Bomi Academy
ENDE
Kostenlos starten
Rechtliches

Datenschutzerklärung

Wie wir personenbezogene Daten erheben, verwenden und schützen — in einfacher Sprache, so wie wir es selbst erklärt bekommen wollten.

1. Verantwortlicher

Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) ist:

Lukas Kaeb
Eisenacher Straße 1
96450 Coburg
Deutschland
E-Mail: hello@leeway.website

Wir haben keinen Datenschutzbeauftragten benannt, weil wir dazu nicht gesetzlich verpflichtet sind (Art. 37 DSGVO). Für Fragen zum Datenschutz wende dich bitte an die oben genannte E-Mail-Adresse.

2. Was wir erheben und warum

Kontodaten

Bei der Registrierung speichern wir deine E-Mail-Adresse, deinen Namen, dein gehashtes Passwort und deine Rolle (Schüler, Nachhilfelehrer, Elternteil oder Admin). Das ist zum Betrieb deines Kontos erforderlich (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung).

Nachhilfe-Inhalte

Hausaufgaben-Abgaben, schriftliches und Audio-Feedback, Noten, hochgeladene Dateien (PDF / Bild / Word / Audio), Klausurergebnisse, Lernpakete und Benachrichtigungen werden zur Bereitstellung des Dienstes gespeichert (Art. 6 Abs. 1 lit. b DSGVO).

Kalender-Integration (optional)

Wenn du ein Google-Konto verknüpfst, um Unterrichtsstunden zu synchronisieren, speichern wir einen verschlüsselten Refresh-Token (AES-256-GCM ruhend), deine verknüpfte Google- E-Mail und die Event-IDs der Stunden. Wir fragen ausschließlich den calendar.events-Scope an. Rechtsgrundlage ist deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); du kannst die Verknüpfung jederzeit in den Einstellungen lösen, danach widerrufen wir den Token.

Audit-Logs

Aus Sicherheits- und Rechenschaftsgründen führen wir ein internes Log sensibler Aktionen (Logins, Rollenwechsel, Löschungen, Sprachnachrichten-Uploads). Rechtsgrundlage ist unser berechtigtes Interesse an Missbrauchserkennung und der Erfüllung unserer Sicherheitspflichten (Art. 6 Abs. 1 lit. f DSGVO).

Fehlerberichte

Bei einem Absturz senden wir einen bereinigten Fehlerbericht an Sentry (siehe Auftragsverarbeiter-Liste unten). Persönliche Kennungen (E-Mail, Name, Tokens, Cookies, Query-Strings) werden vor dem Versand entfernt. Nur deine Benutzer-ID und Rolle werden mitgesendet, damit wir den Bericht auf Anfrage zuordnen können.

Tracking und Cookies

Wir verwenden keine Marketing-Cookies, Werbe-Tracker oder Drittanbieter-Analysen auf den öffentlichen Marketingseiten. Die Anwendung nutzt ein Session-Cookie von NextAuth für den Login — das ist zwingend erforderlich und nach ePrivacy einwilligungsfrei.

3. Auftragsverarbeiter und Empfänger

Wir nutzen folgende Auftragsverarbeiter auf Basis schriftlicher Verträge (Art. 28 DSGVO):

  • Supabase (Datenbank, Dateispeicher, Edge-Funktionen) — EU-Region. Speichert alle Konto-, Abgabe- und Audit-Daten.
  • Vercel (Hosting, Serverless-Compute) — EU- und US-Edge-Knoten. Verarbeitet Anfragedaten.
  • Resend (transaktionale E-Mails) — USA. Versendet Benachrichtigungs-E-Mails. Übermittlungen in die USA sind durch das EU-US Data Privacy Framework oder Standardvertragsklauseln gedeckt.
  • Google LLC (Calendar-API, Gemini-KI-Vision) — USA, nur genutzt, wenn du der Kalender-Synchronisierung zustimmst oder dein Nachhilfelehrer KI-gestützte Korrekturentwürfe für hochgeladene Dateien einsetzt. Übermittlung durch das EU-US Data Privacy Framework gedeckt.
  • DeepSeek (KI-Korrekturentwürfe) — Volksrepublik China. Nachhilfelehrer können DeepSeek zum Entwurf von Hausaufgaben-Feedback nutzen. Dabei wird der Text der Abgabe zur Inferenz an DeepSeek gesendet. China ist derzeit nicht durch einen Angemessenheitsbeschluss gedeckt; Übermittlungen stützen sich auf Standardvertragsklauseln und zusätzliche Schutzmaßnahmen. Nachhilfelehrer sollten keine personenbezogenen Daten Dritter über diese Funktion senden.
  • Sentry (Fehler-Tracking) — USA, Übermittlungen durch SCCs / DPF gedeckt. Nur bereinigte Fehlerdaten.
  • Upstash (Rate-Limit-Speicher) — EU-Region. Speichert nur transiente Zähler, keine personenbezogenen Inhalte.

Wir verkaufen oder vermieten keine personenbezogenen Daten. Daten geben wir nur weiter, wenn wir gesetzlich dazu verpflichtet sind.

4. Daten von Kindern

Bomi Academy wird vor allem von Nachhilfelehrern und ihren Schülern genutzt — einige davon sind minderjährig. Bei Schülern unter 16 Jahren (Altersgrenze nach § 22 BDSG / Art. 8 DSGVO in Deutschland) ist die Rechtsgrundlage für die Verarbeitung ihrer personenbezogenen Daten die Einwilligung des Inhabers der elterlichen Verantwortung.

Praktisch heißt das: Ein Nachhilfelehrer lädt einen Schüler oder ein Elternteil ein; Kontoanlage und Nutzung durch eine minderjährige Person setzen voraus, dass ein Elternteil oder gesetzlicher Vertreter dieser Nutzung zugestimmt hat. Eltern können alle untenstehenden DSGVO-Rechte stellvertretend für ihr Kind ausüben.

5. Wie lange wir Daten speichern

  • Kontodaten: solange dein Konto aktiv ist, zuzüglich bis zu 90 Tage nach Löschung des Kontos, um Streitigkeiten zu klären und Missbrauch zu verhindern.
  • Abgaben und Feedback: für die Dauer der Nachhilfelehrer-Schüler-Beziehung; Nachhilfelehrer können einzelne Abgaben löschen; Schüler, die eine Gruppe verlassen, behalten keinen mit dieser Gruppe verknüpften Inhalt.
  • Audit-Logs: 12 Monate.
  • Backups: rollierende 30-Tage-Backups.
  • Rechnungen und steuerlich relevante Unterlagen: 10 Jahre, wie nach § 147 AO erforderlich.

6. Deine Rechte

Nach der DSGVO hast du das Recht auf:

  • Auskunft über die zu deiner Person gespeicherten Daten (Art. 15);
  • Berichtigung unrichtiger Daten (Art. 16);
  • Löschung („Recht auf Vergessenwerden") in den gesetzlichen Fällen (Art. 17);
  • Einschränkung der Verarbeitung (Art. 18);
  • Datenübertragbarkeit in einem strukturierten, maschinenlesbaren Format (Art. 20);
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21);
  • Widerruf einer erteilten Einwilligung jederzeit — unberührt bleibt die Rechtmäßigkeit der bisherigen Verarbeitung (Art. 7 Abs. 3).

Schreibe uns für die Wahrnehmung dieser Rechte an hello@leeway.website. Wir antworten innerhalb von 30 Tagen.

Du hast außerdem das Recht, dich bei einer Aufsichtsbehörde zu beschweren. Zuständig für uns ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 31 63
65021 Wiesbaden
https://datenschutz.hessen.de

7. Sicherheit

Wir verwenden TLS für alle Datenübertragungen, AES-256-GCM für sensible Felder im Ruhezustand (z. B. OAuth-Refresh-Tokens), bcrypt für Passwort-Hashes, Rate-Limiting an Authentifizierungs-Endpunkten und Standard-Sicherheits-Header (CSP, HSTS, X-Frame-Options). Anwendungsseitige Autorisierung stellt sicher, dass die Daten eines Nachhilfelehrers nie für einen anderen sichtbar werden.

8. Internationale Übermittlungen

Wo personenbezogene Daten den EWR verlassen (z. B. zu US-Auftragsverarbeitern wie Vercel, Resend, Google oder Sentry), erfolgt die Übermittlung auf Basis des EU-US Data Privacy Framework oder der EU-Standardvertragsklauseln mit geeigneten zusätzlichen Maßnahmen.

9. Änderungen dieser Erklärung

Wir können diese Erklärung aktualisieren, wenn sich unsere Verarbeitung ändert. Die aktuelle Fassung ist unten datiert; wesentliche Änderungen kündigen wir mindestens 14 Tage im Voraus per In-App-Benachrichtigung oder E-Mail an.

Stand: 20. Mai 2026