Datenschutzerklärung

1. Verantwortlicher

Anbieter:
Duellio - Jochen Brunhorn
Breslauer Weg 6
06449 Aschersleben
Deutschland
E-Mail: support@duellio.de

Als Einzelunternehmer im Sinne von § 19 UStG (Kleinunternehmerregelung, von der Umsatzsteuer befreit).

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Nutzung der Plattform „Duellio" unter https://www.duellio.de, einschließlich aller Angebote für Schulen und Lehrkräfte aus Deutschland, Österreich und der Schweiz. Die Datenverarbeitung erfolgt nach den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und – sofern relevant – dem österreichischen DSG sowie dem Schweizer Datenschutzgesetz (CH-DSG).

3. Welche Daten werden verarbeitet?

3.1 Lehrkräfte (Nutzerkonto)

  • E-Mail-Adresse (für Registrierung, Login, Kommunikation)
  • Passwort (nur als sicherer Hash gespeichert, niemals im Klartext)
  • Rechnungs- und Kontaktdaten (Name, Anschrift, optional Firmenname, Land)
  • Nutzungsdaten (z. B. Token-Verbrauch, letzte Anmeldung)
  • Sitzungsdaten (Login-/Refresh-Tokens)
  • Aktivitätsdaten (erstellte Challenges, gestartete Unterrichtssessions)

3.2 Schul-Administratoren

  • E-Mail-Adresse (für Login und Kontakt)
  • Passwort (Hash)
  • Schulname und Schulanschrift
  • Rechnungsdaten der Schule
  • Verwaltung von Lehrkräften (Zuordnung, Hinzufügen, Entfernen)

3.3 Schülerinnen und Schüler

  • Keine Registrierung, keine Klarnamen
  • Teilnahme ausschließlich im Unterricht, unter Aufsicht der Lehrkraft
  • Für die Session wird ein zufällig generiertes Pseudonym verwendet
  • Bearbeitete Aufgaben und Antworten, Teilnahmezeitpunkt
  • Verbrauchte Tokens für KI-Nutzung

Hinweis: Schülerdaten werden grundsätzlich nicht-personenbezogen, sondern rein pseudonymisiert verarbeitet und spätestens 24 Stunden nach Unterrichtsende gelöscht.

4. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden Daten verarbeitet?

  • Bereitstellung und Nutzung der Plattform:
    Damit Duellio funktioniert, ist es notwendig, bestimmte personenbezogene Daten zu verarbeiten. Dies geschieht auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Abwicklung von Premium-Diensten und Rechnungsstellung:
    Für kostenpflichtige Angebote werden Rechnungsdaten und Zahlungsinformationen verarbeitet (Art. 6 Abs. 1 lit. b und c DSGVO).
  • Sicherheit und Betrieb:
    Zur Absicherung der Plattform und Verhinderung von Missbrauch werden technische Protokolle geführt (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse).
  • Gesetzliche Aufbewahrungspflichten:
    Buchführungs- und steuerrechtliche Vorgaben machen es erforderlich, Rechnungsdaten 10 Jahre zu speichern (Art. 6 Abs. 1 lit. c DSGVO).

Es werden keine Daten zu Werbezwecken, für Newsletter oder für Profiling verarbeitet!

5. Wer empfängt meine Daten?

5.1 Hosting

  • Die gesamte Plattform wird ausschließlich auf Servern von IONOS (Deutschland) betrieben.
  • Es findet keine Übermittlung personenbezogener Daten in Länder außerhalb der EU/EWR statt.
  • IONOS ist als Hosting-Anbieter durch einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO verpflichtet.

5.2 Zahlungsdienstleister

  • Für Premium-Abonnements werden Zahlungen über Stripe oder PayPal abgewickelt.
  • Dabei werden nur die unbedingt erforderlichen Rechnungsdaten und die E-Mail-Adresse weitergegeben.
  • Die Verarbeitung erfolgt ausschließlich zur Vertragsabwicklung; mit allen Zahlungsdienstleistern bestehen datenschutzrechtliche Auftragsverarbeitungsverträge.

5.3 KI-Dienste

  • Für KI-gestützte Aufgaben-Auswertungen und Feedback werden Mistral AI (Frankreich, EU-Server) und IONOS AI Model Hub (Deutschland) genutzt.
  • Es werden ausschließlich Aufgabeninhalte und pseudonymisierte Schülerantworten verarbeitet – nie Klarnamen oder persönliche Identifizierungsdaten.
  • Die Verarbeitung erfolgt ausschließlich auf Servern in der EU, gesichert durch Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO.
  • Eine Nutzung der Daten zu anderen Zwecken oder eine Weitergabe durch die KI-Anbieter ist ausgeschlossen.

5.4 E-Mail-Kommunikation

  • Alle E-Mails (z. B. zur Bestätigung, für Rechnungen oder Passwort-Reset) werden über einen eigenen, deutschen SMTP-Server versendet.
  • Es werden keine externen E-Mail-Dienste genutzt.

Eine Weitergabe zu Werbe-, Analyse- oder sonstigen nicht aufgeführten Zwecken erfolgt nicht.

6. Cookies und Technologien auf dieser Plattform

  • Notwendige Cookies:
    Duellio verwendet ausschließlich technisch notwendige Cookies, die für den sicheren Betrieb erforderlich sind. Dazu gehören z. B. Cookies für Login und Session-Verwaltung (access_token, refresh_token, student_session_id).
  • Keine Tracking- oder Marketing-Cookies:
    Es werden keinerlei Cookies oder Technologien für Tracking, Werbung oder Analysedienste eingesetzt. Einwilligung oder Cookie-Banner sind daher nicht erforderlich.

7. Wie lange werden die Daten gespeichert?

  • Lehrerkonten:
    Daten werden so lange gespeichert, wie das Nutzerkonto aktiv ist. Inaktive Accounts werden spätestens nach 3 Jahren gelöscht. Rechnungsdaten werden 10 Jahre aufbewahrt (gesetzliche Pflicht).
  • Schülerdaten:
    Werden spätestens 24 Stunden nach Ende der jeweiligen Unterrichtssession automatisch und vollständig gelöscht.
  • Schul-Admin-Daten:
    Werden bis zur Kündigung der Schullizenz gespeichert; Rechnungsdaten ebenfalls 10 Jahre.

Nutzer können ihre Accounts jederzeit selbst löschen. Nach Löschanfrage werden die Daten zeitnah und vollständig entfernt.

8. Welche Rechte habe ich als Nutzer:in?

Jede betroffene Person hat das Recht auf

  • Auskunft über die gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung ("Recht auf Vergessenwerden", Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen bestimmte Verarbeitungen (Art. 21 DSGVO)

Zur Ausübung dieser Rechte genügt eine formlose E-Mail an support@duellio.de.

9. Keine Registrierung für Minderjährige

Eine Registrierung ist ausschließlich volljährigen Lehrkräften und Schul-Administratoren erlaubt. Schülerinnen und Schüler nehmen ausschließlich pseudonymisiert und unter Anleitung ihrer Lehrkraft am Unterricht teil – eine eigene Registrierung ist nicht möglich. Eine Identifikation einzelner Schüler:innen ist technisch und organisatorisch ausgeschlossen.

10. Datensicherheit

  • Alle Daten werden stets verschlüsselt gespeichert und ausschließlich über sichere Verbindungen (TLS/HTTPS) übertragen.
  • Zugriff ist durch sichere Passwörter und technische Schutzmaßnahmen eingeschränkt.
  • Regelmäßige Wartungen und Sicherheitsüberprüfungen sorgen für einen zuverlässigen Schutz.

11. Datenschutzbeauftragter

Ein offizieller Datenschutzbeauftragter ist gemäß DSGVO nicht erforderlich, da weniger als 20 Personen mit personenbezogenen Daten umgehen und der Betreiber die Daten ausschließlich selbst verarbeitet.

Bei Fragen zum Datenschutz genügt eine Nachricht an:
Duellio - Jochen Brunhorn, support@duellio.de

12. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung wird regelmäßig geprüft und bei Bedarf aktualisiert.
Letztes Update: 17.09.2025

13. Hinweise für Nutzer:innen aus Österreich und der Schweiz

Österreich:
Die Plattform erfüllt die Vorgaben der DSGVO und des österreichischen Datenschutzgesetzes (DSG).

Schweiz:
Für Nutzer:innen aus der Schweiz gilt das Schweizer Datenschutzgesetz (CH-DSG). Alle Daten werden ausschließlich in der EU verarbeitet und sind nach europäischen Standards geschützt.