I. Informationen über die Verarbeitung Ihrer Daten gemäß Art. 13 der Datenschutz-Grundverordnung (DSGVO)
1. Verantwortlicher und
Datenschutzbeauftragter
Verantwortlich für diese Website ist
Carl-Christian Fey, Hochstiftweg 8, webmaster@learnassist.de.
Den Datenschutzbeauftragten erreichen Sie per E-Mail unter
webmaster@learnassist.de
2. Daten, die für die
Bereitstellung der
Website und die Erstellung der Protokolldateien verarbeitet werden
a. Welche Daten werden für welchen Zweck verarbeitet?
I. Wir verzichten auf unseren
Servern vollständig auf ein Zugriffslogging – das heißt, wir speichern weder IP-Adressen
noch sonstige
zugriffsbezogene Daten, und es werden keine Web-Analytics-Verfahren mittels Drittapplikationen
eingesetzt.
Ausnahme: Im Fall eines Angriffs oder einer Beeinträchtigung unserer Server, bei
Missbrauch unserer
Services durch Dritte oder aufgrund behördlicher Anordnungen können wir marktübliches Zugriffslogging
temporär
aktivieren. Falls wir das tun, würden bei jedem Zugriff auf Inhalte der Website vorübergehend Daten
gespeichert,
die möglicherweise eine Identifizierung zulassen.
Die folgenden Daten würden in diesem Fall erhoben
werden:
Datum und Uhrzeit des Zugriffs, IP-Adresse, besuchte Seite auf unserer Website, Meldung, ob der Abruf
erfolgreich war,
übertragene Datenmenge, Informationen über den Browsertyp und die verwendete Version, Betriebssystem.
Lediglich in diesem Ausnahmefall würde eine weitere Speicherung in Protokolldateien erfolgen, um die Funktionsfähigkeit der Website und die Sicherheit der informationstechnischen Systeme sicherzustellen bzw. um ggf. behördliche Anforderungen umzusetzen. In diesen Zwecken liegt dann folglich auch unser berechtigtes Interesse an der Datenverarbeitung.
II. Darüber hinaus verarbeiten wir auch Daten, die zur Bereitstellung der Funktionen und Services auf learnassist.de nötig sind. Diese beziehen sich ausschließlich auf Account-Owner, d. h. auf Personen (Lehrende), die einen Account auf learnassist.de angelegt haben bzw. für die von ihrer Organisation ein Account auf learnassist.de angelegt wurde:
- Accountdaten und Logininformationen (z. B. Datum des letzten Logins)
- Accountstatus
- Durch Account-Owner kreierte Lerngruppen und Aufgaben sowie deren durch den Account-Owner vergebene Namen
- Durch Account-Owner kreierte Learn-IDs, mit denen die Nutzung der Plattform durch Lernende anonym ermöglicht werden kann, sowie die durch die Nutzer dieser Learn-IDs vorgenommenen Eingaben
- Vom Account-Owner durchgeführte KI-Auswertungen und -Analysen mit Bezug auf gestellte Aufgaben und anonyme Lernende (Learn-IDs)
III. Verwendung von Google Web Fonts
Unsere Webseite verwendet zur einheitlichen Darstellung von Schriftarten sogenannte Web Fonts, die von
Google bereitgestellt werden („Google Fonts"). Beim Aufruf einer Seite lädt Ihr Browser die benötigten Web
Fonts in Ihren Browsercache, um Texte und Schriftarten korrekt anzuzeigen.
Zu diesem Zweck stellt Ihr Browser eine Verbindung zu den Servern von Google her, wodurch Google Kenntnis
darüber erlangt, dass über Ihre IP-Adresse unsere Webseite aufgerufen wurde. Die Nutzung von Google Web
Fonts erfolgt im Interesse einer einheitlichen und ansprechenden Darstellung unserer Online-Angebote. Dies
stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.
Wenn Ihr Browser Web Fonts nicht unterstützt, wird eine Standardschrift von Ihrem Computer genutzt.
Weitere Informationen zu Google Web Fonts finden Sie unter https://developers.google.com/fonts/faq und in der
Datenschutzerklärung von Google: https://policies.google.com/privacy.
b. Auf welcher Rechtsgrundlage werden diese Daten verarbeitet?
Für die Bereitstellung der Website und der Grundfunktionen stützen wir uns auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität, Sicherheit und Fehlersuche). Für Account- und Nutzungsdaten von Lehrenden (z. B. Registrierung, Login, Funktionsnutzung) gilt zudem Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Vertragsanbahnung).
c. Gibt es neben dem Verantwortlichen weitere Empfänger der personenbezogenen Daten?
Vgl. die Ausführungen in Absatz III.
d. Wie lange werden die Daten gespeichert?
Sofern ausnahmsweise Daten gemäß 2.a.I verarbeitet werden (temporäre Aktivierung des Zugriffsloggings), werden diese gelöscht, sobald sie für die Erreichung des Zwecks ihrer Erhebung nicht mehr erforderlich sind. Etwaige Protokolldateien werden bis zu 24 Stunden direkt (nur für Administratoren) vorgehalten und sind danach nur noch indirekt über Sicherungen verfügbar; diese werden nach spätestens sieben Tagen endgültig gelöscht.
Für die Bereitstellung der Nutzungsfunktionen und Services dieser Webseite werden bestimmte Daten von Lehrenden auch dauerhaft gespeichert und erst mit der Beendigung (Schließung) des Nutzer:innen-Accounts gelöscht. Dabei handelt es sich ausschließlich um Daten, die zur Bereitstellung der Funktionalität unseres Services nötig sind (siehe 2 a II.).
3.
Betroffenenrechte
a. Recht auf Auskunft
Sie können Auskunft nach Art. 15 DSGVO über Ihre personenbezogenen Daten verlangen, die wir verarbeiten.
b. Recht auf Widerspruch:
Sie haben ein Recht auf Widerspruch aus besonderen Gründen (siehe unter Punkt II).
c. Recht auf Berichtigung
Sollten die Sie betreffenden Angaben nicht (mehr) zutreffend sein, können Sie nach Art. 16 DSGVO eine Berichtigung verlangen. Sollten Ihre Daten unvollständig sein, können Sie eine Vervollständigung verlangen.
d. Recht auf Löschung
Sie können nach Art. 17 DSGVO die Löschung Ihrer personenbezogenen Daten verlangen.
e. Recht auf Einschränkung der Verarbeitung
Sie haben nach Art. 18 DSGVO das Recht, eine Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
f. Recht auf Beschwerde
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen Datenschutzrecht verstößt, haben Sie nach Art. 77 Abs. 1 DSGVO das Recht, sich bei einer Datenschutzaufsichtsbehörde eigener Wahl zu beschweren. Hierzu gehört auch die für den Verantwortlichen zuständige Datenschutzaufsichtsbehörde: Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD), https://www.datenschutz-bayern.de/vorstell/impressum.html
g. Recht auf Datenübertragbarkeit
Für den Fall, dass die
Voraussetzungen des Art. 20 Abs. 1 DSGVO vorliegen, steht Ihnen das Recht zu, sich Daten, die wir
auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert
verarbeiten, an sich oder an Dritte aushändigen zu lassen. Die Erfassung der
Daten zur Bereitstellung der Website und die Speicherung der Protokolldateien
sind für den Betrieb der Internetseite zwingend erforderlich. Sie beruhen daher
nicht auf einer Einwilligung nach Art. 6 Abs. 1 Buchstabe a DSGVO oder auf
einem Vertrag nach Art. 6 Abs. 1 Buchstabe b DSGVO, sondern sind nach Art. 6
Abs. 1 Buchstabe f DSGVO gerechtfertigt. Die Voraussetzungen des Art. 20 Abs.
1 DSGVO sind demnach insoweit nicht erfüllt.
II. Recht auf Widerspruch gemäß Art. 21 Abs. 1 DSGVO
Sie haben das Recht, aus Gründen,
die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer
personenbezogenen Daten, die aufgrund von Artikel 6 Abs. 1 Buchstabe f DSGVO
erfolgt, Widerspruch einzulegen. Der Verantwortliche verarbeitet die
personenbezogenen Daten dann nicht mehr, es sei denn, er kann zwingende
schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen,
Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung
dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Die
Erfassung der Daten zur Bereitstellung der Website und der in ihr bereitgestellten Funktionen sowie die
Speicherung der Protokolldateien sind für den Betrieb der Internetseite zwingend erforderlich.
III. Weitergabe von Daten an Servicebetreiber (inkl. Servicebetreiber in Drittstaaten)
Wir betreiben diese
Webseite /
diesen Service bei den externen Dienstleistern (Hostern), der Firma
Hetzner Online GmbH aus Gunzenhausen, Deutschland, sowie der Firma
IONOS SE aus Montabaur, Deutschland, mit denen ein Auftragsverarbeitungsvertrag (AVV)
besteht. Eine AVV ist ein datenschutzrechtlich erforderlicher Vertrag, durch den sichergestellt
wird, dass unser Hoster die personenbezogenen Daten unserer Nutzer:innen unter Einhaltung der DSGVO
verarbeitet.
Wir nutzen zum Betrieb unserer Plattform / unserer Server ausschließlich deutsche Serverstandorte
(Rechenzentren) der Firma Hetzner und
IONOS, die regelmäßig durch offizielle Stellen wie z. B. den TÜV Rheinland bzw. den TÜV Nord auf
Einhaltung der technischen und organisatorischen Maßnahmen zum Datenschutz und
zur Datensicherheit geprüft werden. Dadurch können wir eine performante, unterbrechungsarme und sichere
Verfügbarkeit unseres Services durch einen professionellen Anbieter gewährleisten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb/Sicherheit). Soweit
erforderlich, zusätzlich
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber registrierten Nutzenden).
Wir nutzen zur
Bereitstellung
unseres
Services KI-Lösungen der Firma OpenAI
Ireland Ltd., mit der
ein Auftragsverarbeitungsvertrag (Data Processing Addendum) besteht. Wir übermitteln zur
Bereitstellung unserer Funktionen und Services ausdrücklich keine
personenbezogenen Daten und auch keine Metadaten wie IP-Adressen, pseudonymisierte User-IDs o. ä. der
Nutzer:innen unseres Services im Sinne von I.2. an die Firma OpenAI Ireland Ltd..
Wir betreiben
zusätzlich auf
den o. g. deutschen Serverstandorten einen Upload-Filter für die Eingaben von Lernenden auf unserer
Plattform, mit dem verhindert werden soll, dass entgegen unserer Nutzungsbestimmungen eingegebene
personenbezogene Daten von uns selbst bzw. der Firma OpenAI Ireland Ltd. weiterverarbeitet und gespeichert
werden.
Upload-Filter bieten aus unserer Sicht jedoch keinen 100%igen Schutz, so dass nicht vollständig
auszuschließen ist, dass Nutzer:innen personenbezogene Daten in Eingabefelder eingeben, deren
Inhalte von uns wiederum an das Unternehmen OpenAI Ireland Ltd. übertragen werden. Zur Mitigierung dieses
Risikos sehen wir zusätzlich zu besagtem Upload-Filter in unseren Nutzungsbestimmungen entsprechende
Maßnahmen und aufklärende Hinweise für Nutzende vor.
Nach Anbieterangaben werden übermittelte Inhalte für maximal 30 Tage gespeichert und
anschließend automatisch gelöscht;
die Inhalte werden nicht zum Training der Modelle verwendet.
Betroffenenrechte (z. B. Auskunft/Löschung) können gegenüber uns als Verantwortlichem geltend
gemacht werden; OpenAI Ireland Ltd.
verarbeitet als Auftragsverarbeiter in unserem Auftrag und unterstützt uns dabei gemäß dem Data
Processing Addendum.
Wir nutzen zusätzlich die Dienste der Firma Mistral AI SAS, 15 Rue
des Halles, 75001 Paris, Frankreich, zur
Transkription von Bilddaten in Text (OCR: Optical Character Recognition). Mit dem Anbieter besteht ein DPA
(Data Processing Agreement). Dabei werden die Bilddaten an die Server von Mistral AI übertragen und dort
verarbeitet.
Mistral AI verarbeitet diese Daten ausschließlich in unserem Auftrag und gemäß unseren Weisungen.
Mistral AI verpflichtet sich, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die
Sicherheit der Daten während der Verarbeitung zu gewährleisten. Weitere Informationen zur Datenverarbeitung
durch Mistral AI finden Sie in deren Datenschutzhinweisen unter
https://mistral.ai/terms#data-processing-agreement.
Sämtliche übermittelten Daten werden nach Anbieterangaben nach maximal 30 Tagen automatisch gelöscht. Die
Verarbeitung erfolgt
innerhalb der EU/EWR. Die Inhalte werden nicht zum Training der Modelle verwendet.
Ergänzende Hinweise zu einzelnen Funktionen
„Feedback" und „Diagnose"
(geringes Risiko, Art. 50 Abs. 1/2 KI-VO):
Zur Generierung/Korrektur und zur Identifikation didaktischer und fachlicher Aspekte von Textinhalten
übermitteln wir die hierfür erforderlichen Prompt-/Kontextinhalte
an vertraglich gebundene Auftragsverarbeiter (derzeit u. a. OpenAI Ireland Ltd.).
Ein Upload-Filter dient der Vermeidung der Weiterverarbeitung personenbezogener Daten in Eingaben
und deren Speicherung auf unseren Systemen;
dennoch kann die Eingabe personenbezogener Daten durch Nutzende nicht vollständig ausgeschlossen werden.
Inhalte werden beim Modellanbieter nach dessen Zusagen nicht zu Trainingszwecken verwendet und binnen
eines kurzen Zeitraums automatisch gelöscht.
Export-Logs an Organisationen enthalten keine Klartexteingaben, sondern Metadaten (z. B.
request_id, Zeit, Funktion, Modellname).
„Texterkennung" (OCR; minimales Risiko): Für die Erkennung von Text aus Bild-/PDF-Dateien kann eine Verarbeitung bei einem spezialisierten Auftragsverarbeiter erfolgen (derzeit Mistral AI SAS). Die Verarbeitung dient ausschließlich der technischen Textextraktion; es findet keine Emotionserkennung, biometrische Kategorisierung oder Identitätsfeststellung statt.
IV. Auskunft über Datenmodellierung zur Gewährleistung der Nicht-Personenbezogenheit von Daten Lernender
In unserem Service speichern wir zu Lernenden keine direkt identifizierenden personenbezogenen Daten (vorbehaltlich der temporären Ausnahme aus 2.a.I). Für die Nutzung durch Lernende werden pseudonyme Learn-IDs verwendet, die einem Lehrenden-Account zugeordnet, jedoch keiner natürlichen Person (Lernenden) zugeordnet werden können. Inhalteingaben werden der jeweiligen Learn-ID zugeordnet. Wir setzen technische und organisatorische Maßnahmen (u. a. Upload-Filter und organisatorische Vorgaben) ein, um die Eingabe personenbezogener Daten zu vermeiden; ein Restrisiko lässt sich jedoch nicht vollständig ausschließen. Eine Verknüpfung etwaiger Zugriffslogdaten nach 2.a.I mit einer Learn-ID erfolgt nicht.
V. Verzicht auf Cookies und WebAnalytics
Wir verzichten aus Gründen der
Datensparsamkeit und zur Erschwerung von Trackingaktivitäten vollständig auf Cookies. Daher gibt es auf
unserer Webseite auch keinen Zustimmungsbutton o. ä. für eine solche Funktion.
Ebenso verzichten wir
vollständig auf den Einsatz von Web-Analytics-Tools von externen, kommerziellen Anbietern und Plattformen.
VI. KI-Transparenz, Einordnung nach EU-KI-Verordnung & Protokollierung
Wir setzen für die Funktionen „Feedback" und „Diagnose" (KI-gestützte Textvorschläge/Anmerkungen/fachliche und didaktische Analysen) und „Texterkennung" (OCR) KI-Systeme ein. Gemäß unseren Nutzungsbestimmungen ist der Einsatz zur Bewertung/Benotung ausdrücklich untersagt. Nach unserer Einordnung handelt es sich daher um kein Hochrisiko-System im Bildungsbereich; es gelten die Transparenzpflichten nach Art. 50 KI-VO (ab 02.08.2026).
Nach unserer aktuellen Einordnung gelten:
Funktion „Feedback" und „Diagnose" (z. B. KI-gestütztes Aufgaben-Feedback, Entwürfe, didaktische und fachliche Analysen und Empfehlungen): KI-System mit geringem Risiko i. S. d. Art. 50 KI-VO, insbesondere direkte Interaktion mit Menschen (Art. 50 Abs. 1) und Erzeugung synthetischer Inhalte (Art. 50 Abs. 2).
Funktion „Texterkennung" (OCR: Erkennung von Text aus Bild/PDF): KI-System mit minimalem Risiko (keine Kategorie nach Art. 50 einschlägig).
Transparenz & Kennzeichnung (Art. 50 KI-VO; anwendbar ab 02.08.2026): Bei Funktionen mit geringem Risiko informieren wir UI-seitig, dass ein KI-System eingesetzt wird; synthetisch erzeugte oder substanziell veränderte Inhalte werden für Nutzende kenntlich gemacht. Unsere „Texterkennung" (OCR) unterfällt diesen Transparenzpflichten nicht.
Keine verbotenen Praktiken: LearnAssist setzt keine Emotionserkennung in Bildungs-/Arbeitskontexten und keine biometrische Kategorisierung ein; Social-Scoring, manipulative Dark-Patterns oder vergleichbare, nach der KI-VO verbotene Verfahren werden nicht angeboten und nicht eingesetzt.
Menschliche Aufsicht & fachliche Verantwortung: Ausgaben sind KI-generiert und bedürfen der fachlichen Prüfung. Entscheidungen dürfen nicht ausschließlich auf KI-Ergebnissen beruhen. LearnAssist bietet zu diesem Zweck Funktionen an, die eine menschliche Überprüfung und Intervention ermöglichen. Entsprechende Vorgaben sind in unseren Nutzungsbestimmungen festgehalten.
Technische Protokollierung
(DSGVO):
Zur Sicherstellung von Stabilität, Fehlersuche und Sicherheit und zur
Bereitstellung von Statistikfunktionen für nutzende Organisationen (z. B. Nutzungsvolumina je
Zeitraum/Funktion)
sowie als Abrechnungsgrundlage (Nachweis in Anspruch genommener Leistungen/Nutzungskontingente)
protokollieren wir technische Ereignisse (keine AI-Act-High-Risk-Logs).
Beispiele: Zeitstempel, Funktionsaufruf, verwendetes Modell/Version, technische Prüf-Flags, Fehlercodes
sowie eine eindeutige request_id. Prompt-/Output-Inhalte werden zur Funktionsbereitstellung im
Provider-System gespeichert (zweckgebunden); Export-Logs enthalten keine Klartexteingaben.
Aggregationen/Statistiken werden grundsätzlich pseudonymisiert oder anonymisiert erstellt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Erbringung von Leistungs- und
Abrechnungszwecken),
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit/Qualität) sowie – für abrechnungsrelevante
Unterlagen – Art. 6 Abs. 1 lit. c DSGVO i. V. m. handels- und steuerrechtlichen
Aufbewahrungspflichten (HGB/AO).
Speicherdauer: technische Logs zweckangemessen, mindestens für den Zeitraum, der zur
Fehlersuche/Abwehr von Missbrauch erforderlich ist; anschließend Löschung oder Aggregation/Anonymisierung.
Abrechnungsrelevante Nutzungsnachweise werden gemäß gesetzlichen Aufbewahrungspflichten aufbewahrt.