Datenschutzerklärung

Anbieter: kursflow — kurven.schule®, André Jung
Version: 1.1 · Gültig ab: 12.05.2026

Verantwortlicher:
André Jung — kursflow / kurven.schule®
Anschrift: siehe Impressum
E-Mail: datenschutz@kurven.schule

1. Datenverarbeitung durch kursflow als Verantwortlicher

Dieser Abschnitt betrifft die Daten, die kursflow im Rahmen des eigenen Vertragsverhältnisses mit dem Anbieter (Tenant) verarbeitet.

1.1 Verarbeitete Datenkategorien

Was	Wofür	Rechtsgrundlage	Wie lange
Anbieter-Konto: Name, E-Mail, Telefon, Anschrift, Steuer-ID	Vertragsabwicklung, Rechnungsstellung, Onboarding	Art. 6 Abs. 1 lit. b DSGVO	bis Vertragsende + 10 Jahre Buchhaltung (§ 147 AO)
Login-Daten: E-Mail, Magic-Link-Token, Session-ID	Authentifizierung	Art. 6 Abs. 1 lit. b DSGVO	Token 15 min, Session 7 Tage
Support-Kommunikation: E-Mails, Ticket-Inhalte	Bearbeitung von Anfragen des Anbieters	Art. 6 Abs. 1 lit. b DSGVO	3 Jahre nach letzter Aktivität
Server-Logs: IP-Adresse, User-Agent, URL, Zeitstempel	Sicherheit, Fehleranalyse	Art. 6 Abs. 1 lit. f DSGVO	14 Tage
Cookies (technisch notwendig): Session-Cookie, CSRF-Token	Login und CSRF-Schutz	Art. 6 Abs. 1 lit. f DSGVO + § 25 Abs. 2 TDDDG	bei Logout / Session-Ende

1.2 Cookies

Wir setzen ausschließlich technisch notwendige Cookies ein:

Cookie	Zweck	Speicherdauer
`kursflow_session`	Login-Session halten	bis Logout / 7 Tage Inaktivität
`csrf_token`	Schutz vor Cross-Site-Request-Forgery	Session-Ende

Da wir keine nicht-essenziellen Cookies (Tracking, Werbung, Analyse) einsetzen, ist kein Consent-Banner gem. § 25 Abs. 1 TDDDG erforderlich.

1.3 Nicht verarbeitete Datenkategorien

kursflow verlangt keine Gesundheitsdaten und ist nicht für deren Erhebung oder Verarbeitung vorgesehen. Es werden ebenfalls keine biometrischen Daten, Passwort-Hashes oder Werbe-IDs gespeichert.

Hinweis für Anbieter: Anbieter, die über die Plattform besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO verarbeiten möchten (z. B. gesundheitliche Einschränkungen von Teilnehmern), sind verpflichtet, hierfür eine ausreichende Rechtsgrundlage zu schaffen und ihre Teilnehmer entsprechend zu informieren.

1.4 Datensicherheit (Art. 32 DSGVO)

Wir ergreifen angemessene technische und organisatorische Maßnahmen. Details: TOM-Anlage zum AVV. Kurzfassung:

TLS 1.3 für alle Datenübertragungen
Magic-Link-Authentifizierung (kein Passwort-Speicher)
Schema-per-Tenant (echte Datenbank-Trennung pro Anbieter)
Tägliche Backups + Disaster-Recovery-Pipeline
Beschränkter Zugriff (nur befugte Personen, MFA für Admin-Zugänge)

2. Datenverarbeitung durch kursflow als Auftragsverarbeiter

Wenn ein Anbieter kursflow nutzt, um seine Kursteilnehmer zu verwalten, ist der Anbieter gegenüber seinen Teilnehmern Verantwortlicher im Sinne der DSGVO. kursflow agiert in dieser Konstellation als Auftragsverarbeiter gem. Art. 28 DSGVO.

Die Rechtsgrundlage für diese Verarbeitung liegt beim jeweiligen Anbieter. kursflow verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Anbieters.

2.1 Verarbeitete Datenkategorien (im Auftrag des Anbieters)

Was	Wofür
Teilnehmer-Kontaktdaten: Name, E-Mail, Telefon	Kursbuchung, Teilnehmerliste, Kommunikation
Buchungsdaten: Kurs-ID, Datum, Status, Stornierungen	Buchungsverwaltung
Kursdaten: Titel, Beschreibung, Ort, Termin, Kapazität	Kursanzeige und -verwaltung
Zahlungsdaten der Teilnehmer: Rechnungsadresse, Betrag, Status	Abrechnung im Auftrag des Anbieters
Kommunikation mit Teilnehmern: Buchungsbestätigungen, Erinnerungen	Versand im Auftrag des Anbieters

Den vollständigen Auftragsverarbeitungsvertrag (AVV) akzeptierst du bei der Registrierung.

3. Zahlungsdienstleister

3.1 Anbieterzahlungen an kursflow (SaaS-Abonnement)

Für die Abrechnung des SaaS-Abonnements des Anbieters gegenüber kursflow:

Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland

Verarbeitete Daten: Rechnungsadresse des Anbieters, Zahlungsmittel (Karte, SEPA), Stripe-Customer-ID, Subscription-Status
Zweck: Zahlungsabwicklung für kursflow-Abonnement
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Drittland-Transfer: EU-US Data Privacy Framework (DPF) + EU-Standardvertragsklauseln (SCC)
Datenschutz Stripe: stripe.com/de/privacy

3.2 Endkundenzahlungen über den Anbieter

Wenn ein Anbieter Online-Zahlungen seiner Teilnehmer über kursflow abwickelt:

Der Anbieter ist Verantwortlicher für die Zahlungsdaten seiner Teilnehmer
kursflow leitet die Zahlung technisch über Stripe weiter (Auftragsverarbeitung)
Der Anbieter muss seine Teilnehmer über den Einsatz von Stripe informieren

4. KI-gestützte Verarbeitung

4.1 Eingesetzte KI-Funktionen

kursflow nutzt KI-Funktionen für Support-Analyse, Kurs-Empfehlungen, Textgenerierung und Auslastungsprognosen.

4.2 Auftragsverarbeiter: Anthropic, PBC

Anthropic, PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA

Drittland-Transfer: EU-US Data Privacy Framework (DPF) + EU-Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO
Zero Retention Policy: soweit vertraglich für den genutzten API-Tarif vereinbart
Datenschutz Anthropic: privacy.anthropic.com

An Anthropic werden ausschließlich übermittelt: Kurs-Metadaten, anonymisierte Buchungsstatistiken sowie Support-Anfragetexte (soweit möglich pseudonymisiert). Nicht übermittelt werden: Passwörter, Zahlungsdaten, Ausweis- oder Gesundheitsdaten.

Details: Datenschutz-Nachtrag KI

4.3 Kennzeichnung von KI-Ausgaben

KI-generierte Inhalte werden gemäß Art. 50 EU AI Act als solche gekennzeichnet — spätestens ab dem gesetzlichen Anwendungsdatum 02.08.2026. KI-gestützte Entscheidungen erfolgen nicht im Sinne von Art. 22 DSGVO (keine automatisierten Einzelentscheidungen mit rechtlicher Wirkung).

5. Speicherdauer, Betroffenenrechte, Aufsichtsbehörde

5.1 Speicherdauer

Datenkategorie	Speicherdauer
Anbieter-Accountdaten	Vertragsende + 10 Jahre (§ 147 AO)
Login-Token	15 Minuten
Session-Cookie	7 Tage
Server-Logs	14 Tage
Support-Kommunikation	3 Jahre nach letzter Aktivität
Teilnehmerdaten (im Auftrag des Anbieters)	bis Vertragsende + 30 Tage Karenz, danach Löschung
Rechnungsdaten	10 Jahre (§ 147 AO)

5.2 Betroffenenrechte

Auskunft (Art. 15): Daten-Export als JSON in den Kontoeinstellungen
Berichtigung (Art. 16): Profildaten unter Kontoeinstellungen bearbeitbar
Löschung (Art. 17): Account-Löschung über Kontoeinstellungen
Einschränkung (Art. 18): Deaktivierung des Kontos
Datenübertragbarkeit (Art. 20): JSON-Export maschinenlesbar
Widerspruch (Art. 21): gegen Verarbeitung auf Basis berechtigten Interesses

Antwortfrist: Eingangsbestätigung innerhalb von 3 Werktagen, Bearbeitung innerhalb von einem Monat. Anfragen an datenschutz@kurven.schule.

5.3 Datenweitergabe

Daten werden nur weitergegeben an die gelisteten Subprocessoren (auf Basis AVV gem. Art. 28 DSGVO), an Behörden soweit gesetzlich verpflichtet, sowie mit ausdrücklicher Einwilligung.

5.4 Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO):

Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34, 55116 Mainz
E-Mail: poststelle@datenschutz.rlp.de
Web: datenschutz.rlp.de

5.5 Änderungen

Wesentliche Änderungen werden mindestens 30 Tage vor Wirksamkeit per E-Mail angekündigt. Alle Versionen bleiben unter /legal/datenschutz/v<X.Y> abrufbar.