← Zurück zu LernGlow

Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Stefan Carapic, Weserstr. 14G, 47443 Moers, Deutschland
E-Mail: kontakt@lernglow.de

2. Welche Daten wir verarbeiten

a) Pflichtdaten bei Google/Apple-Login: Vor- und Nachname, E-Mail-Adresse, Profil-ID, Profilbild-URL.

b) Lernfortschritt: XP, Streak, bearbeitete Fragen, Fehler-Tagebuch, gekaufte Items, Glo Ai-Nutzungsdaten (Anzahl der Interaktionen pro Sitzung — keine Chatinhalte).

c) Technische Daten: Browser-Typ, Gerät (nur für Darstellung), keine IP-Protokollierung durch uns.

d) Zahlungsdaten (bei Premium): Werden ausschließlich von Stripe verarbeitet — wir sehen keine Kartendaten.

3. Zweck der Verarbeitung

Bereitstellung der Lernfunktionen, Speicherung deines Fortschritts, Verwaltung von Premium-Abos, Verbesserung der App.

4. Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Login und Kernfunktionen.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für optionale Cookies und Analytics.

5. Drittanbieter, Auftragsverarbeitung & Drittlandtransfer

Auftragsverarbeitungsverträge (AVV) gem. Art. 28 DSGVO: Mit allen Drittanbietern, die personenbezogene Daten in unserem Auftrag verarbeiten, haben wir Auftragsverarbeitungsverträge (AVV) abgeschlossen. Diese verpflichten die Anbieter zur Einhaltung des DSGVO-Schutzniveaus, technisch-organisatorischer Maßnahmen und zur ausschließlichen Verarbeitung auf unsere Weisung. Eine Liste aller eingesetzten Auftragsverarbeiter kann jederzeit per E-Mail an kontakt@lernglow.de angefordert werden.

Drittlandtransfer (USA) gem. Art. 44 ff. DSGVO: Einige der von uns eingesetzten Dienste übermitteln Daten in die USA. Dies erfolgt auf Basis von:

• EU-US Data Privacy Framework (DPF): Für Google (Firebase, Analytics, reCAPTCHA) und weitere zertifizierte Anbieter. Die EU-Kommission hat mit Angemessenheitsbeschluss vom 10. Juli 2023 festgestellt, dass das DPF ein angemessenes Schutzniveau gewährleistet.
• EU-Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO: Mit Anbietern, die nicht DPF-zertifiziert sind (z.B. Stripe Inc. für bestimmte Verarbeitungen), wurden EU-Standardvertragsklauseln in der aktuell gültigen Fassung (Durchführungsbeschluss 2021/914) abgeschlossen.
• Transfer Impact Assessment (TIA): Für alle Drittlandtransfers wurde eine Transfer-Folgenabschätzung gem. Schrems II durchgeführt. Die Risiken werden durch technische Maßnahmen (TLS-Verschlüsselung, Pseudonymisierung, Datensparsamkeit) minimiert.

Google Firebase (Google Ireland Ltd., Google LLC): Authentifizierung, Firestore-Datenbank, Hosting, Cloud-Functions. Datenübertragung in die USA gemäß EU-US Data Privacy Framework. AVV mit Google liegt vor (Standard Data Processing Amendment, abrufbar unter cloud.google.com/terms/data-processing-addendum).

Stripe Payments Europe Ltd. (Irland) / Stripe Inc. (USA): Zahlungsabwicklung. Stripe verarbeitet Zahlungsdaten teils als Auftragsverarbeiter, teils eigenverantwortlich gemäß PCI-DSS Level 1. AVV mit Stripe abgeschlossen (Stripe Data Processing Agreement, abrufbar unter stripe.com/legal/dpa). Drittlandtransfer in die USA auf Basis von SCC. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Strato AG (Deutschland): Bereitstellung des E-Mail-Postfachs kontakt@lernglow.de sowie Versand aller transaktionalen E-Mails (z.B. Account-Bestätigung, Support-Anfragen, Outreach an Bildungseinrichtungen). Strato verarbeitet dabei E-Mail-Adressen, Inhalte und Metadaten ausschließlich in deutschen Rechenzentren (Berlin/Karlsruhe). Es findet kein Drittlandtransfer statt. AVV mit der Strato AG ist im Rahmen des Hosting-Vertrags abgeschlossen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Erreichbarkeit und geschäftlicher Kommunikation).

Google Fonts: Schriftarten werden lokal geladen — keine Verbindung zu Google-Servern.

Cloudflare / cdnjs (Cloudflare Inc., USA): Wir nutzen das öffentliche JavaScript-CDN cdnjs.cloudflare.com (betrieben von Cloudflare Inc., 101 Townsend St, San Francisco, CA, USA) zum Ausliefern einzelner technisch notwendiger Open-Source-Bibliotheken (z. B. Lottie-Web für Animationen). Beim Aufruf der jeweiligen Seite wird die IP-Adresse des Endgeräts an Cloudflare-Server übermittelt — dies ist technisch erforderlich, damit der Browser das Skript laden kann. Cloudflare Inc. ist gemäß EU-US Data Privacy Framework zertifiziert (Adequacy Decision vom 10. Juli 2023). Ergänzend bestehen EU-Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer performanten und sicheren Bereitstellung der Bibliotheken). Weitere Informationen: cloudflare.com/privacypolicy.

EmailJS: Für das Kontaktformular nutzen wir den Dienst EmailJS (EmailJS Inc.). Dabei werden die von Ihnen eingegebenen Daten (Name, E-Mail, Nachricht) an EmailJS zur E-Mail-Zustellung übermittelt.

Google reCAPTCHA v3: Zum Schutz vor Bots und automatisierten Angriffen nutzen wir Google reCAPTCHA v3 (Google Ireland Ltd.) in Verbindung mit Firebase App Check. reCAPTCHA analysiert das Nutzerverhalten im Hintergrund (ohne sichtbare Abfrage) und kann dabei IP-Adressen und Nutzungsdaten an Google übermitteln. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Missbrauch). Es gelten die Datenschutzerklärung und Nutzungsbedingungen von Google.

ElevenLabs (ElevenLabs Inc., USA): Für die Vorlesefunktion werden Audiodateien verwendet, die wir einmalig und einseitig mit dem ElevenLabs Text-to-Speech-Dienst generiert haben (Stimme „Daniel“, Modell eleven_multilingual_v2). Bei der Nutzung der App durch dich findet kein Datenaustausch mit ElevenLabs statt — die Generierung erfolgte vorab und ohne Bezug zu Nutzerdaten. Es wurden keine personenbezogenen Daten an ElevenLabs übermittelt (nur die generischen Fragetexte).

Firebase Storage (Google LLC/Google Ireland Ltd.): Die voraufgezeichneten Audiodateien werden auf Firebase Storage (Teil der Google Cloud Platform) gehostet und dort aus Performance-Gründen öffentlich lesbar bereitgestellt. Beim Abruf einer Audiodatei wird die IP-Adresse des Nutzers an Google-Server übermittelt (notwendig für den technischen Abruf). Speicherort: EU-Multiregion (eur4, Belgien/Niederlande). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). AV-Vertrag mit Google liegt vor (Standard DPA).

Browser-Caching der Audiodateien: Gespielte Audiodateien werden im lokalen Browser-Cache des Nutzers für bis zu 12 Monate zwischengespeichert (HTTP-Header Cache-Control: max-age=31536000, immutable) — dies spart Bandbreite und ermöglicht Offline-Wiedergabe bereits gehörter Fragen. Der Nutzer kann den Cache jederzeit selbst leeren (Browser-Einstellungen).

Fallback Web Speech API: Ist für eine Frage keine voraufgenommene Audiodatei verfügbar, kommt die Web Speech API des Browsers zum Einsatz. Dabei findet die Sprachausgabe vollständig lokal im Browser statt — keine Daten werden an Dritte übermittelt.

5a. Google Analytics 4

Mit deiner Einwilligung nutzen wir Google Analytics 4 (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland) zur Analyse der Website-Nutzung.

Was erfasst wird: Seitenaufrufe, Verweildauer, genutzte Funktionen (anonymisiert). Keine personenbezogenen Daten wie Name oder E-Mail.

• IP-Adressen werden vor der Speicherung anonymisiert (IP-Masking aktiv)
• Die erhobenen Daten werden an Google-Server in den USA übermittelt (EU-US Data Privacy Framework)
• Es werden keine Werbe-Cookies gesetzt — nur Analyse-Cookies
• Datenaufbewahrung bei Google Analytics: 14 Monate

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst deine Einwilligung jederzeit widerrufen, indem du in deinem Browser den Cookie lg-cookie-consent aus dem localStorage löschst oder über den Cookie-Banner auf einer unserer Seiten „Ablehnen" wählst.

Weitere Informationen: Google Datenschutzerklärung | Google Analytics Opt-Out

5c. Glo Ai — KI-Lernassistent

Glo Ai ist ein in LernGlow integrierter KI-Lernassistent (Premium-Feature).

Datenverarbeitung:

• Glo Ai arbeitet vollständig lokal im Browser. Die Antworten werden regelbasiert auf Grundlage der aktuellen Prüfungsfrage, des Fragenkontexts und der Nutzereingabe generiert.
• Es werden keine Daten an externe KI-Dienste oder Drittanbieter übermittelt. Alle Verarbeitungen erfolgen clientseitig (im Browser des Nutzers).
• Es werden keine personenbezogenen Daten (Name, E-Mail, Lernfortschritt, Account-Informationen) für die Glo-Ai-Funktion verarbeitet oder gespeichert.
• Chat-Verläufe werden nur temporär im Arbeitsspeicher (JavaScript-Variablen) gehalten und beim Schließen des Browsers oder Wechsel der Frage automatisch gelöscht.
• Es findet keine dauerhafte Speicherung von Gesprächsinhalten statt — weder lokal noch auf unseren Servern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — der Nutzer bestätigt die Nutzungsbedingungen vor erstmaliger Verwendung von Glo Ai).

5d. Mikrofon-Zugriff (Glo Ai Voice-Eingabe)

Glo Ai bietet optional eine Sprach-Eingabe: Du kannst deine Frage per Mikrofon stellen statt sie zu tippen.

Datenverarbeitung:

• Der Mikrofon-Zugriff erfolgt nur auf deine ausdrückliche Aktion (Klick auf das Mikrofon-Symbol). Dein Browser fragt dich beim ersten Mal um Erlaubnis.
• Die Spracherkennung wird über die Web Speech API deines Browsers durchgeführt. Bei Chrome/Edge läuft die Erkennung über Server von Google (USA), bei Safari lokal auf deinem Gerät.
• Die erkannte Texteingabe wird anschließend identisch zur Tastatur-Eingabe verarbeitet (siehe Abschnitt 5c) — also lokal im Browser, ohne Übermittlung an LernGlow-Server.
• Es findet keine Aufzeichnung oder Speicherung der Audio-Daten durch LernGlow statt. Audio-Streams werden direkt nach der Erkennung verworfen.
• Du kannst die Mikrofon-Berechtigung jederzeit in den Browser-Einstellungen widerrufen.

Hinweis zur Web Speech API: Wenn du Chrome/Edge verwendest, werden deine Audio-Daten zur Erkennung an Google übermittelt. Google verarbeitet diese gemäß Google-Datenschutzerklärung. Bei Safari/Firefox findet die Erkennung lokal statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — durch aktiven Klick auf das Mikrofon-Symbol).

6. Speicherdauer

Dein Lernprofil wird gespeichert solange du die App nutzt. Nach Konto-Löschung werden alle Daten innerhalb von 30 Tagen gelöscht. localStorage-Daten bleiben bis zur Browser-Bereinigung gespeichert.

7. Deine Rechte (Art. 15–22 DSGVO)

• Auskunft: Du kannst jederzeit eine Kopie deiner Daten anfordern.
• Berichtigung: Falsche Daten werden auf Anfrage korrigiert.
• Löschung: Du kannst dein Konto und alle Daten löschen (Profil → Konto löschen).
• Einschränkung: Du kannst die Verarbeitung einschränken lassen.
• Widerspruch: Du kannst der Verarbeitung widersprechen.
• Datenübertragbarkeit: Export deiner Daten auf Anfrage.
• Widerruf der Einwilligung: Erteilte Einwilligungen (z. B. E-Mail-Benachrichtigungen, Cookies) kannst du jederzeit mit Wirkung für die Zukunft widerrufen.

Anfragen an: kontakt@lernglow.de

7a. E-Mail-Benachrichtigungen (Double-Opt-In)

Wenn du im Onboarding oder im Profil E-Mail-Benachrichtigungen aktivierst, senden wir dir gelegentlich Lerntipps, Einladungen und Updates. Rechtsgrundlage ist deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Double-Opt-In-Verfahren: Nach Aktivierung erhältst du eine Bestätigungs-E-Mail mit einem Link. Erst nach Klick auf diesen Link gilt deine Einwilligung als erteilt und wir versenden Marketing-E-Mails. Klickst du den Link nicht innerhalb von 7 Tagen, läuft die Anmeldung ab.

Widerruf: Du kannst deine Einwilligung jederzeit widerrufen — in der App unter Profil > Cookie-Einstellungen, oder per E-Mail an kontakt@lernglow.de. Nach dem Widerruf werden keine weiteren Marketing-E-Mails versendet. Die benötigten Daten für das Double-Opt-In (Token, Zeitstempel, IP zum Zeitpunkt der Bestätigung) werden zur Nachweisführung gespeichert (Art. 7 Abs. 1 DSGVO) und nach Widerruf gelöscht.

8. Beschwerderecht (Art. 77 DSGVO)

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen die DSGVO verstößt.

Für den Verantwortlichen (Sitz Nordrhein-Westfalen) zuständige Aufsichtsbehörde:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4
40213 Düsseldorf
Telefon: 0211 38424-0
E-Mail: poststelle@ldi.nrw.de
Web: www.ldi.nrw.de

Du kannst dich alternativ auch an die Aufsichtsbehörde deines eigenen Wohnsitz-Bundeslandes wenden.

9. Cookies & lokale Speicherung

Wir nutzen notwendige Cookies für Login-Sessions (Firebase Auth) und localStorage für Einstellungen/Fortschritt. Optionale Cookies nur nach deiner Einwilligung.

10. Mindestalter

Die Nutzung von LernGlow setzt ein Mindestalter von 16 Jahren voraus. Nutzer unter 16 Jahren benötigen die Einwilligung eines Erziehungsberechtigten (Art. 8 DSGVO).