Datenschutzerklärung

Gemäß DSGVO (EU) 2016/679 und BDSG

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

StrukturKompass UG (haftungsbeschränkt)
Brücherhofstr. 21
44269 Dortmund
Deutschland

Geschäftsführer: Michael Seyfarth
Handelsregister: HRB 36388 (Amtsgericht Dortmund)
E-Mail: info@strukturkompass.eu
Web: www.strukturkompass.eu

2. Kontakt für Datenschutzanfragen

Für alle Fragen, Anliegen und Anträge zum Datenschutz wenden Sie sich bitte an:

datenschutz@strukturkompass.eu

Anfragen werden in der Regel innerhalb von 30 Tagen beantwortet, in besonders komplexen Fällen verlängert sich diese Frist gemäß Art. 12 Abs. 3 DSGVO um maximal zwei weitere Monate, worüber Sie informiert werden.

3. Welche Daten wir erheben

3.1 Bei der Registrierung

E-Mail-Adresse
Passwort (ausschließlich als verschlüsselter Hash gespeichert, niemals im Klartext)
Anzeigename (optional)
Nutzerrolle (Auszubildende:r / Lehrkraft / Schul-Admin)
Gewählter Tarif

3.2 Bei der Nutzung der App (Auszubildende)

Beantwortete Fragen mit Auswahl und Ergebnis (richtig / falsch)
Gewählter Themenbereich, Lernmodus und Schwierigkeitsgrad
Lernfortschritt, Punkte (XP), Streak, Trefferquote
Zeitpunkte der Nutzung

3.3 Im Schul-Kontext (B2B)

Name der teilnehmenden Schule und Trägerschaft
Lizenzumfang und Aktivierungsstatus
Zuordnung von Auszubildenden zu Klassen
Zuordnung von Lehrkräften zu Klassen
Kontaktdaten der Schul-Administration

3.4 Bei der Zahlung

Zahlungsdaten werden ausschließlich von Stripe verarbeitet
Wir speichern keine Kreditkarten- oder Bankdaten
Wir erhalten von Stripe lediglich Transaktions-IDs und Zahlungsstatus zur Vertragsabwicklung

3.5 Technische Daten und Server-Logfiles

Beim Aufruf unserer Website werden automatisch folgende Daten in Server-Logfiles erfasst:

Anonymisierte IP-Adresse
Browser-Typ und -Version
Betriebssystem
Datum und Uhrzeit des Zugriffs
Referrer-URL (vorher besuchte Seite)
Übertragene Datenmenge

Diese Daten werden ausschließlich zur Sicherstellung des technischen Betriebs sowie zur Abwehr von Angriffen verarbeitet. Eine Zusammenführung mit anderen Datenquellen findet nicht statt. Die Logfiles werden nach 7 Tagen automatisch gelöscht, sofern keine sicherheitsrelevanten Ereignisse eine längere Speicherung erfordern.

4. Zweck der Datenverarbeitung

Bereitstellung der Lernplattform und ihrer Funktionen
Verwaltung von Benutzerkonten, Schullizenzen und Klassenzuordnungen
Verarbeitung von Zahlungen und Vertragsabwicklung
Kontinuierliche Verbesserung des Lernangebots und der Inhalte
Kundensupport und Beantwortung von Anfragen
Sicherstellung des technischen Betriebs und Abwehr von Angriffen
Erfüllung gesetzlicher Pflichten (z. B. handelsrechtliche und steuerrechtliche Aufbewahrungsfristen)

5. Rechtsgrundlagen der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Bereitstellung der Plattform für registrierte Nutzer und Schulen)
Art. 6 Abs. 1 lit. c DSGVO – Erfüllung rechtlicher Verpflichtungen (z. B. steuerrechtliche Aufbewahrung)
Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen (technischer Betrieb, IT-Sicherheit, Verbesserung des Angebots)
Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. für optionale Funktionen)
Art. 28 DSGVO – Auftragsverarbeitung im Schul-Kontext (siehe Abschnitt 10)

6. Drittanbieter und Auftragsverarbeiter

Zum Betrieb von PflegeProfi setzen wir folgende Dienstleister ein. Mit allen Dienstleistern bestehen Auftragsverarbeitungsvereinbarungen nach Art. 28 DSGVO; Datenübermittlungen in Drittländer erfolgen ausschließlich auf Grundlage geeigneter Garantien (siehe Abschnitt 7).

6.1 Netlify (Hosting)

Netlify, Inc., 44 Montgomery Street, Suite 300, San Francisco, CA 94104, USA
Funktion: Hosting der Website und Bereitstellung der Anwendung (Frontend und API-Endpoints)
Region: Europäische Union
Hinweis: Netlify verarbeitet bei jedem Zugriff transitorisch IP-Adressen, HTTP-Header und Anfragedaten zur technischen Auslieferung der Inhalte. Nutzerkonten, Lerninhalte und personenbezogene Lerndaten werden nicht auf Netlify gespeichert, sondern ausschließlich in der separaten Datenbank-Infrastruktur (siehe 6.2).
Datenschutzrichtlinie: netlify.com/privacy

6.2 Supabase (Datenbank und Authentifizierung)

Supabase, Inc., 970 Toa Payoh North #07-04, Singapore
Funktion: Speicherung von Nutzerkonten, Lerndaten und Authentifizierungsinformationen
Region: Frankfurt am Main (eu-central-1)
Verschlüsselung: Daten werden ruhend (at-rest) und während der Übertragung (in-transit) verschlüsselt
Datenschutzrichtlinie: supabase.com/privacy

6.3 Stripe (Zahlungsabwicklung)

Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland
Funktion: Abwicklung von Zahlungen
Standard: PCI-DSS-zertifiziert (höchste Stufe)
Datenschutzrichtlinie: stripe.com/de/privacy

Wir erhalten keinen Zugriff auf vollständige Zahlungsdaten (Kreditkartennummern, Kontodaten). Stripe verarbeitet Zahlungen eigenverantwortlich gemäß seiner eigenen Datenschutzrichtlinie und ist über das EU-US Data Privacy Framework zertifiziert.

6.4 Google Fonts (Schriftarten)

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Mutterunternehmen: Google LLC, USA)
Funktion: Darstellung von Schriftarten (Plus Jakarta Sans, DM Sans)
Verarbeitung: Beim Aufruf der Website wird Ihre IP-Adresse an Google-Server übertragen, um die Schriftdateien zu laden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer konsistenten und barrierearmen Darstellung der Website)
Datenschutzrichtlinie: policies.google.com/privacy

7. Datenübermittlung in Drittländer

Einige unserer Dienstleister haben Mutterunternehmen außerhalb der EU (Netlify und Google: USA; Supabase: Singapur, mit EU-Hosting in Frankfurt). Bei einer Datenübermittlung in Drittländer können in bestimmten Fällen staatliche Stellen Zugriff auf personenbezogene Daten erhalten. Wir stützen die Datenübermittlung auf folgende Rechtsgrundlagen:

EU-US Data Privacy Framework (DPF) – Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023, sofern der jeweilige Anbieter zertifiziert ist (z. B. Stripe, Google).
EU-Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 DSGVO, ergänzt durch zusätzliche technische und organisatorische Schutzmaßnahmen, sofern eine DPF-Zertifizierung nicht vorliegt.

8. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies für den Betrieb der Anwendung. Es kommen keine Tracking- oder Werbe-Cookies zum Einsatz.

Name	Zweck	Lebensdauer
sb-access-token	Authentifizierung (Supabase-Login-Token)	Sitzung
sb-refresh-token	Sitzungsverlängerung	30 Tage
cookie-consent	Speicherung der Cookie-Einwilligung	365 Tage

Funktionale Cookies sind für die Nutzung der Anwendung (insbesondere für den Login-Bereich) erforderlich. Eine Deaktivierung führt zu Einschränkungen der Funktionalität.

Hinweis: Die obige Cookie-Liste bildet den aktuellen Stand ab und wird bei Änderungen des Funktionsumfangs aktualisiert. Wenn Sie Fragen zu einzelnen Cookies haben, wenden Sie sich bitte an unsere Datenschutz-Kontaktadresse.

9. Keine Werbung, kein Drittdatenverkehr zu Marketingzwecken

PflegeProfi finanziert sich ausschließlich durch Lizenzgebühren. Wir setzen keine Werbe-, Marketing- oder Tracking-Tools von Drittanbietern ein. Nutzerdaten werden nicht für Werbezwecke verarbeitet, an Werbenetzwerke übermittelt oder Dritten zu kommerziellen Zwecken zur Verfügung gestellt.

10. Datenverarbeitung im Schul-Kontext (B2B)

Bei der Nutzung von PflegeProfi durch Pflegeschulen im Rahmen einer Schullizenz gelten zusätzliche datenschutzrechtliche Regelungen:

Auftragsverarbeitungsvereinbarung (AVV): Vor Aktivierung der Lizenzen wird zwischen der Schule (Verantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO) und StrukturKompass UG (Auftragsverarbeiter i. S. v. Art. 4 Nr. 8 DSGVO) eine Vereinbarung nach Art. 28 DSGVO geschlossen.
Verarbeitungszweck: Bereitstellung der Lernplattform für die der Schule zugeordneten Auszubildenden und Lehrkräfte.
Datenkategorien: Nutzerstammdaten (Anzeigename, E-Mail-Adresse, Rolle), Lerndaten (Antworten, Lernfortschritt, gewählte Themen) sowie Klassen- und Lizenzzuordnungen.
Weisungsgebundene Verarbeitung: StrukturKompass verarbeitet die Daten ausschließlich auf dokumentierte Weisung der Schule.
Beendigung: Nach Vertragsende werden die personenbezogenen Daten der zugeordneten Auszubildenden und Lehrkräfte gemäß den Vorgaben der AVV gelöscht oder zurückgegeben.

Eine Mustervorlage der Auftragsverarbeitungsvereinbarung wird interessierten Schulen vor Vertragsabschluss zur Verfügung gestellt.

11. Ihre Rechte

Sie haben jederzeit das Recht auf:

Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO)
Löschung Ihrer Daten (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit – Erhalt Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format (Art. 20 DSGVO)
Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@strukturkompass.eu

12. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen:

Sämtliche Datenübertragungen erfolgen verschlüsselt via HTTPS/TLS (mindestens TLS 1.2)
Passwörter werden ausschließlich als verschlüsselte Hashes gespeichert (bcrypt-Verfahren via Supabase Auth)
Datenbankinhalte werden ruhend (at-rest) verschlüsselt
Zugriff auf personenbezogene Daten ist rollenbasiert beschränkt
Regelmäßige Sicherheitsupdates der eingesetzten Plattformen
Backup-Strategie mit automatischer Wiederherstellungsmöglichkeit über Supabase

13. Speicherdauer

Personenbezogene Daten werden gespeichert, solange das Nutzerkonto bzw. der Lizenzvertrag aktiv ist. Nach Löschung des Kontos bzw. nach Ablauf eines Schullizenzvertrags werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. handelsrechtliche und steuerrechtliche Aufbewahrungsfristen von 6 bis 10 Jahren gemäß § 257 HGB und § 147 AO).

14. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Zuständig für StrukturKompass UG ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2–4
40213 Düsseldorf
Telefon: 0211/38424-0
Web: www.ldi.nrw.de

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unseres Dienstes anzupassen. Die jeweils aktuelle Fassung ist unter pflegeprofi.jetzt/datenschutz abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.

Stand: Mai 2026