Zurück zur Startseite

Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

leef
Inhaber: Sebastian Falser
c/o Online-Impressum.de
Europaring 90
53757 Sankt Augustin
Deutschland
E-Mail: info@leeflearn.com

2. Überblick über die Datenverarbeitung

leef ist eine KI-gestützte Lernplattform für Karteikarten. Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung des Dienstes erforderlich ist oder du eingewilligt hast.

3. Welche Daten wir erheben

3.1 Kontodaten

Bei der Registrierung: Benutzername, Passwort (gespeichert als bcrypt-Hash, nicht im Klartext) und Geburtsdatum (Pflichtfeld zur Prüfung des Mindestalters und der Einwilligungsfähigkeit gem. Art. 8 DSGVO; Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. c DSGVO). Optional: E-Mail-Adresse (für Passwort-Zurücksetzung).

3.2 Lerninhalte

Von dir erstellte oder hochgeladene Inhalte: Fächer (Branches), Dokumente, Karteikarten, Lernfortschritte (Wiederholungsdaten, Streaks, Achievements). Hochgeladene Dokumente werden auf dem Server verschlüsselt gespeichert (Fernet, AES-128).

3.3 Nutzungsdaten

Letzter Login-Zeitpunkt, Geräte-Tokens für Push-Benachrichtigungen, Spracheinstellung. Wir setzen kein externes Tracking oder Analytics ein (kein Google Analytics o.ä.). Nutzungsstatistiken werden ausschließlich intern und anonymisiert ausgewertet.

3.4 Technische Daten

Bei jedem Zugriff speichert der Webserver temporär: IP-Adresse, Zugriffszeitpunkt, angefragte URL, HTTP-Statuscode, Browser-Kennung. Diese Server-Logs werden nach 7 Tagen automatisch gelöscht und dienen ausschließlich der Fehlerbehebung und Sicherheit.

3.5 Zahlungs- und Abonnementdaten

Beim Abschluss eines kostenpflichtigen Abos (Pro oder Family) speichern wir: Tarif, Abrechnungszyklus, Vertragsbeginn/-ende, Zahlungsabwickler (Stripe oder Google Play) und einen Abonnement-Identifier des jeweiligen Zahlungsabwicklers. Die tatsächlichen Zahlungsdaten (Kreditkarte, IBAN, etc.) werden ausschließlich beim Zahlungsabwickler gespeichert, NICHT auf unseren Servern.

Beim Family-Tarif speichern wir zusätzlich die Verknüpfung zwischen Owner und Mitgliedern (FamilyGroup, FamilyMembership) inkl. Einladungs-Codes. Owner erhalten Einsicht in aggregierte, anonymisierte Lernstatistiken ihrer Mitglieder (Kartenzahl pro Woche, Streak, Reviews pro Woche), nicht jedoch in Inhalte der Karteikarten oder Dokumente.

4. KI-Verarbeitung (Anthropic Claude)

Wenn du ein Dokument hochlädst, wird der extrahierte Text an die API von Anthropic (San Francisco, USA) gesendet, um Karteikarten zu generieren. Anthropic verarbeitet diese Daten ausschließlich zur Beantwortung der API-Anfrage und nutzt sie nicht für Modelltraining. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Lade keine Dokumente hoch, die sensible personenbezogene Daten Dritter enthalten.

Weitere Informationen: Anthropic Privacy Policy

5. E-Mail-Versand (Resend)

Für den Versand von Passwort-Zurücksetzungs-E-Mails nutzen wir den Dienst Resend (USA). Dabei wird deine E-Mail-Adresse an Resend übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. Push-Benachrichtigungen

Wenn du Push-Benachrichtigungen aktivierst, speichern wir Geräte-Tokens. Für native Apps nutzen wir Firebase Cloud Messaging (Google, USA), für Browser-Push die Web Push API. Du kannst Push-Benachrichtigungen jederzeit in den Einstellungen deaktivieren.

7. Fehlerüberwachung (Sentry)

Zur Erkennung und Behebung technischer Fehler setzen wir optional Sentry (USA) ein. Dabei können technische Daten (Fehlermeldungen, Browser-Version, Seitenname) übermittelt werden. Personenbezogene Daten werden nach Möglichkeit nicht erfasst.

7b. Zahlungsabwicklung Web (Stripe)

Für kostenpflichtige Abos auf der Webseite nutzen wir Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland, EU). An Stripe werden übermittelt: deine leef-Benutzer-ID, dein Username, ggf. deine E-Mail-Adresse, der gewünschte Tarif sowie deine bei Stripe eingegebenen Zahlungsdaten (z.B. Kreditkartennummer). Stripe verarbeitet diese Daten als eigenständig Verantwortlicher für die Zahlungsabwicklung und nach den Stripe-Datenschutzbestimmungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Mit Stripe Payments Europe, Ltd. (Irland) besteht ein Auftragsverarbeitungsvertrag und ergänzend Standardvertragsklauseln für etwaige Datenflüsse innerhalb der Stripe-Gruppe in die USA. Weitere Informationen: Stripe Privacy Policy.

7c. Zahlungsabwicklung Mobile (Google Play)

Für kostenpflichtige Abos in der Android-App nutzen wir Google Play Billing (betrieben von Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland). Google verarbeitet deine Kaufdaten (Zahlungsmittel, Käufer-Identität) als eigenständig Verantwortlicher; wir erhalten ausschließlich einen Kauf-Token sowie die Tarif-Information. Über Google Cloud Pub/Sub (Subskription leef-play-rtdn-push) werden uns Lebenszyklus-Ereignisse (Kündigung, Verlängerung, Zahlungsausfall) gemeldet, ohne dass dabei Zahlungsdaten übermittelt werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen: Google Privacy Policy und Google Play Terms of Service.

7a. Datei-Speicherung (Cloudflare R2)

Hochgeladene Dokumente werden vor Übertragung mit Fernet (AES-128, symmetrisch) verschlüsselt und auf Cloudflare R2 (EU-Region, Cloudflare Inc., USA) gespeichert. Die Verschlüsselungsschlüssel verbleiben auf unseren Hetzner-Servern; Cloudflare hat keinen Zugriff auf den Klartext- Inhalt der Dokumente. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7c. Mobile-App-Updates (Expo)

Die mobile App bezieht Over-the-Air-Updates (JavaScript-Bundles) über Expo / EAS Update (Expo Inc., Mountain View, USA). Beim Update-Check übermittelt die App technische Geräte- und Verbindungsdaten (IP-Adresse, App- und Runtime-Version, eine zufällige Installations-ID ohne Konto-Bezug). Es werden keine Lerninhalte, Dokumente oder Account-Daten übertragen. Expo ist nach dem EU-US Data Privacy Framework zertifiziert; die Übermittlung erfolgt auf dieser Grundlage, ergänzt um Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, Auslieferung von Updates).

7d. Nutzungsanalyse zur Produktverbesserung

Zur Verbesserung des Onboardings erfassen wir auf unseren eigenen EU-Servern (Hetzner, Helsinki) pseudonyme Aktivierungs-Zeitpunkte: wann ein Konto zum ersten Mal ein Dokument hochlädt, Karten generiert und eine erste Wiederholung durchführt. Diese Daten verbleiben in unserer Datenbank, werden nicht an Dritte weitergegeben und nicht für Werbung genutzt. Es kommt keine externe Analyse-Software und kein Tracking-Cookie zum Einsatz. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Produktverbesserung).

8. Cookies und lokale Speicherung

leef verwendet ausschließlich technisch notwendige Cookies und lokale Speicherung (localStorage) zur Bereitstellung des Dienstes:

Cookies (technisch notwendig)

  • leef_token: Authentifizierungs-Cookie (HttpOnly, Secure), wird beim Logout gelöscht

Local Storage (technisch notwendig, ohne Einwilligung)

  • leef_cookie_consent: Cookie-Einwilligungs-Status (Werte: necessary / all)
  • leef_lang: Spracheinstellung (de / en)
  • leef_color_scheme: gewähltes Farbschema (hell / dunkel / system)
  • leef_audio, leef_haptic, leef_tooltips, leef_flip_anim: Einstellungen für Sound-Effekte, Vibration, Tooltips und Karten-Flip-Animation
  • leef_seen_release_id, leef_seen_notes_id, leef_onboarding_done, leef_tour_*, leef_splash_shown_*, leef_achievements_seen*: Onboarding-/Tour-Anzeigestatus, damit Einführungen nicht wiederholt erscheinen
  • leef_paused_session: pausierter Lernsitzungs-Stand (3 Tage Lebensdauer, danach automatisch gelöscht)
  • leef_daily_branch_ids: deine Tages-Auswahl an Lernbereichen

Local Storage (nur mit Einwilligung „Alle akzeptieren")

  • leef-swr-cache: zwischengespeicherte API-Antworten (z.B. deine Stats, Branches, Karteikarten-Übersicht) für schnelleres Laden und Offline-Nutzung
  • leef_offline_cards: bis zu 25 Karteikarten für Offline-Lernen

Sobald du dein Konto löschst oder dich abmeldest, werden alle benutzerbezogenen lokalen Daten (insbesondere SWR-Cache, Offline-Karten, Tour-Status, Unlock-Phase) automatisch entfernt. Es werden keine Werbe- oder Tracking-Cookies eingesetzt.

9. Datenweitergabe an Dritte

Wir geben deine Daten nicht an Dritte weiter, außer an die oben genannten Auftragsverarbeiter im Rahmen der Diensterbringung:

  • Anthropic (San Francisco, USA): KI-Generierung von Karteikarten
  • Stripe Payments Europe, Ltd. (Dublin, Irland): Zahlungsabwicklung Web (kostenpflichtige Abos)
  • Google Ireland Ltd. (Dublin, Irland): Zahlungsabwicklung Mobile via Google Play Billing
  • Google LLC (Mountain View, USA): Pub/Sub für Echtzeit-Abo-Benachrichtigungen (RTDN, ohne Zahlungsdaten)
  • Resend (USA): E-Mail-Versand
  • Google / Firebase Cloud Messaging (USA): Push-Benachrichtigungen für native Apps
  • Sentry (USA): Fehlerüberwachung (optional)
  • Expo Inc. (Mountain View, USA): Over-the-Air-Updates der mobilen App (technische Verbindungsdaten, keine Lerninhalte)
  • Cloudflare (USA, EU-Region für R2): Speicherung verschlüsselter Dokumente sowie CDN- und TLS-Terminierung
  • Hetzner Online GmbH (Gunzenhausen, Deutschland): Hosting der Anwendung und Datenbank (Server in Helsinki, EU)
  • IONOS SE (Montabaur, Deutschland): Domain-Registrierung und DNS

Eine Weitergabe zu Werbezwecken findet nicht statt.

10. Datenübermittlung in Drittländer

Einige Auftragsverarbeiter (Anthropic, Resend, Google/Firebase, Sentry, Expo Inc., Cloudflare) haben ihren Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework bzw. Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Hochgeladene Dokumente liegen bei Cloudflare in einer EU-Region und werden dort verschlüsselt gespeichert; das DPF gilt dennoch, da Cloudflare als US-Mutterkonzern theoretischen Zugriff haben könnte.

11. Speicherdauer

Kontodaten und Lerninhalte werden gespeichert, solange dein Konto besteht. Bei Löschung deines Kontos werden alle zugehörigen Daten unwiderruflich entfernt. Server-Logs werden nach 7 Tagen gelöscht. Passwort-Zurücksetzungs-Tokens verfallen nach 1 Stunde.

12. Deine Rechte

Du hast jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO): welche Daten wir über dich speichern
  • Berichtigung (Art. 16 DSGVO): fehlerhafte Daten korrigieren lassen
  • Löschung (Art. 17 DSGVO): dein Konto und alle Daten löschen (in den Einstellungen möglich)
  • Datenübertragbarkeit (Art. 20 DSGVO): deine Daten als JSON exportieren (in den Einstellungen möglich)
  • Widerspruch (Art. 21 DSGVO): der Datenverarbeitung widersprechen
  • Beschwerde bei der zuständigen Aufsichtsbehörde (ULD Schleswig-Holstein)

Zur Ausübung deiner Rechte kontaktiere uns unter info@leeflearn.com.

13. Kinder und Jugendliche

leef kann von Nutzern ab 6 Jahren verwendet werden. Für Nutzer unter 16 Jahren ist die Einwilligung einer erziehungsberechtigten Person erforderlich (Art. 8 DSGVO). Bei der Registrierung muss in diesem Fall ausdrücklich bestätigt werden, dass eine erziehungsberechtigte Person der Nutzung zugestimmt hat.

Das Geburtsdatum wird bei der Registrierung erhoben, um die Altersgrenze zu prüfen und die Einwilligungsfähigkeit festzustellen (Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit Art. 8 DSGVO). Der Zeitstempel einer bestätigten Eltern-Einwilligung wird als Rechenschaftsnachweis gemäß Art. 5 Abs. 2 DSGVO gespeichert und teilt die Lebensdauer des Kontos.

Kostenpflichtige Tarife (Pro, Family) können nur durch volljährige Personen abgeschlossen werden: Stripe und Google Play verlangen Volljährigkeit für den Vertragsabschluss.

14. Hosting

Die Anwendung wird bei der Hetzner Online GmbH(Industriestr. 25, 91710 Gunzenhausen, Deutschland) auf Servern in der EU (Rechenzentrum Helsinki, Finnland) betrieben. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Server-Logs werden bei Hetzner ausschließlich zur Sicherstellung des Betriebs verarbeitet und nach 7 Tagen gelöscht.

15. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, z.B. bei Änderungen unseres Dienstes oder der Rechtslage. Die aktuelle Version ist stets unter dieser Seite abrufbar.