Zurück zur Startseite

Datenschutzerklärung

Zuletzt aktualisiert: 22. März 2026

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Datenverarbeitung über die Webanwendung Diagnote ist:

Kander Akinci
Ehrenfeldgürtel 174
50823 Köln, Deutschland
E-Mail: [email protected]

Für Schülerdaten, die von Nutzern (Lehrkräften) eingegeben werden, ist der Nutzer der Verantwortliche und Diagnote handelt als Auftragsverarbeiter (siehe Abschnitt 7).

2. Überblick

Diese Datenschutzerklärung erläutert, wie Diagnote ("wir", "uns", "unser") personenbezogene Daten erhebt, verwendet, speichert und schützt, wenn Sie die Webanwendung Diagnote ("Dienst") unter diagnote.io nutzen.

3. Daten, die wir erheben

3.1 Kontodaten

Von Ihnen bei der Registrierung und Nutzung bereitgestellt:

  • Benutzername, E-Mail-Adresse, Vor- und Nachname
  • Passwort (als kryptographischer Hash gespeichert; niemals im Klartext)
  • Google-ID (bei Nutzung der Google-Anmeldung)
  • Profilbild (optional)
  • Sprachpräferenz des Systems (DE/EN)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — erforderlich zur Erfüllung des Vertrags (Bereitstellung des Dienstes).

3.2 Schülerdaten

Vom Nutzer (Lehrkraft) eingegeben:

  • Schülernamen, Nachnamen oder Pseudonyme
  • E-Mail-Adressen der Schüler (optional)
  • Schülerantworten (Freitext, Multiple-Choice, Lückentext)
  • KI-Bewertungsergebnisse (Erfüllungsgrad, Begründung, Feedback)
  • Sprachanalyseergebnisse (Grammatik-, Rechtschreib-, Zeichensetzungsfehler)
  • Klassen- und Fachzuordnungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — erforderlich zur Bereitstellung des Dienstes an den Nutzer. Der Nutzer (Lehrkraft) ist der Verantwortliche für Schülerdaten; siehe Abschnitt 7.

3.3 Abrechnungsdaten

  • Wallet-Guthaben und Transaktionshistorie
  • Stripe-Kunden-ID
  • Zahlungsmitteltyp (Kartenmarke/letzte 4 Ziffern oder PayPal-E-Mail)
  • Rechnungsunterlagen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — erforderlich für Abrechnung und Vertragserfüllung. Art. 6 Abs. 1 lit. c DSGVO — erforderlich zur Einhaltung steuerrechtlicher Aufbewahrungspflichten.

Vollständige Zahlungskartennummern werden niemals von Diagnote gespeichert. Die gesamte Zahlungsabwicklung erfolgt über Stripe.

3.4 Aufgaben- und Inhaltsdaten

  • Aufgabenstrukturen, Anweisungen und Materialien
  • Bewertungsschlüssel und Bewertungskriterien
  • Hochgeladene Bilder

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — erforderlich zur Bereitstellung des Dienstes.

3.5 Technische und Nutzungsdaten

  • Verwendetes KI-Modell und Tokenverbrauch pro Bewertungsvorgang
  • Zeitstempel von Aktionen
  • Fehlerprotokolle (über Sentry, können IP-Adressen und Anfrage-Metadaten enthalten)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Wartung, Sicherung und Verbesserung des Dienstes.

3.6 Trainingsdaten

  • Anonymisierte KI-Eingabe-/Ausgabedaten (Aufgabenbeschreibungen, Schülerantworten und Bewertungsergebnisse mit entfernten direkten personenbezogenen Identifikatoren)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Verbesserung des Dienstes und der Entwicklung von Machine-Learning-Modellen. Siehe Abschnitt 8.

4. Cookies und Authentifizierungs-Tokens

4.1 Der Dienst verwendet folgende Cookies:

CookieZweckTypDauer
accessJWT-AuthentifizierungHttpOnly15 Minuten
refreshJWT-Token-ErneuerungHttpOnly7 Tage
csrftokenCSRF-SchutzFunktionalSitzung
diagnote_cookie_preferencesCookie-EinwilligungswahlFunktional1 Jahr

4.2 Alle vom Dienst verwendeten Cookies sind für den technischen Betrieb zwingend erforderlich (Authentifizierung und Sicherheit). Es werden keine Marketing-, Analyse- oder Drittanbieter-Tracking-Cookies verwendet.

4.3 Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO; § 25 Abs. 2 TDDDG — Cookies, die für die Bereitstellung des Dienstes unbedingt erforderlich sind.

5. Drittanbieter-Auftragsverarbeiter und Datenübermittlungen

5.1 Wir geben personenbezogene Daten an folgende Drittanbieter weiter, die als Auftragsverarbeiter in unserem Auftrag handeln:

AnbieterZweckStandortSchutzmaßnahme
DigitalOceanHosting, Datenbank, DateispeicherFrankfurt, Deutschland (FRA1)AVV
OpenAIKI-Bewertung von SchülerantwortenUSAAVV + SCCs
LanguageTooler GmbHGrammatik-, Rechtschreib-, ZeichensetzungsprüfungDeutschland / EUAVV
StripeZahlungsabwicklungUSAAVV + SCCs + DPF
GoogleOAuth-AnmeldungUSAAVV + SCCs + DPF
SentryFehlerüberwachungUSAAVV + SCCs

5.2 Datenübermittlungen in die Vereinigten Staaten werden durch Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO und, soweit anwendbar, durch das EU-US Data Privacy Framework (DPF) geschützt.

5.3 Kopien der geltenden Auftragsverarbeitungsverträge sind auf Anfrage unter [email protected] erhältlich.

5.4 Wenn ein Nutzer Schülerantworten zur KI-Bewertung einreicht, werden der Text der Antwort und die Aufgabe/der Bewertungsschlüssel an die API von OpenAI zur Verarbeitung übermittelt. OpenAI verarbeitet diese Daten als Auftragsverarbeiter und verwendet gemäß seiner aktuellen API-Datennutzungsrichtlinie keine API-Eingaben/-Ausgaben zum Training seiner Modelle.

6. Wie wir Ihre Daten verwenden

6.1 Wir verwenden personenbezogene Daten für folgende Zwecke:

  • Bereitstellung und Betrieb des Dienstes (Kontoverwaltung, Aufgabenerstellung, Bewertung, Berichtsgenerierung);
  • Verarbeitung von Zahlungen und Führung von Abrechnungsunterlagen;
  • Versand transaktionsbezogener E-Mails (Kontoverifizierung, Passwort-Zurücksetzung, Abrechnungsbenachrichtigungen, Ergebniszustellung);
  • Aufrechterhaltung der Sicherheit und Verhinderung von Missbrauch;
  • Überwachung und Behebung technischer Fehler;
  • Verbesserung und Weiterentwicklung des Dienstes, einschließlich Training von Machine-Learning-Modellen mit anonymisierten Daten (siehe Abschnitt 8).

6.2 Wir verwenden Ihre Daten nicht für Werbung, verkaufen Ihre Daten nicht an Dritte und erstellen keine Nutzerprofile zu Marketingzwecken.

7. Schülerdaten — Auftragsverarbeitungsverhältnis

7.1 Wenn ein Nutzer (Lehrkraft) Schülerdaten in den Dienst eingibt, ist der Nutzer der Verantwortliche für diese Schülerdaten im Sinne von Art. 4 Nr. 7 DSGVO. Der Nutzer bestimmt Zweck und Mittel der Verarbeitung der Schülerdaten.

7.2 Diagnote handelt als Auftragsverarbeiter im Sinne von Art. 28 DSGVO und verarbeitet Schülerdaten ausschließlich im Auftrag des Nutzers und gemäß diesen Bedingungen und den Weisungen des Nutzers.

7.3 Der Nutzer ist verantwortlich für:

  • Eine rechtmäßige Grundlage für die Verarbeitung von Schülerdaten (z. B. Einwilligung, berechtigtes Interesse oder rechtliche Verpflichtung);
  • Die Information der Schüler (und ggf. deren Eltern/Erziehungsberechtigten) über die Datenverarbeitung, einschließlich der Einbeziehung von KI-Drittanbietern;
  • Die Beantwortung von Auskunftsersuchen betroffener Schüler;
  • Die Verwendung von Pseudonymen anstelle echter Namen, wenn keine personenbezogenen Daten auf der Plattform gespeichert werden sollen.

7.4 Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist auf Anfrage unter [email protected] erhältlich.

7.5 Bei Kontolöschung durch den Nutzer werden alle Schülerdaten dauerhaft aus unseren Systemen gelöscht, vorbehaltlich Abschnitt 10.

8. Datennutzung für Modelltraining

8.1 Diagnote speichert KI-Bewertungseingaben (Aufgabeninhalte, Schülerantworten, Bewertungsschlüssel) und -ausgaben (Bewertungsergebnisse, Begründungen, Feedback), um den Dienst zu verbessern und Machine-Learning-Modelle zu entwickeln.

8.2 Vor der Verwendung zu Trainingszwecken werden diese Daten durch Entfernung direkter personenbezogener Identifikatoren (Namen, E-Mail-Adressen, Kontozuordnungen) anonymisiert.

8.3 Der Nutzer nimmt zur Kenntnis, dass Freitextinhalte in Aufgaben und Schülerantworten naturgemäß personenbezogene oder vertrauliche Informationen enthalten können, die nicht automatisch erkannt und entfernt werden können.

8.4 Nutzer, die der Datennutzung für Modelltraining widersprechen möchten, können sich an [email protected] wenden. Wir werden wirtschaftlich angemessene Anstrengungen unternehmen, solche Anfragen prospektiv zu berücksichtigen.

8.5 Anonymisierte Trainingsdaten können unbefristet aufbewahrt werden, auch nach Kontolöschung, da sie nicht mehr als personenbezogene Daten im Sinne der DSGVO gelten.

9. Datenspeicherung

9.1 Kontodaten, Inhalte und Schülerdaten: Werden für die Dauer des Nutzerkontos aufbewahrt. Bei Kontolöschung durch den Nutzer dauerhaft gelöscht.

9.2 Abrechnungsunterlagen (Rechnungen, Transaktionen): Werden bis zu 10 Jahre nach Ende des Kalenderjahres aufbewahrt, in dem die Transaktion stattfand, wie gesetzlich vorgeschrieben (§ 147 AO, § 257 HGB).

9.3 Anonymisierte Trainingsdaten: Unbefristete Aufbewahrung (siehe Abschnitt 8.5).

9.4 Fehlerprotokolle (Sentry): Aufbewahrung gemäß den Datenspeicherungsrichtlinien von Sentry (in der Regel 30–90 Tage).

9.5 Wir implementieren keine automatische Datenlöschung für aktive Konten. Nutzer können jederzeit einzelne Schüler, Aufgaben, Klassen oder ihr gesamtes Konto über den Dienst löschen.

10. Kontolöschung

10.1 Nutzer können ihr Konto jederzeit über die Kontoeinstellungen löschen.

10.2 Bei Kontolöschung werden folgende Daten dauerhaft gelöscht:

  • Kontodaten (Profil, Zugangsdaten)
  • Alle Aufgaben, Klassen, Fächer und Zuordnungen
  • Alle Schülerdaten (Namen, Antworten, Bewertungen)
  • Wallet-Guthaben und Zahlungsmittelreferenzen

10.3 Folgende Daten können nach der Löschung aufbewahrt werden:

  • Abrechnungsunterlagen gemäß steuerrechtlicher Pflichten (siehe Abschnitt 9.2)
  • Anonymisierte Trainingsdaten (siehe Abschnitt 8.5)
  • Daten, die bereits in verschlüsselten Backups enthalten sind (werden bei Backup-Rotation gelöscht, in der Regel innerhalb von 30 Tagen)

11. Ihre Rechte (DSGVO Art. 15–21)

11.1 Nach der DSGVO haben Sie folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15) — Bestätigung und Kopie Ihrer personenbezogenen Daten erhalten;
  • Recht auf Berichtigung (Art. 16) — fehlerhafte Daten korrigieren;
  • Recht auf Löschung (Art. 17) — Löschung Ihrer Daten verlangen;
  • Recht auf Einschränkung der Verarbeitung (Art. 18);
  • Recht auf Datenübertragbarkeit (Art. 20) — Ihre Daten in einem strukturierten, gängigen Format erhalten;
  • Widerspruchsrecht (Art. 21) — Widerspruch gegen die Verarbeitung aufgrund berechtigter Interessen, einschließlich Datennutzung für Modelltraining;
  • Recht auf Widerruf der Einwilligung jederzeit, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

11.2 Zur Ausübung dieser Rechte kontaktieren Sie [email protected]. Wir antworten innerhalb von 30 Tagen.

11.3 Für Schülerdaten: Da der Nutzer (Lehrkraft) der Verantwortliche ist, sollten Betroffenenrechtsanfragen von Schülern an die jeweilige Lehrkraft gerichtet werden. Diagnote unterstützt den Nutzer auf Weisung bei der Erfüllung solcher Anfragen.

11.4 Beschwerderecht: Sie haben das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen. Die zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2-4
40213 Düsseldorf
https://www.ldi.nrw.de

12. Datensicherheit

12.1 Wir setzen geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten um, darunter:

  • Verschlüsselung bei der Übertragung (TLS/HTTPS für alle Verbindungen);
  • Verschlüsselte Cloud-Speicherung (DigitalOcean Spaces mit serverseitiger Verschlüsselung);
  • Kryptographisches Passwort-Hashing (niemals im Klartext gespeichert);
  • Kurzlebige JWT-Authentifizierungs-Tokens (15-Minuten-Zugangs-Tokens);
  • HttpOnly-Cookies zur Verhinderung des clientseitigen Token-Zugriffs;
  • CSRF-Schutz bei zustandsändernden Anfragen;
  • Nutzerbezogene Datenisolierung (Nutzer können nur auf ihre eigenen Daten zugreifen);
  • Webhook-Signaturverifizierung (Stripe).

12.2 Trotz dieser Maßnahmen ist keine Methode der elektronischen Übertragung oder Speicherung zu 100 % sicher. Wir können keine absolute Sicherheit garantieren.

13. Daten von Minderjährigen

13.1 Der Dienst richtet sich an Nutzer ab 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern.

13.2 Schülerdaten können sich auf Minderjährige beziehen. Der Nutzer (Lehrkraft) ist allein dafür verantwortlich, sicherzustellen, dass die entsprechende rechtliche Befugnis zur Verarbeitung der Daten minderjähriger Schüler vorliegt, einschließlich der Einwilligung der Eltern oder Erziehungsberechtigten, soweit erforderlich.

13.3 Wenn uns bekannt wird, dass wir direkt personenbezogene Daten von einem Kind unter 16 Jahren ohne entsprechende Berechtigung erhoben haben, werden wir Maßnahmen zur Löschung dieser Daten ergreifen.

14. Änderungen dieser Datenschutzerklärung

14.1 Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren.

14.2 Nutzer werden über wesentliche Änderungen per E-Mail benachrichtigt. Die aktualisierte Erklärung enthält das Datum der "Letzten Aktualisierung" oben auf der Seite.

14.3 Die fortgesetzte Nutzung des Dienstes nach Inkrafttreten der Änderungen gilt als Annahme der aktualisierten Datenschutzerklärung.

15. Kontakt

Bei Fragen oder Anfragen zu dieser Datenschutzerklärung oder Ihren personenbezogenen Daten:

Kander Akinci
Ehrenfeldgürtel 174
50823 Köln, Deutschland
E-Mail: [email protected]