Rechtliches

Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Plattform im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist:

Johannes Pfeiffer
Kuthstr. 147
51107 Köln
E-Mail: admin@flowstar.space

2. Überblick der verarbeiteten Daten

Kategorien personenbezogener Daten

Wir verarbeiten folgende Arten personenbezogener Daten:

  • Stammdaten: Name, E-Mail-Adresse, Schulzugehörigkeit, Nutzerrolle, Geburtsdatum (bei Schüler*innen)
  • Zugangsdaten: Verschlüsselte Passwörter, Zeitpunkt der letzten Anmeldung
  • Inhaltsdaten: Von Nutzer*innen erstellte Lernpfade, Karteikarten, Kompetenzbeschreibungen, Lernreflexionen
  • Datei-Uploads: Lernabgaben, Aufgabenfotos von Schüler*innen
  • Lernfortschrittsdaten: Kompetenzbewertungen, Karteikartenstatistiken, Lernserien (Streaks), Punktestände
  • Diagnosedaten: KI-gestützte Lerndiagnosen, Lehrkraft-Feedback
  • Metadaten: Aktivitätszeitpunkte, technische Verbindungsdaten

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Folgende Daten erfordern erhöhten Schutz:

  • KI-gestützte Kompetenzdiagnose: Diagnoseauswertungen mit lernpathologischem Charakter (nur mit Einwilligung der Erziehungsberechtigten, siehe Abschnitt 15)
  • Stimmungsprotokoll im Portfolio: Selbsteinschätzungen zum persönlichen Befinden; ausschließlich für die Schüler*in selbst sichtbar, kein Zugriff durch Lehrkräfte oder Erziehungsberechtigte (siehe Abschnitt 16)

3. Minderjährige

FlowStar richtet sich an schulische Kontexte und verarbeitet daher regelmäßig personenbezogene Daten von Schüler*innen, die häufig minderjährig sind.

Für Kinder unter 16 Jahren ist gemäß Art. 8 DSGVO die Einwilligung der Erziehungsberechtigten erforderlich, soweit die Datenverarbeitung auf Einwilligung beruht. Die Registrierung von Schüler*innen erfolgt im Rahmen des schulischen Nutzungsverhältnisses. Schulen, die FlowStar für ihren Unterricht einsetzen, schließen mit uns einen Auftragsverarbeitungsvertrag (AVV) ab und stellen sicher, dass erforderliche Einwilligungen der Erziehungsberechtigten eingeholt werden.

Erziehungsberechtigte können alle datenschutzrechtlichen Rechte (Abschnitt 21) stellvertretend für ihre minderjährigen Kinder ausüben.

4. Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen (Bereitstellung der Plattform für registrierte Nutzer*innen)
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen (technische Sicherheit, Schutz vor Missbrauch, Einbindung technisch notwendiger Drittdienste)
  • Art. 6 Abs. 1 lit. c DSGVO – Erfüllung rechtlicher Verpflichtungen
  • Art. 9 Abs. 2 lit. a DSGVO – Ausdrückliche Einwilligung für besondere Datenkategorien (KI-Diagnose mit Bildmaterial; für das Stimmungsprotokoll als freiwillige und selbstbestimmte Eingabe)

5. Hosting

Unsere Plattform wird auf Servern der Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland, betrieben. Alle Nutzerdaten werden ausschließlich auf Servern in Deutschland gespeichert.

Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Weitere Informationen: hetzner.com/de/legal/privacy-policy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

6. Cookies und Sitzungsverwaltung

FlowStar verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Ein Cookie-Banner ist daher nicht erforderlich.

Cookie Zweck Speicherdauer
laravel_session Verwaltung Ihrer Anmeldesitzung Sitzungsende / bis zu 2 Stunden Inaktivität
XSRF-TOKEN Schutz vor Cross-Site-Request-Forgery-Angriffen Sitzungsende
remember_me Dauersitzung bei Aktivierung von „Angemeldet bleiben" 30 Tage

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und funktionsfähigen Bereitstellung der Plattform).

7. E-Mail-Versand (Brevo)

Für den Versand transaktionaler E-Mails — Registrierungsbestätigungen, Passwort-Reset-Links — nutzen wir den Dienst Brevo (ehemals Sendinblue), Brevo SAS, 7 rue de Madrid, 75008 Paris, Frankreich.

Dabei werden E-Mail-Adressen der Empfänger*innen sowie technische Zustellungsdaten (Zeitpunkt, Zustellstatus) verarbeitet. Mit Brevo besteht ein Auftragsverarbeitungsvertrag. Brevo betreibt EU-eigene Rechenzentren und ist DSGVO-konform.

Weitere Informationen: brevo.com/de/legal/privacypolicy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

8. Text-to-Speech (VoiceRSS)

Für die optionale Vorlese-Funktion bei Karteikarten wird der Dienst VoiceRSS (Squid Solutions Ltd.) eingesetzt. Wenn Sie diese Funktion nutzen, werden die Texte der betreffenden Karteikarte zur Umwandlung in Audiodateien an Server von VoiceRSS übertragen. Die Nutzung dieser Funktion ist optional und erfolgt nur auf explizite Anforderung.

Hinweis: Wir prüfen derzeit den Abschluss eines Auftragsverarbeitungsvertrages mit VoiceRSS. Bis zum Abschluss empfehlen wir, keine sensiblen Personendaten in Karteikarteninhalten zu verwenden, die mit der Vorlese-Funktion abgerufen werden sollen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

9. Externe JavaScript-Bibliotheken (Cloudflare CDN)

Zur Bereitstellung von Plattformfunktionen (Rich-Text-Editor, mathematische Formeln, Drag-and-Drop) werden JavaScript-Bibliotheken (Quill.js, KaTeX, Sortable.js) über das Content Delivery Network (CDN) von Cloudflare (cdnjs.cloudflare.com) eingebunden.

Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA.

Beim Laden dieser Bibliotheken stellt Ihr Browser eine direkte Verbindung zu Cloudflare-Servern her, wobei Ihre IP-Adresse übertragen wird. Cloudflare ist im Rahmen des EU-US Data Privacy Frameworks zertifiziert, das ein angemessenes Datenschutzniveau für Transfers in die USA gewährleistet.

Weitere Informationen: cloudflare.com/de-de/privacypolicy

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Bereitstellung der Plattformfunktionalität).

10. Schriftarten

Die auf dieser Plattform verwendeten Schriftarten (Nunito, Playfair Display) werden lokal auf unserem eigenen Server gehostet. Es erfolgt keine Verbindung zu Google-Servern oder anderen externen Schriftartdiensten.

11. Registrierung und Nutzerkonto

Bei der Registrierung erheben wir folgende Daten:

  • Name und E-Mail-Adresse
  • Passwort (wird ausschließlich als verschlüsselter Hash gespeichert — nicht im Klartext lesbar)
  • Schulzugehörigkeit
  • Benutzerrolle (Lehrkraft, Schüler*in, Erziehungsberechtigte*r)
  • Geburtsdatum (bei Schüler*innen)

Diese Daten sind für die Bereitstellung des Nutzerkontos und der rollenspezifischen Funktionen erforderlich.

Lehrkräfte können optional einen persönlichen API-Schlüssel für KI-Funktionen hinterlegen. Dieser wird verschlüsselt gespeichert und ausschließlich für KI-Diagnose-Anfragen verwendet.

Konto löschen: Nutzer*innen können ihr Konto jederzeit selbst löschen. Dabei werden alle verknüpften personenbezogenen Daten entfernt, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

12. Schulen als gemeinsam Verantwortliche

Wenn Schulen FlowStar für ihren Unterricht einsetzen, verarbeiten sie im Rahmen des Schulbetriebs personenbezogene Daten ihrer Schüler*innen eigenverantwortlich. Für diesen Verarbeitungskontext handelt FlowStar als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Schulen schließen daher vor dem produktiven Einsatz einen Auftragsverarbeitungsvertrag (AVV) mit uns ab.

Für Anfragen zu AVV-Abschlüssen wenden Sie sich bitte an: admin@flowstar.space

13. Nutzergenerierte Inhalte und Community-Funktionen

Nutzer*innen können auf FlowStar eigene Lernmaterialien erstellen:

  • Private Inhalte (persönliche Lernpfade, Karteikarten, Abgaben): Nur für die erstellende Person und — bei Lernabgaben — die zuständige Lehrkraft sichtbar.
  • Klasseninhalte: Lernpfade und Kompetenzen, die von einer Lehrkraft für eine Klasse freigegeben wurden, sind für Mitglieder dieser Klasse sichtbar.
  • Community-Inhalte (Marktplatz): Lernpfade, Karteikarten und Kompetenzen können optional für alle registrierten Nutzer*innen der Plattform sichtbar gemacht werden.

Hinweis zur Eigenverantwortung: Nutzer*innen sind selbst für die Rechtmäßigkeit der von ihnen eingestellten oder verlinkten Inhalte verantwortlich. Das Einstellen rechtswidriger, beleidigender oder jugendgefährdender Inhalte ist gemäß unseren Nutzungsbedingungen untersagt.

Externe Links: In Lernpfaden können externe Weblinks eingebettet werden. FlowStar übernimmt keine Haftung für die Inhalte verlinkter externer Seiten.

Rechtswidrige Inhalte melden: abuse@flowstar.space – Wir prüfen jede Meldung und entfernen rechtswidrige Inhalte umgehend nach Kenntnisnahme.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

14. Datei-Uploads und Lernabgaben

Schüler*innen können im Rahmen von Lernaufgaben Dateien (Fotos, Dokumente) hochladen und als Abgaben einreichen. Diese Abgaben sind ausschließlich für die betreffende Schüler*in und die zuständige Lehrkraft einsehbar.

Hochgeladene Dateien werden auf unseren Servern bei Hetzner (Deutschland) gespeichert und sind nicht öffentlich zugänglich. Ein systematisches Löschkonzept für abgelaufene Schuljahre befindet sich in Entwicklung; Löschungen können bis dahin auf Anfrage an admin@flowstar.space veranlasst werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

15. KI-gestützte Kompetenzdiagnose

FlowStar bietet Lehrkräften eine KI-gestützte Funktion zur Diagnose von Schüler*innenleistungen. Fotos von Schüler*innenarbeiten können hochgeladen und durch einen KI-Dienst ausgewertet werden.

Besonderheiten dieser Funktion:

  • Fotos von Schüler*innenarbeiten sind personenbeziehbare Daten Minderjähriger und werden mit besonderer Sorgfalt behandelt.
  • Anfragen an den KI-Dienst enthalten keine Klarnamen — ausschließlich anonymisierte interne IDs werden übertragen.
  • Alle Diagnoseergebnisse sind nur für die jeweilige Lehrkraft einsehbar.
  • Kein Ergebnis wird automatisch wirksam. Jede KI-Diagnose wird von der Lehrkraft geprüft und erst nach ausdrücklicher Bestätigung in das Kompetenzprofil übernommen.
  • Die Funktion wird durch Anthropic PBC, 548 Market St, PMB 90375, San Francisco, CA 94104, USA als Auftragsverarbeiter bereitgestellt. Mit Anthropic besteht ein Auftragsverarbeitungsvertrag (Data Processing Agreement) einschließlich Standardvertragsklauseln für die Übermittlung in die USA.
  • Die Nutzung dieser Funktion erfordert die ausdrückliche Einwilligung der Erziehungsberechtigten, die im Rahmen des Schulvertrages eingeholt wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; für die Verarbeitung besonderer Datenkategorien: Art. 9 Abs. 2 lit. a DSGVO (Einwilligung der Erziehungsberechtigten).

16. Portfolio und Stimmungsprotokoll

Schüler*innen können ein persönliches Lernportfolio führen, das Reflexionstexte und ein optionales Stimmungsprotokoll enthält.

Das Portfolio ist ausschließlich für die jeweilige Schüler*in selbst sichtbar. Lehrkräfte, Erziehungsberechtigte und andere Nutzer*innen haben keinen Zugriff auf Portfolio-Inhalte oder Stimmungseingaben. Eine Weitergabe oder Aggregation dieser Daten findet nicht statt.

Das Stimmungsprotokoll erfasst persönliche Befindlichkeits-Selbsteinschätzungen. Da diese Angaben gesundheitsbezogene Daten im Sinne des Art. 9 DSGVO darstellen können, erfolgt die Nutzung ausschließlich auf freiwilliger Basis. Für Schüler*innen unter 16 Jahren empfehlen wir, Erziehungsberechtigte über diese Funktion zu informieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; für das Stimmungsprotokoll: Art. 9 Abs. 2 lit. a DSGVO (freiwillige Eingabe als konkludente Einwilligung).

17. Gamification und Lernstatistiken

Zur Förderung der Lernmotivation werden Lernaktivitäten als Punkte (XP), Abzeichen und Lernserien (Streaks) erfasst und dargestellt. Innerhalb einer Klasse werden aggregierte Statistiken (z. B. Klassenplanet) berechnet.

Individuelle Ranglisten, die Schüler*innen miteinander vergleichen, werden bewusst nicht angezeigt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

18. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um personenbezogene Daten zu schützen:

  • Verschlüsselte Datenübertragung per HTTPS (TLS)
  • Passwörter werden ausschließlich als kryptografischer Hash (bcrypt) gespeichert — nie im Klartext
  • Persönliche API-Schlüssel werden verschlüsselt gespeichert
  • Rollenbasierte Zugriffskontrolle (Schüler*innen, Lehrkräfte, Admin haben jeweils unterschiedliche Zugriffsrechte)
  • Regelmäßige Software-Updates

19. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:

Datenkategorie Speicherdauer
Nutzerkonten Bis zur Löschung durch die Nutzer*in oder auf Antrag
Lernabgaben und Datei-Uploads Bis Schuljahresende + 3 Monate (in Entwicklung); bis dahin auf Anfrage
Kompetenz- und Lernfortschrittsdaten Bis zur Konto-Löschung
KI-Diagnoseberichte Bis zur Konto-Löschung
Serverprotokolle Maximal 30 Tage
Transaktionale E-Mails (Versandprotokolle) Gemäß Datenschutzrichtlinie von Brevo

20. Keine automatisierten Entscheidungen

Es findet keine ausschließlich automatisierte Verarbeitung im Sinne des Art. 22 DSGVO statt, die rechtliche Wirkung entfaltet oder Personen erheblich beeinträchtigt. Alle KI-generierten Diagnosen werden durch Lehrkräfte geprüft und manuell bestätigt.

21. Ihre Rechte

Sie haben gegenüber uns folgende datenschutzrechtliche Rechte:

  • Auskunft (Art. 15 DSGVO): Welche Daten wir über Sie verarbeiten
  • Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO): Löschung Ihrer Daten (soweit keine Aufbewahrungspflichten bestehen)
  • Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung in bestimmten Situationen
  • Datenübertragbarkeit (Art. 20 DSGVO): Erhalt Ihrer Daten in einem gängigen, maschinenlesbaren Format
  • Widerspruch (Art. 21 DSGVO): Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen

Erziehungsberechtigte können diese Rechte stellvertretend für ihre minderjährigen Kinder ausüben.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: admin@flowstar.space

22. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für unseren Sitz in Nordrhein-Westfalen ist zuständig:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Postfach 20 04 44
40102 Düsseldorf
Telefon: 0211 / 38424-0
E-Mail: poststelle@ldi.nrw.de
Website: www.ldi.nrw.de

23. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslage oder Plattformfunktionen anzupassen. Bei wesentlichen Änderungen informieren wir registrierte Nutzer*innen per E-Mail. Die jeweils aktuelle Fassung ist unter /datenschutz abrufbar.

Letzte Aktualisierung: Juni 2026