicherheitsfunktionen
• lokal gehostete Bootstrap-CSS- und JavaScript-Dateien
• lokal gespeicherte Icons, Bilder und statische Dateien

Zur technischen Bereitstellung der Website werden Cookies und vergleichbare Mechanismen eingesetzt. Diese sind notwendig für:

• die Anmeldung und Sitzungsverwaltung
• den Schutz vor unbefugten Zugriffen
• die sichere Nutzung geschützter Bereiche

Ohne diese technisch notwendigen Funktionen kann die Website nicht korrekt betrieben werden.

Es werden keine Analyse- oder Marketing-Tools eingesetzt. Es findet kein Nutzer-Tracking und keine Profilbildung zu Marketingzwecken statt.

6. Empfängerinnen und Empfänger

Personendaten können insbesondere an folgende Kategorien von Empfängerinnen und Empfängern gelangen:

• interne zuständige Stellen der Schule
• zuständige Stellen des Mittelschul- und Berufsbildungsamts, soweit dies organisatorisch oder fachlich erforderlich ist
• Hetzner als Hosting- und Infrastruktur-Dienstleister für den technischen Betrieb der Website
• Cloudflare als Anbieter von DNS-, Proxy-, TLS- und Sicherheitsdiensten
• Microsoft als Anbieter der für den E-Mail-Versand verwendeten Graph-Dienste
• weitere Empfängerinnen und Empfänger, soweit dies gesetzlich vorgeschrieben oder zur Rechtsdurchsetzung erforderlich ist

7. Hosting und Bearbeiten im Auftrag

Die Website wird technisch bei Hetzner in Deutschland betrieben. Der produktive Server befindet sich nach aktuellem Stand im Rechenzentrumsstandort Nürnberg. Hetzner bearbeitet Daten im Auftrag der Schule für Gestaltung Zürich. Die Schule bleibt auch bei dieser Auslagerung für die rechtmässige Bearbeitung der Personendaten verantwortlich.

Für den Einsatz externer Dienstleister sind geeignete vertragliche Regelungen zur Bearbeitung im Auftrag beziehungsweise zur Auftragsbearbeitung sicherzustellen und aktuell zu halten. Darin sind insbesondere Gegenstand und Zweck der Bearbeitung, die Kategorien der bearbeiteten Daten, die Zugriffsmöglichkeiten, die Vertraulichkeit, die Datensicherheit, allfällige Unterauftragsverhältnisse sowie Löschung und Rückgabe der Daten zu regeln.

Zusätzlich wird Cloudflare für DNS-, Proxy-, TLS- und Sicherheitsfunktionen eingesetzt. Dadurch können technische Verbindungsdaten, insbesondere IP-Adressen, Header-Informationen, Zeitpunkte von Zugriffen und sicherheitsrelevante Ereignisse, durch Cloudflare verarbeitet werden.

8. Datenübermittlung ins Ausland

Das Hosting der Website und der Datenbank erfolgt in Deutschland. Deutschland ist Teil der Europäischen Union. Staaten der Europäischen Union gelten aus Schweizer Sicht als Staaten mit angemessenem Datenschutz.

Zusätzliche Datenbearbeitungen können beim Versand von System-E-Mails über Microsoft Graph erfolgen. Dabei können technische Verbindungsdaten sowie Kommunikations- und Inhaltsdaten bearbeitet werden, soweit dies für den Versand solcher E-Mails erforderlich ist.

Durch den Einsatz von Cloudflare können technische Verbindungs- und Sicherheitsdaten auch durch Cloudflare verarbeitet werden. Je nach technischer Bereitstellung und Supportfall kann dabei ein Bezug zu Staaten ausserhalb der Schweiz oder der Europäischen Union entstehen. Soweit dafür zusätzliche rechtliche oder vertragliche Schutzmassnahmen erforderlich sind, sind diese sicherzustellen.

Soweit künftig weitere Datenbearbeitungen ausserhalb der Schweiz oder ausserhalb von Staaten mit angemessenem Datenschutz erfolgen sollten, werden dafür die erforderlichen rechtlichen und vertraglichen Schutzmassnahmen getroffen.

9. Speicherdauer

Personendaten werden nur so lange gespeichert, wie dies für den jeweiligen Zweck notwendig ist oder eine rechtliche Pflicht zur Aufbewahrung besteht. Für diese Website bedeutet das insbesondere:

• Sitzungsdaten für den Login bleiben grundsätzlich bis zum Logout oder bis zum Ablauf der definierten Sitzungsdauer gespeichert. In dieser Website beträgt die Sitzungsdauer standardmässig 7 Tage.
• Passwort-Reset-Daten bleiben grundsätzlich bis zum Ablauf der technischen Gültigkeitsdauer gespeichert. In dieser Website beträgt diese Frist standardmässig 1 Stunde.
• Sicherheitsdaten zu fehlgeschlagenen Login-Versuchen werden zur Missbrauchsabwehr technisch zwischengespeichert. Nach 5 fehlgeschlagenen Login-Versuchen wird der Login zunächst für 30 Minuten gesperrt. Weitere Fehlversuche nach Ablauf der Sperre führen zu Sperren von 60 Minuten, 3 Stunden und 24 Stunden. Danach bleibt der Zugang gesperrt, bis er durch eine berechtigte Administratorin oder einen berechtigten Administrator entsperrt wird. Die technischen Sperrdaten werden längstens bis zu 365 Tage ab der letzten Aktualisierung gespeichert, sofern sie nicht vorher durch erfolgreichen Login, Entsperrung oder technische Bereinigung gelöscht werden.
• Einträge über aktive Sitzungen wie Login-Zeitpunkt und IP-Adresse werden für die Sitzungsverwaltung und Nachvollziehbarkeit verwendet und bei Logout oder technischer Bereinigung entfernt.
• Benutzer- und Verwaltungsdaten wie Name, E-Mail-Adresse, Rollen und Einladungsinformationen bleiben gespeichert, solange ein Benutzerkonto besteht oder die Verwaltung dieser Daten für den Betrieb erforderlich ist.
• Bestätigungen von Nutzungsrichtlinien bleiben gespeichert, solange sie für Nachvollziehbarkeit, Zugriffskontrolle und interne Dokumentationspflichten erforderlich sind.
• Datei-Uploads und Anhänge bleiben gespeichert, solange sie für den Betrieb und die Inhalte der Wissensdatenbank benötigt werden oder bis sie durch berechtigte Personen gelöscht werden.
• Daten aus dem Leihshop bleiben gespeichert, solange sie für Bestellabwicklung, Nachvollziehbarkeit, interne Kontrolle sowie allfällige Aufbewahrungspflichten benötigt werden.
• Server-, Sicherheits- und Proxy-Protokolle werden nur so lange gespeichert, wie dies für Betrieb, Fehleranalyse, Sicherheit und Missbrauchsabwehr erforderlich ist.

Sobald Daten für die genannten Zwecke nicht mehr erforderlich sind und keine Aufbewahrungspflicht mehr besteht, werden sie gelöscht oder technisch bereinigt. Die konkreten Lösch- und Aufbewahrungsfristen sind intern zu dokumentieren und periodisch zu überprüfen.

10. Rechte betroffener Personen

Betroffene Personen haben im Rahmen des anwendbaren Rechts insbesondere Anspruch auf:

• Zugang zu den eigenen Personendaten und zu den beim öffentlichen Organ vorhandenen Informationen
• Berichtigung unrichtiger Personendaten
• weitere Ansprüche nach den massgebenden Bestimmungen des IDG, insbesondere auf Unterlassung, Feststellung der Widerrechtlichkeit oder Vernichtung, soweit die gesetzlichen Voraussetzungen erfüllt sind

Entsprechende Anfragen können an [email protected] gerichtet werden. Zuständig für die datenschutzrechtliche Aufsicht im Kanton Zürich ist die Datenschutzbeauftragte des Kantons Zürich.

11. Profiling und automatisierte Entscheidungen

Nach der aktuell geprüften technischen Umsetzung findet kein Profiling mit hohem Risiko und keine automatisierte Einzelentscheidung mit Rechtswirkung statt. Die Website verwendet jedoch sicherheits- und zugriffsbezogene Mechanismen wie Session-Verwaltung, Login-Schutz und Nachvollziehbarkeit aktiver Sitzungen.

12. Datensicherheit

Es werden angemessene technische und organisatorische Massnahmen eingesetzt, um Personendaten vor unbefugtem Zugriff, Verlust, Missbrauch, Weitergabe oder Veränderung zu schützen.

Zu diesen Massnahmen gehören insbesondere:

• geschützte Benutzerkonten mit Login und Passwort
• technische Beschränkung von Zugriffsrechten über Rollen und Berechtigungen
• serverseitige Sitzungsverwaltung zum Schutz eingeloggter Bereiche
• CSRF-Schutz zur Absicherung von Formularen gegen unbefugte Anfragen
• Mechanismen gegen missbräuchliche Login-Versuche
• Nachvollziehbarkeit aktiver Sitzungen, insbesondere mit Login-Zeitpunkt und IP-Adresse
• verschlüsselte Übertragung über HTTPS/TLS
• Firewall-Regeln auf Server- und Infrastruktur-Ebene
• Trennung produktiver Konfigurationen und Zugangsdaten vom öffentlichen Quellcode
• regelmässige technische Sicherungen und kontrollierte Wiederherstellungsmöglichkeiten
• kontrollierte Administrationsprozesse für Benutzerverwaltung, Passwort-Reset und Inhaltsbearbeitung
• beschränkter Zugriff auf hochgeladene Inhalte und geschützte Themenbereiche

Trotz dieser Schutzmassnahmen kann eine vollständige Sicherheit bei der elektronischen Datenübertragung und bei IT-Systemen nie garantiert werden. Die Schutzmassnahmen werden deshalb laufend überprüft und bei Bedarf angepasst.

13. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann angepasst werden, wenn sich die Website, die eingesetzten Dienste oder die rechtlichen Anforderungen ändern. Es gilt die jeweils auf dieser Website veröffentlichte Fassung.

Stand dieser Datenschutzerklärung: 18.05.2026
Version: 1.2