Zurück zur Startseite

DSGVO Art. 13/14

Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher

Verantwortlicher für die Verarbeitung personenbezogener Daten ist:

Bastian Nestler
Am Erbgericht 3c
09627 Bobritzsch-Hilbersdorf
Deutschland
E-Mail: info@bespanol.com

2. Hosting und Content Delivery

Vercel

Diese Website wird gehostet bei der Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Vercel speichert standardmäßig Server-Logfiles (IP-Adresse, abgerufene URL, Zeitpunkt, Browser-User-Agent), um Sicherheit, Stabilität und Performance der Website zu gewährleisten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem Betrieb).

Cloudflare

Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107, USA, wird als Content Delivery Network und für Sicherheits-/DDoS-Schutz eingesetzt. Cloudflare verarbeitet dabei IP-Adresse, Browser-Fingerprint und Anfrage-Inhalte zur Angriffsabwehr. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO.

3. Konto und Authentifizierung (Supabase)

Für die Nutzung der Lerninhalte ist die Anlage eines Benutzerkontos erforderlich. Wir speichern dazu deine E-Mail-Adresse, ein verschlüsseltes Passwort, einen optionalen Vornamen sowie technische Authentifizierungs-Daten (Session-Tokens). Diese werden in der Datenbank unseres Auftragsverarbeiters Supabase, Inc., 970 Toa Payoh North #07-04, Singapur 318992 (Datenstandort EU, Frankfurt) gespeichert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung der Lernplattform).

Session-Cookies

Nach erfolgreichem Login werden technisch notwendige Cookies gesetzt, um deine Sitzung aufrechtzuerhalten (Auth-Token + Refresh-Token von Supabase). Diese Cookies sind zwingend für die Nutzung des geschützten Bereichs und unterliegen nicht der Einwilligungspflicht (§ 25 Abs. 2 Nr. 2 TTDSG).

4. In deinem Profil gespeicherte Daten

Mit der Kontoanlage werden im Profil folgende Daten geführt:

  • role — deine Rolle (Schüler/Admin) zur Steuerung des Zugriffs
  • allowed_docs — welche Lektionen für dich freigeschaltet sind
  • dele_exam_date / dele_exam_level — dein optional gespeichertes Prüfungsdatum für die Wochenplanung
  • marketing_opt_in / marketing_opt_in_at — deine Einwilligung in Marketing-Mails plus Consent-Zeitpunkt (Nachweis nach Art. 7 Abs. 1 DSGVO)

Zweckbindung: Diese Daten dienen ausschließlich der Bereitstellung der Lerninhalte und der Nachweisbarkeit deiner Einwilligungen.

5. E-Mail-Versand (Brevo)

Für den Versand von Bestätigungs-Mails (Sign-Up, Passwort-Reset, Magic-Link) sowie — sofern eingewilligt — Marketing-Mails nutzen wir den E-Mail-Provider Brevo (Sendinblue SAS, 106 Boulevard Haussmann, 75008 Paris, Frankreich). An Brevo übermittelt werden deine E-Mail-Adresse, dein optional angegebener Vorname und der Mail-Inhalt (Bestätigungs-Token bzw. Newsletter-Text).

Rechtsgrundlage für Bestätigungs-Mails: Art. 6 Abs. 1 lit. b DSGVO. Rechtsgrundlage für Marketing-Mails: Art. 6 Abs. 1 lit. a DSGVO (deine Einwilligung; widerrufbar jederzeit über dein Profil oder den Abmelde-Link in jeder Marketing-Mail).

Mit Brevo besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Brevo ist EU-Anbieter, eine Drittland-Übermittlung findet nicht statt.

6. KI-Korrektur (Google Gemini API)

Für die automatische Korrektur deiner Schreib- und Sprech-Übungen nutzen wir die Google Gemini API (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA). Übermittelt wird ausschließlich der Inhalt deiner Übung — ohne deine E-Mail-Adresse oder weitere Profil-Daten.

Google verarbeitet die übermittelten Texte gemäß den Google Cloud Terms ausschließlich zur Bereitstellung der Antwort und speichert sie nicht zu Trainingszwecken. Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO. Drittland-Übermittlung in die USA auf Basis der EU-Standardvertragsklauseln (SCCs).

7. Lerndaten

Während der Nutzung der Plattform speichern wir deinen Lernfortschritt, um dir Wiederholungen, Fehler-Profile und einen Wochenplan anzeigen zu können. Erfasst werden:

  • welche Lektionen du bearbeitet/abgeschlossen hast (lesson_progress)
  • deine Antworten in Übungen (exercise_attempts)
  • aufgetretene Fehler-Kategorien (error_events)
  • fällige Wiederholungen (review_items)
  • Can-do-Selbsteinschätzungen (can_do_checks) und Modul-Tests (module_assessments)
  • von dir gespeicherte Vokabeln (vocabulary)

Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO. Diese Daten sind über deinen Account durch RLS-Policies geschützt und nur für dich sichtbar.

8. Zahlungsabwicklung

DELE-A1-Kurs (20 € einmalig) — Stripe

Die Zahlung des Kurses wird über die Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland, abgewickelt. Stripe erhält dabei deine E-Mail-Adresse, den auf der Karte angegebenen Namen, Zahlungsdaten (Karten- bzw. Banking-Informationen), IP-Adresse und Browser-Fingerprint zur Betrugsprävention.

Zahlungsdaten werden nicht über unsere Server geleitet — die Eingabe erfolgt direkt in einem von Stripe gehosteten Formular. Wir erhalten von Stripe lediglich eine Bestätigung des Zahlungseingangs (Status, Betrag, Zeitstempel) und nutzen diese, um deinen Account auf den vollen Kurszugang umzustellen.

Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO. Stripe ist EU-Anbieter (Irland). Mit Stripe besteht ein Data Processing Agreement nach Art. 28 DSGVO.

Einzelne Spanischstunden (15 € / 60 min)

Einzelstunden werden außerhalb der Plattform abgewickelt — die Zahlungsabsprache erfolgt im persönlichen E-Mail-Kontakt mit dem Lehrer. Auf bespanol.com werden für Einzelstunden weder Zahlungsdaten erfasst noch gespeichert.

9. Cookies und Local Storage

Wir setzen ausschließlich technisch notwendige Cookies ein (Auth- und Session-Tokens, siehe Abschnitt 3) sowie technisch notwendigen Local-Storage (z. B. UI-Preferenzen wie deine Sprach-Auswahl). Diese sind gemäß § 25 Abs. 2 Nr. 2 TTDSG ohne Einwilligung zulässig.

Wir setzen keine Tracking-Cookies oder Analyse-Tools ein. Sollten wir in Zukunft Analytics oder Marketing-Pixel ergänzen, werden wir vorher ein Consent-Banner einbinden.

10. Auftragsverarbeitung

Mit allen in dieser Erklärung genannten Verarbeitern (Vercel, Cloudflare, Supabase, Brevo, Google, Stripe) wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO geschlossen.

11. Übermittlung in Drittländer

Folgende Verarbeiter sitzen in den USA: Vercel, Cloudflare, Google. Die Übermittlung personenbezogener Daten in die USA erfolgt auf Basis der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und zusätzlicher technischer/organisatorischer Maßnahmen der jeweiligen Anbieter.

12. Speicherdauer und Löschung

  • Account-Daten: gespeichert, solange dein Account besteht. Du kannst ihn jederzeit selbst löschen unter Profil → Account löschen.
  • Lerndaten: bis zur Account-Löschung. Werden mit dem Account gemeinsam entfernt.
  • Inaktive Accounts: Bei längerer Inaktivität (über 24 Monate ohne Login) werden wir dich per E-Mail kontaktieren und den Account ggf. löschen.
  • Marketing-Einwilligung: Widerruf jederzeit möglich; danach wird die Einwilligung mit Widerrufs-Zeitpunkt zur Nachweisbarkeit aufbewahrt.
  • Rechnungsdaten zu bezahlten Kursen: werden zur Erfüllung steuer- und handelsrechtlicher Aufbewahrungspflichten (§ 147 AO, § 257 HGB) 10 Jahre aufbewahrt. Auch bei Account-Löschung: deine Rechnungsdaten werden in diesem Fall anonymisiert (Bezahl-Status, Betrag, Währung und Stripe-Transaktions-ID bleiben für die Buchhaltung erhalten, der Bezug zu deinem Account wird gekappt). Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 17 Abs. 3 lit. b DSGVO (Vorrang gesetzlicher Aufbewahrungspflichten).

13. Deine Rechte als betroffene Person

Du hast nach der DSGVO folgende Rechte:

  • Auskunft (Art. 15) — über alle bei uns gespeicherten Daten. Du kannst diese jederzeit selbst exportieren unter Profil → Daten exportieren.
  • Berichtigung (Art. 16) — falscher Daten. Direkt über dein Profil möglich oder per E-Mail an info@bespanol.com.
  • Löschung (Art. 17, „Recht auf Vergessenwerden") — komplette Account-Löschung direkt über Profil → Account löschen. Ausnahme: Rechnungsdaten zu bezahlten Kursen werden anonymisiert aufbewahrt, siehe Abschnitt 12.
  • Einschränkung der Verarbeitung (Art. 18) — auf Anfrage per E-Mail.
  • Datenübertragbarkeit (Art. 20) — Export in maschinenlesbarem JSON-Format direkt über Profil → Daten exportieren.
  • Widerspruch (Art. 21) — gegen Marketing-Mails jederzeit über dein Profil oder den Abmelde-Link in jeder Marketing-Mail.
  • Widerruf der Einwilligung (Art. 7 Abs. 3) — jederzeit ohne Angabe von Gründen.

14. Beschwerderecht

Du hast nach Art. 77 DSGVO das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für den Verantwortlichen ist:

Sächsischer Datenschutz- und Transparenzbeauftragter
Devrientstraße 5
01067 Dresden
Deutschland
www.saechsdsb.de

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, falls sich Verarbeiter, Verarbeitungszwecke oder gesetzliche Rahmenbedingungen ändern. Es gilt jeweils die zum Zeitpunkt deiner Nutzung aktuelle Version. Wesentliche Änderungen (z. B. neue Verarbeiter) werden wir dir vorab per E-Mail mitteilen.