StackMind AI Schulung

Datenschutzerklaerung

Hinweis: Diese Datenschutzerklaerung befindet sich in anwaltlicher Pruefung. Letzter Stand: 2026-04-20 (v0.3).

Geltungsbereich: schulung.stackmind-ai.de (Schulungsplattform) und die zugehoerige Verifikations-Seite fuer Teilnahmenachweise. Diese Datenschutzerklaerung beschreibt, welche personenbezogenen Daten wir im Rahmen des Betriebs der Schulungsplattform verarbeiten, zu welchen Zwecken, auf welcher Rechtsgrundlage und wie lange.

1. Verantwortlicher

ConsultingAI GmbH i.G.
vertreten durch den Gesellschafter Marius Morenci
[Anschrift folgt nach HRB-Eintrag]
Deutschland

E-Mail: datenschutz@stackmind-ai.de
Telefon: [auf Anfrage]
Web: schulung.stackmind-ai.de

Hinweis zur Firmierung: Die Gesellschaft befindet sich im Gruendungsstadium. Nach Eintragung im Handelsregister wird „GmbH i.G." durch „GmbH" und die HRB-Nummer ergaenzt.

Wir sind nach § 38 BDSG zum aktuellen Stand nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet (weniger als 20 Personen mit regelmaessigem automatisierten Zugang zu personenbezogenen Daten). Bei Datenschutzfragen wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.

2. Doppelrolle: Verantwortlicher und Auftragsverarbeiter

ConsultingAI nimmt je nach Verarbeitungskontext eine unterschiedliche datenschutzrechtliche Rolle ein:

  • Lernenden-Daten (Schulungsplattform): Auftragsverarbeiter nach Art. 28 DSGVO. Verantwortlicher ist die Kundenorganisation (der Arbeitgeber, der die Zugaenge gekauft hat).
  • Marketing-Kontakte und Anfragen ueber stackmind-ai.de: Verantwortlicher ist ConsultingAI GmbH i.G.
  • Rechnungs- und Zahlungsdaten (Kunden-Admin): Verantwortlicher ist ConsultingAI GmbH i.G.
  • Plausible Analytics (cookie-frei, aggregiert): Verantwortlicher ist ConsultingAI GmbH i.G.

Fuer Lernenden-Daten ist die Kundenorganisation Verantwortlicher und ConsultingAI verarbeitet diese ausschliesslich auf Weisung, geregelt im Auftragsverarbeitungs-Vertrag (AVV).

3. Kategorien verarbeiteter Daten

3.1 Account-Daten

Kunden-Admin (Verantwortlicher: ConsultingAI): Name, Firmenname, E-Mail-Adresse, USt-IdNr., Rechnungsadresse, Login-Zeitpunkte, Session-Daten.

Lernende (Verantwortlicher: Kundenorganisation): Vollstaendiger Name, E-Mail-Adresse (fuer Magic-Link-Zugang), optional Rolle im Unternehmen.

3.2 Lernfortschrittsdaten (Auftragsverarbeiter)

  • Abgeschlossene Module und Lektionen mit Zeitstempeln
  • Verweildauer je Lektion
  • Quiz-Versuche je Modul (Ergebnis, Zeitstempel)

3.3 Pruefungsergebnisse (Auftragsverarbeiter)

  • Gewaehlter Fragensatz des Abschluss-Quiz (Fragen-IDs und Texte zum Zeitpunkt der Pruefung)
  • Gegebene Antworten je Frage
  • Pruefungsscore (Prozent), bestanden/nicht bestanden
  • Antwortzeit pro Frage (zur nachtraeglichen Anomalie-Analyse)
  • Zeitstempel: Quiz-Start, Quiz-Abgabe

3.4 Teilnahmenachweise

  • Vollstaendiger Name, Lernpfad-Bezeichnung, Inhaltsversion, Ausstellungsdatum, Score, Aussteller
  • Nachweis-ID (publicId), SHA-256-Integritaetshash
  • Status: gueltig oder widerrufen

Diese Daten sind ueber die oeffentliche Verify-URL nur dann abrufbar, wenn die geschulte Person hierzu eine ausdrueckliche Einwilligung erteilt hat (siehe Abschnitt 6).

3.5 Zahlungsdaten

Rechnungsadresse und Zahlungsmitteldaten werden ueber unseren Zahlungsdienstleister verarbeitet. ConsultingAI sieht nur den Zahlungs-Status und die letzten vier Kartenstellen. Die Rechnungshistorie ist im Admin-Dashboard als PDF abrufbar.

3.6 E-Mail-Kommunikation

Versand ueber Mailjet (Sinch SAS, Paris, Frankreich, EU). Verarbeitete Daten: Empfaenger-E-Mail-Adresse, Name, Zeitpunkt des Versands, Inhalte (Einladungs-E-Mails, Magic-Links, Pruefungsergebnis-Mails, Teilnahmenachweis-Anhang) sowie Bounce- und Delivery-Status.

3.7 Technische Logs

  • IP-Adresse, User-Agent, HTTP-Methode, URL, Statuscode (Caddy Access-Log)
  • Antwortzeiten, Fehler-Logs der Applikation
  • Speicherdauer: 30 Tage rolling

3.8 Plausible Analytics (selbstgehostet)

Aggregierte Seitenaufrufe, grobes Herkunftsland, Geraetekategorie. Kein Cookie, keine persoenliche Identifikation, kein Fingerprinting. Selbstgehostet auf demselben Hostinger-VPS in der EU-Region Frankfurt.

4. Zwecke und Rechtsgrundlagen der Verarbeitung

  • Vertragsdurchfuehrung (Bereitstellung der Schulungsplattform, Ausstellung des Teilnahmenachweises, Zahlungsabwicklung, E-Mail-Versand) — Art. 6 Abs. 1 lit. b DSGVO.
  • Gesetzliche Buchfuehrungspflicht nach § 147 AO — Art. 6 Abs. 1 lit. c DSGVO.
  • Oeffentliche Verify-URL (Veroeffentlichung von Name, Lernpfad, Datum, Score) — Einwilligung der geschulten Person nach Art. 6 Abs. 1 lit. a DSGVO; jederzeit widerrufbar.
  • Sicherheit und Fehlerdiagnose (technische Logs) — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: IT-Sicherheit).
  • Anti-Cheating-Analyse (nachtraegliche Anomalie-Analyse von Antwortzeiten) — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Pruefungsintegritaet).
  • Aufbewahrung Teilnahmenachweis (3 Jahre) — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Nachweispflicht Art.-4-KI-VO-Audits).

5. Speicherdauer je Datenkategorie

  • Lernfortschrittsdaten und Quiz-Antworten: 3 Jahre ab Nachweis-Ausstellung (Speicherbegrenzung gem. Art. 5 Abs. 1 lit. e DSGVO, Audit-Vorhalt).
  • Teilnahmenachweis-Datensatz: 3 Jahre; danach Anonymisierung des Namens auf „[Geloescht]". Die publicId bleibt aktiv (Tombstone), um 404-Fehler in bereits verteilten QR-Codes zu vermeiden.
  • Teilnahmenachweis-PDF (lokales Filesystem): 3 Jahre ab Ausstellung; danach Loeschung.
  • Nutzerkonten ohne aktive Enrollment: 24 Monate Inaktivitaet → Deaktivierung; 36 Monate → Loeschung.
  • Rechnungs- und Buchhaltungsdaten: 10 Jahre nach § 147 AO.
  • Technische Logs / Caddy Access-Logs: 30 Tage rolling.
  • Backup-Snapshots (Restic, verschluesselt): 7 taegliche / 4 woechentliche / 6 monatliche Snapshots.

Vorzeitiger Loesch-Trigger bei Ausscheiden: Auf Anforderung des Kunden-Admins werden alle personenbezogenen Daten einer geschulten Person unverzueglich, spaetestens binnen 30 Tagen, vollstaendig geloescht, wenn die Person das Kundenunternehmen verlaesst. Die publicId bleibt als anonymer Tombstone-Eintrag erhalten.

Backup-Aufbewahrung: Daten in regelmaessigen Sicherungen werden mit dem naechsten Rotations-Zyklus der Backup-Retention (max. 6 Monate) endgueltig geloescht. Die Backups sind vollstaendig verschluesselt; eine Wiederherstellung geloeschter Datensaetze erfolgt ausschliesslich bei nachgewiesenem Stoerfall.

6. Empfaengerkategorien und Drittlandtransfers

6.1 Empfaenger

  • Hostinger International Ltd. (Unterauftragsverarbeiter Hosting; Rechenzentrum Frankfurt, DE) — kein Drittlandtransfer.
  • Stripe Payments Europe Ltd. (Unterauftragsverarbeiter Zahlung; Sitz Dublin, IE; ggf. konzerninterner Transfer zu Stripe Inc., USA) — abgesichert ueber EU-US Data Privacy Framework und SCCs.
  • Mailjet (Sinch SAS, Paris, FR) (Unterauftragsverarbeiter E-Mail) — Verarbeitung in der EU, kein Drittlandtransfer.
  • Bunny Way d.o.o. (Bunny.net, Ljubljana, SI) (Video-CDN, EU-Region; erst ab v1.1) — kein Drittlandtransfer.
  • Oeffentlichkeit ueber Verify-URL — nur bei aktiver Einwilligung der geschulten Person (Art. 6 Abs. 1 lit. a DSGVO).
  • Steuerbehoerden, Wirtschaftspruefer auf Anfrage — Art. 6 Abs. 1 lit. c DSGVO.

6.2 Drittlandtransfers im Detail

Mailjet (Frankreich, EU): EU-ansaessiger Anbieter mit Rechenzentren in der EU; kein Drittlandtransfer, SCCs nicht erforderlich.

Stripe: Stripe Payments Europe Ltd. ist in Dublin (Irland, EU) ansaessig. Konzerninterne Uebermittlung an Stripe Inc. (USA) auf Grundlage des EU-US Data Privacy Framework (DPF) und Standardvertragsklauseln.

Alle weiteren Anbieter: Verarbeitung ausschliesslich in der EU.

6.3 Einwilligungsmechanismus fuer die Verify-URL

Die Veroeffentlichung von Name, Lernpfad, Ausstellungsdatum und Score auf der oeffentlichen Verify-URL erfolgt ausschliesslich auf Grundlage einer ausdruecklichen Einwilligung der geschulten Person nach Art. 6 Abs. 1 lit. a DSGVO. Mechanismus:

  • Beim Lerner-Onboarding wird ein Einwilligungsfeld angezeigt; das Feld ist standardmaessig deaktiviert. Die geschulte Person muss es aktiv ankreuzen, um die Verify-URL zu nutzen.
  • Transparenz: Die Einwilligung wird zeitgestempelt gespeichert (Wer, Wann, Welche Version des Einwilligungstextes); ein Audit-Log ist ueber den Self-Service einsehbar.
  • Widerruf jederzeit: formlos per E-Mail an datenschutz@stackmind-ai.de oder per Self-Service. Mit Eingang des Widerrufs erlischt die Verify-URL unverzueglich; der Status wechselt zu „revoked", der Name wird auf „[Geloescht]" anonymisiert. Die publicId bleibt als Tombstone aktiv.
  • Ohne Einwilligung wird keine oeffentliche Verify-Seite erzeugt. Der Teilnahmenachweis bleibt als PDF-Download verfuegbar; Dritte koennen die Echtheit bilateral durch Anfrage beim Aussteller verifizieren lassen.

7. Betroffenenrechte

Anfragen richten Sie bitte an datenschutz@stackmind-ai.de. Sie haben nach der DSGVO das Recht auf:

  • Auskunft (Art. 15) — Lernende wenden sich ggf. zunaechst an ihren Arbeitgeber als Verantwortlichen; ConsultingAI als Auftragsverarbeiter leitet Anfragen weiter.
  • Berichtigung (Art. 16) — Aenderung des Namens auf dem Teilnahmenachweis nur, wenn noch kein Nachweis ausgestellt wurde, sonst Neuausstellung nach Pruefung.
  • Loeschung (Art. 17) — kein Recht auf Loeschung, solange gesetzliche Aufbewahrungspflichten bestehen (10 Jahre Rechnungen).
  • Einschraenkung der Verarbeitung (Art. 18).
  • Datenuebertragbarkeit (Art. 20) — Export von Lernfortschritt und Pruefungsdaten als JSON auf Anfrage.
  • Widerspruch (Art. 21) gegen Verarbeitung auf Basis berechtigten Interesses.
  • Widerruf einer Einwilligung (Art. 7 Abs. 3), insbesondere fuer die Verify-URL.
  • Beschwerde bei einer Datenschutz-Aufsichtsbehoerde.

8. Cookies und Tracking

Die Schulungsplattform verwendet ausschliesslich technisch notwendige Cookies (Session-Cookie fuer Anmeldestatus, CSRF-Token, Theme-Praeferenz). Es werden keine Marketing-Cookies, Tracking-Pixel oder Third-Party-Analyse-Skripte eingesetzt. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG.

Plausible Analytics ist cookie-frei und ohne Fingerprinting; aggregierte, nicht personenbezogene Statistiken. Es ist kein Cookie-Consent-Banner erforderlich.

9. Lernfortschritts-Tracking und Pruefungsaufzeichnung

Beim Aufrufen einer Lektion werden Zeitstempel und Scrolltiefe / Video-Ende-Event zum Markieren als „gelesen/gesehen" erfasst. Waehrend der Pruefung wird pro Antwort die ausgewaehlte Option und der Zeitpunkt erfasst; keine Bildschirmaufnahme, kein Webcam-Zugriff, kein Tab-Lockdown. Nach der Pruefung werden Gesamtscore, Bestehensstatus und das Antworten-Tupel gespeichert.

Anti-Cheating ohne Proctoring: kein Webcam-Zugriff, kein Gesichtsscan, keine biometrischen Daten, keine Bildschirmaufnahme. Stattdessen: grosser Fragepool, Randomisierung, Timer und nachtraegliche Anomalie-Analyse von Antwortzeiten — maschinell, jedoch nicht-automatisiert entscheidend; keine Konsequenz ohne menschliche Pruefung.

10. Ausstellung und Verifikation des Teilnahmenachweises

Bei Bestehen der Abschlusspruefung (≥ 75 %) wird automatisch ein Certificate-Datensatz angelegt, ein SHA-256-Hash ueber Kernfelder berechnet, ein PDF generiert und per E-Mail (via Mailjet, EU) versandt. Der Verify-Link wird der Mail nur beigefuegt, wenn der Lerner beim Onboarding aktiv zugestimmt hat.

Die Verify-URL zeigt — nur bei vorliegender Einwilligung — Name, Lernpfad, Inhaltsversion, Ausstellungs- und Pruefungsdatum, Score, Aussteller, Status sowie den vollstaendigen SHA-256-Hash. Nicht sichtbar sind E-Mail-Adresse, Geburtsdatum oder Arbeitgeber. Ohne Einwilligung wird keine oeffentliche Seite erzeugt.

11. Marketing-Daten

Werden Daten ueber die Marketing-Website oder -Kanaele erhoben (LinkedIn, E-Mail-Newsletter, Kontaktformular), gelten die Datenschutzhinweise der jeweiligen Hauptseite. Diese Datenschutzerklaerung gilt ausschliesslich fuer die Schulungsplattform.

12. Sicherheit der Verarbeitung

Die Verarbeitung findet ausschliesslich auf Hostinger-VPS in der EU-Region Frankfurt am Main statt. Eingesetzte Sicherheitsmassnahmen:

  • TLS 1.2+ fuer alle Uebertragungen (Let's Encrypt via Caddy)
  • SSH-Key-only-Authentifizierung fuer Serverzugang
  • HttpOnly-Session-Cookies (Secure, SameSite=Lax) fuer Lernende; separate 8-h-Session fuer Admins (Magic-Link mit Einmal-Einloesung)
  • Taegliche verschluesselte Backups (Restic) auf EU-Objekt-Storage
  • Kein oeffentlicher Datenbankzugriff (PostgreSQL intern im Docker-Netz)
  • Rate-Limiting auf allen oeffentlichen Endpunkten

13. Aktualitaet und Aenderungen

Wir behalten uns vor, diese Datenschutzerklaerung bei Aenderungen der rechtlichen Rahmenbedingungen oder der Plattform-Architektur zu aktualisieren. Die aktuelle Version ist stets unter schulung.stackmind-ai.de/datenschutz abrufbar. Bei wesentlichen Aenderungen informieren wir Kunden-Admins per E-Mail.

Stand: 2026-04-20 · Version 0.3 · Anwaltliche Pruefung ausstehend.