Datenschutzerklärung

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Nachfolgend informieren wir Sie darüber, welche Daten wir auf Basis der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) verarbeiten, zu welchen Zwecken dies geschieht und welche Rechte Sie haben.

1. Verantwortlicher

Kreuz Ki
Constantin Ketz
Klarastr. 18
79106 Freiburg im Breisgau
E‑Mail: info@kreuzki.de

2. Begriffsbestimmungen

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). „Verarbeitung“ umfasst jeden Vorgang im Zusammenhang mit personenbezogenen Daten (Art. 4 Nr. 2 DSGVO). „Cookies“ sind Textdateien bzw. vergleichbare Technologien, die Informationen auf Ihrem Endgerät speichern (§ 25 Abs. 1 TDDDG).

3. Überblick der Verarbeitungstätigkeiten

Wir haben die wichtigsten Verarbeitungsvorgänge nach Zwecken gegliedert. Für jede Tätigkeit nennen wir Datenarten, Rechtsgrundlagen, Empfänger, Speicherdauer sowie Informationen zu Drittlandübermittlungen.

3.1 Hosting & Server-Logs

Datenarten: IP-Adresse, Zeitstempel, HTTP-Status, Referrer, User-Agent, ggf. Fehler-Logs.
Zweck: Bereitstellung der Website und API, Stabilität, IT-Sicherheit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb); § 25 Abs. 2 Nr. 2 TDDDG für unbedingt erforderliche Server-Technologien.
Empfänger/Auftragsverarbeiter: Hosting bei IONOS SE, Deutschland (Auftragsverarbeitung). Admin-Zugriff durch interne IT.
Speicherdauer: Logfiles werden spätestens nach 7 Tagen automatisiert gelöscht, sofern keine sicherheitsrelevante Auswertung erforderlich ist.
Drittlandtransfer: keiner.

3.2 Kontaktaufnahme per E-Mail

Datenarten: Absenderadresse, Inhalt Ihrer Nachricht, optionale Signaturdaten.
Zweck: Bearbeitung von Support- und Vertragsanfragen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Kommunikation) bzw. Art. 6 Abs. 1 lit. f DSGVO (Anfragen ohne Vertragsbezug); § 26 BDSG für Bewerbungen.
Empfänger: Interne Fachabteilungen; E-Mail-Hoster (IONOS SE) als Auftragsverarbeiter.
Speicherdauer: Korrespondenz wird gemäß gesetzlicher Aufbewahrungspflichten (maximal 10 Jahre) oder bis zur Erledigung des Anliegens gespeichert.
Drittlandtransfer: keiner.

3.3 Nutzung der Kreuz KI App & Safari-Erweiterung

Datenarten: App- und Gerätekennungen, Anzahl freier Analysen, Subscription-Status (Hash/Token), Interaktionen mit Frage-Paketen, Fehlercodes.
Zweck: Bereitstellung der Funktionen, Synchronisation von Freikontingenten, Missbrauchsprävention.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Nutzung der App); Art. 6 Abs. 1 lit. f DSGVO (Betrieb und Sicherheit).
Empfänger: Kreuz KI Backend (Node.js-Server), Apple (App Store, iCloud Key-Value Storage).
Speicherdauer: Kontingent- und Statusdaten werden maximal 12 Monate nach letzter Nutzung aufbewahrt; Fehlerprotokolle höchstens 90 Tage.
Drittlandtransfer: Übermittlung an Apple Inc. (USA) im Rahmen des App Store. Grundlage: EU-Standardvertragsklauseln (SCC) und zusätzliche Schutzmaßnahmen.

3.4 Zahlungen & Abonnements

Datenarten: Apple-ID (pseudonymisiert), Kaufbelege, Produkt-IDs, Transaktionszeitpunkt.
Zweck: Abwicklung von In-App-Käufen, Rechnungslegung, Betrugsprävention.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Vertrages), Art. 6 Abs. 1 lit. c DSGVO (steuerliche Pflichten).
Empfänger: Apple Inc., Steuerberater*innen (falls eingeschaltet), Finanzbehörden.
Speicherdauer: 10 Jahre nach § 147 AO (gesetzlich vorgeschriebene Höchstfrist).
Drittlandtransfer: Apple Inc., USA – Absicherung über SCC und zusätzliche organisatorische Maßnahmen.

3.5 Analytics & Crash-Reports (optional)

Datenarten: Pseudonymisierte Nutzungsstatistiken, Absturzberichte (Stacktraces), Geräteinformationen.
Zweck: Produktverbesserung, Performance-Analyse.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (nur nach Einwilligung).
Empfänger: Apple App Analytics (App Store Connect), optional Sentry (Functional Software Inc., USA) bei separat erteilter Zustimmung.
Speicherdauer: Aggregierte Berichte höchstens 13 Monate (Apple). Rohdaten werden spätestens nach 90 Tagen gelöscht.
Drittlandtransfer: USA – Absicherung über aktuelle EU-Standardvertragsklauseln; zusätzliche Verschlüsselung auf Serverebene.

3.6 KI-Funktionen (OpenAI API)

Datenarten: Inhalte der Prüfungsfragen und Deine Eingaben (Prompt), generierte KI-Antworten, technische Metadaten.
Zweck: Erstellung von Erklärungen und Lernhilfen in Echtzeit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für zahlende Nutzer*innen; Art. 6 Abs. 1 lit. a DSGVO für freiwillig bereitgestellte Zusatzinformationen.
Empfänger: OpenAI OpCo, LLC (USA) als Auftragsverarbeiter. Verarbeitung über dedizierte API-Endpunkte.
Speicherdauer: Prompts werden serverseitig spätestens nach 30 Tagen gelöscht, sofern keine Fehleranalyse erforderlich ist.
Drittlandtransfer: USA – Nutzung auf Basis der EU-Standardvertragsklauseln und zusätzlicher Sicherheitsmaßnahmen (z. B. Pseudonymisierung, Verschlüsselung während der Übertragung).

4. Cookies, lokale Speicher & Einwilligungsmanagement

Wir setzen nur dann nicht notwendige Cookies oder vergleichbare Technologien, wenn Sie uns zuvor eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG erteilt haben. Notwendige Cookies/Storages, die für den Betrieb erforderlich sind, stützen wir auf Art. 6 Abs. 1 lit. f DSGVO sowie § 25 Abs. 2 TDDDG.

Unser Consent-Banner erlaubt Ihnen, optionale Kategorien auszuwählen oder abzulehnen. Ihre Entscheidung wird im lokalen Speicher des Browsers abgelegt. Sie können diese Einwilligung jederzeit über den Link „Datenschutz-Einstellungen“ widerrufen oder anpassen.

5. Weitergabe von Daten

Eine Weitergabe erfolgt nur, wenn dies zur Vertragsdurchführung notwendig ist, eine Einwilligung vorliegt oder eine gesetzliche Verpflichtung besteht. Mit externen Dienstleistern bestehen Auftragsverarbeitungsverträge gem. Art. 28 DSGVO.

6. Betroffenenrechte

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie das Recht auf Widerruf erteilter Einwilligungen und Widerspruch gegen bestimmte Verarbeitungen (Art. 15–21 DSGVO). Beschwerden richten Sie an die zuständige Aufsichtsbehörde (z. B. Landesbeauftragter für den Datenschutz Baden-Württemberg).

7. Widerruf & Einstellungen

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie auf Datenschutz-Einstellungen klicken oder die Browserdaten löschen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

8. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder neue Dienste anzupassen. Es gilt jeweils die hier veröffentlichte Fassung.

9. Kontakt Datenschutz

Bei Fragen zur Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten, bei Auskünften, Berichtigung, Sperrung oder Löschung von Daten sowie Widerruf erteilter Einwilligungen wenden Sie sich bitte an: info@kreuzki.de

Zurück zur Startseite