1. Verantwortlicher

Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) ist:

Lukas Kaeb
Altenhoeferallee 70
60438 Frankfurt
Deutschland
E-Mail: hello@leeway.website

Wir haben keinen Datenschutzbeauftragten benannt, weil wir dazu nicht gesetzlich verpflichtet sind (Art. 37 DSGVO). Für Fragen zum Datenschutz wende dich bitte an die oben genannte E-Mail-Adresse.

2. Was wir erheben und warum

Kontodaten

Bei der Registrierung speichern wir deine E-Mail-Adresse, deinen Namen, dein gehashtes Passwort und deine Rolle (Schüler, Nachhilfelehrer, Elternteil oder Admin). Das ist zum Betrieb deines Kontos erforderlich (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung).

Nachhilfe-Inhalte

Hausaufgaben-Abgaben, schriftliches und Audio-Feedback, Noten, hochgeladene Dateien (PDF / Bild / Word / Audio), Klausurergebnisse, Lernpakete und Benachrichtigungen werden zur Bereitstellung des Dienstes gespeichert (Art. 6 Abs. 1 lit. b DSGVO).

KI-Unterstützung

KI-Unterstützung ist Teil des Tutoring-Workflows für von Tutor:innen geprüfte Feedback-Entwürfe und Übungsgenerierung. Dafür verarbeiten wir ausgewählte Schülerarbeiten und Lernkontext zur Bereitstellung des Dienstes (Art. 6 Abs. 1 lit. b DSGVO) und, soweit einschlägig, auf Grundlage unseres berechtigten Interesses am Betrieb und an der Verbesserung des Lernworkflows (Art. 6 Abs. 1 lit. f DSGVO). Eltern können KI-Unterstützung mit Kinderdaten im Elternportal ausschalten; dann werden diese KI-Routen serverseitig blockiert. Für finale Rückmeldungen, Noten und Unterrichtsentscheidungen bleiben Tutor:innen verantwortlich.

Bei quellenbasierten Lernpaketen werden DOCX-Dateien lokal extrahiert, bevor ein minimiertes Textsignal an DeepSeek gesendet wird. PDF- und Bild-Uploads können zur Extraktion eines Quellensignals an Google Gemini gesendet werden; anschließend wird nur das minimierte Textsignal an DeepSeek gesendet, um bearbeitbare Lernpaket-Elemente zu entwerfen.

Kalender-Integration (optional)

Wenn du ein Google-Konto verknüpfst, um Unterrichtsstunden zu synchronisieren, speichern wir einen verschlüsselten Refresh-Token (AES-256-GCM ruhend), deine verknüpfte Google-E-Mail und die Event-IDs der Stunden. Wir fragen ausschließlich den calendar.events-Scope an. Rechtsgrundlage ist deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); du kannst die Verknüpfung jederzeit in den Einstellungen lösen, danach widerrufen wir den Token.

Audit-Logs

Aus Sicherheits- und Rechenschaftsgründen führen wir ein internes Log sensibler Aktionen (Logins, Rollenwechsel, Löschungen, Sprachnachrichten-Uploads). Rechtsgrundlage ist unser berechtigtes Interesse an Missbrauchserkennung und der Erfüllung unserer Sicherheitspflichten (Art. 6 Abs. 1 lit. f DSGVO).

Fehlerberichte

Bei einem Absturz senden wir einen bereinigten Fehlerbericht an Sentry (siehe Auftragsverarbeiter-Liste unten). Persönliche Kennungen (E-Mail, Name, Tokens, Cookies, Query-Strings) werden vor dem Versand entfernt. Nur deine Benutzer-ID und Rolle werden mitgesendet, damit wir den Bericht auf Anfrage zuordnen können.

Tracking und Cookies

Wir verwenden keine Marketing-Cookies, Werbe-Tracker oder Drittanbieter-Analysen auf den öffentlichen Marketingseiten. Die Anwendung nutzt ein Session-Cookie von NextAuth für den Login — das ist zwingend erforderlich und nach ePrivacy einwilligungsfrei.

3. Auftragsverarbeiter und Empfänger

Wir nutzen folgende Anbieter, um den Dienst zu betreiben. Einige handeln nach ihren Datenverarbeitungsbedingungen als Auftragsverarbeiter; Anbieterregionen, Unterauftragsverarbeiter, Aufbewahrungsfristen und Übermittlungsmechanismen prüfen wir fortlaufend.

  • Supabase (Datenbank und Edge-Funktionen) — speichert Konto-/Profildaten, Eltern-Verknüpfungen, Einwilligungen, Aufgaben, Abgaben, Prüfungsergebnisse, Lernpakete, Audit-Logs, DSAR-Logs und KI-Telemetrie.
  • Vercel (Hosting, Serverless-Compute) — EU- und US-Edge-Knoten können beteiligt sein. Verarbeitet Request-Metadaten, App-Daten während der Übertragung, Runtime-Logs und Deployment-Umgebungsdaten.
  • Vercel Blob (privater Dateispeicher) — speichert hochgeladene und generierte Hausaufgaben-Dateien, Audio, Bilder/PDFs, Korrekturdateien, Prüfungsantwort-Uploads und Audio für Lernpakete.
  • Resend (transaktionale E-Mails) — versendet Verifizierungs-, Einladungs-, Passwort-Reset-, Benachrichtigungs-, Kontakt- und Eltern-Digest-E-Mails.
  • Upstash Redis (Rate-Limiting) — speichert transiente Aktionszähler und aus Nutzer/IP abgeleitete Rate-Limit-Schlüssel, keine Lerninhalte.
  • Sentry (optionales Fehler-Monitoring) — erhält bereinigte Fehlerdiagnosen, wenn es konfiguriert ist. Request-Bodies, Cookies und Console-Breadcrumbs sind deaktiviert; E-Mails, Tokens, Namen und ähnliche personenbezogene Felder werden vor dem Versand redigiert.
  • Google Calendar APIs/OAuth (optionale Kalender-Synchronisierung für Nachhilfelehrer) — verarbeitet verschlüsselte Refresh-Tokens, verknüpfte Google-E-Mail-Adressen, Kalender-IDs, Event-IDs und Termin-Metadaten. Tokens werden beim Trennen der Verbindung widerrufen.
  • Google Gemini/AI Studio und Google Cloud Text-to-Speech (KI-, Transkriptions- und Sprachfunktionen) — kann ausgewählte Prompts, Schüler-Abgaben oder Audio, PDF-/Bild-Uploads zur Quellensignal-Extraktion für Lernpakete, generierte Ausgaben, zu synthetisierende Wörter und Audio-Metadaten verarbeiten, wenn diese Funktionen aktiviert sind oder im Tutoring-Workflow genutzt werden.
  • DeepSeek (KI-Feedback-, Generierungs- und Freitext-Übersetzungsfunktionen) — kann Abgabeinhalte, Prompts, generiertes Feedback, minimierte Textsignale aus Quellenmaterial, generierte Lernpaket-Entwürfe, freie Texte von Nachhilfelehrern oder Eltern, Sprach-Metadaten und KI-Nutzungstelemetrie verarbeiten, wenn die Funktion aktiviert ist oder im Tutoring-Workflow genutzt wird. Wir behandeln dies als Verarbeitung mit erhöhtem Risiko und beschreiben KI-Verarbeitung nicht pauschal als „datenschutzsicher“.

Wir verkaufen oder vermieten keine personenbezogenen Daten. Daten geben wir nur weiter, wenn wir gesetzlich dazu verpflichtet sind.

4. Daten von Kindern

Bomi Academy ist Software für Nachhilfelehrer und kleine Akademien. Sie wird von Nachhilfelehrern, Schülern und Eltern genutzt; einige Schüler können minderjährig sein. Wir verarbeiten Schülerdaten nur für die in dieser Erklärung beschriebenen Nachhilfe-, Lern-, Konto-, Sicherheits- und Rechenschaftszwecke.

Die Einbindung von Eltern oder gesetzlichen Vertretern erfolgt dort, wo sie relevant ist, über Eltern-Einladungen, Einwilligungssteuerung und Kontodaten-Kontrollen. Eltern oder gesetzliche Vertreter können die untenstehenden Rechte stellvertretend für ihr Kind ausüben.

5. Wie lange wir Daten speichern

  • Kontodaten: solange dein Konto aktiv ist, und nach einer erfüllten Löschanfrage nur so lange, wie es für Sicherheit, Streitigkeiten, Missbrauchsprävention und gesetzliche Pflichten erforderlich ist. Löschanfragen werden nach Umfang geprüft, weil Eltern-, Schüler- und Nachhilfelehrer-Datensätze sich überschneiden können.
  • Abgaben und Feedback: für die Dauer der Nachhilfelehrer-Schüler-Beziehung, sofern berechtigte Datensätze nicht früher gelöscht werden. Per Soft-Delete gelöschte Kerndatensätze wie Gruppen, Aufgaben, Abgaben, Termine, Lernpakete und Rubrik-Vorlagen werden nach 30 Tagen zur endgültigen Löschung vorgesehen; private hochgeladene oder generierte Dateien werden vor der Datenbank-Löschung entfernt, soweit dies unterstützt wird.
  • Audit- und DSAR-Logs: normalerweise bis zu 12 Monate, sofern ein Sicherheitsvorfall, Streitfall oder eine gesetzliche Pflicht keine längere Aufbewahrung erfordert.
  • Betriebliche Datensätze: beanspruchte oder abgelaufene Einladungen werden normalerweise nach 30 Tagen gelöscht; veraltete Onboarding-Entwürfe, Eltern-Digest-Protokolle und KI-Feedback-Entwurfstexte nach 90 Tagen; In-App-Benachrichtigungen nach 180 Tagen; und allgemeine KI-Nutzungstelemetrie nach 12 Monaten.
  • Operative Fehlerberichte: lokal gelöste Berichte werden normalerweise 30 Tage nach der Lösung gelöscht; weiterhin ungelöste lokale Berichte werden normalerweise nach 90 Tagen gelöscht. Die Sentry-Aufbewahrung richtet sich nach den konfigurierten Anbieter-Einstellungen.
  • Backups: werden nach den Backup-Einstellungen der Anbieter aufbewahrt. Einzelne Löschungen aus Backups erfolgen möglicherweise nicht sofort; Daten laufen mit dem Überschreiben alter Backups aus.
  • Rechnungen und steuerlich relevante Unterlagen: 10 Jahre, wie nach § 147 AO erforderlich.

6. Deine Rechte

Nach der DSGVO hast du das Recht auf:

  • Auskunft über die zu deiner Person gespeicherten Daten (Art. 15);
  • Berichtigung unrichtiger Daten (Art. 16);
  • Löschung („Recht auf Vergessenwerden") in den gesetzlichen Fällen (Art. 17);
  • Einschränkung der Verarbeitung (Art. 18);
  • Datenübertragbarkeit in einem strukturierten, maschinenlesbaren Format (Art. 20);
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21);
  • Widerruf einer erteilten Einwilligung jederzeit — unberührt bleibt die Rechtmäßigkeit der bisherigen Verarbeitung (Art. 7 Abs. 3).

Authentifizierte Eltern können ihre Daten auf der Eltern-Daten-Seite herunterladen. Schüler können ihre Daten über die Kontodaten-Kontrollen herunterladen. Der Export wird als ZIP mit strukturierten Daten und, soweit verfügbar, hochgeladenen oder generierten Dateien bereitgestellt. Eltern und Schüler können dort auch eine authentifizierte Löschanfrage stellen.

Du kannst diese Rechte auch per E-Mail ausüben: hello@leeway.website. Wir antworten innerhalb von 30 Tagen.

Du hast außerdem das Recht, dich bei einer Aufsichtsbehörde zu beschweren. Zuständig für uns ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden
Deutschland
https://datenschutz.hessen.de

7. Sicherheit

Wir verwenden TLS für alle Datenübertragungen, AES-256-GCM für sensible Felder im Ruhezustand (z. B. OAuth-Refresh-Tokens), bcrypt für Passwort-Hashes, Rate-Limiting an Authentifizierungs-Endpunkten und Standard-Sicherheits-Header (CSP, HSTS, X-Frame-Options). Anwendungsseitige Autorisierung beschränkt den Zugriff so, dass Nachhilfelehrer, Eltern und Schüler nur Daten erhalten, die sie sehen dürfen.

8. Internationale Übermittlungen

Einige Anbieter können personenbezogene Daten außerhalb des EWR verarbeiten, abhängig von Anbieter-Konfiguration und genutzter Funktion. Soweit erforderlich, stützen sich Übermittlungen auf Data-Privacy-Framework-Zertifizierungen der Anbieter, EU-Standardvertragsklauseln oder andere Schutzmaßnahmen. KI-Anbieter behandeln wir gesondert, weil Schülerarbeiten und internationale Übermittlungen ein höheres Risiko schaffen.

9. Änderungen dieser Erklärung

Wir können diese Erklärung aktualisieren, wenn sich unsere Verarbeitung ändert. Die aktuelle Fassung ist unten datiert; wesentliche Änderungen kündigen wir mindestens 14 Tage im Voraus per In-App-Benachrichtigung oder E-Mail an.