.svg)
Stand: 29. April 2026
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten ist:
Anki Buddy UG (haftungsbeschränkt), Alte Schönhauser Straße 4, 10119 Berlin, Deutschland
Vertreten durch den Geschäftsführer Dr. David Topf
E-Mail: support@anki-buddy.com
Website: https://ankibuddy.com
Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte als betroffene Person wenden Sie sich bitte an support@anki-buddy.com.
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt entweder auf Grundlage einer Einwilligung, zur Erfüllung eines Vertrages, zur Erfüllung einer rechtlichen Verpflichtung oder auf Grundlage berechtigter Interessen.
Soweit wir für Verarbeitungen personenbezogener Daten eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.
Bei Verarbeitungen, die zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage.
Soweit eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.
Für das Speichern und Auslesen von Informationen auf Endgeräten der Nutzer (z. B. Cookies) gilt § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz). Soweit das Speichern oder Auslesen unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst zu erbringen, ist dies ohne Einwilligung zulässig (§ 25 Abs. 2 Nr. 2 TDDDG). In allen anderen Fällen erfolgt das Speichern und Auslesen nur nach Einwilligung des Nutzers (§ 25 Abs. 1 TDDDG).
Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt. Eine längere Speicherung kann erfolgen, wenn dies durch europäische oder nationale Gesetze, denen wir unterliegen, vorgeschrieben ist (insbesondere steuer- und handelsrechtliche Aufbewahrungsfristen von bis zu 10 Jahren nach §§ 147 AO, 257 HGB). Die Löschung erfolgt nach Ablauf dieser Fristen, sofern keine weitere Erforderlichkeit zur Vertragsdurchführung besteht.
Unsere Plattform wird über Anvil (The Tuesday Project Ltd, 185 Green End Road, Cambridge, CB4 1RJ, Vereinigtes Königreich) bereitgestellt. Das Anvil-Backend und die zugehörige Datenbank, in der unter anderem Nutzerkonten und generierte Lernkarten gespeichert werden, werden auf Servern von Amazon Web Services (AWS) in der Region London (eu-west-2) betrieben.
Hochgeladene PDF-Dateien werden in der AWS-Region Stockholm (eu-north-1) gespeichert.
Für das Vereinigte Königreich liegt ein Angemessenheitsbeschluss der EU-Kommission vor, der ein dem EU-Datenschutzrecht vergleichbares Schutzniveau bestätigt. Mit AWS und Anvil bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.
Bei jedem Aufruf unserer Plattform werden technisch erforderliche Daten automatisiert erfasst, um die Auslieferung der Plattform zu ermöglichen. Hierzu zählen insbesondere die IP-Adresse des aufrufenden Endgeräts, der Browsertyp und die Browserversion, das Betriebssystem, sowie Datum und Uhrzeit des Zugriffs. Die IP-Adresse wird in unseren eigenen Systemen nicht dauerhaft gespeichert. Sie wird ausschließlich von unserem Hosting-Provider (Anvil/AWS) zur Auslieferung der Plattform verarbeitet und gemäß den Standardprozessen dieser Auftragsverarbeiter im technisch erforderlichen Umfang verwendet.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherstellung der Funktionsfähigkeit, der Stabilität und der IT-Sicherheit unserer Plattform. Eine Verwendung dieser Daten zu Marketingzwecken findet im Rahmen der reinen Plattform-Bereitstellung nicht statt.
Sie können auf unserer Plattform PDFs auch ohne vorherige Registrierung hochladen, und wir beginnen mit der Generierung der Lernkarten. Eine Registrierung ist erst erforderlich, um die generierten Karten einzusehen, herunterzuladen oder zu speichern.
Im Rahmen der Registrierung werden folgende Daten erhoben:
Pflichtangaben:
- E-Mail-Adresse
- Passwort (gespeichert ausschließlich als kryptographischer Hash)
Optionale Angaben:
- Universität
- Studiengang
- aktuelles Semester
Zusätzlich werden zum Zeitpunkt der Registrierung der Zeitstempel und IP-Adresse zur Missbrauchsprävention erfasst.
Rechtsgrundlage für die Verarbeitung der Pflichtangaben ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung beziehungsweise Durchführung vorvertraglicher Maßnahmen). Die Verarbeitung der optionalen Angaben erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Erfassung von IP und Zeitstempel zur Missbrauchsprävention stützt sich auf Art. 6 Abs. 1 lit. f DSGVO.
Die Registrierung ist erforderlich, um Ihnen Zugang zu den von uns generierten Lernkarten zu ermöglichen, diese in Ihrem Account zu speichern, herunterzuladen sowie kostenpflichtige und nutzungsbegrenzte Funktionen zu nutzen, und eine ordnungsgemäße Vertragserfüllung sicherzustellen.
Account-Daten werden für die Dauer Ihrer aktiven Nutzung gespeichert. Im Falle einer reinen Abonnement-Kündigung bleibt Ihr Account erhalten, sodass Sie sich später ohne Datenverlust erneut anmelden und Ihre Lernkarten und Materialien weiter nutzen können (z. B. zur Vorbereitung auf spätere Prüfungen während des Studiums). Bei vollständiger Account-Löschung werden alle zugehörigen Daten (einschließlich generierter Lernkarten und hochgeladener PDFs) gelöscht. Steuerlich relevante Rechnungsdaten werden im Rahmen der gesetzlichen Aufbewahrungspflichten von unserem Zahlungsdienstleister Stripe vorgehalten (siehe Abschnitt VIII).
Sie können Ihren Account jederzeit löschen lassen, indem Sie eine formlose E-Mail an support@anki-buddy.com senden. Wir bearbeiten solche Anfragen innerhalb von zwei Wochen, in der Regel deutlich schneller. Auf Ihren Wunsch löschen wir auch einzelne PDFs oder Lernkarten, ohne den Account zu schließen.
Im Zentrum unserer Plattform steht die KI-gestützte Erstellung von Lernkarten aus von Nutzern hochgeladenen PDF-Dateien. Im Rahmen dieser Funktion verarbeiten wir:
- die hochgeladene PDF-Datei (Inhalt und Metadaten)
- die daraus generierten Prompts an unseren KI-Dienstleister sowie die zurückgelieferten Antworten
- die daraus erzeugten Lernkarten-Inhalte
- Metadaten zu Generierungsvorgängen (z. B. Zeitstempel, Anzahl der Karten, verwendetes Modell, Status, Fehlerinformationen, Verarbeitungsdauer und ähnliche technische Daten)
Die Inhalte der hochgeladenen PDFs werden zur Erfüllung des Vertrags an unseren KI-Dienstleister Microsoft Azure OpenAI Service übermittelt.
Hinweis zu besonderen Kategorien personenbezogener Daten: Unsere Plattform ist nicht für die Verarbeitung von Patientendaten oder anderen Daten besonderer Kategorien gemäß Art. 9 DSGVO (z. B. Gesundheits-, Religions- oder ethnische Daten konkreter Personen) bestimmt. Bitte laden Sie keine PDFs hoch, die solche Daten in identifizierbarer Form enthalten. Lehrmaterialien, Lehrbuchauszüge und anonymisierte Fallbeschreibungen sind unbedenklich; konkrete Patientenakten oder Befunde mit identifizierenden Merkmalen hingegen nicht.
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Generierung der Lernkarten ist die zentrale Leistung, die Sie mit Abschluss des Nutzungsvertrags von uns beziehen.
Wir nutzen den Microsoft Azure OpenAI Service zur Generierung der Lernkarten. Anbieter ist die Microsoft Ireland Operations Limited (One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland), als Konzerntochter der Microsoft Corporation (USA).
Datenfluss: Bei der Generierung von Lernkarten werden Inhalte Ihrer hochgeladenen PDFs sowie weitere kontextrelevante Daten (Prompt-Anweisungen, Metadaten der Anfrage) an den Azure OpenAI Service übermittelt und dort verarbeitet.
Verarbeitungsregionen: Microsoft Azure OpenAI Service verarbeitet die übermittelten Inhalte in mehreren Regionen, darunter Regionen in der Europäischen Union, dem Vereinigten Königreich, Kanada und den USA. Die konkrete Region einer Anfrage ergibt sich aus Verfügbarkeit und Auslastung des jeweils genutzten Sprachmodells. Eine dauerhafte Speicherung Ihrer Inhalte in diesen Regionen findet nicht statt, die Verarbeitung erfolgt im Wesentlichen kurzlebig zur Erzeugung der Antwort.
Kein Training auf Ihren Daten: Microsoft verwendet die über Azure OpenAI verarbeiteten Inhalte vertraglich nicht zum Training oder zur Verbesserung von KI-Modellen.
Missbrauchsüberwachung durch Microsoft: Microsoft kann Inhalte, die im Rahmen Ihrer Anfragen an den Azure OpenAI Service übermittelt werden (einschließlich der von Ihnen hochgeladenen PDF-Inhalte, der von uns generierten Prompt-Anweisungen sowie der zurückgelieferten Antworten und der daraus erstellten Lernkarten), für einen Zeitraum von bis zu 30 Tagen zur Missbrauchsprävention und Inhaltsmoderation speichern und durch automatisierte Verfahren analysieren. In Ausnahmefällen kann eine Sichtung durch autorisierte Microsoft-Mitarbeitende erfolgen, etwa bei Verdacht auf einen schwerwiegenden Missbrauch des Dienstes. Diese Speicherung erfolgt durch Microsoft als Auftragsverarbeiter und unterliegt strengen Zugriffsbeschränkungen. Nach Ablauf der 30 Tage werden die Daten von Microsoft gelöscht.
Drittlandsübermittlung: Da Azure OpenAI Daten auch in Regionen außerhalb des Europäischen Wirtschaftsraums verarbeitet (insbesondere in den USA), liegt eine Drittlandsübermittlung vor. Der Schutz der Daten ist sichergestellt durch:
- das Microsoft Products and Services Data Protection Addendum (DPA), welches die Auftragsverarbeitung gemäß Art. 28 DSGVO regelt,
- Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, die im Microsoft DPA integriert sind,
- die Zertifizierung der Microsoft Corporation und ihrer relevanten Konzerngesellschaften unter dem EU-US Data Privacy Framework gemäß dem Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 (Art. 45 DSGVO).
Weitere Informationen zur Datenverarbeitung durch Microsoft finden Sie unter https://www.microsoft.com/de-de/trust-center und https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA.
Hochgeladene PDFs und generierte Lernkarten bleiben für die Dauer Ihrer Account-Nutzung in Ihrem Account verfügbar. Auch nach Abonnement-Kündigung bleiben sie in Ihrem Account erhalten, sodass Sie sich später wieder anmelden und auf Ihre Inhalte zugreifen können. Die PDFs werden dauerhaft mit den daraus generierten Karten verknüpft, damit Sie jederzeit nachvollziehen können, aus welcher Quelle eine Karte stammt. Bei vollständiger Account-Löschung werden sowohl die PDFs als auch die generierten Karten gelöscht. Eine Account-Löschung können Sie jederzeit per E-Mail an support@anki-buddy.com beantragen; wir bearbeiten solche Anfragen innerhalb von zwei Wochen, in der Regel deutlich schneller. Alternativ löschen wir auf Anfrage einzelne PDFs oder Lernkarten.
Prompts und Antworten, die im Rahmen der KI-Verarbeitung in unserer eigenen Datenbank gespeichert werden, werden ebenfalls bis zur Account-Löschung aufbewahrt.
Zur Erfüllung des Nutzungsvertrags speichern wir den jeweils geltenden Vertragstext (AGB einschließlich Widerrufsbelehrung) sowie Ihre Bestelldaten in unseren Systemen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Die Aufbewahrung des Vertragstexts dient zugleich der Erfüllung unserer gesetzlichen Pflicht aus § 312f BGB; insoweit ist ergänzend Art. 6 Abs. 1 lit. c DSGVO einschlägig.
Speicherdauer: Bis zum Ablauf der gesetzlichen Aufbewahrungsfristen.
Im Rahmen der Vertragsbeziehung senden wir Ihnen E-Mails, die für die Nutzung unserer Plattform erforderlich oder hilfreich sind. Hierzu zählen insbesondere:
- Bestätigungs- und Vertrags-E-Mails (z. B. Account-Aktivierung, Bestellbestätigung, Rechnungsstellung)
- Hinweise zur Nutzung der Plattform und zu neuen oder bestehenden Funktionen
- Informationen zu Trial- und Abonnementstatus, einschließlich Erinnerungen vor Ablauf
- Sicherheitsrelevante Mitteilungen
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie ergänzend Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Information bestehender Nutzer über produktbezogene Sachverhalte).
In jeder dieser E-Mails finden Sie einen Abmeldelink, über den Sie dem weiteren Erhalt jederzeit kostenlos widersprechen können.
Auf unserer Marketingseite bieten wir Ihnen die Möglichkeit, einen kostenfreien Newsletter mit Lerntipps, Webinar-Einladungen und gelegentlichen Rabattangeboten zu abonnieren. Die Anmeldung erfolgt im Double-Opt-In-Verfahren: Nach Eingabe Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungs-E-Mail mit einem Link. Erst nach Klick auf diesen Link wird Ihre Anmeldung wirksam und Ihre E-Mail-Adresse in unseren Verteiler aufgenommen.
Bei der Newsletter-Anmeldung erheben wir:
- Ihre E-Mail-Adresse
- IP-Adresse und Zeitstempel der Anmeldung sowie der Bestätigung
Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Speicherung von IP-Adresse und Zeitstempel dient dem Nachweis der Einwilligung gemäß Art. 7 Abs. 1 DSGVO und stützt sich auf Art. 6 Abs. 1 lit. f DSGVO. Die Nachweise (IP-Adresse und Zeitstempel) zur Bestätigung der Einwilligung speichern wir für die Dauer der bestehenden Einwilligung sowie weitere drei Jahre nach deren Beendigung (§ 195 BGB). Dies dient der Abwehr möglicher Ansprüche und der Erfüllung unserer Nachweispflicht gemäß Art. 7 Abs. 1 DSGVO.
Sie können den Newsletter jederzeit über den Abmeldelink in jeder E-Mail oder durch Nachricht an support@anki-buddy.com abbestellen.
In unseren Newsletter- und Marketing-E-Mails, die wir auf Grundlage Ihrer Newsletter-Einwilligung versenden, werden zur Auswertung der Reichweite Öffnungs- und Klickdaten erfasst. Hierfür enthalten die E-Mails ein technisches Tracking-Pixel sowie umgeleitete Links. Erfasst werden insbesondere Zeitpunkt der Öffnung, Anzahl der Öffnungen, geklickte Links sowie technische Geräteinformationen. Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die Sie mit der Newsletter-Anmeldung erteilen und jederzeit über den Abmeldelink in jeder E-Mail oder per Nachricht an support@anki-buddy.com widerrufen können. Transaktions-E-Mails (z. B. Account-Bestätigung, Passwort-Reset, Rechnungen) enthalten technisch bedingt ebenfalls Tracking-Mechanismen unserer E-Mail-Dienstleister (Brevo, Mailjet), deren Daten wir jedoch nicht zu Marketingzwecken auswerten.
Brevo (Sendinblue SAS), 9-17 rue Salneuve, 75017 Paris, Frankreich. Wir nutzen Brevo zum Versand von Newslettern, Marketing-Kampagnen, Trial-Nurturing-Sequenzen und Transaktions-E-Mails. Brevo verarbeitet hierfür folgende Daten: E-Mail-Adresse, Account- und Nutzungsattribute (z. B. Trial-Status, Zahlungsstatus, Anmeldedatum, Universität, Studiengang, letzte Anmeldung, Interaktionsverlauf), sowie Tracking-Daten zu Öffnungen und Klicks. Mit Brevo besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Brevo verarbeitet Daten innerhalb der EU. Weitere Informationen: https://www.brevo.com/de/legal/privacypolicy/
Mailjet (Sinch Email), 13 rue de l'Aubrac, 75012 Paris, Frankreich. Wir nutzen Mailjet derzeit für manuelle Marketingkampagnen sowie für Transaktions-E-Mails. Mailjet verarbeitet hierfür dieselben Datenkategorien wie Brevo. Mit Mailjet besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Mailjet verarbeitet Daten innerhalb der EU. Weitere Informationen: https://www.mailjet.com/legal/privacy-policy/
Auf unserer Marketingseite steht Ihnen ein Kontaktformular zur Verfügung. Bei Nutzung des Formulars werden Ihre E-Mail-Adresse sowie der Inhalt Ihrer Nachricht erhoben und über unseren E-Mail-Dienstleister an uns weitergeleitet.
Alternativ können Sie uns direkt per E-Mail an support@anki-buddy.com kontaktieren. In diesem Fall werden die per E-Mail übermittelten personenbezogenen Daten gespeichert.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung Ihrer Anfrage). Zielt Ihre Kontaktaufnahme auf den Abschluss eines Vertrags ab, ist zusätzliche Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO.
Anfragen und der zugehörige E-Mail-Verkehr werden zur Dokumentation des Sachverhalts und zur Bearbeitung möglicher Folgefragen aufbewahrt. Sie können jederzeit die Löschung Ihrer Anfrage verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Zahlungen werden über die Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland) abgewickelt. Stripe ist Teil eines US-amerikanischen Konzerns (Stripe, Inc.).
Datenfluss: Wir übermitteln an Stripe Ihre E-Mail-Adresse zur Identifikation Ihres Stripe-Kunden-Kontos sowie den von Ihnen gewählten Tarif und gegebenenfalls einen Rabattcode (z. B. aus einer Kampagne mit einem Influencer). Sämtliche Zahlungsdaten (Kreditkarten-, Bank- oder ähnliche Daten) sowie Name und Rechnungsadresse erheben Sie direkt bei Stripe; diese Daten gelangen zu keinem Zeitpunkt auf unsere Server. Stripe übermittelt uns im Gegenzug eine eindeutige Stripe-Kunden-ID, die wir zur Zuordnung Ihres Abonnementstatus speichern.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung steuer- und handelsrechtlicher Aufbewahrungspflichten).
Aufbewahrung: Stripe bewahrt Rechnungs- und Zahlungsdaten gemäß den gesetzlichen Aufbewahrungsfristen (in Deutschland regelmäßig 10 Jahre nach §§ 147 AO, 257 HGB).
Drittlandsübermittlung: Da Stripe Payments Europe Ltd. zum US-Konzern Stripe, Inc. gehört, kann eine Übermittlung an Konzerngesellschaften in den USA erfolgen. Schutzmaßnahmen: Stripe, Inc. ist unter dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023, Art. 45 DSGVO). Ergänzend gelten Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Mit Stripe besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Weitere Informationen: https://stripe.com/de/privacy
PostHog, betrieben durch PostHog Inc. (2261 Market Street #4008, San Francisco, CA 94114, USA). Wir nutzen PostHog ausschließlich über deren EU-Cloud (Frankfurt am Main, Deutschland). Eine dauerhafte Speicherung Ihrer Daten findet ausschließlich auf Servern in der EU statt. Funktionsumfang: Produkt-Analytics (Event-Tracking), Session Replay (aufgezeichnete Sitzungen zur Analyse von Nutzungsverhalten), Heatmaps, Surveys, Feature Flags (zur Steuerung der schrittweisen Aktivierung von Funktionen), A/B-Tests und Error Tracking (zur Erkennung und Behebung technischer Fehler).
Verarbeitete Daten:
- pseudonymisierte Nutzer-IDs sowie Ihre E-Mail-Adresse zur Verknüpfung von Sitzungsdaten mit Ihrem Account
- Event-Daten zu Aktionen auf der Plattform (z. B. besuchte Seiten, geklickte Schaltflächen, Formular-Interaktionen, abgeschlossene Aufgaben)
- automatisch erfasste Interaktionen wie Klicks, Scroll-Verhalten und Eingaben in nicht-sensitiven Formularfeldern (Autocapture)
- Session-Aufzeichnungen mit Mausbewegungen, Klicks, Scroll-Verhalten und Seiten-Navigation
- Browser- und Geräteinformationen (Browsertyp, Betriebssystem, Bildschirmauflösung, Sprache, Zeitzone)
- Geolokalisierungsdaten auf Land-, Regions- und Stadtebene
- technische Fehler- und Performance-Daten
- Marketing-Identifier wie Google Ads Click-IDs (gclid, gbraid, wbraid), UTM-Parameter sowie gehashte E-Mail-Adressen für Enhanced Conversions
- gewählte Tarif- und Abonnementdaten (z. B. pricing_plan, Trial-Status)
Zwecke: Wir nutzen diese Daten, um die Funktionsfähigkeit unserer Plattform sicherzustellen, technische Probleme zu erkennen und zu beheben, das Nutzungsverhalten zu verstehen und auf Basis dieser Erkenntnisse die Bedienung, Verständlichkeit und Qualität unserer Plattform laufend zu verbessern (UX-Optimierung). Rechtsgrundlage für das Setzen von Cookies und das Auslesen von Informationen auf Ihrem Endgerät ist § 25 Abs. 1 TDDDG. Rechtsgrundlage für die anschließende Verarbeitung der so erhobenen personenbezogenen Daten ist Art. 6 Abs. 1 lit. a DSGVO. Sie erteilen die Einwilligung über unser Consent-Management und können sie jederzeit widerrufen.
IP-Anonymisierung: PostHog verwendet die IP-Adresse ausschließlich zur Ableitung der ungefähren Geolokalisierung (Land, Region, Stadt) und verwirft sie anschließend. Die ursprüngliche IP-Adresse wird nicht dauerhaft gespeichert.
Session-Aufzeichnungen: In Session-Replays werden Eingabefelder (z. B. Passwörter, Zahlungsdaten) durch entsprechende Maskierungs-Einstellungen unkenntlich gemacht. Auch der Inhalt hochgeladener PDF-Dateien wird in Session-Aufzeichnungen maskiert und nicht erfasst. Session-Aufzeichnungen werden nach 90 Tagen automatisch gelöscht.
Speicherdauer Event-Daten: PostHog Event-Daten werden für die Dauer der Geschäftsbeziehung gespeichert. Auf Anfrage löschen wir Ihre Event-Daten innerhalb der gesetzlichen Frist.
Drittlandsübermittlung: Da PostHog Inc. in den USA ansässig ist, kann ein Zugriff auf in der EU gespeicherte Daten durch die US-Muttergesellschaft erfolgen. Schutzmaßnahmen: Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO als Bestandteil des PostHog Data Processing Addendums. Mit PostHog besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Weiterleitung von Conversion-Ereignissen: Wir leiten ausgewählte Conversion-Ereignisse aus PostHog an Google Ads und Meta weiter, um die Wirksamkeit unserer Werbekampagnen zu messen und die Aussteuerung zu optimieren. Hierbei werden, sofern Sie Ihre Einwilligung erteilt haben, gehashte E-Mail-Adressen (sogenannte Enhanced Conversions bei Google Ads bzw. Conversions API bei Meta) gemeinsam mit den Conversion-Daten übermittelt. Das Hashing (SHA-256) erfolgt vor der Übermittlung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Die Drittlandsübermittlung in die USA wird über das EU-US Data Privacy Framework und Standardvertragsklauseln abgesichert. Sie können diese Verarbeitung jederzeit widerrufen, indem Sie Ihre Einwilligung im Consent-Management widerrufen.
Google Analytics 4, betrieben durch Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland), Konzerntochter der Google LLC, USA. Wir nutzen Google Analytics 4 ausschließlich auf unserer Marketingseite (https://ankibuddy.com), nicht innerhalb der Plattform-Anwendung (https://app.ankibuddy.com). Die Analyse innerhalb der Anwendung erfolgt ausschließlich über PostHog (siehe oben).
Verarbeitete Daten: Geräteinformationen, Browsertyp, Verweildauer, besuchte Seiten und IP-basierte Geolokalisierung auf Land- bzw. Regionsebene. Wir haben in unserer GA4-Konfiguration die Erfassung granularer Standort- und Gerätedaten deaktiviert; eine Erfassung auf Stadtebene findet daher nicht statt. Google Signals haben wir deaktiviert; eine Verknüpfung der GA4-Daten mit Google-Konten angemeldeter Nutzer zu Werbezwecken erfolgt daher nicht. Auch die Funktion "Ads Personalisation" ist deaktiviert; eine Übermittlung von GA4-Daten an unser Google-Ads-Konto zur Bildung personalisierter Werbe-Audiences findet nicht statt.
Speicherdauer: Die Aufbewahrungsdauer der Event-Daten in GA4 ist auf 2 Monate begrenzt (kürzeste verfügbare Einstellung). Bei jeder neuen Aktivität eines Nutzers wird die Aufbewahrungsfrist zurückgesetzt.
Rechtsgrundlage für das Setzen der GA4-Cookies und das Auslesen von Informationen auf Ihrem Endgerät ist § 25 Abs. 1 TDDDG. Rechtsgrundlage für die anschließende Verarbeitung der so erhobenen personenbezogenen Daten ist Art. 6 Abs. 1 lit. a DSGVO. Sie erteilen die Einwilligung über unser Consent-Management und können sie jederzeit widerrufen.
Mit Google besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Drittlandsübermittlung in die USA wird durch das EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023, Art. 45 DSGVO) und Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert.
Wir setzen auf unserer Plattform Cookies und ähnliche Technologien ein. Cookies sind Textdateien, die im Browser oder von diesem auf dem Endgerät des Nutzers gespeichert werden.
Notwendige Cookies (ohne Einwilligung gemäß § 25 Abs. 2 Nr. 2 TDDDG):
- Cookies des Consent-Management-Tools (Cookie Script)
- Sitzungs- und Authentifizierungs-Cookies (z. B. Anvil-Sessions)
- Cookies zur Betrugsprävention durch unseren Zahlungsdienstleister
Cookies, die nur nach Einwilligung gesetzt werden:
- Performance- und Analyse-Cookies (PostHog, Google Analytics 4)
- Marketing-Cookies (Google Tag Manager, Google Ads, Meta Pixel)
Eine vollständige Liste aller eingesetzten Cookies mit Anbieter, Zweck und Speicherdauer finden Sie in unserem Cookie-Banner unter "Cookie-Einstellungen". Sie können Ihre Einwilligung dort jederzeit erteilen, anpassen oder widerrufen.
Als Consent-Management-Tool setzen wir Cookie Script (Objectis, UAB, Laisvės str. 60, LT-05120 Vilnius, Litauen) ein. Mit Cookie Script besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Sämtliche in diesem Abschnitt beschriebenen Werbe- und Tracking-Dienste werden ausschließlich nach Ihrer ausdrücklichen Einwilligung über unser Consent-Management aktiviert. Vor Erteilung Ihrer Einwilligung werden keine entsprechenden Cookies gesetzt, keine Skripte geladen und keine Daten an die genannten Drittanbieter übermittelt. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.
Wir nutzen den Google Tag Manager zur Verwaltung von Marketing- und Analyse-Tags sowie Google Ads (mit Conversion-Tracking) zur Auswertung der Wirksamkeit unserer Werbeanzeigen. Anbieter ist Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland).
Im Rahmen des Conversion-Trackings können Identifier (z. B. gehashte E-Mail-Adressen für sogenannte "Enhanced Conversions") an Google übermittelt werden, um Conversion-Ereignisse Ihrem vorherigen Werbekontakt zuzuordnen.
Rechtsgrundlage für das Setzen der entsprechenden Cookies und das Auslesen von Informationen auf Ihrem Endgerät ist § 25 Abs. 1 TDDDG. Rechtsgrundlage für die anschließende Verarbeitung der so erhobenen personenbezogenen Daten ist Art. 6 Abs. 1 lit. a DSGVO. Die Aktivierung erfolgt erst nach Ihrer ausdrücklichen Einwilligung über unser Consent-Management.
Drittlandsübermittlung in die USA wird über das EU-US Data Privacy Framework und Standardvertragsklauseln abgesichert.
Wir setzen das Meta-Pixel der Meta Platforms Ireland Limited (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland) ein, um Werbeanzeigen in den Diensten von Meta (insbesondere Facebook und Instagram) auszusteuern und die Wirksamkeit unserer Kampagnen zu messen. Erfasst werden insbesondere Seitenaufrufe und Conversion-Ereignisse.
Rechtsgrundlage für das Setzen des Meta-Pixels und das Auslesen von Informationen auf Ihrem Endgerät: § 25 Abs. 1 TDDDG. Rechtsgrundlage für die anschließende Verarbeitung der so erhobenen Daten: Art. 6 Abs. 1 lit. a DSGVO. Die Aktivierung erfolgt erst nach Ihrer ausdrücklichen Einwilligung über unser Consent-Management.
Mit Meta besteht eine Vereinbarung über gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO. Diese gemeinsame Verantwortlichkeit ist beschränkt auf die Erhebung der Daten über das Meta-Pixel und deren Übermittlung an Meta. Für jede weitere Verarbeitung dieser Daten nach der Übermittlung ist Meta eigenständig Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO.
Drittlandsübermittlung in die USA wird über das EU-US Data Privacy Framework und Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert.
Wir setzen das TikTok Pixel der TikTok Technology Limited (10 Earlsfort Terrace, Dublin, D02 T380, Irland) ein, um Werbeanzeigen auf TikTok auszusteuern und die Wirksamkeit unserer Kampagnen zu messen. Erfasst werden insbesondere Seitenaufrufe, Conversion-Ereignisse sowie Geräte- und Browserinformationen.
Rechtsgrundlage für das Setzen des TikTok Pixels und das Auslesen von Informationen auf Ihrem Endgerät: § 25 Abs. 1 TDDDG. Rechtsgrundlage für die anschließende Verarbeitung der so erhobenen Daten: Art. 6 Abs. 1 lit. a DSGVO. Die Aktivierung erfolgt erst nach Ihrer ausdrücklichen Einwilligung über unser Consent-Management.
Mit TikTok besteht eine Vereinbarung über gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO im Rahmen der von TikTok bereitgestellten Standardbedingungen. Diese gemeinsame Verantwortlichkeit ist beschränkt auf die Erhebung der Daten über das TikTok Pixel und deren Übermittlung an TikTok. Für jede weitere Verarbeitung dieser Daten nach der Übermittlung ist TikTok eigenständig Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO.
Da die TikTok Technology Limited zum chinesischen Konzern ByteDance gehört und Daten an Konzerngesellschaften außerhalb des Europäischen Wirtschaftsraums (insbesondere China und USA) übermittelt werden können, liegt eine Drittlandsübermittlung vor. Schutzmaßnahmen: Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Für die USA besteht zusätzlich eine Absicherung über das EU-US Data Privacy Framework, soweit anwendbar. Weitere Informationen: https://www.tiktok.com/legal/page/eea/privacy-policy/de
Im Rahmen unserer Influencer-Kampagnen setzen wir bezahlte Werbeformate ein, bei denen Inhalte des jeweiligen Creators über dessen Account als Anzeige verbreitet werden, insbesondere Meta Partnership Ads (Instagram, Facebook) und TikTok Spark Ads. Die Auslieferung dieser Anzeigen sowie die Messung ihrer Wirkung erfolgt ausschließlich durch die jeweilige Plattform (Meta bzw. TikTok); eine Verarbeitung Ihrer personenbezogenen Daten durch uns findet hierbei nicht statt.
Conversion-Ereignisse, die im Anschluss an einen Klick auf eine solche Anzeige auf unserer Plattform stattfinden, werden über das Meta-Pixel bzw. TikTok Pixel erfasst (siehe Abschnitte 2 und 3). Die hierfür einschlägigen Rechtsgrundlagen, Verantwortlichkeiten und Drittlandsübermittlungen ergeben sich aus den dortigen Ausführungen.
Unsere Marketingseite (https://ankibuddy.com) wird über Webflow Inc. (398 11th Street, Floor 2, San Francisco, CA 94103, USA) gehostet. Beim Aufruf unserer Marketingseite werden technisch erforderliche Verbindungsdaten an Webflow übermittelt (insbesondere IP-Adresse zur Auslieferung der Seite).
Webflow ist unter dem EU-US Data Privacy Framework zertifiziert. Mit Webflow besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Drittlandsübermittlung in die USA wird über das EU-US Data Privacy Framework und Standardvertragsklauseln abgesichert.
Für interne Umfragen und Onboarding-Fragebögen (z. B. zur Klärung individueller Kartenpräferenzen vor der Generierung) setzen wir Typeform (TYPEFORM SL, Via Augusta 29-31, 08006 Barcelona, Spanien) ein. Im Rahmen dieser Befragungen werden ausschließlich die von Ihnen aktiv eingegebenen Antworten verarbeitet. Es findet keine Übermittlung Ihrer Account-Daten an Typeform statt.
Mit Typeform besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Datenverarbeitung erfolgt innerhalb der EU.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO bei freiwilligen Umfragen, Art. 6 Abs. 1 lit. b DSGVO bei produktbezogenen Konfigurationsfragen.
Zur Analyse unserer Sichtbarkeit in der Google-Suche nutzen wir die Google Search Console. Hierbei werden uns aggregierte, nicht-personenbezogene Daten zur Verfügung gestellt; eine Identifizierung einzelner Nutzer ist uns auf dieser Basis nicht möglich.
Für interne Zwecke (Dokumentation, Organisation, Nutzergespräche im Rahmen von User Research) setzen wir Notion, Google Drive und Google Meet ein. Soweit hierbei personenbezogene Daten von Nutzern verarbeitet werden (z. B. wenn Sie freiwillig an einem Nutzergespräch teilnehmen), erfolgt dies auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Mit den jeweiligen Anbietern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.
Wir betreiben eine informelle WhatsApp-Community für interessierte Nutzerinnen und Nutzer unserer Plattform. Anbieter des zugrundeliegenden Dienstes ist die WhatsApp Ireland Limited (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland), Konzerntochter der Meta Platforms, Inc. (USA).
Beitritt und Rechtsgrundlage: Wir machen aktiv auf unsere WhatsApp-Community aufmerksam, etwa über Newsletter, Beiträge auf Social Media oder im Rahmen unseres AnkiBuddy-Ansprechpartner-Programms. Der Beitritt selbst erfolgt jedoch ausschließlich auf Ihre eigene Entscheidung, indem Sie eine unserer Ansprechpartnerinnen oder Ansprechpartner kontaktieren oder einem von uns bereitgestellten Einladungslink folgen. Mit dem Beitritt erteilen Sie Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in die Verarbeitung der dabei anfallenden Daten, insbesondere Ihrer WhatsApp-Telefonnummer, Ihres Profilnamens und der Inhalte Ihrer Beiträge in der Community.
Datenverarbeitung durch WhatsApp: WhatsApp verarbeitet im Rahmen der Bereitstellung des Dienstes umfangreiche personenbezogene Daten, darunter Telefonnummer, Geräte- und Verbindungsdaten, Profil- und Statusinformationen sowie Metadaten zu Ihrer Nutzung. Diese Datenverarbeitung erfolgt teilweise auf Servern in den USA. Bitte beachten Sie zudem, dass WhatsApp je nach Konfiguration Ihres Endgeräts auf Ihr Adressbuch zugreifen kann und so Telefonnummern Dritter aus Ihren Kontakten an Meta übermittelt werden können. Auf den Umfang dieser Datenverarbeitungen haben wir keinen Einfluss. Weitere Informationen finden Sie in der Datenschutzerklärung von WhatsApp unter https://www.whatsapp.com/legal/privacy-policy.
Drittlandsübermittlung: Eine Übermittlung in die USA wird über den EU-US Data Privacy Framework und Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert.
Widerruf: Sie können die Community jederzeit über die WhatsApp-App verlassen. Damit endet die weitere Datenverarbeitung durch uns im Rahmen dieser Community. Ihre Telefonnummer wird, soweit sie nicht anderweitig in unseren Systemen vorliegt (z. B. weil Sie ein zahlender Kunde sind), nicht weiter gespeichert.
Wenn personenbezogene Daten von Ihnen verarbeitet werden, sind Sie Betroffener im Sinne der DSGVO. Ihnen stehen folgende Rechte gegenüber uns zu:
Sie können Auskunft darüber verlangen, ob personenbezogene Daten von Ihnen verarbeitet werden, und in welchem Umfang.
Sie haben das Recht, unrichtige oder unvollständige Daten berichtigen oder vervollständigen zu lassen.
Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten verlangen.
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen Verarbeitungen Ihrer Daten Widerspruch einzulegen, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruhen.
Widerspruch gegen Direktwerbung: Soweit wir Ihre personenbezogenen Daten zum Zwecke der Direktwerbung verarbeiten, haben Sie das Recht, jederzeit ohne Angabe von Gründen Widerspruch gegen diese Verarbeitung einzulegen. Dies umfasst auch ein etwaiges Profiling, soweit es mit der Direktwerbung im Zusammenhang steht. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, werden Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet. Den Widerspruch können Sie jederzeit formlos per E-Mail an support@anki-buddy.com erklären oder über den Abmeldelink in jeder Marketing-E-Mail ausüben.
Sie haben das Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Sie können die Beschwerde insbesondere bei der Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes einreichen.
Die für uns zuständige Aufsichtsbehörde ist:
Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstraße 219, 10969 Berlin
E-Mail: mailbox@datenschutz-berlin.de
Website: https://www.datenschutz-berlin.de
Nutzerinnen und Nutzer mit Wohnsitz in Österreich können sich alternativ an die Österreichische Datenschutzbehörde (https://www.dsb.gv.at) wenden, Nutzerinnen und Nutzer mit Wohnsitz in der Schweiz an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (https://www.edoeb.admin.ch).
Eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung im Sinne von Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt. Die KI-gestützte Generierung von Lernkarten stellt keine solche Entscheidung dar.
Zur Wahrnehmung Ihrer Rechte oder bei Fragen zum Datenschutz können Sie sich jederzeit an support@anki-buddy.com wenden. Wir bearbeiten Ihre Anfrage innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).
Mitarbeitende der Anki Buddy UG sowie von uns betraute Dienstleister (z. B. Werkstudenten, externe IT- und Designdienstleister) können im Rahmen der Plattformwartung, des Supports und der Fehleranalyse Zugriff auf personenbezogene Nutzerdaten haben. Dies umfasst insbesondere:
- die Untersuchung gemeldeter technischer Probleme,
- die Bearbeitung von Support-Anfragen,
- die Qualitätskontrolle und Verbesserung der KI-gestützten Lernkartenerstellung.
Der Zugriff erfolgt nach dem Need-to-Know-Prinzip und ist auf das technisch erforderliche Maß beschränkt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Funktionalität, Sicherheit und Qualität der Plattform) sowie bei expliziten Support-Anfragen zusätzlich Art. 6 Abs. 1 lit. b DSGVO. Alle Mitarbeitenden und Dienstleister sind vertraglich zur Vertraulichkeit verpflichtet.
Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten gemäß Art. 32 DSGVO. Hierzu zählen insbesondere:
- TLS-Verschlüsselung sämtlicher Datenübertragungen
- Speicherung von Passwörtern ausschließlich als kryptographischer Hash
- Zugriffsbeschränkungen und Authentifizierung
- regelmäßige Sicherheitsüberprüfungen unserer Systeme und Auftragsverarbeiter
Unsere Plattform richtet sich an Studierende und damit grundsätzlich an Personen, die das 18. Lebensjahr vollendet haben. Personen unter 16 Jahren dürfen unsere Plattform nicht nutzen. Personen zwischen 16 und 18 Jahren dürfen unsere Plattform nur mit Einwilligung eines Erziehungsberechtigten nutzen. Wir prüfen das Alter der Nutzer nicht aktiv. Sollten wir Kenntnis davon erlangen, dass eine Person unter 16 Jahren ohne entsprechende Einwilligung personenbezogene Daten an uns übermittelt hat, werden wir diese Daten umgehend löschen. Erziehungsberechtigte, die Kenntnis von einer solchen Datenverarbeitung erlangen, können sich jederzeit an support@anki-buddy.com wenden.
Die folgende Übersicht fasst die in dieser Datenschutzerklärung genannten Dienstleister zusammen, an die personenbezogene Daten übermittelt oder durch die personenbezogene Daten in unserem Auftrag verarbeitet werden.
Hosting und Plattform-Infrastruktur
- Anvil (The Tuesday Project Ltd, Vereinigtes Königreich): Hosting der Plattform-Anwendung. Verarbeitung im UK (Angemessenheitsbeschluss). AVV gemäß Art. 28 DSGVO.
- Amazon Web Services (Amazon Web Services EMEA SARL, Luxemburg): Hosting der Datenbank (eu-west-2, London) und der hochgeladenen PDFs (eu-north-1, Stockholm). Verarbeitung in der EU bzw. UK. AVV gemäß Art. 28 DSGVO.
- Webflow Inc. (USA): Hosting der Marketingseite. Drittlandsübermittlung in die USA, abgesichert durch EU-US Data Privacy Framework und Standardvertragsklauseln. AVV gemäß Art. 28 DSGVO.
KI-Verarbeitung
- Microsoft Azure OpenAI Service (Microsoft Ireland Operations Limited, Irland; Konzerntochter der Microsoft Corporation, USA): Generierung der Lernkarten aus PDF-Inhalten. Verarbeitung in mehreren Regionen, darunter EU, UK, Kanada und USA. Drittlandsübermittlung abgesichert durch EU-US Data Privacy Framework, Standardvertragsklauseln und Microsoft Products and Services Data Protection Addendum.
Zahlungsabwicklung
- Stripe Payments Europe Ltd. (Irland; Konzerntochter der Stripe, Inc., USA): Zahlungsabwicklung, Rechnungsstellung. Drittlandsübermittlung in die USA abgesichert durch EU-US Data Privacy Framework und Standardvertragsklauseln. AVV gemäß Art. 28 DSGVO.
E-Mail-Versand
- Brevo (Sendinblue SAS, Frankreich): Newsletter, Marketing-Kampagnen, Trial-Sequenzen, Transaktions-E-Mails. Verarbeitung in der EU. AVV gemäß Art. 28 DSGVO.
- Mailjet (Sinch Email, Frankreich): Manuelle Marketing-Kampagnen und Transaktions-E-Mails. Verarbeitung in der EU. AVV gemäß Art. 28 DSGVO.
Analyse und Tracking
- PostHog Inc. (USA), genutzt über die EU-Cloud (Frankfurt am Main): Produkt-Analytics, Session Replay, Heatmaps, Feature Flags, Error Tracking. Speicherung in der EU. Drittlandsübermittlung an die US-Muttergesellschaft abgesichert durch Standardvertragsklauseln. AVV gemäß Art. 28 DSGVO.
- Google Analytics 4 (Google Ireland Limited, Irland; Konzerntochter der Google LLC, USA): Webanalyse ausschließlich auf der Marketingseite (https://ankibuddy.com). Google Signals und Ads Personalisation deaktiviert. Speicherdauer 2 Monate. Drittlandsübermittlung in die USA abgesichert durch EU-US Data Privacy Framework und Standardvertragsklauseln. AVV gemäß Art. 28 DSGVO.
- Google Search Console (Google Ireland Limited, Irland): aggregierte, nicht-personenbezogene Daten zur Sichtbarkeit in der Google-Suche.
Werbung und Conversion-Tracking
- Google Ads / Google Tag Manager (Google Ireland Limited, Irland): Auslieferung und Messung von Werbeanzeigen. Drittlandsübermittlung in die USA abgesichert durch EU-US Data Privacy Framework und Standardvertragsklauseln.
- Meta Pixel (Meta Platforms Ireland Limited, Irland; Konzerntochter der Meta Platforms, Inc., USA): Auslieferung und Messung von Werbeanzeigen auf Facebook und Instagram. Gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO für Erhebung und Übermittlung. Drittlandsübermittlung in die USA abgesichert durch EU-US Data Privacy Framework und Standardvertragsklauseln.
- TikTok Pixel (TikTok Technology Limited, Irland; Konzerntochter der ByteDance Ltd., China): Auslieferung und Messung von Werbeanzeigen auf TikTok. Gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO für Erhebung und Übermittlung. Drittlandsübermittlung in Drittländer (insbesondere China und USA) abgesichert durch Standardvertragsklauseln und, soweit anwendbar, EU-US Data Privacy Framework.
Consent-Management
- Cookie Script (Objectis, UAB, Litauen): Consent-Management-Tool. Verarbeitung in der EU. AVV gemäß Art. 28 DSGVO.
Formulare und Befragungen
- Typeform (TYPEFORM SL, Spanien): Onboarding-Fragebögen und freiwillige Umfragen. Verarbeitung in der EU. AVV gemäß Art. 28 DSGVO.
Interne Tools
- Notion (Notion Labs, Inc., USA): interne Dokumentation und Organisation. AVV gemäß Art. 28 DSGVO. Drittlandsübermittlung in die USA abgesichert durch Standardvertragsklauseln und, soweit anwendbar, EU-US Data Privacy Framework
- Google Workspace (Google Drive, Google Meet) (Google Ireland Limited, Irland; Konzerntochter der Google LLC, USA): interne Dokumentation, Nutzergespräche im Rahmen von User Research. AVV gemäß Art. 28 DSGVO. Drittlandsübermittlung in die USA abgesichert durch EU-US Data Privacy Framework und Standardvertragsklauseln.
Community
- WhatsApp (WhatsApp Ireland Limited, Irland; Konzerntochter der Meta Platforms, Inc., USA): freiwillige WhatsApp-Community. Drittlandsübermittlung in die USA abgesichert durch EU-US Data Privacy Framework und Standardvertragsklauseln. Eine eigenständige Verantwortlichkeit von WhatsApp besteht für die plattformseitige Datenverarbeitung.
Diese Datenschutzerklärung hat den Stand vom 29. April 2026. Aufgrund der Weiterentwicklung unserer Plattform sowie aufgrund geänderter rechtlicher oder behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Datenschutzerklärung können Sie jederzeit unter https://ankibuddy.com/legal/datenschutz und https://app.ankibuddy.com/#privacy_policy abrufen und ausdrucken.