← qviz

Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist die im Impressum genannte Person. Kontakt: mapf1107@gmail.com.

2. Welche Daten wir verarbeiten

  • Anonyme Session-ID (Cookie qc_anon_session): zufällige Kennung, damit du Quizzes spielen kannst, ohne dich anzumelden, und deine Versuche im Browser wiederfindest.
  • Account-Daten: nur deine E-Mail-Adresse, sobald du dich per Magic-Link einloggst. Keine Passwörter.
  • Quiz-Versuche: deine Antworten und Punktzahlen, verknüpft mit der anonymen Session bzw. deinem Account.
  • Server-Logs: Zeitpunkt und Art jeder Anfrage sowie die IP-Adresse, um Missbrauch zu erkennen und Rate-Limits durchzusetzen. Logs werden nach kurzer Zeit rotiert.
  • Untertitel-Texte der von dir verlinkten Inhalte werden zur Quiz-Generierung verarbeitet. Sie stammen aus der jeweiligen Mediathek-API und werden nicht von dir bereitgestellt.

3. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Account, Quiz-Versuche.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): anonyme Session, Server-Logs, Rate-Limiting, Fehler-Monitoring. Unser Interesse besteht am stabilen, missbrauchsfreien Betrieb.

4. Cookies

Wir setzen ausschließlich technisch erforderliche Cookies — kein Tracking, keine Werbung, keine Drittanbieter-Pixel:

  • qc_anon_session – anonyme Spielsession, Laufzeit 1 Jahr.
  • authjs.session-token (bzw. __Secure-authjs.session-token unter HTTPS) – Login-Sitzung. Wird beim Logout gelöscht.
  • Weitere kurzlebige Cookies des Auth-Frameworks (CSRF-Schutz, Callback-URL) während des Login-Vorgangs.

5. Empfänger und Auftragsverarbeiter

Personenbezogene Daten werden nicht verkauft. Folgende Auftragsverarbeiter werden eingesetzt; mit jedem besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO:

  • Anthropic PBC (USA) – KI-Sprachmodell zur Generierung der Quiz-Fragen. Übermittelt werden ausschließlich die Untertitel-Texte des verlinkten Inhalts; keine personenbezogenen Daten aus deinem Account. Übermittlung in die USA auf Grundlage der EU-Standardvertragsklauseln.
  • Functional Software, Inc. (Sentry) – Fehler- und Performance-Monitoring. Hosting in der EU (Frankfurt). Übermittelt werden technische Fehlermeldungen, Stack-Traces, URL-Pfade und die IP-Adresse des betroffenen Requests; keine Quiz-Antworten oder Account-Inhalte. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Betriebssicherheit).
  • Neon, Inc. (USA) – verwaltete PostgreSQL-Datenbank für sämtliche persistierten Anwendungsdaten (Account, Sessions, Quizzes, Versuche, Antworten). Daten werden in der Region Frankfurt (AWS eu-central-1) gespeichert. Übermittlung in die USA auf Grundlage der EU-Standardvertragsklauseln.
  • Upstash, Inc. (USA) – verwalteter Redis-Speicher für die Job-Warteschlange (asynchrone Quiz-Generierung). Verarbeitet werden nur technische Job-Metadaten (Video-ID, Job-Status, Zeitstempel); keine Account- oder Antwort-Daten. Hosting in der EU (Frankfurt). Übermittlung in die USA auf Grundlage der EU-Standardvertragsklauseln.
  • Fly.io, Inc. (USA) – Hosting der API (Anwendungs-Server + Worker für die Quiz-Generierung). Verarbeitet werden alle Daten, die bei einem API-Aufruf anfallen (insbesondere IP-Adresse, Anfrage-Pfad, Anfrage-Inhalt). Hosting in der EU (Frankfurt). Übermittlung in die USA auf Grundlage der EU-Standardvertragsklauseln.
  • Vercel Inc. (USA) – Hosting der Web-Oberfläche (Next.js-App inkl. Auth-Flow und Session-Lookup). Verarbeitet werden alle Daten, die bei einem Browser-Request an die Web-Oberfläche anfallen (insbesondere IP-Adresse, User-Agent, angeforderter Pfad, Login-E-Mail). Hosting in der EU (Frankfurt). Übermittlung in die USA auf Grundlage der EU-Standardvertragsklauseln.

Sobald weitere Dienste (z. B. Hosting, Mail-Versand, Fehler-Monitoring) produktiv geschaltet werden, ergänzen wir diese Liste vor dem Launch.

6. Speicherdauer

  • Account-Daten: bis zur Löschung deines Accounts.
  • Anonyme Versuche: maximal 1 Jahr, an die Lebensdauer des Session-Cookies gekoppelt.
  • Server-Logs: kurze Aufbewahrung zur Betriebssicherheit.

7. Deine Rechte

Du hast jederzeit das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Eine formlose E-Mail an mapf1107@gmail.com genügt.

Außerdem kannst du dich bei der für dich zuständigen Datenschutz-Aufsichtsbehörde beschweren (Art. 77 DSGVO).

8. Änderungen dieser Erklärung

Wenn sich an der Verarbeitung etwas Wesentliches ändert (z. B. neue Auftragsverarbeiter), passen wir diesen Text an und vermerken das Datum oben.