Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist: Iterion UG (haftungsbeschränkt) Mühlenstr. 8a 14167 Berlin E-Mail: hello@iterion.ai Wir sind gesetzlich nicht zur Benennung eines Datenschutzbeauftragten verpflichtet.

2. Erhobene Daten

Wir erheben und verarbeiten folgende personenbezogene Daten: • E-Mail-Adresse und Name (für Registrierung und Login) • E-Mail-Adresse für Warteliste (wird nach Einladung oder auf Anfrage gelöscht) • Hochgeladene Studienunterlagen (PDFs, Word, PowerPoint) • Chat-Verläufe mit dem KI-Tutor • Erstellte Klausuren, Karteikarten und Zusammenfassungen • Zahlungs- und Abrechnungsdaten (bei kostenpflichtigem Abonnement) • Nutzungsdaten (Feature-Nutzung, Zeitstempel)

3. Zweck der Verarbeitung

Die Verarbeitung erfolgt zum Zweck der: • Bereitstellung der Lernplattform und Benutzerkonten • KI-basierten Analyse und Aufbereitung von Studienunterlagen • Generierung von Übungsfragen, Karteikarten und Zusammenfassungen • Abwicklung von Zahlungen und Abonnements • Sicherheit, Missbrauchsvermeidung und Verbesserung der Servicequalität

4. Rechtsgrundlage

Die Verarbeitung erfolgt auf folgenden Rechtsgrundlagen: • Bereitstellung der Plattform und KI-Funktionen sowie Abwicklung des Abonnements: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) • Zahlungs- und Aufbewahrungspflichten: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) • Produkt-Analyse mit Wiedererkennung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) • Sicherheit, Missbrauchsvermeidung und Produktverbesserung: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

5. Auftragsverarbeiter und Empfänger

Zur Bereitstellung unserer Dienste setzen wir sorgfältig ausgewählte Dienstleister ein, mit denen jeweils ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO besteht (Mollie handelt bei der Zahlungsabwicklung als eigenständig Verantwortlicher):

  • Supabase (Hosting, Datenbank, Authentifizierung) — Speicherung in Frankfurt, eu-central-1
  • Vercel (Anwendungs-Hosting und Auslieferung) — Region Frankfurt (fra1)
  • OpenAI (für den EWR: OpenAI Ireland Limited) — Text-Embeddings und KI-Generierung
  • Anthropic — KI-Chat und KI-Generierung
  • Jina AI GmbH, Berlin — Reranking von Suchergebnissen (Verarbeitung in der EU)
  • LlamaIndex (LlamaParse) — Dokumenten-Parsing
  • Mollie B.V., Amsterdam (Niederlande) — Zahlungsabwicklung (PCI-DSS Level 1)
  • PostHog (EU-Hosting Frankfurt) — Produkt-Analyse
  • Langfuse GmbH, Berlin — Observability der KI-Funktionen: Protokollierung von KI-Anfragen und -Antworten (inkl. Auszügen Ihrer Dokumente) mit Nutzer-ID zur Qualitätssicherung und Fehleranalyse (EU-Hosting). Bei Löschung Ihres Kontos werden diese Protokolle gelöscht.
  • Google Ireland Limited (Google Chat) — interne Weiterleitung von Nutzer-Feedback (inkl. Ihrer E-Mail-Adresse und ggf. Screenshots) an unser Support-Team
  • Transaktionaler E-Mail-Versanddienstleister (EU-Region) — Versand gesetzlich vorgeschriebener Vertrags- und Kontobestätigungen (z. B. §312f BGB)

5a. Verarbeitung durch KI-Anbieter und kein Modell-Training

Zur Erbringung der KI-Funktionen (Chat, Generierung von Übungsfragen, Karteikarten und Zusammenfassungen sowie KI-Bewertung von Übungsklausuren) übermitteln wir Ihre Eingaben und die Inhalte Ihrer hochgeladenen Dokumente an die unter Ziffer 5 genannten KI-Anbieter (insbesondere OpenAI und Anthropic). Diese verarbeiten die Inhalte ausschließlich zur Erbringung der jeweiligen Funktion. Eine Nutzung Ihrer Inhalte zum Training oder zur Verbesserung der KI-Modelle der Anbieter findet auf Grundlage der mit uns abgeschlossenen Geschäfts- bzw. API-Verträge nicht statt. Die Anbieter speichern Eingaben und Ausgaben nur kurzzeitig zur Missbrauchs- und Sicherheitskontrolle (OpenAI: bis zu 30 Tage; Anthropic: regelmäßig 7 Tage) und löschen sie anschließend, soweit keine gesetzliche Aufbewahrungspflicht besteht.

5b. Anonyme Webanalyse (ohne Einwilligung)

Wir nutzen PostHog (PostHog, Inc., gehostet in der EU/Frankfurt) zur statistischen Auswertung der Nutzung von StudyBuddy durch nicht eingeloggte Besucher. In diesem Modus werden weder Cookies noch andere Informationen auf Ihrem Endgerät gespeichert oder ausgelesen. PostHog erzeugt serverseitig einen anonymen Hash aus Ihrer IP-Adresse, Ihrem User-Agent und einem täglich wechselnden Salt. Die IP-Adresse wird unmittelbar nach Hash-Erzeugung verworfen. Der Hash ist nicht zur Identifikation einzelner Personen zurückrechenbar und verfällt täglich. Rechtsgrundlage: Da kein Zugriff auf Ihr Endgerät erfolgt, greift § 25 TDDDG nicht. Die Verarbeitung der erhobenen Nutzungsdaten erfolgt auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO).

5c. Produkt-Analyse für eingeloggte Nutzer (mit Einwilligung)

Wenn Sie sich für ein StudyBuddy-Konto registriert und während der Anmeldung in die Produkt-Analyse eingewilligt haben (separate, optionale Checkbox), erfasst PostHog Ihre Interaktionen mit dem Produkt zugeordnet zu Ihrer Nutzer-ID. Erfasste Daten: Nutzer-ID (UUID, kein Klarname), E-Mail-Adresse (als Person-Property), Registrierungsdatum, ausgeführte Aktionen (z. B. Dokument hochgeladen, Quiz erstellt, Frage beantwortet), Session-Aufzeichnungen (Mausbewegungen und Klicks, alle Texte und Bilder sind maskiert). Cookies: In diesem Modus speichert PostHog Erste-Party-Cookies auf Ihrem Endgerät, um Sie über mehrere Sessions hinweg wiederzuerkennen. Rechtsgrundlage: Ihre ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Widerruf: Sie können Ihre Einwilligung jederzeit unter Einstellungen > Datenschutz widerrufen. Nach Widerruf wechselt das System für Sie zurück in den anonymen Modus. Speicherdauer: Bis zu 7 Jahre, sofern Sie die Einwilligung nicht früher widerrufen. Auftragsverarbeitung: Mit PostHog besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Verarbeitung erfolgt ausschließlich in der EU.

6. Datenübermittlung in Drittländer (USA)

Im Rahmen der unter Ziffer 5 genannten Dienste werden personenbezogene Daten auch an Dienstleister in den USA übermittelt (insbesondere OpenAI, Anthropic und LlamaIndex). Die Zahlungsabwicklung erfolgt über Mollie B.V. mit Sitz in den Niederlanden (EU). Für die USA besteht seit dem 10. Juli 2023 ein Angemessenheitsbeschluss der Europäischen Kommission im Rahmen des EU-U.S. Data Privacy Framework (DPF). Soweit der jeweilige Empfänger unter dem DPF zertifiziert ist, erfolgt die Übermittlung auf dieser Grundlage (Art. 45 DSGVO). Ergänzend bzw. soweit keine gültige DPF-Zertifizierung besteht, stützen wir die Übermittlung auf die Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) nebst geeigneter zusätzlicher Schutzmaßnahmen. Eine Kopie der Garantien können Sie unter den in Ziffer 1 genannten Kontaktdaten anfordern. Wir weisen darauf hin, dass in den USA ein dem EU-Recht vergleichbares Datenschutzniveau nicht in jedem Fall gewährleistet werden kann und ein Zugriff durch US-Behörden nicht vollständig ausgeschlossen ist. Hosting, Datenbank, Reranking (Jina AI GmbH, Berlin) und Observability erfolgen innerhalb der EU.

7. Keine ausschließlich automatisierte Entscheidung (Art. 22 DSGVO)

Unsere KI-gestützte Bewertung von Übungsklausuren sowie die automatische Erstellung von Übungsfragen dienen ausschließlich Lernzwecken. Die dabei vergebenen Bewertungen (z. B. Punktzahlen von 0–10) sind unverbindlich und entfalten keine rechtliche Wirkung und keine vergleichbar erhebliche Beeinträchtigung im Sinne des Art. 22 DSGVO. Eine ausschließlich automatisierte Entscheidung im Einzelfall mit rechtlicher Wirkung findet nicht statt. Die Ergebnisse beruhen auf der Analyse Ihrer hochgeladenen Inhalte durch Sprachmodelle, können Fehler enthalten und ersetzen keine offizielle Prüfungsbewertung.

8. Speicherdauer

Ihre Daten werden gespeichert, bis Sie Ihr Konto löschen. Hochgeladene Dokumente und generierte Inhalte werden bei Kontolöschung vollständig gelöscht. Zahlungsdaten werden gemäß gesetzlicher Aufbewahrungsfristen (6 bzw. 10 Jahre) gespeichert.

9. Ihre Rechte

Sie haben folgende Rechte: • Auskunft über gespeicherte Daten (Art. 15 DSGVO) • Berichtigung unrichtiger Daten (Art. 16 DSGVO) • Löschung Ihrer Daten (Art. 17 DSGVO) • Einschränkung der Verarbeitung (Art. 18 DSGVO) • Datenübertragbarkeit (Art. 20 DSGVO) • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO) Sie können Ihr Konto und alle zugehörigen Daten jederzeit in den Einstellungen löschen.

10. Speicherort

Die primäre Speicherung aller Inhalts- und Kontodaten erfolgt auf Servern in der EU (Frankfurt, Deutschland). Übermittlungen an US-Dienstleister sind in Ziffer 6 beschrieben.

11. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderweitiger Rechtsbehelfe haben Sie das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist: Berliner Beauftragte für Datenschutz und Informationsfreiheit Alt-Moabit 59-61, 10555 Berlin https://www.datenschutz-berlin.de

12. Kontakt für Datenschutz-Anfragen

Für Anfragen zum Datenschutz und zur Ausübung Ihrer Rechte erreichen Sie uns unter: Iterion UG (haftungsbeschränkt) E-Mail: hello@iterion.ai