Datenschutzerklärung

Informationen zur Verarbeitung Ihrer personenbezogenen Daten gemäß DSGVO

1. Verantwortliche Stelle

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Laurens Schafstädt
Studybroker (Einzelunternehmen)
Albrecht-Dürer-Straße 9
28209 Bremen
Telefon: +49 170 1142601
E-Mail: support@studybroker.de

Die Bestellung eines Datenschutzbeauftragten ist gesetzlich nicht vorgeschrieben, da die Voraussetzungen gemäß Art. 37 DSGVO i. V. m. § 38 BDSG nicht erfüllt sind.

2. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Informationen stellen wir Ihnen gemäß Art. 13 und Art. 14 DSGVO zur Verfügung. Sie geben einen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unsere Website und unsere Web-App nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Wie erfassen wir Ihre Daten?

Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen – etwa bei der Registrierung, beim Ausfüllen des Kontaktformulars oder bei der Nutzung unserer Lernfunktionen. Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst (z. B. technische Daten wie Browsertyp, Betriebssystem oder Uhrzeit des Seitenaufrufs).

Wofür nutzen wir Ihre Daten?

Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Ihre Lerninhalte und -daten werden verarbeitet, um Ihnen unsere KI-gestützten Lernfunktionen bereitstellen zu können. Eine darüber hinausgehende Analyse Ihres Nutzerverhaltens (z. B. Tracking, Profiling) findet nicht statt.

Welche Rechte haben Sie bezüglich Ihrer Daten?

Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit an uns wenden.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Soweit Sie uns eine Einwilligung zur Verarbeitung erteilt haben, z. B. für nicht technisch notwendige Cookies oder die Einbindung externer Dienste.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Wenn die Verarbeitung zur Erfüllung eines Vertrags mit Ihnen erforderlich ist, z. B. die Bereitstellung Ihres Benutzerkontos, der Lernfunktionen und der Zahlungsabwicklung.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Wenn die Verarbeitung zur Wahrung unserer berechtigten Interessen erforderlich ist und Ihre Interessen nicht überwiegen, z. B. für Server-Log-Dateien, technisch notwendige Cookies und die Gewährleistung der IT-Sicherheit.
  • Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Soweit wir einer rechtlichen Verpflichtung unterliegen, z. B. der Aufbewahrung steuerrelevanter Daten.

Pflicht zur Bereitstellung von Daten (Art. 13 Abs. 2 lit. e DSGVO)

Die Bereitstellung von Daten für die Registrierung und Nutzung der Web-App (insbesondere E-Mail-Adresse, Authentifizierungsdaten sowie abrechnungsbezogene Angaben bei kostenpflichtigen Funktionen) ist für den Vertragsabschluss und die Vertragserfüllung erforderlich. Ohne diese Daten können wir kein Benutzerkonto bereitstellen bzw. kostenpflichtige Leistungen nicht abrechnen. Angaben im Kontaktformular sind demgegenüber freiwillig, jedoch können wir Anfragen ohne die erforderlichen Kontaktinformationen nicht beantworten.

4. SSL- bzw. TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung personenbezogener Daten eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

5. Hosting

Unsere Marketing-Website (studybroker.de) wird bei folgendem Anbieter gehostet:

Hostinger International Ltd.
61 Lordou Vironos Street, 6023 Larnaca, Zypern

Hostinger verarbeitet Ihre Daten in der Europäischen Union. Wir haben einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO mit Hostinger geschlossen. Dieser stellt sicher, dass Hostinger die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Unsere Web-App (app.studybroker.de) wird über die Infrastruktur von Supabase bereitgestellt (siehe Abschnitt 8). Die Server-Log-Dateien der Marketing-Website werden vom Hosting-Provider Hostinger erhoben; für die Web-App gelten die in Abschnitt 8 beschriebenen Regelungen von Supabase.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der zuverlässigen Bereitstellung der Website).

6. Server-Log-Dateien

Der Hosting-Provider erhebt und speichert automatisch Informationen in Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Speicherung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Gewährleistung eines störungsfreien Betriebs unserer Website sowie der Erkennung und Abwehr von Missbrauch.

Speicherdauer: Die Server-Log-Dateien der Marketing-Website (Hostinger) werden nach spätestens 30 Tagen automatisch gelöscht. Für technische Betriebslogs der Web-App siehe Abschnitt 8 ("Technische Betriebslogs").

7. Cookies und lokaler Speicher

Cookies

Unsere Website verwendet sogenannte „Cookies". Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden und keinen Schaden anrichten.

Technisch notwendige Cookies und lokaler Speicher

Wir verwenden ausschließlich technisch notwendige Cookies und lokalen Speicher (localStorage, sessionStorage), die für den Betrieb unserer Website und App zwingend erforderlich sind. Hierzu gehören:

  • Authentifizierungs-Tokens: Zur Aufrechterhaltung Ihrer Anmeldesitzung (Supabase Auth). Diese werden im Browser als technisch notwendige Sitzungsdaten gespeichert (persistSession aktiviert), während aktiver Nutzung automatisch erneuert und bei Abmeldung oder nach Ablauf/Ungültigkeit der Sitzung entfernt.
  • Cache-Daten im localStorage: Technische Zwischenspeicherung zur Beschleunigung der Anwendung. Ein Teil dieser Daten hat kurze Lebensdauern (typisch 3-30 Minuten je nach Datentyp). Zusätzlich werden technisch notwendige Zustandsdaten (z. B. UI-Status) im lokalen Speicher gehalten; diese bleiben bis zur Überschreibung oder manuellen Löschung im Browser bestehen.
  • Session-Daten im sessionStorage: Temporäre Sitzungsdaten für laufende Lernabfragen. Diese werden beim Schließen des Browser-Tabs automatisch entfernt.

Für technisch notwendige Cookies und lokalen Speicher ist gemäß § 25 Abs. 2 TDDDG keine Einwilligung erforderlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch fehlerfreien Darstellung und Optimierung der Website).

Wir verwenden keine Tracking-, Analyse- oder Marketing-Cookies.

8. Backend-Dienste (Supabase)

Für unsere Web-App nutzen wir Supabase als Backend-Dienstleister für Authentifizierung, Datenbank, Dateispeicher und serverlose Funktionen:

Supabase Inc.
548 Market St, San Francisco, CA 94104, USA

Supabase fungiert als Auftragsverarbeiter gemäß Art. 28 DSGVO. Wir haben einen Data Processing Addendum (DPA) mit Standardvertragsklauseln (SCCs) gemäß dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission abgeschlossen. Unser Supabase-Projekt ist in der Region eu-west-3 (Paris, Frankreich) gehostet; die Datenverarbeitung (Datenbank, Dateispeicher, Edge Functions) erfolgt innerhalb dieser Region.

Authentifizierung

Bei der Registrierung und Anmeldung werden folgende Daten verarbeitet:

  • E-Mail-Adresse
  • Passwort (gehasht gespeichert, für uns nicht im Klartext einsehbar)
  • Zeitpunkt der Registrierung und der letzten Anmeldung
  • IP-Adresse (für die Authentifizierungsprüfung)

Sie können sich per E-Mail/Passwort oder per Magic Link (passwortlose Anmeldung per E-Mail) anmelden. Eine Anmeldung über Google OAuth ist derzeit deaktiviert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – das Benutzerkonto ist Voraussetzung für die Nutzung der App).

Technische Betriebslogs (Web-App)

Bei der Nutzung der Web-App können bei Supabase technische Plattform- und Funktionslogs zur Sicherstellung von Betrieb, Fehleranalyse und Missbrauchserkennung anfallen. Diese Logs werden von uns nicht für Profiling- oder Marketingzwecke ausgewertet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Stabilität).

Speicherdauer: Die Vorhaltezeit dieser technischen Logs richtet sich nach den jeweils für unser Supabase-Projekt aktiven Plattform-Einstellungen.

Datenbank und Dateispeicher

In der Supabase-Datenbank werden folgende Nutzerdaten gespeichert:

  • Benutzereinstellungen: Anzeigename, Spracheinstellung, Theme (hell/dunkel), Semesterauswahl, Schriftgröße und weitere App-Präferenzen
  • Lerninhalte: Von Ihnen erstellte oder generierte Lehrtexte, Zusammenfassungen und Lernmaterialien
  • Lernkarten und Fragen: Karteikarten, Fragen sowie deren Inhalte und Metadaten
  • Lernfortschritt: Wiederholungsstatus, Bewertungen, Antwortzeiten und Lernstatistiken Ihres Spaced-Repetition-Systems
  • Chat-Verläufe: Nachrichten in Tutor-Sitzungen einschließlich Ihrer Eingaben und KI-Antworten
  • Guthabenstand und Nutzungsereignisse: Ihr aktuelles Credit-Guthaben sowie eine Aufzeichnung der genutzten Funktionen und verbrauchten Tokens

Generierte Lerninhalte (Markdown-Dateien) werden im Supabase-Dateispeicher abgelegt.

Der Zugriff auf Ihre Daten ist durch Row-Level-Security (RLS) geschützt. Dadurch sind Daten konto-seitig isoliert; zusätzlich kann ein Zugriff durch autorisierte Systemprozesse (z. B. service_role für technische Verarbeitung) nur im erforderlichen Umfang erfolgen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datei-Uploads und optionale 30-Tage-Speicherung (Komfortfunktion)

Sie können Lernunterlagen als Datei hochladen. Unterstützt wird ausschließlich das Dateiformat PDF (maximal 30 MB je Datei). Ohne aktivierte Speicherung wird die hochgeladene Datei ausschließlich für die Dauer der aktuellen Anfrage serverseitig verarbeitet und anschließend nicht dauerhaft gespeichert.

Für die optionale Speicherung werden ausschließlich die Original-PDF-Datei und notwendige Metadaten verarbeitet (z. B. Dateiname, Dateigröße, MIME-Typ, Erstellungszeitpunkt, Zeitpunkt der letzten Nutzung, Löschzeitpunkt, technische Speicherpfade und Zuordnung zu Lerneinheiten). Aus dieser Komfortfunktion werden keine Embeddings, Vektorindizes oder inhaltsbasierten Zusatzprofile erstellt.

Die Option „Datei 30 Tage speichern“ ist standardmäßig deaktiviert (Privacy by default) und wird im Onboarding als letzter Schritt sowie in den Einstellungen unter „Datenschutz“ separat angeboten.

PDF-Parsing über Google (Region eu3)

Wenn Sie PDF-Inhalte in KI-Funktionen nutzen, werden erforderliche PDF-Daten serverseitig durch einen technischen Parser verarbeitet. Dabei kann die Datei vollständig oder seitenweise analysiert und als extrahierter Text bzw. als Bildkontext an unsere Backend-Infrastruktur zurückgegeben werden.

Für diese Verarbeitung setzen wir Google als Verarbeiter ein (insbesondere Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, sowie konzernverbundene Unternehmen wie Google LLC, USA). Die PDF-Parsing-Verarbeitung ist auf die von uns konfigurierte Google-Region eu3 ausgerichtet.

Übermittelt werden nur die für die jeweilige Anfrage erforderlichen Inhalte und Metadaten (insbesondere PDF-Inhalt, Seitennummern, Dateigröße, technische Request-IDs). Eine direkte Übermittlung aus Ihrem Browser an Google erfolgt nicht; die Kommunikation läuft ausschließlich serverseitig über unsere Supabase-Edge-Funktionen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung für die angeforderte PDF- bzw. KI-Funktion).

Speicherdauer: Temporäre PDF-Objekte und signierte Abruf-Links für die Parser-Verarbeitung sind kurzlebig und werden nach Abschluss der Verarbeitung gelöscht; zusätzlich greifen automatische Bereinigungsroutinen. Etwaige anbieterseitige Kurzzeitaufbewahrungen zur Missbrauchserkennung richten sich nach den Angaben unter Abschnitt 9.

Zwecktrennung und Rechtsgrundlagen

Verarbeitung Zweck Rechtsgrundlage
Zweck A Verarbeitung hochgeladener Dateien zur angeforderten KI-Funktion (z. B. Fragen, Lehrbuchkapitel, weitere Generierung) Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Zweck B Optionale Aufbewahrung für bis zu 30 Tage ab letzter Nutzung, um erneute Uploads zu vermeiden Art. 6 Abs. 1 lit. a DSGVO (Einwilligung / Opt-in)

Einwilligung, Widerruf und Nachweis

  • Opt-in ist freiwillig und nicht Voraussetzung für die Nutzung der App.
  • Widerruf (Opt-out) ist jederzeit gleich leicht in den Einstellungen („Datenschutz“) möglich.
  • Self-Service: „Gespeicherte Dateien anzeigen“ sowie „Alle Dateien löschen“ mit unmittelbarer Löschung im Live-System.
  • Wir protokollieren Einwilligungs- und Widerrufsereignisse datensparsam (user_id, Zeitstempel, Scope „file_retention_30d“, policy_version, ui_text_version).

Speichergrenzen und Soft-Lock bei Abo-Ende

  • Plus-Plan: bis 1 GB gespeicherte Dateien.
  • Pro-Plan: bis 3 GB gespeicherte Dateien.
  • Bei Überschreitung können Dateien weiterhin für die aktuelle Anfrage hochgeladen werden, werden jedoch nicht mehr für 30 Tage gespeichert.
  • Nach Ablauf eines kostenpflichtigen Plans werden gespeicherte Dateien schreibgeschützt (Soft-Lock): Download ist bis zum jeweiligen Löschzeitpunkt möglich; eine Verlängerung der Speicherfrist erfolgt nicht.

Löschung und Backup-Hinweis

  • Automatische Löschung: täglich werden abgelaufene Dateien inklusive Metadaten und Zuordnungen entfernt (30 Tage ab letzter Nutzung in einer generativen KI-Funktion; ein reiner Download verlängert die Frist nicht).
  • Sofortlöschung bei Nutzeraktion: Dateiobjekt, Metadaten und Zuordnungen werden unverzüglich aus Live-Systemen entfernt.
  • Backups werden nicht punktgenau gelöscht, nicht produktiv genutzt und innerhalb der Backup-Rotation überschrieben (derzeit bis zu 30 Tage).
  • Löschgründe werden datensparsam protokolliert (z. B. „expiry“, „user_request“, „opt_out“).

Technische und organisatorische Maßnahmen (TOMs) bei Datei-Uploads

  • Private Speicherbereiche (keine Public Buckets) mit nutzerbezogenen Zugriffskontrollen (RLS/Policies je Benutzer).
  • Verschlüsselung bei Übertragung (TLS) sowie ruhende Verschlüsselung beim Infrastrukturanbieter.
  • Kurzlebige signierte Download-Links (Presigned URLs, kurze Gültigkeit).
  • Revocation-Strategie: Nach Löschung/Opt-out werden keine neuen Download-Links ausgestellt; bestehende Links verfallen zeitnah.
  • Service-Role-Schlüssel ausschließlich serverseitig (nicht im Client).
  • Datensparsame Audit-Protokolle für Datei-Zugriffe und Löschvorgänge.

Hinweis zu sensiblen Gesundheitsdaten

Bitte laden Sie keine patientenidentifizierenden Daten hoch (z. B. Namen, Geburtsdaten, Fotos, Aktennummern, Arztbriefe). Die Upload-Oberfläche enthält hierzu einen klaren Hinweis. Weitere Pflichten der Nutzer sind in den AGB geregelt.

Drittlandtransfer (Supabase)

Supabase Inc. ist ein US-amerikanisches Unternehmen. Die Datenverarbeitung erfolgt auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Supabase stellt zudem ein Transfer Impact Assessment (TIA) bereit, das die Angemessenheit der Schutzmaßnahmen dokumentiert.

9. KI-gestützte Inhaltsgenerierung (modellabhängige Anbieter)

Zur Generierung von Lernmaterialien, Fragen und Zusammenfassungen setzen wir – abhängig vom jeweils gewählten Modell – externe KI-Anbieter ein, insbesondere:

  • Google (z. B. Gemini)
  • OpenAI
  • Baseten
  • Fireworks AI

Die Kommunikation mit den KI-Anbietern erfolgt ausschließlich serverseitig über unsere Backend-Infrastruktur (Supabase Edge Functions). Eine direkte Übermittlung aus Ihrem Browser an die Modellanbieter erfolgt nicht.

Übermittelt werden nur die für die jeweilige Anfrage erforderlichen Inhalte (z. B. Prompt, Lernkontext und ggf. Inhalte hochgeladener PDF-Dateien für die konkrete Verarbeitung). Nutzerdaten wie E-Mail-Adresse oder interne Zahlungsinformationen sind nicht Teil der Modellanfrage.

Soweit KI-Anbieter als Auftragsverarbeiter eingesetzt werden, erfolgt die Verarbeitung auf Grundlage eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO).

Datenverbleib bei KI-Anbietern

Ergänzung für PDF-Parsing: Bei Upload-basierten KI-Funktionen kann je nach gewähltem Modell eine vorgeschaltete PDF-Analyse bei Google (Region eu3) erfolgen, damit Inhalte technisch auslesbar an das jeweilige Zielmodell übergeben werden können. Diese Verarbeitung erfolgt ausschließlich zweckgebunden für Ihre konkrete Anfrage.

Die KI-Anbieter verwenden Ihre Eingaben und Dateien nicht zum Training oder zur Verbesserung ihrer Modelle. Im Einzelnen:

  • Google (Gemini API): Die Speicherdauer kann abhängig vom genutzten API-Modus und den aktivierten Einstellungen variieren (z. B. Store-/Abuse-Monitoring-Einstellungen). Bei kostenpflichtiger Nutzung können Prompts und Antworten zur Missbrauchserkennung protokolliert und nach Anbieterangaben typischerweise innerhalb von bis zu 55 Tagen gelöscht werden. Bei Nutzung von Grounding mit Google Search können Prompts, Kontextinformationen und generierte Ausgaben zusätzlich für bis zu 30 Tage gespeichert werden.
  • Baseten: Eingaben und Ausgaben bei synchronen Anfragen werden nicht gespeichert. Bei asynchronen Anfragen werden Eingaben bis zur vollständigen Verarbeitung zwischengespeichert und anschließend gelöscht.
  • Fireworks AI: Bei Nutzung über die Inference-API gilt standardmäßig eine Zero-Data-Retention-Richtlinie. Je nach gewählter Produkt- oder Logging-Konfiguration können jedoch abweichende Aufbewahrungsfristen gelten.
  • OpenAI: Bei Nutzung der OpenAI-API werden Eingaben und Ausgaben nach Anbieterangaben standardmäßig zeitlich begrenzt zur Missbrauchserkennung gespeichert (typischerweise bis zu 30 Tage) und nicht zum Modelltraining verwendet. Je nach vertraglicher Konfiguration (z. B. Zero-Data-Retention) kann die Speicherdauer reduziert sein.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung für angeforderte Generierungen).

10. Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen und die Verwaltung von Abonnements nutzen wir den Zahlungsdienstleister:

Stripe Payments Europe, Ltd.
1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland

Bei einem Kauf oder Abonnement werden folgende Daten an Stripe übermittelt:

  • E-Mail-Adresse
  • Gewähltes Abonnement bzw. Produkt
  • Zahlungsinformationen (Kreditkartendaten, SEPA etc.) – diese werden ausschließlich von Stripe verarbeitet und sind für uns nicht einsehbar

Stripe fungiert je nach Vorgang als eigenständiger Verantwortlicher oder als Auftragsverarbeiter. Stripe ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; die Datenübermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission gemäß Art. 45 DSGVO (Durchführungsbeschluss (EU) 2023/1795 vom 10. Juli 2023).

Wir speichern lediglich die Stripe-Kunden-ID, den Abonnementstatus und die Zahlungshistorie (Beträge, Zeitpunkte) – nicht jedoch Ihre Zahlungsmittel-Daten.

Weitere Informationen: Stripe Datenschutzerklärung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

11. Kontaktformular

Wenn Sie uns über das Kontaktformular Anfragen zukommen lassen, werden folgende Angaben verarbeitet:

  • E-Mail-Adresse
  • Betreff und Kategorie Ihrer Anfrage
  • Nachrichteninhalt
  • IP-Adresse (zur Missbrauchsprävention und Ratenbegrenzung)

Die Zustellung erfolgt über den E-Mail-Dienst Resend (Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA). Resend verarbeitet Ihre Daten ausschließlich zur Zustellung der E-Mail und fungiert als Auftragsverarbeiter gemäß Art. 28 DSGVO. Wir haben einen Auftragsverarbeitungsvertrag (DPA) mit Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Nutzeranfragen) bzw. Art. 6 Abs. 1 lit. b DSGVO, sofern die Anfrage auf den Abschluss oder die Erfüllung eines Vertrags abzielt. Die Verarbeitung der IP-Adresse zur Missbrauchsprävention und Ratenbegrenzung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer: Kontaktanfragen werden so lange aufbewahrt, wie es für die Bearbeitung Ihres Anliegens erforderlich ist, maximal jedoch 6 Monate nach Abschluss der Korrespondenz, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Datenschutzanfragen können Sie über das Kontaktformular (Kategorie „Datenschutzanfrage“) oder per E-Mail an support@studybroker.de einreichen.

12. Schriftarten (lokal gehostet)

Diese Website verwendet die Schriftarten „IBM Plex Sans" und „Inter". Die Schriftarten sind lokal auf unserem Server eingebunden (Self-Hosting). Es wird keine Verbindung zu externen Servern hergestellt, und es werden keine Daten an Dritte übermittelt.

13. Datenübermittlung in Drittländer

Im Rahmen unserer Datenverarbeitung werden personenbezogene Daten an Empfänger in den USA übermittelt. Wir stellen die Rechtmäßigkeit dieser Übermittlungen durch folgende Mechanismen sicher:

  • Supabase Inc. (USA): Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO, ergänzt durch ein Transfer Impact Assessment (TIA).
  • Stripe Payments Europe, Ltd. (Irland/USA): Stripe ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; die Übermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses gemäß Art. 45 DSGVO (Durchführungsbeschluss (EU) 2023/1795 vom 10. Juli 2023).
  • Google (Irland/USA): Einsatz als KI-Anbieter je nach Modellkonfiguration; Datenübermittlung ausschließlich serverseitig. Google LLC ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; die Übermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses gemäß Art. 45 DSGVO (Durchführungsbeschluss (EU) 2023/1795 vom 10. Juli 2023).
  • Google PDF-Parsing (Region eu3): Die Primärverarbeitung erfolgt in der konfigurierten EU-Region eu3. Soweit ein Zugriff durch konzernverbundene Stellen in Drittländern erforderlich wird (z. B. Support-/Sicherheitsprozesse), erfolgt die Übermittlung auf Grundlage geeigneter Garantien (insbesondere Art. 45 DSGVO/DPF bzw. Art. 46 DSGVO/SCCs).
  • OpenAI, L.L.C. (USA): Einsatz als KI-Anbieter je nach Modellkonfiguration; Datenübermittlung ausschließlich serverseitig. Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO (insbesondere Standardvertragsklauseln, SCCs).
  • Baseten (USA): Einsatz als KI-Infrastruktur je nach Modellkonfiguration; Datenübermittlung ausschließlich serverseitig. Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
  • Fireworks AI (USA): Einsatz als KI-Anbieter je nach Modellkonfiguration; Datenübermittlung ausschließlich serverseitig. Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
  • Resend Inc. (2261 Market Street #5039, San Francisco, CA 94114, USA): Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

14. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

  • Benutzerkonto und Nutzungsdaten: Bis zur Löschung Ihres Kontos. Die Löschung aus Live-Systemen erfolgt sofort; in Backups enthaltene Kopien werden innerhalb der Backup-Rotation überschrieben (derzeit bis zu 30 Tage).
  • Lerninhalte, Lernkarten und Lernfortschritt: Bis zur Löschung durch Sie oder bis zur Kontolöschung.
  • Chat-Verläufe: Bis zur Löschung durch Sie oder bis zur Kontolöschung.
  • Optional gespeicherte Upload-PDFs: 30 Tage ab letzter Nutzung der Datei in einer generativen KI-Funktion (z. B. Fragen- oder Lehrbuchgenerierung); ein reiner Download verlängert die Frist nicht. Bei Opt-out oder manueller Löschung sofortige Entfernung aus Live-Systemen.
  • Temporäre Parser-Artefakte (PDF-Verarbeitung): Kurzlebige technische Zwischenobjekte (z. B. temporäre Speicherobjekte, signierte Abruf-Links, seitenbezogene Extraktionen) werden nur für die laufende Verarbeitung vorgehalten und danach gelöscht; zusätzliche automatische Bereinigungsroutinen greifen innerhalb kurzer Fristen.
  • Einwilligungs-Protokolle (Consent-Logs): Für die Dauer der Geschäftsbeziehung und bis zu 3 Jahre nach Kontolöschung (gesetzliche Verjährungsfrist gemäß § 195 BGB), um die Einwilligung nachweisen zu können.
  • Audit-Protokolle (Dateizugriffe und Löschvorgänge): Bis zur Kontolöschung, spätestens jedoch 1 Jahr nach dem jeweiligen Vorgang.
  • Backups: Keine produktive Nutzung; Überschreibung innerhalb der Backup-Rotation (derzeit bis zu 30 Tage).
  • Zahlungsdaten und Abrechnungsbelege: 10 Jahre gemäß handels- und steuerrechtlichen Aufbewahrungspflichten (§ 147 AO, § 257 HGB).
  • Server-Log-Dateien: Maximal 30 Tage.
  • Lokaler Speicher (localStorage/sessionStorage): Session-Daten im sessionStorage werden beim Schließen des Browser-Tabs gelöscht. Cache-Daten im localStorage haben je nach Datentyp kurze TTLs (typisch 3-30 Minuten) oder bestehen als technisch notwendige Zustandsdaten bis zur Überschreibung bzw. manuellen Löschung im Browser.
  • Kontaktanfragen: Maximal 6 Monate nach Abschluss der Bearbeitung.

15. Ihre Rechte als betroffene Person

Ihnen stehen gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten zu:

Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Daten und auf weitere Informationen gemäß Art. 15 DSGVO. Sie können Ihre Daten jederzeit über die Datenexport-Funktion in Ihrem Benutzerkonto als JSON-Datei herunterladen.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unverzüglich die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern die gesetzlichen Voraussetzungen vorliegen. Sie können Ihr Benutzerkonto und alle damit verbundenen Daten (Lerninhalte, Lernkarten, Chat-Verläufe, Einstellungen, Guthaben sowie optional gespeicherte Upload-Dateien) jederzeit über die Kontolöschungs-Funktion in Ihrem Profil vollständig und unwiderruflich löschen. Die Löschung aus Live-Systemen erfolgt sofort. In automatisierten Backups enthaltene Kopien werden nicht produktiv genutzt und innerhalb der Backup-Rotation überschrieben (derzeit bis zu 30 Tage). Gesetzliche Aufbewahrungspflichten (z. B. steuerrechtliche Belege) bleiben hiervon unberührt.

Optional gespeicherte Upload-Dateien können Sie zusätzlich jederzeit in den Einstellungen unter „Datenschutz“ einzeln oder gesammelt („Alle Dateien löschen“) entfernen.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen gegeben ist.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Unsere App bietet hierfür eine integrierte Datenexport-Funktion (JSON-Format).

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen.

Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sofern Sie eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.

Zur Ausübung Ihrer Rechte können Sie sich jederzeit an uns wenden: support@studybroker.de

16. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

Die für uns zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen
Arndtstraße 1, 27570 Bremerhaven
Telefon: +49 421 361-2010
E-Mail: office@datenschutz.bremen.de
Website: www.datenschutz.bremen.de

17. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO findet nicht statt.

18. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand 16.02.2026. Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes oder der Datenverarbeitung anzupassen. Die jeweils aktuelle Fassung ist stets auf dieser Seite abrufbar.