Datenschutzerklärung
Stand: 2. Mai 2026
Status: technische Vorlage vor Anwalt-Review. Die folgende Erklärung beschreibt vollständig und korrekt, welche Daten technisch erhoben und an welche Drittanbieter sie übermittelt werden. Die finale juristische Formulierung wird vor dem öffentlichen Launch durch eine spezialisierte Datenschutz-Kanzlei geprüft.
1. Verantwortlicher
Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
becoss GmbH
Häcklinger Weg 61
21335 Lüneburg
Deutschland
E-Mail: info@becoss.de
Telefon: +49 172 99 80 242
2. Datenschutzbeauftragter
Eine Bestellung eines Datenschutzbeauftragten ist nach § 38 BDSG bei uns nicht erforderlich, da weder mehr als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, noch eine umfangreiche systematische Überwachung oder Verarbeitung besonders sensibler Daten im Sinne von Art. 9 DSGVO Kerntätigkeit unseres Angebots ist.
Datenschutz-Anfragen richtest du direkt an den Verantwortlichen unter info@becoss.de.
3. Allgemeine Grundsätze
Wir verarbeiten personenbezogene Daten nur, soweit es für die Bereitstellung dieses Angebots und seiner Funktionen technisch erforderlich ist oder du uns deine ausdrückliche Einwilligung erteilt hast. Eine Übermittlung an Dritte findet nur in dem unter Ziffer 9 beschriebenen Rahmen statt.
4. Hosting und Server-Logfiles
Diese Website wird bei Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA gehostet. Server-Region ist Frankfurt (fra1) innerhalb der Europäischen Union. Mit Vercel besteht ein Auftragsverarbeitungsvertrag (Data Processing Agreement) gemäß Art. 28 DSGVO. Vercel ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert.
Beim Aufruf dieser Website erhebt Vercel automatisch folgende technische Daten:
- IP-Adresse
- Datum und Uhrzeit des Zugriffs
- Referrer-URL (vorher besuchte Seite)
- Aufgerufene Seite
- HTTP-Status und übertragene Datenmenge
- Browser, Betriebssystem und User-Agent
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer technisch fehlerfreien und sicheren Bereitstellung der Website).
Speicherdauer: 30 Tage. Eine Zusammenführung mit anderen Datenquellen findet nicht statt.
5. Cookies
Wir setzen ausschließlich technisch erforderliche Cookies im Sinne von § 25 Abs. 2 Nr. 2 TDDDG ein. Diese sind für den Betrieb der Website unbedingt notwendig — eine Einwilligung ist daher nicht erforderlich.
| Cookie | Zweck | Speicherdauer | Anbieter |
|---|---|---|---|
sb-<projekt>-auth-token | Aufrechterhaltung der Login-Sitzung; verhindert wiederholtes Anmelden bei jeder Seite | 1 Jahr | Supabase |
becoss_auth_v | Single-Active-Session-Schutz; verhindert paralleles Nutzen eines Accounts auf mehreren Geräten gleichzeitig | 30 Tage | Eigen (HttpOnly) |
theme | Speichern deiner Theme-Präferenz (Light / Dark / System) | unbegrenzt (LocalStorage) | Eigen |
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sitzungs-Sicherheit).
6. Lokale Speicherung im Browser (LocalStorage)
Zur Verbesserung der Lernerfahrung speichern wir einzelne Werte ausschließlich lokal in deinem Browser (LocalStorage). Diese Daten verlassen dein Gerät nicht — wir können sie unsererseits nicht auslesen. Wenn du eingeloggt bist, werden Lesson-Visits und Quiz-Ergebnisse parallel zentral synchronisiert (siehe Ziffer 8 zum „Server-seitigen Fortschritt“).
| Schlüssel | Zweck | Inhalt |
|---|---|---|
progress-v1 | Persistenz deines Fortschritts pro Lektion (Quiz-Score, Bestanden-Datum, Versuche) | JSON · keine Identifikatoren |
last-visited-v1 | „Weiter wo du warst“ auf der Curriculum-Seite | JSON · Lesson-Slug |
next-cta-dismissed-v1 | Schließen-Status des „Nächste Lektion“-Hinweises (Session) | Session-Storage · Boolean |
7. Vercel Web Analytics & Speed Insights
Wir nutzen Vercel Web Analytics und Vercel Speed Insights der Vercel Inc., um anonyme Statistiken über Seitenaufrufe und reale Web-Performance-Werte (Core Web Vitals: LCP, INP, CLS) zu erheben. Beide Dienste setzen keine Cookies und nutzen keine eindeutigen Kennungen oder Fingerprinting. Es findet kein Tracking über mehrere Seiten oder Sitzungen hinweg statt.
Erhoben werden:
- Aufgerufene Seite (Pfad, ohne Query-Parameter)
- Referrer-Quelle (vorher besuchte Domain)
- Land (aus IP-Adresse abgeleitet, IP wird nicht gespeichert)
- Geräte-Klasse (Desktop / Mobile / Tablet) und Browser-Familie
- Performance-Werte des aktuellen Seitenaufrufs (CWV-Metriken)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung der Performance und Reichweitenmessung); aufgrund der vollständigen Anonymität und des Verzichts auf Endgeräte-Speicherung ist eine Einwilligung nach § 25 TDDDG nicht erforderlich.
Auftragsverarbeitung: Es besteht ein Data Processing Agreement mit Vercel Inc. nach Art. 28 DSGVO. Vercel ist nach dem EU-U.S. Data Privacy Framework zertifiziert. Aggregierte Statistiken werden 12 Monate vorgehalten und danach gelöscht.
8. Account-Funktionen, Lernfortschritt und Bezahlung
Wenn du den Vollzugang erwirbst und einen Account anlegst, verarbeiten wir folgende personenbezogene Daten:
- Authentifizierung: deine E-Mail-Adresse, ggf. ein selbst gesetztes Passwort sowie Login-Zeitpunkte (Verarbeitung durch Supabase, EU-Region Frankfurt).
- Profil: dein selbst gewählter Anzeigename, Newsletter-Einwilligung (sofern erteilt), Onboarding-Status.
- Entitlement: Status deines Kurs-Zugangs (aktiv / inaktiv), Quelle (Stripe-Session-ID), Datum.
- Lernfortschritt: Lektion-Visits, Quiz-Versuche, erreichte Punktzahlen, Datum letzter Aktivität.
- Zahlungsdaten: Karten- und Rechnungsdaten verarbeiten wir nicht selbst — diese werden ausschließlich von Stripe gemäß deren Datenschutzerklärung erhoben (siehe Ziffer 9). Wir erhalten von Stripe lediglich eine Session-ID und einen Zahlungsstatus.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des kostenpflichtigen Kurses); für die Newsletter-Einwilligung Art. 6 Abs. 1 lit. a DSGVO.
Speicherdauer: Account-Daten werden bis zur Löschung deines Accounts gespeichert. Rechnungs- und Zahlungsbelege bewahren wir für 10 Jahre nach handels- und steuerrechtlichen Aufbewahrungsfristen auf (§ 147 AO).
9. Eingesetzte Auftragsverarbeiter und Drittdienste
Mit folgenden Anbietern besteht ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO. Soweit Daten in Drittländer übermittelt werden, erfolgt dies auf Basis von EU-Standardvertrags- klauseln (Art. 46 DSGVO) und/oder einer Zertifizierung nach dem EU-U.S. Data Privacy Framework (DPF) gemäß Angemessenheitsbeschluss der EU-Kommission.
| Anbieter | Zweck | Region | Drittland-Schutz |
|---|---|---|---|
| Vercel Inc. | Hosting, Web Analytics, Speed Insights | USA (Frankfurt-Edge) | DPF + SCCs |
| Supabase Inc. | Authentifizierung, Datenbank, Auth-E-Mails | EU (Frankfurt) | EU-Region, kein Transfer |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung, Rechnungs-PDFs | Irland / USA (Stripe Inc.) | DPF + SCCs (Konzern) |
| Resend Inc. | Versand transaktionaler E-Mails (Welcome, Quittung) | USA | DPF + SCCs |
| Functional Software, Inc. (Sentry) | Error-Tracking zur Fehleranalyse | EU (de.sentry.io) | EU-Region, kein Transfer |
Eine vollständige Liste der Vertragsdetails (AVV-Versionen, Standardvertragsklauseln, Zertifizierungs-Nachweise) führen wir intern unter docs/compliance/avv-register.md. Auf Anfrage stellen wir relevante Auszüge bereit.
9.1 Stripe — Zahlungsabwicklung
Beim Kauf des Vollzugangs leiten wir dich auf eine sichere Checkout-Seite von Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland weiter. Stripe verarbeitet deine Karten- oder SEPA-Daten eigenverantwortlich nach den dort hinterlegten Datenschutzbestimmungen stripe.com/de/privacy. Wir erhalten ausschließlich Status, Session-ID, Customer-ID und Rechnungsemail.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
9.2 Resend — Transaktionale E-Mails
Welcome-Mails nach dem Kauf, Magic-Link-Logins und Passwort-Reset-Mails werden über Resend Inc., 2261 Market Street, Suite 5039, San Francisco, CA 94114, USA versendet. Resend ist nach dem EU-U.S. Data Privacy Framework zertifiziert. Übermittelt werden Empfänger-E-Mail-Adresse und Nachrichteninhalt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
9.3 Sentry — Fehleranalyse
Zur Identifikation und Behebung technischer Fehler nutzen wir Sentry (Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA). Sentry-Daten werden in der EU-Region (de.sentry.io) verarbeitet und gespeichert. Erfasst werden bei einem clientseitigen Fehler insbesondere: Fehlertyp und -nachricht, Stack-Trace, anonymisierte IP-Adresse, Browser- und Betriebssystem-Informationen, aufgerufene URL.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer technisch fehlerfreien Bereitstellung der Website und Sicherheit).
Speicherdauer: 90 Tage.
10. Schriftarten
Wir setzen die Schriftarten Geist und Geist Mono ein, die lokal von unserem Server ausgeliefert werden. Es findet keine Verbindung zu Servern Dritter (z. B. Google Fonts) statt; deine IP-Adresse wird nicht an externe Dienste übertragen.
11. SSL-/TLS-Verschlüsselung
Diese Website nutzt durchgängig eine SSL-/TLS-Verschlüsselung sowie einen HSTS-Sicherheits-Header (mit Preload-Listing). Eine verschlüsselte Verbindung erkennst du am https:// in der Adresszeile deines Browsers.
12. Deine Rechte
Du hast jederzeit das Recht auf:
- Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung deiner Daten (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft
Zur Ausübung deiner Rechte wende dich bitte per E-Mail an info@becoss.de. Wir antworten innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).
13. Beschwerderecht bei der Aufsichtsbehörde
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig gemäß unserem Sitz ist:
Die Landesbeauftragte für den Datenschutz Niedersachsen
https://lfd.niedersachsen.de
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen — z. B. bei der Einführung neuer Dienste. Für deinen erneuten Besuch gilt dann die neue Datenschutzerklärung. Frühere Stände stellen wir auf Anfrage bereit.
Anbieter dieser Website: becoss GmbH, Lüneburg.