Datenschutzerklärung

1. Einleitung und Geltungsbereich

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung unserer Website vocabuly.de (nachfolgend „Landingpage“) und unserer Webanwendung app.vocabuly.de (nachfolgend „App“). Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, Adresse, E-Mail-Adressen oder Nutzerverhalten.

2. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:

Jens Bäuerle
Tegernseer Landstraße 11
81541 München
Deutschland
Telefon: +49 151 29016401
E-Mail: hallo@vocabuly.de

3. Ihre Rechte als betroffene Person

Sie haben jederzeit folgende Rechte bezüglich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO)
• Recht auf Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO), wobei die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung unberührt bleibt
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an die oben genannten Kontaktdaten.

4. Allgemeine Hinweise zur Datenverarbeitung

4.1 Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf Grundlage folgender Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).

4.2 Datenübermittlung in Drittländer

Soweit wir Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln, erfolgt dies ausschließlich unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO. Dies geschieht entweder auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (insbesondere EU-US Data Privacy Framework) oder auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

4.3 Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen (z. B. handels- und steuerrechtliche Aufbewahrungsfristen von bis zu 10 Jahren). Nach Wegfall des Zwecks und Ablauf etwaiger Aufbewahrungsfristen werden die Daten gelöscht.

4.4 Auftragsverarbeitung

Soweit wir Dienstleister einsetzen, die in unserem Auftrag personenbezogene Daten verarbeiten, haben wir mit diesen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen.

5. Datenverarbeitung auf der Landingpage (vocabuly.de)

5.1 Bereitstellung der Website und Server-Logfiles

Beim Aufruf unserer Landingpage erhebt unser Hosting-Dienstleister automatisch technische Informationen, die Ihr Browser übermittelt. Dies umfasst:

• IP-Adresse
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Übertragene Datenmenge
• Meldung über erfolgreichen Abruf
• Browsertyp und -version
• Betriebssystem
• Referrer-URL (die zuvor besuchte Seite)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technisch fehlerfreien Bereitstellung und Sicherheit unserer Website. Die Daten werden nach maximal 30 Tagen gelöscht, sofern keine sicherheitsrelevanten Vorfälle eine längere Speicherung erfordern.

6. Datenverarbeitung in der App (app.vocabuly.de)

6.1 Registrierung und Nutzerkonto

Für die Nutzung der App ist die Erstellung eines Nutzerkontos erforderlich. Bei der Registrierung erheben wir mindestens Ihre E-Mail-Adresse sowie ein von Ihnen gewähltes Passwort. Optional können weitere Angaben erhoben werden.

Die Daten werden zum Zweck der Vertragsdurchführung und der Bereitstellung der App-Funktionen verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Die Daten werden gelöscht, sobald Sie Ihr Nutzerkonto löschen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

6.2 Hochladen von Bildern und Generierung von Aufgaben mittels KI

Die zentrale Funktion der App besteht darin, dass Sie Fotos von Lehrmaterialien (insbesondere Buchseiten) hochladen können, aus denen mithilfe künstlicher Intelligenz Vokabeln extrahiert und Aufgaben generiert werden.

Verarbeitet werden dabei: die hochgeladenen Bilder, die daraus extrahierten Textinhalte sowie die generierten Aufgaben und Tests. Die Bilder können mittelbar personenbezogene Daten enthalten, etwa wenn sich auf Buchseiten handschriftliche Notizen, Namen oder andere identifizierende Informationen befinden.

Die Verarbeitung erfolgt zum Zweck der Vertragsdurchführung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Die hochgeladenen Bilder und generierten Inhalte werden gespeichert, solange Ihr Nutzerkonto besteht bzw. bis Sie die Inhalte selbst löschen.

Wichtiger Hinweis: Sie sind verantwortlich dafür, dass Sie nur Inhalte hochladen, zu deren Verarbeitung Sie berechtigt sind. Bitte laden Sie keine Bilder hoch, die personenbezogene Daten Dritter (z. B. Schülerarbeiten mit Namen, Gesichter, private Notizen Dritter) enthalten, sofern Sie hierfür keine Rechtsgrundlage haben.

6.3 Einsatz von KI-Modellen (Azure AI Foundry)

Für die Extraktion von Wörtern aus hochgeladenen Bildern und die Generierung von Aufgabentypen setzen wir KI-Modelle ein, die über Azure AI Foundry von Microsoft bereitgestellt werden. Dies umfasst insbesondere Sprachmodelle (z. B. über den Azure OpenAI Service) sowie Bildverarbeitungsmodelle. Die konkret eingesetzten Modelle können sich im Rahmen der Weiterentwicklung unseres Dienstes ändern; die Verarbeitung erfolgt in allen Fällen durch Microsoft als Auftragsverarbeiter im Rahmen der in diesem Abschnitt beschriebenen Bedingungen.

Die Verarbeitung erfolgt innerhalb von Microsoft-Rechenzentren in der Europäischen Union. Nach Angaben von Microsoft werden die über Azure AI Foundry bzw. Azure OpenAI verarbeiteten Daten nicht zum Training der zugrundeliegenden Modelle verwendet.

Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Anbieter ist die Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Mit Microsoft besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO (Microsoft Products and Services Data Protection Addendum, DPA).

Obwohl Microsoft ein US-Unternehmen ist, erfolgt die Verarbeitung im Rahmen dieses Dienstes auf europäischen Servern. Sollten ausnahmsweise Daten in die USA übermittelt werden (z. B. zu Supportzwecken), erfolgt dies auf Grundlage des EU-US Data Privacy Framework, unter dem Microsoft zertifiziert ist, sowie auf Grundlage von EU-Standardvertragsklauseln.

Weitere Informationen: Microsoft Azure OpenAI Data Privacy

6.4 Hosting der App und Speicherung hochgeladener Inhalte (Microsoft Azure)

Die App sowie die Landingpage werden auf der Cloud-Plattform Microsoft Azure gehostet. Die hochgeladenen Bilder werden im Azure Blob Storage gespeichert. Die zugehörige Datenbank wird ebenfalls über Microsoft Azure betrieben. Sämtliche Datenverarbeitung erfolgt ausschließlich in Rechenzentren innerhalb der Europäischen Union.

Anbieter ist die Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Mit Microsoft besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren, stabilen und performanten Betrieb unseres Angebots.

6.5 Authentifizierung und Login (Supabase)

Für die Nutzerverwaltung und Authentifizierung (Registrierung, Login, Passwort-Reset, Session-Management) nutzen wir den Dienst Supabase. Hierbei werden insbesondere E-Mail-Adresse, verschlüsselte Passwort-Hashes, Authentifizierungstoken und IP-Adresse verarbeitet. Auch transaktionale E-Mails im Zusammenhang mit der Authentifizierung (z. B. Bestätigungs- und Passwort-Reset-Mails) werden über Supabase versendet.

Anbieter ist die Supabase, Inc., 970 Toa Payoh North #07-04, Singapur 318992. Supabase verarbeitet Daten auch in den USA und weiteren Drittländern. Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Mit Supabase besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Wir haben unsere Supabase-Instanz so konfiguriert, dass die Verarbeitung soweit möglich in europäischen Rechenzentren erfolgt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Nutzerverwaltung).

Weitere Informationen: https://supabase.com/privacy

6.6 Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen im Rahmen von kostenpflichtigen Abonnements nutzen wir den Zahlungsdienstleister Stripe. Anbieter ist die Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.

Bei der Zahlungsabwicklung werden die von Ihnen im Rahmen des Bezahlvorgangs eingegebenen Daten (z. B. Name, Rechnungsadresse, Zahlungsdaten) direkt an Stripe übermittelt und dort verarbeitet. Wir selbst erhalten keine vollständigen Zahlungsdaten (z. B. Kreditkartennummern), sondern lediglich die für die Vertragsabwicklung erforderlichen Informationen (z. B. Zahlungsstatus, Abonnementstatus).

Stripe verarbeitet Daten auch in den USA. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework sowie auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Mit Stripe besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Weitere Informationen: https://stripe.com/de/privacy

7. Webanalyse mit PostHog

Wir nutzen sowohl auf der Landingpage als auch in der App den Analysedienst PostHog, um die Nutzung unseres Angebots zu analysieren und zu verbessern. PostHog erfasst insbesondere folgende Daten:

• Aufgerufene Seiten und Interaktionen (Klicks, Scrolls, Formularinteraktionen)
• Gerätetyp, Browser, Betriebssystem
• Anonymisierte bzw. gekürzte IP-Adresse
• Referrer (vorherige Seite)
• Nutzungsdauer und Sitzungsverlauf
• In der App: eine pseudonyme Nutzerkennung zur Zuordnung von Ereignissen

Anbieter ist die PostHog Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA. Wir nutzen nach Möglichkeit die EU-Instanz von PostHog (eu.posthog.com), sodass die Datenverarbeitung innerhalb der EU erfolgt.

Soweit eine Übermittlung in die USA stattfindet, erfolgt diese auf Grundlage des EU-US Data Privacy Framework sowie auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Mit PostHog besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), soweit Sie dem Einsatz von Analyse-Tools über unser Cookie-Banner zugestimmt haben, sowie § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Cookie-Einstellungen anpassen.

Weitere Informationen: https://posthog.com/privacy

8. Cookies und vergleichbare Technologien

Unsere Website und unsere App verwenden Cookies sowie vergleichbare Technologien (z. B. LocalStorage). Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden.

Wir unterscheiden zwischen technisch notwendigen Cookies, die für den Betrieb der Website bzw. der App erforderlich sind (z. B. Session-Cookies zur Aufrechterhaltung des Logins), und optionalen Cookies (z. B. für Analysezwecke durch PostHog).

Technisch notwendige Cookies werden auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG und Art. 6 Abs. 1 lit. f DSGVO gesetzt. Optionale Cookies werden nur mit Ihrer ausdrücklichen Einwilligung gemäß § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO gesetzt. Sie können Ihre Einwilligung jederzeit über unser Cookie-Banner anpassen oder widerrufen.

9. Datensicherheit

Wir treffen technische und organisatorische Sicherheitsmaßnahmen, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert. Die Übertragung sensibler Daten erfolgt ausschließlich verschlüsselt über das HTTPS-Protokoll (TLS).

10. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt. Die von unserer KI erzeugten Lerninhalte stellen keine solche Entscheidung dar.

11. Aktualität und Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand April 2026. Durch die Weiterentwicklung unseres Angebots oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf vocabuly.de und app.vocabuly.de abgerufen werden.