Datenschutzerklärung

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO):

Bei der Registrierung:

• Benutzername (frei wählbar)
• E-Mail-Adresse
• Passwort (verschlüsselt gespeichert, bcrypt-Hash)

Bei der Nutzung der App:

• Lernfortschritt (beantwortete Fragen, richtig/falsch)
• Karteikarten-Lernstatus (Leitner-Box, nächste Wiederholung)
• Kursfortschritt (gelesene Kapitel)
• Prüfungsergebnisse und Statistiken
• Erfahrungspunkte, Level und Achievements
• Chat-Nachrichten und Forum-Beiträge
• Online-Status und Sitzungsdauer

Automatisch erfasste technische Daten:

• IP-Adresse (nur temporär für Rate-Limiting, wird nicht dauerhaft gespeichert)
• Browser-Typ und Betriebssystem (über HTTP-Header)
• Zeitpunkt des Zugriffs

Ihre Daten werden ausschließlich für folgende Zwecke verarbeitet:

• Account-Verwaltung: Registrierung, Login, Passwort-Reset
• App-Funktionalität: Lernfortschritt speichern, Statistiken berechnen, personalisierte Lernempfehlungen
• Community-Features: Chat, Forum, Multiplayer-Spiele
• Gamification: Punkte, Level, Ranglisten
• Sicherheit: Rate-Limiting zum Schutz vor Missbrauch

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Bereitstellung der App-Funktionen sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Sicherheitsmaßnahmen.

Ihre Daten werden auf einem Server in Deutschland (Standort Falkenstein) bei der

gespeichert. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Eine Übertragung in Drittländer findet im regulären Betrieb nicht statt — mit einer eingegrenzten Ausnahme bei der Nutzung des KI-Assistenten Luna (siehe § 5a).

Server-Logs: Der Webserver (nginx) protokolliert beim Aufruf der Seite die IP-Adresse, den User-Agent und den aufgerufenen Pfad. Diese Logs werden nach maximal 14 Tagen automatisch gelöscht und dienen ausschließlich der Fehleranalyse und Missbrauchserkennung (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO).

Schriftarten: Alle Schriftarten (Inter) werden lokal vom eigenen Server ausgeliefert. Es findet keine Verbindung zu Google Fonts oder anderen externen CDNs für Schriften statt.

Sicherheitsmaßnahmen:

• HTTPS/TLS-Verschlüsselung für alle Datenübertragungen
• Passwörter werden mit bcrypt gehasht (nicht im Klartext gespeichert)
• JWT-Token basierte Authentifizierung
• Rate-Limiting gegen Brute-Force-Angriffe
• Regelmäßige Server-Updates

Ihre Daten werden nicht an Dritte weitergegeben, verkauft oder zu Werbezwecken verwendet.

Einzige Ausnahme: Der Hosting-Anbieter Hetzner Online GmbH hat als Auftragsverarbeiter technischen Zugang zum Server. Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Die Lernapp nutzt einen KI-Assistenten namens Luna — z. B. für Lerntipps, Antworten im Chat-Widget, Bewertung freier Prüfungsantworten und Hilfe in Kursen. Damit Luna funktioniert, werden bestimmte Anfragen an externe oder interne KI-Modelle weitergegeben. Das beschreiben wir hier transparent.

Welche KI-Modelle wir einsetzen:

• Mistral (primär) — ein KI-Modell der Mistral AI SAS, Frankreich. Standardweg für die allermeisten Anfragen. Verarbeitung erfolgt innerhalb der EU. Mistral trainiert nicht auf den Inhalten, die über unsere API laufen (das ist im genutzten Pay-Plan vertraglich ausgeschlossen).
• Ollama (lokal, höchste Datenschutz-Stufe) — für sensible oder besonders schützenswerte Aufgaben läuft die KI komplett offline auf eigener Hardware. Dabei verlassen die Daten die Lernapp-Infrastruktur überhaupt nicht.
• Anthropic Claude (Fallback & Bilderkennung) — Anthropic PBC, USA. Wird nur ausnahmsweise genutzt: (a) wenn Mistral nicht erreichbar ist, (b) für einzelne spezielle Skills, bei denen Luna Daten aus der Plattform-Datenbank über strukturierte "Tools" abrufen muss, (c) für Bilderkennung (Vision/OCR), wenn Sie etwa einen Screenshot an Luna schicken. Mittelfristig wird auch das auf eine EU-Lösung migriert (Pixtral o.ä.). Kein Training auf Anfrage-Inhalten laut Anbieter-AGB.

Welche Daten werden an die KI übermittelt:

• Ihre konkrete Frage / Eingabe an Luna.
• Plattform-Kontext, der zur Beantwortung nötig ist: Ihr Benutzername, aktuelle Lernstatistiken, ggf. Ausschnitte aus Ihrem Lernverlauf, ggf. der zuletzt von Ihnen angeschaute Inhalt.
• Bei expliziter Bild-Funktion: das von Ihnen gesendete Bild bzw. der Screenshot.
• Nicht übermittelt werden: Ihr Passwort, Ihre IP-Adresse als Tracking-Marker, Zahlungsdaten oder Daten anderer Nutzer.

Speicherung & Training:

• Ihre Luna-Chats werden lokal in der Lernapp-Datenbank gespeichert. Zweck: Qualitätsprüfung und Verbesserung der KI-Antworten durch uns selbst (z. B. zu erkennen, wo Luna falsch antwortet).
• Diese gespeicherten Chats werden nicht an die KI-Anbieter zurückgespielt und nicht für Modell-Training verwendet — weder durch uns noch durch die Anbieter.
• Sie können jederzeit die Löschung Ihrer Luna-Chat-Historie verlangen (Art. 17 DSGVO, siehe § 7).

Rechtsgrundlage und Drittlandtransfer:

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionsfähigen Lernhilfe sowie an verbesserten Lernergebnissen). Sie können der Verarbeitung jederzeit widersprechen, indem Sie Luna nicht nutzen — die Lernapp funktioniert auch ohne KI-Assistenz.

Sofern im Fallback-Fall Anthropic Claude (USA) genutzt wird — entweder weil Mistral kurz nicht erreichbar ist oder für einzelne Spezial-Skills mit Tool-Use bzw. Bilderkennung — stützen wir den Drittlandtransfer auf die EU-Standardvertragsklauseln (SCC, Art. 46 Abs. 2 lit. c DSGVO) des Anbieters. Eine Übermittlung an US-Behörden im Rahmen des CLOUD Acts kann technisch nicht ausgeschlossen werden — deshalb halten wir die Inhalte gezielt knapp und migrieren mittelfristig auch die Bilderkennung auf eine rein europäische Lösung.

Die App verwendet folgende lokale Speichermechanismen:

• localStorage: Speicherung des Login-Tokens, Theme-Einstellungen, Cookie-Einwilligung
• IndexedDB: Offline-Lerndaten (Fragen, Karteikarten, Kurse) zur Nutzung ohne Internetverbindung
• Service Worker Cache: App-Dateien für Offline-Funktionalität

Alle lokal gespeicherten Daten dienen ausschließlich der App-Funktionalität. Es werden keine Tracking-Cookies oder Werbe-Cookies verwendet.

Sie können die Cookie-Einstellungen jederzeit über den entsprechenden Link im Footer der App anpassen.

Push-Benachrichtigungen (optional)

Wenn Sie Push-Benachrichtigungen in den Profil-Einstellungen aktivieren, erzeugt Ihr Browser eine eindeutige Push-Endpoint-URL. Diese URL zeigt je nach Browser/Gerät auf einen Push-Dienst des Herstellers:

• Chrome / Edge / Android: Google FCM (Google LLC, USA)
• Firefox: Mozilla Autopush (Mozilla Foundation, USA)
• Safari / iOS: Apple Push Notification Service (Apple Inc., USA)

Die Endpoint-URL wird in unserer Datenbank gespeichert, damit wir Ihnen Benachrichtigungen senden können. Wir übertragen nur die von Ihnen gewählte Benachrichtigung (Titel + Text) an diesen Endpunkt. Sie können Push jederzeit in den Profil-Einstellungen wieder deaktivieren — die Endpoint-URL wird dann gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Gemäß DSGVO haben Sie folgende Rechte:

• Auskunftsrecht (Art. 15): Sie können jederzeit Auskunft über Ihre gespeicherten Daten verlangen.
• Berichtigungsrecht (Art. 16): Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschungsrecht (Art. 17): Sie können die Löschung Ihrer Daten verlangen. Dies ist auch über die Account-Löschung in den Profil-Einstellungen möglich.
• Einschränkung (Art. 18): Sie können die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20): Sie können Ihre Daten in einem maschinenlesbaren Format anfordern.
• Widerspruchsrecht (Art. 21): Sie können der Verarbeitung Ihrer Daten widersprechen.

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte kontaktieren Sie uns unter:

kontakt@hahn-it-wuppertal.de

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist: