Datenschutzerklärung
1 | Verantwortlicher
OXO UG (haftungsbeschränkt)
Ruebenackerweg 2
82418 Seehausen am Staffelsee – Deutschland
E-Mail: [email protected]
Schul-Accounts: Sobald eine Schule ein Schul-Dashboard anlegt und unsere Auftragsverarbeitungsregel (§ 8 AGB) per Checkbox akzeptiert, wird die Schule – nicht wir – datenschutzrechtlich Verantwortlicher.
2 | Datenschutzanfragen
Ein gesetzlich vorgeschriebener Datenschutzbeauftragter ist nach § 38 BDSG nicht erforderlich.
Kontakt bei allen Datenschutzfragen: [email protected]
3 | Zwecke, Datenarten, Rechtsgrundlagen
| Zweck / Dienst | Typische Daten | Rechtsgrundlage DSGVO* |
|---|---|---|
| Konto- und Rollenverwaltung | Name, Alter, Rolle, Login-E-Mail / Code, Passwort-Hash | Art. 6 Abs. 1 lit. b |
| KI-Chat | Chat-Texte, Nutzungszähler | Art. 6 Abs. 1 lit. b |
| Zahlung (Stripe) | Rechnungsanschrift, Zahlungs-Token | Art. 6 Abs. 1 lit. b + c |
| Newsletter (Mailchimp) | Name, E-Mail, Double-Opt-In-Zeitstempel | Art. 6 Abs. 1 lit. a |
| Web-Analyse (Google Analytics) | IP-Adresse (gekürzt), Cookie-ID | Art. 6 Abs. 1 lit. a |
| Marketing- & Produkt-Tracking (Meta-, Google-, LinkedIn-, X-Pixel, Amplitude, Mixpanel) | Cookie-ID | Art. 6 Abs. 1 lit. a |
| Support/CRM (HubSpot) | Kontaktdaten, Anfrageinhalt | Art. 6 Abs. 1 lit. b |
* Bei Schul-Accounts kann Art. 6 Abs. 1 lit. e i. V. m. Landesschulrecht einschlägig sein (öffentliche Aufgabe Unterricht).
4 | Besonderer Hinweis für Minderjährige (< 16 Jahre)
Die Plattform darf von Kindern unter 16 Jahren nur benutzt werden, wenn
a) ein Eltern-Account,
b) eine Lehrkraft oder
c) ein Schul-Admin die Nutzung freigibt.
Diese Zustimmung wird mit Account-ID, Zeitstempel und IP protokolliert.
Bitte keine besonders sensiblen Angaben (Gesundheit, Religion, politische Meinung u. Ä.) in Chat-Eingaben oder Dateien einstellen.
5 | Speicherfristen
| Datenkategorie | Aufbewahrung |
|---|---|
| Konten, Rollen, Chat-Verläufe | Bis Nutzer löscht oder Konto endet; inaktive Konten werden nach 24 Monaten gelöscht. |
| Server-Log-Dateien | 14 Tage, danach Anonymisierung. |
| Steuer- und Handelsunterlagen | 10 Jahre (§§ 147 AO, 257 HGB). |
6 | Empfänger außerhalb der OXO UG
Supabase (EU-Frankfurt) · Cloudflare · Stripe · Mailchimp · HubSpot · Google · Meta (Facebook) · LinkedIn · X (Twitter) · Amplitude · Mixpanel · OpenAI · Anthropic.
Sämtliche US-Dienste arbeiten auf Grundlage des EU-US Data Privacy Framework oder gültiger Standardvertragsklauseln; eine Kopie kann auf Anfrage bereitgestellt werden.
7 | Cookies & Tracking
Nicht-essenzielle Cookies und Pixel werden erst gesetzt, wenn Sie über das Cookie-Banner aktiv zustimmen. Die Entscheidung kann jederzeit unter „Cookie-Einstellungen" widerrufen oder geändert werden.
8 | Betroffenenrechte
Sie haben jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch (Art. 15 – 21 DSGVO). Beschwerden können an das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) gerichtet werden.
9 | Sicherheitsmaßnahmen (TOM – Kurzfassung)
TLS 1.3-Verschlüsselung in-transit · AES-256 at-rest · Zwei-Faktor-Authentifizierung für Admin-Konten · rollenbasierte Zugriffskonzepte · tägliche verschlüsselte Back-ups · Cloudflare WAF/DDoS-Schutz · regelmäßige Sicherheitsscans.