Datenschutzerklärung

Verantwortlicher

Verantwortlicher für die Verarbeitung personenbezogener Daten auf diesem Dienst ist Luca Henrik Stosch, Einzelunternehmen — auftretend als „Nekonbini".

Postanschrift: Von-Bargen-Straße 39, 22041 Hamburg, Deutschland
E-Mail: luca@sutoshu.com

Ein Datenschutzbeauftragter ist nicht bestellt (kein Kriterium nach Art. 37 DSGVO erfüllt).

Welche Daten wir verarbeiten

• Konto und Anmeldung: deine E-Mail-Adresse (als Konto-Kennung und für Verifizierungs-Mails), dein Anzeigename, sofern gesetzt, und die genutzte Anmeldeart (E-Mail-Einmalpasswort, Google oder Apple). Anmeldung über Google oder Apple läuft über Firebase Authentication; wir erhalten von dort nur deine bestätigte E-Mail-Adresse und (falls vorhanden) deinen Anzeigenamen.
• Lernstand: deine gespeicherten Wörter und Kanji, der Spaced-Repetition-Stand (Wiederholungshistorie, Planung, Box-Stufe), von dir generierte oder importierte Geschichten, satzweise Fortschritte, XP- und Streak-Zähler, deine Einstellungen (Oberflächensprache, Zeitzone, Ziel-JLPT-Stufe, tägliches XP-Ziel) sowie Feature-Flags, die abgeschlossene Onboarding-Schritte erfassen. Diese personalisierte Lernhistorie ermöglicht, dass Lesehilfen, Wiederholungen und adaptive Oberflächen geräteübergreifend funktionieren.
• Inhalte, die du übermittelst: importierte oder eingefügte Texte, hochgeladene Dokumente für die Tokenisierung, Prompts und Antworten in Gesprächen mit dem KI-Tutor, von dir verfasste Kanji-Merkgeschichten und Reaktionen auf geteilte Community-Kanji-Einträge. Ein Teil dieser Inhalte wird an KI-Anbieter weitergegeben (siehe „Auftragsverarbeiter" unten), um Übersetzungen, Erklärungen und Antworten zu erzeugen.
• Abonnement-, Abrechnungs- und KI-Nutzungsdaten: welcher Tarif (falls vorhanden) für dein Konto aktiv ist, wann er ausläuft, sowie ein Pro-Aufruf-Log der KI-Anfragen in deinem Namen — Ein-/Ausgabe-Token-Zahlen, genutzter Anbieter, auslösendes Feature und geschätzte Kosten. Kartenzahlungen werden über Stripe abgewickelt (siehe „Auftragsverarbeiter" unten); wir sehen oder speichern keine vollständigen Kartendaten.
• Technische Betriebsdaten: serverseitige Request-Logs (Zeitstempel, Route, Statuscode, IP-Adresse, User-Agent) zum Betrieb und zur Absicherung des Dienstes; Fehlerereignisse, die unser Error-Tracking-Dienst erfasst (siehe „Telemetrie" unten); und — nur mit deiner Einwilligung — aggregierte Analyse-Page-Views (siehe „Telemetrie" unten). Handschrift-Striche, die du bei der Kanji-Übung zeichnest, werden serverseitig in Echtzeit bewertet, aber nicht gespeichert.

Zwecke und Rechtsgrundlagen

Wir verarbeiten die oben genannten Daten, um den personalisierten Lerndienst bereitzustellen, für den du dich angemeldet hast (Synchronisation deiner Bibliothek, Wiederholungsplanung, Erzeugung von Geschichten, KI-Tutor-Gespräche) — Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); zum Betrieb, zur Absicherung und zur Fehlersuche im Dienst — Server-Logs, Missbrauchserkennung, Fehler-Tracking — Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse am störungsfreien Betrieb); zur aggregierten Reichweitenmessung — Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (deine Einwilligung, jederzeit widerrufbar); und zur Erfüllung rechtlicher Pflichten, insbesondere im deutschen Steuer- und Handelsrecht bei bezahlten Tarifen — Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO, soweit anwendbar.

Analyse, Fehler-Tracking und Speicherung auf deinem Gerät

Nekonbini nutzt zwei externe Telemetrie-Dienste. Sie werden unterschiedlich behandelt, weil ihre Zwecke unterschiedlich sind.

Analyse — Einwilligung erforderlich

Wir nutzen einen Analysedienst, um die Nutzung des Dienstes aggregiert zu verstehen. Die Analyse wird erst nach deiner Zustimmung im Einwilligungs-Banner geladen; IP-Adressen werden nicht in identifizierbarer Form gespeichert. Du kannst deine Wahl jederzeit über das Einwilligungs-Banner oder in den Kontoeinstellungen widerrufen oder ändern; weitere Analyse-Ereignisse werden dann für den Rest der Sitzung und bei zukünftigen Besuchen gestoppt.

Fehler-Tracking — berechtigtes Interesse

Wir nutzen einen Fehler-Tracking-Dienst, um unbehandelte Fehler und Abstürze zu erfassen, damit wir sie beheben können. Fehlerereignisse enthalten die URL der Seite (Query-Strings entfernt, damit keine Auth-Tokens austreten), die Browser-Version, einen Stack-Trace und — bei angemeldeten Nutzern — die interne Nutzer-ID, damit wir einen Bericht der betroffenen Person zuordnen können. Cookies und IP-Adressen werden nicht erfasst. Das Fehler-Tracking läuft auf Grundlage unseres berechtigten Interesses am Betrieb eines funktionierenden Dienstes (Art. 6 Abs. 1 lit. f DSGVO); du kannst dieser Verarbeitung über die oben genannte Kontaktadresse widersprechen.

Speicherung auf deinem Gerät

Deine Einwilligungs-Entscheidung und dein Authentifizierungs-Status werden im localStorage deines Browsers gespeichert. Ein kleiner weiterer Schlüsselsatz speichert Oberflächen-Einstellungen (zuletzt gewählte Sprache, Layout-Status). Es handelt sich um technische Speicherung auf deinem Gerät, nicht um Tracking-Cookies Dritter; das Löschen deiner Browser-Daten entfernt sie.

Auftragsverarbeiter und externe Dienste

Die folgenden Dienstleister verarbeiten personenbezogene Daten in unserem Auftrag oder — für Teile ihres Dienstes, die sie selbst verantworten — als eigenständige Verantwortliche. Diese Liste ist auf dem Stand des unten angegebenen „Stand"-Datums; wir aktualisieren sie, bevor ein neuer Auftragsverarbeiter eingebunden wird.

• Amazon Web Services EMEA SARL (Luxemburg) — Anwendungs- und Datenbank-Hosting in der Europäischen Union (Deutschland). AWS kann als Unter-Auftragsverarbeiter auf seine US-Muttergesellschaft zurückgreifen — abgesichert über das EU-US Data Privacy Framework und EU-Standardvertragsklauseln (siehe „Drittlandübermittlungen" unten).
• Resend (Resend Inc., USA, abgesichert über EU-US Data Privacy Framework und EU-Standardvertragsklauseln) — versendet transaktionale E-Mails, etwa das sechsstellige Einmalpasswort für die E-Mail-Anmeldung.
• Stripe Payments Europe Ltd. (Irland, mit US-Übermittlung an Stripe Inc., abgesichert über EU-US Data Privacy Framework und EU-Standardvertragsklauseln) — wickelt Abonnement-Zahlungen ab.
• Firebase Authentication (Google Ireland Limited / Google LLC) — wickelt die föderierte Anmeldung über Google und Apple ab. Übermittelt werden deine bestätigte E-Mail-Adresse und (falls vorhanden) dein Anzeigename. Firebase ist ein US-Dienst; siehe „Drittlandübermittlungen" unten für die Rechtsgrundlage.
• Sentry (EU-Instanz) — erfasst unbehandelte Fehler und Abstürze. Die genutzte Instanz wird in der Europäischen Union betrieben; Ereignisdaten bleiben in der EU. Siehe „Telemetrie" oben für den jeweiligen Inhalt eines Ereignisses.
• Google Analytics 4 (Google Ireland Limited / Google LLC) — wird nur geladen, wenn du der Analyse zugestimmt hast. Siehe „Telemetrie" oben. Google ist ein US-Auftragsverarbeiter; siehe „Drittlandübermittlungen" unten für die Rechtsgrundlage.
• Zu den KI-Auftragsverarbeitern zählen OpenAI (USA), Google (EU/USA), Mistral AI (FR) und OpenRouter (USA) als Routing-Intermediär. Wenn du eine KI-Funktion nutzt, übermitteln wir den relevanten Text — etwa den Satz, den du gerade liest, deinen Chat-Prompt oder das von dir importierte Dokument — sowie minimal nötigen Kontext für die Antwort. Der aktive Anbieter-Satz kann sich ändern, wenn wir Modellqualität und Kosten justieren; wir aktualisieren diese Liste, bevor ein neuer Anbieter live geht.

Drittlandübermittlungen

Der Großteil der bei uns gespeicherten Daten liegt in der Europäischen Union. Einige der oben genannten Auftragsverarbeiter haben ihren Sitz in den USA; deine Daten werden dorthin übermittelt, wenn du eine darauf basierende Funktion nutzt. Wir stützen uns auf den Angemessenheitsbeschluss der Europäischen Kommission für das EU-US Data Privacy Framework, sofern der Empfänger zertifiziert ist, und ergänzend auf die EU-Standardvertragsklauseln (Modul 2, Verantwortlicher-zu-Auftragsverarbeiter).

Aufbewahrungsdauer

Kontodaten, Lernstand und von dir übermittelte Inhalte bewahren wir auf, solange dein Konto besteht; wenn du die Löschung deines Kontos verlangst, werden sie innerhalb von 30 Tagen entfernt. Soweit gesetzliche Aufbewahrungspflichten nach § 147 AO und § 257 HGB greifen (bezahlte Tarife), werden die zugrunde liegenden Rechnungs- und Abrechnungsdaten für die gesetzliche Frist (derzeit bis zu 10 Jahre) aufbewahrt — nachdem das übrige Konto bereits gelöscht ist. E-Mail-Einmalpasswort-Anfragen werden automatisch verworfen, sobald der Code genutzt oder abgelaufen ist. Server-Logs, Fehlerereignisse und Analysedaten werden von unseren Anbietern gemäß deren Standard-Aufbewahrung automatisch rotiert; wir verlängern die Frist nicht.

Deine Rechte

Nach der DSGVO stehen dir folgende Rechte bezüglich deiner personenbezogenen Daten zu. Um eines davon auszuüben, kontaktiere uns über die E-Mail-Adresse aus dem Abschnitt „Verantwortlicher" oben, von der mit deinem Konto verknüpften E-Mail-Adresse. Wir antworten innerhalb von 30 Tagen ab Eingang der Anfrage; bei besonders komplexen Anfragen weisen wir dich gesondert auf eine Fristverlängerung hin.

• Auskunftsrecht (Art. 15 DSGVO) — Auskunft über die von uns über dich gespeicherten personenbezogenen Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO) — Berichtigung unrichtiger oder unvollständiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO) — Löschung deines Kontos und der zugehörigen Daten verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — einen Export deiner bereitgestellten Daten in einem maschinenlesbaren Format verlangen.
• Widerspruchsrecht (Art. 21 DSGVO) — gegen Verarbeitung auf Grundlage berechtigter Interessen widersprechen, einschließlich Server-Logs und Fehler-Tracking.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — bei Verarbeitung auf Grundlage einer Einwilligung (Analyse) kannst du diese jederzeit über das Einwilligungs-Banner widerrufen; die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt.
• Beschwerderecht — Beschwerde bei einer Aufsichtsbehörde in deinem Mitgliedstaat des Aufenthalts einreichen. Für Hamburg ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit zuständig.

Kinder

Nekonbini richtet sich an Nutzer ab 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren. Wenn du den Verdacht hast, dass ein Kind ein Konto angelegt hat, kontaktiere uns über die im Abschnitt „Verantwortlicher" oben genannte Adresse — wir werden das Konto löschen.

Sicherheit

Daten werden in der EU auf vertraglich gebundener Infrastruktur gehostet. Die Authentifizierung erfolgt über signierte Session-Tokens, die nach passwortloser Verifizierung ausgestellt werden. Wir speichern keine Passwörter. Der Zugriff auf Produktionssysteme ist auf den Anbieter beschränkt.

Änderungen dieser Erklärung

Wir aktualisieren diese Seite, wenn sich unsere Verarbeitung wesentlich ändert — insbesondere, wenn ein neuer Auftrags- oder Unter-Auftragsverarbeiter hinzukommt oder wenn neue Funktionen neue Datenkategorien einführen. Das unten genannte „Stand"-Datum ändert sich mit jeder substanziellen Bearbeitung; bei Änderungen, die deine Rechte berühren oder eine neue Einwilligung erfordern, informieren wir angemeldete Nutzer zusätzlich auf der Plattform.