Datenschutzerklaerung

Information nach Art. 13 und 14 DSGVO

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
[Firma/Name eintragen]
[Strasse, PLZ, Ort]
E-Mail: [Kontakt-Email]

2. Welche personenbezogenen Daten verarbeiten wir?

Im Rahmen der Nutzung von CirCur360 werden die folgenden Kategorien personenbezogener Daten verarbeitet:

• Registrierungsdaten: Name, E-Mail-Adresse, gehashtes Passwort (bcrypt), zugewiesene Rolle (Admin / Lehrperson / Lernende).
• Lernfortschritt: absolvierte Lektionen, Bearbeitungszeiten, Kompetenzprofil (VARK), Bloom-Level.
• Assessment-Ergebnisse: Antworten auf Aufgaben, erzielte Punktzahlen, Versuchsanzahl, Feedback.
• Session-Daten: anonymisierte Session-ID, JWT-Token in HttpOnly-Cookie, Login-Zeitstempel, IP-Adresse (nur transient waehrend des Requests, wird nicht gespeichert).
• Browser-Speicher: UI-Praeferenzen (Sprache, Theme), Cookie-Consent-Entscheidung — alles in localStorage, nicht auf unseren Servern.
• Analytics-Events(optional, nur mit Einwilligung): Seitenaufrufe, Lektionstarts, Quiz-Ergebnisse — pseudonymisiert, ohne IP.

3. Zwecke der Verarbeitung

• Bereitstellung der Lernplattform und personalisierter Lerninhalte.
• Authentifizierung und Zugriffskontrolle.
• Erstellung von Lernstandsanalysen und Zertifikaten.
• Kommunikation mit Lernenden (z. B. Passwort-Reset, Bewertungsbenachrichtigungen).
• Verbesserung des Angebots durch aggregierte (ausschliesslich mit Einwilligung gespeicherte) Nutzungsstatistiken.
• Erfuellung gesetzlicher Pflichten.

4. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung) — Registrierung, Nutzung der Plattform.
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — Analytics, personalisierte KI-Funktionen.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) — Aufbewahrungspflichten.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — IT-Sicherheit, Rate-Limiting.

5. Speicherdauer

Wir loeschen Ihre personenbezogenen Daten, sobald der Zweck der Verarbeitung entfaellt oder eine gesetzliche Aufbewahrungsfrist abgelaufen ist:

• Accounts: Loeschung auf Anforderung oder nach 24 Monaten Inaktivitaet.
• Analytics-Events: 12 Monate rollierend, dann anonymisiert aggregiert.
• Zertifikate: unbefristet (zur Verifizierung).
• Server-Logs: maximal 14 Tage.

6. Ihre Rechte

Ihnen stehen folgende Rechte zu:

• Auskunftsrecht (Art. 15 DSGVO) — welche Daten wir zu Ihnen gespeichert haben.
• Recht auf Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten.
• Recht auf Loeschung (Art. 17 DSGVO) — "Recht auf Vergessenwerden".
• Recht auf Einschraenkung der Verarbeitung (Art. 18 DSGVO).
• Recht auf Datenuebertragbarkeit (Art. 20 DSGVO) — maschinenlesbarer Datenexport.
• Widerspruchsrecht (Art. 21 DSGVO) gegen Verarbeitungen auf Basis berechtigter Interessen.
• Widerruf einer Einwilligung jederzeit mit Wirkung fuer die Zukunft.
• Beschwerderecht bei einer Aufsichtsbehoerde (Art. 77 DSGVO).

Zur Ausuebung Ihrer Rechte wenden Sie sich bitte an die oben genannte E-Mail-Adresse. Registrierte Nutzer koennen ihren Datenexport und die Account-Loeschung auch im Profilbereich selbst anstossen.

7. Cookies & Browser-Speicher

CirCur360 verwendet ausschliesslich technisch notwendige Cookies fuer die Authentifizierung (HttpOnly-JWT-Cookie). Zusaetzlich nutzen wir localStorage fuer UI-Praeferenzen (Sprache, Theme) und die Speicherung Ihrer Cookie-Consent-Entscheidung.

Analytics-Events werden nur verarbeitet, wenn Sie im Cookie-Banner explizit zugestimmt haben. Ohne Einwilligung wird kein Tracking durchgefuehrt.

8. Verarbeitung durch KI-Systeme

Zur Generierung von Lerninhalten und Feedback koennen KI-Modelle eingesetzt werden. Die Auswahl des Providers liegt beim Betreiber der Instanz:

• Ollama (lokal, self-hosted) — keine Drittlandtransfers, keine externen Anfragen.
• Mistral AI (EU, Frankreich) — Verarbeitung in der Europaeischen Union.
• Aleph Alpha (Deutschland) — Verarbeitung in Deutschland.
• Andere Anbieter (Anthropic, OpenAI, Gemini) nur mit explizitem Consent und passendem Auftragsverarbeitungsvertrag.

Fuer die Inhalte, die Sie an die KI uebermitteln (Prompts), werden keine personenbezogenen Daten automatisch angehaengt. Bitte geben Sie in Prompt-Feldern keine sensiblen Daten ein.

9. Drittland-Transfers

Sofern der Betreiber externe Dienste nutzt (z. B. Resend fuer den E-Mail-Versand), sind diese entweder in der EU ansaessig oder der Transfer erfolgt auf Basis von Standardvertragsklauseln (SCC) gemaess Art. 46 DSGVO sowie geeigneter Zusatzmassnahmen (z. B. Ende-zu-Ende-Verschluesselung).

10. Datensicherheit

Wir setzen technische und organisatorische Massnahmen gemaess Art. 32 DSGVO ein: TLS-Verschluesselung aller Verbindungen, bcrypt-gehashte Passwoerter, CSRF-Schutz, Rate-Limiting, regelmaessige Sicherheitsupdates, taegliche Backups.

11. Aenderungen dieser Datenschutzerklaerung

Wir passen diese Erklaerung an, wenn sich Rechtslage oder Verarbeitungszwecke aendern. Die jeweils aktuelle Version finden Sie stets auf dieser Seite.

12. Kontakt in Datenschutzfragen

Bei Fragen zum Datenschutz wenden Sie sich bitte an:
[Firma/Name eintragen]
E-Mail: [Kontakt-Email]

Stand: April 2026