Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Helmut Reindlmeier Lindenstraße 16 94330 Aiterhofen Deutschland E-Mail: support@bibu-crashkurse.de

2. Allgemeines

Diese Datenschutzerklärung gilt für die Lernplattform unter app.bibu-crashkurse.de sowie die Webpräsenz unter bibu-crashkurse.de. Soweit die Verarbeitung personenbezogener Daten auf der jeweiligen Domain abweicht, wird darauf gesondert hingewiesen.

3. Hosting — Vercel

Unsere Websites werden bei Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA gehostet. Die Datenverarbeitung erfolgt in EU-Rechenzentren (Region Frankfurt). Mit Vercel besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Für den Datentransfer in die USA gelten die Standardvertragsklauseln (SCC) der EU-Kommission.

Bei jedem Aufruf unserer Website erfasst Vercel automatisch Server-Logdaten: IP-Adresse, User-Agent, aufgerufene URL, Zeitpunkt und HTTP-Statuscode. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit). Speicherdauer: 30 Tage.

4. Registrierung und Nutzerkonto (app.bibu-crashkurse.de)

Zur Nutzung der Lernplattform ist eine Registrierung erforderlich. Dabei erheben wir folgende Daten:

• Vorname, Nachname
• E-Mail-Adresse
• Passwort (gespeichert als bcrypt-Hash, niemals im Klartext)

Zusätzlich werden automatisch gespeichert: Registrierungszeitpunkt, letzter Login, E-Mail-Verifizierungsstatus.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: bis zur Löschung des Nutzerkontos.

5. Zahlungsabwicklung — Stripe

Zahlungen werden über Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland abgewickelt. Stripe ist ein EU-ansässiger Zahlungsdienstleister. Wir übermitteln zur Zahlungsabwicklung: Name, E-Mail-Adresse, Rechnungsadresse. Kartendaten werden ausschließlich von Stripe verarbeitet und nicht auf unseren Servern gespeichert. Wir speichern lediglich die Stripe-Kunden-ID und Abonnement-ID zur Verwaltung des Zugangs.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Mit Stripe besteht ein Auftragsverarbeitungsvertrag. Weitere Informationen: https://stripe.com/de/privacy

6. Datenbank — Supabase

Die Nutzerdaten werden in einer PostgreSQL-Datenbank bei Supabase Inc. gespeichert. Das Datenbankprojekt ist in der EU-Region Frankfurt gehostet. Mit Supabase besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

7. Warteliste

Interessenten können sich vor dem Kursstart auf eine Warteliste eintragen. Dabei erheben wir: E-Mail-Adresse, Zeitpunkt der Eintragung, Herkunft (z.B. „app-coming-soon"), User-Agent, IP-Adresse. Die Daten werden ausschließlich zur Benachrichtigung über den Kursstart verwendet und danach gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

8. Lernfortschritt und Nutzungsdaten

Zur Darstellung des Lernfortschritts und der Streak-Funktion speichern wir: besuchte Kapitel, Zeitpunkte der Besuche, Besuchshäufigkeit. Diese Daten sind rein funktional und werden nicht für Werbezwecke genutzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9. Lokaler Browser-Speicher (localStorage)

Die App nutzt den lokalen Speicher des Browsers (localStorage) für folgende Daten: Sitzungs-Token (JWT), gecachtes Nutzerprofil, Lernzustände pro Kapitel, lokale Besuchszähler, Lernstreak. Diese Daten verlassen nicht das Endgerät und werden nicht an Server übermittelt. Es werden keine Tracking-Cookies gesetzt.

10. E-Mail-Kommunikation — Resend

Für den Versand transaktionaler E-Mails (Registrierungs-Bestätigung, E-Mail-Verifizierung, Passwort-Reset, Kauf- und Buchungsbestätigungen, sicherheitsrelevante Benachrichtigungen) nutzen wir den Versanddienst Resend (Resend, Inc., 2261 Market Street #4667, San Francisco, CA 94114, USA).

Übermittelt werden: E-Mail-Adresse des Empfängers, Absenderadresse, Betreff und Inhalt der Nachricht sowie Metadaten zum Zustellstatus (Versand-, Zustell-, Öffnungszeitpunkt soweit aktiviert). Die E-Mail-Adresse wird ausschließlich für die genannten transaktionalen Zwecke verarbeitet, nicht für Werbung.

Mit Resend besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Resend ist ein US-Anbieter; der Datentransfer in die USA erfolgt auf Grundlage der Standardvertragsklauseln (SCC) der EU-Kommission in Verbindung mit dem Vercel-üblichen DPA-Mechanismus von Resend (https://resend.com/legal/dpa). Resend hat technische und organisatorische Maßnahmen wie Verschlüsselung in Transit (TLS) und at Rest sowie strikte Zugriffskontrollen implementiert (https://resend.com/security).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für transaktionale E-Mails im Zusammenhang mit dem Nutzungsvertrag, Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen Zustellung) für sicherheitsrelevante Benachrichtigungen. Speicherdauer: Versand- und Zustellprotokolle werden bei Resend für maximal 30 Tage vorgehalten und anschließend automatisch gelöscht. Inhalte der E-Mails werden nicht dauerhaft auf unserer Seite gespeichert; eine Kopie befindet sich ausschließlich im Postfach des Empfängers.

11. Webfonts

Die App nutzt die Schriftarten Poppins und Mulish. Diese sind lokal auf unserem Server eingebunden. Es findet keine Verbindung zu Google-Servern statt.

12. Reichweitenmessung — Vercel Web Analytics und Speed Insights

Auf bibu-crashkurse.de setzen wir Vercel Web Analytics sowie Vercel Speed Insights der Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA, ein. Beide Dienste werden über das offizielle Vercel-Hostingprodukt bereitgestellt und sind ausschließlich auf der Webpräsenz unter bibu-crashkurse.de aktiv, nicht auf der Lernplattform unter app.bibu-crashkurse.de.

Vercel Web Analytics erfasst aggregierte Reichweitendaten: Seitenaufrufe, verweisende Seite, ungefähre geografische Region auf Länderebene, Geräteklasse und Browser. Aus der IP-Adresse wird mit einem täglich rotierenden, nicht offengelegten Salt ein nicht-rückführbarer Besucher-Hash gebildet. Die IP-Adresse selbst wird nicht gespeichert.

Vercel Speed Insights misst tatsächliche Ladezeiten und Web-Vitals (Largest Contentful Paint, Interaction to Next Paint, Cumulative Layout Shift) anhand anonymer technischer Metriken. Es werden keine Inhalte der besuchten Seiten oder Eingaben übermittelt.

Beide Dienste arbeiten cookie-frei und ohne Zugriff auf Endgeräte-Speicher im Sinne von § 25 TTDSG. Es werden keine Tracking-Cookies oder Werbe-IDs gesetzt. Es findet kein websiteübergreifendes Tracking statt; es werden weder Google Analytics noch Meta-Pixel oder vergleichbare Dritt-Tracker eingesetzt.

Empfänger der Daten ist Vercel Inc., USA. Mit Vercel besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Der Drittlandtransfer in die USA erfolgt auf Grundlage der Standardvertragsklauseln (SCC) der EU-Kommission.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datenschutzfreundlichen, anonymen statistischen Reichweiten- und Performancemessung zur Optimierung des Angebots). Speicherdauer: aggregierte Auswertungsdaten 12 Monate. Widerspruchsrecht: Sie können der Verarbeitung jederzeit unter support@bibu-crashkurse.de widersprechen.

13. Rechte der betroffenen Personen

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO) — Kontolöschung ist direkt in der App unter Profil > Konto möglich
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an: support@bibu-crashkurse.de

14. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist der Bayerische Landesbeauftragte für den Datenschutz (BayLfD), Postfach 22 12 19, 80502 München, www.datenschutz-bayern.de.

15. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO statt.