Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO für den Betrieb dieser Plattform ist:
Simon Weber - NextWebSolutions
E-Mail: office.lerneasy@gmail.com
Österreich

2. Welche Daten wir erheben

Wir erheben und verarbeiten folgende personenbezogene Daten:

Schülerinnen & Schüler

  • Registrierungsdaten: Name, E-Mail-Adresse, Passwort (verschlüsselt), Schulinformationen (Schultyp, Schulform, Stufe, Klasse, Schulname), Adresse
  • Profilbild: Freiwillig hochgeladenes Foto, gespeichert auf unseren Servern
  • Buchungsdaten: Terminangaben, gewählte Lehrkraft, Fach, Zahlungsstatus, optionale Lernnotiz
  • Zahlungsdaten: Werden über Stripe verarbeitet. Wir speichern lediglich Referenz-IDs (Customer-ID, PaymentMethod-ID, PaymentIntent-ID), keine vollständigen Kartendaten.
  • Bewertungen: Sterne-Bewertungen und optionale Kommentare zu Lehrkräften, die öffentlich auf der Plattform sichtbar sind
  • Kommunikationsdaten: Nachrichten im Chat zwischen Schülerin/Schüler und Lehrkraft

Lehrerinnen & Lehrer

  • Profildaten: Name, E-Mail-Adresse, Passwort (verschlüsselt), Fächer, Schulform, Adresse, Profilbeschreibung, sowie optional Steuernummer / SVS-Nummer (freiwillige Angabe, wird nur intern gespeichert und nicht öffentlich angezeigt)
  • Profilbild: Freiwillig hochgeladenes Foto, gespeichert auf unseren Servern
  • Verfügbarkeitsdaten: Wochenplan und Abwesenheitszeiträume
  • Stripe Connect-Daten: Für Auszahlungen verbinden Lehrkräfte ihr Stripe Express-Konto. Wir speichern lediglich die Stripe Account-ID. Bankdaten und Identitätsdaten werden direkt an Stripe übermittelt und dort verarbeitet.
  • Kommunikationsdaten: Nachrichten im Chat mit Schülerinnen und Schülern

Bewerberinnen & Bewerber (Lehrkraft-Bewerbung)

  • Bewerbungsdaten: Name, E-Mail-Adresse, gewünschtes Fach, Bewerbungsschreiben, hochgeladenes PDF (Zeugnis/Lebenslauf)
  • Diese Daten werden in unserer Datenbank gespeichert und per E-Mail an die Plattformbetreiberin/den Plattformbetreiber weitergeleitet. Sie werden ausschließlich zur Bearbeitung der Bewerbung verwendet.

Nachhilfestunden (Live-Session)

  • Video- und Audiodaten: Während einer Nachhilfestunde werden Kamera- und Mikrofon-Streams direkt über den Dienst Daily.co übertragen. Wir speichern keine Aufzeichnungen der Video-Calls.
  • Anzeigename im Video-Call: Dein Name (aus dem Buchungsdatensatz) wird als Anzeigename an Daily.co übermittelt, damit Lehrkraft und Schüler/in sich im Video-Call erkennen können.
  • Whiteboard-Inhalt: Zeichnungen, Texte, hochgeladene Bilder und PDF-Seiten, die während einer Stunde auf dem gemeinsamen Whiteboard verwendet werden, werden in Echtzeit über den Dienst Ably synchronisiert. Diese Inhalte werden von Ably nur kurzzeitig zur Übertragung gepuffert und nicht dauerhaft auf unseren Servern gespeichert.

Technische Daten

  • Session-Cookies: Für den sicheren Login von Schülerinnen/Schülern und Lehrkräften (technisch notwendig, kein Einverständnis erforderlich)
  • Admin-Cookie: Für den Zugang zum Administrationsbereich (HttpOnly, 24 Stunden gültig)
  • Fehler-Logs: Bei technischen Fehlern werden Fehlermeldungen (Dateipfad, Fehlercode, Fehlertext, Zeitstempel) in der Datenbank gespeichert, ausschließlich zur Fehlerbehebung

3. Minderjährige

Die Nutzung der Plattform ist Personen ab 14 Jahren gestattet. Für Personen unter 14 Jahren ist die ausdrückliche Zustimmung eines Erziehungsberechtigten erforderlich (Art. 8 DSGVO i.V.m. § 4 Abs. 4 DSG). Wir erheben wissentlich keine Daten von Kindern unter 14 Jahren ohne Zustimmung der Erziehungsberechtigten. Sollten wir feststellen, dass uns Daten einer Person unter 14 Jahren ohne entsprechende Einwilligung vorliegen, werden diese umgehend gelöscht.

4. Cookies & Einwilligung

Technisch notwendige Cookies

Für den Betrieb der Plattform erforderlich. Keine Einwilligung notwendig (§ 165 Abs. 3 TKG 2021).

  • Session-Cookie (next-auth.session-token): Speichert die Login-Sitzung sicher als verschlüsseltes JWT. Wird beim Abmelden automatisch gelöscht.
  • Admin-Cookie (admin_auth): Speichert die Administratoren-Sitzung als HttpOnly-Cookie. Gültig für 24 Stunden.
  • Einwilligungs-Speicher (cookie_consent): Speichert deine Cookie-Entscheidung im localStorage (kein Server-Zugriff).

Werbe-Cookies (nur mit Einwilligung)

Nur wenn du im Cookie-Banner „Alle akzeptieren" wählst, wird Google AdSense geladen. Google AdSense setzt eigene Cookies und kann dein Nutzungsverhalten plattformübergreifend verfolgen, um personalisierte Werbung anzuzeigen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Du kannst deine Einwilligung jederzeit widerrufen, indem du den Browsercache / localStorage löschst und die Seite neu lädst – dann erscheint das Cookie-Banner erneut.

5. Zweck der Verarbeitung

  • Bereitstellung und Betrieb der Nachhilfeplattform
  • Durchführung und Abrechnung von Buchungen
  • Auszahlung von Vergütungen an Lehrkräfte über Stripe Connect
  • Sichere Authentifizierung (Login/Logout)
  • Kommunikation zwischen Schülerinnen/Schülern und Lehrkräften
  • Durchführung von Live-Nachhilfestunden per Video-Call und gemeinsamem Whiteboard
  • Versand von Buchungsbestätigungen, Erinnerungen und Benachrichtigungen per E-Mail
  • Bearbeitung von Lehrkraft-Bewerbungen
  • Anzeige von Bewertungen zur Qualitätssicherung
  • Technische Fehlerbehebung und Plattformsicherheit

6. Rechtsgrundlage

  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Buchungen, Zahlungen, Auszahlungen, Chat)
  • Art. 6 Abs. 1 lit. c DSGVO – Erfüllung rechtlicher Verpflichtungen (z.B. gesetzliche Aufbewahrungsfristen für Buchungsdaten)
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse am sicheren Betrieb der Plattform und Fehlerbehebung (Fehler-Logs)
  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (Profilbild-Upload, freiwillige Angaben)
  • § 165 Abs. 3 TKG 2021 – Technisch notwendige Cookies (keine Einwilligung erforderlich)

7. Drittanbieter

Stripe (Zahlungsabwicklung & Auszahlungen)

Für die Zahlungsabwicklung und Lehrkraft-Auszahlungen verwenden wir Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Dublin 2, Irland). Stripe verarbeitet Zahlungs- und Bankdaten gemäß eigener Datenschutzerklärung: stripe.com/de/privacy. Lehrkräfte, die Stripe Connect nutzen, akzeptieren zusätzlich die Stripe Connected Account Agreement.

Google AdSense (Werbung)

Mit deiner Einwilligung binden wir Google AdSense ein, einen Werbedienst der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). Google AdSense verwendet Cookies, um dir relevante Werbeanzeigen anzuzeigen, und kann dein Nutzungsverhalten geräte- und webseitenübergreifend verfolgen. Die Datenverarbeitung durch Google erfolgt gemäß der Google-Datenschutzerklärung. Es kann dabei zu einer Datenübermittlung in die USA kommen (Standardvertragsklauseln gemäß Art. 46 DSGVO). Ohne deine Einwilligung wird kein AdSense-Code geladen.

Daily.co (Video-Call)

Für die Video-Calls während Nachhilfestunden verwenden wir den Dienst Daily.co, Inc. (440 N Barranca Ave #1439, Covina, CA 91723, USA). Während einer laufenden Stunde werden Kamera- und Mikrofon-Daten sowie dein Anzeigename an Daily.co übertragen und dort verarbeitet. Da Daily.co ein US-amerikanisches Unternehmen ist, erfolgt die Datenübermittlung in die USA auf Grundlage geeigneter Garantien (Standardvertragsklauseln gemäß Art. 46 DSGVO). Eine Aufzeichnung des Video-Calls findet nicht statt. Die Datenschutzerklärung von Daily.co ist abrufbar unter: daily.co/privacy.

Ably (Echtzeit-Whiteboard)

Für die Echtzeit-Synchronisation des gemeinsamen Whiteboards während Nachhilfestunden verwenden wir den Dienst Ably Ltd. (65 Clifton Street, London EC2A 4JE, Vereinigtes Königreich). Zeichnungen, Texte und hochgeladene Inhalte (Bilder, PDF-Seiten) werden über Ably-Server übertragen, um sie in Echtzeit für Lehrkraft und Schüler/in sichtbar zu machen. Ably puffert Nachrichten kurzfristig zur Zustellung; es erfolgt keine dauerhafte Speicherung des Whiteboard-Inhalts durch Ably. Da das Vereinigte Königreich seit dem Brexit ein Drittland ist, erfolgt die Datenübermittlung auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission für das Vereinigte Königreich (Art. 45 DSGVO). Die Datenschutzerklärung von Ably ist abrufbar unter: ably.com/privacy.

Vercel (Hosting, Analytics & Dateispeicher)

Die Plattform wird auf der Infrastruktur von Vercel Inc. (340 Pine Street, Suite 701, San Francisco, CA 94104, USA) betrieben. Vercel verarbeitet dabei technisch notwendige Daten wie IP-Adressen, HTTP-Header, aufgerufene URLs und Zeitstempel zur Auslieferung der Webseite.

Wir nutzen außerdem Vercel Analytics, um aggregierte, anonymisierte Seitenaufrufstatistiken und Web-Performance-Metriken zu erheben. Vercel Analytics setzt keine Cookies und erfasst keine personenbezogenen Daten wie IP-Adressen in identifizierbarer Form. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung der Plattform).

Profilbilder und hochgeladene Dateien werden über Vercel Blob gespeichert, einem Objektspeicher-Dienst von Vercel. Da Vercel ein US-amerikanisches Unternehmen ist, erfolgt die Datenübermittlung in die USA auf Grundlage von Standardvertragsklauseln gemäß Art. 46 DSGVO. Vercel ist zudem nach dem EU-U.S. Data Privacy Framework zertifiziert. Die Datenschutzerklärung von Vercel ist abrufbar unter: vercel.com/legal/privacy-policy.

Upstash (Rate-Limiting)

Zum Schutz der Plattform vor Missbrauch (z. B. automatisierte Massenanfragen) setzen wir den Dienst Upstash, Inc. (USA) ein. Dabei werden IP-Adressen kurzfristig verarbeitet, um die Anzahl der Anfragen pro Zeiteinheit zu begrenzen. IP-Adressen werden nicht dauerhaft gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Verfügbarkeit der Plattform). Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln gemäß Art. 46 DSGVO. Datenschutzerklärung: upstash.com/trust/privacy.pdf.

OpenStreetMap & Nominatim (Kartendarstellung)

Im Flyer-Bereich der Plattform werden interaktive Karten über OpenStreetMap (OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge CB4 0WS, Vereinigtes Königreich) eingebunden. Dabei werden Kartenkacheln von OpenStreetMap-Servern geladen, wobei deine IP-Adresse technisch übermittelt wird. Für die Adresssuche wird der Dienst Nominatim(betrieben von der OpenStreetMap Foundation) genutzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Datenschutzinformation: osmfoundation.org/wiki/Privacy_Policy.

E-Mail-Versand (SMTP)

Für den Versand von transaktionalen E-Mails (Buchungsbestätigungen, Erinnerungen, Passwort-Reset-Links, Bewerbungsbenachrichtigungen) verwenden wir einen SMTP-Dienst. Dabei werden E-Mail-Adresse und Nachrichteninhalt zur Zustellung übermittelt. Es erfolgt keine Weitergabe an Dritte zu Werbezwecken.

8. Speicherdauer

  • Nutzerdaten (Profil, Schuldaten, Profilbild): Werden gespeichert, solange das Konto aktiv ist. Nach Löschung des Kontos werden alle personenbezogenen Profildaten entfernt.
  • Buchungsdaten (bezahlte Buchungen): Buchungsdatensätze mit Zahlungsbezug werden gemäß der gesetzlichen Aufbewahrungspflicht nach § 212 UGB 7 Jahre aufbewahrt. Eine Löschung des Kontos führt zur Anonymisierung dieser Datensätze, nicht zu deren Löschung. Stripe bewahrt Zahlungsbelege unabhängig davon ebenfalls gemäß gesetzlicher Vorgaben auf.
  • Nicht bezahlte oder stornierte Buchungen: Werden bei Kontolöschung entfernt.
  • Bewerbungsdaten: Werden nach Abschluss des Bewerbungsverfahrens gelöscht, spätestens nach 6 Monaten.
  • Chat-Nachrichten: Werden gespeichert, solange das Nutzerkonto aktiv ist. Bei Kontolöschung werden Chat-Nachrichten entfernt.
  • Video-Call-Daten: Audio- und Videostreams werden von Daily.co nicht aufgezeichnet oder dauerhaft gespeichert. Nach Ende der Stunde verbleiben keine Gesprächsdaten auf unseren Servern.
  • Whiteboard-Inhalte: Zeichnungen und hochgeladene Dateien (Bilder, PDFs) werden ausschließlich während der laufenden Stunde über Ably übertragen und nicht dauerhaft auf unseren Servern gespeichert.
  • Fehler-Logs: Werden nach spätestens 90 Tagen automatisch gelöscht.
  • Profilbilder & hochgeladene Dateien: Werden bei Kontolöschung entfernt.

9. Deine Rechte

Du hast folgende Rechte gemäß DSGVO:

  • Auskunft über gespeicherte Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung deiner Daten (Art. 17 DSGVO) – soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf einer erteilten Einwilligung jederzeit mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei der österreichischen Datenschutzbehörde: dsb.gv.at

Für Anfragen wende dich an: office.lerneasy@gmail.com

10. Pflichtangaben & Freiwilligkeit

Die Angabe deiner E-Mail-Adresse und deines Namens ist zur Nutzung der Plattform (Registrierung, Buchungen, Login) vertraglich erforderlich. Ohne diese Daten kann der Dienst nicht erbracht werden. Alle weiteren Angaben – insbesondere Profilbild, Profilbeschreibung und optionale Lernnotiz – sind freiwillig und können jederzeit ergänzt oder entfernt werden.

Für Lehrkräfte ist die Angabe von Bankdaten (über Stripe Connect) zur Auszahlung von Vergütungen erforderlich. Steuernummer und SVS-Nummer sind freiwillige Angaben und werden ausschließlich intern gespeichert.

11. Automatisierte Entscheidungsfindung

Wir treffen keine Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhen und die dir gegenüber rechtliche Wirkung entfalten oder dich in ähnlicher Weise erheblich beeinträchtigen (Art. 22 DSGVO). Es findet kein automatisiertes Profiling statt.

12. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren. Die aktuelle Version ist stets auf dieser Seite abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzerinnen und Nutzer per E-Mail informiert.