Privacy

International School of Düsseldorf e.V.
Privacy Policy for the Use of ToucanTech

ENGLISH VERSION

1. Controller (Art. 4 No. 7 GDPR)
International School of Düsseldorf e.V.
Niederrheinstrasse 336
40489 Düsseldorf, Germany

2. Data Protection Officer
The School has appointed a Data Protection Officer (DPO). Contact details are available on the School’s website or upon request.

3. Purpose of Processing and Legal Basis (Art. 6 GDPR)
Personal data is processed for the following purposes:

a) School Communication and Community Management

Communication with parents, staff, and alumni

Organisation of school life and community engagement
Legal basis: Art. 6(1)(b) and (f) GDPR

b) Event Management

Invitations, registrations, attendance tracking
Legal basis: Art. 6(1)(b) and (f) GDPR

c) Fundraising and Advancement Activities

Communication regarding the Annual Fund and other school initiatives

Maintaining long-term relationships with families and alumni
Legal basis: Art. 6(1)(f) GDPR (legitimate interest) and, where required, Art. 6(1)(a) GDPR (consent)

ISD’s legitimate interest lies in maintaining an engaged, informed, and supportive school community and ensuring the long-term financial sustainability of the institution.

d) Alumni Relations

Maintaining contact with former students and families

Community networking and engagement
Legal basis: Art. 6(1)(f) GDPR

4. Categories of Personal Data
The following data may be processed:

Identification data (name)

Contact details (email, phone number)

Relationship to ISD (parent, alumni, staff)

Profile data (e.g. interests, preferences, voluntary information)

Event participation data

Communication and interaction data within the platform

Technical data (IP address, login data, timestamps, device/browser information)

5. Source of Data
Data is obtained directly from users, from school administrative systems, or through interaction with the platform.

6. Recipients and Data Processors (Art. 28 GDPR)
ToucanTech acts as a data processor under a Data Processing Agreement pursuant to Art. 28 GDPR.

Data may be accessed by authorised ISD staff strictly on a need-to-know basis.

Personal data will not be disclosed to third parties unless required by law or necessary for the stated purposes.

7. Transfers to Third Countries (Art. 44 et seq. GDPR)
Where personal data is transferred outside the European Economic Area, appropriate safeguards are implemented, including Standard Contractual Clauses approved by the European Commission.

8. Data Retention
Personal data is retained as follows:

Active parent and staff data: for the duration of the relationship with ISD

Alumni data: retained on an ongoing basis to maintain long-term engagement, unless an objection is raised

Event and communication data: retained for up to 3 years after the last interaction

Technical logs: retained for up to 12 months for security and system integrity purposes

Data will be deleted or anonymised when no longer required unless statutory retention obligations apply.

9. Visibility Within the Platform
Certain profile data (e.g. name, role, limited contact details) may be visible to other authorised users within ToucanTech.

Users are strictly prohibited from:

Downloading or extracting personal data for external use

Using personal data for commercial or private purposes

Sharing data outside the platform without a valid legal basis

10. Cookies and Technical Processing
ToucanTech may process technical data such as IP addresses, session data, and log files to ensure platform functionality, security, and performance.

Legal basis: Art. 6(1)(f) GDPR

11. Data Subject Rights (Art. 15–21 GDPR)
Users have the right to:

Access their personal data (Art. 15 GDPR)

Rectification (Art. 16 GDPR)

Erasure (“right to be forgotten”, Art. 17 GDPR)

Restriction of processing (Art. 18 GDPR)

Data portability (Art. 20 GDPR, where applicable)

Object to processing (Art. 21 GDPR), particularly regarding fundraising communications based on legitimate interest

To exercise these rights, users may contact ISD or the DPO.

12. Right to Lodge a Complaint (Art. 77 GDPR)
Users have the right to lodge a complaint with a supervisory authority. The competent authority is:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)

13. Security Measures (Art. 32 GDPR)
ISD implements appropriate technical and organisational measures to ensure a level of security appropriate to the risk.

14. Obligation to Provide Data
Provision of personal data is necessary to access and use the ToucanTech platform. Failure to provide required data may result in restricted access.

15. Updates to this Policy
ISD reserves the right to amend this Privacy Policy. The current version will be made available via the School.

DEUTSCHE VERSION

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)
International School of Düsseldorf e.V.
Niederrheinstrasse 336
40489 Düsseldorf

2. Datenschutzbeauftragter
Ein Datenschutzbeauftragter wurde bestellt. Die Kontaktdaten sind über die Schule verfügbar.

3. Zwecke der Verarbeitung und Rechtsgrundlagen (Art. 6 DSGVO)

a) Kommunikation und Community Management

Kommunikation mit Eltern, Mitarbeitenden und Alumni

Organisation des Schullebens
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO

b) Veranstaltungsmanagement

Einladungen, Anmeldungen, Teilnahmeverwaltung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO

c) Fundraising und Förderaktivitäten

Kommunikation zum Annual Fund und weiteren Initiativen

Pflege langfristiger Beziehungen
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO sowie ggf. Art. 6 Abs. 1 lit. a DSGVO

Das berechtigte Interesse der ISD liegt in der Sicherstellung einer aktiven Schulgemeinschaft sowie der langfristigen finanziellen Stabilität.

d) Alumni-Arbeit

Kontaktpflege und Netzwerkbildung
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

4. Kategorien personenbezogener Daten

Stammdaten (Name)

Kontaktdaten (E-Mail, Telefonnummer)

Beziehung zur Schule

Profildaten und freiwillige Angaben

Veranstaltungsdaten

Nutzungs- und Kommunikationsdaten

Technische Daten (IP-Adresse, Logdaten, Zeitstempel)

5. Datenquellen
Die Daten stammen von den betroffenen Personen selbst, aus Schulverwaltungssystemen oder aus der Nutzung der Plattform.

6. Empfänger und Auftragsverarbeitung (Art. 28 DSGVO)
ToucanTech wird als Auftragsverarbeiter eingesetzt. Ein Vertrag zur Auftragsverarbeitung besteht.

Zugriff innerhalb der Schule erfolgt ausschliesslich durch berechtigte Personen.

7. Drittlandübermittlung (Art. 44 ff. DSGVO)
Bei Übermittlungen ausserhalb des EWR werden geeignete Garantien, insbesondere Standardvertragsklauseln, eingesetzt.

8. Speicherdauer

Eltern- und Mitarbeitendendaten: Dauer der Zugehörigkeit zur Schule

Alumni-Daten: bis zum Widerspruch

Veranstaltungs- und Kommunikationsdaten: bis zu 3 Jahre

Technische Logdaten: bis zu 12 Monate

Eine Löschung erfolgt, sobald der Zweck entfällt, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

9. Sichtbarkeit innerhalb der Plattform
Bestimmte Profildaten sind für andere berechtigte Nutzer sichtbar.

Die unbefugte Nutzung oder Weitergabe personenbezogener Daten ist untersagt.

10. Technische Verarbeitung und Cookies
Zur Gewährleistung von Funktionalität und Sicherheit werden technische Daten verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

11. Betroffenenrechte (Art. 15–21 DSGVO)
Betroffene haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch.

12. Beschwerderecht (Art. 77 DSGVO)
Zuständige Aufsichtsbehörde:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)

13. Datensicherheit (Art. 32 DSGVO)
Es werden angemessene technische und organisatorische Massnahmen getroffen.

14. Pflicht zur Bereitstellung der Daten
Die Bereitstellung der Daten ist für die Nutzung der Plattform erforderlich.

15. Änderungen
Diese Datenschutzerklärung kann bei Bedarf angepasst werden.