Datenschutzerklärung

Stand: 14.05.2026 · Sprache: Deutsch · English version

Tuba wird aus Österreich betrieben und ist weltweit nutzbar. Unabhängig vom Wohnsitz der Nutzer:innen wenden wir die DSGVO (EU 2016/679) als Mindeststandard an. Diese Erklärung erfüllt die Informationspflichten nach Art. 13 und 14 DSGVO.

1. Verantwortliche Stelle

Christian Fischer
Österreich (vollständige Adresse: siehe Impressum)
E-Mail: info@tuba.school

2. Welche Daten verarbeitet werden

Kontodaten: E-Mail-Adresse, Erstellungs- und Aktualisierungszeitstempel. Für die Registrierung verlangen wir nur eine E-Mail-Adresse — kein Name, keine sonstigen personenbezogenen Angaben. Rechtsgrundlage: Art. 6 (1) (b) DSGVO — Vertragserfüllung.
Transaktionale E-Mails: Account-Bestätigung und Passwort-Reset werden über Resend (EU-Region, Irland) zugestellt. Übertragen werden nur deine E-Mail-Adresse und der Mail-Inhalt. Rechtsgrundlage: Art. 6 (1) (b) DSGVO.
Bildinhalte (z. B. Texte von Schüler:innen und andere Schreibarbeiten): Werden zur Analyse temporär an Anthropic übermittelt. Originalbilder werden nicht dauerhaft gespeichert — weder bei uns noch bei Supabase. Rechtsgrundlage: Art. 6 (1) (b) DSGVO sowie ausdrückliche Einwilligung bei der Registrierung; Art. 9 (2) (a), falls sensible Daten enthalten sind.
Korrekturergebnisse: Der aus den hochgeladenen Bildern transkribierte Text, die korrigierte Fassung, Fehlerliste mit Erklärungen, Bewertung und Feedback. Werden in Supabase (EU) gespeichert, bis du sie löschst (einzeln im Konto oder per Account-Löschung). Der transkribierte Text kann personenbezogene Daten enthalten, wenn die Vorlage nicht vor dem Upload anonymisiert wurde — die App weist beim Upload aktiv darauf hin. Rechtsgrundlage: Art. 6 (1) (b) DSGVO und Einwilligung beim Upload.
Rotstift-Stand & Käufe (intern: Credits): Saldo, Transaktionshistorie. Käufe laufen über Stripe Checkout. Rechtsgrundlage: Art. 6 (1) (b).
Willkommensbonus-Schutz: ein SHA-256-Hash der normalisierten E-Mail-Adresse wird gespeichert, damit der Gratis-Bonus nicht durch Löschen und Neuregistrieren mehrfach bezogen werden kann. Die Klartext-E-Mail wird dafür nicht gespeichert. Rechtsgrundlage: Art. 6 (1) (f) DSGVO — berechtigtes Interesse an Missbrauchsvermeidung.
Server-Logs: IP-Adresse (gekürzt), User-Agent, Zeitstempel, Status-Code — gespeichert bis zu 30 Tage zur Missbrauchserkennung. Rechtsgrundlage: Art. 6 (1) (f) — berechtigtes Interesse an Sicherheit.

3. Datenresidenz & Verschlüsselung

Datenbank (Supabase): EU-Region. Verschlüsselung in Transit und at rest nach Industrie-Standard.
API-Server (Vercel): EU-Region.
App-Speicher: Auth-Tokens werden im sicheren Geräte-Speicher abgelegt.

4. Übermittlung in Drittländer (KI-Anbieter Anthropic, USA)

Zur KI-Korrektur übermitteln wir Bildinhalte und Aufgabenkontext an folgenden Anbieter:

Anthropic PBC (USA) — Claude Sonnet

Anthropic hat mit uns einen Auftragsverarbeitungsvertrag (DPA) abgeschlossen und garantiert die Einhaltung der Standardvertragsklauseln (SCCs) der EU-Kommission (Beschluss 2021/914). Bei API-Nutzung verwendet Anthropic die übermittelten Daten nicht zum Training seiner Modelle (Anthropic API Terms §B.5). Eine Aufbewahrung erfolgt maximal 30 Tage zur Missbrauchsüberwachung.

Auftragsverarbeiter anzeigen

Supabase Inc.

Zweck: Authentifizierung, Speicherung von Profil, Korrekturen, Rotstift-Transaktionen
Standort: USA (Datenbank in EU — Frankfurt)
Transferbasis: EU-Datenresidenz, SCCs der EU-Kommission (Beschluss 2021/914)
Speicherdauer: bis zur Account-Löschung; Audit-Logs 30 Tage
DPA: supabase.com/legal/dpa

Vercel Inc.

Zweck: API-Hosting (Next.js Server)
Standort: USA (Edge-Funktionen in EU)
Transferbasis: EU-Datenresidenz, SCCs
Speicherdauer: Request-Logs 30 Tage
DPA: vercel.com/legal/dpa

Anthropic PBC

Zweck: KI-Korrektur (Claude Sonnet)
Standort: USA
Transferbasis: SCCs, Anthropic API Terms §B.5 (kein Training auf API-Daten)
Speicherdauer: 30 Tage zur Missbrauchsüberwachung, danach Löschung
DPA: anthropic.com/legal/dpa

Stripe Payments Europe, Ltd.

Zweck: Web-Zahlungen, Stripe Checkout, Zahlungsbestätigung für Rotstift-Gutschrift
Standort: Irland / USA
Transferbasis: SCCs, Stripe DPA
Speicherdauer: Kauf- und Rechnungsdaten 7 Jahre (steuerliche Aufbewahrung)
DPA: stripe.com/legal/dpa

Resend (Resend Inc.)

Zweck: Versand transaktionaler E-Mails (Account-Bestätigung, Passwort-Reset)
Standort: USA (E-Mail-Versand in EU — Irland)
Transferbasis: EU-Datenresidenz, SCCs
Speicherdauer: E-Mail-Logs 30 Tage
DPA: resend.com/legal/dpa

5. Speicherdauer

Originalbilder: nicht dauerhaft gespeichert (sofortige Löschung nach Analyse)
Korrekturen & Profil: bis zur Account-Löschung
Rotstift-Transaktionen: 7 Jahre nach Kauf (steuerrechtliche Aufbewahrungspflicht § 132 BAO)
Willkommensbonus-Hash: dauerhaft, solange der Gratis-Bonus angeboten wird, damit derselbe Bonus nicht mehrfach bezogen werden kann
Server-Logs: max. 30 Tage
Sicherheitsbackups: verschlüsselte Datenbank-Backups können gelöschte Korrekturergebnisse noch bis zu 30 Tage enthalten. Sie werden nur zur Wiederherstellung bei schwerwiegenden Betriebs- oder Sicherheitsvorfällen genutzt und danach automatisch überschrieben.

6. Deine Rechte (Art. 15–22 DSGVO)

Auskunft (Art. 15): direkt in der App unter „Einstellungen → Datenexport herunterladen"
Berichtigung (Art. 16): per E-Mail
Löschung (Art. 17): direkt in der App unter „Einstellungen → Konto unwiderruflich löschen" — wirkt in der Produktivdatenbank sofort und unwiderruflich; Backup-Retention siehe Speicherdauer
Einschränkung (Art. 18) / Widerspruch (Art. 21): per E-Mail an info@tuba.school
Datenübertragbarkeit (Art. 20): Datenexport als JSON in der App
Widerruf der Einwilligung: Account löschen — wirkt ab sofort, vergangene Verarbeitungen bleiben rechtmäßig

7. Beschwerderecht (Art. 77 DSGVO)

Du kannst dich bei der österreichischen Datenschutzbehörde beschweren: dsb.gv.at. Außerhalb Österreichs: bei der Aufsichtsbehörde deines Wohnsitzes.

8. Automatisierte Entscheidungen

Die KI-Korrektur ist eine Empfehlung, keine verbindliche Bewertung — die Lehrkraft trifft die endgültige Entscheidung. Es findet keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO statt.

9. Daten von Schüler:innen / besondere Verantwortung

Bei der Verarbeitung von Arbeiten von Schüler:innen sind Lehrkräfte datenschutzrechtlich Verantwortliche. Wir empfehlen dringend, Namen und persönliche Angaben von Schüler:innen vor dem Hochladen zu schwärzen. Die App weist beim Bild-Upload aktiv darauf hin.

10. Kontakt

Bei Fragen zum Datenschutz: info@tuba.school. Antwort innerhalb von 14 Tagen.