Datenschutzerklärung
Stand: 25.6.2026.
1. Verantwortlicher
Pierce Chang
Muschelgasse 2
77955 Ettenheim
Deutschland
E-Mail: info@lernikon.de
2. Welche Daten wir verarbeiten
- Konto: E-Mail-Adresse und Passwort-Hash für die Anmeldung.
- Kind-Profil: Vorname, Klassenstufe, Lieblingsmotiv. Diese Angaben werden ausschließlich zur Personalisierung der Übungsblätter verwendet.
Hinweis: Kind-Profile werden ausschließlich vom Erziehungsberechtigten im eigenen Konto angelegt. Die Kinder selbst haben keinen eigenständigen Kontozugang. Lernikon verarbeitet Daten minderjähriger Kinder ausschließlich auf Basis des Kontos des Erziehungsberechtigten und im Rahmen der vertraglich vereinbarten Leistung (Erwägungsgrund 38 DSGVO).
- Nutzung: Erzeugte Arbeitsblätter werden zur Rate-Limit-Prüfung gezählt. Einträge werden nach 90 Tagen automatisch gelöscht.
- Eigene Vorlagen (nur Family Pro): Wenn Sie eigene Wortlisten oder kurze Übungssätze eingeben und als benannte Vorlage speichern, speichern wir den von Ihnen eingegebenen Text, den von Ihnen vergebenen Namen der Vorlage und die Zuordnung zum jeweiligen Übungstyp. Diese Inhalte geben Sie selbst ein und steuern sie vollständig. Sie sind ausschließlich in Ihrem eigenen Konto sichtbar und werden niemals mit anderen Nutzern geteilt oder veröffentlicht.
- Zahlungsdaten: Bei einem Abo werden die Zahlungsdetails ausschließlich von Stripe verarbeitet (siehe Abschnitt 6).
3. Hosting und Auftragsverarbeiter (EU)
Konto- und Profil-Daten werden bei Supabase (EU-Region, Frankfurt) gespeichert. Hosting der Anwendung über Vercel (EU-Region). Für beide Dienste bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO:
- Supabase: supabase.com/legal/dpa
- Vercel: vercel.com/legal/dpa
4. Rechtsgrundlagen
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt jeweils auf der folgenden Rechtsgrundlage:
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Kontoverwaltung, Anmeldung, Kind-Profile, Arbeitsblatt-Zählung für das Nutzungslimit sowie Abrechnung über Stripe. Diese Daten sind zur Erbringung des Dienstes erforderlich.
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Technischer Betrieb, Abwehr von Missbrauch, Systemsicherheit und Stabilitätsüberwachung, die Speicherung der IP-Adresse zum Spam-Schutz beim Kontaktformular (siehe Abschnitt 11) sowie die Begrenzung der kostenlosen Arbeitsblatt-Erstellung ohne Anmeldung (siehe Abschnitt 8). Unser berechtigtes Interesse besteht darin, einen sicheren und zuverlässigen Dienst bereitzustellen und ihn vor Angriffen und missbräuchlicher Nutzung zu schützen. Soweit eine Verarbeitung bereits zur Erfüllung des Nutzungsvertrags erforderlich ist, stützen wir sie auf Art. 6 Abs. 1 lit. b DSGVO (siehe oben).
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO):Nutzungsanalyse mit PostHog. Die Einwilligung erteilen Sie über das Cookie-Consent-Banner beim ersten Besuch. Lehnen Sie ab, wird PostHog nicht geladen und es werden keine Analyse-Daten erhoben. Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie im Seitenfuß auf “Cookie-Einstellungen” klicken und im sich öffnenden Dialog “Ablehnen” wählen. Der Widerruf ist damit genauso einfach wie die Erteilung (Art. 7 Abs. 3 DSGVO). Nach dem Widerruf wird die Analyse sofort deaktiviert und die zuvor in Ihrem Browser gespeicherte PostHog-Kennung zurückgesetzt. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
5. Cookies und lokaler Speicher
Lernikon setzt technisch notwendige Browser-Cookies sowie lokalen Speicher (localStorage) ein. Analyse-Cookies werden ausschließlich nach Ihrer Einwilligung aktiviert.
| Name / Schlüssel | Speicherort | Anbieter | Zweck | Lebensdauer | Kategorie |
|---|---|---|---|---|---|
| sb-ioozhjjtnqwrslvpyvhi-auth-token | Cookie | Supabase | Speichert das verschlüsselte Auth-Token, hält die Anmeldesitzung aufrecht. | Sitzung bis 1 Jahr | Notwendig |
| sb-ioozhjjtnqwrslvpyvhi-auth-token-code-verifier | Cookie | Supabase | PKCE-Code-Verifier für den sicheren OAuth-Anmeldeablauf. | Sitzung | Notwendig |
| lernikon:cookie-consent | localStorage | Lernikon | Speichert Ihre Cookie-Einwilligungsentscheidung (“accepted” oder “declined”). | Dauerhaft bis zur Löschung (Änderung jederzeit über den Link „Cookie-Einstellungen“ im Footer möglich) | Notwendig |
| ph_… (PostHog) | localStorage | PostHog | Nutzungsanalyse (Seitenaufrufe, Funnel-Ereignisse), bei eingeloggten Nutzern dem Konto zugeordnet (siehe Abschnitt 7). Wird nur nach Ihrer Einwilligung aktiviert. | Bis zu 1 Jahr | Analyse (nur mit Einwilligung) |
Die Supabase-Cookie-Namen folgen dem Schema “sb-<Projekt-Referenz>-auth-token”. Der mittlere Teil ist die feste Projekt-Referenz unseres Supabase-Projekts (oben in der Tabelle aufgeführt). Bei Cookies, die eine Größengrenze überschreiten, teilt Supabase den Wert auf nummerierte Folge-Cookies auf (“sb-<Projekt-Referenz>-auth-token.0”, “.1” usw.); Zweck und Kategorie bleiben identisch.
6. Zahlungsdienstleister
Zahlungen werden über Stripe (Stripe Payments Europe, Limited) abgewickelt. Stripe verarbeitet Zahlungsdaten als eigenständig Verantwortlicher. Es gilt die Datenschutzerklärung von Stripe. Der Auftragsverarbeitungsvertrag ist einsehbar unter stripe.com/legal/dpa.
7. Analyse mit PostHog
Wir nutzen PostHog (PostHog Cloud EU, gehostet auf AWS in Frankfurt am Main), um zu verstehen, wie unser Dienst genutzt wird, und ihn zu verbessern. PostHog wird ausschließlich nach Ihrer Einwilligung über das Cookie-Consent-Banner aktiviert. Lehnen Sie ab oder widerrufen Sie, wird PostHog nicht geladen. PostHog speichert seine Kennungen im lokalen Speicher (localStorage) Ihres Browsers, nicht als HTTP-Cookie. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO; für die Speicherung im Endgerät zusätzlich § 25 Abs. 1 TDDDG.
Sobald Sie eingeloggt sind und in die Analyse eingewilligt haben, ordnen wir die Analyse-Ereignisse Ihrem Konto zu (kein rein anonymes Tracking). Dabei werden folgende Daten an PostHog übermittelt:
- Ihre Nutzer-Kennung (interne Konto-ID) sowie die Domain Ihrer E-Mail-Adresse (z. B. “gmail.com”), niemals die vollständige E-Mail-Adresse;
- Ihr Abo-Status (ob zahlend, Status des Abos) und die Anzahl Ihrer angelegten Kind-Profile;
- Ereignisse zur Nutzung, z. B. Registrierung, Erstellung eines Arbeitsblatts (mit Thema/Topic-Kennung, gewähltem Motiv, Aufgabenart und Anzahl), Erreichen einer Upgrade-Schranke sowie Start, Abschluss und Kündigung eines Abos (jeweils mit Tarif);
- technische Angaben zum Seitenaufruf (z. B. aufgerufene Seite, Zeitpunkt, Browser-/Geräteinformationen). Die Erfassung der IP-Adresse ist in PostHog Cloud EU standardmäßig deaktiviert.
Es werden keine Namen oder Klassenstufen der Kinder und keine Inhalte der erzeugten Arbeitsblätter an PostHog übermittelt. Der Auftragsverarbeitungsvertrag von PostHog ist einsehbar unter posthog.com/dpa.
8. Arbeitsblatt ohne Anmeldung testen (Missbrauchsschutz)
Sie können ein Arbeitsblatt einmalig erzeugen und herunterladen, ohne ein Konto anzulegen. Damit dieser kostenlose Test-Zugang nicht automatisiert oder massenhaft missbraucht wird (Schutz vor Überlastung und unverhältnismäßiger Nutzung), begrenzen wir die Zahl der Erstellungen pro Tag.
Verarbeitete Daten: Für diese Begrenzung verarbeiten wir Ihre IP-Adresse ausschließlich in gehashter Form. Aus Ihrer IP-Adresse berechnen wir mit einem geheimen, festen Zusatzwert (Salt) einen nicht umkehrbaren Hash-Wert (SHA-256) und speichern nur diesen Hash-Wert zusammen mit einem Tages-Zähler. Wir speichern weder Ihre IP-Adresse im Klartext noch ein Klartext-Zugriffsprotokoll und auch nicht den Inhalt des von Ihnen erzeugten Arbeitsblattes.
Zweck: Schutz des kostenlosen, anmeldefreien Generators vor Missbrauch, Überlastung und automatisierten Massenabrufen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse besteht darin, einen stabilen, kostenlosen Test-Zugang anzubieten und ihn vor missbräuchlicher Nutzung und Überlastung zu schützen. Eine Abwägung mit Ihren Interessen führen wir zu Ihren Gunsten dadurch durch, dass wir die IP-Adresse nicht im Klartext speichern, sondern nur einen gesalzenen, nicht umkehrbaren Hash-Wert mit reinem Tages-Zähler verwenden und diesen täglich automatisch löschen.
Empfänger: Der Hash-Wert und der Zähler werden bei Supabase (EU-Region Frankfurt) gespeichert (siehe Abschnitt 3). Es findet keine Übermittlung an Analyse-Dienste statt. An PostHog wird, sofern Sie in die Analyse eingewilligt haben, lediglich ein inhaltsfreies Zähl-Ereignis übermittelt, das ausschließlich die Kennung des gewählten Übungstyps und die Information enthält, dass die Erstellung über den anmeldefreien Test-Zugang erfolgte. Es wird weder Ihre IP-Adresse noch deren Hash-Wert noch der Inhalt des Arbeitsblattes an PostHog übermittelt.
Speicherdauer und Löschung: Der Hash-Wert und der zugehörige Tages-Zähler werden täglich automatisch zurückgesetzt und gelöscht. Eine über den jeweiligen Tag hinausgehende Speicherung findet nicht statt. Eine Zusammenführung mit anderen bei uns gespeicherten Daten oder eine Identifizierung Ihrer Person erfolgt nicht.
9. Eigene Vorlagen für Übungsblätter
Als Family-Pro-Nutzer können Sie eigene Wortlisten oder kurze Übungssätze eingeben, um daraus ein Übungsblatt zu erzeugen, und diese Eingabe als benannte, wiederverwendbare Vorlage in Ihrem Konto speichern.
Zweck: Bereitstellung der gebuchten Funktion, eigene Übungsinhalte zu erstellen, zu speichern und wiederzuverwenden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des mit Ihnen geschlossenen Nutzungsvertrags). Das Speichern der Vorlage ist Bestandteil der von Ihnen gebuchten Leistung.
Inhalt und Verantwortung: Den Inhalt der Vorlagen bestimmen ausschließlich Sie. Sollten Sie dabei einen Vornamen oder eine kurze Angabe zu Ihrem Kind eingeben, geschieht dies in Ihrer Verantwortung als sorgeberechtigte Person und ausschließlich zur Erstellung Ihrer eigenen Übungsblätter. Bitte geben Sie keine sensiblen Angaben ein (zum Beispiel zu Gesundheit, Religion oder Herkunft); für die Übungsblätter sind solche Angaben nicht erforderlich.
Sichtbarkeit: Ihre Vorlagen sind technisch streng auf Ihr Konto beschränkt. Andere Nutzer haben keinen Zugriff. Es findet keine Veröffentlichung und kein Teilen statt.
Speicherdauer und Löschung: Vorlagen bleiben gespeichert, bis Sie sie selbst löschen. Sie können jede Vorlage jederzeit in der Anwendung löschen. Löschen Sie Ihr Konto, werden alle Ihre Vorlagen automatisch und unwiderruflich mitgelöscht. Inhalte werden nicht an Analyse-Dienste übermittelt (siehe Abschnitt 7).
10. Ihre Rechte
Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit. Ihr Konto (inkl. Kind-Profil und Verlauf) können Sie jederzeit direkt in Ihrem Konto unter “Konto löschen” selbst löschen oder per E-Mail an info@lernikon.de löschen lassen.
11. Kontaktformular
Wenn Sie unser Kontaktformular unter /kontakt nutzen, erheben wir folgende Daten:
- Name (optional)
- E-Mail-Adresse
- Nachrichtentext
- IP-Adresse und Zeitstempel (technisch, für Spam-Schutz)
Zweck: Bearbeitung Ihrer Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über die Checkbox im Kontaktformular).
Speicherung: Die Nachricht wird über Resend als E-Mail versendet und anschließend in unserem E-Mail-Postfach gespeichert. Wir speichern Ihre Anfrage nicht separat in unserer Datenbank. Die IP-Adresse wird ausschließlich für den Spam-Schutz in unserer Datenbank gespeichert und nach spätestens 7 Tagen automatisch gelöscht.
Auftragsverarbeiter Resend: resend.com/legal/dpa. Resend (Plus Five Five, Inc.) hat seinen Sitz in den USA und verarbeitet die für den Versand übergebenen Daten (insbesondere Empfänger-Adresse, Betreff, Nachrichteninhalt und Versand-Protokolle) auf Servern in den USA. Es liegt damit eine Übermittlung in ein Drittland vor. Für diese Übermittlung bestehen geeignete Garantien: Resend ist nach dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO) und hat ergänzend die Standardvertragsklauseln der EU-Kommission nach Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.
Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie uns eine E-Mail an info@lernikon.de senden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.
12. Newsletter „Blatt der Woche“
Auf unserer Website können Sie unseren kostenlosen E-Mail-Newsletter „Blatt der Woche“ abonnieren. Mit dem Newsletter informieren wir Sie regelmäßig über neue Übungsblätter, Themen und Funktionen von Lernikon. Die Anmeldung ist freiwillig und für die Nutzung von Lernikon nicht erforderlich.
Verarbeitete Daten: Für den Versand verarbeiten wir die von Ihnen angegebene E-Mail-Adresse. Zum Nachweis Ihrer Einwilligung (Art. 7 Abs. 1 DSGVO) speichern wir zusätzlich den Zeitpunkt Ihrer Anmeldung, den Zeitpunkt Ihrer Bestätigung über den Bestätigungslink, eine Kennung der zum Anmeldezeitpunkt angezeigten Fassung des Einwilligungstextes sowie die bei der Anmeldung verwendete IP-Adresse.
Anmeldeverfahren (Double-Opt-In): Nach Ihrer Eintragung erhalten Sie zunächst eine E-Mail mit der Bitte, Ihre Anmeldung über einen Link zu bestätigen. Erst nach Ihrer Bestätigung nehmen wir Sie in den Verteiler auf. Bestätigen Sie nicht, wird Ihre Eintragung nicht aktiviert und nach 30 Tagen automatisch gelöscht. Dieses Verfahren stellt sicher, dass niemand mit einer fremden E-Mail-Adresse ohne deren Zustimmung angemeldet werden kann.
Zweck: Zusendung des abonnierten Newsletters per E-Mail (Direktwerbung) sowie Nachweis und Verwaltung Ihrer Einwilligung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung) in Verbindung mit § 7 Abs. 2 Nr. 2 UWG. Die Speicherung der Nachweis-Daten stützt sich auf Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit Art. 7 Abs. 1 DSGVO (Erfüllung unserer gesetzlichen Nachweispflicht).
Empfänger: Die Anmelde- und Nachweis-Daten werden bei Supabase (EU-Region Frankfurt) gespeichert (siehe Abschnitt 3). Der Versand der Bestätigungs- und Newsletter-E-Mails erfolgt über Resend (Plus Five Five, Inc., USA). Resend verarbeitet die Empfänger-Adresse und den Mail-Inhalt auf Servern in den USA; es liegt damit eine Übermittlung in ein Drittland vor. Geeignete Garantien bestehen über die Zertifizierung von Resend nach dem EU-US Data Privacy Framework (Art. 45 DSGVO) und ergänzend über die Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO). Der Auftragsverarbeitungsvertrag von Resend ist einsehbar unter resend.com/legal/dpa.
Widerruf und Abmeldung: Sie können den Newsletter jederzeit abbestellen und Ihre Einwilligung damit mit Wirkung für die Zukunft widerrufen. Dazu genügt ein Klick auf den Abmeldelink, der in jeder Newsletter-E-Mail enthalten ist; eine Abmeldung ist auch formlos per E-Mail an info@lernikon.de möglich. Der Widerruf ist damit genauso einfach wie die Erteilung der Einwilligung (Art. 7 Abs. 3 DSGVO). Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Speicherdauer und Löschung: Wir speichern Ihre Daten, solange Sie den Newsletter abonniert haben. Nach Ihrer Abmeldung löschen wir Ihre E-Mail-Adresse aus dem aktiven Verteiler. Die Nachweis-Daten zu Ihrer früheren Einwilligung (Zeitpunkte, Text-Fassung, IP-Adresse) bewahren wir zum Nachweis der einmal erteilten Einwilligung noch bis zu drei Jahre nach Ihrer Abmeldung auf und löschen sie anschließend.
13. Empfehlungsprogramm
Family-Pro-Nutzer können am Empfehlungsprogramm „Eltern empfehlen Eltern“ teilnehmen und erhalten dafür einen persönlichen Empfehlungscode. Gibt eine geworbene Person diesen Code beim Abschluss von Family Pro an, ordnen wir die werbende und die geworbene Person einander zu, um den Rabatt der geworbenen Person auf die erste Zahlung und das Guthaben der werbenden Person korrekt zu vergeben.
Datenkategorien: Empfehlungscode, interne Nutzer-Kennung der werbenden und der geworbenen Person, die zugehörige Stripe-Kunden- und Abo-Kennung der geworbenen Person sowie der Status der Empfehlung (offen, qualifiziert, vergütet). Wir speichern weder, an wen ein Code verschickt wurde, noch die Kontaktdaten geworbener Personen, die den Code nicht einlösen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des von beiden Seiten in Anspruch genommenen Empfehlungsprogramms als Bestandteil des jeweiligen Nutzungsverhältnisses).
Empfänger: Supabase (Speicherung der Zuordnung, EU-Region Frankfurt) und Stripe (Gutschrift des Guthabens auf das Kundenkonto der werbenden Person). Eine Übermittlung an Analyse-Dienste findet nicht statt; an PostHog werden nur inhaltsfreie Zähl-Ereignisse ohne Code und ohne die Zuordnung der beteiligten Personen übermittelt.
Speicherdauer und Löschung: Die Zuordnung wird gespeichert, solange sie zur Abwicklung und zum Nachweis der vergebenen Vorteile erforderlich ist. Löschen Sie Ihr Konto, wird Ihre Zuordnung automatisch mitgelöscht (Cascade via FK, owner-only RLS).
14. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für Lernikon zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
Heilbronner Straße 35
70191 Stuttgart
Telefon: 0711 615541-0
E-Mail: poststelle@lfdi.bwl.de
Web: www.baden-wuerttemberg.datenschutz.de