Datenschutzerklärung
Welche Daten AR Studio verarbeitet, auf welcher Rechtsgrundlage, und welche Rechte Ihnen daraus zustehen.
Verantwortlicher
Verantwortlich für die Datenverarbeitung in AR Studio ist das Zentrum für Hochschullehre (ZHL) der Universität Bayreuth. Postanschrift und allgemeine Pflichtangaben siehe Impressum.
Die rechtlich verbindliche Datenschutzerklärung des ZHL findet sich unter:
https://www.zhl.uni-bayreuth.de/de/_service/datenschutzerklaerung/
Den Datenschutzbeauftragten der Universität Bayreuth erreichen Sie über die offizielle Kontaktseite der Universität.
Anmelde-Link
Die Anmeldung erfolgt passwortlos über einen Anmelde-Link, der an die hinterlegte E-Mail-Adresse versendet wird. Konten können selbst angelegt werden — ein bestehender Account und ein neuer Anmeldewunsch werden über denselben Endpunkt abgewickelt.
- Gespeicherte Daten: E-Mail-Adresse, optional Name, Zeitpunkt der letzten Token-Anforderung, Zeitpunkt der Konto-Anlage und der letzten Anmeldung.
- Anmelde-Tokens sind 15 Minuten gültig und nur einmal verwendbar; abgelaufene Tokens werden anlassbezogen entfernt.
- Inaktive Konten: Konten ohne Login über längere Zeit werden im Sinne der Datenminimierung (Art. 5 Abs. 1 lit. e DSGVO) gelöscht. Vor der Löschung erhältst du eine Vorwarn-Mail mit dem konkreten Löschdatum (7 Tage Karenzzeit); ein Login innerhalb dieser Zeit bricht die Planung ab.
-
Zum Schutz vor Missbrauch wird zusätzlich die IP-Adresse jedes
Anmeldeversuchs in einer separaten Tabelle (
login_attempts) für maximal 24 Stunden gespeichert; jede versendete Anmelde-Mail wird inmail_logmit Zeitstempel protokolliert (max. 7 Tage), um globale Versand-Limits durchzusetzen. - Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Lehrbetrieb) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Missbrauch für die kurzlebigen IP-Logs).
Bot-Schutz (Cloudflare Turnstile)
Auf den Anmelde- und Konto-Anlage-Formularen kommt
Cloudflare Turnstile zum Einsatz, um automatisierte
Anfragen (Bots) zu erkennen und SMTP-Versandmissbrauch zu verhindern.
Turnstile lädt ein kleines JavaScript-Widget von
challenges.cloudflare.com; die Bot-Erkennung erfolgt
anhand technischer Signale (Browserumgebung, Tastatur-/Maus-Telemetrie,
IP-Adresse).
- Auftragsverarbeiter: Cloudflare, Inc., USA — auf Basis der EU-Standardvertragsklauseln im Rahmen des Cloudflare-Standard-DPA.
- Keine Tracking-Cookies, keine Werbe-IDs; keine Verknüpfung mit anderen Cloudflare-Diensten.
- Übermittelte Daten: IP-Adresse, User-Agent, Bot-Score und ein anonymer Token. Keine Übermittlung der E-Mail-Adresse oder anderer Formulardaten.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem zuverlässigen Schutz vor Missbrauch). Cloudflares Datenschutzhinweise: cloudflare.com/de-de/privacypolicy.
3D-Modell-Upload
Angemeldete Nutzer:innen können 3D-Modelle im GLB-Format hochladen (max. 50 MB pro Datei, max. 10 Modelle pro Account). Gespeichert werden Dateiname, Titel, Dateigröße, Marker-Wert und Sichtbarkeitsstatus (privat / öffentlich). Speicherdauer: bis zur Löschung durch Nutzer:in oder Administration.
USDZ-Konvertierung
Damit Modelle auf iPhone und iPad über Apples
Quick Look betrachtet werden können, wird die
hochgeladene GLB-Datei an einen internen Konvertier-Dienst unter
node-ar.zhl-ubt.de übermittelt. Die Verbindung ist
HMAC-signiert. Es erfolgt keine Übertragung an
Drittanbieter außerhalb des Hochschulkontextes.
Server-Logs
Zur Sicherheit, zur Fehlersuche und zum Schutz vor Missbrauch werden
Server-Logs geführt. Aufgezeichnet werden u. a. IP-Adresse,
User-Agent, Anfragepfad sowie anwendungsspezifische Ereignisse
(z. B. login.*, admin.*,
usdz.*, dsgvo.*). Speicherdauer:
14 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
(berechtigtes Interesse am sicheren Betrieb).
Marker-Generator
Die Marker-Bilder werden serverseitig aus dem Marker-Wert (eine Zahl von 0 bis 1023) berechnet. Personenbezogene Daten werden hierbei nicht verarbeitet.
Ihre Rechte (Art. 15–22 DSGVO)
- Auskunft (Art. 15): Selfservice unter Mein Account → „Daten exportieren“. Sie erhalten ein ZIP mit allen zu Ihrem Account gespeicherten Daten.
- Löschung (Art. 17): Selfservice unter Mein Account → „Konto löschen“. Account, Modelle und zugehörige Dateien werden unwiderruflich entfernt.
- Berichtigung (Art. 16): Den Anzeigenamen können Sie unter Mein Account selbst ändern. Für Änderungen der E-Mail-Adresse wenden Sie sich bitte an xrlehre@uni-bayreuth.de — ein Selfservice-Wechsel ist aus Sicherheitsgründen nicht vorgesehen.
- Widerspruch (Art. 21): Schriftlich an die oben genannte Anschrift.
- Beschwerde: Sie haben das Recht zur Beschwerde bei einer Aufsichtsbehörde, in Bayern beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA).
AR-Nutzung
Beim Aufruf eines AR-Viewers benötigt die Anwendung Zugriff auf die Kamera des Endgeräts. Die Kamerabilder werden ausschließlich lokal im Browser zur Marker-Erkennung bzw. zum WebXR-Tracking verarbeitet und nicht an den Server übertragen oder gespeichert. Auf iPhone und iPad wird das Modell über Apples systemeigenes Quick Look dargestellt; es kommen keine zusätzlichen Drittanbieter-Dienste zum Einsatz.