Rhetorik Coach
Rechtliches

Datenschutzerklärung

Gültig ab 8. Mai 2026 · Version 1.0

Diese Datenschutzerklärung informiert Sie nach Art. 13 und 14 DSGVO über die Verarbeitung personenbezogener Daten beim Besuch und der Nutzung der Website rhetorik-coach.com und der zugehörigen Lern-App.

1. Verantwortlicher

VERTRADE eG
Ziegenangerweg 4
91325 Adelsdorf
Deutschland

Vertretungsberechtigte: Miriam Roth (Vorstand)
E-Mail Datenschutz: mail@vertrade.de
Impressum: rhetorik-coach.com/legal/impressum

Ein Datenschutzbeauftragter ist nicht bestellt: Bei VERTRADE eG sind in der Regel weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 Satz 1 BDSG). Eine Bestellungspflicht aus den weiteren Tatbeständen (Datenschutz-Folgenabschätzung nach Art. 35 DSGVO oder geschäftsmäßige Verarbeitung zum Zweck der Übermittlung) besteht aktuell ebenfalls nicht. Bei Aktivierung der KI-gestützten Sprachanalyse in Phase 2 wird diese Einordnung erneut geprüft.

2. Zuständige Aufsichtsbehörde

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
Telefon: 0981 53-1300 · www.lda.bayern.de

3. Grundsätze unserer Datenverarbeitung

3.1 EU-Hosting, kein US-Datentransfer für Endnutzerdaten

Sämtliche personenbezogenen Daten von Endkunden werden in Rechenzentren innerhalb der EU verarbeitet — primär in Frankfurt am Main, ergänzend Helsinki. Wir setzen keine US-Cloud-Anbieter für personenbezogene Endnutzerdaten ein. Anbieter mit US-Mutterkonzern, deren Verarbeitung dennoch ausschließlich in EU-Datacentern stattfindet (z. B. Cloudflare, Stripe), werden weiter unten einzeln benannt — Rechtsgrundlage ist hier ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit zusätzlichen EU-Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO und einem ergänzenden Transfer-Risiko-Assessment.

3.2 Auftragsverarbeitung

Mit allen Dienstleistern, die für uns personenbezogene Daten verarbeiten, sind AVVs nach Art. 28 DSGVO geschlossen. Auf Anfrage stellen wir die jeweiligen AVVs in zusammengefasster Form zur Verfügung.

3.3 Verschlüsselung und Sicherheitsmaßnahmen

Die Übertragung erfolgt ausschließlich über TLS 1.2 oder höher. Passwörter werden mit bcrypt gehasht und niemals im Klartext gespeichert oder übermittelt. Datenbank-Zugriffe sind über Row-Level-Security (RLS) auf den jeweils berechtigten Nutzer beschränkt. Backup-Daten werden clientseitig verschlüsselt (Borg/repokey-blake2) und auf einem separaten EU-Speicher (Hetzner Storage Box) abgelegt.

3.4 Datensparsamkeit

Wir erheben nur die Daten, die für den Betrieb der App und die Vertragsabwicklung erforderlich sind. Eine Nutzung ohne Account ist möglich — in diesem Fall werden Fortschritt und Nutzerprofil ausschließlich lokal im Browser (localStorage / IndexedDB) gespeichert und nicht an uns übertragen.

4. Maßgebliche Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z. B. optionale Sprachaufnahmen, Newsletter-Anmeldung)
  • Art. 6 Abs. 1 lit. b DSGVO — Vertragsdurchführung (Account, Abrechnung, Lernfortschritt-Sync)
  • Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtungen (Steuer, Buchhaltung, GoBD)
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (IT-Sicherheit, Betrugsprävention, Reichweitenmessung in datensparender Form)

5. Welche Daten wir verarbeiten

5.1 Beim bloßen Besuch der Website

Bei jedem Aufruf werden vom Cloudflare-Edge-Netz (siehe Abschnitt 6.1) folgende Daten verarbeitet, um die technische Auslieferung zu gewährleisten:

  • IP-Adresse (anonymisiert nach 24 h, primär für DDoS-Schutz)
  • Datum und Uhrzeit der Anfrage
  • Aufgerufene Seite/Datei
  • Übertragene Datenmenge
  • HTTP-Statuscode
  • Referer (falls übermittelt)
  • User-Agent (Browser, Betriebssystem)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Bereitstellung des Onlineangebots, IT-Sicherheit). Speicherdauer: 24 Stunden in vollem Umfang, danach aggregiert ohne Personenbezug.

5.2 Bei der Registrierung und Nutzung des Accounts

  • E-Mail-Adresse (Pflicht — Login, Vertragskommunikation)
  • Anzeigename (optional, Pflicht-Default „Redner")
  • Passwort-Hash (bcrypt, kein Klartext)
  • Lernfortschritt: abgeschlossene Lektionen, Punktestand, Streak, Badges
  • Persona-Auswahl aus dem Onboarding (Berufsgruppe, Lernziel, tägliche Lernzeit)
  • E-Mail-Präferenzen (welche Reminder/Marketing-Mails)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag). Speicherdauer: bis zum Löschen des Accounts, danach binnen 30 Tagen vollständige Entfernung aus produktiven Systemen (Backup-Lebensdauer max. 90 Tage).

5.3 Bei kostenpflichtigen Bestellungen

  • Rechnungs-/Vertragsdaten (Name, Anschrift, USt-ID falls anwendbar)
  • Zahlungsdaten (Stripe-Customer-ID — nicht die Kartennummer selbst)
  • Rechnungsnummer, Rechnungsbetrag, USt-Satz, Rechnungsdatum
  • Abo-Status und Periodendaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und Art. 6 Abs. 1 lit. c DSGVO (handelsrechtliche Aufbewahrungspflichten — § 257 HGB, § 147 AO). Speicherdauer: 8 Jahre für Rechnungsdaten (§ 257 Abs. 4 i. V. m. Abs. 1 Nr. 4 HGB, seit 1.1.2025 verkürzt durch das Vierte Bürokratieentlastungsgesetz), 6 Jahre für allgemeine Vertragskorrespondenz (§ 257 Abs. 4 i. V. m. Abs. 1 Nr. 2/3 HGB).

5.4 Bei Sprachaufnahmen (Phase 2 — Sprach-Feedback)

Sobald die KI-Sprachanalyse aktiv ist, können Sie freiwillig kurze Audio-Aufnahmen Ihrer Übungen erstellen. Wir verarbeiten:

  • Audio-Stream (temporär, ausschließlich zur Analyse — siehe 6.6 + 6.7)
  • Auswertungs-Metriken: Sprechtempo (Wörter/Minute), Pausenanzahl, Tonhöhen-Varianz

Der Audio-Stream wird nicht dauerhaft gespeichert — nur die abgeleiteten Metriken bleiben in Ihrem Account. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Aufnahmen sind optional und müssen aktiv ausgelöst werden).

5.5 Bei Support-Anfragen

  • E-Mail-Adresse und Inhalt der Nachricht
  • Eventuell von Ihnen mitgeteilte Account-Informationen

Support läuft asynchron via E-Mail an hilfe@vertrade.de. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche/vertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Support-Bearbeitung). Speicherdauer: 3 Jahre, danach Löschung.

6. Eingesetzte Drittanbieter (Auftragsverarbeiter)

6.1 Cloudflare (Hosting, CDN, WAF, DNS, Bot-Schutz)

Anbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA (europäische Aktivitäten über Cloudflare Germany GmbH).
Verarbeitungsort: EU-Edge-Knoten (primär Frankfurt).
Zweck: Auslieferung der Website, Schutz vor DDoS-Angriffen und automatisierten Anfragen, TLS-Terminierung, DNS.
Daten: Server-Log-Daten gemäß Abschnitt 5.1.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit, performante Auslieferung).
Datentransfer USA: AVV inkl. SCC. Cloudflare verarbeitet Endnutzerdaten in der EU; nur aggregierte technische Daten (z. B. Threat Intelligence) können in die USA fließen.
Datenschutz: cloudflare.com/privacypolicy

6.2 Supabase (Datenbank, Authentifizierung, Edge-Functions)

Anbieter: Supabase, Inc., 970 Toa Payoh North #07-04, 318992, Singapur (mit EU-Niederlassung).
Verarbeitungsort: AWS Frankfurt (eu-central-1).
Zweck: Speicherung von Account-Daten, Authentifizierung, Lernfortschritt-Sync, Server-Logik (Edge Functions).
Daten: alle in Abschnitt 5.2 genannten Account-Daten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
AVV: nach Art. 28 DSGVO geschlossen.
Datenschutz: supabase.com/privacy

6.3 Stripe (Zahlungsabwicklung)

Anbieter: Stripe Payments Europe Ltd., The One Building, 1 Grand Canal Street Lower, Dublin 2, Irland.
Verarbeitungsort: EU/EWR (PCI-DSS Level 1 zertifiziert).
Zweck: Abwicklung von Kartenzahlungen, SEPA-Lastschriften, Apple/Google Pay, Klarna sowie weiteren über Stripe verfügbaren Methoden; Webhook-basierte Vertrags-Statusaktualisierung.
Daten: Karten- bzw. Konto-Daten werden ausschließlich von Stripe verarbeitet — wir erhalten nur einen Token (Customer-ID, Subscription-ID), niemals die Karten-PAN.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).
AVV: Standard-Stripe-DPA mit SCC.
Datenschutz: stripe.com/de/privacy

6.4 Resend (Transaktions-E-Mail-Versand)

Anbieter: Resend, Inc., 2261 Market Street #4733, San Francisco, CA 94114, USA.
Verarbeitungsort: EU-Region (Frankfurt) — wir nutzen ausdrücklich die EU-Datacenter-Variante.
Zweck: Versand transaktionaler E-Mails (Willkommen, Zahlungsbestätigung, Kündigungsbestätigung, optionale Streak-/Verlängerungs-Reminder), zusätzlich SMTP-Relay für Auth-Mails (E-Mail-Bestätigung, Passwort-Reset).
Daten: Empfänger-E-Mail, Inhalt der Nachricht, Versand-Status, Bounce-Daten (90 Tage Log).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Pflichtmails) bzw. Art. 6 Abs. 1 lit. a DSGVO (Marketing-/Reminder-Mails — Opt-in jederzeit widerruflich).
AVV: mit SCC.
Datenschutz: resend.com/legal/privacy-policy

6.5 Hetzner (Selfhost-Stack: Plausible, GlitchTip, UptimeKuma + Backup)

Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.
Verarbeitungsort: Helsinki/Finnland (CX33-Server) und Falkenstein/Deutschland (Storage Box).
Zweck: Hosting der selbst betriebenen Reichweitenmessungs-, Error-Tracking- und Status-Monitoring-Infrastruktur sowie verschlüsselter Backups.
Daten: aggregierte Reichweitendaten (Plausible — siehe 6.8), Fehler-Stack-Traces (GlitchTip — siehe 6.10), verschlüsselte Backup-Datenbestände.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
AVV: Hetzner-Standard-AVV.
Datenschutz: hetzner.com/de/rechtliches/datenschutz

6.6 AWS Bedrock (KI-Funktionen via Anthropic Claude — Phase 2)

Anbieter: Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg.
Verarbeitungsort: AWS Frankfurt (eu-central-1) — kein USA-Routing.
Zweck: KI-gestützte Sprachanalyse und Coaching-Vorschläge in der Phase 2 der App. Der Modell-Anbieter Anthropic verarbeitet Daten ausschließlich über die AWS-Bedrock-API, ohne eigenen Datenfluss.
Daten: ausschließlich der Inhalt der jeweiligen KI-Anfrage (Übungstext, Audio-Transkript). Keine Account-Identifier.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO (Vertrag, sofern Bestandteil eines gebuchten Tarifs).
AVV: AWS-DPA mit SCC, Anthropic-Bedrock-Datenverarbeitungs-Anhang.
Datenschutz: aws.amazon.com/de/privacy

6.7 OpenAI Whisper (Sprach-zu-Text — Phase 2)

Anbieter: OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, Irland.
Verarbeitungsort: EU-Region.
Zweck: Transkription von Übungs-Sprachaufnahmen, ausschließlich um daraus Auswertungs-Metriken (Sprechtempo, Pausen) zu gewinnen.
Daten: Audio-Stream — wird nach Transkription bei OpenAI gelöscht (laut OpenAI-API-Datenrichtlinie binnen 30 Tagen, kein Modell-Training).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Sprachaufnahmen sind freiwillig).
AVV: OpenAI-DPA mit SCC, „Zero-Data-Retention"-Variante (sofern verfügbar).
Datenschutz: openai.com/policies/privacy-policy

6.8 Plausible Analytics (Reichweitenmessung)

Variante: Selbst gehostet auf unserer Hetzner-Infrastruktur (Helsinki) — keine Datenweitergabe an Plausible Insights Ltd.
Zweck: Aggregierte, nicht-personenbezogene Reichweitenmessung. Plausible verwendet keine Cookies und erstellt keine Cross-Site-Profile.
Daten: aufgerufene URL, Referrer (Domain-Level), grobes Land, Device-Typ (Desktop/Mobile/Tablet), Browser-Familie. Keine IP-Speicherung, kein User-Identifier, keine Cookies.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenmessung in datensparender Form). Eine Einwilligung ist nach derzeitiger BGH-Rechtsprechung (Az. I ZR 7/16, „Cookie-Einwilligung II") für Plausible nicht erforderlich.

6.9 GlitchTip (Error-Tracking — selbst gehostet)

Variante: Selbst gehostet auf unserer Hetzner-Infrastruktur — keine Datenweitergabe an Dritte. GlitchTip ist Sentry-API-kompatibel und steht unter MIT-Lizenz.
Zweck: Erfassung von technischen Fehlern in Browser und Server, ausschließlich zur Fehlerbehebung.
Daten: Fehlermeldung, Stack-Trace, anonymisierte URL, Browser-Version. Keine Speicherung von Form-Eingaben, persönlichen Inhalten oder Tokens.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit, Stabilität).

6.10 GitHub (Quellcode-Hosting)

Anbieter: GitHub B.V., Vijzelstraat 68-72, 1017 HL Amsterdam, Niederlande (Microsoft-Tochter).
Zweck: Quellcode-Verwaltung, automatisierte Deployment-Pipeline. Keine Endnutzer-Daten werden auf GitHub verarbeitet — ausschließlich Code, Konfiguration und Build-Artefakte.
Datenschutz: docs.github.com/site-policy/privacy-policies

7. Cookies und vergleichbare Technologien

Wir setzen technisch notwendige Cookies (z. B. Session-Token nach Login) sowie lokalen Browserspeicher (localStorage / IndexedDB) für die App-Funktion ein. Diese sind für den Betrieb erforderlich und ohne Einwilligung zulässig (§ 25 Abs. 2 Nr. 2 TTDSG).

Tracking-Cookies oder Cross-Site-Tracker setzen wir nicht ein. Plausible Analytics (siehe 6.8) arbeitet bewusst cookielos. Sollten wir später optionale Marketing- oder A/B-Test-Cookies einführen, geschieht das ausschließlich nach aktiver Zustimmung in einem Consent-Banner.

8. Internationale Datentransfers

Wo eine Verarbeitung in einem Drittland stattfindet (z. B. USA bei Cloudflare oder Resend trotz EU-Datacentern, Sub-Processing bei AWS Bedrock), erfolgt die Übermittlung auf Basis der EU-Standardvertragsklauseln nach Beschluss (EU) 2021/914 sowie ergänzender technischer Maßnahmen (Verschlüsselung, Pseudonymisierung). Das Schutzniveau wird im Einzelfall durch ein Transfer-Risiko-Assessment dokumentiert.

9. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es der jeweilige Zweck erfordert oder gesetzliche Aufbewahrungspflichten dies vorschreiben. Konkrete Fristen sind in den jeweiligen Abschnitten oben genannt. Nach Ablauf werden die Daten unwiederbringlich gelöscht oder anonymisiert.

10. Ihre Rechte

Sie haben uns gegenüber folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Auskunft nach Art. 15 DSGVO
  • Berichtigung unrichtiger Daten nach Art. 16 DSGVO
  • Löschung nach Art. 17 DSGVO
  • Einschränkung der Verarbeitung nach Art. 18 DSGVO
  • Datenübertragbarkeit nach Art. 20 DSGVO
  • Widerspruch gegen Verarbeitung auf Basis berechtigten Interesses nach Art. 21 DSGVO
  • Widerruf einer Einwilligung mit Wirkung für die Zukunft nach Art. 7 Abs. 3 DSGVO
  • Beschwerde bei einer Aufsichtsbehörde nach Art. 77 DSGVO (zuständig: BayLDA, siehe Abschnitt 2)

Zur Ausübung dieser Rechte genügt eine formlose Nachricht an mail@vertrade.de. Wir antworten innerhalb der gesetzlichen Frist von einem Monat.

11. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt. Die KI-gestützten Coaching-Vorschläge sind ausschließlich beratend und haben keine rechtliche Wirkung gegen Sie.

12. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Datenschutzerklärung, sobald Änderungen an der Datenverarbeitung dies notwendig machen — z. B. bei Aktivierung der KI-Funktionen in Phase 2 oder beim Hinzufügen weiterer Zahlungsanbieter. Die jeweils aktuelle Version ist mit Datum am Anfang gekennzeichnet. Über wesentliche Änderungen informieren wir aktive Abonnenten zusätzlich per E-Mail.

Diese Datenschutzerklärung wurde nach den Vorgaben der DSGVO und des deutschen BDSG (Stand 2026) verfasst. Bei Fragen zur Auslegung oder zu konkreten Verarbeitungen wenden Sie sich bitte an mail@vertrade.de.