Geltungsbereich
Diese Übersicht beschreibt alle externen Dienstleister, die im Rahmen unserer Website michmatz.me und unseres Produkts MichMatz ReadMe eingesetzt werden. Die Übersicht ergänzt unsere Datenschutzerklärung um detaillierte Informationen zu Datenverarbeitungen, Auftragsverarbeitern und dem Umgang mit KI-Diensten.
Verantwortlicher
MichMatz GmbH, Nikolausplatz 3, 50937 Köln, Deutschland. Vertreten durch Michael Schulz und Mathias Würthle. E-Mail: hello@michmatz.me
Website (michmatz.me)
Für die Website michmatz.me setzen wir folgende externe Dienste ein. Detaillierte Informationen findest du in unserer Datenschutzerklärung.
Produkt (MichMatz ReadMe)
Grundprinzip der Datenarchitektur
Personenbezogene Daten (Name, E-Mail, Rechnungsadresse, Schulzugehörigkeit, Schülerprofile, Lernfortschritte) werden ausschließlich bei Hetzner in Deutschland gespeichert.
KI-Anbieter erhalten ausschließlich anonyme kreative Anweisungen (Thema, Genre, Altersgruppe, Sprache, CEFR-Stufe), niemals personenbezogene Daten.
Auftragsverarbeiter (personenbezogene Daten)
Die folgenden Dienstleister verarbeiten personenbezogene Daten in unserem Auftrag. Mit allen wurden Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen.
| Anbieter | Zweck | Verarbeitete Daten | Rechtsgrundlage | AVV | Standort |
|---|---|---|---|---|---|
| Hetzner | Datenbank-Hosting, Server, Backups | Alle Nutzerdaten (E-Mail, Name, Anmeldedaten, Profile, Lernfortschritte) | Art. 6 Abs. 1 lit. b DSGVO | Ja (AVV via Hetzner-Portal) | Deutschland (EU) |
| Stripe | Zahlungsabwicklung, Abonnements | E-Mail, Rechnungsadresse, Zahlungsmethode, Abonnement | Art. 6 Abs. 1 lit. b DSGVO | Ja (automatisch via SSA + DTA für SCCs) | USA (EU-Datenresidenz verfügbar) |
| Brevo | Transaktionale E-Mails (Auth-Links) | E-Mail-Adressen, E-Mail-Inhalte | Art. 6 Abs. 1 lit. b DSGVO | Ja (via Brevo-Dashboard) | Frankreich (EU) |
KI-Anbieter: Keine personenbezogenen Daten
Diese Anbieter erzeugen fiktive Inhalte (Geschichten, Bilder, Audio). Die Anbieter erhalten ausschließlich anonyme kreative Anweisungen, keine personenbezogenen Daten. Kein Nutzer kann anhand der übermittelten Daten identifiziert werden.
Beispiel: Was KI-Anbieter erhalten
- LLM-Prompt: „Schreibe eine interaktive Abenteuergeschichte für die Altersgruppe 9–11 auf Deutsch (CEFR-Stufe B1). Thema: Ein Abenteuer in Neuseeland in einer fernen Zukunft. Genre: Abenteuer."
- Bild-Prompt: „Eine futuristische Landschaft mit schwebenden Fahrzeugen über üppigen Bergen Neuseelands"
- TTS-Text: „Lena stand am Rand der schwebenden Plattform und blickte hinunter auf die leuchtenden Wälder von Neuseeland…"
Keines dieser Beispiele enthält personenbezogene Daten. Die Geschichte ist KI-generierte Fiktion.
| Anbieter | Typ | Empfangene Daten | Personenbezogen? |
|---|---|---|---|
| Anthropic (Claude) | Text (LLM) | Anonyme kreative Anweisungen | Nein |
| OpenAI | Text (LLM) | Anonyme kreative Anweisungen | Nein |
| Google Gemini | Text (LLM) | Anonyme kreative Anweisungen | Nein |
| Mistral | Text (LLM) | Anonyme kreative Anweisungen | Nein |
| BFL / Black Forest Labs (FLUX) | Bild | KI-generierte Bildprompts | Nein |
| OpenAI (DALL-E) | Bild | KI-generierte Bildprompts | Nein |
| Google Imagen | Bild | KI-generierte Bildprompts | Nein |
| Hyperbolic (SDXL) | Bild | KI-generierte Bildprompts | Nein |
| ElevenLabs | Audio (TTS) | KI-generierter Fiktionstext | Nein |
| OpenAI TTS | Audio (TTS) | KI-generierter Fiktionstext | Nein |
| Google Cloud TTS | Audio (TTS) | KI-generierter Fiktionstext | Nein |
| Gemini TTS | Audio (TTS) | KI-generierter Fiktionstext | Nein |
| Inworld AI | Audio (TTS) | KI-generierter Fiktionstext | Nein |
| Fish Audio | Audio (TTS) | KI-generierter Fiktionstext | Nein |
Selbst gehostete Dienste
Die folgenden Dienste laufen vollständig auf unserer eigenen Hetzner-Infrastruktur in Deutschland. Es findet kein externer Datentransfer statt.
Supabase (Postgres, Auth, Storage), NATS (Message-Broker), Infisical (Secrets-Management), Traefik (Reverse-Proxy), Uptime Kuma (Monitoring), Dozzle (Log-Aggregation), CrowdSec (Intrusion Detection), Fail2ban (Brute-Force-Schutz), Interne CA (mTLS-Zertifikate)
Auftragsverarbeitungsverträge (AVV)
Wir haben mit allen Anbietern, die personenbezogene Daten verarbeiten, Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen.
| Anbieter | AVV-Status | SCCs (Art. 46) |
|---|---|---|
| Hetzner | AVV über Hetzner-Kontoportal | Nicht erforderlich (EU) |
| Stripe | Automatisch via Services Agreement | Ja, via Data Transfers Addendum |
| Brevo | Via Brevo-Dashboard akzeptiert | Nicht erforderlich (EU), DPF-zertifiziert |
Datenübermittlung in Drittländer
Einige Dienstleister haben ihren Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO bzw. eines Angemessenheitsbeschlusses (EU-U.S. Data Privacy Framework). KI-Anbieter in den USA erhalten keine personenbezogenen Daten, ein Drittlandtransfer personenbezogener Daten an diese Anbieter findet nicht statt.
Weitere Informationen
Die vollständige Datenschutzerklärung mit Informationen zu deinen Rechten als betroffene Person findest du in unserer Datenschutzerklärung.