Datenschutzerklärung für SchoolCrack

Stand: 13. Juni 2026

Diese Datenschutzerklärung beschreibt, wie personenbezogene Daten bei der Nutzung von SchoolCrack unter schoolcrack.io verarbeitet werden. SchoolCrack ist eine Online-Anwendung für volljährige Nutzer mit Konto, Kursen, Chats, Uploads, KI-Funktionen, AI Handwriting, Feedback, Meldungen und kostenpflichtigem Pro-Abo über Polar.

1. Verantwortlicher

Verantwortlich ist:

Sebastian Brock
Fuhrenweg 1
21244 Buchholz in der Nordheide
Deutschland
E-Mail: [email protected]

Die E-Mail-Adresse gilt auch für Datenschutzanfragen, Widerrufe von Einwilligungen, Widersprüche und Anfragen zu Kopien von Drittland-Garantien. Ein Datenschutzbeauftragter ist nicht benannt, weil derzeit keine gesetzliche Pflicht zur Benennung ersichtlich ist.

2. Grundsätze und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten nur, soweit dies für die Bereitstellung, Sicherheit, Abrechnung, Kommunikation, Moderation, Fehleranalyse oder Rechtsdurchsetzung erforderlich ist oder Du eingewilligt hast.

• Art. 6 Abs. 1 lit. b DSGVO: Konto, Login, Vertragsdurchführung, Kursfunktionen, Uploads, KI-Funktionen, Handwriting, Pro-Zugang und Support zu Deinem Vertrag.
• Art. 6 Abs. 1 lit. f DSGVO: IT-Sicherheit, Missbrauchsschutz, Moderation, Quoten, Fehleranalyse, Rechtsdurchsetzung, Produktstabilität und Nachweise.
• Art. 6 Abs. 1 lit. c DSGVO: gesetzliche Pflichten, insbesondere handels-, steuer-, verbraucher- und aufsichtsrechtliche Pflichten.
• Art. 6 Abs. 1 lit. a DSGVO: Einwilligungen, falls wir sie für bestimmte Vorgänge einholen.

3. Pflichtangaben und Folgen der Nichtbereitstellung

Einige Daten sind für die Nutzung vertraglich oder technisch erforderlich. Ohne E-Mail-Adresse, Passwort beziehungsweise Login-Code, Session-Daten und die erforderlichen Bestätigungen kann kein Konto erstellt oder genutzt werden. Wenn Du Google Login verwenden möchtest, ist außerdem die Freigabe der dafür notwendigen Google-Profilinformationen erforderlich; ohne diese Freigabe kannst Du Google Login nicht nutzen, aber andere bereitgestellte Loginwege bleiben möglich. Ohne Kurs-, Chat-, Upload-, Prompt- oder Handwriting-Daten können die jeweiligen Funktionen nicht bereitgestellt werden. Ohne die von Polar übermittelten Pro-Status-, Vertrags- und Transaktionsdaten kann SchoolCrack Pro nicht freigeschaltet oder synchronisiert werden.

Optionale Angaben, Einstellungen, Profilbilder, Kursbilder, Feedback und freiwillige Inhalte kannst Du grundsätzlich weglassen; einzelne Funktionen können dann eingeschränkt sein. Gesetzliche Pflichten zur Bereitstellung bestimmter Daten können sich insbesondere aus Steuer-, Handels- und Nachweispflichten ergeben, wenn ein kostenpflichtiger Vertrag besteht.

4. Datenkategorien

Je nach Nutzung verarbeiten wir insbesondere:

• Konto- und Login-Daten wie Name, Anzeigename, E-Mail-Adresse, Passwort-Hash, Login-Codes, Magic-Link-Token, Session-Token, Kontostatus, letzte Aktivität, Zustimmung zu Rechtstexten sowie bei Google Login Google-Account-ID, verifizierte Google-E-Mail-Adresse, Google-Anzeigename, OAuth-Verknüpfung, OAuth-State-/Nonce-Token und Registrierungsabschluss-Token,
• technische Daten wie IP-Adresse, Zeitpunkte, Browser, Betriebssystem, Gerätedaten, aufgerufene URLs, Referrer, Header-Informationen, Sicherheitsereignisse und Fehlerdaten,
• Nutzungsdaten wie Kurse, Rollen, Einstellungen, Sprache, Theme, aktive Funktionen, Quoten, Pro-Status, Abo-Status und Nutzungszähler,
• Inhalte wie Prompts, Chatnachrichten, Kursbeiträge, Kommentare, Mentions, Reaktionen, Aufgaben, Prüfungen, Kalenderdaten, Feedback, Meldungen, Dateien und Uploads,
• KI- und Handwriting-Daten wie eingegebene Texte, Bilder, Bildausschnitte, generierte Ausgaben, Modellinformationen, Antwort-IDs, Token- und Nutzungszähler,
• Zahlungs- und Vertragsdaten wie Plan, Preis, Laufzeit, Zahlungsstatus, Abo-ID, Checkout-ID, Providerstatus, Kündigungsstatus, Rechnungs- und Supportkommunikation.

5. Aufruf der Website, Hosting, CDN und Sicherheit

Beim Aufruf der Website entstehen technische Zugriffsdaten. Dazu können IP-Adresse, Datum und Uhrzeit, URL, Referrer, Browser, Betriebssystem, übertragene Datenmenge, Header-Informationen und Sicherheitsereignisse gehören.

Die Website wird über Hosting- und CDN-Infrastruktur ausgeliefert. Nach aktuellem Deployment werden insbesondere Railway für Serverbetrieb, PostgreSQL-Datenbank und S3-kompatible Storage-Anbindung sowie Cloudflare für DNS, Auslieferung, Sicherheit und Schutz vor Angriffen eingesetzt. Je nach Routing können außerdem Fastly-Edge-Komponenten sichtbar sein. Diese Anbieter können technische Zugriffsdaten verarbeiten, um die Website bereitzustellen, Angriffe abzuwehren, Verbindungen zu beschleunigen, Fehler zu analysieren und Missbrauch zu verhindern.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in stabiler Auslieferung, IT-Sicherheit, Schutz vor Angriffen, zuverlässigem Betrieb und Fehleranalyse. Soweit Dienstleister als Auftragsverarbeiter eingesetzt werden, werden Datenverarbeitungsbedingungen abgeschlossen.

6. Datenbank, Upload-Speicher und Backups

Konto-, Kurs-, Chat-, Nutzungs- und Protokolldaten werden in einer serverseitigen PostgreSQL-Datenbank in der Railway-Umgebung gespeichert. Uploads und erzeugte Dateien werden in der produktiven Umgebung über die Railway-/Deployment-Konfiguration in einem S3-kompatiblen Object Storage gespeichert; in Entwicklungs- und Testumgebungen kann lokaler Speicher verwendet werden.

Gespeichert werden können insbesondere Profilbilder, Kursbilder, Kursdateien, Chat-Anhänge, CrackyGPT-Bilder, PDF- und Bildmaterial, Handwriting-Dateien, erzeugte Ausgaben und technisch erzeugte Varianten wie WebP-Dateien, Vorschauen oder Kacheln. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO für bereitgestellte Funktionen und Art. 6 Abs. 1 lit. f DSGVO für sicheren Betrieb, Missbrauchsschutz, Fehleranalyse und Nachweise.

Wichtig: Nutzerinhalte werden nicht Ende-zu-Ende-verschlüsselt gespeichert. Viele Inhalte liegen in der Datenbank oder im Object Storage technisch lesbar beziehungsweise in verarbeitbarer Form vor, damit SchoolCrack sie anzeigen, durchsuchen, konvertieren, moderieren, an KI-Dienste übermitteln, sichern, wiederherstellen und Support- oder Rechtsanfragen bearbeiten kann. Das betrifft insbesondere Prompts, Chatnachrichten, Kursinhalte, Aufgaben, Kommentare, Uploads, Bilder, PDF-Dateien, Handwriting-Vorlagen und generierte Ausgaben. Passwörter werden hiervon abweichend nicht im Klartext gespeichert, sondern gehasht.

Die Übertragung erfolgt nach aktuellem Stand über HTTPS/TLS; Zugriffe auf Systeme und Dienstleister werden organisatorisch und technisch beschränkt. Eine Inhaltsverschlüsselung mit einem ausschließlich von Dir kontrollierten Schlüssel oder eine Ende-zu-Ende-Verschlüsselung bieten wir jedoch nicht an. Lade deshalb keine Inhalte hoch, die nicht in dieser Form verarbeitet, gespeichert oder an die genannten Dienstleister übermittelt werden dürfen.

Backups und technische Sicherungen können personenbezogene Daten enthalten. Sie werden gegen unbefugten Zugriff geschützt und nach technischen Zyklen überschrieben. Eine einzelne Löschung aus bereits bestehenden Backups kann technisch eingeschränkt sein; produktiv wiederhergestellte Daten werden nach den geltenden Löschregeln behandelt.

7. Registrierung, Login und Konto

Bei Registrierung und Kontonutzung verarbeiten wir die für Kontoerstellung, Login, Sicherheit, Wiederherstellung und Nutzung erforderlichen Daten. Dazu gehören E-Mail-Adresse, Anzeigename, Passwort-Hash, Bestätigung der Volljährigkeit, Zustimmung zu Rechtstexten, Login- und Registrierungscodes, Magic-Link-Token, Session-Token, Kontostatus, letzte Aktivität und Sicherheitshinweise.

Google Login ist optional. Wenn Du Google Login auswählst, wirst Du zu Google weitergeleitet und Google authentifiziert Dein Google-Konto. SchoolCrack verarbeitet danach nur die für Anmeldung oder Kontoerstellung notwendigen freigegebenen Profilinformationen, insbesondere Google-Account-ID, E-Mail-Adresse, E-Mail-Verifizierungsstatus und Anzeigename. Bestehende SchoolCrack-Konten können anhand einer verifizierten Google-E-Mail-Adresse mit Google Login verknüpft werden. Neue Nutzer müssen auch bei Kontoerstellung über Google weiterhin bestätigen, dass sie mindestens 18 Jahre alt sind und AGB sowie Datenschutzerklärung akzeptieren. Google Access Tokens oder Refresh Tokens werden nach aktuellem Stand nicht dauerhaft gespeichert.

Passwörter werden nicht im Klartext gespeichert, sondern als Hash. Session-Cookies ermöglichen es, angemeldet zu bleiben. Sicherheitsprüfungen, Rate Limits, Missbrauchserkennung und Login-Protokolle beruhen zusätzlich auf Art. 6 Abs. 1 lit. f DSGVO.

8. E-Mail-Versand über Resend

Für Registrierung, Login-Codes, Magic Links, Passwortreset, Sicherheits- und Systemnachrichten nutzen wir Resend. Anbieter ist Plus Five Five, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA.

An Resend werden die für den Versand notwendigen Daten übermittelt, insbesondere Empfängeradresse, Betreff, Nachrichteninhalt, technische Versanddaten, Zeitpunkte und Zustellinformationen. Die Verarbeitung dient Kontoeröffnung, Anmeldung, Passwortwiederherstellung, Sicherheit und vertragsbezogener Kommunikation. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b und lit. f DSGVO.

9. Cookies, LocalStorage und SessionStorage

SchoolCrack nutzt notwendige Cookies und vergleichbare lokale Speichertechniken. Dazu gehören insbesondere:

• sessionToken für die Anmeldung, als HttpOnly-Cookie mit SameSite=Lax und einer Laufzeit von bis zu 14 Tagen,
• temporäre Pending-Cookies für Registrierung, Login oder Magic-Link-Prozesse,
• temporäre Google-OAuth-Cookies wie googleOAuthState und googleRegistrationToken für CSRF-Schutz, OAuth-Rückleitung und Registrierungsabschluss,
• LocalStorage für Einstellungen wie Sprache, Theme, Kursauswahl, Modellpräferenz, Design-/Ansichtseinstellungen, Handwriting-Vorbefüllung oder zuletzt verwendete Ansichten,
• SessionStorage für kurzfristige Navigations- und Weiterleitungsinformationen.

Diese Speicherungen dienen Anmeldung, Sicherheit, Bedienbarkeit und ausdrücklich gewünschten Funktionen. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b und lit. f DSGVO. Soweit Informationen auf Deinem Endgerät gespeichert oder ausgelesen werden, erfolgt dies für notwendige oder von Dir gewünschte Funktionen nach § 25 Abs. 2 TDDDG. Werbe- oder Tracking-Cookies werden nach aktuellem Stand nicht eingesetzt.

Du kannst Cookies und lokale Speicher im Browser löschen oder blockieren. Dann können Anmeldung, Kursauswahl, Sprache, Theme, Handwriting-Vorbefüllung oder andere Funktionen eingeschränkt sein.

10. Lokale Schriftarten

Schriftarten werden von SchoolCrack lokal über dieselbe Website-Infrastruktur ausgeliefert. Beim Laden der Schriftdateien entstehen nur die allgemeinen technischen Zugriffsdaten, die auch beim Abruf anderer lokaler Website-Dateien entstehen. Eine Übermittlung an externe Schriftarten-Server findet nach aktuellem Stand nicht statt.

Die lokale Einbindung dient der einheitlichen Darstellung, Lesbarkeit, Performance und datenschutzfreundlichen Gestaltung der Anwendung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse liegt in einer stabilen und konsistenten Weboberfläche ohne unnötige Drittanbieterabrufe.

11. Kurse, Chat, Aufgaben, Prüfungen und Nutzerinhalte

Wenn Du Kurse, Chats, Aufgaben, Prüfungen, Kommentare, Reaktionen, Mentions, Uploads oder ähnliche Funktionen nutzt, verarbeiten wir die dabei eingegebenen oder erzeugten Daten. Dazu gehören Inhalte, Anhänge, Zeitpunkte, Autor, Kurszuordnung, Rollen, Sichtbarkeit, Reaktionen, Bearbeitungs- und Löschinformationen sowie technische Metadaten.

Kursinhalte können für andere Kursmitglieder sichtbar sein. Mentions, Reaktionen, Kommentare und Statusinformationen können anderen Nutzern angezeigt werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Moderation, Schutz vor Missbrauch, Rechtsdurchsetzung und Sicherheitsprotokolle beruhen zusätzlich auf Art. 6 Abs. 1 lit. f DSGVO.

12. Uploads, PDF- und Bildverarbeitung

Bei Uploads können Dateiname, Dateityp, Dateigröße, Bild- oder PDF-Inhalt, Upload-Zeitpunkt, Kurs- oder Nutzerzuordnung, IP-Adresse und technische Prüfprotokolle verarbeitet werden. Dateien können technisch geprüft, skaliert, konvertiert, mit Vorschauen versehen und in andere Formate wie WebP umgewandelt werden.

Uploads können zusätzlich automatisiert moderiert werden, bevor sie gespeichert oder angezeigt werden. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO für die Funktionsbereitstellung und Art. 6 Abs. 1 lit. f DSGVO für Sicherheit, Missbrauchsvermeidung und Rechtsdurchsetzung.

13. KI-Funktionen, OpenAI, Moderation und Websuche

SchoolCrack nutzt OpenAI für KI-Funktionen und Moderation. Anbieter ist, je nach Vertrags- und Leistungsbeziehung, OpenAI Ireland Limited, 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland, beziehungsweise verbundene OpenAI-Gesellschaften.

Für CrackyGPT, Homework-AI, Bildanalyse, KI-Antworten, Sicherheitsfilter und Moderation können folgende Daten an OpenAI übermittelt werden:

• Prompts, Nachrichten und ausgewählte Chatverläufe,
• hochgeladene Bilder, Bildausschnitte oder andere Eingaben,
• Aufgaben-, Kurs- oder Kontextinformationen, soweit sie für die Anfrage verwendet werden,
• Moderationsinhalte wie Chatnachrichten, Uploads, Profil- oder Kursdaten, Feedback und Meldungen,
• technische Angaben wie Modell, Antwort-ID, Token-Nutzung, Abbruchstatus und Fehlermeldungen.

Wenn ein Modell Websuche unterstützt, können aus Deiner Anfrage Suchanfragen abgeleitet werden. Dabei können Suchereignisse, Quelleninformationen und Ergebnisdaten verarbeitet werden. Verwende KI-Funktionen deshalb nicht für Inhalte, die nicht an externe KI- oder Suchdienste übermittelt werden dürfen.

Rechtsgrundlage für KI-Antworten ist Art. 6 Abs. 1 lit. b DSGVO, soweit Du die Funktion anforderst. Rechtsgrundlage für Moderation, Missbrauchserkennung, Sicherheitsfilter, Quoten und Rechtsdurchsetzung ist Art. 6 Abs. 1 lit. f DSGVO.

14. AI Handwriting

Bei AI Handwriting verarbeiten wir eingegebenen Text, ausgewählte Einstellungen, Render-Anfragen, Nutzungszähler und erzeugte Dateien. Wenn Du eigene Handschrift- oder Bilddaten hochlädst, können diese als besonders persönliche Inhalte gelten. Lade solche Daten nur hoch, wenn Du dazu berechtigt bist und keine Rechte anderer Personen verletzt werden.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Quoten, Missbrauchsschutz, Fehleranalyse und technische Protokolle beruhen zusätzlich auf Art. 6 Abs. 1 lit. f DSGVO.

15. SchoolCrack Pro, Polar und Zahlungsdaten

Für SchoolCrack Pro nutzen wir Polar als Merchant of Record beziehungsweise Reseller für Checkout, Zahlung, Rechnung, Steuerabwicklung, Abo-Verwaltung, Kundenportal und zahlungsbezogene Erstattungs- oder Widerrufsanliegen. Anbieter ist Polar Software, Inc. beziehungsweise die im Checkout, in den Polar-Bedingungen oder in der Rechnung genannte Polar-Gesellschaft.

Beim Start eines Checkouts, bei Abo-Verwaltung und bei Webhooks können wir an Polar insbesondere Deine interne Konto-ID, Deinen Plan, technische Metadaten und Rückleitungsinformationen übermitteln. Von Polar erhalten wir insbesondere Checkout-Status, Kunden- beziehungsweise Abo-ID, Laufzeit, Kündigungsstatus, Zahlungsstatus, Providerstatus und Transaktionsbezug, damit der Pro-Zugang in SchoolCrack freigeschaltet oder beendet werden kann.

Zahlungsdaten wie Kartendaten gibst Du direkt bei Polar beziehungsweise den dort eingebundenen Zahlungsdienstleistern ein; wir speichern diese Zahlungsdaten nicht selbst. Soweit Polar eigene Zwecke, gesetzliche Steuerpflichten, Betrugsprävention, Zahlungsabwicklung, Rechnungsstellung oder Kundenportal-Funktionen verantwortet, gelten zusätzlich die Datenschutz- und Vertragsinformationen von Polar und den eingebundenen Zahlungsanbietern.

Die Verarbeitung dient Pro-Freischaltung, Checkout-Weiterleitung, Statussynchronisation, Abo-Verwaltung, Support, Betrugsvermeidung und Nachweis. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b, lit. c und lit. f DSGVO.

16. Feedback, Reports, Support und Inhaltsmeldungen

Wenn Du Feedback sendest, Fehler meldest, Inhalte reportest, Support kontaktierst oder rechtswidrige beziehungsweise regelwidrige Inhalte meldest, verarbeiten wir die von Dir angegebenen Daten, den betroffenen Inhalt, technische Begleitdaten und Deine Kontaktdaten. Meldungen können genutzt werden, um Inhalte zu prüfen, Nutzer zu kontaktieren, Missbrauch zu verhindern, gesetzliche Pflichten zu erfüllen und rechtliche Ansprüche zu klären.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO, soweit es um Dein Konto oder einen Vertrag geht, Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Melde- oder Prüfpflichten bestehen, und Art. 6 Abs. 1 lit. f DSGVO für Support, Sicherheit, Moderation und Rechtsdurchsetzung.

17. Empfänger und Auftragsverarbeiter

Daten können an technische Dienstleister übermittelt werden, soweit dies für Betrieb, Sicherheit, Vertragserfüllung oder Support erforderlich ist. Dazu gehören insbesondere:

• Railway: Serverbetrieb, PostgreSQL-Datenbank, produktive Deployment-Umgebung, Protokolle und S3-kompatible Storage-Anbindung; verarbeitet insbesondere Konto-, Inhalts-, Nutzungs-, technische Zugriffs- und Betriebsdaten.
• S3-kompatibler Object Storage in der Railway-/Deployment-Konfiguration: Speicherung von Uploads, generierten Dateien, Backups und technischen Artefakten; verarbeitet insbesondere Dateiinhalte, Dateinamen, Metadaten und technische Zugriffsdaten.
• Cloudflare: DNS, Auslieferung, Sicherheit, Schutz vor Angriffen und CDN-Funktionen; verarbeitet insbesondere IP-Adressen, Header, URL-Abrufe, Sicherheitsereignisse und technische Protokolle.
• Resend: Transaktions-, Login-, Registrierungs-, Passwortreset- und Systemmails; verarbeitet insbesondere E-Mail-Adresse, Inhalt der Nachricht, Betreff, Versandzeitpunkt und Zustellinformationen.
• Google Ireland Limited beziehungsweise Google LLC: Google Sign-In, OAuth, Authentifizierung und Übermittlung der von Dir freigegebenen Profilinformationen; verarbeitet insbesondere Google-Account-Daten, E-Mail-Adresse, Verifizierungsstatus, Anzeigename, technische OAuth-Daten und Sicherheitsinformationen.
• OpenAI: KI-Antworten, Bildanalyse, Inhaltsmoderation, Sicherheitsfilter und optionale Websuche; verarbeitet insbesondere Prompts, Nachrichten, ausgewählte Kontexte, Bilder, Moderationsinhalte, Modell- und Nutzungsdaten.
• Polar: Merchant of Record beziehungsweise Reseller für Checkout, Zahlung, Rechnung, Steuerabwicklung, Abo-Verwaltung, Kundenportal, Webhooks und zahlungsbezogene Anliegen; verarbeitet insbesondere Konto- und Checkout-Zuordnungen, Zahlungsstatus, Rechnungsdaten, Abo-Daten und Kundendaten.

Eine Weitergabe an Behörden, Gerichte, Rechtsberater, Steuerberater oder sonstige Dritte erfolgt nur, wenn dies gesetzlich erforderlich ist, zur Rechtsdurchsetzung oder Rechtsverteidigung notwendig ist oder eine wirksame Einwilligung vorliegt.

18. Drittlandübermittlungen

Einige Dienstleister können Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeiten, insbesondere in den USA. Das kann insbesondere Cloudflare, Resend, OpenAI, Polar und bei Nutzung von Google Login auch Google betreffen. Für solche Übermittlungen stützen wir uns, soweit erforderlich, auf Angemessenheitsbeschlüsse wie das EU-US Data Privacy Framework, Standardvertragsklauseln, Datenverarbeitungsbedingungen und zusätzliche technische oder organisatorische Schutzmaßnahmen.

Du kannst über [email protected] Informationen zu den jeweils eingesetzten Garantien oder eine Kopie der wesentlichen Garantien anfordern, soweit dem keine Geschäftsgeheimnisse, Rechte Dritter oder Sicherheitsinteressen entgegenstehen.

19. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Pflichten bestehen. Insbesondere gelten folgende Grundsätze:

• Kontodaten werden grundsätzlich für die Dauer des Kontos gespeichert.
• OAuth-Verknüpfungen für Google Login werden grundsätzlich für die Dauer des Kontos gespeichert, soweit Du sie nicht durch Kontolöschung oder einen künftig bereitgestellten Trennungsprozess beendest.
• Session-Cookies laufen spätestens nach bis zu 14 Tagen ab; serverseitige Sessions werden nach Ablauf oder Logout gelöscht.
• Registrierungs-, Login- und Passwortreset-Codes werden nur kurzfristig bis Ablauf, Verbrauch oder Bereinigung gespeichert.
• OAuth-State, Nonce-Daten und Google-Registrierungs-Intents werden nur kurzfristig bis Ablauf, Verbrauch oder Bereinigung gespeichert.
• Login- und Upload-IP-Protokolle werden grundsätzlich für 30 Tage gespeichert.
• Kurs-, Chat-, Aufgaben-, Prüfungs-, Kalender-, Upload- und KI-Inhalte werden gespeichert, solange sie für Dein Konto, den jeweiligen Kurs oder die Funktion bereitgestellt werden und nicht gelöscht werden.
• Audit-, Sicherheits- und Missbrauchsprotokolle können in der Datenbank kurzfristig und in Sicherheitsarchiven länger gespeichert werden, soweit dies für Betriebssicherheit, Missbrauchsaufklärung, Nachweise oder Rechtsverteidigung erforderlich ist.
• Abrechnungs-, Vertrags-, Zahlungs- und Buchungsdaten werden entsprechend gesetzlichen Aufbewahrungsfristen gespeichert.
• Backups werden nach technischen Zyklen überschrieben.
• Daten, die auf Einwilligung beruhen, verarbeiten wir bis zum Widerruf oder bis der Zweck entfällt.

20. Kontolöschung

Du kannst über die App eine Kontolöschung anstoßen. Dabei kann das Konto zunächst deaktiviert und für 30 Tage zur Reaktivierung vorgemerkt werden. Je nach gewähltem Modus werden Daten gelöscht, anonymisiert oder aus gemeinsam genutzten Bereichen entfernt.

Bei einer kontobezogenen Löschung können öffentliche oder kursbezogene Inhalte unter einem gelöschten Nutzerbezug weiterbestehen, soweit dies für Diskussionsverläufe, Kurszusammenhänge, Nachweise oder berechtigte Interessen erforderlich ist. Bei vollständiger Löschung werden weitergehende Inhaltsbezüge entfernt, soweit keine gesetzlichen Pflichten, Abrechnungsdaten, Sicherheitsprotokolle, Backups oder Rechtsverteidigungsinteressen entgegenstehen.

21. Automatisierte Entscheidungen und Moderation

SchoolCrack setzt automatisierte Sicherheitsfilter und KI-Moderation ein, um Missbrauch, rechtswidrige Inhalte, gefährliche Inhalte oder Regelverstöße zu erkennen. Dadurch können einzelne Eingaben, Uploads, Namen, Nachrichten oder Anfragen automatisch blockiert oder zur Prüfung zurückgehalten werden.

Es findet keine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO statt, die Dir gegenüber rechtliche Wirkung entfaltet oder Dich in vergleichbarer Weise erheblich beeinträchtigt, ohne dass eine Überprüfung möglich ist. Wenn Du mit einer Moderations-, Sperr- oder Sicherheitsentscheidung nicht einverstanden bist, kannst Du Dich an [email protected] wenden.

22. Deine Rechte

Du hast nach Maßgabe der DSGVO das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Wenn eine Verarbeitung auf Einwilligung beruht, kannst Du diese jederzeit mit Wirkung für die Zukunft widerrufen.

Du hast außerdem das Recht, Dich bei einer Datenschutzaufsichtsbehörde zu beschweren. Für Niedersachsen ist dies insbesondere die Landesbeauftragte für den Datenschutz Niedersachsen.

Anfragen zu Datenschutzrechten kannst Du an [email protected] senden. Zur Bearbeitung kann eine Identitätsprüfung erforderlich sein.

23. Widerspruchsrecht

Wenn wir Daten wegen berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO verarbeiten, kannst Du widersprechen, sofern persönliche Umstände gegen diese Verarbeitung sprechen. Danach verwenden wir die betroffenen Daten auf dieser Rechtsgrundlage nicht weiter, sofern keine vorrangigen schutzwürdigen Gründe bestehen oder die Daten für rechtliche Ansprüche, deren Durchsetzung oder deren Abwehr benötigt werden.

Gegen Direktwerbung kannst Du jederzeit widersprechen. Nach Deinem Widerspruch verwenden wir Deine Daten nicht mehr für Direktwerbung.