Datenschutz

Datenschutzerklärung für digitalacademy.de Stand: 15. Mai 2026 Wir freuen uns über Ihr Interesse an unserer Website digitalacademy.de. Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. In dieser Datenschutzerklärung informieren wir Sie darüber, welche personenbezogenen Daten wir bei der Nutzung unserer Website verarbeiten, zu welchen Zwecken dies geschieht, auf welcher Rechtsgrundlage die Verarbeitung erfolgt und welche Rechte Ihnen zustehen. 1. Verantwortlicher Verantwortlich für die Datenverarbeitung auf dieser Website ist der im Impressum genannte Betreiber. Verantwortlicher: Nikolaus Baier Templiner Str. 17 10119 Berlin info@digitalacademy.de Ein besonderer Datenschutzbeauftragter ist nicht benannt. Verantwortlich für Datenschutzanfragen ist der Betreiber der Website. 2. Allgemeine Hinweise zur Nutzung der Website digitalacademy.de bietet Quizfragen, Kurse und ergänzende Inhalte, insbesondere Ressourcen und Unterrichtsmaterialien, zu typischen Themen der Weiterbildung an. Viele Inhalte der Website können ohne Registrierung genutzt werden. Nicht registrierte Besucher können Quizzes und Kurse nutzen, ohne ein Nutzerkonto anzulegen. Soweit technisch möglich, erfolgt diese Nutzung anonym. Es werden jedoch technische Zugriffsdaten verarbeitet, die für den Betrieb, die Sicherheit und die Auslieferung der Website erforderlich sein können. Eine Registrierung ist erforderlich, wenn Nutzer eigene Quizzes, Kurse oder Ressourcen erstellen, bearbeiten oder zur Veröffentlichung einreichen möchten. 3. Rechtsgrundlagen der Verarbeitung Wir verarbeiten personenbezogene Daten insbesondere auf Grundlage folgender Rechtsgrundlagen: -Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung eines Nutzerkontos, zur Nutzung registrierungspflichtiger Funktionen oder zur Durchführung vorvertraglicher bzw. vertraglicher Maßnahmen erforderlich ist. -Art. 6 Abs. 1 lit. c DSGVO, soweit wir gesetzlichen Pflichten unterliegen, etwa steuer- oder handelsrechtlichen Aufbewahrungspflichten. -Art. 6 Abs. 1 lit. f DSGVO, soweit die Verarbeitung auf unseren berechtigten Interessen beruht, etwa am sicheren Betrieb der Website, an der Missbrauchsverhinderung, an der Moderation von Inhalten oder an der Bearbeitung von Anfragen. -Art. 6 Abs. 1 lit. a DSGVO, soweit Sie eine Einwilligung erteilen, insbesondere für Statistik- und Marketing-Cookies, Google Analytics, Google AdSense, externe Medien oder bestimmte Drittanbieterfunktionen. -§ 25 TDDDG, soweit Informationen auf Ihrem Endgerät gespeichert oder ausgelesen werden, beispielsweise durch Cookies, Local Storage oder vergleichbare Technologien. 4. Hosting, technische Infrastruktur und Dienstleister Unsere Website wird technisch über Lovable bereitgestellt. Die Domain wird bei IONOS verwaltet; ein DNS-Eintrag verweist auf die bei Lovable bereitgestellten Inhalte. Die technische Infrastruktur umfasst nach aktuellem Stand insbesondere: -Frontend-Hosting und Edge Runtime: Cloudflare Workers -CDN, Reverse Proxy, DDoS-Schutz und Web Application Firewall: Cloudflare -Backend und Datenbank: Lovable Cloud, powered by Supabase, PostgreSQL -Datenregion: EU, AWS Frankfurt, eu-central-1 -Authentifizierung: Supabase Auth, verwaltet über Lovable Cloud -Serverseitige Funktionen: TanStack Start Server Functions auf Cloudflare Workers -Transaktionale E-Mails: Lovable Emails über AWS SES, EU-Region -KI-Funktionen: Lovable AI Gateway mit Weiterleitung an Google Gemini und OpenAI -DNS-Validierung: Cloudflare DNS-over-HTTPS zur Prüfung von E-Mail-Domains -Build/CI: Lovable-Plattform Im Rahmen des Hostings und der technischen Bereitstellung können personenbezogene Daten an technische Dienstleister übermittelt werden, insbesondere an Lovable, Supabase, Cloudflare, AWS SES und IONOS. Die Verarbeitung erfolgt zum Zweck der sicheren, stabilen und effizienten Bereitstellung der Website. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren und zuverlässigen Betrieb der Website. Soweit die Verarbeitung zur Bereitstellung registrierungspflichtiger Funktionen erforderlich ist, erfolgt sie zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. 5. Technische Zugriffsdaten und Server-Logs Beim Aufruf unserer Website werden technische Zugriffsdaten verarbeitet. Dazu können insbesondere gehören: -IP-Adresse -Datum und Uhrzeit des Zugriffs -aufgerufene URL -Referrer-URL -Browsertyp und Browserversion -Betriebssystem -User-Agent -HTTP-Statuscode -übertragene Datenmenge -technische Request-Metadaten Diese Daten werden verarbeitet, um die Website auszuliefern, die Funktionsfähigkeit sicherzustellen, Fehler zu analysieren, Missbrauch zu verhindern und die Sicherheit der Infrastruktur zu gewährleisten. Nach aktuellem technischen Stand können insbesondere folgende Logdaten verarbeitet werden: -Cloudflare Edge Access Logs: Standard-Request-Metadaten wie Zeitstempel, IP-Adresse, User-Agent, URL und Statuscode; Aufbewahrung ca. 7 Tage. -Supabase Logs: API-, Postgres- und Auth-Logs; typischerweise ca. 7 Tage, in einzelnen Kategorien je nach Plan bis zu ca. 28 Tage. -AWS SES Logs: Zustell-, Bounce- und Complaint-Ereignisse für transaktionale E-Mails; Aufbewahrung ca. 14 Tage. Die Anwendung selbst schreibt keine eigenen allgemeinen Access-Logs in die Datenbank. Gespeichert werden jedoch betriebsnotwendige Anwendungsdaten, etwa Profile, Quizzes, Kurse, Versuche, Präferenzen und vergleichbare Daten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technischen Bereitstellung, Sicherheit, Fehleranalyse und Missbrauchsvermeidung. 6. Cookies, Local Storage und Einwilligungsverwaltung Unsere Website verwendet Cookies, Local Storage und vergleichbare Technologien. Dabei unterscheiden wir zwischen folgenden Kategorien: Notwendige Technologien Diese sind erforderlich, um die Website bereitzustellen, Logins zu ermöglichen, Sicherheitseinstellungen zu speichern und vom Nutzer gewünschte Funktionen bereitzustellen. Statistik Diese Technologien dienen der Analyse der Nutzung der Website, insbesondere durch Google Analytics 4. Sie werden nur nach Ihrer Einwilligung eingesetzt. Marketing Diese Technologien dienen der Anzeige und Auswertung von Werbung, insbesondere Google AdSense und ggf. Affiliate-/Marketing-Funktionen. Sie werden nur nach Ihrer Einwilligung eingesetzt. Wir verwenden ein eigenes Consent-Banner. Die getroffene Auswahl wird im Local Storage des Browsers unter dem Schlüssel ch_cookie_consent_v1 gespeichert. Dadurch kann sich die Website merken, welche Cookie- und Tracking-Einstellungen Sie gewählt haben. Rechtsgrundlage für notwendige Technologien ist § 25 Abs. 2 TDDDG sowie Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 6 Abs. 1 lit. b DSGVO. Rechtsgrundlage für Statistik- und Marketing-Technologien ist Ihre Einwilligung gemäß § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen oder ändern, indem Sie die Cookie-Einstellungen aufrufen bzw. die gespeicherte Auswahl im Browser löschen. 7. Registrierung und Nutzerkonto Für das Erstellen eigener Quizzes, Kurse und Ressourcen ist eine Registrierung erforderlich. Die Authentifizierung erfolgt derzeit über E-Mail und Passwort über Supabase Auth. Bei der Registrierung und Nutzung eines Nutzerkontos verarbeiten wir insbesondere: -E-Mail-Adresse -Public Name / öffentlicher Nutzername -Passwort bzw. Passwort-Hash -optionales Avatarbild oder Logo -Zeitpunkt der Registrierung -Zeitpunkt des letzten Logins -Rollen und Berechtigungen, z. B. Admin oder Creator -vom Nutzer erstellte Inhalte -Einstellungen und Präferenzen -Nutzungs- und Aktivitätsdaten innerhalb des Kontos Die E-Mail-Adresse ist nicht öffentlich sichtbar. Der Public Name ist öffentlich sichtbar und wird insbesondere bei veröffentlichten Quizzes und Kursen angezeigt. Nach der Registrierung erhält der Nutzer eine Bestätigungsmail. Bestimmte Funktionen, etwa das Erstellen von Inhalten, stehen erst nach Bestätigung der E-Mail-Adresse zur Verfügung. Nutzer können ihr Profil bearbeiten, insbesondere den Public Name ändern und ein Avatarbild oder Logo hochladen. Dieses Avatarbild bzw. Logo kann im öffentlichen Profil angezeigt werden. Passwörter werden nicht im Klartext gespeichert. Die Passwortverwaltung erfolgt über Supabase Auth; Passwörter werden als bcrypt-Hashes gespeichert. Die Anwendung selbst sieht oder speichert keine Rohpasswörter. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung des Nutzerkontos und der registrierungspflichtigen Funktionen erforderlich ist. Für Sicherheits- und Missbrauchspräventionsmaßnahmen ist zusätzlich Art. 6 Abs. 1 lit. f DSGVO einschlägig. 8. Drittanbieter-Login Derzeit ist der Login per E-Mail und Passwort aktiviert. Drittanbieter-Logins, insbesondere Google oder Apple, sind technisch möglich bzw. geplant, aber derzeit nicht aktiv eingebunden. Sofern künftig Drittanbieter-Logins angeboten werden, können je nach Anbieter insbesondere folgende Daten verarbeitet werden: -E-Mail-Adresse -Anzeigename -Profilbild-URL -eindeutige Anbieter-ID -ggf. Sprache oder Locale Bei Google und Apple werden typischerweise OpenID-Connect-Scopes wie openid, email und profile verwendet. Eine Aktivierung solcher Login-Optionen wird in dieser Datenschutzerklärung ergänzt, sobald sie tatsächlich angeboten wird. 9. Öffentliche Profile, Public Name und Avatar Registrierte Nutzer können einen Public Name angeben. Dieser Public Name ist öffentlich sichtbar und wird insbesondere bei veröffentlichten Quizzes und Kursen angezeigt. Nutzer können außerdem ein Avatarbild oder Logo hochladen. Dieses kann im öffentlichen Profil und im Zusammenhang mit veröffentlichten Inhalten sichtbar sein. Bitte verwenden Sie als Public Name keine sensiblen Angaben und keinen Klarnamen, wenn Sie nicht möchten, dass dieser öffentlich sichtbar ist. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit diese Funktionen Bestandteil des Nutzerkontos sind, sowie Art. 6 Abs. 1 lit. f DSGVO hinsichtlich der Darstellung von Autoren- und Creator-Informationen. 10. Erstellung, Prüfung und Veröffentlichung von Nutzerinhalten Registrierte Nutzer können eigene Inhalte erstellen, insbesondere: -Quizzes -Kurse -Ressourcen bzw. Unterrichtsmaterialien -Quellen und Links zu Internetseiten Ressourcen bestehen nach aktuellem Stand ausschließlich aus Links zu Internetseiten. Nicht veröffentlichte Inhalte sind für allgemeine Besucher nicht sichtbar. Von Nutzern erstellte Inhalte können nach einem Quality Check veröffentlicht werden. Veröffentlichte Quizzes und Kurse stehen dann allen Besuchern der Website zur Verfügung. Der Public Name des Erstellers kann bei veröffentlichten Quizzes und Kursen angezeigt werden. Inhalte können durch Admins oder Moderatoren geprüft, überarbeitet oder abgelehnt werden, insbesondere wenn sie nicht den Nutzungsbedingungen entsprechen. Außerdem können automatische Prüfroutinen eingesetzt werden, etwa zur Erkennung beleidigender, illegaler, missbräuchlicher oder doppelter Inhalte. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO für die Bereitstellung der Creator-Funktionen und Art. 6 Abs. 1 lit. f DSGVO für Moderation, Qualitätssicherung, Missbrauchsprävention und Schutz der Plattform. 11. Rollen und Moderationsrechte Es gibt verschiedene Rollen, insbesondere: -Creator: kann eigene Quizzes, Kurse und Ressourcen erstellen und bearbeiten. -Admin / Moderator: kann Inhalte einsehen, prüfen, moderieren, bearbeiten, freigeben oder ablehnen. Admins können im Rahmen ihrer Aufgaben Inhalte und damit verbundene Nutzerdaten einsehen, soweit dies zur Moderation, Qualitätssicherung, Bearbeitung von Supportfällen, Sicherheit oder Einhaltung der Nutzungsbedingungen erforderlich ist. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren, rechtskonformen und qualitätsgesicherten Betrieb der Plattform. 12. Quiz-Ergebnisse, Kursfortschritte, Zertifikate und Badges Bei registrierten Nutzern können Lern- und Nutzungsdaten verarbeitet werden, insbesondere: -gestartete und abgeschlossene Kurse -Quizversuche -Quiz-Ergebnisse -erreichte Punkte -Badges -Teilnahmebestätigungen -Zertifikate -Präferenzen und Themeninteressen Quiz-Ergebnisse können vom registrierten Nutzer selbst eingesehen werden. Ergebnisse werden anonymisiert gespeichert, soweit dies für Auswertungen, Qualitätssicherung oder statistische Zwecke erforderlich ist. Zertifikate, Badges und Teilnahmebestätigungen sind nur für den jeweiligen Teilnehmer sichtbar und können vom Nutzer heruntergeladen werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung der Lern-, Quiz-, Kurs- und Zertifikatsfunktionen erforderlich ist. Für anonymisierte Auswertungen und Qualitätssicherung ist Art. 6 Abs. 1 lit. f DSGVO einschlägig. 13. Bestenlisten Für bestimmte Quiz- oder Kursfunktionen können automatische Bestenlisten, etwa Top-10-Quizzer, erstellt werden. In Bestenlisten wird ausschließlich der öffentliche Public Name angezeigt. Nutzer können die Teilnahme an Bestenlisten abwählen. In diesem Fall werden sie nicht öffentlich in entsprechenden Rankings angezeigt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Bereitstellung interaktiver und motivierender Lernfunktionen. Soweit eine Einwilligung oder aktive Teilnahme erforderlich ist, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. 14. Likes und Dislikes Einzelne Quizzes, Kurse und Beiträge können mit Like oder Dislike bewertet werden. Like- und Dislike-Angaben werden anonym verarbeitet und nicht mit einem Nutzerkonto verknüpft. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Qualitätsbewertung und Verbesserung der Inhalte. 15. Personalisierte Empfehlungen und Themenpräferenzen Wir speichern individuelle Themenpräferenzen, um Nutzern passende Quizzes, Kurse oder Inhalte vorzuschlagen. Dazu können insbesondere bevorzugte Themenbereiche, besuchte oder begonnene Kurse, abgeschlossene Inhalte und ähnliche Nutzungsdaten verarbeitet werden. Eine Verknüpfung mit Google Analytics oder externen Werbeprofilen erfolgt nicht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit Empfehlungen Bestandteil der Nutzerfunktionen sind, sowie Art. 6 Abs. 1 lit. f DSGVO hinsichtlich der Verbesserung der Nutzererfahrung. 16. Kontaktformular und Ticketsystem Nutzer können über ein Kontaktformular Anliegen an uns übermitteln. Die Bearbeitung erfolgt über ein eigenes, individuelles Ticketsystem. Es erfolgt keine Übermittlung von Supportfällen an externe Ticketsystemanbieter. Bei Kontaktanfragen verarbeiten wir insbesondere: -Name bzw. Public Name -E-Mail-Adresse -Anliegen / Nachricht -Zeitpunkt der Anfrage -Status und Verlauf der Bearbeitung -ggf. Verknüpfung mit dem Nutzerkonto Supportfälle können mit dem jeweiligen Nutzerkonto verknüpft werden, soweit dies für die Bearbeitung erforderlich ist. Anfragen werden grundsätzlich für 12 Monate aufbewahrt, sofern nicht eine kürzere Löschung verlangt wird oder gesetzliche Pflichten bzw. berechtigte Interessen eine längere Aufbewahrung erforderlich machen. Support-Tickets können in Einzelfällen mithilfe von KI-Funktionen bewertet oder vorstrukturiert werden. Dabei werden personenbezogene Daten nach Möglichkeit vermieden oder reduziert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Anfrage mit einem Vertrag oder Nutzerkonto zusammenhängt, und Art. 6 Abs. 1 lit. f DSGVO für allgemeine Anfragen, Support, Dokumentation und Missbrauchsprävention. 17. Newsletter Derzeit bieten wir keinen Newsletter an. Sollten wir künftig einen Newsletter einführen, informieren wir gesondert über Anmeldung, Einwilligung, Versanddienstleister, Tracking, Abmeldemöglichkeit und Speicherdauer. Transaktionale E-Mails, etwa zur Registrierung, E-Mail-Bestätigung, Passwort-Zurücksetzung, Freigabe oder Ablehnung von Inhalten oder sonstigen konto- und funktionsbezogenen Vorgängen, werden über Lovable Emails / AWS SES in der EU-Region versendet. Rechtsgrundlage für transaktionale E-Mails ist Art. 6 Abs. 1 lit. b DSGVO, soweit die E-Mails zur Bereitstellung des Nutzerkontos oder einzelner Funktionen erforderlich sind, sowie Art. 6 Abs. 1 lit. f DSGVO für sicherheits- und verwaltungsbezogene Mitteilungen. 18. Google Analytics 4 Wir verwenden Google Analytics 4, einen Webanalysedienst von Google, sofern Sie der Kategorie „Statistik“ zugestimmt haben. Google Analytics hilft uns zu verstehen, wie unsere Website genutzt wird, welche Inhalte besonders relevant sind und wie wir unsere Angebote verbessern können. Dabei können insbesondere folgende Daten verarbeitet werden: -aufgerufene Seiten -Nutzungsereignisse -ungefähre Standortdaten -Geräte- und Browserinformationen -Referrer -Interaktionen mit der Website -technische Kennungen Google Analytics wird erst nach Ihrer Einwilligung geladen. Eine Verknüpfung mit registrierten Nutzerkonten erfolgt nicht. Die Datenaufbewahrung in Google Analytics beträgt 14 Monate. Nach Angaben von Google werden IP-Adressen von Nutzern aus der EU in Google Analytics nicht protokolliert oder gespeichert; IP-Adressen werden vor der Protokollierung verworfen. Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. 19. Google AdSense und Werbung Wir verwenden Google AdSense, sofern Sie der Kategorie „Marketing“ zugestimmt haben. Google AdSense dient der Einblendung von Werbung auf unserer Website. Je nach Einwilligung und Einstellungen können personalisierte oder nicht-personalisierte Anzeigen ausgespielt werden. Bei der Nutzung von Google AdSense können Cookies, Werbe-IDs, Geräteinformationen, Nutzungsdaten und vergleichbare Informationen verarbeitet werden. Google verlangt für Nutzer im EWR, Vereinigten Königreich und der Schweiz eine gültige Einwilligung für bestimmte Anzeigenfunktionen, insbesondere Anzeigenpersonalisierung und den Einsatz nicht notwendiger lokaler Speichertechnologien. Für personalisierte Anzeigen im EWR und UK müssen Publisher zudem eine von Google zertifizierte Consent-Management-Plattform verwenden, die mit dem IAB Transparency and Consent Framework integriert ist. Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Hinweis: Da derzeit ein eigenes Consent-Banner verwendet wird, sollte vor Live-Schaltung von personalisierter AdSense-Werbung geprüft werden, ob die Anforderungen von Google an zertifizierte Consent-Management-Plattformen erfüllt werden. 20. Affiliate-Links und Partnerprogramme Unsere Website kann Affiliate-Links und Partnerprogramme enthalten, insbesondere von: -Coursera -Udemy -ADCELL -AWIN Wenn Sie auf einen Affiliate-Link klicken, können Sie auf die Website eines externen Anbieters weitergeleitet werden. Dabei kann der jeweilige Anbieter erkennen, dass Sie über unsere Website auf sein Angebot gelangt sind. Je nach Partnerprogramm können Cookies oder vergleichbare Tracking-Technologien eingesetzt werden, um eine Vermittlung zuordnen zu können. Soweit Affiliate-Tracking bereits auf unserer Website erfolgt, geschieht dies nur nach entsprechender Einwilligung in die Kategorie „Marketing“. Soweit eine Verarbeitung erst nach Klick auf den Affiliate-Link auf der Website des jeweiligen Anbieters erfolgt, ist der jeweilige Anbieter für die dortige Datenverarbeitung verantwortlich. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO, soweit lediglich ein Link bereitgestellt wird. Für Marketing-Cookies und Tracking-Technologien ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG erforderlich. 21. Zahlungsabwicklung bei kostenpflichtigen Angeboten Derzeit sind Zahlungsfunktionen noch nicht aktiv. Es ist jedoch geplant, kostenpflichtige Angebote einzuführen und Zahlungsdienstleister wie Stripe und/oder PayPal einzusetzen. Soweit kostenpflichtige Leistungen angeboten werden, können insbesondere folgende Daten verarbeitet werden: -Name -Adresse -Unternehmen -Umsatzsteuer-ID -E-Mail-Adresse -Zahlungsart -Zahlungsstatus -Transaktions-ID -Rechnungsdaten -bevorzugte Zahlungsattribute, etwa bevorzugte Zahlungsart oder vergleichbare Zahlungspräferenzen Vollständige Zahlungsdaten, insbesondere vollständige Kreditkartennummern, werden in der Regel nicht durch uns selbst gespeichert, sondern durch den jeweiligen Zahlungsdienstleister verarbeitet. Für Zahlungen können insbesondere folgende Zahlungsarten vorgesehen sein: -Kreditkarte -Apple Pay -Google Pay -PayPal Rechnungsdaten werden aufgrund gesetzlicher Aufbewahrungspflichten für 10 Jahre aufbewahrt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO für die Vertragsdurchführung und Zahlungsabwicklung sowie Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Aufbewahrungspflichten. Diese Datenschutzerklärung wird konkretisiert, sobald Zahlungsfunktionen tatsächlich aktiviert werden. 22. Eingebettete Videos Videos, insbesondere von YouTube oder Vimeo, sind geplant. Soweit Videos künftig eingebettet werden, erfolgt die Einbindung datenschutzfreundlich, etwa über eine Zwei-Klick-Lösung oder erst nach vorheriger Einwilligung. Beim Laden externer Videos können personenbezogene Daten an den jeweiligen Anbieter übermittelt werden, insbesondere IP-Adresse, Geräteinformationen, Browserdaten, Referrer und Interaktionsdaten. Bei eingeloggten Nutzern des jeweiligen Anbieters kann dieser die Nutzung ggf. dem dortigen Konto zuordnen. Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG, soweit externe Videos nicht technisch notwendig sind. 23. Schriftarten Unsere Website lädt keine externen Schriftarten von Google Fonts oder anderen Font-CDNs. Es werden Systemschriftarten des jeweiligen Endgeräts verwendet, etwa -apple-system, Segoe UI, Roboto, Helvetica oder Arial. Dabei erfolgt kein Abruf von Schriftarten bei externen Schriftartenanbietern. 24. Social-Media-Links und Share-Buttons Unsere Website kann Links bzw. Share-Buttons zu sozialen Netzwerken und Plattformen enthalten, insbesondere: -Facebook -Instagram -LinkedIn -WhatsApp -TikTok -X / Twitter -Pinterest -YouTube Diese Buttons sind als reine Links ausgestaltet. Beim bloßen Besuch unserer Website werden dadurch keine Daten an die jeweiligen Plattformen übertragen. Eine Datenübermittlung erfolgt erst, wenn Sie den jeweiligen Link aktiv anklicken und die externe Plattform aufrufen. Für die Datenverarbeitung auf den externen Plattformen ist der jeweilige Anbieter verantwortlich. Rechtsgrundlage für die Bereitstellung der Links ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der einfachen Teilbarkeit unserer Inhalte und der Kommunikation über soziale Netzwerke. 25. KI-Funktionen mit OpenAI und Google Gemini Unsere Website kann KI-Funktionen einsetzen, insbesondere zur automatisierten Erstellung von Quizfragen, zur Unterstützung bei der Kurserstellung, zur Prüfung von Fragen, zur Moderation von Nutzernamen und Inhalten sowie zur Unterstützung bei der Bewertung oder Strukturierung von Supportanfragen. Die KI-Funktionen werden über das Lovable AI Gateway bereitgestellt, das Anfragen an Google Gemini und OpenAI weiterleiten kann. Grundsätzlich werden keine E-Mail-Adressen, Zahlungsdaten, Zertifikatsdaten oder sonstigen nicht öffentlichen Profildaten an KI-Anbieter übermittelt. Soweit für Moderations-, Sicherheits- oder Steuerungszwecke erforderlich, kann jedoch der vom Nutzer gewählte öffentliche Public Name in Prompts oder Prüfprozesse einbezogen werden. Nutzer sollten daher keinen Klarnamen oder sensible Informationen als Public Name verwenden. An KI-Anbieter können insbesondere folgende Informationen übermittelt werden: -Themen und Inhaltsvorgaben -Quiz- oder Kursentwürfe -Prompts -öffentliche oder vom Nutzer eingegebene Inhalte -Public Name, soweit für Moderation oder technische Steuerung erforderlich -Supportinhalte, soweit eine KI-gestützte Bewertung erfolgt und dies erforderlich ist Die Ergebnisse der KI-Verarbeitung werden anonymisiert gespeichert, soweit sie für die Funktionsbereitstellung, Qualitätssicherung oder Weiterentwicklung der Inhalte erforderlich sind. Ein Training eigener KI-Modelle ist nicht implementiert. Nach aktuellem Stand werden Nutzerdaten nicht gezielt zum Training eigener Modelle verwendet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit KI-Funktionen vom Nutzer aktiv zur Erstellung oder Bearbeitung von Inhalten verwendet werden. Für Moderation, Sicherheit, Missbrauchsvermeidung und Qualitätssicherung ist Art. 6 Abs. 1 lit. f DSGVO einschlägig. Soweit eine Einwilligung erforderlich ist, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. 26. Automatische Inhaltsprüfung und Missbrauchsprävention Zur Sicherstellung der Qualität und Sicherheit der Plattform können Inhalte automatisch geprüft und korrigiert werden. Dies betrifft insbesondere Prüfungen auf: -Tippfehler / Rechtschreibfehler -Beleidigende Inhalte -Illegale Inhalte -Spam -Duplikate -Verstöße gegen Nutzungsbedingungen -missbräuchliche Nutzung Dabei können die eingegebenen oder hochgeladenen Inhalte technisch analysiert und bewertet werden. Entscheidungen über Veröffentlichung, Sperrung oder Überarbeitung können durch Admins oder Moderatoren überprüft werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im Schutz der Nutzer, der Plattform, der öffentlichen Inhalte und der Einhaltung rechtlicher Vorgaben. 27. Minderjährige Die Website richtet sich an Erwachsene und Schüler ab 16 Jahren. Registrierungspflichtige Funktionen, insbesondere das Erstellen eigener Inhalte, richten sich grundsätzlich an Personen ab 16 Jahren. Nutzer unter 16 Jahren sollten registrierungspflichtige Funktionen nur mit Zustimmung ihrer Erziehungsberechtigten verwenden, sofern eine solche Zustimmung gesetzlich erforderlich ist. 28. Löschung des Nutzerkontos Registrierte Nutzer können ihr Profil löschen. Bei Löschung des Nutzerkontos werden alle mit dem Konto verbundenen personenbezogenen Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Gründe für eine weitere Speicherung bestehen. Nach Ihrer aktuellen Ausgestaltung werden bei Account-Löschung auch die mit dem Konto verbundenen Quizzes, Kurse und Inhalte gelöscht. Gelöschte Daten können vorübergehend in Backups enthalten sein und werden dort nach Ablauf der Backup-Zyklen gelöscht. Supabase / Lovable Cloud erstellt automatische Backups der PostgreSQL-Datenbank. Je nach Plan können tägliche Backups und Point-in-Time-Recovery-Funktionen bestehen. Gesetzliche Aufbewahrungspflichten, insbesondere für Rechnungs- und Zahlungsdaten, bleiben unberührt. Solche Daten können für bis zu 10 Jahre aufbewahrt werden. 29. Speicherdauer Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Insbesondere gelten folgende Speicherdauern: -Server- und Edge-Logs: je nach Anbieter ca. 7 Tage. -Supabase API-, Auth- und Datenbanklogs: typischerweise ca. 7 Tage, teilweise bis zu ca. 28 Tage. -AWS SES E-Mail-Logs: ca. 14 Tage. -Kontakt- und Supportanfragen: grundsätzlich 12 Monate. -Google Analytics: 14 Monate. -Rechnungsdaten: 10 Jahre. -Nutzerkonto: bis zur Löschung durch den Nutzer oder bis zur Löschung durch uns nach Maßgabe der Nutzungsbedingungen. -Quizzes, Kurse und Inhalte: bis zur Löschung durch den Nutzer, durch Admins/Moderatoren oder im Rahmen der Account-Löschung. -Backups: bis zum Ablauf der jeweiligen Backup-Zyklen. 30. Empfänger personenbezogener Daten Je nach Nutzung der Website können personenbezogene Daten an folgende Kategorien von Empfängern übermittelt werden: -Hosting- und Infrastruktur-Dienstleister -Datenbank- und Authentifizierungsanbieter -E-Mail-Versanddienstleister für transaktionale E-Mails -Analyseanbieter -Werbe- und Affiliate-Dienstleister -Zahlungsdienstleister, sobald Zahlungsfunktionen aktiviert sind -KI-Dienstleister -Moderatoren und Administratoren -Behörden, Gerichte oder Rechtsberater, soweit gesetzlich erforderlich oder zur Rechtsdurchsetzung notwendig Konkret können insbesondere folgende Dienstleister beteiligt sein: -Lovable -Supabase -Cloudflare -AWS SES -IONOS -Google, insbesondere Google Analytics, Google AdSense und Google Gemini -OpenAI -Stripe, sobald Zahlungsfunktionen aktiviert sind -PayPal, sobald Zahlungsfunktionen aktiviert sind -Affiliate-Partner wie Coursera, Udemy, ADCELL und AWIN 31. Drittlandübermittlungen Einige der eingesetzten oder geplanten Dienstleister können ihren Sitz außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums haben oder Daten dort verarbeiten. Dies kann insbesondere Anbieter wie Google, OpenAI, Cloudflare, Stripe, PayPal oder Affiliate-Partner betreffen. Soweit personenbezogene Daten in Drittländer übermittelt werden, erfolgt dies nur auf Grundlage der gesetzlichen Voraussetzungen, insbesondere: -eines Angemessenheitsbeschlusses der Europäischen Kommission, Standardvertragsklauseln, -zusätzlicher Schutzmaßnahmen, -Ihrer Einwilligung oder -einer anderen gesetzlichen Grundlage. 32. Datensicherheit Wir treffen technische und organisatorische Maßnahmen, um personenbezogene Daten gegen Verlust, Missbrauch, unbefugten Zugriff, Veränderung oder Offenlegung zu schützen. Die Website ist ausschließlich über HTTPS/TLS erreichbar. Passwörter werden nicht im Klartext gespeichert, sondern über Supabase Auth als Hashes verwaltet. Die Infrastruktur nutzt unter anderem Cloudflare als CDN, Reverse Proxy, DDoS-Schutz und Web Application Firewall. 33. Ihre Rechte Sie haben nach Maßgabe der DSGVO insbesondere folgende Rechte: -Recht auf Auskunft über die verarbeiteten personenbezogenen Daten -Recht auf Berichtigung unrichtiger Daten -Recht auf Löschung personenbezogener Daten -Recht auf Einschränkung der Verarbeitung -Recht auf Datenübertragbarkeit -Recht auf Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen -Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft -Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde Zur Ausübung Ihrer Rechte können Sie sich an den im Impressum genannten Verantwortlichen wenden. 34. Widerruf von Einwilligungen Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Dies betrifft insbesondere Einwilligungen in Statistik-Cookies, Google Analytics, Marketing-Cookies, Google AdSense, externe Medien und vergleichbare Technologien. 35. Widerspruchsrecht Soweit wir personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen. Wir verarbeiten die betreffenden Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. 36. Beschwerderecht bei einer Aufsichtsbehörde Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig kann insbesondere die Aufsichtsbehörde Ihres Wohnorts, Ihres Arbeitsplatzes oder des Sitzes des Verantwortlichen sein. Für Berlin ist dies derzeit die: Berliner Beauftragte für Datenschutz und Informationsfreiheit 37. Änderungen dieser Datenschutzerklärung Wir können diese Datenschutzerklärung anpassen, wenn sich unsere Website, unsere Funktionen, unsere technischen Dienstleister oder die rechtlichen Anforderungen ändern. Die jeweils aktuelle Fassung ist auf digitalacademy.de abrufbar.