Datenschutzerklärung

Stand: Juli 2026

Inhaltsübersicht:
  1. Verantwortlicher
  2. Grundsätze
  3. Erhobene Daten
  4. Rechtsgrundlagen
  5. Cookies & localStorage
  6. Hosting (Firebase)
  7. KI-Funktionen (Anthropic)
  8. Zahlungsabwicklung (Mollie)
  9. E-Mail-Versand (IONOS)
  10. Ferien-API
  11. Programmbibliotheken
  12. Drittland-Transfer
  13. Speicherdauer
  14. Ihre Rechte
  15. Widerspruchsrecht
  16. Beschwerderecht
  17. Nutzung der App (iOS/Android)

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

Stundendachs
Hanno Müller
Kamsensweg 8c
25813 Husum
Deutschland

E-Mail: info@stundendachs.de

2. Grundsätze der Datenverarbeitung

Wichtiger Hinweis: Keine personenbezogenen Daten Dritter!

Der Dienst "Stundendachs" ist ausschließlich für die Planung von Unterrichtsinhalten konzipiert. Die Eingabe personenbezogener Daten von Schülern, Eltern oder anderen Dritten (Namen, Noten, Adressen, Gesundheitsdaten etc.) ist ausdrücklich untersagt. Siehe hierzu § 9.2 unserer AGB.

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung des Dienstes erforderlich ist. Die Verarbeitung erfolgt stets im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).

Der Dienst folgt dem Offline-First-Prinzip: Ihre Unterrichtspläne werden primär lokal in Ihrem Browser gespeichert. Die Cloud-Synchronisation ist optional und dient als Backup sowie zur geräteübergreifenden Nutzung.

3. Erhobene Daten

Wir erheben und verarbeiten folgende personenbezogene Daten:

a) Bestandsdaten (bei Registrierung)

  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert, nicht im Klartext)
  • Registrierungszeitpunkt

b) Nutzungsdaten

  • Unterrichtspläne, Klassen, Themen, Einheiten (von Ihnen eingegebene Inhalte)
  • Einstellungen (Bundesland, Farbpräferenzen)
  • Premium-Status und Token-Kontingent

c) Technische Daten (automatisch)

  • IP-Adresse (anonymisiert in Logs)
  • Browser-Typ und -Version
  • Betriebssystem
  • Datum und Uhrzeit des Zugriffs
  • Referrer-URL (woher Sie kamen)

4. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer Daten erfolgt auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Für die Bereitstellung des Dienstes, Cloud-Synchronisation, Account-Verwaltung
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Für die Nutzung der KI-Funktionen (Übermittlung an Anthropic), Newsletter (falls vorhanden)
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen): Für technische Logs zur Sicherheit und Fehlerbehebung, Verhinderung von Missbrauch

5. Cookies und localStorage

a) localStorage (Technisch notwendig)

Die Anwendung nutzt den localStorage Ihres Browsers zur lokalen Speicherung Ihrer Unterrichtspläne. Dies ermöglicht die Offline-Nutzung und ist für den Betrieb zwingend erforderlich. Diese Daten verlassen Ihr Gerät nur bei aktivierter Cloud-Synchronisation.

Gespeicherte Daten im localStorage:

  • Ihre Unterrichtspläne und Einstellungen
  • Login-Status
  • UI-Präferenzen (z.B. Tutorial-Status)

b) Cookies von Firebase

Firebase Authentication setzt technisch notwendige Cookies zur Verwaltung Ihrer Anmeldesitzung:

Cookie Zweck Speicherdauer
__session Authentifizierung Sitzung
firebase-auth-* Login-Status 14 Tage

Diese Speichervorgänge sind technisch notwendig und erfordern keine Einwilligung (§ 25 Abs. 2 Nr. 2 TDDDG, vormals TTDSG). Wir setzen keine Tracking-, Analyse- oder Werbe-Cookies ein. Hinweis: Firebase Authentication speichert den Anmeldestatus technisch überwiegend im lokalen Browser-Speicher (IndexedDB/localStorage) Ihres Geräts; die oben genannten Bezeichnungen können je nach Browser und Sitzungsart variieren.

c) Cookie-Hinweisbanner

Beim ersten Besuch zeigen wir einen Hinweisbanner zu Cookies und lokaler Speicherung. Ihre Kenntnisnahme (Klick auf „Verstanden") speichern wir ausschließlich lokal auf Ihrem Gerät (Eintrag cookieConsent im localStorage), damit der Banner nicht erneut erscheint. Der Banner ist eine Eigenentwicklung; es wird kein externer Consent-Dienst eingebunden und es werden hierfür keine Daten an Dritte übermittelt.

6. Hosting und Cloud-Speicherung (Firebase)

Wir nutzen Dienste von Google Firebase für Hosting, Authentifizierung, Datenbank und Cloud Functions:

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Server-Standort: Frankfurt am Main, Deutschland (Region europe-west3)
Datenschutzhinweise: firebase.google.com/support/privacy

Verarbeitete Daten:

  • E-Mail-Adresse und Passwort (Firebase Authentication)
  • Unterrichtspläne und Nutzungsdaten (Cloud Firestore)
  • Server-Logs (IP-Adresse, Zugriffsdaten)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Google ist nach dem EU-US Data Privacy Framework zertifiziert. Wir haben einen Auftragsverarbeitungsvertrag (AVV) mit Google abgeschlossen.

SSL/TLS-Verschlüsselung: Sämtliche Datenübertragungen zwischen Ihrem Browser und unseren Servern erfolgen verschlüsselt über HTTPS mit TLS 1.2 oder höher (erkennbar am Schloss-Symbol in der Adressleiste). Dies schützt Ihre Daten gemäß Art. 32 Abs. 1 lit. a DSGVO vor dem Zugriff Dritter während der Übertragung.

Bot- und Missbrauchsschutz (Google reCAPTCHA Enterprise): Zum Schutz der Anmeldung und Registrierung vor automatisierten Angriffen (Bots) und Missbrauch kann Firebase Authentication die Funktion „reCAPTCHA Enterprise" von Google einsetzen. Dabei werden technische Informationen (u.a. IP-Adresse, Geräte- und Browserdaten sowie Interaktionsdaten) an Google übermittelt und dort zur Bewertung des Anfrage-Risikos ausgewertet. Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Anmeldevorgangs und der Abwehr von Missbrauch). Zum Drittland-Transfer siehe Abschnitt 12. Weitere Informationen: policies.google.com/privacy.

7. KI-gestützte Curriculum-Planung (Anthropic)

Bei Nutzung der Premium-KI-Funktionen werden Daten an Anthropic übermittelt:

Anbieter: Anthropic, PBC, 548 Market St, San Francisco, CA 94104, USA
Datenschutzhinweise: anthropic.com/privacy

Übermittelte Daten (ausschließlich fachliche Inhalte):

  • Texte aus hochgeladenen Lehrplan-PDFs bzw. direkt eingegebene Curriculum-Texte (Lernziele, Kompetenzen, Themen)
  • Fach und Klassenstufe
  • Anzahl und Termine verfügbarer Unterrichtsstunden
  • Ihre Freitext-Hinweise an die KI sowie Antworten auf Rückfragen der KI
  • Bei Nutzung der Umgestaltungsfunktion („Plan umgestalten"): die von Ihnen erstellten Unterrichtsinhalte, Einheiten-Bezeichnungen und Überhang-Inhalte des gewählten Zeitraums

NICHT übermittelte Daten:

  • Ihre E-Mail-Adresse
  • Ihr Name oder andere Konto-Identifikatoren
  • Ihre User-ID

Wichtig: Ihre Eingaben (PDF-Inhalte, Hinweise, Plan-Inhalte) werden unverändert übermittelt. Geben Sie daher keine personenbezogenen Daten — insbesondere keine Namen von Schülerinnen und Schülern — ein (siehe AGB § 9.2).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Nutzung der KI-Funktionen ist freiwillig. Sie willigen bei jeder Nutzung aktiv ein. Zum Drittland-Transfer siehe Abschnitt 12.

Speicherdauer & Training: KI-Anfragen werden von uns nicht dauerhaft gespeichert. Anthropic bewahrt API-Anfragen gemäß seiner Datenschutzrichtlinie bis zu 30 Tage zu Sicherheits- und Missbrauchszwecken auf. Daten, die über die API übermittelt werden, werden von Anthropic nicht zum Trainieren von KI-Modellen verwendet.

Auftragsverarbeitung: Wir haben mit Anthropic ein Data Processing Addendum (DPA) abgeschlossen, das den Anforderungen der DSGVO entspricht.

Automatisierte Entscheidungsfindung (Art. 22 DSGVO): Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO statt. Die KI-generierten Vorschläge dienen lediglich als Planungshilfe; die Lehrkraft entscheidet eigenständig über deren Übernahme in den Unterrichtsplan.

8. Zahlungsabwicklung (Mollie)

Für die Abwicklung von Premium-Abonnements nutzen wir Mollie:

Anbieter: Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Niederlande
Server-Standort: Europäische Union
Datenschutzhinweise: mollie.com/de/privacy

Verarbeitete Daten:

  • Zahlungsdaten (je nach gewählter Zahlungsmethode)
  • E-Mail-Adresse (für Zahlungsbestätigungen)
  • Transaktionshistorie

Hinweis: Mollie ist ein niederländischer Zahlungsdienstleister mit Sitz in der EU. Ihre Zahlungsdaten werden direkt von Mollie verarbeitet. Wir haben keinen Zugriff auf sensible Zahlungsdaten. Mollie ist PCI DSS Level 1 zertifiziert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Mollie agiert bei der Zahlungsabwicklung als eigenständiger Verantwortlicher im Sinne der DSGVO (lizenzierter Zahlungsdienstleister gemäß PSD2).

9. E-Mail-Versand (IONOS)

Für den Versand von System-E-Mails nutzen wir IONOS:

Anbieter: 1&1 IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland
Datenschutzhinweise: ionos.de/datenschutz

Versendete E-Mails:

  • E-Mail-Verifizierung bei Registrierung
  • Passwort-Zurücksetzen
  • Bestätigung bei Account-Löschung
  • Bug-Report-Bestätigungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). IONOS-Server befinden sich in Deutschland. Wir haben einen Auftragsverarbeitungsvertrag (AVV) mit IONOS abgeschlossen.

10. Ferien-Import

Für den automatischen Import von Schulferien und Feiertagen nutzen wir zwei externe APIs:

Schulferien: schulferien-api.de
Feiertage: get.api-feiertage.de
Server: Deutschland

Übermittelte Daten:

  • Gewähltes Bundesland
  • Abgefragter Zeitraum (Jahr)
  • IP-Adresse (technisch bedingt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Bereitstellung der Ferien-Funktion). Es werden keine personenbezogenen Daten übermittelt (Bundesland allein ist nicht personenbeziehbar).

11. Programmbibliotheken (lokal gehostet)

Sämtliche von der Anwendung genutzten Programmbibliotheken (u.a. Feather Icons, PDF.js, DOMPurify, Quill) werden lokal von unseren eigenen Servern ausgeliefert. Es werden keine externen Content Delivery Networks (CDN) eingebunden; beim Laden dieser Bibliotheken werden daher keine personenbezogenen Daten an Dritte übermittelt.

Einzige Ausnahme: Das für Authentifizierung und Cloud-Synchronisation erforderliche Firebase-SDK wird aus technischen Gründen von Servern von Google (gstatic.com) geladen. Dabei wird Ihre IP-Adresse an Google übermittelt. Dieser Vorgang ist durch dieselbe Auftragsverarbeitung wie das Hosting abgedeckt (siehe Abschnitt 6). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

12. Datenübermittlung in Drittländer (USA)

Einige unserer Dienstleister haben ihren Sitz in den USA. Seit dem 10. Juli 2023 besteht ein Angemessenheitsbeschluss der EU-Kommission für die USA im Rahmen des EU-US Data Privacy Framework (DPF). Die Übermittlung erfolgt auf folgenden Grundlagen:

Dienst Rechtsgrundlage für Transfer
Google Firebase EU-US Data Privacy Framework (DPF)
+ Standardvertragsklauseln (SCC)
Google reCAPTCHA EU-US Data Privacy Framework (DPF)
+ Standardvertragsklauseln (SCC)
Anthropic Einwilligung (Art. 49 Abs. 1 lit. a DSGVO)
+ Standardvertragsklauseln (SCC)
Mollie Kein Drittland-Transfer (Sitz in EU/Niederlande)

Hinweis zu Anthropic: Bei der KI-Nutzung werden ausschließlich die von Ihnen eingegebenen fachlichen Inhalte übermittelt (siehe Abschnitt 7), keine Konto-Identifikatoren. Sie willigen bei jeder Nutzung aktiv über eine Bestätigungs-Checkbox im KI-Dialog ein; dabei werden Sie darauf hingewiesen, dass in den USA kein der EU gleichwertiges Datenschutzniveau besteht (Art. 49 Abs. 1 lit. a DSGVO). Diese Einwilligung ist freiwillig und Sie können sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Checkbox nicht bestätigen bzw. die KI-Funktionen nicht mehr nutzen.

Informationen zum EU-US Data Privacy Framework: dataprivacyframework.gov

13. Speicherdauer

Datenart Speicherdauer
Account-Daten Bis zur Löschung des Accounts durch Sie
Unterrichtspläne (Cloud) Bis zur Löschung durch Sie oder Account-Löschung
Unterrichtspläne (lokal) Bis Sie den Browser-Speicher löschen
Server-Logs 30 Tage (automatische Löschung)
Zahlungsdaten (bei Mollie) Gemäß gesetzlicher Aufbewahrungsfristen (10 Jahre)
KI-Anfragen (Anthropic) Werden nicht dauerhaft gespeichert

14. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen. In der App können Sie Ihren Account selbst vollständig löschen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format erhalten (JSON-Export in der App).
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung widersprechen (siehe Abschnitt 15).
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen jederzeit widerrufen.

15. Widerspruchsrecht

Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen:

Sofern wir Ihre Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen. Wir verarbeiten Ihre Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.

Widersprüche richten Sie bitte an: info@stundendachs.de

16. Beschwerderecht bei der Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt, haben Sie das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen (Art. 77 DSGVO).

Zuständige Aufsichtsbehörde:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)
Holstenstraße 98
24103 Kiel
www.datenschutzzentrum.de

Hinweis: Die zuständige Aufsichtsbehörde richtet sich nach Ihrem Wohnort bzw. dem Sitz des Verantwortlichen. Eine Übersicht aller deutschen Aufsichtsbehörden finden Sie unter: bfdi.bund.de

17. Nutzung der nativen App (iOS/Android)

Stundendachs wird zusätzlich als native App für iOS und Android angeboten. Die App verarbeitet personenbezogene Daten identisch zur Webanwendung (gleiches Firebase-Backend, siehe Abschnitt 6). Folgende app-spezifische Besonderheiten bestehen:

  • Bezug über App-Stores: Die App wird über den Apple App Store bzw. Google Play bereitgestellt. Beim Download und der Nutzung verarbeiten Apple (Apple Distribution International Ltd., Irland) bzw. Google (Google Ireland Ltd.) Daten in eigener Verantwortung nach ihren jeweiligen Datenschutzbestimmungen.
  • Lokaler Gerätezugriff: Für Export- und Druckfunktionen greift die App auf den lokalen Gerätespeicher zu. Dabei verlassen keine Daten Ihr Gerät, außer Sie teilen eine Datei aktiv über die System-Teilen-Funktion.
  • Externe Links werden in einem In-App-Browser geöffnet.
  • Es werden keine Tracking-SDKs, Werbe-IDs oder Push-Benachrichtigungen eingesetzt. Innerhalb der App findet kein Kaufvorgang statt (Premium-Abschluss ausschließlich über die Website).
  • Beta-Tests (Apple TestFlight): Vor der Veröffentlichung wird die iOS-App über Apples Dienst „TestFlight" an ausgewählte, eingeladene Testpersonen verteilt. Dabei verarbeitet Apple die E-Mail-Adresse der eingeladenen Testperson sowie technische Absturz- und Nutzungsdaten der Testversion in eigener Verantwortung nach den Apple-Datenschutzbestimmungen. Die Teilnahme ist freiwillig und nur nach ausdrücklicher Einladung möglich.
  • Diagnose- und Nutzungsdaten der App-Stores: Apple bzw. Google stellen uns gegebenenfalls zusammengefasste, anonymisierte Absturz- und Nutzungsstatistiken bereit, sofern Sie der Weitergabe solcher Daten auf Ebene Ihres Betriebssystems zugestimmt haben. Ein Personenbezug zu Ihnen besteht dabei nicht; wir setzen selbst keine Analyse- oder Crash-Reporting-SDKs ein.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

18. Kontakt bei Datenschutzfragen

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte kontaktieren Sie uns unter:

E-Mail: info@stundendachs.de
Betreff: "Datenschutzanfrage"

Letzte Aktualisierung: Juni 2026
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen.

Zurück zur Startseite