Datenschutzerklärung

1. Verantwortliche Stelle

Verantwortliche Person für die Bearbeitung deiner Daten im Sinne des nDSG ist:

Bei Fragen zum Datenschutz oder zur Geltendmachung deiner Rechte wende dich bitte per E-Mail an uns.

2. Welche Daten wir bearbeiten und warum

2.1 Registrierungs- und Kontodaten

Beim Erstellen eines Kontos erheben wir:

• E-Mail-Adresse (Pflichtfeld, zur Authentifizierung)
• Anzeigename / Benutzername (optional)
• Passwort (verschlüsselt gespeichert, wir haben keinen Zugriff)

Zweck: Bereitstellung, Verwaltung und Sicherung deines Nutzerkontos; Kommunikation über wesentliche Änderungen am Dienst.

2.2 Lern- und Inhaltsdaten

Im Rahmen der Nutzung der Plattform verarbeitest du aktiv folgende Daten, die deinem Konto zugeordnet sind:

• Von dir erstellte Module, Themen, Notizen, Karteikarten und Quizfragen
• Hochgeladene Dateien (PDFs, Bilder)
• Noteneinträge und Studienfortschritt
• Mitgliedschaften in Lerngruppen
• Geteilte Inhalte (öffentlich oder innerhalb einer Gruppe)

Zweck: Kernfunktionalität der Plattform; Speicherung und Abruf deiner Lerninhalte.

2.3 KI-verarbeitete Daten (Google Gemini)

Wenn du KI-gestützte Funktionen nutzt (Quizgenerierung, Karteikarten, Zusammenfassungen, Chat), werden Teile deiner Lerninhalte an die Gemini-API von Google übermittelt. Diese Daten verlassen die Schweiz und werden auf Servern in den USA verarbeitet.

Zweck: Automatische Generierung von Lernmaterial, Beantwortung von Fragen im Lernkontext.

Hinweis: Sende keine besonders schützenswerten Personendaten (Gesundheitsdaten, politische Ansichten etc.) über KI-Funktionen.

2.4 OCR-Verarbeitung von Dokumenten

Wenn du «OCR starten» für gescannte PDFs verwendest, werden die Seitenbilder lokal in deinem Browser durch tesseract.js verarbeitet. Es werden dabei keine Bilddaten an externe Server übermittelt.

2.5 Zahlungs- und Abonnementdaten

Bei kostenpflichtigen Abonnements (Pro / Premium) werden Zahlungen ausschliesslich über Stripe Inc. abgewickelt. StudyLab speichert lediglich:

• Abonnementstufe (Free / Pro / Premium)
• Abonnementstatus (aktiv, gekündigt etc.)
• Stripe-Kunden-ID (anonymer Bezeichner)
• Laufzeitende des Abonnements

Vollständige Zahlungsdaten (Kreditkartennummern etc.) werden ausschliesslich durch Stripe verarbeitet und gespeichert. Wir haben keinen Zugriff darauf.

Zweck: Verwaltung deines Abonnements, Zugang zu kostenpflichtigen Funktionen.

2.6 Nutzungs- und Quotalaten

Zur Durchsetzung von Nutzungsgrenzen (KI-Anfragen pro Tag, Speicherplatz, Gruppen) protokollieren wir:

• Anzahl KI-Anfragen pro Tag und Nutzungskategorie
• Verwendeter Speicherplatz in Bytes

Zweck: Sicherstellung eines fairen und stabilen Betriebs der Plattform (Rate Limiting, Quotas).

2.7 Technische und Protokolldaten

Bei der Nutzung der Plattform entstehen automatisch technische Daten:

• IP-Adresse (durch Vercel und Supabase protokolliert)
• Browser-Typ und -version
• Betriebssystem
• Zugriffszeiten und aufgerufene Seiten
• HTTP-Statuscodes

Zweck: Sicherheit, Fehlerbehebung, Missbrauchsprävention.

3. Rechtsgrundlagen

Die Bearbeitung deiner Personendaten stützt sich auf folgende Rechtsgrundlagen:

• Vertragserfüllung (Art. 31 Abs. 2 lit. a nDSG): Kontodaten, Lerninhaltsdaten und Abonnementdaten sind zur Erbringung des Dienstes erforderlich.
• Berechtigte Interessen (Art. 31 Abs. 1 nDSG): Technische Protokolldaten und Quotadaten zur Sicherstellung des Betriebs und Schutz vor Missbrauch.
• Einwilligung: Wenn du KI-Funktionen verwendest, gibst du Inhalte aktiv ein und willigst damit konkludent in die Übermittlung an Google Gemini ein.

4. Empfänger und Auftragsverarbeiter

Wir setzen folgende Drittanbieter ein, denen wir Daten im Rahmen unserer Leistungserbringung übermitteln:

Alle aufgeführten Drittanbieter haben sich vertraglich verpflichtet, Personendaten nur zu den vereinbarten Zwecken und nach unserer Weisung zu bearbeiten.

5. Datenübermittlung in Drittstaaten

Verschiedene unserer Dienstleister haben ihren Sitz in den USA. Die USA gelten nach Schweizer Recht aktuell nicht als Land mit einem angemessenen Datenschutzniveau im Sinne des nDSG. Wir gewährleisten daher einen angemessenen Schutz durch folgende Massnahmen:

• Standardvertragsklauseln (SCK): Wir schliessen mit US-Anbietern Verträge auf Basis der von der Schweiz anerkannten Standarddatenschutzklauseln ab.
• Zertifizierungen: Stripe und Vercel sind nach gängigen Sicherheitsstandards (ISO 27001, SOC 2) zertifiziert.
• PCI-DSS: Stripe ist PCI-DSS-Level-1-zertifiziert, dem höchsten Standard für Zahlungsdaten.

Durch die aktive Nutzung von KI-Funktionen übermittelst du Lerninhaltsdaten an Google LLC in die USA. Wir empfehlen, keine besonders schützenswerten Personendaten an die KI-Funktionen zu übermitteln.

6. Aufbewahrungsfristen

• Kontodaten: Solange das Konto besteht; nach Kontolöschung werden persönliche Daten innerhalb von 30 Tagen gelöscht.
• Lerninhaltsdaten: Bis zur Löschung durch den Nutzer oder Löschung des Kontos.
• Zahlungsdaten: Stripe speichert Transaktionsdaten gemäss gesetzlichen Aufbewahrungspflichten (i.d.R. 10 Jahre).
• Nutzungs-/Quotadaten: Tagesweise aggregiert; Rollover nach 24 Stunden.
• Technische Protokolldaten: Je nach Dienstleister 7–30 Tage.

7. Deine Rechte

Nach dem nDSG stehen dir folgende Rechte zu. Du kannst sie jederzeit durch Kontaktaufnahme per E-Mail geltend machen:

• Auskunft (Art. 25 nDSG): Du kannst eine Bestätigung verlangen, ob und welche Personendaten über dich bearbeitet werden.
• Berichtigung (Art. 32 Abs. 1 nDSG): Du kannst die Korrektur unrichtiger Daten verlangen.
• Löschung (Art. 32 Abs. 2 lit. c nDSG): Du kannst die Löschung deiner Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
• Datenherausgabe / Portabilität (Art. 28 nDSG): Du kannst die Herausgabe deiner Daten in einem gängigen, maschinenlesbaren Format verlangen.
• Widerspruch: Du kannst der Bearbeitung deiner Daten für bestimmte Zwecke widersprechen.
• Beschwerde: Du hast das Recht, dich beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu beschweren.

Wir beantworten Anfragen zu Datenschutzrechten innerhalb von 30 Tagen ab Eingang. Die Ausübung dieser Rechte ist grundsätzlich kostenlos, ausser bei offensichtlich unbegründetem oder exzessivem Aufwand.

8. Cookies und lokale Speicherung

Wir verwenden technisch notwendige Cookies sowie lokale Speichertechnologien (Local Storage). Ausführliche Informationen findest du in unserer Cookie-Richtlinie.

9. Sicherheitsmassnahmen

Wir treffen angemessene technische und organisatorische Massnahmen zum Schutz deiner Daten:

• Verschlüsselte Übertragung via HTTPS/TLS
• Passwörter werden gehashed (bcrypt) gespeichert
• Row-Level-Security (RLS) in der Datenbank: jeder Nutzer sieht nur seine eigenen Daten
• Rate Limiting zum Schutz vor Brute-Force-Angriffen
• Profanity-Filter für nutzergenerierte Inhalte
• Regelmässige Sicherheitsupdates der Abhängigkeiten

Bei Verdacht auf eine Datenpanne informieren wir betroffene Nutzer gemäss Art. 24 nDSG unverzüglich und melden schwerwiegende Vorfälle dem EDÖB.

10. Minderjährige

StudyLab richtet sich an Studierende an Hochschulen und ist für Personen ab 16 Jahren konzipiert. Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren. Solltest du Kenntnis haben, dass ein Kind unter 16 Jahren ein Konto erstellt hat, bitte kontaktiere uns umgehend.

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die gesetzlichen Anforderungen ändern oder wir neue Dienste einführen. Über wesentliche Änderungen informieren wir dich per E-Mail oder durch einen deutlichen Hinweis in der App. Das Datum der letzten Änderung ist unten ersichtlich.