Datenschutzerklärung
Klausurmeister · Stand: Juni 2026
Der Schutz deiner personenbezogenen Daten ist uns wichtig. Nachfolgend informieren wir dich gemäß Art. 13, 14 DSGVO darüber, welche personenbezogenen Daten wir bei der Nutzung von Klausurmeister verarbeiten, zu welchem Zweck und auf welcher Rechtsgrundlage – und welche Rechte dir zustehen.
§ 1
Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
§ 2
Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist gesetzlich nicht bestellt, da die Voraussetzungen des § 38 BDSG nicht erfüllt sind. Bei Fragen zum Datenschutz kannst du dich jederzeit unter den oben genannten Kontaktdaten an uns wenden.
§ 3
Allgemeines zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist oder eine sonstige Rechtsgrundlage besteht.
Als Rechtsgrundlagen kommen insbesondere in Betracht:
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung
- Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen
- Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung
- Art. 6 Abs. 1 lit. f DSGVO – Wahrung berechtigter Interessen
Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen (siehe § 9).
§ 4
Im Einzelnen: Verarbeitungstätigkeiten
4.1 Bereitstellung der Website und Server-Logfiles
Beim Aufruf der Website werden technisch erforderliche Daten automatisch verarbeitet (z.B. IP-Adresse, Datum und Uhrzeit des Zugriffs, abgerufene Ressource, übertragene Datenmenge, Browsertyp und Betriebssystem). Dies dient der Bereitstellung, Stabilität und Sicherheit der Plattform.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Betrieb).
4.2 Registrierung und Nutzerkonto
Zur Nutzung der Plattform legst du ein Konto an. Dabei und im laufenden Betrieb verarbeiten wir:
- E-Mail-Adresse
- Passwort (ausschließlich als bcrypt-Hash, niemals im Klartext)
- Nutzername (optional, für Lerngruppen)
- Zeitpunkt des letzten Logins
- E-Mail-Präferenzen (Einwilligungen zu E-Mail-Kategorien)
- Zeitstempel zu Erstellung und Aktualisierung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Nutzungsvertrags).
4.3 Authentifizierung (Login)
Für die Anmeldung verwenden wir ein Token-System mit Cookies (HttpOnly). Es werden ein Access Token (Gültigkeit 60 Minuten) sowie ein Refresh Token (Gültigkeit 30 Tage) eingesetzt; aktive Refresh Tokens werden serverseitig gespeichert und können bei Logout invalidiert werden. Diese Cookies sind für den Betrieb der Plattform technisch erforderlich (siehe § 7).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO; § 25 Abs. 2 TDDDG (technisch notwendige Speicherung).
4.4 Upload und Verarbeitung von Lernmaterialien
Lädst du ein Skript hoch (PDF oder PPTX), extrahieren wir den Text, zerlegen ihn in Abschnitte, berechnen Vektor-Embeddings und erkennen automatisch Themengebiete. Verarbeitet bzw. gespeichert werden:
- der extrahierte Volltext (max. 500.000 Zeichen pro Lernraum)
- Datei-Metadaten (Dateiname, Dateityp, Dateigröße, Verarbeitungsstatus)
- Textabschnitte und daraus berechnete Vektor-Embeddings
- erkannte Themen (Name, Beschreibung, Modul- und Quellzuordnung)
Originaldateien (PDF/PPTX) werden nach der Verarbeitung nicht dauerhaft gespeichert – gespeichert werden nur der extrahierte Text und die Vektordaten. Soweit hochgeladene Materialien personenbezogene Daten enthalten, bist du für deren Rechtmäßigkeit verantwortlich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
4.5 Lernfunktionen und Lernfortschritt
Zur Bereitstellung der Lernfunktionen verarbeiten wir die von dir bzw. für dich erzeugten Inhalte und Fortschrittsdaten:
- Karteikarten inkl. Spaced-Repetition-Daten (Intervall, Easefaktor, nächste Wiederholung)
- Quizze (Fragen, Optionen, richtige Antworten, Erklärungen)
- Probeklausuren (Fragen, deine Antworten, KI-Bewertungen, Gesamtergebnis)
- Erklärungen (KI-generiert, gecacht)
- Lernfortschritt (Score 0–100 je Thema, Wiederholungsanzahl)
- abgeschlossene Lernpfad-Aktivitäten
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
4.6 Lerngruppen
Wenn du eine Lerngruppe erstellst oder ihr beitrittst, verarbeiten wir die Gruppenzugehörigkeit, das Beitrittsdatum, den Einladungstoken sowie deinen Nutzernamen. Innerhalb einer Lerngruppe ist dein Nutzername für die anderen Mitglieder sichtbar, ebenso die im geteilten Lernraum enthaltenen Inhalte. Dein individueller Lernfortschritt bleibt privat und ist nur für dich einsehbar.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
4.7 Zahlungsabwicklung (Meistermodus)
Für kostenpflichtige Abonnements nutzen wir den Zahlungsdienstleister Stripe. Deine Zahlungsdaten (z.B. Kreditkartendaten) gibst du direkt bei Stripe ein – wir sehen und speichern keine vollständigen Zahlungsdaten. In deinem Profil speichern wir intern eine Stripe-Kunden-ID, eine Stripe-Abo-ID, das Datum des nächsten Abrechnungszeitraums sowie den Abo-Status.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) sowie Art. 6 Abs. 1 lit. c DSGVO (handels- und steuerrechtliche Pflichten).
4.8 E-Mail-Benachrichtigungen
Du kannst einwilligen, E-Mails zu Lernerinnerungen, Lernfortschritts-Updates sowie Neuigkeiten & Updates zu erhalten. Diese Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen (z.B. in den Einstellungen). Davon unberührt bleiben für die Vertragsabwicklung erforderliche Mitteilungen (z.B. zu Sicherheit, Zahlung oder Vertragsänderungen).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für werbliche/informierende E-Mails; Art. 6 Abs. 1 lit. b/f DSGVO für systemrelevante Mitteilungen.
4.9 Feedback und Kontaktaufnahme
Sendest du uns Feedback oder kontaktierst du uns per E-Mail, verarbeiten wir deine Angaben (z.B. Feedback-Text und E-Mail-Adresse) zur Bearbeitung deines Anliegens.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (sofern vertragsbezogen) bzw. Art. 6 Abs. 1 lit. f DSGVO (Bearbeitung von Anfragen und Produktverbesserung).
4.10 Warteliste
Trägst du dich vor einer Kontoerstellung in die Warteliste ein, speichern wir deine E-Mail-Adresse und den Zeitpunkt der Eintragung, um dich zu informieren.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
4.11 Partnerprogramm
Für Teilnehmer des Partnerprogramms verarbeiten wir die für die Abwicklung erforderlichen Daten:
- Partnerprofil: Status, Referral-Code/-Slug, Social-Handle, Bewerbungstext
- Auszahlungsdaten: IBAN (verschlüsselt gespeichert) und IBAN-Inhaber
- Provisionen: zugehörige Zahlungs-ID, Beträge, Status, Auszahlungsdatum
- Klick-Tracking: Hash der IP-Adresse (HMAC-SHA-256, nicht reversibel), User-Agent, Zeitstempel, Conversion-Status
Die IP-Adresse wird beim Affiliate-Tracking nicht im Klartext, sondern nur als nicht umkehrbarer Hash gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Partnervertrag), Art. 6 Abs. 1 lit. f DSGVO (Zuordnung von Conversions, Betrugsprävention) sowie Art. 6 Abs. 1 lit. c DSGVO (steuerliche Pflichten bei Auszahlungen).
4.12 Administrative Protokolle
Zur Nachvollziehbarkeit und Sicherheit protokollieren wir bestimmte administrative Eingriffe (z.B. Aktion, betroffenes Objekt, Zeitpunkt).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchsprävention) bzw. lit. c DSGVO.
§ 5
Empfänger und Auftragsverarbeiter
Wir geben personenbezogene Daten nur weiter, soweit dies zur Leistungserbringung erforderlich ist. Mit Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO.
5.1 OpenAI (KI-Funktionen)
Für die KI-Funktionen (Karteikarten, Quiz, Erklärungen, Probeklausuren samt Bewertung und Vektor-Embeddings) setzen wir Dienste von OpenAI (OpenAI, L.L.C.; für Nutzer im EWR regelmäßig OpenAI Ireland Ltd.) ein.
Übermittelt werden: Textauszüge aus deinem Skript (jeweils die relevantesten Passagen über das RAG-Verfahren), Themen-Metadaten sowie deine Antworten bei der Probeklausur-Bewertung. Verwendete Modelle: gpt-4o-mini und text-embedding-3-small. Über die API übermittelte Daten werden von OpenAI nach eigenen Angaben standardmäßig nicht zum Training der Modelle verwendet. Eine Verarbeitung erfolgt auch in den USA (siehe § 6).
5.2 Stripe (Zahlungen)
Die Zahlungsabwicklung, Abo-Verwaltung und das Kundenportal werden über Stripe (Stripe, Inc. bzw. Stripe Payments Europe, Ltd.) bereitgestellt. Stripe erhält die für die Zahlung erforderlichen Daten sowie die Zahlungsdaten direkt von dir. Eine Verarbeitung erfolgt auch in den USA (siehe § 6).
5.3 Hosting und E-Mail-Versand
Die Plattform wird bei der Hetzner Online GmbH (Industriestraße 25, 91710 Gunzenhausen, Deutschland) betrieben. Der Server befindet sich in Helsinki, Finnland (EU). Hetzner verarbeitet Daten als Auftragsverarbeiter in unserem Auftrag; ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO besteht.
Für den Versand transaktionaler E-Mails (z.B. Bestätigungscodes, Passwort-Reset) setzen wir Resend (Resend Inc., 2261 Market Street #5670, San Francisco, CA 94114, USA) ein. Resend verarbeitet Daten als Auftragsverarbeiter in unserem Auftrag. Eine Übermittlung in die USA erfolgt auf Grundlage geeigneter Garantien (Standardvertragsklauseln gemäß Art. 46 DSGVO); siehe auch § 6.
5.4 Selbst gehostete Komponenten
Die Vektordatenbank (Qdrant) sowie die Verarbeitungs-Queue (Redis/BullMQ) werden selbst gehostet und stellen keine Weitergabe an einen Drittanbieter-Cloud-Dienst dar. Redis/BullMQ speichert Job-Daten nur temporär während der Verarbeitung.
§ 6
Datenübermittlung in Drittländer (USA)
Bei der Nutzung von OpenAI, Stripe und Resend werden personenbezogene Daten auch in die USA übermittelt. Die Übermittlung erfolgt auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO:
- Stripe ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; insoweit besteht ein Angemessenheitsbeschluss der EU-Kommission.
- OpenAI: Die Übermittlung wird durch die in das Datenverarbeitungs-Addendum (DPA) einbezogenen EU-Standardvertragsklauseln (SCC) abgesichert; soweit OpenAI über eine gültige DPF-Zertifizierung verfügt, kann die Übermittlung zusätzlich hierauf gestützt werden.
- Resend: Die Übermittlung von E-Mail-Adressen und transaktionalen E-Mail-Inhalten an Resend Inc. (USA) wird durch EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert.
Trotz dieser Garantien lässt sich nicht vollständig ausschließen, dass US-Behörden unter bestimmten Voraussetzungen auf Daten zugreifen können. Mit der Nutzung der entsprechenden Funktionen nimmst du diese Übermittlung zur Kenntnis.
§ 7
Cookies
Wir verwenden ausschließlich technisch notwendige Cookies, um die Plattform bereitzustellen. Einwilligungspflichtige Tracking- oder Marketing-Cookies werden nicht eingesetzt.
Für die Anmeldung und Sitzungsverwaltung verwenden wir technisch erforderliche Cookies (HttpOnly), insbesondere für Access- und Refresh-Token. Diese sind für den Betrieb der Plattform unbedingt erforderlich und werden ohne gesonderte Einwilligung gesetzt.
Rechtsgrundlage: § 25 Abs. 2 TDDDG i.V.m. Art. 6 Abs. 1 lit. b/f DSGVO.
§ 8
Automatisierte Entscheidungen und Profiling
Eine automatisierte Entscheidung im Einzelfall mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne des Art. 22 DSGVO findet nicht statt. Die KI-gestützte Bewertung von Probeklausuren sowie die Berechnung von Lern-Scores dienen ausschließlich der Bereitstellung und Personalisierung deiner Lernerfahrung und entfalten keine rechtliche Wirkung.
§ 9
Speicherdauer
Daten deines Nutzerkontos und deiner Lerninhalte speichern wir, solange dein Konto besteht.
Bei Löschung deines Kontos werden personenbezogene Daten (E-Mail-Adresse, Passwort, Nutzername) entfernt bzw. unwiederbringlich anonymisiert. Lerninhalte und Fortschrittsdaten können aus Gründen der referentiellen Integrität in anonymisierter Form (ohne Personenbezug) erhalten bleiben (siehe AGB § 11).
Für abrechnungs- und zahlungsbezogene Daten gelten die gesetzlichen Aufbewahrungsfristen (insbesondere handels- und steuerrechtlich, regelmäßig 6 bzw. 10 Jahre).
Klick-Tracking-Daten des Partnerprogramms werden gelöscht, sobald sie für die Zuordnung und Abrechnung nicht mehr erforderlich sind. Server-Logfiles werden nur kurzfristig gespeichert und anschließend gelöscht.
§ 10
Datensicherheit
Wir treffen technische und organisatorische Maßnahmen, um deine Daten zu schützen, insbesondere:
- verschlüsselte Übertragung über HTTPS/TLS
- Passwörter ausschließlich als bcrypt-Hash (12 Runden)
- verschlüsselte Speicherung der IBAN im Partnerbereich
- IP-Adressen im Affiliate-Tracking nur als nicht umkehrbarer HMAC-SHA-256-Hash
- HttpOnly-, Secure- und SameSite-Cookies
- Schutzmaßnahmen gegen Angriffe (u.a. Rate Limiting, Sicherheits-HTTP-Header, Schutz vor NoSQL-Injection)
- getrennte Secrets für Access- und Refresh-Token
§ 11
Pflicht zur Bereitstellung von Daten
Zur Nutzung der Plattform ist die Angabe einer E-Mail-Adresse und eines Passworts erforderlich. Ohne diese Angaben kann kein Konto erstellt und der Vertrag nicht erfüllt werden. Weitere Angaben (z.B. Nutzername) sind nur für bestimmte Funktionen (z.B. Lerngruppen) erforderlich.
§ 12
Deine Rechte als betroffene Person
Dir stehen gegenüber dem Verantwortlichen folgende Rechte hinsichtlich deiner personenbezogenen Daten zu:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Zur Ausübung deiner Rechte genügt eine Mitteilung an die in § 1 genannten Kontaktdaten.
Beschwerderecht
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Erfurt (tlfdi.de). Du kannst dich auch an die Aufsichtsbehörde deines gewöhnlichen Aufenthaltsorts wenden.
§ 13
Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, sobald Änderungen der von uns durchgeführten Datenverarbeitung dies erforderlich machen (z.B. bei neuen Funktionen oder geänderter Rechtslage). Es gilt jeweils die auf klausurmeister.de veröffentlichte aktuelle Fassung.
Klausurmeister · klausurmeister.de · Verantwortlicher: Felix Häfner, Talstraße 38, 07743 Jena