Zum Inhalt springen

Datenschutzerklärung

Zuletzt aktualisiert: 4. Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO):

BLUNATECH GmbH
Hauptstraße 115
65375 Oestrich-Winkel
Deutschland
E-Mail: info@blunatech.com

Sitz der Gesellschaft: München. Registergericht: Amtsgericht München, HRB 311104.

2. Überblick der Verarbeitungen

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Dienste (Webseite und App "BerichtsheftKI") erforderlich ist. Die Verarbeitung erfolgt auf Grundlage der DSGVO, insbesondere Art. 6 Abs. 1 lit. a (Einwilligung), lit. b (Vertragserfüllung) und lit. f (berechtigtes Interesse).

3. Hosting und Infrastruktur

3.1 Webseite

Diese Webseite wird über Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) gehostet. Vercel verarbeitet bei jedem Seitenaufruf technisch notwendige Daten wie IP-Adresse, Browsertyp, Betriebssystem und Zeitpunkt des Zugriffs. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der Webseite). Die Webseite wird als statische Seite ausgeliefert (Static Site Generation).

3.2 App-Backend (Supabase)

Das Backend der App wird über Supabase betrieben. Unser Supabase-Projekt befindet sich in der Region Frankfurt (eu-central-1). Alle Nutzerdaten (Account, Berichte, Profil) werden ausschließlich auf Servern in Deutschland gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4. Account und Registrierung

Für die Nutzung der App ist eine Registrierung erforderlich. Dabei werden folgende Daten erhoben:

  • E-Mail-Adresse (für Login via Magic Link oder Passwort)
  • Vorname (während des Onboardings)
  • Beruf und Fachrichtung (Auswahl aus vordefinierten Berufen)
  • Ausbildungsstart (Monat/Jahr)
  • Bundesland (optional)
  • Betriebsname (optional)

Die Authentifizierung erfolgt über Supabase Auth. Passwörter werden gehasht gespeichert und sind uns nicht im Klartext zugänglich. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

5. Berichtsheft-Erstellung und KI-Verarbeitung

5.1 Sprachaufnahmen

Bei der Voice-Eingabe wird Audio lokal auf deinem Gerät aufgenommen (AAC-LC, 44.1kHz, max. 120 Sekunden). Die Audiodatei wird an unsere Supabase Edge Function übertragen, dort per LemonFox STT API (EU-Server) in Text umgewandelt und anschließend sofort gelöscht. Wir speichern keine Audiodateien. Nur der resultierende Text wird weiterverarbeitet.

5.2 KI-Textgenerierung

Der transkribierte Text wird zusammen mit deinem Berufsprofil an den KI-Dienst Google Gemini 3 Flash übermittelt. Die Übermittlung erfolgt über Requesty.ai, einen EU-basierten API-Router mit Sitz in Frankfurt. Der Datenverkehr verlässt zu keinem Zeitpunkt die EU.

Die übermittelten Daten umfassen:

  • Transkribierter Text der Sprachaufnahme
  • Berufsbezeichnung und Fachrichtung
  • Ausbildungsjahr und Kalenderwoche
  • Berufsbildpositionen des Rahmenplans (öffentlich verfügbare Daten)
  • Letzte 4 Berichtseinträge (zur Vermeidung von Wiederholungen)

Die KI-Antwort (strukturierter Berichtstext) wird in deinem Supabase-Account gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

5.3 Import per Kamera, Galerie oder PDF (OCR)

Im Import-Modus kannst du handgeschriebene oder gedruckte Berichtshefte digitalisieren. Du hast drei Optionen:

  • Kamera: Du fotografierst die Seite direkt aus der App. Der Kamerazugriff erfolgt ausschliesslich nach aktiver Bestätigung durch dich und nur für die Dauer der Aufnahme. Es findet keine Hintergrund-Nutzung, kein Live-Streaming und keine biometrische Analyse statt.
  • Galerie: Du wählst ein bereits vorhandenes Foto aus deiner Bildergalerie aus.
  • PDF: Du wählst eine vorhandene PDF-Datei von deinem Gerät aus.

Die ausgewählten Bilder bzw. PDF-Inhalte werden an Google Gemini Vision übermittelt (über Requesty.ai EU, siehe Abschnitt 3) und ausschliesslich zur Texterkennung verwendet. Die Bilder werden nach der Erkennung sofort gelöscht und nicht dauerhaft gespeichert. Lediglich der erkannte Text wird als Bestandteil deines Berichts in deinem Account gesichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Der Zugriff auf Kamera und Galerie erfolgt erst nach deiner ausdrücklichen Erlaubnis durch das Betriebssystem (iOS bzw. Android).

6. Zahlungsabwicklung

Käufe werden über den Apple App Store (Apple Inc.) bzw. Google Play Store (Google LLC) abgewickelt. Wir erhalten keine Zahlungsdaten (Kreditkartennummer etc.). Die Abo-Verwaltung erfolgt über RevenueCat Inc. (1032 Shotgun Rd, Sunrise, FL 33326, USA), die anonymisierte Kaufdaten verarbeiten, um den Abo-Status zu prüfen. RevenueCat erhält eine pseudonyme User-ID, keine persönlichen Daten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

7. Datenweitergabe an Dritte

Wir geben personenbezogene Daten nur an folgende Dienstleister weiter, die als Auftragsverarbeiter gemäß Art. 28 DSGVO handeln:

  • Supabase Inc. (Region Frankfurt): Datenbank, Authentifizierung, Dateispeicher
  • Requesty.ai (Frankfurt): KI-API-Routing zu Gemini (EU-Proxy)
  • LemonFox: Speech-to-Text Transkription
  • RevenueCat Inc.: Abo- und Kaufverwaltung (pseudonyme ID)
  • Vercel Inc.: Hosting der Webseite
  • PostHog Inc. (EU-Cloud Frankfurt): Anonyme Reichweitenmessung standardmäßig, erweitertes Tracking nur mit Einwilligung
  • Google Ireland Limited: Webanalyse, Tag-Verwaltung und Conversion-Messung mit Google Analytics, Google Tag Manager und Google Ads nur nach Einwilligung
  • Resend: Versand von Bestätigungsmails (Warteliste)

Es erfolgt keine Weitergabe an Datenhändler oder sonstige Dritte. Google Ads nutzen wir ausschließlich für die Messung unserer eigenen Kampagnen und nur nach Einwilligung.

8. Cookies und Webanalyse

8.1 Technisch notwendige Speicherung

Wir speichern deine Cookie-Einstellung (Zustimmung oder Ablehnung) in deinem Browser (localStorage). Dies ist technisch notwendig und erfordert keine Einwilligung.

8.2 Webanalyse mit PostHog

Wir setzen PostHog als Produktanalyse-Software ein und nutzen die EU-Cloud mit Servern in Frankfurt am Main (Anbieter: PostHog Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA, mit EU-Niederlassung). Es findet keine Datenübermittlung in die USA statt, solange die EU-Cloud-Variante genutzt wird. Mit PostHog haben wir einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO) abgeschlossen.

Wir betreiben PostHog in zwei Stufen:

8.2.1 Stufe 1: Anonyme Reichweitenmessung (ohne Einwilligung)

Bereits ohne deine Einwilligung erfassen wir folgende rein anonymen Statistik-Daten, ausschließlich um die Webseite zu betreiben und ihre Funktion zu sichern:

  • Seitenaufrufe (URL, Titel, Referrer)
  • Verweildauer und Scroll-Tiefe
  • Klicks auf Buttons, Links und Formulare (Autocapture, ohne Eingabewerte)
  • Web Vitals (Ladezeit, Layout-Verschiebung, Reaktionszeit)
  • Gerätetyp, Browser, Betriebssystem, ungefährer Standort auf Länderebene
  • JavaScript-Fehler zur Stabilitätskontrolle

In dieser Stufe wird kein Cookie und kein localStorage gesetzt. Die Distinct-ID lebt ausschließlich im flüchtigen Arbeitsspeicher (Memory) deiner aktuellen Sitzung und wird beim Schließen des Tabs verworfen. Du wirst beim nächsten Besuch nicht wiedererkannt. IP-Adressen werden vor der Speicherung anonymisiert (gekürzt). Es findet kein Personenbezug, kein Cross-Site-Tracking, kein Cross-Device-Tracking und keine Profilbildung statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer technisch notwendigen, anonymen Reichweitenmessung). Eine Speicherung von Informationen auf deinem Endgerät im Sinne von § 25 Abs. 1 TTDSG findet in dieser Stufe nicht statt; die anonyme Erfassung ist somit nach § 25 Abs. 2 Nr. 2 TTDSG einwilligungsfrei.

8.2.2 Stufe 2: Erweitertes Tracking (nur mit Einwilligung)

Wenn du im Cookie-Banner "Alle akzeptieren" wählst, schalten wir zusätzlich folgende Funktionen frei:

  • Heatmaps (anonymisierte aggregierte Klick-Verteilung)
  • Session-Aufzeichnungen (Wiedergabe deiner Sitzung mit maskierten Eingabefeldern, Passwörtern und E-Mail-Adressen)
  • Persistente Distinct-ID in localStorage und Cookie, sodass du über mehrere Besuche hinweg wiedererkannt wirst
  • Surveys (Umfragen) auf der Webseite
  • Verknüpfung mit der App über eine pseudonyme Nutzer-ID nach erfolgreichem Login

Sensible Eingabefelder (Passwörter, E-Mail, Telefonnummern) werden in Session-Aufzeichnungen technisch maskiert. Die Speicherdauer beträgt 30 Tage für Session-Replays und 12 Monate für aggregierte Eventdaten, danach werden Rohdaten automatisch gelöscht. Rechtsgrundlage für diese Stufe ist deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TTDSG.

Du kannst deine Einwilligung jederzeit widerrufen, indem du im Cookie-Banner "Nur anonym tracken" wählst oder die Cookies in deinem Browser löschst. Nach dem Widerruf läuft das Tracking automatisch wieder im anonymen Modus weiter (Stufe 1). Mehr Informationen: posthog.com/privacy.

8.3 Google Analytics, Google Tag Manager und Google Ads

Wir setzen Google Analytics 4, Google Tag Manager und Google Ads Conversion-Messung mit dem Google Consent Mode ein. Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Ohne deine Einwilligung läuft Google Analytics mit verweigerter Analytics- und Werbespeicherung. Dabei werden keine Analytics- oder Ads-Cookies gesetzt.

In dieser eingeschränkten Stufe kann Google cookieless Pings erhalten, zum Beispiel den Consent-Status, Seitenaufrufe und technische Ereignisse zur aggregierten Messung und Modellierung. Wenn du im Cookie-Banner "Alle akzeptieren" wählst, schalten wir die normale Analytics- und Werbespeicherung frei. Dann hilft uns Google Analytics zu verstehen, welche Seiten besucht werden, welche Geräte und Browser genutzt werden und über welche Quellen Besucher auf die Webseite kommen. Google Analytics 4 speichert laut Google keine einzelnen IP-Adressen.

Über den Google Tag Manager steuern wir Tracking-Tags zentral aus. Über Google Ads messen wir Conversion-Ereignisse, zum Beispiel Klicks auf App Store Buttons, Klicks zur Google Play Warteliste und erfolgreiche Warteliste-Anmeldungen. Dabei übertragen wir keine Formularinhalte wie E-Mail-Adresse, Name oder Telefonnummer als Event-Property an Google Ads.

Rechtsgrundlage für die eingeschränkte Messung ist Art. 6 Abs. 1 lit. f DSGVO. Rechtsgrundlage für die normale Analytics- und Werbespeicherung ist deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TTDSG. Du kannst deine Einwilligung jederzeit widerrufen, indem du im Cookie-Banner "Nur anonym tracken" wählst oder die Cookies in deinem Browser löschst. Mehr Informationen: Google Analytics Datenschutz in der EU.

8.4 Server-seitiges Conversion-Tracking

Beim Absenden des Warteliste-Formulars erfassen wir zusätzlich serverseitig ein pseudonymes Conversion-Event in PostHog (z.B. erfolgreich abgeschlossene Anmeldung, ohne deine E-Mail-Adresse als Property zu speichern). Damit messen wir, wie effektiv unsere Webseite ist. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenmessung). Du kannst dem jederzeit per Mail an info@blunatech.com widersprechen, dann werden deine Daten aus PostHog entfernt.

9. Deine Rechte

Du hast gemäß DSGVO folgende Rechte:

  • Auskunft (Art. 15): Du kannst Auskunft über deine gespeicherten Daten verlangen.
  • Berichtigung (Art. 16): Du kannst die Berichtigung unrichtiger Daten verlangen.
  • Löschung (Art. 17): Du kannst die Löschung deiner Daten verlangen. In der App kannst du deinen Account jederzeit selbst löschen (Einstellungen, Account löschen).
  • Einschränkung (Art. 18): Du kannst die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20): Du kannst deine Daten in einem maschinenlesbaren Format erhalten.
  • Widerspruch (Art. 21): Du kannst der Verarbeitung widersprechen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3): Du kannst erteilte Einwilligungen jederzeit widerrufen.

Zur Ausübung deiner Rechte kontaktiere uns unter: info@blunatech.com

10. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist:

Bayerischer Landesbeauftragter für den Datenschutz
Wagmüllerstraße 18
80538 München
www.datenschutz-bayern.de

11. Speicherdauer

Deine Account-Daten und Berichte werden gespeichert, solange dein Account besteht. Bei Löschung des Accounts werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht. Anonymisierte, aggregierte Nutzungsstatistiken (z.B. Gesamtzahl erstellter Berichte) können darüber hinaus gespeichert bleiben.

12. Minderjährige

Die App richtet sich an Auszubildende ab 16 Jahren. Für die Nutzung durch Minderjährige unter 16 Jahren ist die Einwilligung der Erziehungsberechtigten erforderlich (Art. 8 DSGVO).

13. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version findest du immer auf dieser Seite.