Entwurf - vor Veröffentlichung ladungsfähige Anschrift einsetzen

Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung bei Kavelu ist:

Milad Heidari
Einzelunternehmen
[ladungsfähige Anschrift einsetzen]
Deutschland

E-Mail: kontakt@kavelu.app

2. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist derzeit nicht benannt. Eine gesetzliche Pflicht zur Benennung wird vor Schulkooperationen, größerem Wachstum und internationalem Rollout erneut geprüft.

3. Welche Daten Kavelu verarbeitet

  • Eltern-Account: E-Mail-Adresse, Authentifizierungsdaten, Einwilligungszeitpunkte, optionaler Eltern-PIN-Hash und technische Account-IDs.
  • Kind-Profile: Spitzname oder Anzeigename, Klasse, Avatar-/Skin-Einstellungen und Lernpräferenzen. Kinder sollen keine vollständigen Namen verwenden.
  • Lerndaten: bearbeitete Aufgaben, Antworten, Richtig-/Falsch-Signale, Fehlertypen, Lernstand, XP, Gold, Streaks und Achievements.
  • Support- und Admin-Daten: Support-Anfragen, E-Mail-Bestätigungen, manuelle Freischaltungen und notwendige Sicherheitsprotokolle.
  • Technische Daten: IP-Adresse, Zeitpunkt der Anfrage, Browser-/Geräteinformationen, Serverlogs und Sicherheits-/Rate-Limit-Signale.
  • Optionale KI-Funktionen: Aufgabeninhalt, Antwortkontext und Fehlertyp, damit eine Erklärung erzeugt werden kann. Namen von Kindern sollen nicht an KI-Dienste übermittelt werden.
  • Zahlungsdaten: Zahlungs- und Abodaten werden über Stripe verarbeitet. Kavelu speichert keine vollständigen Kreditkarten- oder PayPal-Zahlungsdaten.

4. Zwecke und Rechtsgrundlagen

  • Account, Login, Lernfortschritt, Elternfunktionen und Abo-Verwaltung: Vertragserfüllung bzw. vorvertragliche Maßnahmen, Art. 6 Abs. 1 lit. b DSGVO.
  • Einwilligungen, optionale KI-Funktionen und optionale Benachrichtigungen: Einwilligung, Art. 6 Abs. 1 lit. a DSGVO.
  • Sicherheit, Missbrauchsschutz, Rate Limits und Fehleranalyse: berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO.
  • Aufbewahrung steuerlich oder handelsrechtlich relevanter Daten: rechtliche Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO.

5. Kinder- und Familienschutz

Kavelu richtet sich an Kinder der Klassen 1 bis 4, wird aber von Eltern oder Erziehungsberechtigten eingerichtet. Kinder unter 16 Jahren dürfen Kavelu nur mit Zustimmung ihrer Eltern oder Erziehungsberechtigten nutzen. Kavelu verwendet keine Werbung, keine verkaufbaren Lernwährungen und keine Profilbildung für Werbezwecke.

6. Cookies, lokale Speicherung und Tracking

Kavelu nutzt technisch notwendige Cookies bzw. lokale Speicherung für Login, Sicherheit, Spracheinstellungen und die App-Funktion. Es werden keine Werbe-Cookies und kein Marketing-Tracking eingesetzt. Falls später Web-Analytics, App-Analytics oder zusätzliche Tracking-Dienste aktiviert werden, wird diese Erklärung vorher aktualisiert.

7. Dienstleister und Drittlandübermittlungen

Kavelu nutzt technische Dienstleister, die Daten nur für die Bereitstellung und Sicherheit des Dienstes verarbeiten sollen.

  • Supabase - Datenbank, Authentifizierung, Storage und Realtime-Funktionen.
  • Vercel - Hosting, Serverless Functions, CDN und technische Logs.
  • Anthropic - optionale KI-Erklärungen, soweit eine KI-Funktion aktiv genutzt wird.
  • Resend - E-Mail-Versand für Authentifizierungs- und Support-E-Mails.
  • Upstash - Rate Limiting und Missbrauchsschutz, sofern aktiv.
  • Stripe - Zahlungsabwicklung, Abos, Rechnungen und Zahlungsstatus.

Einige Dienstleister können ihren Sitz oder Unterauftragnehmer außerhalb der EU/des EWR haben, insbesondere in den USA. Soweit erforderlich, erfolgt eine Übermittlung auf Grundlage geeigneter Garantien wie Standardvertragsklauseln, Data Processing Agreements oder eines Angemessenheitsbeschlusses. Diese Prüfung muss vor größerem öffentlichen Launch und Schulkooperationen final dokumentiert werden.

8. Speicherdauer und Löschung

Account- und Lerndaten werden gespeichert, solange der Account aktiv ist. Nach Löschung eines Accounts werden personenbezogene Daten grundsätzlich innerhalb von 30 Tagen gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Zahlungs- und Buchungsdaten können gesetzlichen Aufbewahrungsfristen unterliegen.

9. Rechte betroffener Personen

Betroffene Personen haben nach Maßgabe der DSGVO Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Widerruf erteilter Einwilligungen. Außerdem besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde.

Zuständige Aufsichtsbehörde voraussichtlich: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, sofern der Betreiber in Nordrhein-Westfalen sitzt. Vor Veröffentlichung final prüfen.

10. Kontakt Datenschutz

Datenschutzanfragen können per E-Mail gestellt werden an: kontakt@kavelu.app