Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unsere Website fachwirt-hero.de besuchen oder die App „Fachwirt Hero" nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

SSL- bzw. TLS-Verschlüsselung

Diese Seite und die App-Kommunikation nutzen aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile bzw. der gesicherten API-Kommunikation im Hintergrund der App.

2. Name und Anschrift des Verantwortlichen

Die verantwortliche Stelle für die Datenverarbeitung ist:

Daniel Roß – IT & Marketing
Breithornstraße 2
81825 München
Deutschland
E-Mail: support@fachwirt-hero.de
Website: www.fachwirt-hero.de

3. Hosting und Infrastruktur (Hetzner)

Wir hosten die Inhalte unserer Website sowie das Backend der App bei der Hetzner Online GmbH (Deutschland). Beim Aufruf unserer Dienste werden automatisch Server-Logfiles erfasst.

• Verarbeitete Daten: IP-Adresse, Browsertyp und -version, verwendetes Betriebssystem, Referrer URL, Hostname des zugreifenden Rechners, Uhrzeit der Serveranfrage.
• Zweck: Technische Stabilität, Sicherheit und Gefahrenabwehr.
• Rechtsgrundlage: Berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO.

3.1 IT-Sicherheit und Angriffserkennung (CrowdSec)

Zum Schutz unserer Infrastruktur und zur Abwehr von Cyberangriffen (z. B. Brute-Force-Attacken, Bot-Scans) nutzen wir auf unserem Server die Sicherheitssoftware der CrowdSec SAS (Frankreich).

• Verarbeitung: CrowdSec analysiert die durch Hetzner erfassten Server-Logfiles in Echtzeit. Dabei werden Zugriffsmuster mit einer lokalen Datenbank und einem globalen Netzwerk abgeglichen. Im Falle eines erkannten Angriffs wird die IP-Adresse des Angreifers lokal auf unserer Firewall gesperrt.
• Datentransfer: Daten von legitimen Nutzern werden ausschließlich lokal auf unserem Server verarbeitet. Lediglich die IP-Adressen von verifizierten Angreifern werden (in der Regel in gekürzter/gehashter Form) an die zentrale API von CrowdSec in Frankreich übermittelt, um das globale Sicherheitsnetzwerk zu aktualisieren.
• Rechtsgrundlage: Die Verarbeitung erfolgt auf Basis unseres berechtigten Interesses an der Sicherheit unserer IT-Systeme gemäß Art. 6 Abs. 1 lit. f DSGVO.

4. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Auskunft, Berichtigung, Löschung: Recht auf Information über gespeicherte Daten sowie deren Korrektur oder Entfernung.
• Einschränkung der Verarbeitung & Datenübertragbarkeit: Recht auf Begrenzung der Nutzung und Erhalt der Daten in maschinenlesbarem Format.
• Widerruf von Einwilligungen: Eine einmal erteilte Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) kann jederzeit widerrufen werden. Den Widerruf von Werbe- und Analyse-Einwilligungen können Sie jederzeit über Einstellungen → Cookie-Einstellungen anpassen in der App vornehmen.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen.
• Beschwerderecht: Recht auf Beschwerde beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA).

Account-Löschung

Sie können Ihr Nutzerkonto und alle damit verbundenen personenbezogenen Daten jederzeit in der App unter Einstellungen → Konto löschen vollständig und unwiderruflich löschen. Dabei werden alle verknüpften Daten (Lernfortschritt, Geräteinformationen, Einwilligungsnachweise, Quiz-Historie) kaskadierend entfernt. Gesetzliche Aufbewahrungsfristen (z. B. für zahlungsrelevante Daten) bleiben unberührt.

5. Detaillierte Datenerfassung in der App „Fachwirt Hero"

Um den Funktionsumfang der App bereitzustellen, verarbeiten wir folgende Datenkategorien:

5.1 Authentifizierung & Nutzerkonto (Firebase)

Bei der Registrierung und beim Login (E-Mail oder Google-Login) werden folgende Daten verarbeitet:

• Identifikationsdaten: E-Mail-Adresse, Vor- und Nachname, Nickname, Profilbild-URL, Firebase UID, Google UID.
• Authentifizierungsdaten: Passwort-Hash (bei E-Mail-Login), ID-Token, Refresh-Token, gewählter Auth-Provider.
• AGB-Akzeptanz: Zeitstempel und Version der akzeptierten Nutzungsbedingungen (für die Nachweisführung gemäß § 312g BGB).
• Zweck: Verwaltung des Nutzerkontos und geräteübergreifende Synchronisation.
• Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

5.2 Lernfortschritt & Gamification (Backend-Synchronisation)

Wir erfassen detailliert Ihre Lernaktivitäten, um Ihren Fortschritt zu berechnen:

• Lernstatistiken: Erfahrungspunkte (XP), Tages-Strähnen (Streaks), Datum des letzten Streaks, Survival-Highscores.
• Prüfungsdaten: Gewählter Fachwirt-Typ (Lernpfad) sowie das von Ihnen hinterlegte Prüfungsdatum.
• Quiz-Historie: Question-IDs, gegebene Antworten, Korrektheitsstatus, Zeitstempel der Antwort, genutzte Quiz-Modi.
• Zweck: Individuelle Fortschrittsberechnung, Bereitstellung von Ranglisten (Leaderboard), Lern-Countdown.
• Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

5.3 Gerätedaten & Account-Schutz

Bei jedem Login werden technische Metadaten erfasst:

• Technische Kennungen: Firebase Installation ID (FID) – eine app-spezifische Kennung, die bei Neuinstallation zurückgesetzt wird und keine personenbezogenen Daten enthält.
• Geräte-Details: App-Version, Version des Betriebssystems, Hersteller, Gerätemodell, Gerätemarke, gewählte Sprache/Region (Locale), Zeitpunkte der Erstinstallation und des letzten Updates.
• Zweck: Erkennung von unzulässigem Account-Sharing (Missbrauchsprävention) und technischer Support.
• Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Hinweis: Es werden keine persistenten Hardware-Identifier (IMEI, MAC-Adresse, Android ID, Advertising-ID) für die Geräteregistrierung erfasst.

5.4 Push-Benachrichtigungen (Firebase Cloud Messaging)

• Verarbeitete Daten: FCM-Push-Token (generiert durch Firebase Cloud Messaging / Google), gewählte Benachrichtigungs-Präferenzen (Opt-ins für Erinnerungen).
• Zweck: Zustellung von Lern-Erinnerungen und Support-Antworten.
• Rechtsgrundlage: Vertragserfüllung bzw. Einwilligung (Art. 6 Abs. 1 lit. a & b DSGVO).

6. Lokale Datenspeicherung auf dem Endgerät

Die App speichert Daten lokal in einer verschlüsselten Umgebung (Room DB, DataStore, SharedPreferences), um die Offline-Nutzung zu ermöglichen:

• Cache-Daten: Kopie des Nutzerprofils (XP, Streak), Inhaltsdaten (Fragen, Glossar), Fehlerfragen-Historie.
• Einwilligungsdaten: Der IAB TCF v2 Consent-String (Nachweis Ihrer Cookie-Wahl, verwaltet durch das Google UMP SDK) sowie Flags zum Status des Consent-Flows.
• Rechtsgrundlage: Vertragserfüllung bzw. rechtliche Verpflichtung zur Nachweisführung der Einwilligung (Art. 5 Abs. 2, Art. 7 DSGVO).

7. Einwilligungsverwaltung & Consent-Nachweis (Google UMP SDK)

Wir nutzen das Google User Messaging Platform (UMP) SDK (IAB TCF v2-konform) zur Einholung und Verwaltung Ihrer Einwilligung in Analyse- und Werbedienste.

• Consent-Banner: Beim ersten App-Start wird ein Einwilligungsbanner angezeigt (nur für Nutzer im EWR/UK). Ihre Wahl wird als IAB TCF v2 TC-String lokal gespeichert.
• Consent-Nachweis: Nach jedem Login wird der TC-String zusammen mit Ihrem Einwilligungsstatus, einem Zeitstempel, der IP-Adresse und dem technischen HTTP-Header (User-Agent) an unseren Server übermittelt und dort append-only gespeichert (kein nachträgliches Überschreiben). Dies dient der Erfüllung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO.
• Widerruf: Sie können Ihre Einwilligungen jederzeit über Einstellungen → Cookie-Einstellungen anpassen in der App widerrufen oder anpassen.
• Rechtsgrundlage: Art. 7 DSGVO (Nachweis der Einwilligung).

8. Analyse- und Marketingtools (Einwilligungsbasiert)

Dienste der Google LLC (USA), Meta Platforms (USA), LinkedIn (USA) und TikTok (USA) werden nur nach Ihrer ausdrücklichen Einwilligung (Opt-In via Consent-Banner) geladen. Für Nutzer im EWR/UK gilt Consent Mode V2 – ohne Einwilligung werden keine personenbezogenen Nutzungsdaten an diese Dienste übermittelt.

8.1 Analyse & Tracking (Web & App)

• Dienste: Google Analytics (GA4), Meta Pixel, LinkedIn Insight Tag, TikTok Pixel.
• Verarbeitete Daten: Anonymisierte Nutzungsereignisse (z. B. tutorial_complete, level_up, quiz_completed), Klickpfade, Conversion-Daten, sowie die Geräte-Advertising-ID (GAID) (nur bei vorliegender Einwilligung).
• Zweck: Reichweitenmessung und Erfolgskontrolle von Werbekampagnen.
• Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Privacy-Hinweis: In keinem Analytics-Event werden E-Mail-Adressen, Namen oder Firebase UIDs übermittelt. IP-Adressen werden von Google serverseitig anonymisiert (GA4-Standard).

8.2 Google AdMob (Werbung)

In der kostenfreien Version der App wird Werbung eingeblendet (Rewarded Ads und Interstitial Ads nach Quiz-Runden).

• Daten: Werbeinteraktionen, Ad-Unit-IDs. Bei Einwilligung wird die Geräte-Advertising-ID (GAID) für personalisierte Werbung genutzt. Ohne Einwilligung erhalten EWR-Nutzer nicht-personalisierte, kontextuelle Werbung.
• Steuerung: Das AdMob SDK liest den IAB TCF v2 TC-String automatisch aus dem lokalen Speicher und entscheidet selbstständig über den Werbetyp.
• Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für EWR-Nutzer.

9. Abonnements & In-App-Käufe

Wir nutzen die Google Play Billing Library.

• Daten: Purchase-Token, Produkt-ID, Abonnement-Status, Zeitstempel der Transaktion. Für die Betrugsvorsorge wird eine anonymisierte (SHA-256-gehashte) Kennung des Nutzerkontos an Google Play übermittelt. Wir verarbeiten keine Zahlungsdaten (Kreditkarten etc.) selbst; diese verbleiben bei Google.
• Zweck: Verifizierung des Kaufs und Freischaltung von Premium-Funktionen. Statusaktualisierungen (Verlängerung, Kündigung) erhält unser Server automatisch über Google Play Real-Time Developer Notifications (RTDN).
• Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

10. Support & Feedback

Bei Support-Anfragen, dem Melden von Fehlern oder inhaltlichem Feedback erfassen wir:

• Daten: Betreff, Nachrichtentext, Kontext-Informationen zur gemeldeten Frage oder zum Glossareintrag, Feedback-Inhalt.
• Rechtsgrundlage: Vertragserfüllung bzw. berechtigtes Interesse an der Inhaltsqualität (Art. 6 Abs. 1 lit. b & f DSGVO).

11. Datenübermittlung in Drittländer (USA)

Mehrere der eingesetzten Dienste (Firebase, Google AdMob, Google Analytics, Meta Pixel, LinkedIn, TikTok) werden von US-amerikanischen Unternehmen betrieben. Datenübermittlungen in die USA erfolgen auf Basis der von der EU-Kommission genehmigten Standardvertragsklauseln (SCC, Art. 46 Abs. 2 lit. c DSGVO) sowie, soweit anwendbar, des EU-U.S. Data Privacy Frameworks. Näheres entnehmen Sie den Datenschutzerklärungen der jeweiligen Anbieter (siehe Abschnitt 12).

12. Drittanbieter-Übersicht

| Anbieter | Dienst | Rechtsgrundlage | Datenschutzerklärung | |---|---|---|---| | Google LLC (USA) | Firebase Authentication | Art. 6 Abs. 1 lit. b | firebase.google.com/support/privacy | | Google LLC (USA) | Firebase Analytics (GA4) | Art. 6 Abs. 1 lit. a | support.google.com/analytics | | Google LLC (USA) | Firebase Cloud Messaging (FCM) | Art. 6 Abs. 1 lit. b | firebase.google.com/support/privacy | | Google LLC (USA) | Firebase Installations API (FID) | Art. 6 Abs. 1 lit. f | firebase.google.com/support/privacy | | Google LLC (USA) | Google AdMob | Art. 6 Abs. 1 lit. a | policies.google.com/technologies/ads | | Google LLC (USA) | Google UMP SDK (Consent) | Art. 7 DSGVO | developers.google.com/admob/android/privacy | | Google LLC (USA) | Google Play Billing | Art. 6 Abs. 1 lit. b | policies.google.com/privacy | | Meta Platforms (USA) | Meta Pixel | Art. 6 Abs. 1 lit. a | facebook.com/privacy/policy | | LinkedIn (USA) | LinkedIn Insight Tag | Art. 6 Abs. 1 lit. a | linkedin.com/legal/privacy-policy | | TikTok (USA) | TikTok Pixel | Art. 6 Abs. 1 lit. a | tiktok.com/legal/privacy-policy | | Hetzner Online GmbH (DE) | Hosting & Server-Infrastruktur | Art. 6 Abs. 1 lit. f | hetzner.com/legal/privacy-policy | | CrowdSec SAS (Frankreich) | Security Engine & IPS | Art. 6 Abs. 1 lit. f | crowdsec.net/privacy-policy |

13. Dauer der Speicherung

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt (z. B. bei Kontolöschung). Folgende Aufbewahrungsfristen gelten abweichend:

| Datenkategorie | Aufbewahrungsfrist | Grundlage | |---|---|---| | Zahlungs- und Transaktionsdaten | 10 Jahre | §§ 147 AO, 257 HGB | | AGB-Akzeptanz-Nachweis | 10 Jahre | § 147 AO | | DSGVO-Einwilligungsnachweise (TC-String) | Mind. 3 Jahre | Art. 7 DSGVO | | Server-Logfiles (Hetzner) | Wenige Wochen | Art. 6 Abs. 1 lit. f DSGVO | | Analytics-Daten (GA4) | 14 Monate (Standard-Retention) | Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) & Zweckbindung| | Sicherheits-Alerts & IP-Sperren | Bis zu 12 Monate (oder bis zur Aufhebung der Sperre) | Art. 6 Abs. 1 lit. f DSGVO |