Datenschutzerklärung

1. Verantwortlicher

Mark Rusniok
Gottesweg 20, 50969 Köln, Deutschland
E-Mail: [email protected]

Für datenschutzbezogene Anfragen (Auskunft, Löschung, Widerspruch) wenden Sie sich bitte per E-Mail an die oben genannte Adresse.

2. Welche Daten wir erheben

Bei der Registrierung

Name, E-Mail-Adresse, Passwort (verschlüsselt gespeichert, nie im Klartext)
Geburtsjahr (zur Prüfung ob Elterneinwilligung erforderlich)
Gewähltes Abonnement

Bei der Nutzung

Chat-Inhalte (Fragen und KI-Antworten) zur Anzeige im Verlauf
Hochgeladene Dateien/Bilder (nur für die unmittelbare Verarbeitung)
Nutzungsstatistiken (XP, Level, Streak, Fächerverteilung)
IP-Adresse, Browser-Typ (Server-Logs, automatisch)
Datum und Uhrzeit von Anfragen

Bei Zahlungen

Zahlungsdaten werden ausschließlich von Stripe verarbeitet – wir sehen keine vollständigen Kartendaten
Wir erhalten von Stripe nur Bestätigung des Zahlungsstatus und eine anonymisierte Kunden-ID

Beim Kontaktformular / Newsletter

Name, E-Mail-Adresse, Nachrichteninhalt

3. Zwecke und Rechtsgrundlagen

Zweck	Rechtsgrundlage
Bereitstellung der Plattform und des Nutzerkontos	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
KI-Verarbeitung von Eingaben	Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Zahlungsabwicklung über Stripe	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Elterneinwilligung für Minderjährige	Art. 8 DSGVO i.V.m. Art. 6 Abs. 1 lit. a DSGVO
Newsletter (nur mit ausdrücklicher Anmeldung)	Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Kontaktanfragen beantworten	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Sicherheit, Missbrauchsprävention	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Aufbewahrung von Rechnungsdaten	Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht)

4. KI-Dienste und Drittanbieter

Für die KI-Funktionen der Plattform nutzen wir externe KI-Dienste (u.a. von OpenAI und Anthropic). An diese Dienste werden ausschließlich die Texteingaben der Nutzer übermittelt – keine personenbezogenen Stammdaten (kein Name, keine E-Mail).

      Mit dem Absenden einer Frage im Chat willigen Sie ein, dass Ihre Eingabe zur
      Verarbeitung an den jeweiligen KI-Dienstleister übermittelt wird. Diese Einwilligung
      können Sie jederzeit durch Nichtnutzung der Chat-Funktion widerrufen.
    

Mit den KI-Anbietern bestehen Auftragsverarbeitungsverträge (Art. 28 DSGVO) sowie Standardvertragsklauseln (SCCs) für die Übermittlung in Drittländer (USA). Die Verarbeitung erfolgt ausschließlich zur Leistungserbringung; die Eingaben werden nicht zur Weiterentwicklung der Modelle verwendet.

5. Besondere Regelungen für Minderjährige

Kinder unter 16 Jahren dürfen unsere Dienste nur mit Einwilligung eines Erziehungsberechtigten nutzen (Art. 8 DSGVO).

Bei der Registrierung wird das Geburtsjahr abgefragt. Wird ein Alter unter 16 Jahren festgestellt, wird der Account erst nach digitaler Einwilligung eines Elternteils aktiviert. Bis dahin werden keine Nutzungsdaten gespeichert.

Eltern können über das Eltern-Dashboard die Aktivitäten ihres Kindes einsehen, Zeitlimits setzen und den Account jederzeit löschen lassen.

6. Auftragsverarbeiter

Wir setzen folgende externe Dienstleister ein, mit denen Auftragsverarbeitungsverträge nach Art. 28 DSGVO geschlossen wurden:

Anbieter	Zweck	Sitz
Render Services, Inc.	Hosting & Server-Infrastruktur	USA (SCCs)
OpenAI, Inc.	KI-Textverarbeitung	USA (SCCs)
Anthropic, PBC	KI-Textverarbeitung	USA (SCCs)
Stripe, Inc. (wird aktuell nicht aktiv genutzt – geplant ab 05/2026)	Zahlungsabwicklung	USA/IE (SCCs, EU-Niederlassung)

Bei Übermittlungen in die USA bestehen Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Ein Restrisiko bei Drittlandübermittlungen kann nicht vollständig ausgeschlossen werden.

7. Cookies und lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Cookies und LocalStorage-Einträge:

studibrudi_token – Login-Token (Session-Verwaltung)
studibrudi_user – Nutzerprofil (Name, Abo-Status)
parentToken – Eltern-Login-Token

Es werden keine Tracking-Cookies, Werbe-Cookies oder Analyse-Dienste wie Google Analytics eingesetzt.

8. Zahlungsabwicklung (Stripe)

Für die Abwicklung von Abonnements nutzen wir Stripe. Bei der Zahlungsabwicklung werden Sie direkt auf die Stripe-Checkout-Seite weitergeleitet. Ihre Zahlungsdaten (Kreditkartennummer, etc.) werden ausschließlich von Stripe verarbeitet und erreichen unsere Server nicht.

Stripe's Datenschutzerklärung: stripe.com/de/privacy

9. Speicherdauer und Löschung

Datenkategorie	Speicherdauer
Nutzerkonto & Profildaten	Bis zur Löschung durch den Nutzer oder auf Anfrage
Chat-Verläufe	Bis zur Kontoschließung oder auf Anfrage
Server-Logs (IP, Zeitstempel)	7 Tage, dann automatische Löschung
Rechnungsdaten	10 Jahre (§ 147 AO, steuerrechtliche Pflicht)
Newsletter-Anmeldung	Bis zur Abmeldung
Elterneinwilligungen	Bis zur Kontoschließung des Kindes
Kontaktanfragen	6 Monate nach Abschluss des Vorgangs

Zur Löschung Ihres Accounts senden Sie bitte eine E-Mail an [email protected].

10. Ihre Rechte

Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Auskunft (Art. 15 DSGVO) – Welche Daten wir über Sie haben
Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten
Löschung (Art. 17 DSGVO) – „Recht auf Vergessenwerden"
Einschränkung (Art. 18 DSGVO) – Eingeschränkte Verarbeitung
Datenübertragbarkeit (Art. 20 DSGVO) – Export Ihrer Daten
Widerspruch (Art. 21 DSGVO) – Gegen Verarbeitung auf Basis berechtigter Interessen
Widerruf – Erteilte Einwilligungen jederzeit widerrufbar (ohne Auswirkung auf vergangene Verarbeitung)

Zur Ausübung Ihrer Rechte wenden Sie sich per E-Mail an: [email protected]

11. Datensicherheit

Wir setzen folgende technische und organisatorische Maßnahmen ein:

Verschlüsselte Übertragung via HTTPS/TLS
Passwörter werden ausschließlich als bcrypt-Hash gespeichert (nie im Klartext)
Zugriffskontrollen und JWT-basierte Authentifizierung
Rate-Limiting zum Schutz vor Brute-Force-Angriffen
Regelmäßige Sicherheitsupdates der Abhängigkeiten

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Datenverarbeitung oder gesetzlichen Anforderungen anzupassen. Die aktuelle Version ist stets unter /datenschutz.html abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.

Stand: März 2026

13. Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig für Nordrhein-Westfalen ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW)
Kav