Datenschutzerklärung

Name: [TODO DP-5: vollständiger rechtlicher Name]. Sitz: [TODO DP-5: offizielle Postadresse]. Register- / Steuernummer: [TODO DP-5: relevante Kennung, oder „nicht anwendbar als natürliche Person"]. Kontakt: contact@ai24tutors.com. Forschungskontext: Promotionsprojekt an der Eszterházy-Károly-Katholischen-Universität (Eger, Ungarn).

[TODO DP-5: Name und Kontakt des DSB, oder „Angesichts der nicht systemischen Natur der Verarbeitung und des begrenzten Datenvolumens dieses Forschungs-POC ist die Bestellung eines DSB nach Art. 37 Abs. 1 DSGVO nicht verpflichtend. Für Datenschutzanfragen ist der Verantwortliche direkt erreichbar: contact@ai24tutors.com"].

(a) Bereitstellung adaptiver Lernpfade, Messung der Lernleistung und Feedback im Rahmen des Kurses „Grundlagen der computergestützten Analyse". (b) Wissenschaftliche Forschung: Single-Group-Pre-Post-quasi-experimentelle Studie mit N=30 Studierenden zu Veränderungen des selbstregulierten Lernens (OSLQ) vor und nach der Plattformnutzung. (c) Systemauditierbarkeit, Fehlerbehebung und Sicherheitsvorfallmanagement.

Art. 6 Abs. 1 lit. a DSGVO — freiwillige, bestimmte, informierte und eindeutige Einwilligung (durch Annahme des Informierten Einwilligungsdokuments). Für besondere Kategorien (sofern zutreffend): Art. 9 Abs. 2 lit. a (ausdrückliche Einwilligung) und lit. j (wissenschaftliche Forschung). Keine vertragliche Grundlage — der Zugang basiert ausschliesslich auf freiwilliger Forschungsteilnahme.

Identifikation: pseudonymisierter Benutzername (Studierenden-Hash), Initialpasswort bis zur ersten Änderung. Profil: bevorzugte Sprache (hu/en/de), Rolle (Studierende/r). Nutzung: Kursinteraktionen, Zeit pro Lektion, Aufgabenrichtigkeit, BKT-Mastery-Schätzungen. Fragebögen (optional): OLA, CSES, OSLQ, TIPI, NCS-6, TRI 2.0, CLS, SIMS, SUS, UEQ-S, PLG, BI-UTAUT. LLM-Kontext: Audit von Prompts und Antworten (Prompt-Hash + optionaler Volltext-Flag). Technisch: Flask-Session-Cookie, IP-Adresse (nur in kurzlebigen Sicherheitsprotokollen). Prinzip: Datenminimierung — nur Daten, die für die Forschungshypothesenprüfung wesentlich sind.

Aktive Pilotphase: Frühjahrssemester 2026 (voraussichtlich bis 30.09.2026). Pseudonymisierte Forschungsdaten zu Publikationszwecken: 5 Jahre (Art. 5 Abs. 1 lit. e DSGVO — wissenschaftliche Forschung). Anonymisierte aggregierte Daten (Artikel, Präregistrierung): unbefristet. Bei Widerruf der Einwilligung wird der pseudonymisierte Datensatz innerhalb von 30 Tagen gelöscht; Daten, die bereits in anonymisierten Aggregaten enthalten sind, können nicht rückwirkend extrahiert werden. Sicherheitsprotokolle (IP, Session): 90 Tage. LLM-Audit (vollständiger Prompt + Antwort): 180 Tage.

Hosting: Google Cloud EMEA Limited (70 Sir John Rogerson's Quay, Dublin 2, D02 R296, Irland) — Cloud Run Anwendung + Cloud SQL PostgreSQL 16. Region: europe-west4 (Niederlande). LLM-Anbieter: OpenAI Ireland Limited (Dublin), Google Ireland Limited (Dublin, Gemini), Anthropic PBC (San Francisco, USA). Rechtsgrundlage für Drittland-Übermittlung (USA): EU-U.S. Data Privacy Framework (Durchführungsbeschluss 2023/1795/EU). E-Mail-Versand: [TODO DP-5: E-Mail-Anbieter, sofern zutreffend].

Die Plattform verwendet ausschliesslich funktionale Cookies: Flask-Session-Cookie (Login-Persistenz), Sprachpräferenz. KEINE Analyse-, Marketing- oder Third-Party-Tracking-Cookies. Funktionale Cookies werden auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) gesetzt — die Browser-Session ist für den Kurszugang unerlässlich.

Die betroffene Person kann: (a) Auskunft über die Verarbeitung verlangen (Art. 15), (b) Berichtigung (Art. 16), (c) Löschung („Recht auf Vergessenwerden", Art. 17) — pseudonymisierter Datensatz innerhalb von 30 Tagen gelöscht, (d) Einschränkung (Art. 18), (e) Datenübertragbarkeit (Art. 20) — JSON/CSV-Export, (f) Widerspruch (Art. 21), (g) Widerruf der Einwilligung jederzeit (Art. 7 Abs. 3). Anfragen: contact@ai24tutors.com. Antwortfrist: 30 Tage (Art. 12 DSGVO).

Technisch: HTTPS (TLS 1.3) für den gesamten Traffic, Passwort-Hashing (scrypt/Argon2), Pseudonymisierung von Forschungsdaten (dreistufiges Hashing), Row-Level-Verschlüsselung bei sensiblen Feldern, automatische Backups (Cloud SQL PITR 7 Tage). Organisatorisch: Least-Privilege-Zugriff, Audit-Protokoll für jede Verarbeitungsoperation (`LLMCallAudit`, `InteractionLog`, `security_audit_log`), Incident-Response-Verfahren. Datenschutzvorfall: Meldung an NAIH innerhalb von 72 Stunden (Art. 33 DSGVO), Benachrichtigung der betroffenen Personen bei hohem Risiko (Art. 34).

Betroffene Personen können bei der Aufsichtsbehörde Beschwerde einlegen: Ungarische Nationale Behörde für Datenschutz und Informationsfreiheit (NAIH). Adresse: Falk Miksa utca 9-11, 1055 Budapest, Ungarn. Postanschrift: 1363 Budapest, Pf. 9. Telefon: +36 1 391 1400. E-Mail: ugyfelszolgalat@naih.hu. Web: https://naih.hu. Alternativ kann die betroffene Person gerichtliche Rechtsmittel beim zuständigen Gericht ihres Wohnsitzes einlegen.

Der Verantwortliche behält sich das Recht vor, diese Erklärung einseitig zu ändern. Wesentliche Änderungen werden per E-Mail oder durch eine Plattform-Benachrichtigung bei der ersten Anmeldung kommuniziert. Die aktuelle Version ist stets unter /privacy verfügbar. Aktuelle Version: v1.0, 15.04.2026.