Stand: Januar 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO), des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) und sonstiger datenschutzrechtlicher Bestimmungen ist:
STONKS GmbH
Buber-Neumann-Weg 68
60439 Frankfurt am Main
Deutschland
Geschäftsführer: Farschad Hoshiar
E-Mail: datenschutz@34a-trainer.de
Telefon: Auf Anfrage per E-Mail
USt-IdNr.: DE325596064
2. Übersicht der Datenverarbeitung
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer App „§34a Trainer" und der damit verbundenen Dienste erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder wenn die Verarbeitung durch gesetzliche Vorschriften gestattet ist.
Arten der verarbeiteten Daten:
- Bestandsdaten (Name, E-Mail-Adresse)
- Nutzungsdaten (Lernfortschritt, App-Nutzung)
- Inhaltsdaten (beantwortete Fragen, Notizen)
- Meta-/Kommunikationsdaten (Geräte-Informationen, IP-Adressen)
- Vertragsdaten (Abonnement-Status, Kaufhistorie)
Kategorien betroffener Personen:
- Nutzer der App (Interessenten und Kunden)
- Besucher der Website
3. Rechtsgrundlagen der Verarbeitung
Wir verarbeiten personenbezogene Daten auf Grundlage der folgenden Rechtsgrundlagen gemäß Art. 6 Abs. 1 DSGVO:
- Einwilligung (lit. a): Der Nutzer hat seine Einwilligung zur Verarbeitung seiner Daten für einen oder mehrere bestimmte Zwecke gegeben (z.B. Push-Benachrichtigungen, Standortdaten).
- Vertragserfüllung (lit. b): Die Verarbeitung ist erforderlich zur Erfüllung eines Vertrages (z.B. Bereitstellung der Lernfunktionen, Kontoverwaltung).
- Rechtliche Verpflichtung (lit. c): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich (z.B. steuerliche Aufbewahrungspflichten).
- Berechtigte Interessen (lit. f): Die Verarbeitung ist zur Wahrung unserer berechtigten Interessen erforderlich (z.B. Betrugsprävention, Systemsicherheit), sofern nicht die Interessen oder Grundrechte des Betroffenen überwiegen.
4. Sicherheitsmaßnahmen gemäß Art. 32 DSGVO
Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik angemessene technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Technische Maßnahmen:
- Rust-Backend: Unser Server wurde in Rust entwickelt, einer Programmiersprache mit garantierter Speichersicherheit (Memory Safety). Dies verhindert Sicherheitslücken wie Buffer Overflows.
- Verschlüsselung: Sämtliche Datenübertragungen erfolgen über TLS 1.2/1.3 verschlüsselt (HTTPS).
- Passwort-Hashing: Passwörter werden mit modernen kryptografischen Verfahren (Argon2) gehasht und niemals im Klartext gespeichert.
- Pseudonymisierung: Wo möglich, werden Daten pseudonymisiert verarbeitet.
5. Nutzerkonto (Single Identity System)
Zur Nutzung der App ist die Registrierung eines Nutzerkontos erforderlich. Dieses Konto dient als zentrales Identitätsmanagement für alle unsere Dienste.
| Datenart | Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| E-Mail-Adresse | Identifikation, Kommunikation | Art. 6 Abs. 1 lit. b DSGVO | Bis zur Kontolöschung |
| Passwort (gehasht) | Authentifizierung | Art. 6 Abs. 1 lit. b DSGVO | Bis zur Kontolöschung |
| Nutzer-ID (UUID) | Eindeutige Zuordnung | Art. 6 Abs. 1 lit. b DSGVO | Bis zur Kontolöschung |
| Anmeldezeitpunkte | Sicherheit, Betrugsprävention | Art. 6 Abs. 1 lit. f DSGVO | 90 Tage |
6. Lernfortschritt und Nutzungsdaten
| Datenart | Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Beantwortete Fragen | Lernfortschrittsanzeige | Art. 6 Abs. 1 lit. b DSGVO | Bis zur Kontolöschung |
| Fehlerquoten, Statistiken | Personalisierte Lernempfehlungen | Art. 6 Abs. 1 lit. b DSGVO | Bis zur Kontolöschung |
| Lernkarten-Fortschritt | Spaced Repetition System | Art. 6 Abs. 1 lit. b DSGVO | Bis zur Kontolöschung |
| Prüfungssimulationen | Leistungsübersicht | Art. 6 Abs. 1 lit. b DSGVO | Bis zur Kontolöschung |
Hinweis: Die aggregierte, anonymisierte Analyse von Lernmustern zur Verbesserung der Fragenqualität erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung). Ein Rückschluss auf einzelne Nutzer ist dabei nicht möglich.
7. Zahlungsdaten und Abonnements
Bei kostenpflichtigen In-App-Käufen und Abonnements werden Zahlungen ausschließlich über die Abrechnungssysteme der App-Store-Betreiber (Apple App Store, Google Play Store) abgewickelt. Wir erhalten keine vollständigen Zahlungsdaten wie Kreditkartennummern.
Von uns verarbeitete Daten:
- Transaktions-ID des App-Stores
- Kaufdatum und -zeitpunkt
- Art des erworbenen Produkts (z.B. Premium-Abonnement)
- Abonnement-Status (aktiv, gekündigt, abgelaufen)
Drittanbieter: RevenueCat
Für die Verwaltung von Abonnements nutzen wir den Dienst RevenueCat, Inc., 633 Folsom St., San Francisco, CA 94107, USA. RevenueCat verarbeitet Daten in unserem Auftrag auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) und der EU-Standardvertragsklauseln für Datenübermittlungen in Drittländer.
Datenschutzhinweise von RevenueCat: https://www.revenuecat.com/privacy
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (steuerliche Aufbewahrungspflichten für Rechnungsdaten: 10 Jahre gemäß § 147 AO).
8. Standortdaten (optional)
Die App kann optional auf Standortdaten zugreifen, um ortsbezogene Funktionen bereitzustellen (z.B. Anzeige von IHK-Prüfungsstandorten in Ihrer Nähe).
Daten: GPS-Koordinaten (grobe oder präzise Standortbestimmung je nach Berechtigung)
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Speicherung: Standortdaten werden ausschließlich lokal auf Ihrem Gerät verarbeitet und nicht an unsere Server übertragen.
Widerruf: Sie können die Standortberechtigung jederzeit in den Systemeinstellungen Ihres Smartphones widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.
9. Push-Benachrichtigungen
Für Lern-Erinnerungen und wichtige Mitteilungen nutzen wir Push-Benachrichtigungen über die Dienste Apple Push Notification Service (APNS) und Google Firebase Cloud Messaging (FCM).
Verarbeitete Daten: Geräte-Token (pseudonyme Kennung zur Zustellung)
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung beim App-Start)
Widerruf: Sie können Push-Benachrichtigungen jederzeit in den Einstellungen Ihres Geräts oder in der App deaktivieren.
10. Cookies und Tracking-Technologien (TDDDG)
Gemäß § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) informieren wir Sie über den Einsatz von Cookies und ähnlichen Technologien.
Website (34a-trainer.de):
- Technisch notwendige Cookies: Session-Cookies für die Authentifizierung (Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG – technisch erforderlich)
- Keine Analyse- oder Werbe-Cookies: Wir setzen derzeit keine Cookies für Analyse- oder Werbezwecke ein.
Mobile App:
Die App speichert lokale Daten (Authentifizierungs-Token, Einstellungen) auf Ihrem Gerät. Diese Speicherung ist technisch erforderlich für die Bereitstellung des Dienstes (§ 25 Abs. 2 Nr. 2 TDDDG). Ein Tracking durch Drittanbieter findet nicht statt.
11. Auftragsverarbeiter und Drittanbieter
Wir setzen folgende Dienstleister ein, die in unserem Auftrag personenbezogene Daten verarbeiten:
| Anbieter | Zweck | Standort/Garantien |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Datenspeicherung | Deutschland (EU), AVV |
| RevenueCat, Inc. | Abonnement-Verwaltung | USA, EU-Standardvertragsklauseln |
| Apple Inc. | App-Distribution, In-App-Käufe (iOS) | USA, Data Privacy Framework |
| Google LLC | App-Distribution, In-App-Käufe (Android) | USA, Data Privacy Framework |
Mit allen Auftragsverarbeitern haben wir Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen. Bei Datenübermittlungen in die USA stützen wir uns auf das EU-U.S. Data Privacy Framework oder EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
12. Datenübermittlung in Drittländer
Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU/des EWR (Drittländer) erfolgt nur, wenn:
- ein Angemessenheitsbeschluss der EU-Kommission vorliegt (Art. 45 DSGVO), oder
- geeignete Garantien bestehen (Art. 46 DSGVO), insbesondere EU-Standardvertragsklauseln oder das EU-U.S. Data Privacy Framework, oder
- eine Ausnahme nach Art. 49 DSGVO greift (z.B. ausdrückliche Einwilligung).
Kopien der EU-Standardvertragsklauseln können bei uns angefordert werden.
13. Speicherdauer und Löschung
Wir speichern personenbezogene Daten nur so lange, wie es für die Erfüllung der jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:
- Kontodaten: Bis zur Löschung des Nutzerkontos durch den Nutzer oder uns
- Lernfortschritt: Bis zur Kontolöschung
- Rechnungsdaten: 10 Jahre (§ 147 AO, § 257 HGB)
- Server-Logs: 7 Tage (zur Fehlerbehebung und Sicherheit)
- Support-Anfragen: 3 Jahre nach Abschluss des Anliegens
Nach Ablauf der Speicherdauer werden die Daten gelöscht oder anonymisiert, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
14. Ihre Rechte als betroffene Person
Ihnen stehen gemäß DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten zu:
- Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten.
- Berichtigungsrecht (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.
- Löschungsrecht (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
- Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, jederzeit gegen die Verarbeitung Sie betreffender Daten, die auf Art. 6 Abs. 1 lit. f DSGVO beruht, Widerspruch einzulegen. Dies gilt insbesondere für die Verarbeitung zu Direktwerbezwecken.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@34a-trainer.de
15. Automatisierte Entscheidungsfindung und Profiling
Wir nutzen keine rein automatisierten Entscheidungsprozesse gemäß Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.
Die automatisierte Auswertung Ihres Lernfortschritts zur Anzeige personalisierter Lernempfehlungen stellt ein Profiling dar, das jedoch keine rechtlichen Auswirkungen hat und ausschließlich der Verbesserung Ihres Lernerlebnisses dient.
16. Beschwerderecht bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt.
Zuständige Aufsichtsbehörde:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden
E-Mail: poststelle@datenschutz.hessen.de
Website: https://datenschutz.hessen.de
17. Aktualität und Änderung dieser Datenschutzerklärung
Diese Datenschutzerklärung ist aktuell gültig und hat den Stand Januar 2026. Durch die Weiterentwicklung unserer App oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann eine Anpassung dieser Datenschutzerklärung erforderlich werden. Die jeweils aktuelle Fassung ist stets auf unserer Website abrufbar.