WAIDPASS
← Zurück

Datenschutzerklärung

Stand: Juli 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Maximilian Ise
Wisselter Weg 1a
41469 Neuss, Deutschland
E-Mail: kontakt@waidpass.de

Ein Datenschutzbeauftragter ist gesetzlich nicht bestellt, da die Voraussetzungen hierfür (§ 38 BDSG) nicht erfüllt sind. Bei allen Fragen zum Datenschutz erreichst du uns unter der oben genannten Adresse.

2. Allgemeines und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten nur im erforderlichen Umfang und stützen jede Verarbeitung auf eine Rechtsgrundlage nach Art. 6 DSGVO:

  • Art. 6 Abs. 1 lit. b – Erfüllung des Nutzungsvertrags (Konto, Lernfunktionen, Kauf)
  • Art. 6 Abs. 1 lit. a – deine Einwilligung (z. B. Push-Benachrichtigungen, KI-Tutor)
  • Art. 6 Abs. 1 lit. f – berechtigtes Interesse (Betrieb, Sicherheit, Missbrauchsabwehr)
  • Art. 6 Abs. 1 lit. c – Erfüllung rechtlicher Pflichten (z. B. steuerliche Aufbewahrung)

3. Hosting und Server-Logfiles (netcup)

Unsere App wird auf einem Server der netcup GmbH (Daimlerstraße 25, 76185 Karlsruhe) mit Serverstandort in Deutschland (Nürnberg) gehostet. Beim Aufruf werden technisch notwendige Zugriffsdaten in Server-Logfiles verarbeitet: IP-Adresse, Datum und Uhrzeit, abgerufene Ressource, Referrer und User-Agent. Dies dient der Auslieferung, Stabilität und Sicherheit der App.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (sicherer, störungsfreier Betrieb).

Datenschutz: netcup.de. Die Verarbeitung erfolgt ausschließlich in Deutschland; eine Übermittlung in Drittländer findet für das Hosting nicht statt.

4. Registrierung und Nutzerkonto (Supabase)

Für die Nutzung legst du ein Konto an. Dabei verarbeiten wir deine E-Mail-Adresse, ein verschlüsselt gespeichertes Passwort sowie Profilangaben (z. B. Anzeigename, Avatar, Bundesland, geplantes Prüfungsdatum, Lernmotivation, Zeitzone). Authentifizierung und Datenspeicherung erfolgen über Supabase mit Serverstandort in der EU (Frankfurt).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datenschutz: supabase.com/privacy

5. Anmeldung über Google (Google Sign-In)

Du kannst dich optional über dein Google-Konto anmelden („Mit Google anmelden“). Wählst du diese Möglichkeit, wirst du zu Google weitergeleitet und dort authentifiziert. Nach erfolgreicher Anmeldung übermittelt Google die zur Kontoerstellung erforderlichen Daten an uns – insbesondere deine E-Mail-Adresse, deinen bei Google hinterlegten Namen sowie deine Google-Profilkennung. Die Anmeldung wird technisch über unseren Authentifizierungs- Dienstleister Supabase (siehe Ziffer 4) abgewickelt. Anbieter des Dienstes ist die Google Ireland Limited, Irland; je nach Verarbeitung kann eine Übermittlung an die Google LLC (USA) erfolgen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch die aktive Wahl dieser Anmeldeart).

Datenschutz: policies.google.com/privacy. Eine Übermittlung in die USA ist durch EU-Standardvertragsklauseln abgesichert (siehe Ziffer 14).

6. Lernfortschritt und adaptive Lernsteuerung

Zur Bereitstellung der Lernfunktionen speichern wir dein Antwortverhalten, deinen Lernfortschritt, Wiederholungsintervalle (Spaced-Repetition / SM-2), Statistiken sowie Gamification-Daten (Punkte, Streak, Level). Aus diesen Daten wird automatisiert der Schwierigkeitsgrad und die Auswahl der nächsten Fragen abgeleitet, um deinen Lernerfolg zu optimieren.

Diese automatisierte Auswertung dient ausschließlich der Lernoptimierung und entfaltet keine rechtliche Wirkung im Sinne von Art. 22 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7. Community und Duelle

Nutzt du Community-Gruppen oder Lern-Duelle, werden bestimmte Daten (z. B. dein Anzeigename, Avatar, Punktestände, Duell-Ergebnisse und von dir erstellte Beiträge) für andere teilnehmende Nutzer sichtbar. Veröffentliche dort keine sensiblen personenbezogenen Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung der Community-Funktion).

8. Zahlungsabwicklung (Stripe)

Beim Kauf eines kostenpflichtigen Tarifs wird die Zahlung über die Stripe Payments Europe Ltd. abgewickelt. Zahlungsdaten (z. B. Karten- oder Kontodaten) gibst du direkt bei Stripe ein; wir erhalten keine vollständigen Zahlungsmittel-Daten, sondern nur Status- und Abrechnungsinformationen zur Vertragsverwaltung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (steuerliche Pflichten).

Datenschutz: stripe.com/de/privacy. Stripe kann Daten in die USA übermitteln; abgesichert durch EU-Standardvertragsklauseln (siehe Ziffer 14).

9. KI-Tutor (OpenAI)

Der KI-Tutor ist ein optionales Premium-Feature. Wenn du ihn nutzt, übermitteln wir deine zur jeweiligen Frage abgegebene Antwort sowie den fachlichen Kontext der Frage an die OpenAI, L.L.C. (USA), um eine Erklärung zu generieren. Es werden keine direkten Identifikationsdaten (Name, E-Mail) an OpenAI übergeben. Die Verarbeitung erfolgt nur, wenn du den KI-Tutor aktiv aufrufst.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der gebuchten Funktion) sowie deine Einwilligung durch die aktive Nutzung, Art. 6 Abs. 1 lit. a DSGVO.

Datenschutz: openai.com/policies/privacy-policy. Die Übermittlung in die USA ist durch EU-Standardvertragsklauseln abgesichert (siehe Ziffer 14).

10. E-Mail-Versand (Resend)

Für transaktionale E-Mails (z. B. Registrierungsbestätigung, Passwort-Zurücksetzen, Antworten auf Kontaktanfragen) nutzen wir den Dienst Resend. Verarbeitet werden deine E-Mail-Adresse und der jeweilige Nachrichteninhalt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO (Vertragserfüllung, sichere Kommunikation).

Datenschutz: resend.com/legal/privacy-policy

11. Schutz vor Missbrauch (Cloudflare Turnstile, Rate-Limiting)

Zum Schutz vor automatisierten Angriffen und Missbrauch setzen wir bei der Registrierung und beim Zurücksetzen des Passworts das CAPTCHA „Cloudflare Turnstile“ ein. Dabei verarbeitet die Cloudflare, Inc. (USA) technische Daten – insbesondere deine IP-Adresse, Browser- und Geräteinformationen sowie Interaktionssignale – um zu erkennen, ob die Anfrage von einem Menschen stammt. Turnstile setzt keine Cookies zu Tracking- oder Werbezwecken ein.

Zur Begrenzung der Anfragehäufigkeit (Rate-Limiting, z. B. gegen automatisierte Login-, Registrierungs- oder Passwort-Reset-Versuche) verarbeiten wir zudem kurzzeitig deine IP-Adresse bzw. davon abgeleitete Kennungen über den Dienst Upstash (Redis).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Missbrauchsabwehr).

Datenschutz: cloudflare.com/privacypolicy sowie upstash.com/trust. Eine Übermittlung in die USA ist durch EU-Standardvertragsklauseln abgesichert (siehe Ziffer 14).

12. Push-Benachrichtigungen

Mit deiner Einwilligung senden wir dir Push-Benachrichtigungen (z. B. Lern-Erinnerungen). Dazu speichern wir die technischen Push-Endpunkt-Daten deines Geräts/Browsers. Du kannst die Benachrichtigungen jederzeit in den Einstellungen deines Geräts oder der App deaktivieren und damit deine Einwilligung mit Wirkung für die Zukunft widerrufen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

13. Kontaktformular

Wenn du uns über das Kontaktformular schreibst, verarbeiten wir die von dir angegebenen Daten (Name, E-Mail-Adresse, Betreff, Nachricht), um deine Anfrage zu bearbeiten und zu beantworten. Zum Spam-Schutz setzen wir ein technisches Honeypot-Feld ein.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich) bzw. Art. 6 Abs. 1 lit. f DSGVO (Beantwortung von Anfragen).

14. Datenübermittlung in Drittländer

Einige der eingesetzten Dienste (insbesondere OpenAI, Stripe, Cloudflare, Upstash sowie – bei Anmeldung über Google – Google) können personenbezogene Daten in den USA verarbeiten. Soweit dort kein durch einen Angemessenheitsbeschluss abgedecktes Schutzniveau besteht, erfolgt die Übermittlung auf Grundlage der EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ergänzender Schutzmaßnahmen. Mit allen Dienstleistern bestehen, soweit erforderlich, Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO.

15. Cookies und lokale Speicherung

WAIDPASS verwendet ausschließlich technisch notwendige Session-Cookies für die Authentifizierung. Lernfortschritt und Einstellungen werden zusätzlich im localStorage deines Browsers/Geräts gespeichert. Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt; ein Cookie-Banner ist daher nicht erforderlich.

Rechtsgrundlage: § 25 Abs. 2 TDDDG (unbedingt erforderliche Speicherung) bzw. Art. 6 Abs. 1 lit. b und f DSGVO.

16. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist. Kontodaten und Lernfortschritt werden für die Dauer deines Nutzerkontos gespeichert und nach dessen Löschung entfernt. Abrechnungsrelevante Daten unterliegen den gesetzlichen Aufbewahrungsfristen (i. d. R. bis zu 10 Jahre nach § 147 AO / § 257 HGB). Server-Logfiles werden regelmäßig kurzfristig gelöscht.

17. Deine Rechte

Du hast nach der DSGVO insbesondere folgende Rechte:

  • Auskunft über die zu dir gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung deiner Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung deiner Rechte wende dich an: kontakt@waidpass.de. Viele Angaben kannst du auch direkt in deinen Profileinstellungen ändern oder dein Konto dort löschen.

18. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet anderweitiger Rechtsbehelfe hast du das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO), insbesondere in dem Mitgliedstaat deines Aufenthaltsorts oder des mutmaßlichen Verstoßes. Zuständig ist die Aufsichtsbehörde des Bundeslandes des Verantwortlichen, die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf.

19. Aktualität und Änderung dieser Erklärung

Diese Datenschutzerklärung hat den Stand Juli 2026. Durch die Weiterentwicklung der App oder geänderte gesetzliche Vorgaben kann es notwendig werden, sie anzupassen. Die jeweils aktuelle Fassung kannst du jederzeit hier abrufen.