Datenschutz

Datenschutzerklärung

Stand: 22. Februar 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

ArchiTech AI UG (haftungsbeschränkt)
Birkenallee 7
21436 Marschacht
Deutschland

E-Mail: support@tutel.app
Telefon: +49 1512 9898273

2. Datenschutzbeauftragter

Für Datenschutzanfragen wenden Sie sich bitte an:

Aidan Wagener
ArchiTech AI UG (haftungsbeschränkt)
Birkenallee 7
21436 Marschacht
E-Mail: support@tutel.app

3. Allgemeine Informationen zur Datenverarbeitung

3.1 Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

3.2 Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.

3.3 Datenlöschung und Speicherdauer

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

4. Bereitstellung der Website und Erstellung von Logfiles

4.1 Beschreibung und Umfang der Datenverarbeitung

Bei jedem Aufruf unserer Internetseite erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners. Folgende Daten werden hierbei erhoben:

  • Informationen über den Browsertyp und die verwendete Version
  • Das Betriebssystem des Nutzers
  • Den Internet-Service-Provider des Nutzers
  • Die IP-Adresse des Nutzers (anonymisiert)
  • Datum und Uhrzeit des Zugriffs
  • Websites, von denen das System des Nutzers auf unsere Internetseite gelangt

Die Daten werden ebenfalls in den Logfiles unseres Systems gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt.

4.2 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO.

4.3 Zweck der Datenverarbeitung

Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung der Website an den Rechner des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben. Die Speicherung in Logfiles erfolgt, um die Funktionsfähigkeit der Website sicherzustellen. Zudem dienen uns die Daten zur Optimierung der Website und zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme.

4.4 Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der Website ist dies der Fall, wenn die jeweilige Sitzung beendet ist. Im Falle der Speicherung der Daten in Logfiles ist dies nach spätestens sieben Tagen der Fall.

5. Registrierung und Nutzerkonto

5.1 Beschreibung und Umfang der Datenverarbeitung

Auf unserer Internetseite bieten wir Nutzern die Möglichkeit, sich unter Angabe personenbezogener Daten zu registrieren. Dabei werden folgende Daten erhoben:

  • E-Mail-Adresse
  • Name (Vor- und Nachname)
  • Geburtsdatum (zur Altersverifikation gemäß Art. 8 DSGVO)
  • Rolle (Schüler, Elternteil, Lehrkraft)
  • Schule und Klasse (bei Schülern und Lehrkräften)
  • Gewähltes Abonnement

Bei der Registrierung wird zudem die IP-Adresse des Nutzers sowie das Datum und die Uhrzeit der Registrierung gespeichert. Im Rahmen des Registrierungsprozesses wird eine Einwilligung des Nutzers zur Verarbeitung dieser Daten eingeholt.

5.2 Besondere Bestimmungen für minderjährige Nutzer

Gemäß Art. 8 DSGVO ist für Nutzer unter 16 Jahren die Einwilligung der Eltern oder Erziehungsberechtigten erforderlich. Wir prüfen das Alter bei der Registrierung und fordern bei minderjährigen Nutzern die Zustimmung der Eltern an. Ohne diese Zustimmung kann das Konto nicht freigeschaltet werden.

5.3 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Verarbeitung der Daten ist bei Vorliegen einer Einwilligung des Nutzers Art. 6 Abs. 1 lit. a DSGVO. Dient die Registrierung der Erfüllung eines Vertrages, dessen Vertragspartei der Nutzer ist oder der Durchführung vorvertraglicher Maßnahmen, so ist zusätzliche Rechtsgrundlage für die Verarbeitung der Daten Art. 6 Abs. 1 lit. b DSGVO.

5.4 Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Dies ist für die während des Registrierungsvorgangs erhobenen Daten der Fall, wenn die Registrierung auf unserer Internetseite aufgehoben oder abgeändert wird. Für den Fall, dass ein Vertragsverhältnis besteht, werden die Daten bis zum Ablauf gesetzlicher Aufbewahrungsfristen gespeichert (in der Regel 10 Jahre nach Vertragsende gemäß §257 HGB).

6. Nutzung der KI-Lernplattform

6.1 Verarbeitete Daten

Bei der Nutzung unserer KI-gestützten Lernplattform verarbeiten wir folgende Daten:

  • Lernfortschrittsdaten (bearbeitete Übungen, erreichte Punkte, Lernzeit)
  • Interaktionen mit dem KI-Tutor (Fragen, Antworten, Chat-Verläufe)
  • Präferenzen und Einstellungen
  • Hochgeladene Dokumente und Bilder (z.B. bei OCR-Funktion)
  • Spracheingaben (bei Nutzung der Speaking-Funktion)

6.2 Zweck der Verarbeitung

Diese Daten werden ausschließlich zur Personalisierung des Lernerlebnisses, zur Erstellung von Lernanalysen und zur Verbesserung unserer Dienste verwendet. Alle KI-Verarbeitungen finden auf EU-Servern statt.

6.3 KI-Auftragsverarbeiter

Für die KI-Tutoring-Funktionen setzen wir Mistral AI SAS (Frankreich, EU) als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mistral AI verarbeitet Ihre Anfragen ausschließlich auf EU-Servern (Standort: Frankreich) und nutzt Kundendaten nicht für das Training von KI-Modellen. Mit Mistral AI haben wir einen Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA) abgeschlossen, der die datenschutzkonforme Verarbeitung sicherstellt.

Die an Mistral AI übermittelten Daten umfassen:

  • Nutzeranfragen an den KI-Tutor (Fragen, Aufgabenstellungen)
  • Kontextinformationen zur Personalisierung (Klassenstufe, Fach, Schwierigkeitsgrad)
  • Hochgeladene Dokumente und Bilder zur Verarbeitung (z.B. bei OCR-Funktion)

Mistral AI verarbeitet diese Daten ausschließlich zur Bereitstellung der KI-Tutoring-Dienste und löscht Anfragedaten nach Abschluss der Verarbeitung.

6.4 KI-Transparenz (EU AI Act)

Gemäß dem EU AI Act informieren wir Sie darüber, dass unsere Plattform KI-Systeme verwendet. Diese KI-Systeme:

  • Sind als "begrenztes Risiko" klassifiziert
  • Werden kontinuierlich auf Fairness und Bias überwacht
  • Können durch menschliche Lehrkräfte übersteuert werden (Human-in-the-Loop)
  • Speichern keine biometrischen Daten zur Identifikation

6.5 KI-generierte Inhalte

Tutel verwendet KI-Systeme (Mistral AI) zur Generierung von:

  • Übungsfragen und Erklärungen
  • Tutoring-Antworten und Hilfestellungen
  • Feedback und Bewertungen
  • Lernempfehlungen und Diagnosen

Wichtiger Hinweis: KI-generierte Inhalte können Fehler enthalten. Nutzer werden ermutigt, Inhalte kritisch zu prüfen und bei Unsicherheiten einen qualifizierten Lehrer zu konsultieren. Die Qualität der Inhalte variiert je nach Fach und Themengebiet (Beta-Phase).

7. Zahlungsabwicklung

7.1 Stripe

Für die Zahlungsabwicklung nutzen wir den Dienst Stripe (Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland). Bei der Auswahl und Nutzung von Stripe werden folgende Daten an Stripe übermittelt:

  • E-Mail-Adresse
  • Name
  • Zahlungsinformationen (Kreditkartennummer, Ablaufdatum, Prüfziffer)
  • Rechnungsadresse
  • Bestelldetails

Die Übermittlung dieser Daten ist für die Zahlungsabwicklung erforderlich. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe: https://stripe.com/de/privacy

7.2 Rechnungsdaten

Für die Erstellung von Rechnungen speichern wir Name, Adresse, E-Mail-Adresse und Zahlungsinformationen für die Dauer von 10 Jahren gemäß §257 HGB (steuerrechtliche Aufbewahrungspflicht). Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).

8. Datenübermittlung an Dritte

8.1 Hosting

Website-Hosting: Vercel Inc.
Unsere Website (Frontend) wird von Vercel Inc. (340 Pine Street, Suite 701, San Francisco, CA 94104, USA) gehostet. Bei jedem Seitenaufruf werden technische Daten (IP-Adresse, Browser, Zeitstempel) an Vercel übermittelt. Die Übermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Mit Vercel haben wir einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen. Weitere Informationen: https://vercel.com/legal/privacy-policy

Datenbank und Backend: Supabase Inc.
Unsere Datenbank und Authentifizierungsdienste werden bei Supabase Inc. (EU-Region Frankfurt, Deutschland) betrieben. Alle personenbezogenen Daten werden ausschließlich auf EU-Servern (Frankfurt) gespeichert. Mit Supabase haben wir einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen.

8.2 E-Mail-Kommunikation

Für den Versand transaktionaler E-Mails (Registrierungsbestätigungen, Passwort-Resets, Systembenachrichtigungen) nutzen wir Resend (Resend Inc., 2261 Market Street STE 5731, San Francisco, CA 94114, USA). Dabei werden E-Mail-Adresse, Name und E-Mail-Inhalt an Resend übermittelt. Die Übermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Mit Resend haben wir einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen: https://resend.com/legal/privacy-policy

8.3 Google OAuth (Anmeldung mit Google)

Wir bieten Ihnen die Möglichkeit, sich mit Ihrem Google-Konto bei Tutel anzumelden ("Mit Google anmelden"). Diese Funktion wird von Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) bereitgestellt.

Bei der Nutzung von Google OAuth werden folgende Daten von Google an uns übermittelt:

  • E-Mail-Adresse (zur Identifizierung Ihres Kontos)
  • Name (zur Personalisierung Ihres Profils)
  • Profilbild-URL (optional, zur Anzeige in Ihrem Profil)

Wichtig: Wir erhalten keinen Zugriff auf Ihre Google-Kontakte, E-Mails, Kalender, Google Drive oder andere Google-Dienste. Wir fragen ausschließlich die für die Anmeldung erforderlichen Basisdaten ab (OpenID Connect Scopes: openid, email, profile).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — Sie wählen aktiv die Anmeldung über Google, um ein Konto bei uns zu erstellen.

Datenübermittlung: Die Authentifizierung erfolgt direkt zwischen Ihrem Browser und Google. Ihre Google-Zugangsdaten werden niemals an unsere Server übermittelt. Wir speichern lediglich die oben genannten Profildaten in unserer Datenbank (EU-Server, Frankfurt).

Widerruf: Sie können die Verbindung zwischen Ihrem Google-Konto und Tutel jederzeit in Ihren Google-Kontoeinstellungen widerrufen:https://myaccount.google.com/permissions

Weitere Informationen zum Datenschutz bei Google finden Sie in derGoogle Datenschutzerklärung.

8.4 Bot-Schutz (hCaptcha)

Zum Schutz unserer Registrierungsformulare vor automatisierten Zugriffen (Bots) setzen wir hCaptcha ein (Intuition Machines, Inc., 2211 Selig Dr, Los Angeles, CA 90026, USA). hCaptcha analysiert das Nutzerverhalten im Browser (Mausbewegungen, Klicks, Gerätedaten) und übermittelt diese Daten zur Auswertung an Intuition Machines, Inc. Die Übermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit unserer Dienste). Weitere Informationen: https://www.hcaptcha.com/privacy

8.5 Rate-Limiting (Upstash Redis)

Zur Absicherung unserer APIs gegen Missbrauch und zur Sicherstellung der Systemstabilität nutzen wir Upstash Redis (Upstash, Inc.). Die Redis-Instanz wird in der EU-Region Frankfurt (Deutschland) betrieben. Dabei werden anonymisierte IP-Adressen und API-Nutzungsdaten vorübergehend (max. 24 Stunden) gespeichert. Es werden keine personenbezogenen Inhaltsdaten übermittelt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Systemsicherheit).

8.6 KI-Tutoring (Mistral AI)

Für die Bereitstellung unserer KI-Tutoring-Funktionen setzen wir Mistral AI SAS (10 place de la Madeleine, 75008 Paris, Frankreich) als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Als EU-ansässiges Unternehmen ist keine Drittlandübermittlung erforderlich. Die an Mistral AI übermittelten Daten umfassen Lernanfragen (Fragen und Antworten im Tutoring-Chat), ausgewählte Fächer und Klassenstufe sowie Sitzungs-ID (keine persistente Nutzeridentifikation). Mistral AI verarbeitet diese Daten ausschließlich zur Erbringung des KI-Tutoring-Dienstes, nutzt Kundendaten nicht für das Training von KI-Modellen und löscht Anfragedaten nach Abschluss der Verarbeitung. Mit Mistral AI haben wir einen Auftragsverarbeitungsvertrag (DPA) abgeschlossen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen: https://mistral.ai/terms

9. Cookies und Tracking

9.1 Technisch notwendige Cookies

Wir verwenden Cookies, um unsere Website nutzerfreundlicher zu gestalten. Einige Elemente unserer Internetseite erfordern es, dass der aufrufende Browser auch nach einem Seitenwechsel identifiziert werden kann. Folgende technisch notwendige Cookies werden gesetzt:

  • Session-Cookie (wird nach Schließen des Browsers gelöscht)
  • Authentifizierungs-Cookie (Gültigkeit: 7 Tage)
  • Einstellungs-Cookie für Cookie-Banner (Gültigkeit: 1 Jahr)

Rechtsgrundlage für diese Cookies ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktionsfähigkeit der Website).

9.2 Webanalyse (Plausible Analytics)

Wir nutzen Plausible Analytics für datenschutzfreundliche Nutzungsanalysen. Plausible setzt keine Cookies und erfasst keine personenbezogenen Daten. Es werden ausschließlich aggregierte, anonyme Metriken erhoben (Seitenaufrufe, Herkunftsseite, Land, Gerätekategorie). IP-Adressen werden nicht gespeichert. Eine Einwilligung ist daher nicht erforderlich.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unserer Dienste). Weitere Informationen: https://plausible.io/data-policy

10. Rechte der betroffenen Person

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener i.S.d. DSGVO und es stehen Ihnen folgende Rechte gegenüber dem Verantwortlichen zu:

10.1 Auskunftsrecht (Art. 15 DSGVO)

Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.

10.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind.

10.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die unverzügliche Löschung der Sie betreffenden personenbezogenen Daten zu verlangen. Wir löschen Ihre Daten innerhalb von 30 Tagen nach Ihrer Anfrage, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

→ Datenlöschung hier beantragen

10.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Unter bestimmten Voraussetzungen können Sie die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen.

10.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Wir bieten den Export Ihrer Lerndaten als JSON oder CSV an.

10.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.

10.7 Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung (Art. 7 Abs. 3 DSGVO)

Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

10.8 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon: +49 (0) 511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de

11. Kontakt für Datenschutzanfragen

Für alle Anfragen bezüglich Ihrer Datenschutzrechte wenden Sie sich bitte an:

support@tutel.app
+49 1512 9898273

Wir werden Ihre Anfrage innerhalb von 30 Tagen beantworten.

12. Änderung der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung. Bei wesentlichen Änderungen werden wir Sie per E-Mail informieren.