1. Allgemeine Hinweise
Diese Datenschutzerklärung informiert Sie gemäss dem Schweizer Datenschutzgesetz (nDSG, in Kraft seit 1. September 2023) sowie der Europäischen Datenschutz-Grundverordnung (DSGVO) über die Art, den Umfang und den Zweck der Verarbeitung personenbezogener Daten bei der Nutzung von PruefAI.
2. Verantwortlicher
Thomas Walther
PruefAI
Schweiz
E-Mail: info@pruefai.ch
Website: https://pruefai.ch
3. Erhobene Daten
3.1 Beim Besuch der Website
- IP-Adresse (anonymisiert)
- Datum und Uhrzeit des Zugriffs
- Browsertyp und -version
- Verwendetes Betriebssystem
- Referrer-URL
Diese Daten werden ausschliesslich zur Gewährleistung des technischen Betriebs erhoben und nach 7 Tagen automatisch gelöscht.
3.2 Bei der Nutzung der Korrekturfunktion
Zur KI-gestützten Prüfungskorrektur werden folgende Daten verarbeitet:
- Hochgeladene Prüfungsfotos (Bilder von Schülerarbeiten – ohne identifizierende Metadaten)
- Prüfungsmetadaten (Name der Prüfung, Maximalpunktzahl, Aufgabenstellungen)
Diese Daten werden zur Übermittlung an den KI-Dienst (Anthropic Claude) verarbeitet. Schülernamen werden vor der Übermittlung entfernt (Pseudonymisierung) und bleiben ausschliesslich lokal in Ihrem Browser gespeichert. Die Bilder und Texte werden vom KI-Dienst nicht dauerhaft gespeichert und nicht für das Training von KI-Modellen verwendet.
3.3 Kundendaten (Abonnement)
Bei Abschluss eines Abonnements werden verarbeitet:
- E-Mail-Adresse
- Zahlungsdaten (verarbeitet durch Stripe, nicht direkt bei PruefAI gespeichert)
- Rechnungsadresse (falls angegeben)
- Lizenzschlüssel
4. Zweck der Datenverarbeitung
| Zweck | Rechtsgrundlage |
|---|---|
| Bereitstellung der App-Funktionen | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) |
| KI-Prüfungskorrektur | Einwilligung / Vertragserfüllung |
| Zahlungsabwicklung | Vertragserfüllung |
| Technischer Betrieb / Sicherheit | Berechtigtes Interesse |
| Kommunikation (Support) | Einwilligung / Vertragserfüllung |
5. Einsatz von Drittdienstleistern
5.1 Anthropic Claude (KI-Verarbeitung)
PruefAI nutzt den KI-Dienst Claude der Anthropic PBC (San Francisco, USA) zur automatisierten Prüfungskorrektur. Bei der Nutzung der KI-Funktion werden ausschliesslich die Prüfungsbilder an Anthropic übertragen – ohne Schülernamen oder andere identifizierende Metadaten (Pseudonymisierung).
- Anbieter: Anthropic PBC, 548 Market Street, San Francisco, CA 94105, USA
- Datenschutz: anthropic.com/privacy
- Verarbeitungszweck: KI-gestützte Texterkennung und Bewertung
- Übertragung in Drittland: Ja (USA) – auf Basis der EU-Standardvertragsklauseln (SCCs) sowie, sofern der Empfänger zertifiziert ist, des Swiss-U.S. Data Privacy Framework
- Hinweis: Anthropic verwendet API-Daten standardmässig nicht zum Training von Modellen und speichert sie nicht dauerhaft.
5.2 Stripe (Zahlungsabwicklung)
Zahlungen werden über Stripe Payments Europe Ltd. abgewickelt.
- Anbieter: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin, Irland
- Datenschutz: stripe.com/de/privacy
- Verarbeitungszweck: Zahlungsabwicklung, Abonnementverwaltung
5.3 Vercel (Hosting)
Die App wird auf der Infrastruktur von Vercel Inc. gehostet.
- Anbieter: Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA
- Rechenzentrum: Frankfurt am Main, Deutschland (EU)
- Datenschutz: vercel.com/legal/privacy-policy
5.4 Upstash (temporärer Foto-Relay vom Handy)
Wenn Sie die Funktion „Mit Handy fotografieren" (QR-Code) nutzen, werden die mit dem Smartphone aufgenommenen Prüfungsbilder kurzzeitig über Upstash Redis an Ihr Hauptgerät weitergereicht. Die Bilder werden nach maximal 10 Minuten automatisch gelöscht. Bei direktem Upload vom Computer wird dieser Dienst nicht verwendet.
- Anbieter: Upstash Inc., 350 N Glenoaks Blvd, Suite 200, Burbank, CA 91502, USA
- Datenschutz: upstash.com/trust/privacy
- Verarbeitungszweck: Temporäre Weitergabe der Prüfungsfotos vom Handy zum PC (TTL 10 Minuten)
- Übertragung in Drittland: Ja (USA) – auf Basis der SCCs
5.5 Resend (transaktionale E-Mails)
Für E-Mails an Sie (z. B. Willkommens-E-Mail beim Aktivieren des Gratis-Kontingents, Antworten auf Schul-/Enterprise-Anfragen) nutzen wir den Versanddienst Resend. Dabei werden Ihre E-Mail-Adresse und der Inhalt der E-Mail an Resend übermittelt.
- Anbieter: Resend (Drogon, Inc.), 2261 Market Street #5039, San Francisco, CA 94114, USA
- Datenschutz: resend.com/legal/privacy-policy
- Verarbeitungszweck: Versand transaktionaler E-Mails (Willkommens-Mail, Antworten auf Anfragen)
- Übertragung in Drittland: Ja (USA) – auf Basis der SCCs
5.6 Weiterführende Compliance-Dokumente
Folgende Dokumente präzisieren unsere Datenverarbeitung und sind öffentlich abrufbar:
- Sub-Auftragsbearbeiter-Übersicht – vollständige Liste aller Dienste, Standort, Drittland-Grundlage
- Bearbeitungsverzeichnis nach Art. 12 nDSG / Art. 30 DSGVO
- Datenschutz-Folgenabschätzung für die KI-Korrektur (Art. 22 nDSG / Art. 35 DSGVO)
- Auftragsverarbeitungsvertrag (AVV) für Schulen und Lehrpersonen
6. Datenspeicherung und -löschung
- Prüfungsfotos: Werden lokal im Browser (IndexedDB) gespeichert und können jederzeit gelöscht werden.
- Korrekturergebnisse: Verbleiben im Browser bis zur manuellen Löschung.
- Kundendaten: Werden für die Dauer des Vertragsverhältnisses und danach gemäss gesetzlichen Aufbewahrungsfristen (10 Jahre für Buchungsbelege) gespeichert.
- Logdaten: Werden nach 7 Tagen automatisch gelöscht.
7. Ihre Rechte
Sie haben gemäss nDSG und DSGVO folgende Rechte:
- Auskunftsrecht (Art. 25 nDSG / Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 32 nDSG / Art. 16 DSGVO)
- Recht auf Löschung (Art. 32 nDSG / Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
7.1 So üben Sie Ihre Rechte aus
Anfragen zur Auskunft, Berichtigung, Löschung oder Übertragung Ihrer Daten senden Sie an info@pruefai.ch. Wir bearbeiten Anfragen innerhalb von 30 Tagen nach Eingang.
7.2 Was wir auf Anfrage bereitstellen (Auskunft / Übertragbarkeit)
- Lokal in Ihrem Browser: Klassen, Schüler, Prüfungen, Noten und Korrekturen können Sie jederzeit selbst über Einstellungen → Datensicherung → Exportieren als JSON-Datei sichern. Bei aktiver lokaler Ordner-Speicherung liegen diese Daten zusätzlich als JSON- und Bilddateien direkt im gewählten Ordner.
- Beim Anbieter (Stripe): Ihre E-Mail-Adresse, Lizenzschlüssel, Plan, Verbrauchsstand und Rechnungsverlauf. Sie erhalten diese Daten auf Anfrage als strukturierte Datei.
7.3 Wie wir löschen (Recht auf Löschung)
- Lokal in Ihrem Browser: Sie selbst – über Einstellungen → Datensicherung oder über das Löschen der Website-Daten. Wir haben keinen Zugriff auf Ihre lokalen Daten und können sie weder einsehen noch löschen.
- Beim Anbieter / bei Stripe: Auf Ihre Anfrage löschen wir Ihre Kundendaten bei uns und beauftragen Stripe, Ihren Customer-Datensatz zu löschen bzw. zu anonymisieren. Gesetzlich vorgeschriebene Aufbewahrungsfristen (insb. 10 Jahre für Buchungsbelege nach Art. 958f OR) bleiben davon unberührt.
- Bei Sub-Auftragsbearbeitern: Anthropic persistiert übermittelte Daten nicht; Upstash löscht Foto-Relay-Daten automatisch nach 10 Minuten; Resend-E-Mails werden auf Anfrage gelöscht.
Wir bestätigen den Abschluss der Löschung schriftlich.
7.4 Beschwerden zur Bearbeitung der Anfrage
Sind Sie mit der Bearbeitung nicht einverstanden, können Sie sich an die Aufsichtsbehörde wenden (siehe Abschnitt 8).
8. Beschwerderecht
Sie haben das Recht, sich bei der zuständigen Datenschutzbehörde zu beschweren:
- Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), edoeb.admin.ch
- EU/EWR: Zuständige nationale Datenschutzbehörde Ihres Wohnsitzlandes
9. Datensicherheit und Meldepflicht bei Datenpannen
Im Fall einer Verletzung der Datensicherheit, die ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt, informieren wir den EDÖB unverzüglich (in der Regel innerhalb von 72 Stunden nach Kenntnisnahme; Art. 24 nDSG) sowie die betroffenen Personen über den jeweils geeigneten Kanal (E-Mail, App-Banner). Wir folgen dabei einem internen Meldeplan-Runbook, das den Ablauf von Erstreaktion über Risikoeinschätzung bis zur Information regelt.
PruefAI trifft technische und organisatorische Massnahmen zum Schutz Ihrer Daten, insbesondere:
- Verschlüsselte Übertragung via HTTPS/TLS
- Sichere Speicherung von API-Schlüsseln (serverseitig, nicht im Frontend)
- Regelmässige Sicherheitsupdates
10. Cookies
PruefAI verwendet keine Tracking-Cookies und keine Werbe-Cookies. Technisch notwendige Browser-Speicher (LocalStorage, IndexedDB) werden ausschliesslich für den App-Betrieb verwendet.
11. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die aktuelle Version ist stets unter pruefai.ch/datenschutz abrufbar.