Datenschutzerklärung
Stand: 14.05.2026 · Sprache: Deutsch · English version
Tuba wird aus Österreich betrieben und ist weltweit nutzbar. Unabhängig vom Wohnsitz der Nutzer:innen wenden wir die DSGVO (EU 2016/679) als Mindeststandard an. Diese Erklärung erfüllt die Informationspflichten nach Art. 13 und 14 DSGVO.
1. Verantwortliche Stelle
Christian Fischer
Österreich (vollständige Adresse: siehe Impressum)
E-Mail: info@tuba.school
2. Welche Daten verarbeitet werden
- Kontodaten: E-Mail-Adresse, Erstellungs- und Aktualisierungszeitstempel. Für die Registrierung verlangen wir nur eine E-Mail-Adresse — kein Name, keine sonstigen personenbezogenen Angaben. Rechtsgrundlage: Art. 6 (1) (b) DSGVO — Vertragserfüllung.
- Transaktionale E-Mails: Account-Bestätigung und Passwort-Reset werden über Resend (EU-Region, Irland) zugestellt. Übertragen werden nur deine E-Mail-Adresse und der Mail-Inhalt. Rechtsgrundlage: Art. 6 (1) (b) DSGVO.
- Bildinhalte (z. B. Texte von Schüler:innen und andere Schreibarbeiten): Werden zur Analyse temporär an Anthropic übermittelt. Originalbilder werden nicht dauerhaft gespeichert — weder bei uns noch bei Supabase. Rechtsgrundlage: Art. 6 (1) (b) DSGVO sowie ausdrückliche Einwilligung bei der Registrierung; Art. 9 (2) (a), falls sensible Daten enthalten sind.
- Korrekturergebnisse: Der aus den hochgeladenen Bildern transkribierte Text, die korrigierte Fassung, Fehlerliste mit Erklärungen, Bewertung und Feedback. Werden in Supabase (EU) gespeichert, bis du sie löschst (einzeln im Konto oder per Account-Löschung). Der transkribierte Text kann personenbezogene Daten enthalten, wenn die Vorlage nicht vor dem Upload anonymisiert wurde — die App weist beim Upload aktiv darauf hin. Rechtsgrundlage: Art. 6 (1) (b) DSGVO und Einwilligung beim Upload.
- Rotstift-Stand & Käufe (intern: Credits): Saldo, Transaktionshistorie. Käufe laufen über Stripe Checkout. Rechtsgrundlage: Art. 6 (1) (b).
- Willkommensbonus-Schutz: ein SHA-256-Hash der normalisierten E-Mail-Adresse wird gespeichert, damit der Gratis-Bonus nicht durch Löschen und Neuregistrieren mehrfach bezogen werden kann. Die Klartext-E-Mail wird dafür nicht gespeichert. Rechtsgrundlage: Art. 6 (1) (f) DSGVO — berechtigtes Interesse an Missbrauchsvermeidung.
- Server-Logs: IP-Adresse (gekürzt), User-Agent, Zeitstempel, Status-Code — gespeichert bis zu 30 Tage zur Missbrauchserkennung. Rechtsgrundlage: Art. 6 (1) (f) — berechtigtes Interesse an Sicherheit.
3. Datenresidenz & Verschlüsselung
- Datenbank (Supabase): EU-Region. Verschlüsselung in Transit und at rest nach Industrie-Standard.
- API-Server (Vercel): EU-Region.
- App-Speicher: Auth-Tokens werden im sicheren Geräte-Speicher abgelegt.
4. Übermittlung in Drittländer (KI-Anbieter Anthropic, USA)
Zur KI-Korrektur übermitteln wir Bildinhalte und Aufgabenkontext an folgenden Anbieter:
- Anthropic PBC (USA) — Claude Sonnet
Anthropic hat mit uns einen Auftragsverarbeitungsvertrag (DPA) abgeschlossen und garantiert die Einhaltung der Standardvertragsklauseln (SCCs) der EU-Kommission (Beschluss 2021/914). Bei API-Nutzung verwendet Anthropic die übermittelten Daten nicht zum Training seiner Modelle (Anthropic API Terms §B.5). Eine Aufbewahrung erfolgt maximal 30 Tage zur Missbrauchsüberwachung.
Auftragsverarbeiter anzeigen
Supabase Inc.
- Zweck
- Authentifizierung, Speicherung von Profil, Korrekturen, Rotstift-Transaktionen
- Standort
- USA (Datenbank in EU — Frankfurt)
- Transferbasis
- EU-Datenresidenz, SCCs der EU-Kommission (Beschluss 2021/914)
- Speicherdauer
- bis zur Account-Löschung; Audit-Logs 30 Tage
Vercel Inc.
- Zweck
- API-Hosting (Next.js Server)
- Standort
- USA (Edge-Funktionen in EU)
- Transferbasis
- EU-Datenresidenz, SCCs
- Speicherdauer
- Request-Logs 30 Tage
Anthropic PBC
- Zweck
- KI-Korrektur (Claude Sonnet)
- Standort
- USA
- Transferbasis
- SCCs, Anthropic API Terms §B.5 (kein Training auf API-Daten)
- Speicherdauer
- 30 Tage zur Missbrauchsüberwachung, danach Löschung
Stripe Payments Europe, Ltd.
- Zweck
- Web-Zahlungen, Stripe Checkout, Zahlungsbestätigung für Rotstift-Gutschrift
- Standort
- Irland / USA
- Transferbasis
- SCCs, Stripe DPA
- Speicherdauer
- Kauf- und Rechnungsdaten 7 Jahre (steuerliche Aufbewahrung)
Resend (Resend Inc.)
- Zweck
- Versand transaktionaler E-Mails (Account-Bestätigung, Passwort-Reset)
- Standort
- USA (E-Mail-Versand in EU — Irland)
- Transferbasis
- EU-Datenresidenz, SCCs
- Speicherdauer
- E-Mail-Logs 30 Tage
5. Speicherdauer
- Originalbilder: nicht dauerhaft gespeichert (sofortige Löschung nach Analyse)
- Korrekturen & Profil: bis zur Account-Löschung
- Rotstift-Transaktionen: 7 Jahre nach Kauf (steuerrechtliche Aufbewahrungspflicht § 132 BAO)
- Willkommensbonus-Hash: dauerhaft, solange der Gratis-Bonus angeboten wird, damit derselbe Bonus nicht mehrfach bezogen werden kann
- Server-Logs: max. 30 Tage
- Sicherheitsbackups: verschlüsselte Datenbank-Backups können gelöschte Korrekturergebnisse noch bis zu 30 Tage enthalten. Sie werden nur zur Wiederherstellung bei schwerwiegenden Betriebs- oder Sicherheitsvorfällen genutzt und danach automatisch überschrieben.
6. Deine Rechte (Art. 15–22 DSGVO)
- Auskunft (Art. 15): direkt in der App unter „Einstellungen → Datenexport herunterladen"
- Berichtigung (Art. 16): per E-Mail
- Löschung (Art. 17): direkt in der App unter „Einstellungen → Konto unwiderruflich löschen" — wirkt in der Produktivdatenbank sofort und unwiderruflich; Backup-Retention siehe Speicherdauer
- Einschränkung (Art. 18) / Widerspruch (Art. 21): per E-Mail an info@tuba.school
- Datenübertragbarkeit (Art. 20): Datenexport als JSON in der App
- Widerruf der Einwilligung: Account löschen — wirkt ab sofort, vergangene Verarbeitungen bleiben rechtmäßig
7. Beschwerderecht (Art. 77 DSGVO)
Du kannst dich bei der österreichischen Datenschutzbehörde beschweren: dsb.gv.at. Außerhalb Österreichs: bei der Aufsichtsbehörde deines Wohnsitzes.
8. Automatisierte Entscheidungen
Die KI-Korrektur ist eine Empfehlung, keine verbindliche Bewertung — die Lehrkraft trifft die endgültige Entscheidung. Es findet keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO statt.
9. Daten von Schüler:innen / besondere Verantwortung
Bei der Verarbeitung von Arbeiten von Schüler:innen sind Lehrkräfte datenschutzrechtlich Verantwortliche. Wir empfehlen dringend, Namen und persönliche Angaben von Schüler:innen vor dem Hochladen zu schwärzen. Die App weist beim Bild-Upload aktiv darauf hin.
10. Kontakt
Bei Fragen zum Datenschutz: info@tuba.school. Antwort innerhalb von 14 Tagen.