Datenschutzerklärung

§ 1 Name und Anschrift des Verantwortlichen

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger datenschutzrechtlicher Bestimmungen ist:

Yusuf Yeneroglu, Rösratherstraße 44, 51107 Köln, Deutschland
Telefon: +49 15170543675
E-Mail: datenschutz@exam-lab.de
Website: exam-lab.de

Aufgrund der Unternehmensgröße ist die Bestellung eines Datenschutzbeauftragten gemäß Art. 37 DSGVO i. V. m. § 38 BDSG derzeit nicht gesetzlich vorgeschrieben. Bei datenschutzrechtlichen Anliegen wenden Sie sich bitte an die oben genannte E-Mail-Adresse.

§ 2 Übersicht der Verarbeitungstätigkeiten

ExamLab ist eine KI-gestützte Lernplattform zur Vorbereitung auf juristische Prüfungen nach deutschem Recht. Im Rahmen der Nutzung der Plattform verarbeiten wir personenbezogene Daten in folgenden Bereichen:

• Bereitstellung und technischer Betrieb der Website
• Registrierung und Verwaltung von Nutzerkonten
• Bereitstellung der Lernplattform-Funktionen (Bibliothek, Karteikarten, Lernplaner, Gutachten-Trainer)
• Community-Funktionen (JuraFeed, Messenger, Lerngruppen, Follower-System)
• KI-gestützte Dienste (Examens-Coach, PDF-zu-Karteikarten, Magic Reorganizer u. a.)
• Gamification (Abzeichen, XP-System, Streaks)
• Lernanalytik und Fortschrittsverfolgung
• Zahlungsabwicklung und Abonnementverwaltung
• E-Mail-Kommunikation (Verifizierung, Benachrichtigungen, Passwortzurücksetzung)
• Gewährleistung der IT-Sicherheit und Missbrauchsprävention

§ 3 Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten durch ExamLab erfolgt auf Basis der folgenden Rechtsgrundlagen der DSGVO:

Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Soweit wir für bestimmte Verarbeitungsvorgänge Ihre Einwilligung einholen (z. B. Lernanalytik, Newsletter, Nutzung bestimmter KI-Dienste mit Datenübermittlung in Drittländer), dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Die Verarbeitung ist für die Erfüllung des Nutzungsvertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich. Dies betrifft insbesondere die Registrierung, Kontoverwaltung, Bereitstellung der Plattformfunktionen, Zahlungsabwicklung und den E-Mail-Versand im Rahmen des Vertragsverhältnisses.

Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: Soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir unterliegen, insbesondere steuer- und handelsrechtliche Aufbewahrungspflichten (§§ 147 AO, 257 HGB).

Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen: Die Verarbeitung erfolgt zur Wahrung berechtigter Interessen des Anbieters, sofern die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Berechtigte Interessen sind insbesondere die Gewährleistung der IT-Sicherheit, die Verhinderung von Missbrauch, die Verbesserung der Plattform und die Reichweitenmessung.

Art. 49 Abs. 1 lit. a DSGVO – Ausdrückliche Einwilligung für Drittlandübermittlung: Soweit Daten an KI-Dienstleister in Ländern ohne Angemessenheitsbeschluss übermittelt werden (insbesondere Volksrepublik China), erfolgt dies auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO.

§ 4 Erhebung personenbezogener Daten beim Besuch der Website

Beim rein informatorischen Besuch der Website erheben wir nur diejenigen Daten, die Ihr Browser an unseren Server übermittelt (sogenannte Server-Logfiles). Diese Daten sind technisch erforderlich, um Ihnen die Website anzuzeigen, und zur Gewährleistung der Stabilität und Sicherheit:

• IP-Adresse des anfragenden Endgeräts (anonymisiert gespeichert)
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Seite
• Referrer-URL (die zuvor besuchte Seite)
• Verwendeter Browser und Betriebssystem
• Übertragene Datenmenge
• Zugriffsstatus (HTTP-Statuscode)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Gewährleistung der technischen Funktionsfähigkeit, der Sicherheit der Website und der Erkennung und Abwehr von Angriffen.

Speicherdauer: Die Server-Logfiles werden nach spätestens 30 Tagen gelöscht, sofern keine weitergehende Aufbewahrung zu Beweiszwecken erforderlich ist.

§ 5 Registrierung und Nutzerkonto

5.1 Pflichtangaben bei der Registrierung

Für die Erstellung eines Nutzerkontos erheben wir folgende Pflichtangaben:

• E-Mail-Adresse
• Vorname und Nachname
• Passwort (wird ausschließlich als kryptografischer Hash mittels bcrypt gespeichert; das Klartext-Passwort wird zu keinem Zeitpunkt gespeichert)
• Benutzername

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5.2 Optionale Profildaten

Zur Personalisierung Ihres Lernerlebnisses können Sie freiwillig zusätzliche Angaben machen:

• Anrede (Herr / Frau / Divers)
• Universität und Universitäts-E-Mail-Adresse (zur Verifizierung)
• Akademischer Status (Studierender, Referendar, Akademischer Mitarbeiter, Professor, Berufstätiger)
• Fachsemester (1–20+)
• Angestrebter Abschluss (1. Staatsexamen, 2. Staatsexamen, LL.B., LL.M., Dr. iur.)
• Bundesland
• OLG-Bezirk (für Referendare)
• Profilbild (Avatar) und Headerbild
• Biografie (max. 500 Zeichen)
• Lernpräferenzen (Lernstil, bevorzugte Lernzeiten, Lerngruppen-Interesse)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch freiwillige Angabe) und Art. 6 Abs. 1 lit. b DSGVO (soweit zur Vertragserfüllung erforderlich).

Speicherdauer: Die Kontodaten werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Kontolöschung werden die Daten unverzüglich gelöscht, vorbehaltlich etwaiger gesetzlicher Aufbewahrungspflichten und einer Nachlauffrist von 90 Tagen gemäß unseren AGB.

§ 6 Authentifizierung und Sitzungsverwaltung

6.1 Anmeldeverfahren (JWT)

Bei der Anmeldung wird ein JSON Web Token (JWT) erzeugt, das zur Authentifizierung nachfolgender Anfragen dient. Der Token enthält Ihre Nutzer-ID und wird mit dem HMAC-SHA256-Algorithmus (HS256) signiert. Der Token hat eine Gültigkeitsdauer von maximal sieben Tagen und wird im Browser als Bearer-Token gespeichert.

6.2 Sitzungsdaten

Zur Erkennung und Verwaltung aktiver Sitzungen sowie zur Absicherung Ihres Kontos protokollieren wir folgende Sitzungsdaten:

• Sitzungstoken (kryptografisch erzeugt)
• Gerätename und Browsertyp (User-Agent)
• IP-Adresse des Zugriffs
• Ungefährer Standort auf Basis der IP-Adresse (Stadt, Land)
• Zeitpunkt der letzten Aktivität
• Sitzungsstatus (aktiv / abgelaufen)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kontosicherheit).

6.3 Zwei-Faktor-Authentifizierung (2FA)

Sie können optional eine Zwei-Faktor-Authentifizierung mittels TOTP (Time-based One-Time Password) aktivieren. In diesem Fall speichern wir ein TOTP-Geheimnis (verschlüsselt), acht einmalig verwendbare Backup-Codes (verschlüsselt) und den Aktivierungszeitpunkt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (freiwillige Aktivierung durch den Nutzer).

6.4 Passwortzurücksetzung

Bei Anforderung einer Passwortzurücksetzung erzeugen wir einen zeitlich befristeten Token und versenden diesen per E-Mail. Der Token wird nach einmaliger Verwendung oder nach Ablauf der Gültigkeitsdauer gelöscht.

§ 7 Nutzung der Lernplattform-Funktionen

7.1 Dokumentenbibliothek

Bei der Nutzung der Dokumentenbibliothek verarbeiten wir: hochgeladene Dateien (Typ, Größe, Seitenanzahl, MIME-Type), Metadaten der Dokumente, von Ihnen erstellte Notizen und Markierungen, Zugriffs- und Download-Statistiken, Bewertungen und Rezensionen, Textextraktion aus PDF-Dateien mittels OCR (lokal auf dem Server) sowie Vektordarstellungen (Embeddings) des Dokumenteninhalts für die Ähnlichkeitssuche.

Hochgeladene Dateien werden lokal auf dem Server gespeichert. Optional können Dateien in einen AWS-S3-Bucket in der Region eu-central-1 (Frankfurt am Main) übertragen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.2 Karteikartensystem

Das Karteikartensystem nutzt den FSRS-Algorithmus (Free Spaced Repetition Scheduler) zur optimierten Wiederholung. Dabei verarbeiten wir: erstellte und importierte Karteikarten, Lernfortschritt pro Karte, Bewertungen der Wiederholungen, Community-Deck-Bewertungen und Anki-Importdaten (.apkg-Dateien). Alle Karteidaten werden ausschließlich auf unseren Servern gespeichert und nicht an Dritte übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7.3 Intelligenter Lernplaner

Der Lernplaner verarbeitet: von Ihnen erstellte Lernziele und Studienblöcke, Wochenpläne und Tagesplanungen, Erledigungs- und Fortschrittsdaten sowie Meilenstein-Tracking für alle Rechtsgebiete. Der „Magic Reorganizer" nutzt KI-Dienste, um Lernpläne automatisch neu zu organisieren. Dabei werden Ihre Planungsdaten (nicht jedoch personenbezogene Identifikationsdaten) an den jeweiligen KI-Dienstleister übermittelt (siehe § 10).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7.4 Gutachten-Trainer (Prüfungssimulation)

Der Gutachten-Trainer simuliert Prüfungsbedingungen. Dabei verarbeiten wir: von Ihnen verfasste Gutachten und Lösungstexte, Bearbeitungszeiten und Session-Daten, Zwischenstände zur Session-Persistenz. Gutachten, die Sie zur KI-Korrektur einreichen, werden an den jeweiligen KI-Dienstleister übermittelt (siehe § 10).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

§ 8 Lernanalytik und Fortschrittsverfolgung

ExamLab bietet ein umfassendes Lernanalytik-System, das Ihren Lernfortschritt über alle Module hinweg erfasst und auswertet. Die Lernanalytik erfordert Ihre ausdrückliche Einwilligung und ist granular steuerbar.

8.1 Einwilligungsmanagement

Bei Aktivierung der Lernanalytik können Sie für jede Datenquelle einzeln entscheiden, ob Ihre Aktivitäten erfasst werden sollen: Karteikarten-Aktivitäten, Sachverhalts-Lese-Trainer-Versuche, Lernplaner-Aktivitäten, Bibliotheksnutzung, Streitigkeiten-/Wissensdatenbank, Urteils-/Rechtsprechungsnutzung und KI-Coach-Korrekturen. Sie können die Einwilligung für jede Datenquelle jederzeit einzeln oder insgesamt widerrufen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

8.2 Erfasste Lernaktivitäten

Im Rahmen der Lernanalytik werden folgende Aktivitäten protokolliert: Art der Aktivität, Zeitpunkt und Dauer, Ergebnis und Qualität, zugeordnetes Rechtsgebiet und Thema sowie Metadaten der genutzten Lernmaterialien. Auf Basis dieser Daten erstellt das System personalisierte Auswertungen, darunter Lernlücken-Erkennung, Examensreife-Prognosen und Fortschritts-Dashboards.

Speicherdauer: Lernanalytik-Daten werden für die Dauer des Vertragsverhältnisses gespeichert und bei Kontolöschung oder Widerruf der Einwilligung gelöscht.

§ 9 Community-Funktionen

9.1 JuraFeed (Beiträge und Kommentare)

Bei der Nutzung des JuraFeeds verarbeiten wir: Beitragsinhalte (Text bis 5.000 Zeichen, Medien-Anhänge), Beitragstyp, Rechtsgebietszuordnung, Interaktionsdaten (Likes, Kommentare, Teilungen, Lesezeichen) und Anonymisierungs-Präferenz. Beiträge sind für andere registrierte Nutzer sichtbar, sofern Sie keinen Beitrag als verborgen markieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

9.2 Messenger (Direktnachrichten)

Der plattforminterne Messenger verarbeitet: Nachrichteninhalte (Text bis 4.000 Zeichen), Medien-Anhänge, Nachrichtentyp, Lesestatus und Lesezeitpunkt, Stummschaltungs-Einstellung sowie Konversationstyp (Einzelchat, Gruppenchat, Kanal).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Speicherdauer: Nachrichten werden für die Dauer der Konversation gespeichert. Bei Kontolöschung werden Ihre Nachrichten gelöscht; in Gruppenkonversationen wird Ihr Benutzername durch „Gelöschter Nutzer" ersetzt.

9.3 Follower-System

Bei Nutzung des Follower-Systems speichern wir die Follower-/Following-Beziehungen zwischen Nutzern sowie deren Zeitstempel. Diese Daten sind für andere Nutzer auf Ihrem Profil sichtbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

9.4 Lerngruppen

Bei der Nutzung oder Gründung von Lerngruppen verarbeiten wir: Gruppenbezeichnung und -beschreibung, Matching-Kriterien, Mitglieder und deren Rollen sowie Beitrittsanfragen und Genehmigungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

§ 10 KI-gestützte Dienste und Datenübermittlung an Drittanbieter

10.1 Allgemeines

ExamLab nutzt künstliche Intelligenz zur Bereitstellung verschiedener Plattformfunktionen, insbesondere: Examens-Coach (KI-basierte Gutachtenkorrektur), PDF-zu-Karteikarten, Magic Reorganizer, Metadaten-Extraktion, Streitigkeiten-Erstellung sowie weitere zukünftige KI-Funktionen.

Bei der Nutzung von KI-Funktionen werden die von Ihnen eingegebenen oder hochgeladenen Inhalte an den jeweils eingesetzten KI-Dienstleister übermittelt. Dabei werden grundsätzlich keine personenbezogenen Identifikationsdaten an die KI-Dienstleister übertragen – die Übermittlung erfolgt in pseudonymisierter Form.

10.2 DeepSeek (Primärer KI-Dienstleister)

Anbieter: Hangzhou DeepSeek Artificial Intelligence Co., Ltd., Volksrepublik China

Zweck: Primärer KI-Dienstleister für Gutachtenkorrektur, Karteikartenerstellung, Textanalyse und Lernplanoptimierung.

HINWEIS ZUR DRITTLANDÜBERMITTLUNG: Für die Volksrepublik China besteht kein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO. Die Datenübermittlung erfolgt daher ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO. Es besteht das Risiko, dass Behörden in China auf die übermittelten Daten zugreifen können und dass ein gleichwertiges Datenschutzniveau wie in der EU möglicherweise nicht gewährleistet ist.

10.3 OpenAI

Anbieter: OpenAI, L.L.C., San Francisco, CA, USA
Zweck: Alternativ-/Fallback-KI-Dienstleister für Textanalyse und -generierung.
Drittlandübermittlung: USA – OpenAI ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

10.4 Anthropic (Claude)

Anbieter: Anthropic PBC, San Francisco, CA, USA
Zweck: KI-Dienstleister für Multi-Pass-Korrektur und erweiterte Textanalyse.
Drittlandübermittlung: USA – Anthropic ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

10.5 Mistral AI

Anbieter: Mistral AI SAS, Paris, Frankreich
Zweck: Alternativer KI-Dienstleister für Textverarbeitung.
Drittlandübermittlung: Keine – Mistral AI hat seinen Sitz in der EU.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

10.6 Google (Gemini und Google Docs API)

Anbieter: Google Ireland Limited, Dublin, Irland / Alphabet Inc., Mountain View, CA, USA
Zweck: KI-Dienstleister (Gemini) und Bereitstellung von Fallstudieninhalten (Google Docs API).
Drittlandübermittlung: USA – Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

10.7 Kimi AI / Moonshot

Anbieter: Moonshot AI (Beijing Moonshot Technology Co., Ltd.), Volksrepublik China
Zweck: Alternativer KI-Dienstleister.
HINWEIS: Es gelten dieselben Hinweise wie unter § 10.2 (DeepSeek). Für die Volksrepublik China besteht kein Angemessenheitsbeschluss. Die Datenübermittlung erfolgt auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO.

10.8 Perplexity

Anbieter: Perplexity AI, Inc., San Francisco, CA, USA
Zweck: Alternativer KI-Dienstleister.
Drittlandübermittlung: USA – Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF) bzw. Standardvertragsklauseln.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

10.9 Weitere und zukünftige KI-Anbieter

Der Anbieter behält sich vor, weitere KI-Dienstleister einzusetzen oder bestehende zu ersetzen. Bei der Aufnahme neuer Anbieter, die Daten in Länder ohne Angemessenheitsbeschluss übermitteln, werden wir Sie vor der erstmaligen Datenübermittlung informieren und eine gesonderte Einwilligung einholen.

§ 11 Gamification und Engagement-Tracking

ExamLab setzt Gamification-Elemente ein, um die Lernmotivation zu fördern. Dabei verarbeiten wir: Badge-Fortschritt und freigeschaltete Abzeichen, Erfahrungspunkte (XP) und deren Quellen, Lern-Streaks (aufeinanderfolgende Lerntage) und Badge-Kategorien (Lernen, Qualität, Meilenstein, Spezial). Gamification-Daten sind in Ihrem Profil für andere Nutzer sichtbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung als Bestandteil der Plattformfunktionen).

§ 12 Zahlungsabwicklung

12.1 Stripe

Anbieter: Stripe Payments Europe, Limited, Dublin, Irland / Stripe, Inc., South San Francisco, CA, USA

Bei Abschluss eines kostenpflichtigen Abonnements übermitteln wir Ihre E-Mail-Adresse, das gewählte Abonnement und die Stripe-Kunden-ID an Stripe. Die Eingabe Ihrer Zahlungsdaten erfolgt ausschließlich in der von Stripe bereitgestellten, PCI-DSS-zertifizierten Zahlungsumgebung. ExamLab speichert zu keinem Zeitpunkt Ihre vollständigen Zahlungsdaten.

Drittlandübermittlung: USA – Stripe, Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

12.2 PayPal

Anbieter: PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg / PayPal, Inc., San Jose, CA, USA

Bei Wahl von PayPal als Zahlungsmethode werden Sie zur Abwicklung der Zahlung auf die Website von PayPal weitergeleitet. PayPal erhebt dabei eigenständig personenbezogene Daten.

Drittlandübermittlung: USA – PayPal, Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

§ 13 Hosting, Infrastruktur und Cloud-Dienste

13.1 Datenbanksysteme

PostgreSQL mit pgvector: Relationale Datenbank für sämtliche Nutzer-, Lern- und Plattformdaten. Die Vektorerweiterung pgvector ermöglicht die Ähnlichkeitssuche in der Dokumentenbibliothek. Die Datenbank wird auf der Serverinfrastruktur des Anbieters innerhalb der EU betrieben.

Neo4j Knowledge Graph: Graphdatenbank zur Modellierung juristischer Wissenszusammenhänge (Ontologie). Die Datenbank speichert keine personenbezogenen Nutzerdaten, sondern ausschließlich juristische Konzeptbeziehungen.

13.2 Cloud-Speicher (AWS S3)

Anbieter: Amazon Web Services EMEA SARL, Luxemburg / Amazon Web Services, Inc., Seattle, WA, USA

Für die Speicherung hochgeladener Dokumente kann AWS S3 in der Region eu-central-1 (Frankfurt am Main, Deutschland) genutzt werden. Ihre Dateien werden verschlüsselt auf Servern innerhalb der EU gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

13.3 Webhosting

Die Plattform wird auf Serverinfrastruktur innerhalb der Europäischen Union gehostet. Der Hosting-Anbieter verarbeitet personenbezogene Daten in unserem Auftrag auf Grundlage eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

§ 14 E-Mail-Kommunikation

14.1 SendGrid (Twilio)

Anbieter: Twilio Inc., San Francisco, CA, USA

Wir nutzen SendGrid für den Versand transaktionaler E-Mails (E-Mail-Verifizierung, Passwortzurücksetzung, Willkommens-E-Mails, Benachrichtigungen über Plattform-Aktivitäten).

Verarbeitete Daten: E-Mail-Adresse, Vorname, Universitätsname, E-Mail-Inhalte, Zustellungs- und Öffnungsraten.

Drittlandübermittlung: USA – Twilio Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (transaktionale E-Mails) und Art. 6 Abs. 1 lit. a DSGVO (optionale Benachrichtigungen).

14.2 Benachrichtigungseinstellungen

Sie können in Ihren Profileinstellungen individuell festlegen, welche Benachrichtigungen Sie per E-Mail erhalten möchten. Ebenso können Sie Erinnerungszeiten anpassen und den Newsletter-Empfang separat aktivieren oder deaktivieren.

§ 15 Cookies und lokale Speicherung

ExamLab verwendet ausschließlich technisch notwendige Cookies und lokale Speichermechanismen. Tracking-Cookies oder Cookies zu Werbezwecken werden nicht eingesetzt.

15.1 Technisch notwendige Cookies

Technisch notwendige Cookies erfordern keine Einwilligung gemäß § 25 Abs. 2 TDDDG (ehemals TTDSG).

15.2 Analyse- und Marketing-Cookies

ExamLab setzt derzeit keine Analyse-, Tracking- oder Marketing-Cookies ein. Sollte dies in Zukunft erfolgen, werden wir Sie vor dem Einsatz solcher Cookies um Ihre ausdrückliche Einwilligung bitten und diese Datenschutzerklärung entsprechend aktualisieren.

§ 16 Datenübermittlung in Drittländer

Im Rahmen der in dieser Datenschutzerklärung beschriebenen Verarbeitungen werden personenbezogene Daten teilweise in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt.

Bezüglich der Übermittlung an Empfänger in der Volksrepublik China (DeepSeek, Kimi AI) weisen wir ausdrücklich darauf hin, dass kein Angemessenheitsbeschluss und keine geeigneten Garantien (Art. 46 DSGVO) für China bestehen. Chinesische Behörden können nach dem chinesischen Cybersicherheitsgesetz und dem PIPL Zugriff auf übermittelte Daten verlangen. Rechtsschutzmechanismen für EU-Bürger in China sind nicht mit den Standards der EU vergleichbar.

§ 17 Speicherdauer und Löschung

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die Erreichung des jeweiligen Zwecks erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

• Kontodaten: Für die Dauer des Vertragsverhältnisses. Nach Kündigung und Ablauf der 90-tägigen Nachlauffrist werden die Daten gelöscht.
• Abrechnungsdaten: 10 Jahre nach Ende des Kalenderjahres (§ 147 AO, § 257 HGB).
• Server-Logfiles: Maximal 30 Tage.
• Lernanalytik-Daten: Für die Dauer der Einwilligung bzw. des Vertragsverhältnisses.
• Community-Inhalte: Für die Dauer des Vertragsverhältnisses; bei Kontolöschung werden eigene Beiträge anonymisiert.
• Messenger-Nachrichten: Für die Dauer der Konversation bzw. des Vertragsverhältnisses.
• Gamification-Daten: Für die Dauer des Vertragsverhältnisses.
• E-Mail-Verifizierungstokens: Nach erfolgreicher Verifizierung oder spätestens nach 48 Stunden.
• Passwortzurücksetzungstokens: Nach einmaliger Verwendung oder nach Ablauf der Gültigkeitsdauer.

§ 18 Automatisierte Entscheidungsfindung und Profiling

Gemäß Art. 22 DSGVO informieren wir Sie über folgende Verarbeitungen:

KI-basierte Gutachtenkorrektur: Der Examens-Coach bewertet von Ihnen eingereichte Gutachten mittels KI und vergibt eine Punktzahl (1–18 Punkte). Diese Bewertung dient ausschließlich der Lernunterstützung und hat keine rechtliche Wirkung oder ähnlich erhebliche Beeinträchtigung im Sinne des Art. 22 Abs. 1 DSGVO.

Examensreife-Prognose: Im Rahmen der Lernanalytik kann das System eine automatisierte Einschätzung Ihrer Examensreife vornehmen. Diese Prognose basiert auf Ihren Lernaktivitäten und dient ausschließlich als unverbindliche Orientierungshilfe.

FSRS-Algorithmus: Der Spaced-Repetition-Algorithmus berechnet optimale Wiederholungszeitpunkte für Karteikarten. Diese Berechnung stellt kein Profiling im Sinne des Art. 4 Nr. 4 DSGVO dar und entfaltet keine rechtliche Wirkung.

Eine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt.

§ 19 Rechte der betroffenen Personen

Ihnen stehen als betroffene Person folgende Rechte gegenüber dem Verantwortlichen zu:

19.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden.

19.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen.

19.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, vom Verantwortlichen zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Über die Plattform können Sie die Löschung Ihres Kontos selbstständig veranlassen.

19.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, unter den in Art. 18 Abs. 1 DSGVO genannten Voraussetzungen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

19.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Dies gilt insbesondere für Ihre Karteikarten, Lernfortschrittsdaten und Profilinformationen.

19.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen.

19.7 Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Sie haben das Recht, eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Den Widerruf können Sie per E-Mail an datenschutz@exam-lab.de oder über die Einstellungen in Ihrem Nutzerkonto erklären.

19.8 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts.

§ 20 Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein:

• Transportverschlüsselung: Sämtliche Datenübertragungen erfolgen über TLS/SSL-verschlüsselte Verbindungen (HTTPS).
• Passwort-Hashing: Passwörter werden ausschließlich als kryptografische Hashes mittels bcrypt gespeichert.
• Zwei-Faktor-Authentifizierung: Optionale zusätzliche Absicherung des Nutzerkontos mittels TOTP.
• Rate Limiting: Schutz gegen Brute-Force-Angriffe (Standard: 100/Min, Auth: 5/Min, KI: 10/Min).
• CORS-Konfiguration: Zugriff auf die API ist auf autorisierte Domains beschränkt.
• JWT-Token-Validierung: Signierte Authentifizierungstokens mit begrenzter Gültigkeit.
• Sitzungsverwaltung: Möglichkeit zur Einsicht und Beendigung aktiver Sitzungen.
• Auftragsverarbeitung: Mit allen Drittanbietern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.

§ 21 Datenschutz von Minderjährigen

Die Plattform richtet sich an Studierende der Rechtswissenschaften und setzt daher in der Regel ein Mindestalter von 16 Jahren voraus. Personen unter 16 Jahren dürfen die Plattform nur mit Einwilligung des Inhabers der elterlichen Verantwortung nutzen (Art. 8 DSGVO i. V. m. § 8 BDSG). Bei Bekanntwerden einer Registrierung durch eine Person unter 16 Jahren ohne entsprechende Einwilligung werden wir das Konto und die zugehörigen Daten unverzüglich löschen.

§ 22 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslage, technische Änderungen oder Änderungen unserer Datenverarbeitung anzupassen. Wesentliche Änderungen werden wir Ihnen per E-Mail oder durch einen deutlichen Hinweis auf der Plattform mitteilen. Die jeweils aktuelle Version ist auf unserer Website unter exam-lab.de/datenschutz abrufbar.

Es gilt stets die zum Zeitpunkt des jeweiligen Zugriffs veröffentlichte Fassung der Datenschutzerklärung.

§ 23 Kontakt

Für Fragen zum Datenschutz, zur Ausübung Ihrer Betroffenenrechte oder bei sonstigen datenschutzrechtlichen Anliegen erreichen Sie uns unter:

Wir werden Ihr Anliegen unverzüglich, spätestens jedoch innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO) bearbeiten und beantworten.