LoginStarten
Rechtlich

Datenschutzerklaerung

Informationen nach Art. 13 und 14 DSGVO. Stand: 23. April 2026.

1. Wer wir sind

Verantwortlicher im Sinne der DSGVO ist Matthias Meyer, Carrer Leonor Servera 12, 07590 Cala Ratjada, Spanien. Kontakt: [email protected]. Kein Datenschutzbeauftragter bestellt (nicht erforderlich, kein Kerngeschaeft mit regelmaessiger systematischer Beobachtung).

2. Was wir speichern und warum

2.1 Account (Magic-Link-Login)

Für das Einloggen brauchen wir Deine E-Mail-Adresse. Kein Passwort. Wir senden einen Magic-Link an Dein Postfach, damit Du Dich authentifizieren kannst. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfuellung).

Wir speichern zusätzlich Deinen Fortschritt (abgeschlossene Lektionen, XP, Streak-Tage, Quiz-Ergebnisse, Zertifikate, Notizen). Zweck: Bereitstellung der Schulungsplattform. Rechtsgrundlage: Vertragserfuellung.

2.2 Magic-Link Tokens

Wenn Du einen Login anforderst, generieren wir einen 64-stelligen Einmal-Token, speichern ihn als Hash in der DB und senden den Klartext an Deine E-Mail. Token verfallen nach 15 Minuten und können nur einmal eingeloest werden. Race-Condition-geschuetzt gegen Token-Takeover.

2.3 Zahlungsabwicklung (Stripe)

Wenn Du ein Pro-Abo oder einen Level-Kauf taetigst, wird die Zahlung über Stripe Payments Europe, Ltd. (Dublin, Irland) abgewickelt. Wir erhalten von Stripe nur die Zahlungsbestaetigung, Customer-ID und Subscription-ID. Kreditkarten-Daten sehen wir nie. Rechtsgrundlage: Vertragserfuellung. Stripe ist DSGVO-konform, Stripe Inc. (USA) ist unter dem EU-US Data Privacy Framework zertifiziert.

2.4 E-Mail-Versand (Brevo / Sendinblue)

Magic-Links und transaktionale E-Mails (Kauf-Bestätigungen, Zertifikat-Emails) versenden wir über Brevo (Sendinblue SAS, Paris, Frankreich). Brevo verarbeitet Deine E-Mail-Adresse und den Inhalt der Nachricht als Auftragsverarbeiter. Rechtsgrundlage: Vertragserfuellung. Kein Marketing-Versand ohne separate Einwilligung.

2.5 AI-Tutor (Anthropic Claude)

Der optionale AI-Tutor in jeder Lektion (Pro-Feature) sendet Deine Tutor-Frage plus den aktuellen Lektionstext an die Anthropic API (Anthropic PBC, San Francisco, USA). Anthropic verarbeitet die Anfrage, sendet eine Antwort, speichert die Anfrage laut eigenen Angaben bis zu 30 Tage für Abuse-Monitoring und nutzt Business-API-Inputs NICHT für Modell-Training. Rechtsgrundlage: Vertragserfuellung + berechtigtes Interesse (Art. 6 Abs. 1 lit. f).

Wichtiger Hinweis: Anthropic ist USA-basiert und ist nicht unter dem EU-US Data Privacy Framework zertifiziert. Die Datenuebermittlung erfolgt ausschließlich auf Basis der EU-Standardvertragsklauseln (SCC). Das Data Processing Addendum (DPA) ist Bestandteil der Anthropic-API-Terms. Wenn Du kein Transfer in die USA wuenschst, nutze den Tutor nicht — alle anderen Academy-Funktionen funktionieren ohne Anthropic-API-Call.

Zusätzlich Transparenz-Hinweis gemäß EU AI Act Art. 50: Der Tutor ist ein KI-System, kein Mensch. Das wird im Chat-Header sichtbar kommuniziert. KI-Antworten können Fehler enthalten und sind keine fachkundige Beratung.

2.6 Support-Chatbot

Der Chatbot auf der Website (rechts unten) sendet Deine Anfrage an die Anthropic API (gleiche Bedingungen wie 2.5, SCC-basierter Transfer in die USA, kein Data Privacy Framework). Keine dauerhafte Speicherung auf unserer Seite — der Chat-Verlauf lebt nur in Deiner Browser-Session. Wenn Du den Tab schließt, ist er weg. Das Chat-Header zeigt sichtbar dass es ein KI-System ist (EU AI Act Art. 50 Transparenzpflicht).

2.7 API-Keys (mcp-academy)

Wenn Du einen API-Key für den mcp-academy MCP-Server erstellst, speichern wir nur den SHA-256-Hash in der DB. Den Klartext siehst Du einmal beim Erstellen und bekommst ihn danach nie wieder. Wir können ihn nicht rekonstruieren. Du kannst Keys jederzeit widerrufen.

2.8 Server-Logs

Der Hosting-Anbieter (Hetzner, Deutschland) protokolliert bei jedem Aufruf automatisch:

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem Betrieb und Abwehr von Angriffen). Speicherdauer: 14 Tage. Keine Verknuepfung mit Deinem Account.

2.9 Cookies

Wir setzen genau ein technisch notwendiges Cookie: Das Session-Cookie (HttpOnly, Secure, SameSite=Lax) nach Login. Keine Tracking-Cookies, kein Facebook-Pixel, kein Google Analytics. Deshalb brauchen wir auch kein Cookie-Banner.

3. Wer sonst noch Deine Daten sieht

Wir geben Deine Daten nicht an Dritte weiter — ausser an die oben genannten Auftragsverarbeiter (Stripe, Brevo, Anthropic, Hetzner) im Rahmen der Vertragserfuellung. Mit allen bestehen DSGVO-konforme Auftragsverarbeitungsvertraege.

Kein Verkauf von Daten. Kein Werbenetzwerk. Kein Affiliate-Tracking ohne Deine ausdrueckliche Zustimmung.

4. Wie lange wir speichern

5. Deine Rechte

Nach Art. 15-21 DSGVO hast Du jederzeit das Recht auf:

Kurze E-Mail an [email protected] reicht. Wir antworten innerhalb 30 Tagen, in der Regel schneller.

6. Beschwerderecht

Du kannst Dich bei einer Datenschutzaufsichtsbehoerde beschweren. Zustaendig: Agencia Espanola de Proteccion de Datos (aepd.es) oder eine deutsche Landesdatenschutzbehoerde Deines Wohnortes.

7. Kein automatisiertes Profiling

Wir treffen keine Entscheidungen, die Dir rechtliche Wirkung oder ähnlich bedeutende Nachteile bringen, ausschließlich automatisiert. Dein Fortschritts-Ranking (XP, League, Rank) ist rein statistische Anzeige ohne rechtliche Wirkung auf Dich.

8. Änderungen dieser Erklärung

Wir passen die Datenschutzerklaerung an wenn sich Gesetze oder unser Dienst ändert. Die aktuelle Version findest Du immer hier unter /datenschutz. Wesentliche Änderungen kommunizieren wir per E-Mail an eingeloggte User.