Datenschutzerklärung

Stand: 11.05.2026 · Sprache: Deutsch · English version

Tuba wird mit Sitz in Österreich betrieben, aber ist weltweit nutzbar. Wir wenden unabhängig vom Wohnsitz der nutzenden Person den DSGVO-Schutzstandard (EU-Grundverordnung 2016/679) an. Diese Erklärung ist der vollständige Beipack zu Art. 13/14 DSGVO.

1. Verantwortliche Stelle

Christian Fischer
Österreich (vollständige Adresse: siehe Impressum)
E-Mail: c.fischer@gebenfuerleben.at

2. Welche Daten verarbeitet werden

• Kontodaten: E-Mail-Adresse, ggf. Apple-/Google-ID, Erstellungs- und Aktualisierungs­zeitstempel. Rechtsgrundlage: Art. 6 (1) (b) DSGVO — Vertragserfüllung.
• Bildinhalte (Schularbeiten): Werden zur Analyse temporär an einen KI-Anbieter übermittelt (Anthropic oder OpenAI, je nach Modell-Wahl). Wir speichern Originalbilder nicht dauerhaft — weder bei uns noch bei Supabase. Rechtsgrundlage: Art. 6 (1) (b) DSGVO + ausdrückliche Einwilligung bei der Registrierung (Art. 9 (2) (a) wenn sensible Daten enthalten sein können).
• Korrekturergebnisse: Transkribierter Text, Fehleranalyse, Bewertung, Feedback. Werden in Supabase (EU) gespeichert, bis du sie löschst.
• Kreditstand & Käufe: Saldo, Transaktionshistorie. Käufe selbst laufen über Apple App Store / Google Play — wir sehen nur, dass und in welcher Höhe ein Kauf erfolgte (via RevenueCat-Webhook). Rechtsgrundlage: Art. 6 (1) (b).
• Server-Logs: IP-Adresse (gekürzt), User-Agent, Zeitstempel, Status-Code — gespeichert bis zu 30 Tage zur Missbrauchs­erkennung. Rechtsgrundlage: Art. 6 (1) (f) — berechtigtes Interesse an Sicherheit.

3. Datenresidenz & Verschlüsselung

• Datenbank (Supabase): EU-Region (Frankfurt, Deutschland). Verschlüsselung at-rest (AES-256) und in-transit (TLS 1.3).
• API-Server (Vercel): Pin auf fra1 (Frankfurt) — siehe vercel.json.
• App-Speicher (Mobile): Auth-Tokens liegen verschlüsselt in iOS Keychain bzw. Android Keystore.

4. Übermittlung in Drittländer (KI-Anbieter USA)

Zur KI-Korrektur übermitteln wir Bildinhalte und Aufgabenkontext an einen der folgenden Anbieter:

• Anthropic PBC (USA) — Modelle: Claude Haiku, Claude Sonnet
• OpenAI OpCo, LLC (USA) — Modell: GPT-4o-mini

Beide Anbieter haben einen Auftragsverarbeitungs­vertrag (DPA) mit uns abgeschlossen und garantieren die Einhaltung der Standardvertragsklauseln (SCCs) der EU-Kommission (Beschluss 2021/914). Bei API-Nutzung verwenden weder Anthropic noch OpenAI eingereichte Daten zum Training ihrer Modelle (Anthropic API Terms §B.5, OpenAI API Data Usage Policy). Daten werden maximal 30 Tage zur Missbrauchs­überwachung vorgehalten.

Vollständige Auftragsverarbeiter-Liste: /legal/processors (Art. 30 DSGVO Verzeichnis).

5. Speicherdauer

• Originalbilder: nicht dauerhaft gespeichert (sofortige Löschung nach Analyse)
• Korrekturen & Profil: bis zur Account-Löschung
• Credit-Transaktionen: 7 Jahre nach Kauf (steuerrechtliche Aufbewahrungs­pflicht § 132 BAO)
• Server-Logs: max. 30 Tage

6. Deine Rechte (Art. 15–22 DSGVO)

• Auskunft (Art. 15): direkt in der App unter „Einstellungen → Datenexport herunterladen"
• Berichtigung (Art. 16): per E-Mail
• Löschung (Art. 17): direkt in der App unter „Einstellungen → Konto unwiderruflich löschen" — wirkt sofort und unwiderruflich
• Einschränkung (Art. 18) / Widerspruch (Art. 21): per E-Mail an c.fischer@gebenfuerleben.at
• Datenübertragbarkeit (Art. 20): Datenexport als JSON in der App
• Widerruf der Einwilligung: Account löschen — wirkt ab sofort, vergangene Verarbeitungen bleiben rechtmäßig

7. Beschwerderecht (Art. 77 DSGVO)

Du kannst dich bei der österreichischen Datenschutzbehörde beschweren: dsb.gv.at. Außerhalb Österreichs: bei der Aufsichtsbehörde deines Wohnsitzes.

8. Automatisierte Entscheidungen

Die KI-Korrektur ist eine Empfehlung, keine verbindliche Bewertung — die Lehrkraft trifft die endgültige Entscheidung. Es findet keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO statt.

9. Schülerdaten / besondere Verantwortung

Lehrkräfte sind hinsichtlich der Verarbeitung von Schülerarbeiten datenschutzrechtlich Verantwortliche. Wir empfehlen dringend, Schülernamen und persönliche Angaben vor dem Hochladen zu schwärzen. Die App weist beim Bild-Upload aktiv darauf hin.

10. Kontakt

Bei Fragen zum Datenschutz: c.fischer@gebenfuerleben.at. Antwort innerhalb von 14 Tagen.

← zurück zur Startseite