🔒 Datenschutzerklärung

Transparenz und Schutz Ihrer Daten gemäß DSGVO

Letzte Aktualisierung: Juni 2026

1. Verantwortliche Stelle & Datenschutzkontakt

Verantwortlich für die Datenverarbeitung und Ansprechpartner bei Datenschutzfragen sowie zur Ausübung Ihrer Rechte:

Neuvoa - Martin Torshizi Moghaddam
Vogesenstrasse 8
76470 Ötigheim
Deutschland

Kontakt:
E-Mail: kontakt@neuvoa.de
Telefon: +49 162 – 230 3006

USt-IdNr.: DE412608169

2. Grundsätze der Datenverarbeitung

Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst und behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

2.1 Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage:

3. Welche Daten werden verarbeitet?

3.1 Account-Daten (bei Registrierung)

Datenart Zweck Rechtsgrundlage
E-Mail-Adresse Login, Kommunikation, Account-Verwaltung Art. 6 Abs. 1 lit. b DSGVO
Name (Vor- und Nachname) Rechnungsstellung, Personalisierung Art. 6 Abs. 1 lit. b DSGVO
Rechnungsadresse Rechnungsstellung, steuerliche Pflichten Art. 6 Abs. 1 lit. c DSGVO
Firma (optional) Rechnungsstellung für Geschäftskunden Art. 6 Abs. 1 lit. b DSGVO
USt-IdNr. (optional) Steuerliche Abwicklung Art. 6 Abs. 1 lit. c DSGVO
Passwort (gehasht) Sichere Authentifizierung Art. 6 Abs. 1 lit. b DSGVO

3.2 Nutzungsdaten

Zweck: Bereitstellung des Dienstes, Quota-Management, Verbesserung der KI-Antworten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.3 Eingesetzte Tools

Für jedes eingesetzte Tool dokumentieren wir transparent: Name, Anbieter, Zweck, eingesetzte Cookies (mit Name, Lebensdauer und Zweck) sowie erhobene Daten.

🔐 Wunschlern Authentifizierung

Anbieter: Neuvoa (self-hosted, Server in Deutschland)

Zweck: Sichere Anmeldung, Session-Management

Cookies: Keine. Stattdessen LocalStorage im Browser:

  • access_token (JWT) — Lebensdauer: 1 Stunde — Zweck: Authentifizierung pro API-Request
  • refresh_token (JWT) — Lebensdauer: 30 Tage — Zweck: Automatische Session-Verlängerung ohne erneutes Login

Erhobene Daten: User-ID, Subscription-Plan, Ausstellungs- und Ablaufzeitstempel

🛡️ Trial-Missbrauchsschutz

Anbieter: Neuvoa (self-hosted) in Kombination mit PayPal Pre-Autorisierung

Zweck: Verhinderung mehrfacher Trial-Registrierungen

Cookies: Keine

Eingesetzte Methoden:

  • Eindeutigkeitsprüfung der E-Mail-Adresse
  • Blacklist bekannter Wegwerf-E-Mail-Anbieter
  • PayPal Pre-Autorisierung (0,00 €) mit Zahlungsmittel-Token als Altersnachweis und Identitätsanker
  • Server-Logs (IP-Adresse, User-Agent, Zeitstempel) zur Rate-Limitierung und Erkennung wiederholter Registrierungsversuche

Kein Browser-Fingerprinting: Wunschlern verzichtet ausdrücklich auf clientseitiges Browser-Fingerprinting (Canvas, Schriftarten, Plugins, Bildschirmeigenschaften) gemäß § 25 TTDSG und Art. 5 Abs. 3 ePrivacy-Richtlinie. Es wird kein für eine Wiedererkennung geeignetes Profil aus den Eigenschaften des Endgeräts erstellt.

Erhobene Daten: E-Mail-Adresse, IP-Adresse, User-Agent und Zeitstempel — ausschließlich serverseitig gespeichert.

🗄️ Supabase (Datenbank & Backend-Auth)

Anbieter: Neuvoa (self-hosted Stack auf Basis Open-Source Supabase, Hosting in Deutschland/EU)

Zweck: Persistente Speicherung von Account-, Nutzungs- und Übungsdaten; Backend-Authentifizierung

Cookies: Keine clientseitig (reiner Backend-Service)

Erhobene Daten: Alle in §3.1 und §3.2 genannten Account- und Nutzungsdaten

💳 PayPal Checkout

Anbieter: PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg

Zweck: Abwicklung der Subscription-Zahlungen (Pre-Autorisierung und Abbuchung)

Cookies: PayPal setzt während der Zahlungs-Weiterleitung auf paypal.com eigene Cookies. Details siehe PayPal Datenschutzerklärung.

Erhobene Daten: PayPal-Order-ID, Subscription-Status, Zahlungsmittel-Token (kein Klartext)

✉️ SMTP / E-Mail-Versand

Anbieter: finaler SMTP-Anbieter (z.B. IONOS Mail / Brevo) wird vor Go-Live festgelegt

Zweck: Versand transaktionaler E-Mails (Registrierungsbestätigung, Passwort-Reset, Rechnungen, Status-Benachrichtigungen)

Cookies: Keine (Backend-Service)

Erhobene Daten: E-Mail-Adresse, Inhalt und Betreff der Mail, Zeitstempel des Versands

Zusätzliche serverseitige Erfassung: Bei jedem API-Request werden IP-Adresse, User-Agent und Zeitstempel in den Server-Logs erfasst (Zweck: Missbrauchsprävention, Sicherheit, Consent-Nachweis; Speicherdauer siehe §9).

Keine Drittanbieter-Tracking-Tools: Wunschlern verwendet weder Google Analytics, Facebook Pixel, noch andere Analyse- oder Werbe-Tools (siehe §7.2).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Authentifizierung, Supabase, PayPal und SMTP; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Trial-Schutz und Server-Logs.

3.4 Consent-Tracking (Nachweis der Einwilligungen)

Da Wunschlern keine Cookies und keinen Cookie-Banner einsetzt, erfolgt der Nachweis erteilter Einwilligungen ausschließlich serverseitig in der Datenbank. Gemäß Art. 7 Abs. 1 DSGVO muss der Verantwortliche jederzeit nachweisen können, dass eine wirksame Einwilligung vorliegt. Pro erteiltem Consent werden folgende Felder gespeichert:

Feld Inhalt / Format Zweck des Nachweises
user_id UUID der Account-Inhaberin / des Account-Inhabers Eindeutige Zuordnung zur betroffenen Person
consent_type Eine von: agb, datenschutz, ai_act, haftungsausschluss_ki, elternbestaetigung Welche der 5 Pflichteinwilligungen erteilt wurde
document_version Versionierter String, z.B. datenschutz-v2.3-2026-03-15 Belegt, welche Textfassung dem Nutzer angezeigt wurde
document_hash SHA-256 Hash des angezeigten Erklärungstexts Manipulationssicherheit: Original-Wortlaut kann jederzeit verifiziert werden
granted_at ISO 8601 Zeitstempel (UTC) Zeitpunkt der Einwilligungserteilung
ip_address IPv4 oder IPv6 zum Zeitpunkt der Erteilung Technischer Kontextnachweis
user_agent Browser-Identifier (HTTP-Header) Technischer Kontextnachweis, Detektion automatisierter Klicks
method Eine von: checkbox_click, double_opt_in_confirmed, api_explicit Wie die Einwilligung erteilt wurde
status granted oder withdrawn Aktueller Stand (Widerruf jederzeit möglich, Art. 7 Abs. 3 DSGVO)
withdrawn_at ISO 8601 Zeitstempel (UTC), nullable Bei Widerruf: Zeitpunkt des Widerrufs

Speicherdauer: Consent-Datensätze werden 3 Jahre nach Account-Löschung bzw. nach Widerruf der Einwilligung aufbewahrt. Begründung: BGH-Verjährungsfrist nach § 195 BGB (3 Jahre) i.V.m. der Nachweispflicht aus Art. 7 Abs. 1 DSGVO. Vor Account-Löschung läuft die Speicherung kontinuierlich, da der Nachweis für die Dauer der Verarbeitung erforderlich bleibt.

Zweck und Rechtsgrundlage: Erfüllung der Nachweispflicht aus Art. 7 Abs. 1 DSGVO (Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO — gesetzliche Verpflichtung; ergänzend Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an Rechtssicherheit).

4. Minderjährige & Kinderschutz (Art. 8 DSGVO)

👨‍👩‍👧 Kinder unter 16 Jahren

Wunschlern richtet sich als Bildungsangebot ausdrücklich auch an Kinder und Jugendliche. Der Zugang erfolgt jedoch ausschließlich über ein Elternteil oder einen Erziehungsberechtigten.

4.1 Mindestalter & Registrierung

Eine aktive Identitäts- oder Altersverifikation (z.B. per Ausweisdokument) führen wir nicht durch. Stattdessen kombinieren wir mehrere risikoangemessene Maßnahmen, um die Anforderungen von Art. 8 Abs. 2 DSGVO („angemessene Anstrengungen") zu erfüllen:

  1. Aktive Checkbox-Bestätigung: Bei der Registrierung bestätigt der Nutzer ausdrücklich, mindestens 16 Jahre alt zu sein.
  2. E-Mail Double-Opt-In: Der Account wird erst nach Bestätigung über einen Link in der Registrierungs-E-Mail freigeschaltet. Dies belegt die Kontrolle über die angegebene E-Mail-Adresse.
  3. Payment-Methode als Altersproxy (Paid Plans): Für kostenpflichtige Abonnements ist eine Zahlungsmethode erforderlich (PayPal / Kreditkarte). Diese ist gesetzlich erst ab 18 Jahren verfügbar und dient als zusätzlicher Altersnachweis.
  4. Trial-Schutz (siehe §3.3): In der Trial-Phase ohne Zahlung greifen IP-/Fingerprint-Limits und Wegwerf-E-Mail-Prüfung, um wiederholten Missbrauch zu verhindern.
  5. Account-Trennung Eltern / Kind: Der Account muss von einer Person ab 16 Jahren geführt werden. Kinder lösen die generierten Übungen ohne eigenen Login, ohne Profilbildung und ohne eigene Datenerhebung. Verantwortung und Kontrolle liegen klar bei der erwachsenen Aufsichtsperson.
  6. Privacy by Design (Art. 25 DSGVO): Es findet keine Identifizierung von Kindern, keine Profilbildung und keine Werbung statt (siehe §4.2 und §4.3).

Diese kombinierten Maßnahmen werden als angemessen im Sinne von Art. 8 Abs. 2 DSGVO bewertet, da das Datenverarbeitungsrisiko für Minderjährige in unserem Dienst gering ist (keine Profilbildung, keine Werbung, keine Identifizierung des Kindes).

4.2 Keine Datenerhebung bei Kindern

Kinder, die die generierten Übungen nutzen, werden von uns nicht identifiziert und haben keinen eigenen Account. Es werden daher keine personenbezogenen Daten von Kindern erhoben oder gespeichert.

4.3 Inhaltliche Sicherheit

Alle von der KI generierten Lerninhalte werden durch ein mehrstufiges Moderationssystem geprüft:

4.4 Elterliche Aufsicht

Wir empfehlen Eltern, die generierten Übungen vor der Weitergabe an Kinder zu überprüfen. Bei Fragen oder Bedenken zu Inhalten wenden Sie sich an support@neuvoa.de.

5. KI-Verarbeitung & EU-Hosting

✅ 100% DSGVO-konforme KI-Infrastruktur

Alle KI-Anfragen werden ausschließlich über EU-Server verarbeitet:

  • AWS Bedrock: Enterprise-KI-Plattform gehostet in EU-Region Frankfurt (eu-central-1)
  • IONOS AI: Deutscher Cloud-Anbieter mit EU-Hosting

5.1 Welche Daten werden an KI-Anbieter übermittelt?

5.2 Auftragsverarbeitungsverträge (AVV)

Mit allen eingesetzten KI-Anbietern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO:

Eine vollständige Beschreibung der eingesetzten KI-Modelle, Risiken, Datenverarbeitung und Pflichten nach EU AI Act findest du in der 🤖 KI-System Dokumentation.

⚠️ Wichtig: Keine personenbezogenen Daten von Schülern!

Sie dürfen keine personenbezogenen Daten von Schülern (Namen, Geburtsdaten, Noten, etc.) in die Chat-Anfragen eingeben. Dies ist weder notwendig noch erlaubt.

✅ Richtig: "Erstelle eine Matheübung zu quadratischen Funktionen für Klasse 10"
❌ Falsch: "Erstelle eine Übung für Max Mustermann aus Klasse 10b"

Bei Verstoß gegen diese Regel können Sie zur Verantwortung gezogen werden.

6. Hosting & Infrastruktur

6.1 Plattform-Hosting

Hosting-Anbieter: IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland

Standort: IONOS Rechenzentrum in Deutschland

Datenverarbeitung: Ausschließlich innerhalb der EU, keine Übermittlung in Drittländer

Auftragsverarbeitung: AVV gemäß Art. 28 DSGVO mit IONOS abgeschlossen

6.2 Datenbank (Supabase, self-hosted)

6.3 Zahlungsabwicklung (PayPal)

6.4 KI-Modelle

Für die Generierung der Übungen werden ausschließlich DSGVO-konforme Large Language Models eingesetzt. Eine vollständige Beschreibung inkl. Risikoklassifizierung und Datenverarbeitung findet sich in der 🤖 KI-System Dokumentation.

✅ AWS Bedrock — Anthropic Claude

  • Anbieter: Anthropic (bereitgestellt über AWS Bedrock)
  • Modelltyp: Large Language Model (LLM)
  • Einsatzbereich: Generierung von Übungsaufgaben und Lösungen
  • Hosting: EU-Region Frankfurt (eu-central-1) via AWS Bedrock
  • Verarbeitungsstandort: Deutschland/EU

✅ IONOS AI — Meta Llama

  • Anbieter: IONOS SE (deutsches Hosting), Modell von Meta (Llama)
  • Modelltyp: Large Language Model (LLM)
  • Einsatzbereich: Generierung von Übungsaufgaben und Lösungen
  • Hosting: IONOS Rechenzentrum Deutschland
  • Verarbeitungsstandort: Deutschland/EU

7. Cookies & Tracking

7.1 Technisch notwendige Cookies

Wir verwenden ausschließlich technisch notwendige Cookies:

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

7.2 Kein Tracking, keine Analyse-Tools

✅ Datenschutzfreundlich

Wir verwenden KEINE Tracking-Tools wie:

  • ❌ Google Analytics
  • ❌ Facebook Pixel
  • ❌ Werbe-Cookies
  • ❌ Drittanbieter-Tracking

8. Speicherdauer

Datenart Speicherdauer Grund
Account-Daten Bis zur Löschung des Accounts Vertragserfüllung
Rechnungsdaten 8 Jahre Steuerrechtliche Aufbewahrungspflicht (§ 147 AO)
Generierte Übungen Bis zur Löschung durch Nutzer oder Account-Löschung Bereitstellung des Dienstes
Chat-Konversationen Bis zur Löschung durch Nutzer oder Account-Löschung Bereitstellung des Dienstes, Quota-Nachweis
Quota-Informationen Während der Vertragslaufzeit, danach 1 Jahr Vertragsabwicklung, Missbrauchsprävention
Consent-Nachweise 3 Jahre nach Account-Löschung Rechtliche Nachweispflicht (Art. 7 Abs. 1 DSGVO)
Login-Logs (IP, Zeitstempel) 30 Tage Sicherheit, Missbrauchsprävention

9. Ihre Rechte gemäß DSGVO

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

9.1 Auskunftsrecht (Art. 15 DSGVO)

Sie können jederzeit Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.

9.2 Berichtigungsrecht (Art. 16 DSGVO)

Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.

9.3 Löschungsrecht (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Hinweis: Rechnungsdaten müssen 8 Jahre aufbewahrt werden (§ 147 AO).

9.4 Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.

9.5 Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Ihre Übungen als PDF exportieren und herunterladen.

9.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen.

9.7 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.

9.8 Beschwerderecht bei Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren:

Zuständige Behörde:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
Deutschland

Telefon: 0711 / 61 55 41 - 0
E-Mail: poststelle@lfdi.bwl.de
Web: www.baden-wuerttemberg.datenschutz.de

10. Datensicherheit

10.1 Technische Maßnahmen

10.2 Organisatorische Maßnahmen

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Leistungen anzupassen. Es gilt jeweils die zum Zeitpunkt Ihres Besuchs abrufbare aktuelle Fassung.

Letzte Aktualisierung: Juni 2026