← Zurück zum Meister-Trainer

Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und im Meister-Trainer ist:
JS-IT, Sebastian Janitzek
Dreiländerstr. 52
85049 Ingolstadt
E-Mail: info@js-it.com

2. Im Überblick: Was wir wirklich speichern

Der Meister-Trainer ist ein Bezahlprodukt mit Login. Wir verarbeiten deshalb mehr als eine reine Informations-Website — aber bewusst nicht mehr, als für Kauf, Login und dein Lern-Erlebnis nötig ist. Konkret:

  • Deine E-Mail-Adresse — für den Login (Magic-Link) und die Zuordnung deines Kaufs.
  • Deinen Lernfortschritt — abgeschlossene Lektionen, Quiz- und Rechenaufgaben-Antworten, Karteikarten-Wiederholungsstand, Prüfungssimulations-Ergebnisse, XP/Streak/Badges.
  • Zahlungsdaten — werden von Stripe verarbeitet, nicht von uns gespeichert (siehe Abschnitt 5).
  • Inhalte, die du selbst einträgst — z. B. im Unterweisungsentwurf-Builder (Teil IV).

Es gibt kein Werbe-Tracking. Web-Analyse (Google Analytics 4) findet nur mit deiner ausdrücklichen Einwilligung über das Cookie-Banner statt (siehe Abschnitt 8).

3. Hosting

Der Meister-Trainer wird bei Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) über Cloudflare Pages gehostet; die Datenbank (Nutzerkonten, Lernfortschritt, Kauf-Freischaltungen) liegt in Cloudflare D1. Cloudflare verarbeitet dabei technisch bedingt IP-Adressen und Verbindungsmetadaten. Cloudflare ist unter dem EU-U.S. Data Privacy Framework zertifiziert und gewährleistet damit ein angemessenes Datenschutzniveau.

Weitere Informationen: Cloudflare Datenschutzerklärung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Betrieb der Anwendung).

4. Konto & Login (Magic-Link)

Der Meister-Trainer kommt bewusst ohne Passwort aus. Beim Login gibst du deine E-Mail-Adresse ein; wir schicken dir einen einmaligen Anmelde-Link („Magic-Link"). Technisch läuft das so ab:

  • Der Link enthält ein zufällig erzeugtes Zugangs-Token. In unserer Datenbank speichern wir nicht das Token selbst, sondern nur dessen SHA-256-Hash — aus dem Hash lässt sich das Token nicht zurückrechnen.
  • Ein Magic-Link ist 15 Minuten gültig und kann nur einmal eingelöst werden.
  • Nach dem Einlösen setzen wir ein Session-Cookie (mt_session). Es ist httpOnly (per JavaScript nicht auslesbar), im Produktivbetrieb nur über HTTPS gültig (secure) und auf SameSite=Lax beschränkt. Auch hier liegt in der Datenbank nur ein Hash-Wert, kein Klartext-Token. Das Cookie ist 30 Tage gültig oder bis du dich ausloggst.

Dieses Session-Cookie ist technisch notwendig, um dich eingeloggt zu halten und deinen gekauften Zugang zuzuordnen — ohne Einwilligungs-Banner, da es sich um eine unbedingt erforderliche Funktion handelt (§ 25 Abs. 2 Nr. 2 TDDDG, vormals TTDSG).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags — wir können dir ohne Login keinen Zugang zu deinem gekauften Kurs geben).

Die Angabe deiner E-Mail-Adresse ist zur Vertragserfüllung erforderlich — ohne sie können wir dir keinen Zugang zum gekauften Kurs bereitstellen (Art. 13 Abs. 2 lit. e DSGVO).

5. Kauf & Zahlungsabwicklung (Stripe)

Der Kauf des Meister-Trainers läuft vollständig über Stripe (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin, Irland). Wenn du auf einen „Kaufen"-Button klickst, wirst du zu einer von Stripe gehosteten Checkout-Seite weitergeleitet. Dort gibst du deine Zahlungs- und Rechnungsdaten direkt bei Stripe ein — diese Daten (Kartendaten, vollständige Rechnungsadresse, ggf. USt-IdNr. bei Firmenkäufen) laufen zu keinem Zeitpunkt über unsere eigenen Server.

Nach erfolgreicher Zahlung erhalten wir von Stripe per Webhook nur die für die Freischaltung nötigen Daten: deine E-Mail-Adresse, das gekaufte Produkt, den bezahlten Betrag und eine Session-Kennung. Diese Zuordnung landet als „Enrollment" (Zugangsberechtigung) in unserer Datenbank und wird zusammen mit deinem Nutzerkonto gespeichert.

Stripe erstellt automatisch eine Rechnung inkl. gesetzlicher Umsatzsteuer und sendet sie dir per E-Mail zu (invoice_creation, automatic_tax). Wir sind gesetzlich verpflichtet, Rechnungsdaten für steuerliche Zwecke aufzubewahren (siehe Abschnitt 7).

Weitere Informationen: Stripe Datenschutzerklärung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Abwicklung deines Kaufs) und Art. 6 Abs. 1 lit. c DSGVO (handels- und steuerrechtliche Aufbewahrungspflichten).

6. Lernfortschritt & Nutzung der Lernplattform

Damit dein Fortschritt geräteübergreifend erhalten bleibt, speichern wir zu deinem Konto:

  • welche Lektionen du abgeschlossen hast,
  • deine Antworten auf Übungs- und Rechenaufgaben (inkl. richtig/falsch, für die Schwächen-Analyse und die Karteikarten-Wiederholung),
  • den Wiederholungsstand deiner Karteikarten (Fälligkeit, Erfolgsquote),
  • Ergebnisse deiner Prüfungssimulationen (Punktzahl, bestanden/nicht bestanden, Auswertung nach Handlungsfeld),
  • Gamification-Werte (XP, Lern-Streak, erreichte Badges),
  • optional dein Prüfungsdatum, wenn du es unter „Mehr" einträgst (steuert die Wiederholungsplanung deiner Karteikarten),
  • Inhalte, die du im Unterweisungsentwurf-Builder speicherst. Trag hier bitte keine Namen echter Auszubildender oder sonstige Daten Dritter ein, die du nicht verarbeiten darfst — der Entwurf ist ausschließlich für dich als Übung gedacht.

Meldest du über den „Fehler melden"-Button einen Inhalt, speichern wir deine Nachricht und — sofern eingeloggt — deine Nutzer-ID, um Rückfragen stellen zu können.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — das ist die Lernleistung, die du gekauft hast) sowie Art. 6 Abs. 1 lit. f DSGVO für die Fehlermeldungen (berechtigtes Interesse an fehlerfreien Inhalten).

7. Speicherdauer

Konto- und Lernfortschrittsdaten bewahren wir auf, solange dein Konto besteht bzw. solange du einen aktiven oder abgelaufenen Zugang hattest. Löschst du dein Konto oder forderst die Löschung an (siehe Abschnitt 9), entfernen wir deine personenbezogenen Daten, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Rechnungsdaten werden von Stripe im Rahmen handels- und steuerrechtlicher Aufbewahrungsfristen (i. d. R. 10 Jahre, § 147 AO) verarbeitet — diese Frist betrifft die Rechnung, nicht deinen Lernfortschritt. Magic-Link-Tokens werden nach Ablauf (15 Minuten) bzw. Einlösung wertlos und regelmäßig bereinigt.

8. Cookies, Tracking & Analyse (Google Analytics 4)

Ohne deine Einwilligung setzen wir ausschließlich das technisch notwendige Session-Cookie aus Abschnitt 4 — kein Werbe-Tracking, keine Marketing-Cookies.

Zur Verbesserung der App nutzen wir Google Analytics 4 (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland) — jedoch erst, nachdem du im Cookie-Banner ausdrücklich „Akzeptieren" gewählt hast. Technisch ist der Google Consent Mode v2 standardmäßig auf denied gesetzt: Vor deiner Einwilligung werden keine Analyse-Cookies gesetzt und keine Daten an Google übertragen. Wählst du „Nur Notwendige", bleibt es dabei.

Bei erteilter Einwilligung verarbeitet GA4 Nutzungsdaten (z. B. aufgerufene Seiten, ungefähre Region, Gerät/Browser) mit aktivierter IP-Anonymisierung; Werbe-Funktionen (ad_storage, ad_personalization) bleiben deaktiviert. Rechtsgrundlage ist deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem du die Website-Daten für diese Seite in deinem Browser löschst — beim nächsten Besuch erscheint das Banner erneut.

Bei aktivierter Analyse kann eine Übermittlung in die USA (Google) stattfinden; Google ist unter dem EU-US Data Privacy Framework zertifiziert, zusätzlich bestehen Standardvertragsklauseln. Mehr in Googles Datenschutzerklärung (policies.google.com/privacy).

9. Auftragsverarbeiter im Überblick

DienstZweckStandort
Cloudflare Pages + D1Hosting der Anwendung, Speicherung von Konto- und LernfortschrittsdatenUSA (EU-U.S. Data Privacy Framework zertifiziert)
Stripe Payments Europe, Ltd.Zahlungsabwicklung, Rechnungsstellung, SteuerberechnungIrland (EU)
Google Ireland Ltd. (Google Analytics 4)Web-Analyse — nur mit Einwilligung (Abschnitt 8)Irland (EU) / USA (EU-U.S. Data Privacy Framework)
Mailcow (JS-IT-eigene Mail-Infrastruktur, gehostet bei Hetzner Online GmbH)Versand von Login- (Magic-Link) und Kauf-Bestätigungs-E-MailsDeutschland (EU)

Mit allen eingesetzten Dienstleistern bestehen, soweit erforderlich, Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO bzw. Standardvertragsklauseln.

10. Mailversand

Login- und Kauf-Bestätigungs-Mails versenden wir über die zentrale JS-IT-Mail-Infrastruktur (Mailcow, Hetzner-Server in Deutschland). Empfänger ist ausschließlich die von dir angegebene E-Mail-Adresse selbst — es findet kein Versand an Dritte statt.

11. Deine Rechte

Du hast jederzeit das Recht auf:

  • Auskunft über deine gespeicherten personenbezogenen Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung deiner Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Du hast außerdem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren — z. B. beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), das für unseren Sitz in Bayern zuständig ist.

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.

Für Auskünfte, Löschung oder sonstige Anliegen zum Datenschutz wende dich jederzeit an: info@js-it.com

Stand: Juli 2026

🔧 Werkstatt-Ratgeber · Meister-Trainer · Ein Produkt von JS-IT / Werkstatt-Ratgeber · Impressum · Datenschutz · AGB