Rechtliches

Datenschutzerklärung

Diese Erklärung informiert dich gemäß Art. 13 und 14 DSGVO über die Verarbeitung deiner personenbezogenen Daten bei der Nutzung von SmartGhost.

Stand: Mai 2026

Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:

Marcel Bünger

Akazienallee 2

48155 Münster

Deutschland

E-Mail: support@smartghost.net

Wir haben aufgrund der Größe des Angebots keinen Datenschutzbeauftragten bestellt (Art. 37 DSGVO). Bei Fragen zum Datenschutz wende dich direkt an die oben genannte E-Mail.

Kategorien verarbeiteter Daten

Stammdaten: E-Mail, Passwort-Hash, Anzeigename, Avatar, Schultyp, Klassenstufe, Sprache.
Lerndaten: Karteikarten, Lernsets, Notizen, Mindmaps, Gruppen, Quest-/Achievement-Fortschritt, FSRS-Wiederholungsdaten.
Nutzungsdaten: Geräte-/Browser-Typ, Sprachpräferenz, freiwillige Analyse-Events nach Einwilligung, Fehlermeldungen.
KI-Anfragen: Texte, Dateien (PDF/Bild) und Lernsets, die du an Lumi sendest. Diese Inhalte werden zur Antwortgenerierung an die Gemini API übertragen.
Pro-/Kontaktanfragen: Angaben, die du in Formularen für Pro, Feedback oder Kontakt freiwillig übermittelst.
Server-Logs: IP-Adresse, Zeitstempel, User-Agent und technische Request-Daten zur Bereitstellung, Fehleranalyse und Missbrauchsabwehr.

Zwecke und Rechtsgrundlagen

Zweck	Rechtsgrundlage
Bereitstellung des Nutzerkontos und der Lernfunktionen	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
KI-Funktionen (Lumi, KI-Seterstellung, Lernpläne erstellen)	Art. 6 Abs. 1 lit. b DSGVO (Vertrag); bei optionalen Funktionen ggf. Art. 6 Abs. 1 lit. a DSGVO
Support- & Pro-Anfragen (Vertragskontext)	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / -anbahnung)
Feedback- & allgemeine Kontaktformulare	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung)
Produktanalyse (PostHog)	Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG (Einwilligung)
Sicherheit, Logs, Missbrauchsabwehr	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Marketing-E-Mails	Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung, jederzeit widerrufbar)

Minderjährige (Art. 8 DSGVO)

SmartGhost richtet sich an Schülerinnen und Schüler. Nutzer unter 16 Jahren benötigen die Einwilligung der Eltern bzw. Erziehungsberechtigten für die Registrierung und für KI-Funktionen, die personenbezogene Daten verarbeiten. Beim Einsatz im Schulkontext erfolgt die Verarbeitung auf Grundlage der jeweiligen Schul-Datenschutzvereinbarung.

Einsatz im Schulkontext

Wenn SmartGhost durch eine Schule, Lehrkraft oder einen Schulträger für Schülerinnen und Schüler eingesetzt wird, erfolgt die Verarbeitung grundsätzlich im Rahmen einer Auftragsverarbeitung nach Art. 28 DSGVO. Die Schule bzw. der Schulträger bleibt für die Rechtmäßigkeit des Einsatzes, die Information der Betroffenen und ggf. erforderliche Einwilligungen verantwortlich.

KI-Verarbeitung

SmartGhost nutzt Künstliche Intelligenz für den KI-Tutor "Lumi" sowie für die Generierung von Karteikarten, Zusammenfassungen, Tests, Mindmaps und Cheat-Sheets.

Transparenz nach Art. 50 KI-VO: Lumi weist im Chat aktiv auf die KI-Interaktion hin. KI-generierte Karten und Sets werden in der Oberfläche mit einem "KI"-Label gekennzeichnet.
Daily Mission: Die Daily Mission ist als editierbarer Lernvorschlag konzipiert. Du kannst vorgeschlagene Karten entfernen, ergänzen, sortieren und dauerhafte Präferenzen für die Gewichtung setzen.
Modell & Datenverarbeitung: SmartGhost setzt Google Gemini über Vertex AI (Google Cloud) ein – serverseitig, ohne direkte Clientverbindung zu Google. Vertex AI verbietet ausdrücklich die Nutzung von Kundendaten zum Training oder zur Feinabstimmung von Modellen. Je nach Modellverfügbarkeit erfolgt die Verarbeitung in der EU (europe-west1, Belgien) oder in den USA (us-central1, Iowa) – neuere Modelle sind noch nicht in allen EU-Regionen verfügbar. Alle Übertragungen in die USA sind durch EU-Standardvertragsklauseln (SCCs) und das EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023) abgesichert. Eingaben werden nicht dauerhaft gespeichert.Google Cloud Data Processing Addendum
Assistives Lernwerkzeug: SmartGhost ist als Lernhilfe konzipiert und trifft keine bindenden Entscheidungen über Noten, Prüfungen, Zulassungen oder behördliche Vorgänge.
Training: Eine Nutzung deiner Inhalte zum Training von KI-Modellen findet durch SmartGhost nicht statt. Durch den Einsatz von Vertex AI (Google Cloud) gilt dasselbe für Google: Vertex AI verbietet vertraglich die Nutzung von Kundendaten zum Training von Modellen.
Halluzinationen: KI kann sich irren. Verlasse dich bei Prüfungen nicht ausschließlich auf Lumi – prüfe Inhalte mit deinen offiziellen Materialien.
Keine automatisierte Einzelentscheidung: Es findet keine Entscheidung mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO statt.
Altershinweis: SmartGhost richtet sich auch an Nutzer unter 16 Jahren. Diese benötigen gemäß Art. 8 DSGVO die Einwilligung ihrer Erziehungsberechtigten, bevor KI-Funktionen verwendet werden dürfen (siehe Abschnitt 4).

Empfänger / Auftragsverarbeiter

Wir geben Daten nur an folgende Auftragsverarbeiter weiter, mit denen Verträge gem. Art. 28 DSGVO bestehen:

Anbieter	Zweck	Standort	Drittlandtransfer
Clerk Inc.	Authentifizierung, Passwort-Hash, Sessions	USA	SCCs / DPF, soweit zertifiziert
Supabase Inc.	Datenbank, Storage, Row Level Security	EU (Ireland)	kein Drittlandtransfer für Kerndatenbank
Vercel Inc.	Hosting, CDN, Serverless Functions, technische Logs	EU (Frankfurt)	SCCs / DPF, soweit zertifiziert
Google Ireland Ltd. / Google LLC (Vertex AI)	KI-Inferenz für Lerninhalte	USA	SCCs / DPF, soweit zertifiziert
PostHog Inc.	Produktanalyse nur nach Einwilligung	EU-Cloud	SCCs / DPF, soweit zertifiziert
Tally BV	Pro-Anfragen, Kontakt- und Wartelistenformulare	EU	—

SCCs = EU-Standardvertragsklauseln nach Beschluss 2021/914. DPF = EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023).

Speicherdauer

Account-Daten: bis zur Löschung des Kontos.
Lerndaten: bis du sie löschst oder dein Konto löschst.
Pro-/Kontaktanfragen: solange die Anfrage bearbeitet wird und anschließend nach gesetzlichen Aufbewahrungsfristen.
Server-Logs: maximal 30 Tage. Bei konkreten Sicherheitsvorfällen oder laufenden Untersuchungen können betroffene Logs bis zur Klärung des Vorfalls aufbewahrt werden.
Analytics-Daten: nach PostHog-Konfiguration; Löschung oder Widerruf ist jederzeit per E-Mail möglich.

Deine Rechte

Als betroffene Person hast du folgende Rechte gegenüber dem Verantwortlichen:

Auskunft (Art. 15 DSGVO)
Berichtigung (Art. 16 DSGVO)
Löschung / „Recht auf Vergessenwerden" (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch (Art. 21 DSGVO)
Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung genügt eine formlose E-Mail an support@smartghost.net. Zuständige Aufsichtsbehörde ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).

Cookies & lokale Speicherung

Technisch notwendig: Auth-Token (Clerk), Theme, Sprache, Cookie-Consent-Status. Rechtsgrundlage § 25 Abs. 2 Nr. 2 TDDDG.
Analyse (PostHog): nur mit deiner Einwilligung über das Cookie-Banner. Anonymisiert, EU-Server, kein Cross-Site-Tracking.
Kein Marketing-Tracking: wir setzen keine Werbe-Cookies, kein Facebook-Pixel, kein Google Ads.

Sicherheit

TLS-Verschlüsselung in transit, AES-256 at rest (Supabase), Row Level Security pro Nutzer, regelmäßige Backups, Passwort-Hashing über Clerk (bcrypt). Zugriffe protokolliert.

Änderungen dieser Erklärung

Wir passen diese Erklärung bei rechtlichen oder funktionalen Änderungen an. Die jeweils aktuelle Fassung ist hier abrufbar. Bei wesentlichen Änderungen informieren wir dich per E-Mail oder In-App-Hinweis.

Fragen oder Anliegen? support@smartghost.net