Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:
Timo Hauck
E-Mail: timo.hauck@gmx.net

Die vollständige Postanschrift findest du im Impressum.

2. Welche Daten wir verarbeiten — und warum

2.1 Kontodaten

Bei der Registrierung speichern wir deine E-Mail-Adresse und ein verschlüsseltes (gehashtes) Passwort. Diese Daten werden über Supabase Auth verarbeitet und sind nötig, damit du dich anmelden kannst. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags).

2.2 Lerndaten

Vokabelkarten, Wiederholungen, Lektionsfortschritte, Niveau-Tests und Chat-Verläufe speichern wir, damit deine Lernfortschritte erhalten bleiben und der Spaced-Repetition-Algorithmus funktionieren kann. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.3 API-Schlüssel (BYOK)

Bärnard nutzt keine eigenen Schlüssel für die KI-Anbieter — du trägst deine eigenen Schlüssel von Anthropic und OpenAI ein. Diese werden mit AES-256-GCM verschlüsselt in der Datenbank abgelegt. Wir können die Klartextwerte nicht aus dem Backend auslesen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.4 Bot-Schutz (hCaptcha)

Auf den Anmelde-, Registrierungs- und Passwort-Reset-Seiten setzen wir hCaptcha der Intuition Machines, Inc. (USA) ein, um automatisierte Anmeldeversuche zu verhindern. hCaptcha kann dabei IP-Adresse, Browserdaten und Mausbewegungen verarbeiten. Details: hCaptcha-Datenschutzerklärung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Schutz vor Missbrauch).

2.5 Server-Logs

Beim Aufruf der Seite werden technisch notwendige Daten in Server-Logs gespeichert (Datum/Uhrzeit, aufgerufene URL, HTTP-Status, IP-Adresse, User-Agent). Die Logs werden ausschließlich zur Sicherstellung der Funktionalität und zur Abwehr von Angriffen verwendet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

2.6 Theme- und Sprachwahl

Deine Theme- und Sprachpräferenz speichern wir lokal im Browser-Speicher (Local Storage), nicht auf unserem Server. Es handelt sich nicht um Cookies im Sinne der DSGVO.

3. Empfänger und Auftragsverarbeiter

Wir nutzen folgende Dienstleister, mit denen jeweils Auftrags- verarbeitungsverträge (Art. 28 DSGVO) bzw. Standardvertragsklauseln (Art. 46 DSGVO) abgeschlossen sind:

• Supabase Inc. (USA / EU-Region eu-central-1): Authentifizierung, Datenbank und Dateispeicher.
• Vercel Inc. (USA / EU-Region fra1): Hosting und Auslieferung der Web-Anwendung.
• Intuition Machines, Inc. / hCaptcha (USA): Bot-Schutz auf Auth-Seiten.
• KAS All-Inkl.com (Deutschland): Domain- und E-Mail-Versand für transaktionale E-Mails (Bestätigungslinks, Passwort-Reset).

Wenn du KI-Funktionen nutzt, werden die Inhalte deiner Anfragen mit deinem eigenen API-Schlüssel direkt an Anthropic, PBC (Claude) oder OpenAI, L.L.C. (Whisper / TTS) gesendet. Die Vertragsbeziehung mit diesen Anbietern besteht direkt zwischen dir und dem Anbieter — Bärnard ist hierbei nur technischer Vermittler.

4. Datenübermittlung in Drittländer

Einige der oben genannten Anbieter haben ihren Sitz in den USA. Soweit Daten in die USA übertragen werden, geschieht dies auf Grundlage des EU-US Data Privacy Framework (sofern der jeweilige Anbieter zertifiziert ist) oder auf Basis von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

5. Speicherdauer

Account- und Lerndaten werden so lange gespeichert, wie dein Konto aktiv ist. Auf Anfrage löschen wir deinen Account inklusive aller verbundenen Daten innerhalb von 30 Tagen. Server-Logs werden nach 14 Tagen automatisch gelöscht.

6. Deine Rechte

Du hast jederzeit das Recht auf:

• Auskunft über deine gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung deiner Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO), z. B. der für deinen Wohnsitz zuständigen Landesdatenschutzbehörde

Um diese Rechte auszuüben, schreib einfach eine E-Mail an timo.hauck@gmx.net.

7. Pflicht zur Bereitstellung der Daten

Die Bereitstellung deiner E-Mail-Adresse ist erforderlich, um einen Account anzulegen — ohne diese Daten ist eine Nutzung der App nicht möglich. Die übrigen Lerndaten entstehen erst durch deine Nutzung.

8. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung gegenüber dir statt (Art. 22 DSGVO). Die KI-Bewertungen deiner Antworten und das Spaced-Repetition- Verfahren dienen ausschließlich der Lernsteuerung innerhalb der App.