Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutz­gesetze ist:

Thavarajasingam, Ahkash; Eid, Mustafa Magdy Abdel Razik Mahmoud GbR
Hallesche Straße 94a
44143 Dortmund, Deutschland
Telefon: +49 163 9347633
E-Mail: info@ultima-rat.io

Für datenschutzrechtliche Anliegen stehen wir unter der vorstehenden E-Mail-Adresse zur Verfügung (Stichwort: „Datenschutz"). Ein betrieblicher Datenschutz­beauftragter ist nach § 38 BDSG derzeit nicht erforderlich; eine entsprechende Einschätzung wird laufend überprüft.

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist oder sofern Du in die Verarbeitung Deiner personenbezogenen Daten eingewilligt hast. Rechtsgrundlage für die Verarbeitung ist – sofern nicht ausdrücklich anders ausgewiesen – Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren, funktionsfähigen Plattform).

Die personenbezogenen Daten werden auf Servern unseres Hosters in der Europäischen Union verarbeitet; technisch bedingte Zugriffe aus den USA können im Rahmen des Betriebs auftreten (siehe Ziffer 4).

Beim bloßen informatorischen Aufruf unserer Plattform werden durch unseren Hoster automatisiert Informationen erfasst, die der Browser an unseren Server übermittelt. Verarbeitet werden insbesondere:

• IP-Adresse (zur Sicherheits-/Missbrauchs­erkennung in einer auf das erforderliche Maß reduzierten Speicherdauer; kann gekürzt gespeichert werden),
• Datum und Uhrzeit der Anfrage,
• angefragte URL und HTTP-Status,
• User-Agent (Browser, Betriebssystem),
• Referrer (zuvor besuchte Seite, sofern verfügbar).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität des Dienstes). Die Daten werden gelöscht, sobald sie für die Zweck­erreichung nicht mehr erforderlich sind.

Die Plattform wird gehostet von der Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA, sowie europäischen Tochter­gesellschaften (gemeinsam: „Vercel"). Vercel betreibt eine global verteilte Infrastruktur; Anfragen werden typischer­weise von einem Edge-Knoten innerhalb der Europäischen Union oder des EWR ausgeliefert. Es kann jedoch im Rahmen administrativer Tätigkeiten und der Bereitstellung des Dienstes zu Datenflüssen in die USA kommen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen, performanten und sicheren Bereitstellung der Plattform). Wir haben mit Vercel einen Auftrags­verarbeitungs­vertrag (Data Processing Agreement) geschlossen und Vercel hat sich insbesondere durch die EU-Standard­vertrags­klauseln (SCC) im Sinne des Art. 46 Abs. 2 lit. c DSGVO zur Einhaltung des europäischen Datenschutz­niveaus verpflichtet.

Weitere Informationen findest Du unter https://vercel.com/legal/privacy-policy.

Für die Nutzung des Generators bzw. des Pro-Tarifs ist ein Nutzer­konto erforderlich. Im Rahmen der Registrierung verarbeiten wir:

• E-Mail-Adresse,
• ein von Dir gewähltes Passwort (Speicherung ausschließlich als sicherer kryptografischer Hash; das Passwort im Klartext ist uns nicht bekannt),
• einen sechsstelligen Bestätigungscode, der dir per E-Mail zugeschickt wird (Verifizierung Deiner E-Mail-Adresse),
• Datum der Registrierung sowie Zeitpunkt der E-Mail-Verifizierung,
• ein technisches Visitor-Cookie für die Zuordnung des Free-Tageskontingents (siehe Ziffer 9).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags) sowie für die Authentifizierung Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Account-Sicherheit).

Die Daten werden für die Dauer des bestehenden Nutzerkontos gespeichert. Nach Löschung des Kontos werden Stammdaten nach Maßgabe gesetzlicher Aufbewahrungs­fristen (insbesondere § 257 HGB, § 147 AO) archiviert und im Übrigen unverzüglich gelöscht. Bestätigungs­codes werden 15 Minuten nach Versand für die Verifizierung gesperrt und anschließend zeitnah verworfen.

Beim Erstellen einer Frage übermitteln wir Deine Eingaben (Thema, Schwierigkeit, Frage-Typ, Anzahl von Teilfragen) an unseren externen KI-Dienstleister, die OpenAI Ireland Limited, 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland (für EU-Nutzer; Mutter­gesellschaft: OpenAI, L.L.C., USA, nachfolgend gemeinsam „OpenAI").

OpenAI generiert auf Basis der von Dir bereitgestellten Themen Single-Choice-Fragen, Antwortoptionen und Erklärungen und liefert das Ergebnis an unsere Plattform zurück. Es findet kein Tracking durch OpenAI gegenüber Dir statt; die Verbindung erfolgt server-zu-server.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungs­vertrags). Sofern Du als Free-Nutzer Eingaben tätigst, ohne dass ein eingeloggtes Konto besteht, ist Rechtsgrundlage auch Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, die Kernfunktion „Generator" bereitzustellen).

Mit OpenAI besteht ein Auftrags­verarbeitungs­vertrag (Data Processing Addendum); für Datenflüsse in die USA gelten die EU-Standard­vertrags­klauseln (Art. 46 Abs. 2 lit. c DSGVO) als Garantie zum Schutz Deiner Daten. OpenAI hat uns gegenüber bestätigt, dass über die API übermittelte Inhalte standardmäßig nicht zum Training von Modellen verwendet werden.

Weitere Informationen findest Du unter https://openai.com/policies/privacy-policy.

Hinweis: Bitte gib keine personenbezogenen Daten Dritter oder reale Patienten­daten in den Generator ein. Dies ist unsere AGB-rechtlich (§ 8 AGB) und auch datenschutz­rechtlich untersagt.

Für die Abwicklung kostenpflichtiger Abonnements setzen wir Stripe Payments Europe Ltd., Block 4, Harcourt Centre, Harcourt Road, Dublin 2, Irland (nachfolgend „Stripe") ein. Bei Buchung eines kostenpflichtigen Tarifs werden die für die Abwicklung notwendigen Daten – z. B. Name, E-Mail-Adresse, Zahlungs­mittel, Rechnungs­adresse – an Stripe übermittelt. Stripe ist datenschutz­rechtlich teilweise eigenständig Verantwortlicher und teilweise Auftrags­verarbeiter; Einzelheiten findest Du in den Datenschutz­hinweisen von Stripe.

Stripe unterhält eine Konzern­struktur, die auch Datenflüsse in die USA umfassen kann. Zur Sicherstellung eines angemessenen Datenschutz­niveaus stützt sich Stripe insbesondere auf EU-Standard­vertrags­klauseln (Art. 46 Abs. 2 lit. c DSGVO).

Rechtsgrundlage für die Übermittlung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten und sicheren Zahlungsabwicklung).

Wir selbst speichern keine vollständigen Zahlungsmittel­daten (z. B. Kartennummern). Wir erhalten von Stripe lediglich die für die Verwaltung des Abonnements erforderlichen Status­informationen (z. B. Subscription-ID, Status „aktiv/gekündigt", aktuelle Abrechnungs­periode).

Weitere Informationen unter https://stripe.com/de/privacy.

Für transaktionale E-Mails (Versand des Bestätigungscodes, Passwort-Reset-Link, Mitteilungen zur Abrechnung sowie Hinweise zur Vertrags­abwicklung) nutzen wir einen E-Mail-Versand über Zoho Corporation B.V. bzw. ihre verbundenen Unternehmen (SMTP-Versand über die Zoho-Mail-Infrastruktur). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungs­vertrags) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen Mail-Zustellung).

Wir bemühen uns, die Inhalte solcher Mails sparsam zu halten; eine Speicherung der Mail-Inhalte oder Empfänger­adressen über die für die Zustellung erforderlichen Zwecke hinaus erfolgt nicht.

Wir setzen ausschließlich technisch erforderliche Cookies ein, die für den Betrieb der Plattform unverzichtbar sind. Rechtsgrundlage ist § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderlich) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Einsatz von Tracking-, Analyse- oder Marketing-Cookies findet derzeit nicht statt.

Wir nutzen die Schriftart „Inter" über die Next.js-Font-Einbindung. Diese wird beim Deployment auf unsere Server bzw. die unseres Hosters übertragen und von dort ausgeliefert. Es findet keine Verbindung Deines Browsers zu Servern von Google statt; eine Übermittlung Deiner IP-Adresse an Google erfolgt durch die Nutzung der Schriftart nicht.

Wir speichern Deine personenbezogenen Daten so lange, wie es für die jeweils genannten Zwecke erforderlich ist, und löschen sie danach, sofern keine gesetzlichen Aufbewahrungs­fristen entgegenstehen (insbesondere § 257 HGB, § 147 AO für abrechnungs- und steuerrelevante Unterlagen).

Eine Übermittlung Deiner personenbezogenen Daten an Dritte erfolgt nur an die in dieser Erklärung benannten Auftrags­verarbeiter und nur zweck­gebunden:

• Vercel (Hosting der Plattform, USA-Bezug)
• OpenAI (KI-Generierung, USA-Bezug)
• Stripe (Zahlungsabwicklung, Irland und ggf. USA)
• Zoho (E-Mail-Versand)
• Steuerberater, Behörden, Gerichte – soweit gesetzlich erforderlich

Eine darüber hinausgehende Weitergabe (insbesondere zu Werbezwecken) erfolgt nicht.

Soweit personenbezogene Daten an Empfänger außerhalb der Europäischen Union/des EWR übermittelt werden (insbesondere USA bei Vercel, OpenAI und ggf. Stripe), erfolgt dies auf Grundlage von EU-Standard­vertrags­klauseln nach Art. 46 Abs. 2 lit. c DSGVO als geeignete Garantien zum Schutz Deiner Daten. Ergänzende technische und organisatorische Maßnahmen (z. B. Transport­verschlüsselung) werden angewandt.

Hinweis: Trotz dieser Garantien können wir nicht ausschließen, dass US-Sicherheits­behörden auf Grundlage einschlägiger US-Vorschriften (z. B. FISA 702, EO 12333) Zugriff auf personenbezogene Daten verlangen. Soweit eine solche Datenübertragung unverzichtbar für die Bereitstellung des Dienstes ist (Hosting, KI-Generierung), beruht sie zudem auf Art. 49 Abs. 1 lit. b DSGVO.

Du hast jederzeit das Recht,

• Auskunft über die zu Dir gespeicherten personen­bezogenen Daten zu erhalten (Art. 15 DSGVO),
• unrichtige Daten berichtigen zu lassen (Art. 16 DSGVO),
• die Löschung Deiner Daten zu verlangen, soweit keine gesetzliche Aufbewahrungs­pflicht entgegensteht (Art. 17 DSGVO),
• die Einschränkung der Verarbeitung zu verlangen (Art. 18 DSGVO),
• der Verarbeitung Deiner Daten zu widersprechen (Art. 21 DSGVO),
• die Datenübertragbarkeit Deiner Daten in einem strukturierten, gängigen und maschinen­lesbaren Format zu verlangen (Art. 20 DSGVO),
• eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO),
• Dich bei einer Datenschutz­aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

Zur Ausübung deiner Rechte genügt eine formlose Mitteilung an info@ultima-rat.io.

Die für uns zuständige Aufsichts­behörde ist die Landesbeauftragte für Datenschutz und Informations­freiheit Nordrhein-Westfalen, Kavalleriestraße 2–4, 40213 Düsseldorf, www.ldi.nrw.de.

Für den Abschluss eines Nutzungs- bzw. Pro-Vertrags ist die Bereitstellung der unter Ziffern 5 bis 7 genannten Daten erforderlich. Ohne diese Daten können wir den Vertrag nicht abschließen bzw. erfüllen.

Eine ausschließlich automatisierte Entscheidungs­findung im Sinne des Art. 22 DSGVO – einschließlich Profiling – findet auf der Plattform nicht statt. Die KI-gestützte Generierung von Prüfungsfragen ist keine Entscheidung mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung für Dich.

Wir behalten uns vor, diese Datenschutz­erklärung anzupassen, wenn sich die Verarbeitung oder die rechtlichen Rahmen­bedingungen ändern. Die jeweils aktuelle Version ist stets unter der vorliegenden URL abrufbar. Im Bestellprozess gilt jeweils der Stand zum Zeitpunkt des Vertrags­schlusses.