Datenschutzerklärung
Diese Datenschutzerklärung gilt für die Nutzung der Dexxer-App sowie der Website dexxer.app. Sie informiert Sie darüber, welche personenbezogenen Daten wir erheben, zu welchem Zweck und auf welcher Rechtsgrundlage wir diese verarbeiten, wie lange wir sie speichern und welche Rechte Ihnen zustehen.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Dexxer Collective – Inh. Toffie Menzel
c/o Traktionswerk GmbH
Bouchestr. 12, Halle 20
12435 Berlin
E-Mail: hello@dexxer.app
2. Übersicht der Verarbeitungen
Wir verarbeiten personenbezogene Daten für folgende Zwecke:
- Bereitstellung und Betrieb der App und Website
- Account-Verwaltung und Authentifizierung
- Speicherung und Synchronisierung von Lerninhalten
- Medienspeicherung (Bilder, Audio)
- KI-gestützte Analyse von Text, Bildern und Audio (nur nach Einwilligung)
- Text-to-Speech-Audiogenerierung (nur nach Einwilligung)
- Zahlungsabwicklung für Premium-Abonnements
- Versand systembezogener E-Mails
- Entgegennahme von Feedback und Fehlermeldungen
- Crash-Reporting und App-Stabilitätsanalyse
- IT-Sicherheit und Schutz der Website
3. Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten auf Basis folgender Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Für die Nutzung von KI-Funktionen (OpenAI) und Text-to-Speech (Azure TTS) sowie für das Teilen von Inhalten.
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Für Account-Verwaltung, Lerninhalte, Medienspeicherung, Zahlungsabwicklung und E-Mail-Versand.
- Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Für die Aufbewahrung von Rechnungen (steuerrechtliche Pflicht, 10 Jahre).
- Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Für den Betrieb der Website, Server-Logfiles, IT-Sicherheit und Crash-Reporting zur Sicherstellung der App-Stabilität.
4. Datenverarbeitung in der App
4.1 Account-Verwaltung und Authentifizierung
Zweck: Registrierung, Anmeldung und Verwaltung Ihres Benutzerkontos.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Daten: E-Mail-Adresse, verschlüsseltes Passwort (Hash), User-ID.
Dienstleister: Supabase Inc. (Datenbank und Auth-Dienst, Hosting: EU, Frankfurt).
Speicherdauer: Solange Ihr Account aktiv ist. Bei Account-Löschung werden alle Daten vollständig gelöscht.
4.2 Lerninhalte und Synchronisierung
Zweck: Erstellung, Verwaltung und geräteübergreifende Synchronisierung von Karteikarten, Listen, Decks und Lernfortschritt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Daten: Vokabeln (Text, Übersetzungen, Beispielsätze), Lernfortschritt (SpaceRep-Daten), Deck- und Listen-Strukturen.
Dienstleister: Supabase Inc. (Datenbank, Hosting: EU, Frankfurt).
Speicherdauer: Solange Ihr Account aktiv ist. Bei Account-Löschung werden alle Daten vollständig gelöscht.
4.3 Medienspeicherung
Zweck: Speicherung von Profilfotos, Flashcard-Bildern und Audio-Dateien.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Daten: Bilddateien (JPEG/PNG), Audiodateien (MP3), Datei-Metadaten.
Dienstleister: Scaleway S.A.S. (Object Storage, Hosting: EU, Paris/Amsterdam).
Speicherdauer: Solange Ihr Account aktiv ist. Bei Account-Löschung werden alle Mediendateien gelöscht.
4.4 KI-gestützte Inhaltsanalyse (Magic-Features)
Zweck: Analyse von Text, Bildern und Audio zur automatischen Erstellung von Flashcard-Vorschlägen, Autovervollständigung und Übersetzung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Nutzung erfolgt erst nach Ihrer expliziten Zustimmung über einen Einwilligungsdialog in der App.
Daten: Ihre Eingaben (Text, Bilder, Audio), Spracheinstellungen.
Dienstleister: OpenAI, L.L.C. (San Francisco, USA).
Speicherdauer: Eingabedaten werden nicht dauerhaft gespeichert, sondern nur zur Verarbeitung übermittelt. Nutzungsprotokolle (ai_request_log): 90 Tage.
Drittland-Transfer: Ja, USA. Rechtsgrundlage: Standard Contractual Clauses (SCCs) gemäß OpenAI Data Processing Addendum. OpenAI ist derzeit nicht unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
Hinweis: Ohne Einwilligung stehen alle Basisfunktionen der App uneingeschränkt zur Verfügung. Sie können Ihre Einwilligung jederzeit in den App-Einstellungen widerrufen.
4.5 Text-to-Speech (TTS)
Zweck: Generierung von Audioaussprachen für Vokabeln.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Nutzung erfolgt erst nach Ihrer expliziten Zustimmung über einen Einwilligungsdialog in der App.
Daten: Vokabeltext (max. 100 Zeichen), Spracheinstellung, Stimmenauswahl.
Dienstleister: Microsoft Corporation (Azure Cognitive Services, Region: germanywestcentral, EU).
Speicherdauer: Generierte Audio-Dateien werden bei Scaleway gespeichert, solange Ihr Account aktiv ist. Nutzungsprotokolle (tts_generation_log): 90 Tage.
Drittland-Transfer: Nein. Die Verarbeitung erfolgt in der Azure-Region Deutschland West-Mitte (EU). Microsoft ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
Hinweis: Ohne Einwilligung wird die geräteeigene Sprachausgabe verwendet. Sie können Ihre Einwilligung jederzeit in den App-Einstellungen widerrufen.
4.6 Zahlungsabwicklung (Premium-Abonnement)
Zweck: Abwicklung von Premium-Abonnements, Rechnungsstellung und Kündigungsverwaltung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Aufbewahrungspflicht für Rechnungen).
Daten: E-Mail-Adresse, Zahlungsstatus, Abonnement-Informationen, Rechnungsdaten. Zahlungsinformationen (Kreditkartendaten etc.) werden ausschließlich von Stripe verarbeitet und sind uns nicht zugänglich.
Dienstleister: Stripe Technology Europe, Ltd. (Dublin, Irland) / Stripe, Inc. (San Francisco, USA).
Speicherdauer: Abonnement-Daten: solange Ihr Account aktiv ist. Abonnement-Ereignisse: 12 Monate. Rechnungen: 10 Jahre (steuerrechtliche Aufbewahrungspflicht, bei Stripe gespeichert).
Drittland-Transfer: EWR-Zahlungen werden durch Stripe Technology Europe, Ltd. (Dublin, Irland) verarbeitet. Stripe, Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
4.7 E-Mail-Versand
Zweck: Versand systembezogener E-Mails (z.B. Erinnerungen zum Ablauf der Einführungsphase, Kündigungs-Abschied).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Daten: E-Mail-Adresse, Benutzername.
Dienstleister: Resend, Inc. (San Francisco, USA).
Speicherdauer: E-Mails werden nach Versand nicht in unserem System gespeichert.
Drittland-Transfer: Ja, USA. Rechtsgrundlage: EU-US Data Privacy Framework (DPF). Resend ist DPF-zertifiziert. Zusätzlich liegen Standard Contractual Clauses (SCCs) als Fallback vor.
4.8 Feedback und Fehlermeldungen
Zweck: Entgegennahme und Bearbeitung von Nutzerfeedback und Fehlermeldungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Qualitätssicherung).
Daten: Feedback-Text, optionale Screenshots, Zeitstempel.
Dienstleister: Supabase Inc. (Datenbank, EU), Scaleway S.A.S. (Screenshot-Speicherung, EU).
Speicherdauer: 6 Monate. Screenshots werden bei Account-Löschung sofort gelöscht.
4.9 Teilen von Inhalten
Zweck: Teilen von Karteikartenlisten mit Freunden oder öffentlich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Teilen).
Daten: Flashcard-Texte (Text, Übersetzung, Beispielsätze). Medien (Bilder, Audio) werden nicht geteilt.
Empfänger: Andere App-Nutzer (Mitglieder/Abonnenten geteilter Listen) via Supabase (EU).
Speicherdauer: Solange die Liste geteilt oder öffentlich ist.
4.10 Crash-Reporting und App-Stabilität
Zweck: Automatische Erfassung von App-Abstürzen und schwerwiegenden Fehlern zur Verbesserung der App-Stabilität und Fehlerbehebung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Stabilität und Funktionsfähigkeit der App).
Daten: Absturzberichte (Stack Traces), Gerätemodell, Betriebssystemversion, App-Version, Zeitpunkt des Absturzes. Es werden keine personenbezogenen Inhalte (z.B. Lernkarten, Nachrichten) erfasst.
Dienstleister: Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) – Firebase Crashlytics.
Speicherdauer: Absturzberichte werden 90 Tage bei Firebase gespeichert, danach automatisch gelöscht.
Drittland-Transfer: Google Ireland Limited ist die vertraglich verantwortliche Stelle für EWR-Nutzer. Google LLC (USA) ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
5. Datenverarbeitung auf der Website
5.1 Hosting
Zweck: Bereitstellung und technischer Betrieb der Website.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionsfähigen Webpräsenz).
Dienstleister: Hetzner Online GmbH (Gunzenhausen, Deutschland).
Drittland-Transfer: Nein (Server-Standort Deutschland).
5.2 Server-Logfiles
Zweck: Gewährleistung der Systemsicherheit, Erkennung und Abwehr von Angriffen, Fehleranalyse.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).
Daten: IP-Adresse, Datum und Uhrzeit der Anfrage, aufgerufene URL, HTTP-Statuscode, Browser und Betriebssystem (User-Agent), Referrer-URL.
Speicherdauer: 7 Tage, danach automatische Löschung.
Hinweis: Die Daten in den Server-Logfiles werden nicht mit anderen Datenquellen zusammengeführt.
5.3 Cookies
Unsere Website verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb der Website erforderlich sind (z.B. WordPress-Session-Cookies). Es werden keine Analyse- oder Tracking-Cookies eingesetzt.
Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch erforderliche Cookies sind ohne Einwilligung zulässig).
5.4 Wordfence (IT-Sicherheit)
Zweck: Schutz der Website vor unbefugtem Zugriff, Brute-Force-Angriffen und Malware.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).
Dienstleister: Defiant, Inc. (USA).
Daten: IP-Adressen, Zugriffsmuster, Sicherheitsereignisse.
Drittland-Transfer: Möglich (Defiant, Inc., USA). Rechtsgrundlage: berechtigtes Interesse an IT-Sicherheit sowie Standard Contractual Clauses (SCCs).
5.5 SSL/TLS-Verschlüsselung
Diese Website nutzt aus Sicherheitsgründen eine SSL/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL/TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.
6. Kontaktaufnahme per E-Mail
Zweck: Beantwortung Ihrer Anfragen per E-Mail.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung).
Daten: E-Mail-Adresse, Name (falls angegeben), Inhalt Ihrer Anfrage.
Dienstleister: Mailbox.org (Heinlein Hosting GmbH, Berlin, Deutschland). Kein Drittland-Transfer.
Speicherdauer: Für die Dauer der Kommunikation und 6 Monate nach dem letzten Kontakt.
7. Übermittlung in Drittländer
Einige der von uns eingesetzten Dienstleister haben ihren Sitz außerhalb der EU/des EWR. Im Folgenden informieren wir Sie über die Rechtsgrundlagen für den Datentransfer:
| Dienstleister | Sitz | Rechtsgrundlage für Transfer |
|---|---|---|
| Stripe, Inc. | USA | EU-US Data Privacy Framework (DPF-zertifiziert) ✓ |
| Microsoft Corp. (Azure TTS) | USA | EU-US Data Privacy Framework (DPF-zertifiziert) ✓ + Verarbeitung in EU (Deutschland) |
| Resend, Inc. | USA | EU-US Data Privacy Framework (DPF-zertifiziert) ✓ + SCCs |
| Supabase, Inc. | USA | Standard Contractual Clauses (SCCs) + Hosting in EU (Frankfurt) |
| OpenAI, L.L.C. | USA | Standard Contractual Clauses (SCCs) gemäß Data Processing Addendum (nur nach Einwilligung) |
| Defiant, Inc. (Wordfence) | USA | Standard Contractual Clauses (SCCs) |
| Google LLC (Firebase Crashlytics) | USA | EU-US Data Privacy Framework (DPF-zertifiziert) ✓ – Verarbeitung über Google Ireland Ltd. (EU) |
Die Gültigkeit des EU-US Data Privacy Framework wurde vom Gericht der Europäischen Union im September 2025 bestätigt (Rechtssache T-553/23).
8. Speicherdauer im Überblick
| Datenkategorie | Speicherdauer |
|---|---|
| Account-Daten, Profil, Lerninhalte, Medien | Solange Account aktiv; vollständige Löschung bei Account-Delete |
| Benachrichtigungen | 30 Tage nach Gelesen-Markierung |
| Feedback-Eingaben und Screenshots | 6 Monate |
| KI-Nutzungsprotokolle (ai_request_log) | 90 Tage |
| TTS-Nutzungsprotokolle (tts_generation_log) | 90 Tage |
| Absturzberichte (Firebase Crashlytics) | 90 Tage |
| Abonnement-Ereignisse | 12 Monate |
| Rechnungen (Stripe) | 10 Jahre (steuerrechtliche Aufbewahrungspflicht) |
| Server-Logfiles (Website) | 7 Tage |
| E-Mail-Kommunikation | Dauer der Kommunikation + 6 Monate |
9. Ihre Rechte
Sie haben nach der DSGVO folgende Rechte:
- Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
- Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen. In der App können Sie Ihren Account selbstständig löschen (Einstellungen > Account > Account löschen). Dabei werden alle personenbezogenen Daten vollständig gelöscht, einschließlich Daten bei Drittanbietern (Stripe, Scaleway).
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
- Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) basiert.
Zur Ausübung Ihrer Rechte wenden Sie sich an: hello@dexxer.app. Wir werden Ihre Anfrage innerhalb eines Monats beantworten (Art. 12 Abs. 3 DSGVO).
10. Widerruf von Einwilligungen
Soweit die Verarbeitung Ihrer Daten auf einer Einwilligung beruht (Art. 6 Abs. 1 lit. a DSGVO), haben Sie das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO). Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.
Dies betrifft insbesondere:
- KI-Funktionen (OpenAI): Widerruf in den App-Einstellungen
- Text-to-Speech (Azure TTS): Widerruf in den App-Einstellungen
11. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59–61
10555 Berlin
Telefon: 030 13889-0
E-Mail: mailbox@datenschutz-berlin.de
Website: www.datenschutz-berlin.de
12. Automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.
13. Mindestalter
Unser Angebot richtet sich an Personen ab 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren.
Stand: März 2026