Datenschutzerklärung
Informationen nach Art. 13 und 14 DSGVO
1. Datenschutz auf einen Blick
Allgemeine Hinweise
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unsere Website und Lern-Apps nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.
Verantwortlicher
KI-Macht-Lernen GmbH
Frankenstraße 22
71065 Sindelfingen
Eingetragen im Handelsregister des Amtsgerichts Stuttgart, HRB 804697
E-Mail: info@ki-macht-lernen.de
Telefon: 0151 4710 3901
Wie erfassen wir Ihre Daten?
Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen — z.B. durch Registrierung mit einer E-Mail-Adresse. Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z.B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs).
Wofür nutzen wir Ihre Daten?
Die Daten werden erhoben, um eine fehlerfreie Bereitstellung der Website und Lern-Apps zu gewährleisten. Eine Nutzung zu Analysezwecken findet nicht statt. Wir setzen kein Tracking, keine Analyse-Tools und kein Profiling ein.
Welche Rechte haben Sie bezüglich Ihrer Daten?
Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit an uns wenden.
Wo werden Ihre Daten gehostet?
Schwerpunkt EU / Deutschland. Lernfortschritts- und Nutzerdaten werden bei Supabase in Frankfurt am Main (AWS-Region eu-central-1) gespeichert. Zahlungen für das Eltern-Abo werden über Stripe Payments Europe Ltd. in Dublin (Irland) abgewickelt. Domain und E-Mail-Versand laufen über IONOS in Deutschland.
Authentifizierung (Clerk), Webhosting der Lern-Apps (Netlify) und die KI-Lernhilfen (Anthropic) werden in den USA verarbeitet — abgesichert durch EU-Standardvertragsklauseln bzw. das EU-US Data Privacy Framework. Bei der KI-Verarbeitung gilt zusätzlich Zero Data Retention: keine Speicherung der Anfragen beim KI-Anbieter, kein Training mit unseren Daten.
Keine pauschale US-Cloud — Schüler- und Lernfortschritts-Daten bleiben primär in Deutschland.
2. Hosting
Netlify
Unsere Website und Lern-Apps werden bei Netlify, Inc. (512 2nd Street, Suite 200, San Francisco, CA 94107, USA) gehostet. Netlify ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert, sodass ein angemessenes Datenschutzniveau gewährleistet ist.
Beim Besuch unserer Website erfasst Netlify automatisch technische Zugriffsdaten in Server-Logfiles. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren Bereitstellung der Website).
Weitere Informationen: Netlify Privacy Policy
IONOS (DNS)
Unsere Domain wird über IONOS SE (Elgendorfer Str. 57, 56410 Montabaur, Deutschland) verwaltet. IONOS verarbeitet DNS-Anfragen zur Auflösung unserer Domain. Die Datenverarbeitung findet in Deutschland statt.
3. Allgemeine Hinweise und Pflichtinformationen
SSL- bzw. TLS-Verschlüsselung
Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.
Widerruf Ihrer Einwilligung zur Datenverarbeitung
Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.
Widerspruchsrecht gegen die Datenerhebung (Art. 21 DSGVO)
Wenn die Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen. Die jeweilige Rechtsgrundlage, auf der eine Verarbeitung beruht, entnehmen Sie dieser Datenschutzerklärung. Wenn Sie Widerspruch einlegen, werden wir Ihre betroffenen personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen (Art. 21 Abs. 1 DSGVO).
Beschwerderecht bei der Aufsichtsbehörde
Im Falle von Verstößen gegen die DSGVO steht Ihnen ein Beschwerderecht bei einer Aufsichtsbehörde zu. Zuständige Aufsichtsbehörde für uns ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de
Recht auf Auskunft, Berichtigung und Löschung
Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung sowie ggf. ein Recht auf Berichtigung oder Löschung dieser Daten. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit an uns wenden.
Recht auf Einschränkung der Verarbeitung
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Hierzu können Sie sich jederzeit an uns wenden.
Recht auf Datenübertragbarkeit
Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen.
4. Datenerfassung auf unserer Website
Server-Logfiles
Der Provider unserer Website (Netlify) erhebt und speichert automatisch Informationen in sogenannten Server-Logfiles, die Ihr Browser automatisch übermittelt. Dies sind:
- Browsertyp und -version
- Verwendetes Betriebssystem
- Referrer URL
- Hostname des zugreifenden Rechners
- Uhrzeit der Serveranfrage
- IP-Adresse
Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Grundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch fehlerfreien Darstellung und Sicherheit der Website).
Cookies und LocalStorage
Unsere Website und Lern-Apps verwenden ausschließlich technisch notwendige Cookies und LocalStorage-Einträge. Diese dienen der Authentifizierung (Login-Status), der Speicherung von Lernfortschritt und Benutzereinstellungen.
Es werden keine Tracking-Cookies, Analyse-Cookies oder Marketing-Cookies eingesetzt. Ein Cookie-Banner ist daher nicht erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG — technisch notwendige Cookies sind vom Einwilligungserfordernis ausgenommen).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktionsfähigkeit der Website).
Kontaktaufnahme per E-Mail
Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen bzw. Vertragserfüllung).
5. Authentifizierung
Clerk
Für die Benutzerregistrierung und Anmeldung in unseren Lern-Apps verwenden wir den Dienst Clerk (Clerk, Inc., San Francisco, CA, USA). Clerk ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
Bei der Registrierung und Anmeldung werden folgende Daten verarbeitet:
- E-Mail-Adresse
- Passwort (verschlüsselt) oder einmalige Anmelde-Codes per E-Mail (Magic-Link)
- Zeitpunkt der Registrierung und Anmeldung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Authentifizierung ist für die Nutzung der Apps erforderlich).
Besonderheit: Schülerinnen und Schüler unter 16 Jahren
Im Rahmen von Schulverträgen (B2B) erfolgt die Nutzung auf Grundlage des Vertrags zwischen Schule und KI-Macht-Lernen GmbH (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung). Art. 8 DSGVO (Einwilligung bei Kindern) ist in diesem Fall nicht einschlägig, da der Dienst nicht dem Kind direkt, sondern der Schule angeboten wird. Die Lehrkraft trägt die Verantwortung für den altersgerechten Einsatz der KI-gestützten Lernhilfen im Unterricht.
Beim Eltern-Abo (B2C) holen wir die Einwilligung der Erziehungsberechtigten in die Verarbeitung der Daten des Kindes im Registrierungsprozess als separates Häkchen ein. Rechtsgrundlage ist Art. 8 DSGVO in Verbindung mit § 22 BDSG. Die Erziehungsberechtigten bestätigen mit dem Häkchen zugleich, ihrer Aufsichtspflicht über die Nutzung der KIM-Suite durch das Kind nachzukommen.
Beim sonstigen Einzelvertrag mit einer Person zwischen 16 und 18 Jahren ist zusätzlich die Einwilligung eines Erziehungsberechtigten gemäß § 110 BGB erforderlich.
6. Datenbank
Supabase
Zur Speicherung von Nutzerdaten und Lernfortschritten verwenden wir Supabase, Inc., 970 Toa Payoh North, San Francisco, CA, USA. Das Daten-Hosting unseres Projekts erfolgt in der Europäischen Union — konkret in der AWS-Region Frankfurt am Main (Deutschland, eu-central-1). Personenbezogene Daten von Nutzerinnen und Nutzern werden also primär in Deutschland verarbeitet und gespeichert. Soweit für Verwaltungsfunktionen einzelne Daten an die US-Konzernmutter übertragen werden, geschieht dies auf Grundlage von EU-Standardvertragsklauseln (SCC).
In der Datenbank werden gespeichert:
- Benutzer-ID (verknüpft mit Clerk-Authentifizierung)
- Lernfortschritt und App-spezifische Daten
- Beim Schulvertrag: Kurs- bzw. Klassenzugehörigkeit
- Beim Eltern-Abo: Zuordnung Eltern-Konto ↔ Kind-Seat, Abo-Status, Probephase- und Zahlungsmetadaten, persistente App-Einstellungen (z. B. Klassenstufe, ausgewähltes Fach in der KIM-App), KI-Trial-Verbrauchsstand
- Kein Alter oder Geburtsjahr — wird nicht erhoben
- Chat-Nachrichten zwischen Schülerinnen/Schülern und der KI (in Apps mit KI-Lernassistent)
- Von Schülerinnen/Schülern hochgeladene Dateien (Bilder, PDFs) als Anhänge zu Chat-Nachrichten
Klarnamen-Vermeidung als aktive Schutzmaßnahme
Wir verarbeiten keine Klarnamen (Vor- und Nachnamen) von Kindern und Schülerinnen / Schülern. Beim Anlegen von Schüler-Seats — durch Eltern, Lehrkräfte oder Schulen — sind ausschließlich Pseudonyme oder Spitznamen einzutragen. Eine etwaige Zuordnung von Seat zu Schülerin / Schüler liegt allein beim Vertragspartner und findet außerhalb unserer Systeme statt.
Damit wird das Risiko einer Re-Identifizierung von Minderjährigen über unsere Datenbank stark reduziert; Datenschutz ist hier nicht nur Vertragsklausel, sondern systemisch verankert (Privacy by Design, Art. 25 DSGVO).
Zwei Zugangsmodelle der KIM-App (KI-Lernassistent)
Schul-Modus (anonym): Im Schulkontext arbeiten Schülerinnen und Schüler anonym und ohne eigenen Account. Der Zugang erfolgt über einen von der Lehrkraft bereitgestellten Zugangscode. Es werden keine personenbezogenen Daten der Schülerinnen und Schüler erhoben — weder Name, noch E-Mail-Adresse, noch Geburtsdatum.
Eltern-Abo-Modus (mit Konto): Hat der Erziehungsberechtigte ein Eltern-Abo abgeschlossen, kann das zugeordnete Kind die KIM-App mit einem eigenen Konto (Magic-Link an die hinterlegte Schüler-E-Mail-Adresse) nutzen. Der KI-Chat-Verlauf wird gespeichert, damit der Erziehungsberechtigte ihn im Eltern-Bereich einsehen kann (siehe unten). Klassenstufe und ausgewähltes Fach werden in den persistenten App-Einstellungen gespeichert. Klarnamen sind weiterhin zu vermeiden (siehe Klarnamen-Vermeidung oben).
Einsicht durch Lehrkräfte
Apps ohne Lehrkraft-Einsicht: In vielen unserer Apps werden keine individuellen Lernfortschritte an Lehrkräfte weitergegeben.
Apps mit Einsicht in Lernfortschritte: In einigen Apps können Lehrkräfte den individuellen Lernfortschritt ihrer Schülerinnen und Schüler einsehen (z. B. gelernte Fachbegriffe, Übungsergebnisse, Lernlevel). Dies dient der pädagogischen Begleitung und gezielten Förderung.
Apps mit Einsicht in KI-Chatverläufe: In Apps mit KI-Lernassistent können Lehrkräfte die Chat-Verläufe und hochgeladenen Anhänge ihrer Schülerinnen und Schüler einsehen. Dies dient der pädagogischen Begleitung und Aufsichtspflicht. Schülerinnen und Schüler werden in der App darauf hingewiesen. Die Zuordnung kann über anonyme Zugangscodes erfolgen — Lehrkräfte sehen in diesem Fall keine Namen, sondern nur die vergebenen Codes.
Einsicht durch Erziehungsberechtigte (Eltern-Abo)
Im Rahmen des Eltern-Abos steht den Erziehungsberechtigten ein eigener Eltern-Bereich (Chat-Verlauf-Seite in der Eltern-Abo-App) zur Verfügung, der Einsicht in den KI-Chat-Verlauf des Kindes inklusive der hochgeladenen Dateien (Bilder, PDFs) und Lernfortschritte ermöglicht — als technische Unterstützung der Aufsichtspflicht über die Nutzung KI-gestützter Funktionen. Das Kind wird beim Start des KI-Chats darauf hingewiesen, dass das Eltern-Konto den Verlauf einsehen kann. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 8 DSGVO und § 22 BDSG (Einwilligung der Erziehungsberechtigten in die Verarbeitung der Daten des Kindes).
Rechtsgrundlage übergreifend: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); beim Eltern-Abo zusätzlich Art. 8 DSGVO und § 22 BDSG.
6a. Zahlungsabwicklung (Eltern-Abo, sonstiger Einzelvertrag)
Stripe
Zur Abwicklung von kostenpflichtigen Abonnements (Eltern-Abo und vergleichbaren Einzelverträgen) nutzen wir Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (nachfolgend „Stripe"). Die Datenverarbeitung erfolgt überwiegend in der EU. Sofern Daten in die USA übertragen werden, geschieht dies auf Grundlage von EU-Standardvertragsklauseln (SCC); die Stripe-Konzernmutter Stripe, Inc. (USA) ist zudem unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
Bei Abschluss eines Abonnements werden folgende Daten an Stripe übermittelt und dort verarbeitet:
- E-Mail-Adresse des Vertragspartners
- Name und Rechnungsanschrift (für die nach § 14 UStG erforderliche Rechnungsstellung)
- Land und ggf. Bundesland (für die korrekte Berechnung der Mehrwertsteuer durch Stripe Tax)
- Zahlungsmethoden-Daten (z. B. Karte, SEPA-IBAN) — diese werden direkt im Stripe-Checkout eingegeben und gelangen nicht in unsere eigenen Systeme
- Abo-Metadaten (Tarif, Probephase-Ende, Status)
Stripe stellt nach Vertragsschluss eine Rechnung im PDF-Format zur Verfügung und versendet Zahlungsbestätigungen direkt an die hinterlegte E-Mail-Adresse. Die Rechnungen werden zudem für die gesetzlich vorgeschriebenen Aufbewahrungsfristen (§ 257 HGB, § 147 AO) bei uns gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Pflichten — Steuer- und Aufbewahrungspflichten).
Weitere Informationen: Stripe Datenschutzerklärung.
6b. E-Mail-Versand
IONOS SMTP
Für den Versand vertragsbezogener E-Mails (insbesondere die Eltern-Bestätigungsmail nach Abschluss eines Eltern-Abos sowie ggf. Hinweise zum Ablauf der Probephase) nutzen wir den E-Mail-Dienst der IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland.
Übertragene Daten beschränken sich auf die zur Mail-Zustellung erforderlichen Felder (E-Mail-Adresse, Betreff, Mail-Inhalt). Die Datenverarbeitung findet in Deutschland statt; der Versand erfolgt verschlüsselt (TLS).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
7. Künstliche Intelligenz
Anthropic Claude API
Unsere Lern-Apps bieten optional KI-gestützte Lernhilfen an. Dazu nutzen wir die API von Anthropic (Anthropic, PBC, San Francisco, CA, USA). Die Datenübertragung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCC).
Welche Daten werden an die KI übermittelt?
- Die von Nutzern eingegebenen Fragen und Antworten (im Kontext der jeweiligen Lern-App)
- Von Schülerinnen/Schülern hochgeladene Dateien (Bilder, PDFs), sofern die App dies unterstützt
- Fachliche Kontextinformationen (z.B. aktuelles Thema, Aufgabenstellung)
- Keine personenbezogenen Daten wie Name, E-Mail oder Adresse
Zero Data Retention
Wir nutzen die Anthropic API mit Zero Data Retention (ZDR). Das bedeutet: Anthropic speichert die übermittelten Daten nicht und verwendet sie nicht zum Training seiner KI-Modelle. Die Daten werden ausschließlich zur Echtzeit-Verarbeitung der Anfrage genutzt und anschließend sofort verworfen.
Keine automatisierten Entscheidungen
Es findet kein automatisiertes Profiling oder automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Die KI dient ausschließlich als Lernhilfe und trifft keine Entscheidungen über Schülerinnen und Schüler (z.B. keine Benotung, kein Ranking).
KI-Kennzeichnung (Art. 50 AI Act)
KI-generierte Inhalte werden in unseren Apps als solche gekennzeichnet. Das System stellt kein Hochrisiko-KI-System im Sinne des AI Act dar, da es keine automatisierten Bewertungen oder Zugangssteuerungen für Bildungseinrichtungen vornimmt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — KI-Funktionen als Teil des Dienstes) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — KI-Nutzung ist optional).
8. Auftragsverarbeiter
Wir setzen folgende Dienstleister als Auftragsverarbeiter ein:
| Dienstleister | Zweck | Sitz | Garantie |
|---|---|---|---|
| Clerk, Inc. | Authentifizierung (Login/Registrierung) | USA | EU-US DPF |
| Supabase, Inc. | Datenbank (Nutzerdaten, Lernfortschritt) | Hosting: EU (Frankfurt); Konzernmutter USA | DSGVO (EU); SCC für Konzern-Datenflüsse |
| Anthropic, PBC | KI-Lernhilfe (Zero Data Retention) | USA | EU-SCC |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung Abonnements (Eltern-Abo) | Irland (EU) | DSGVO (EU); SCC für Konzern-Datenflüsse |
| Netlify, Inc. | Webhosting | USA | EU-US DPF |
| IONOS SE | DNS-Verwaltung, Domain, E-Mail-Versand (SMTP) | Deutschland | DSGVO (EU) |
Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO bzw. gleichwertige Datenschutzvereinbarungen (Data Processing Agreements).
Hinweis zur Rolle des Anbieters: Im Rahmen von Schulverträgen ist die Schule datenschutzrechtlich Verantwortliche; KI-Macht-Lernen GmbH verarbeitet die Daten der Schülerinnen und Schüler im Auftrag der Schule (Art. 28 DSGVO). Im Rahmen von Eltern-Abos und Einzelverträgen ist KI-Macht-Lernen GmbH selbst Verantwortliche im Sinne der DSGVO (Art. 6 Abs. 1 lit. b in Verbindung mit Art. 8 DSGVO und § 22 BDSG); ein Auftragsverarbeitungsvertrag mit den Erziehungsberechtigten wird in diesem Fall nicht geschlossen.
9. Datensicherheit
Wir setzen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:
- SSL/TLS-Verschlüsselung für alle Datenübertragungen
- bcrypt-Hashing für Passwörter (keine Klartext-Speicherung)
- API-Keys serverseitig gespeichert (nicht im Browser-Code)
- Rate Limiting zum Schutz vor Brute-Force-Angriffen
- CORS-Schutz — nur autorisierte Domains können auf die API zugreifen
- Row Level Security (RLS) in der Datenbank — Nutzer können nur auf ihre eigenen Daten zugreifen
10. Änderung dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Es gilt die jeweils aktuelle Fassung auf dieser Website.
Stand: Mai 2026