Datenschutzerklärung
Datenschutzerklärung
Stand: Mai 2025
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Juan Eduardo Huke
Einzelunternehmen, handelnd unter „canrii"
Wolfhagener Str. 37
60433 Frankfurt am Main
Deutschland
Telefon: +49 1639824606
E-Mail: kontakt@canrii.de
2. Überblick über die Datenverarbeitung
BaPsy Academy ist eine Lernplattform zur Vorbereitung auf den BaPsy-DGPs. Die Plattform wird von canrii (Juan Eduardo Huke) betrieben und steht in keiner Verbindung zur Deutschen Gesellschaft für Psychologie (DGPs) oder anderen psychologischen Fachgesellschaften. Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der Nutzung unserer Web-Anwendung und iOS-App.
3. Welche Daten wir erheben
3.1 Registrierung und Benutzerkonto
Bei der Registrierung und Nutzung Ihres Kontos verarbeiten wir:
- Pflichtdaten: E-Mail-Adresse, Passwort (nur als kryptographischer Hash gespeichert, bcrypt)
- Optionale Profildaten: Anzeigename, Benutzername, Profilbild, Stadt, Zieluniversität, bevorzugte Kontaktmethode (z. B. Instagram, WhatsApp, Telegram, E-Mail, Discord) und zugehöriger Kontaktwert (z. B. Benutzername auf der jeweiligen Plattform), Profilfarbe, Bannerbild
- Persönliche Seite: Moodboard-Bilder (bis zu 6), Profilprompts (Fragen & Antworten zur Person)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Pflichtdaten; Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für optionale Profildaten (Sie entscheiden selbst, welche Informationen Sie angeben).
3.2 Anmeldung mit Apple (Apple Sign-In)
Sie können sich alternativ über „Mit Apple anmelden" registrieren und einloggen. Dabei erhalten wir von Apple Ihre E-Mail-Adresse (ggf. die von Apple generierte Relay-Adresse), Ihren Namen (sofern freigegeben) sowie ein kryptographisches Identitäts-Token. Zugangs- und Aktualisierungs-Token von Apple werden verschlüsselt gespeichert, um die Anmeldung aufrechtzuerhalten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
3.3 Zwei-Faktor-Authentifizierung und vertrauenswürdige Geräte
Bei der Anmeldung mit E-Mail und Passwort wird ein sechsstelliger Einmalcode per E-Mail versendet. Dieser Code wird temporär gespeichert und verfällt nach 10 Minuten. Sie können ein Gerät als „vertrauenswürdig" markieren; dabei wird ein Cookie mit einer zufälligen Kennung für 90 Tage auf Ihrem Gerät gesetzt, sodass bei Folgeanmeldungen kein erneuter Code erforderlich ist.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Benutzerkontos).
3.4 Lernfortschritt und Lernaktivität
Zur Bereitstellung der Lernplattform speichern wir:
- Seitenfortschritt: Welche Lernseiten und Kapitel Sie abgeschlossen haben (Zeitstempel)
- Aufgabenversuche: Gewählte Antworten, ob die Antwort korrekt war, ob ein Hinweis verwendet wurde, aufgewendete Zeit in Sekunden
- Simulationsversuche: Start-/Endzeitpunkt, Gesamtpunktzahl, Ergebnisse pro Abschnitt und Aufgabe
- Lernstreifen (Streak): Tägliche Aktivitätseinträge, um aufeinanderfolgende Lerntage anzuzeigen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Kernfunktion der Lernplattform).
3.5 Kommunikation (Chat, Direktnachrichten, Pings)
Wenn Sie Kommunikationsfunktionen nutzen, verarbeiten wir:
- Gruppennachrichten: Textnachrichten (max. 2.000 Zeichen) und optional Bilder in Lerngruppen
- Direktnachrichten: Private Nachrichten zwischen zwei Nutzern inkl. optionaler Bilder
- Pings: Kontaktanfragen an andere Nutzer mit Nachricht und Kontext
- Community Q&A: Öffentliche Fragen, Antworten und Likes in der Community
Nachrichten werden in Echtzeit über WebSocket (Socket.io) übertragen und dauerhaft in unserer Datenbank gespeichert. Gelöschte Nachrichten werden als gelöscht markiert (Soft Delete).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – bereitgestellte Kommunikationsfunktionen).
3.6 Bild-Uploads
Sie können Bilder hochladen (Profilbild, Bannerbild, Moodboard, Chat-Bilder). Hochgeladene Bilder werden serverseitig in das WebP-Format konvertiert und optimiert. Es werden Miniaturansichten (Thumbnails) erstellt. Die Bilddaten werden als Binärdaten direkt in unserer PostgreSQL-Datenbank gespeichert (nicht im Dateisystem). Gespeichert werden zudem der ursprüngliche Dateiname, MIME-Typ, Dateigröße, Bildmaße und der Kontext des Uploads.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei optionalen Profilbildern).
3.7 Zahlungsdaten
Für den Erwerb einer Lizenz bieten wir zwei Zahlungswege an:
- Stripe (Web): Die Zahlungsabwicklung erfolgt über Stripe, Inc. Ihre Kreditkarten- bzw. Zahlungsdaten werden ausschließlich von Stripe verarbeitet und nie auf unseren Servern gespeichert. Wir erhalten und speichern lediglich eine Stripe-Kunden-ID und eine Zahlungsvorgangs-ID.
- Apple In-App-Kauf (iOS): Die Zahlungsabwicklung erfolgt über den Apple App Store. Wir erhalten und speichern lediglich die Transaktions-ID und die originale Transaktions-ID zur Lizenzverifizierung.
Wir speichern zudem: Lizenzstatus, Quelle (Web/iOS), Start-/Enddatum, Preis und Währung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
3.8 Push-Benachrichtigungen (iOS)
Wenn Sie Push-Benachrichtigungen aktivieren, wird ein Gerätetoken (APNs Device Token) des Apple Push Notification Service gespeichert. Dieses Token wird verwendet, um Ihnen Benachrichtigungen über neue Nachrichten, Pings, Antworten und Systembenachrichtigungen zu senden. Sie können Push-Benachrichtigungen jederzeit in Ihren Geräteeinstellungen deaktivieren. Beim Abmelden wird das Token automatisch deaktiviert. Ungültige Token werden automatisch entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über die Geräteeinstellung).
3.9 Benachrichtigungspräferenzen
Sie können pro Benachrichtigungstyp (z. B. Nachrichten, Community-Antworten) individuell festlegen, ob Sie Push-, E-Mail- und In-App-Benachrichtigungen erhalten möchten. Diese Einstellungen werden in Ihrem Benutzerprofil gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
3.10 Moderation und Meldungen
Alle nutzererstellten Textinhalte werden vor Veröffentlichung automatisch auf unangemessene Inhalte (Beleidigungen, Hassrede) geprüft (Profanity Filter). Dabei wird der Originaltext normalisiert und mit einer Wortliste abgeglichen. Bei einem Treffer wird der Inhalt blockiert und der Originaltext, die erkannten Wörter sowie Ihr Benutzer-ID für die Moderationsprüfung durch Administratoren gespeichert.
Sie können Inhalte anderer Nutzer melden. Dabei werden Ihre Nutzer-ID, der gemeldete Inhalt, der Grund und Ihre Beschreibung gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren Plattform und dem Schutz der Nutzer).
4. Cookies
Wir setzen folgende Cookies ein:
| Cookie | Zweck | Dauer | Art |
|---|---|---|---|
authjs.session-token bzw. __Secure-authjs.session-token |
Authentifizierung und Sitzungsverwaltung (JWT) | 30 Tage | Technisch notwendig |
trusted_device |
Vertrauenswürdiges Gerät (Überspringen der Zwei-Faktor-Authentifizierung) | 90 Tage | Technisch notwendig |
Wir setzen keine Tracking-, Analyse- oder Werbe-Cookies ein. Es werden keine Cookies von Drittanbietern zu Marketing- oder Trackingzwecken gesetzt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse – beide Cookies sind technisch notwendig für die sichere Funktionalität der Plattform). Eine Einwilligung nach § 25 Abs. 2 TDDDG ist nicht erforderlich, da diese Cookies unbedingt erforderlich sind.
5. Auftragsverarbeiter und Datenübermittlung an Dritte
Wir nutzen folgende Dienstleister zur Erbringung unserer Leistungen:
5.1 Render Services, Inc. (Hosting & Datenbank)
- Zweck: Hosting der Web-Anwendung, des Chat-Servers und der PostgreSQL-Datenbank
- Serverstandort: Frankfurt am Main, Deutschland (EU)
- Daten: Sämtliche in der Datenbank gespeicherten Daten
- Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung)
5.2 Redis (Caching)
- Zweck: Zwischenspeicherung für Leistungsoptimierung, Rate Limiting, Echtzeit-Anzeige von Online-Status und Tipp-Indikatoren
- Daten: Temporäre Nutzerstatus-Informationen (Rolle, Bann-Status), Online-Präsenz in Gruppenräumen, Tipp-Indikatoren – alle mit kurzer Lebensdauer (Sekunden bis Stunden)
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Leistungsoptimierung)
5.3 Stripe, Inc. (Zahlungsabwicklung)
- Zweck: Abwicklung von Kreditkarten- und Online-Zahlungen für Lizenzkäufe
- Sitz: USA (mit EU-Datenverarbeitung)
- Daten: E-Mail-Adresse, Zahlungsinformationen (von Stripe direkt verarbeitet)
- Garantien: Stripe ist nach dem EU-US Data Privacy Framework zertifiziert. Es gelten die Datenschutzrichtlinien von Stripe.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 49 Abs. 1 lit. b DSGVO (Drittlandübermittlung zur Vertragserfüllung)
5.4 Resend, Inc. (E-Mail-Versand)
- Zweck: Versand transaktionaler E-Mails (Anmeldecodes, Benachrichtigungen über Nachrichten, Pings, Community-Antworten, Lizenzablauf, Systembenachrichtigungen / Broadcasts)
- Sitz: USA
- Daten: E-Mail-Adresse, Anzeigename, E-Mail-Inhalt
- Absenderadresse: noreply@bapsy-academy.de
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 49 Abs. 1 lit. b DSGVO (Drittlandübermittlung)
5.5 Apple Inc. (Authentifizierung, In-App-Kauf, Push-Benachrichtigungen)
- Zweck:
- Apple Sign-In: Authentifizierung über Apple-ID
- Apple App Store: Abwicklung von In-App-Käufen und Lizenzverwaltung
- Apple Push Notification Service (APNs): Zustellung von Push-Benachrichtigungen an iOS-Geräte
- Sitz: USA / Irland (Apple Distribution International Ltd.)
- Daten: Apple-ID-Token, Transaktions-IDs, Gerätetoken für Push-Benachrichtigungen
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für Push-Benachrichtigungen)
6. iOS-App – Besondere Hinweise
Bei Nutzung unserer iOS-App gelten folgende Besonderheiten:
- Keychain: Ihr Authentifizierungs-Token wird sicher in der iOS-Keychain gespeichert (nicht im Klartext im Dateisystem).
- Offline-Modus: Lerninhalte (Seiten, Aufgaben) werden als JSON-Dateien im Dokumentenverzeichnis der App zwischengespeichert, um die Offline-Nutzung zu ermöglichen. Fortschrittsdaten werden lokal in einer Synchronisierungswarteschlange gehalten und bei bestehender Internetverbindung an den Server übermittelt.
- Cache: API-Antworten werden im Cache-Verzeichnis der App für maximal 24 Stunden zwischengespeichert.
- Keine unverschlüsselten personenbezogenen Daten werden auf dem Gerät außerhalb der Keychain gespeichert.
7. Keine Analyse- und Tracking-Dienste
Wir setzen keine Webanalyse-Tools (wie Google Analytics, Matomo, Hotjar o. ä.) und keine Tracking-Pixel oder Marketing-Tools ein. Es findet kein Tracking Ihres Nutzerverhaltens über die für die Plattformfunktionalität notwendige Lernfortschrittserfassung hinaus statt.
8. Datensicherheit
Wir setzen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:
- Verschlüsselte Übertragung aller Daten via HTTPS/TLS (Web) und WSS (WebSocket/Chat)
- Passwörter werden ausschließlich als bcrypt-Hash gespeichert – eine Entschlüsselung ist nicht möglich
- Zwei-Faktor-Authentifizierung per E-Mail-Code bei jeder Anmeldung (sofern kein vertrauenswürdiges Gerät)
- JWT-basierte Sitzungsverwaltung mit 30-tägiger Gültigkeit
- Rate Limiting zum Schutz vor Brute-Force-Angriffen (Anmeldung, Chat, API-Anfragen)
- Automatische Erkennung und Sperrung bei Bann-Verstößen in Echtzeit über Pub/Sub
- Automatischer Profanity-Filter für nutzererstellte Inhalte
- Serverseitige Bild-Validierung und -Konvertierung
- Hosting in der EU (Frankfurt am Main) bei Render.com
9. Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Benutzerkonto und Profildaten | Bis zur Löschung des Kontos durch den Nutzer oder Administrator |
| Lernfortschritt und Aufgabenversuche | Bis zur Kontolöschung |
| Chat-Nachrichten und Direktnachrichten | Bis zur Löschung durch Nutzer/Admin oder Kontolöschung |
| Community-Beiträge und Antworten | Bis zur Löschung durch Nutzer/Admin oder Kontolöschung |
| Lizenzdaten | Bis zur Kontolöschung (zur Nachweis- und Abrechnungszwecke ggf. länger gemäß handels- und steuerrechtlichen Aufbewahrungsfristen von bis zu 10 Jahren) |
| Einmalcodes (2FA) | 10 Minuten nach Erstellung |
| Vertrauenswürdige Geräte | 90 Tage |
| Broadcasts | Bis zum konfigurierten Ablaufdatum oder Löschung durch Administrator |
| Gemeldete und markierte Inhalte | Bis zur Abarbeitung durch Moderation und anschließend gemäß berechtigtem Interesse |
| Gerätetoken (Push) | Bis zur Abmeldung oder automatischen Deaktivierung bei Ungültigkeit |
| Cache-Daten (Redis) | Sekunden bis maximal wenige Stunden (automatischer Ablauf) |
10. Ihre Rechte
Sie haben gemäß DSGVO folgende Rechte:
- Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
- Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen. Viele Daten können Sie direkt in Ihrem Profil bearbeiten.
- Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen.
- Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (z. B. Push-Benachrichtigungen in den Geräteeinstellungen deaktivieren oder E-Mail-Benachrichtigungen in Ihrem Profil abschalten).
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: kontakt@canrii.de
11. Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 611 1408-0
Website: https://datenschutz.hessen.de
12. Übermittlung in Drittländer
Durch den Einsatz der oben genannten Dienstleister (Stripe, Resend, Apple) kann eine Übermittlung personenbezogener Daten in die USA stattfinden. Die Übermittlung erfolgt auf Basis folgender Garantien:
- EU-US Data Privacy Framework: Soweit die jeweiligen Dienstleister zertifiziert sind (insbesondere Stripe, Apple)
- Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO): Sofern diese mit den Dienstleistern vereinbart sind
- Art. 49 Abs. 1 lit. b DSGVO: Für Übermittlungen, die zur Vertragserfüllung erforderlich sind (z. B. Zahlungsabwicklung über Stripe)
Unser Haupt-Hosting (Webserver und Datenbank) erfolgt ausschließlich in Frankfurt am Main, Deutschland (EU).
13. Minderjährige
Unser Angebot richtet sich an Personen, die sich auf den BaPsy-DGPs vorbereiten (in der Regel Studierende und Studieninteressierte). Eine Nutzung durch Personen unter 16 Jahren ist nicht vorgesehen. Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren.
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslage oder Änderungen unseres Dienstes anzupassen. Die aktuelle Version ist stets auf unserer Plattform abrufbar. Das Datum der letzten Aktualisierung finden Sie am Anfang dieses Dokuments.
15. Kontakt
Bei Fragen zum Datenschutz oder zur Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich bitte an:
Juan Eduardo Huke
E-Mail: kontakt@canrii.de
Telefon: +49 1639824606
