Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13/14 DSGVO.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Lernwerkstatt Pflege GmbH
Liebigstraße 14–16
35390 Gießen, Deutschland
Telefon: +49 160 4671796
E-Mail: datenschutz@lernwerkstatt-pflege.de

Datenschutzbeauftragte

Melina Ronneburg
Liebigstraße 14–16, 35390 Gießen
E-Mail: datenschutz@lernwerkstatt-pflege.de

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt auf Grundlage der DSGVO sowie des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG).

Rechtsgrundlagen sind je nach Verarbeitung:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung
• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung / vorvertragliche Maßnahmen
• Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung
• Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse

Speicherdauer: Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt, keine gesetzlichen Aufbewahrungsfristen (insb. handels- und steuerrechtlich, i. d. R. 6 bzw. 10 Jahre) entgegenstehen und keine Einwilligung mehr besteht.

3. Hosting der Website (heyflinko.de)

Die Website wird gehostet bei der Contabo GmbH, Welfenstraße 22, 81541 München, eingetragen im Handelsregister des Amtsgerichts München unter HRB 180722.

Der Hoster verarbeitet in unserem Auftrag Daten, die beim Besuch der Website anfallen (u. a. IP-Adresse, Zugriffszeitpunkte). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung). Mit dem Hoster besteht ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Serverstandort: Deutschland.

4. Server-Logfiles

Beim Aufruf der Website werden automatisch Informationen in Server-Logfiles erhoben: Browsertyp und -version, verwendetes Betriebssystem, Referrer-URL, Hostname des zugreifenden Rechners, Uhrzeit der Serveranfrage und (gekürzte) IP-Adresse.

Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in der technisch fehlerfreien Darstellung und Sicherheit der Website. Speicherdauer: 14 Tage, danach Löschung bzw. Anonymisierung.

5. Cookies und Einwilligungsverwaltung (Consent-Tool)

Wir verwenden Cookies und vergleichbare Technologien. Technisch notwendige Cookies werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO bzw. § 25 Abs. 2 TDDDG gesetzt. Alle nicht notwendigen Cookies (z. B. Analyse, Affiliate-Tracking) werden ausschließlich nach deiner Einwilligung gesetzt – Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG.

Zur Verwaltung der Einwilligungen setzen wir das Consent-Management-Tool Complianz ein. Anbieter: Complianz B.V., Kalmarweg 14-5, 9723 JG Groningen, Niederlande (CoC 71781447). Das Tool speichert deine Einwilligungsentscheidung (Consent-Log) zum Nachweis nach Art. 7 Abs. 1 DSGVO; verarbeitet werden u. a. anonymisierte/gekürzte IP-Adresse, Zeitpunkt, Geräteinformationen und Consent-Status. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Nachweispflicht) bzw. Art. 6 Abs. 1 lit. f DSGVO. Du kannst deine Einwilligung jederzeit über die Datenschutz-/Cookie-Einstellungen mit Wirkung für die Zukunft widerrufen.

6. SSL-/TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennst du am „https://“ und am Schloss-Symbol in der Adresszeile.

7. Kontaktaufnahme

Bei Kontaktaufnahme per E-Mail oder über ein Kontaktformular werden deine Angaben (Name, E-Mail-Adresse, Inhalt der Nachricht) zur Bearbeitung der Anfrage gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (sofern vertragsbezogen) bzw. Art. 6 Abs. 1 lit. f DSGVO (Bearbeitung allgemeiner Anfragen). Die Daten werden gelöscht, sobald die Anfrage abschließend bearbeitet ist und keine Aufbewahrungspflichten entgegenstehen.

8. Nutzerkonto und Plattformnutzung (Supabase)

Für die Nutzung von HeyFlinko legst du ein Nutzerkonto an. Dabei verarbeiten wir Bestands- und Nutzungsdaten: E-Mail-Adresse, Passwort (verschlüsselt/gehasht), Profilangaben, Lern- und Übungsfortschritt, Ready-Score-Diagnostik, eingereichte Übungen sowie Zeitstempel der Nutzung.

Datenbank, Authentifizierung und Speicherung erfolgen über Supabase (Supabase, Inc., Anbieteranschrift gemäß aktuellem Stand). Supabase verarbeitet diese Daten als Auftragsverarbeiter; ein AVV nach Art. 28 DSGVO ist abgeschlossen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags).

Die Datenhaltung erfolgt in einer Hosting-Region innerhalb der Europäischen Union (EU – Frankfurt). Eine Übermittlung der Konto- und Nutzungsdaten in ein Drittland findet im Rahmen des regulären Betriebs nicht statt.

Die Kontodaten werden für die Dauer des Nutzungsverhältnisses gespeichert und nach Kontolöschung gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.

9. KI-gestützte Schreibkorrektur (externer LLM-Anbieter)

Ein Kernbestandteil von HeyFlinko ist die automatisierte Korrektur deiner schriftlichen Übungstexte nach den telc-Bewertungsrichtlinien. Die eingereichten Texte sind Übungs-/ Prüfungstexte und enthalten keine personenbezogenen Daten der Nutzerinnen und Nutzer. Sie werden für die Korrektur an einen externen KI-/LLM-Anbieter übermittelt und dort verarbeitet:

Anthropic PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104-5401, USA.

• Verarbeitete Daten: der eingereichte Übungstext (ohne Personenbezug) sowie technische Metadaten der Anfrage. Soweit die Anfrage über das eingeloggte Konto erfolgt, werden Textinhalt und Konto getrennt verarbeitet; eine inhaltliche Personenzuordnung des Textes findet nicht statt.
• Zweck: automatisierte Auswertung und Korrektur des Textes zur Prüfungsvorbereitung.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erbringung der vertraglich vereinbarten Korrekturleistung).
• Auftragsverarbeitung: Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag (Data Processing Addendum) nach Art. 28 DSGVO. Eine Nutzung der eingereichten Texte zum Training von KI-Modellen des Anbieters findet nicht statt.
• Drittlandtransfer: Die Verarbeitung erfolgt auch in den USA; es gelten die Mechanismen aus Abschnitt 13.
• Speicherdauer: Eingereichte Texte und die zugehörigen Korrekturergebnisse werden für die Dauer von 5 Jahren im Nutzerkonto gespeichert und anschließend gelöscht; beim Anbieter erfolgt eine Verarbeitung gemäß dessen vertraglich vereinbarter, kurzer Speicherdauer.

Hinweis an Nutzer:innen: Bitte gib in Übungstexten weiterhin keine sensiblen oder personenbezogenen Daten (besondere Kategorien nach Art. 9 DSGVO, Daten Dritter) an, damit der Personenbezug der Texte ausgeschlossen bleibt.

Eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO ist mit der Korrektur nicht verbunden; die Auswertung dient ausschließlich Übungs- und Vorbereitungszwecken.

9.1 Nutzung eingereichter Texte zur Verbesserung und zum Training unserer Korrekturmodelle

Eingereichte Übungstexte werden von uns darüber hinaus verwendet, um die Qualität unserer Korrektur zu verbessern und unsere internen Korrektur-/Sprachmodelle zu trainieren. Dies ist ein eigener Zweck, der über die unmittelbare Korrekturleistung hinausgeht.

• Datenbasis und Anonymisierung: Vor der Nutzung zu Trainings- und Verbesserungszwecken werden die Texte unwiderruflich von Konto- und Identifikationsdaten getrennt und um erkennbare personenbezogene Angaben bereinigt. Das Verfahren umfasst die Entfernung sämtlicher Identifikatoren beim Export sowie ein mehrstufiges, regel- und mustergestütztes Schwärzen von Namen, Anschriften, Kontaktdaten und Datumsangaben einschließlich Hinweisen auf besondere Datenkategorien nach Art. 9 DSGVO. Nach Abschluss dieses Vorgangs liegen die Daten anonymisiert vor; die anschließende Nutzung zu Trainingszwecken erfolgt ohne Personenbezug und damit außerhalb des Anwendungsbereichs der DSGVO.
• Rechtsgrundlage (für den Anonymisierungs- und Aufbereitungsvorgang): Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Verbesserung und Weiterentwicklung der Qualität unserer Korrektur. Die Aufbereitung der bereits zur Korrektur erhobenen Texte zu diesem Zweck ist mit dem ursprünglichen Erhebungszweck nach Art. 6 Abs. 4 DSGVO vereinbar; die unverzügliche Anonymisierung ist die maßgebliche Schutzmaßnahme zugunsten der betroffenen Personen. Eine dokumentierte Interessenabwägung sowie eine Zweckvereinbarkeitsprüfung liegen vor und können angefordert werden.
• Widerspruchsrecht: Du kannst dieser Verarbeitung jederzeit aus Gründen, die sich aus deiner besonderen Situation ergeben, nach Art. 21 DSGVO widersprechen – formlos an datenschutz@lernwerkstatt-pflege.de. Bei Widerspruch werden die betreffenden Texte vor der Anonymisierung von der weiteren Nutzung zu Trainingszwecken ausgenommen.
• Speicherdauer: Bis zum Abschluss der Anonymisierung werden die Texte längstens 1 Jahr in identifizierbarer Form vorgehalten; danach erfolgt die weitere Nutzung ausschließlich anonymisiert und ohne Personenbezug.

10. Zahlungsabwicklung (Stripe und PayPal)

Für kostenpflichtige Pläne (z. B. Monatsabo, 3-Monats-Pass) nutzen wir die Zahlungsdienstleister Stripe und PayPal. Die Zahlungsabwicklung ist der Verarbeitungsvorgang mit dem umfangreichsten Personenbezug (Name, Kontakt- und Zahlungsdaten).

Stripe – Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland; ggf. Stripe, Inc., USA.

Bei einer Zahlung werden Zahlungs- und Transaktionsdaten (z. B. Name, E-Mail, Zahlungsmittel, Betrag, Zeitpunkt) direkt von Stripe verarbeitet. Vollständige Zahlungsdaten (z. B. Kreditkartennummer) werden von Stripe erhoben und uns gegenüber nicht im Klartext offengelegt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) sowie Art. 6 Abs. 1 lit. f DSGVO (effiziente und sichere Zahlungsabwicklung, Betrugsprävention). Es besteht ein AVV nach Art. 28 DSGVO bzw. eine eigene Verantwortlichkeit nach Stripes Datenschutzbedingungen. Drittlandtransfer: siehe Abschnitt 13. Stripe-Datenschutzhinweise: https://stripe.com/de/privacy

PayPal – PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg.

Wählst du PayPal als Zahlungsart, werden deine Zahlungsdaten (u. a. Name, E-Mail-Adresse, ggf. Anschrift, PayPal-Kontodaten, Betrag, Zeitpunkt) im Rahmen der Zahlungsabwicklung an PayPal übermittelt und von PayPal in eigener Verantwortlichkeit verarbeitet. PayPal kann zur Betrugsprävention und ggf. zur Bonitätsprüfung weitere Daten verarbeiten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) sowie Art. 6 Abs. 1 lit. f DSGVO (sichere Zahlungsabwicklung, Betrugsprävention). PayPal kann Daten in Drittländer übermitteln; es gelten die Mechanismen aus Abschnitt 13. PayPal-Datenschutzerklärung: paypal.com/de/webapps/mpp/ua/privacy-full

11. Affiliate-Programm (Rewardful)

Für unser Partner-/Affiliate-Programm setzen wir Rewardful (Flying Cat Marketing, Inc. / Rewardful, Anbieteranschrift gemäß aktuellem Stand) ein. Rewardful verarbeitet Tracking-Daten (z. B. Referral-/Affiliate-ID, Cookie-ID, Conversion-Daten), um Vermittlungen Partnern zuzuordnen.

Die hierfür erforderlichen Tracking-Cookies werden nur mit deiner Einwilligung gesetzt – Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG. Für die Abrechnung mit Partnern ist Rechtsgrundlage Art. 6 Abs. 1 lit. b/f DSGVO. Es besteht ein AVV nach Art. 28 DSGVO. Drittlandtransfer (USA): siehe Abschnitt 13. Den Widerruf kannst du jederzeit über die Cookie-Einstellungen erklären.

12. Webanalyse mit Google Analytics

Wir nutzen Google Analytics, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Mutterunternehmen: Google LLC, USA).

Google Analytics verwendet Cookies und ähnliche Technologien, um die Nutzung der Website auszuwerten (u. a. gekürzte IP-Adresse, Geräte-/Browserdaten, besuchte Seiten, Verweildauer, ungefährer Standort, Referrer). Die IP-Adresse wird gekürzt/anonymisiert verarbeitet.

Der Einsatz erfolgt ausschließlich nach deiner Einwilligung über unser Consent-Tool. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG. Du kannst die Einwilligung jederzeit mit Wirkung für die Zukunft über die Cookie-Einstellungen widerrufen.

Speicherdauer der Nutzungsdaten bei Google: 12 Monate. Drittlandtransfer in die USA: siehe Abschnitt 13. Weitere Informationen: policies.google.com/privacy

13. Datenübermittlung in Drittländer (USA)

Einige der eingesetzten Dienste (insb. Stripe, PayPal, der KI-Anbieter, Rewardful, Google) verarbeiten Daten ganz oder teilweise in den USA oder anderen Drittländern. Konto- und Nutzungsdaten (Supabase) werden demgegenüber innerhalb der EU verarbeitet (siehe Abschnitt 8).

Eine Übermittlung erfolgt nur, wenn ein angemessenes Datenschutzniveau gewährleistet ist. Als Garantien dienen:

• der Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (DPF), sofern der jeweilige Empfänger zertifiziert ist, sowie
• Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO einschließlich ergänzender Schutzmaßnahmen, sofern keine DPF-Zertifizierung vorliegt.

Trotz dieser Garantien kann bei Übermittlungen in die USA ein Restrisiko bestehen, dass z. B. US-Behörden auf Daten zugreifen. Mit der Einwilligung in einwilligungsbasierte Dienste (z. B. Google Analytics, Affiliate-Tracking) stimmst du – soweit einschlägig – auch der damit verbundenen Drittlandübermittlung gemäß Art. 49 Abs. 1 lit. a DSGVO zu.

14. Deine Rechte als betroffene Person

Dir stehen folgende Rechte zu:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung genügt eine formlose Mitteilung an datenschutz@lernwerkstatt-pflege.de.

Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO), insbesondere in dem Mitgliedstaat deines Aufenthaltsorts oder des mutmaßlichen Verstoßes. Zuständige Behörde für den Verantwortlichen:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Wilhelmstraße 7, 65185 Wiesbaden
(Postanschrift: Postfach 31 63, 65021 Wiesbaden)
Telefon: 0611 1408-0
E-Mail: poststelle@datenschutz.hessen.de

15. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO, um deine Daten gegen Verlust, Manipulation und unberechtigten Zugriff zu schützen (u. a. TLS-Verschlüsselung, Zugriffsbeschränkungen, gehashte Passwörter). Die Maßnahmen werden fortlaufend an den Stand der Technik angepasst.

16. Pflicht zur Bereitstellung von Daten

Für die Nutzung kostenpflichtiger Leistungen ist die Bereitstellung bestimmter Daten (z. B. E-Mail, Zahlungsdaten) erforderlich. Ohne diese Daten kann der Vertrag nicht abgeschlossen bzw. die Leistung nicht erbracht werden.

17. Minderjährige

Unsere Angebote richten sich an Personen, die nach den gesetzlichen Bestimmungen zur eigenständigen Nutzung digitaler Dienste berechtigt sind. Für die Einwilligung in die Verarbeitung personenbezogener Daten gilt die gesetzliche Altersgrenze; in Deutschland ist eine eigenständige, wirksame Einwilligung gemäß Art. 8 DSGVO ab Vollendung des 16. Lebensjahres möglich. Minderjährige unterhalb dieser Altersgrenze dürfen personenbezogene Daten nur mit Zustimmung der Erziehungsberechtigten übermitteln; der Abschluss kostenpflichtiger Verträge richtet sich nach den gesetzlichen Vorschriften zur Geschäftsfähigkeit (§§ 104 ff. BGB) und setzt bei Minderjährigen die Einwilligung der gesetzlichen Vertreter voraus.

18. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald Änderungen der Datenverarbeitung oder der Rechtslage dies erfordern. Es gilt die jeweils auf dieser Seite veröffentlichte aktuelle Fassung.

Stand: Mai 2026