Datenschutzerklärung

Diese Datenschutzerklärung gilt für die StudyBrick Apps (insbesondere „Taxi Unternehmerschein Lernen") sowie für diese Website unter studybrick.com.

1. Verantwortlicher

Yosef Aziz
Paulsternstraße 63
13599 Berlin
Deutschland
E-Mail: datenschutz@studybrick.com

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich. Anfragen richte direkt an die obige E-Mail-Adresse.

2. Zuständige Aufsichtsbehörde

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstraße 219, 10969 Berlin
Telefon: +49 30 13889-0
E-Mail: mailbox@datenschutz-berlin.de
Web: www.datenschutz-berlin.de

3. Übersicht der Verarbeitungen

Wir verarbeiten folgende Datenkategorien:

• Bestandsdaten (E-Mail-Adresse, Anzeigename, Auth-Provider)
• Inhaltsdaten (Lernfortschritt, Antworten, Streak, Spaced-Repetition-Status, gewählte Sprache und Stadt)
• Vertragsdaten (Abo-Status, Kauf-Zeitpunkte, Aktivierungscodes bei B2B)
• Nutzungsdaten (anonymisierte App-Events, Sitzungsdauer)
• Technische Daten (Geräte-Modell, OS-Version, App-Version, Crash-Logs, Push-Token)
• Kommunikationsdaten (freiwilliges Feedback aus der App, Support-Anfragen)
• Pseudonyme Test-Zuordnungen für A/B-Experimente

4. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Account, Lernfunktion, Abo
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für Push-Benachrichtigungen und optionale Analytics
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Crash-Reporting und Stabilität
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für Aufbewahrung von Rechnungs- und Kaufbelegen nach § 257 HGB / § 147 AO

5. Verarbeitungen im Detail

5.1 Account und Authentifizierung (Supabase)

Beim Anlegen eines Accounts speichern wir E-Mail-Adresse, Anzeigename und einen gehashten Login-Token. Login per Google oder Apple übermittelt zusätzlich die Provider-ID. Auftragsverarbeiter: Supabase Inc. (USA, Server in EU-Region, EU-Repräsentant vorhanden), Auftragsverarbeitungsvertrag geschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: bis zur Löschung des Accounts (Settings → Konto löschen) oder Anfrage per E-Mail.

5.2 Lerninhalte und Fortschritt (Supabase, PowerSync)

Beantwortete Fragen, Ergebnisse, Streak, Wiederholungs-Termine und gewählte Einstellungen werden in einer Supabase-Datenbank (EU-Region) und zusätzlich offline auf deinem Gerät via PowerSync (SQLite) gespeichert. Auftragsverarbeiter: JourneyApps Inc. (PowerSync), Server in EU.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: bis zur Löschung des Accounts.

Es findet kein Profiling im Sinne automatisierter Entscheidungen mit rechtlicher Wirkung statt. Der Lernalgorithmus (Spaced Repetition) priorisiert lediglich Fragen.

5.3 Abos und Käufe (Apple, Google, RevenueCat)

Käufe werden ausschließlich über Apple App Store oder Google Play abgewickelt. Wir erhalten keine Zahlungsdaten (Kreditkarte, Bankverbindung). Apple bzw. Google übermitteln uns lediglich pseudonymisierte Transaktions-Quittungen.

Diese Quittungen verarbeiten wir über den Dienstleister RevenueCat Inc. (USA), um den Abo-Status synchron zu halten. Übermittlung in die USA auf Basis der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer Kaufbelege: 10 Jahre (handels- und steuerrechtliche Aufbewahrungspflicht). Restliche Abo-Daten: bis zur Löschung des Accounts.

5.4 Crash-Reporting (Sentry)

Bei einem Absturz erfassen wir automatisch: Fehler-Stack-Trace, Geräte-Modell, OS-Version, App-Version und eine pseudonyme Geräte-ID. Es werden weder E-Mail, Name noch Lerninhalte übermittelt (sendDefaultPii = false). Auftragsverarbeiter: Functional Software Inc. (Sentry, USA, Server in EU-Region de.sentry.io). Übermittlung in die USA via SCC.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (App-Stabilität). Speicherdauer: 90 Tage, danach automatische Löschung.

5.5 Anonyme Nutzungs-Analytik (PostHog)

Wir erfassen anonymisiert, welche Funktionen genutzt werden (z. B. Lektion gestartet, Lektion abgeschlossen, Paywall angesehen). Es wird eine anonyme Geräte-ID verwendet, die nicht mit deinem Account verknüpft ist. Server in EU (PostHog Cloud EU).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung beim Erststart der App, jederzeit in den Einstellungen widerrufbar). Speicherdauer: 12 Monate.

5.6 Push-Benachrichtigungen

Wenn du Push-Benachrichtigungen zustimmst, speichern wir ein gerätespezifisches Push-Token (Apple Push Notification Service oder Firebase Cloud Messaging). Token wird bei Account-Löschung oder Deinstallation entfernt. Inhalt der Push: Lernerinnerungen, Streak-Reminder.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Widerruf jederzeit in den System-Einstellungen oder App-Einstellungen.

5.7 Website-Logs (Cloudflare)

Beim Aufruf dieser Website fallen serverseitig technische Logs an (IP-Adresse, User-Agent, angefragter Pfad, Zeitpunkt) bei unserem Hosting-Provider Cloudflare. Logs werden automatisch nach maximal 24 Stunden gelöscht und nicht weitergegeben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (sicherer Betrieb).

5.8 E-Mail-Versand (Resend)

Transaktionale E-Mails (Bestätigungsmail, Magic-Link, Passwort-Reset) werden über Resend Inc. (USA, EU-Datacenter) versendet. Übermittlung in die USA via SCC. Verarbeitete Daten: E-Mail-Adresse, Inhalt der Nachricht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

5.9 Interne Zugriffe (Admin Panel)

Wir betreiben ein internes Admin-Panel für die Verwaltung von Lerninhalten, technische Diagnose und Beantwortung von Support-Anfragen. Zugriff haben ausschließlich Mitarbeitende mit Auth-2FA. Im Rahmen von Support-Fällen können Account-Status, Abo-Status, Lernfortschritt und Crash-Reports eingesehen werden, aber keine Klartext-Passwörter (gehasht durch Supabase Auth).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bei Support, Art. 6 Abs. 1 lit. f DSGVO (Wartung) bei Diagnose. Alle Zugriffe werden im Audit-Log protokolliert.

5.10 B2B-Lizenzen und Fahrschul-Kontext

Fahrschulen und Ausbildungsbetriebe können Lizenz-Pakete erwerben und ihren Teilnehmern Aktivierungscodes ausgeben. Der lizenznehmende Betrieb erhält dabei ausschließlich aggregierte, nicht-personenbezogene Statistiken (z. B. Anzahl aktiver Aktivierungen, Gesamt-Nutzungsstunden). Lernfortschritt, Antworten und Identität einzelner Teilnehmer werden nicht an die Fahrschule übermittelt.

Lediglich bei expliziter Einwilligung des Teilnehmers (z. B. Vorlage eines Zertifikats gegenüber der Fahrschule) werden personenbezogene Daten an den Lizenznehmer übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für die Vertragsabwicklung mit Teilnehmer, Art. 6 Abs. 1 lit. a DSGVO für die Übermittlung an die Fahrschule. Zwischen uns und dem Lizenznehmer besteht zudem ein Auftragsverarbeitungsvertrag.

5.11 Experimentelle Funktionen und A/B-Tests

Zur Verbesserung von Paywall, Preis-Darstellung und Onboarding setzen wir A/B-Tests über RevenueCat Experiments ein. Dabei wirst du pseudonym einer von mehreren Varianten zugeordnet (z. B. Variante A oder B des Paywall-Layouts). Die Zuordnung erfolgt anhand deiner anonymen RevenueCat App-User-ID, ohne dass Klarnamen oder E-Mail-Adressen einbezogen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung). Du kannst der Teilnahme an A/B-Tests jederzeit widersprechen über eine Nachricht an datenschutz@studybrick.com.

5.12 In-App Feedback

Sobald die Feedback-Funktion in der App aktiviert ist, kannst du freiwillig Nachrichten, Fehlerberichte oder Verbesserungsvorschläge an uns senden. Übertragen werden der von dir eingegebene Text und optional deine E-Mail-Adresse (für Rückfragen). Die Nachrichten werden in unserem Issue-Tracker (Linear oder GitHub) verarbeitet, mit dem entsprechende Auftragsverarbeitungsverträge bestehen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Absenden) bzw. Art. 6 Abs. 1 lit. f DSGVO (Produktverbesserung). Speicherdauer: bis zur Erledigung des Anliegens, danach max. 6 Monate.

6. Drittlandsübermittlungen

Einige Dienstleister verarbeiten Daten in den USA. Für diese Übermittlungen liegen EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie ergänzende technische Schutzmaßnahmen vor. Im Einzelnen:

• RevenueCat Inc. — Abo-Management
• Functional Software Inc. (Sentry) — Crash-Reports (Server EU)
• Resend Inc. — E-Mail (Server EU)

7. Empfänger / Auftragsverarbeiter

• Supabase Inc. — Hosting Datenbank und Auth (EU-Region) — supabase.com/privacy
• JourneyApps Inc. (PowerSync) — Offline-Sync (EU) — powersync.com/legal/privacy-policy
• RevenueCat Inc. — Abo-Management (USA, SCC) — revenuecat.com/privacy
• Functional Software Inc. (Sentry) — Crash-Reports (EU-Region) — sentry.io/privacy
• PostHog Inc. — Analytics (EU Cloud) — posthog.com/privacy
• Resend Inc. — Transaktions-Mail (EU, SCC) — resend.com/legal/privacy-policy
• Cloudflare Inc. — Website-Hosting + DNS (EU) — cloudflare.com/privacypolicy
• Apple Inc. — App-Store und In-App-Käufe — apple.com/legal/privacy
• Google LLC — Play Store und In-App-Käufe — policies.google.com/privacy
• Linear Inc. — Issue-Tracker für In-App Feedback (USA, SCC, sobald Feedback-Funktion aktiv) — linear.app/privacy
• B2B-Lizenznehmer (Fahrschulen / Bildungsträger) — als gemeinsam Verantwortliche im Rahmen der jeweiligen AVV

8. Speicherdauer im Überblick

• Account- und Lerndaten: bis zur Löschung des Accounts
• Crash-Reports: 90 Tage
• Analytics-Events: 12 Monate
• Push-Token: bis Widerruf oder Deinstallation
• Kaufbelege und Rechnungsdaten: 10 Jahre (§ 257 HGB, § 147 AO)
• Website-Logs: max. 24 Stunden
• E-Mail-Korrespondenz: 6 Monate, längere Aufbewahrung bei vertraglich relevanten Anfragen
• In-App Feedback: bis zur Erledigung, danach max. 6 Monate
• Admin-Audit-Logs: 12 Monate
• A/B-Test-Zuordnungen: bis Test-Ende, danach 90 Tage

9. Deine Rechte

• Auskunft (Art. 15 DSGVO) — was wir über dich speichern
• Berichtigung (Art. 16 DSGVO) — falsche Daten korrigieren
• Löschung (Art. 17 DSGVO) — „Recht auf Vergessen"
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO) — Export deiner Daten als JSON
• Widerspruch (Art. 21 DSGVO) — gegen Verarbeitungen auf Basis berechtigten Interesses
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
• Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO) — Kontakt siehe oben

Wie Rechte ausüben

Einfache Wege:

• Account löschen: in der App unter Einstellungen → Konto löschen
• Datenexport: in der App unter Einstellungen → Meine Daten exportieren (JSON-Datei)
• Sonstige Anfragen: E-Mail an datenschutz@studybrick.com — Antwort innerhalb von 30 Tagen.

10. Minderjährige

Die App richtet sich an Personen ab 16 Jahren. Bei Minderjährigen unter 16 Jahren ist die Einwilligung der Erziehungsberechtigten gemäß Art. 8 DSGVO erforderlich. Wir erheben keine Daten von Kindern unter 13 Jahren wissentlich.

11. Cookies und Tracking

Diese Website verwendet keine Tracking-Cookies und kein Werbe-Tracking. Die Apps verwenden keine Werbe-IDs (Apple IDFA / Google AAID), keine geräteübergreifenden Tracker, und keine Dritt-Werbenetzwerke.

12. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die rechtliche Wirkung gegenüber dir entfaltet.

13. Änderungen dieser Datenschutzerklärung

Bei wesentlichen Änderungen informieren wir dich per In-App-Hinweis oder E-Mail. Aktuelle Fassung jeweils unter studybrick.com/datenschutz.

Stand: 14. Mai 2026