Datenschutzerklärung

1. Einleitung

Der Schutz Ihrer persönlichen Daten ist uns ein zentrales Anliegen. Diese Datenschutzerklärung informiert Sie transparent darüber, wie die Eatomics GmbH (nachfolgend "wir" oder "Eatomics") als Betreiberin der Lernplattform "Studomics" Ihre personenbezogenen Daten erhebt, verarbeitet und nutzt.

Dies erfolgt im Einklang mit dem Bundesgesetz über den Datenschutz (DSG, SR 235.1) in der Fassung vom 1. September 2023 (nachfolgend "nDSG") sowie der zugehörigen Datenschutzverordnung (DSV, SR 235.11).

Mit der Registrierung und Nutzung der Plattform bestätigen Sie, diese Datenschutzerklärung zur Kenntnis genommen zu haben. Soweit die Datenbearbeitung auf einer Einwilligung beruht, gilt diese als erteilt durch die aktive Nutzung der entsprechenden Funktion (z.B. Aktivierung von KI-Funktionen, Teilnahme an sozialen Lernsessions).

2. Verantwortlicher

Für Anfragen zum Datenschutz wenden Sie sich bitte an die oben genannte E-Mail-Adresse.

3. Geltungsbereich

Diese Datenschutzerklärung gilt für alle personenbezogenen Daten, die im Rahmen der Nutzung unserer Website (studomics.com), mobilen Anwendungen und sonstiger digitaler Dienste von Eatomics erhoben werden.

4. Kategorien personenbezogener Daten

Wir erheben und bearbeiten folgende Datenkategorien:

• Kontakt- und Identifikationsdaten: Name, E-Mail-Adresse, Passwort (verschlüsselt gespeichert).
• Verifizierungsdaten: Daten aus der Synchronisation mit dem Universitätskalender (iCal-Feed der Universität St. Gallen) zur automatischen Überprüfung der Kursberechtigung, einschliesslich Kursnummern und Semesterzeiträumen (siehe AGB §6). Die Feed-URL wird für die laufende Synchronisation gespeichert. Kalenderinhalte selbst werden nicht dauerhaft gespeichert — lediglich der Verifizierungsstatus, die Methode und eine Referenz zum Feed.
• Persönliche Kalenderdaten: Nutzer können optional ihren persönlichen Kalender (Google Calendar, Apple iCloud, Outlook) als iCal-Feed in die Plattform einbinden. Dabei wird ausschliesslich die Feed-URL gespeichert. Die Kalenderinhalte (Termine, Titel, Orte) werden zum Zeitpunkt der Anzeige abgerufen. Bei bestimmten Anbietern kann der Abruf aus technischen Gründen über unseren Server erfolgen — auch in diesem Fall werden keine Kalenderinhalte auf unseren Servern gespeichert.
• Nutzungs- und technische Daten: IP-Adresse, Browsertyp, Server-Logfiles, Datum und Uhrzeit des Zugriffs, Geräteinformationen, Seitenaufrufe.
• Lernfortschrittsdaten: Quiz-Ergebnisse, Flashcard-Status, Lesezeichen, Lernzeit (Pomodoro), Fortschrittsstatistiken.
• Speichernutzungsdaten: Dateigrössen und -typen hochgeladener Dokumente, Speicherverbrauch nach Kategorie (Dokumente, Bilder, Sonstige), aktuelles Speicherlimit und erworbene Speicher-Erweiterungen.
• Zahlungsdaten: Abonnement-Status, Transaktionshistorie, Speicher-Top-up-Käufe, Stripe-Kunden-ID. Keine Kreditkartendaten werden auf unseren Servern gespeichert.
• Lernnotizen und KI-Diskussionen: Von Nutzern erstellte Notizen und Gesprächsverläufe mit dem KI-Tutor. Diese Daten sind explizit für bildungsbezogene Zwecke bestimmt und dürfen keine personenbezogenen Informationen enthalten (siehe AGB §9.3).
• Soziale Interaktionsdaten: Anwesenheitsstatus in Lernsessions, Zeitstempel der Teilnahme, versendete und empfangene Einladungen ("Study Invites").
• Verbindungsdaten: Freundesliste, Verbindungsstatus, pro-Verbindungs-Berechtigungen (Kalender, Study Invites, Dokumente), Share-Tokens (einmalige Einladungscodes). Verbindungsdaten werden bis zur Auflösung der Verbindung oder Kontolöschung gespeichert.
• Kommunikationsdaten: Inhalte von Supportanfragen, Feedback und Umfrageantworten.

5. Zwecke und Rechtsgrundlagen

Wir bearbeiten Ihre personenbezogenen Daten zu folgenden Zwecken und auf folgenden Rechtsgrundlagen:

KI-Chat (Opt-In und Opt-Out): Der KI-Chat ist eine optionale Funktion, die durch erstmalige aktive Nutzung aktiviert wird (Opt-In). Ihre KI-Chat-Nachrichten werden gespeichert und können in anonymisierter Form zur Verbesserung unserer Lerninhalte verwendet werden (Audimax-Prinzip, siehe AGB §9.3). Sie können Ihre Chat-Verläufe jederzeit einzeln oder vollständig löschen. Die vollständige Löschung aller KI-Daten unter Einstellungen → Gefahrenzone → Löschen und Deaktivieren führt zur vollständigen Deaktivierung der KI-Funktionen (Entweder/Oder-Prinzip). Eine Nutzung des KI-Chats ohne Speicherung der Chat-Verläufe ist technisch nicht möglich. Bereits anonymisierte und in Lernmaterialien eingeflossene Daten sind nicht rückgängig zu machen, da sie keinen Personenbezug mehr aufweisen.

Opt-Out Marketing: Marketing-E-Mails können Sie jederzeit in den Einstellungen abbestellen.

Soziale Lernfunktionen: Die Teilnahme an sozialen Lernfunktionen (Anwesenheitsstatus, Study Invites, Verbindungen, Kalender-Overlay) erfolgt auf freiwilliger Basis. Durch die aktive Nutzung dieser Funktionen erteilen Sie Ihre Einwilligung in die damit verbundene Datenbearbeitung. Die Freigabe Ihres Vorlesungsplans an verbundene Nutzer erfolgt nur im Rahmen Ihrer gewählten Sichtbarkeitseinstellungen und pro-Verbindungs-Berechtigungen. Sie können diese Einwilligung jederzeit widerrufen, indem Sie die entsprechenden Funktionen in den Einstellungen deaktivieren oder Verbindungen auflösen.

Anonymisierte und aggregierte Daten: Anonymisierte und aggregierte Daten, die keinen Rückschluss auf eine identifizierte oder identifizierbare Person ermöglichen, gelten nicht als Personendaten im Sinne des nDSG. Wir sind berechtigt, solche Daten zeitlich unbegrenzt und ohne Einschränkung für statistische Auswertungen, Produktentwicklung und Forschungszwecke zu verwenden.

6. Cookies & Tracking-Technologien

6.1 Essenzielle Cookies und Technologien

Wir verwenden essenzielle Cookies und Local Storage, um Ihren Login-Status und Ihren Lernfortschritt auf Ihrem Gerät zu speichern. Ohne diese Technologien ist die Nutzung der Plattform nicht möglich. Für diese Cookies ist keine Einwilligung erforderlich.

• Vercel Analytics: Performance-Monitoring, das laut Anbieter ohne Cookies arbeitet. Weitere Informationen entnehmen Sie der Vercel Analytics Datenschutzerklärung. Wird als funktional notwendig ohne gesonderte Einwilligung geladen.

6.2 Analyse-Cookies

Wir setzen Analyse-Tools ein, um die Nutzung der Plattform zu verstehen und zu verbessern. Diese werden erst nach Ihrer Einwilligung über das Cookie-Banner (CookieYes) aktiviert:

• Google Analytics 4 (GA4): Webanalyse zur Verbesserung der Nutzererfahrung. IP-Anonymisierung ist aktiviert.
• Hotjar (via Contentsquare): Analyse von Nutzungsmustern (Heatmaps, Session-Recordings) zur Optimierung der Benutzeroberfläche. Die Funktionalität wird über Contentsquare bereitgestellt.

7. Drittanbieter & Auftragsbearbeiter

Für den Betrieb der Plattform nutzen wir spezialisierte Dienstleister. Mit diesen bestehen entsprechende Auftragsbearbeitungsverträge gemäss Art. 9 nDSG:

Datenminimierung: Bei jeder Datenübermittlung werden nur die für den jeweiligen Zweck notwendigen Daten übertragen. Wir verkaufen Ihre Daten niemals an Dritte.

Hinweis zu Drittanbieter-Links: Diese Datenschutzerklärung enthält Links zu Datenschutzerklärungen unserer Auftragsbearbeiter und Drittanbieter. Für deren Inhalte übernehmen wir keine Verantwortung. Massgeblich für die Datenbearbeitung durch Drittanbieter sind deren eigene Datenschutzerklärungen.

8. Datenübermittlung ins Ausland

Im Rahmen der oben genannten Drittanbieter werden Personendaten in die USA übermittelt. Die USA verfügen nach Einschätzung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) derzeit nicht über ein angemessenes Datenschutzniveau im Sinne von Art. 16 Abs. 1 nDSG.

Wir stellen den Schutz Ihrer Daten folgendermassen sicher (Art. 16 Abs. 2 nDSG):

• Vertragliche Schutzmechanismen: Die eingesetzten US-Auftragsbearbeiter bieten in ihren Nutzungsbedingungen bzw. Data Processing Agreements (DPAs) vertragliche Datenschutzgarantien an. Soweit diese EU-Standardvertragsklauseln (SCC) oder vergleichbare Mechanismen beinhalten, stützen wir uns auf diese als geeignete Garantien im Sinne von Art. 16 Abs. 2 lit. d nDSG.
• Zusätzliche Schutzmassnahmen: Verschlüsselung bei der Übertragung (TLS) und Speicherung, Zugriffsbeschränkungen, und Pseudonymisierung, soweit möglich.
• BEXIO (Schweiz): Buchhaltungsdaten werden ausschliesslich in der Schweiz verarbeitet — keine Auslandsübermittlung.
• CookieYes (UK): Das Vereinigte Königreich verfügt über einen Angemessenheitsbeschluss des Bundesrats gemäss Art. 16 Abs. 1 nDSG — kein zusätzlicher Schutz erforderlich.
• Contentsquare (Frankreich): Als EU-Land unterliegt Frankreich der DSGVO — angemessenes Datenschutzniveau gemäss Art. 16 Abs. 1 nDSG.

9. Aufbewahrungsdauer

Wir speichern Ihre Daten nur so lange, wie dies für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

Nach Löschung Ihres Accounts werden alle personenbezogenen Daten grundsätzlich sofort gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Ausnahme: Zahlungs- und Buchhaltungsdaten (Stripe-Kunden-ID, Transaktionshistorie, Abonnement-Daten) werden gemäss OR 958f für 10 Jahre in anonymisierter Form aufbewahrt. Bei einzelnen Auftragsbearbeitern kann die vollständige Löschung aus technischen Gründen bis zu 180 Tage in Anspruch nehmen.

Nachwirkende Aufbewahrung: Mit der Beendigung des Nutzungsverhältnisses erlischt die Einwilligung zur Datenbearbeitung nicht automatisch für Zwecke, die eine Rechtsgrundlage ausserhalb der Einwilligung haben (z.B. gesetzliche Aufbewahrungspflichten, Geltendmachung von Rechtsansprüchen). Die Eatomics GmbH ist berechtigt, Daten für die Dauer der gesetzlichen Verjährungsfristen (in der Regel 10 Jahre, OR 127) aufzubewahren, soweit dies zur Wahrung berechtigter Interessen erforderlich ist.

Protokollierung als Beweissicherung: Wir sind berechtigt, technische Protokolldaten (Logfiles, Zugriffsprotokolle, Transaktionslogs) im Rahmen der gesetzlichen Möglichkeiten zur Beweissicherung aufzubewahren und in Rechtsstreitigkeiten oder behördlichen Verfahren als Beweismittel zu verwenden.

10. Datensicherheit

Wir setzen dem Stand der Technik entsprechende technische und organisatorische Massnahmen ein (Art. 8 nDSG), um Ihre Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen:

• Verschlüsselung: SSL/TLS-Verschlüsselung für alle Datenübertragungen.
• Zugriffskontrolle: Row-Level Security (RLS) in der Datenbank, rollenbasierte Zugriffskontrollen.
• Authentifizierung: Sichere Authentifizierung über Supabase Auth. Die Kalender-basierte Verifizierung nutzt serverseitige Verarbeitung des iCal-Feeds — der Feed wird zum Zeitpunkt der Synchronisation abgerufen und geparst. Die Feed-URL wird gespeichert, die Kalenderinhalte selbst jedoch nicht dauerhaft.
• Rate Limiting: Verteiltes Rate Limiting zum Schutz vor Missbrauch.
• Keine Speicherung von Zahlungsdaten: Kreditkartendaten werden ausschliesslich bei Stripe verarbeitet.

Trotz dieser Massnahmen kann keine absolute Sicherheit gewährleistet werden. Die Eatomics GmbH haftet nicht für Schäden, die trotz Einhaltung angemessener Sicherheitsmassnahmen durch unbefugte Zugriffe Dritter entstehen.

11. Verantwortung des Nutzers

Der Nutzer ist dafür verantwortlich, dass die von ihm eingegebenen oder hochgeladenen Daten keine Rechte Dritter verletzen und keine sensiblen Personendaten im Sinne von Art. 5 lit. c nDSG enthalten, es sei denn, dies ist für den jeweiligen Zweck ausdrücklich vorgesehen. Die Eatomics GmbH übernimmt keine Haftung für rechtswidrig hochgeladene Inhalte.

Der Nutzer ist insbesondere verpflichtet, seine Zugangsdaten vertraulich zu behandeln und den Zugang zu seinem Konto vor unberechtigtem Zugriff Dritter zu schützen. Für Schäden, die aus einer Verletzung dieser Pflicht resultieren, haftet die Eatomics GmbH nicht.

12. KI-generierte Inhalte & KI-Chat

KI-generierte Inhalte und Antworten des KI-Tutors stellen keine rechtsverbindlichen Auskünfte dar und können fehlerhaft, unvollständig oder irreführend sein. KI-Systeme sind inhärent fehleranfällig. Die Eatomics GmbH übernimmt keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität von KI-generierten Inhalten. Der Nutzer ist für die eigenverantwortliche Überprüfung aller KI-Ausgaben und deren Verwendung selbst verantwortlich. KI-Ausgaben dürfen nicht als alleinige Grundlage für Prüfungsvorbereitung oder akademische Entscheidungen herangezogen werden.

KI-Chat-Datenverarbeitung: Bei der Nutzung des KI-Chats werden Ihre Texteingaben an Google (Vertex AI / Gemini) zur Erzeugung von Antworten übermittelt. Google verarbeitet diese Daten gemäss den Datenverarbeitungsbedingungen von Google Cloud und verwendet sie nicht zum Training ihrer KI-Modelle (API-Nutzung). Die Chat-Verläufe werden in unserer Datenbank (Supabase) gespeichert und durch Row-Level Security geschützt. Nur der Nutzer selbst hat Zugriff auf seine Chat-Verläufe.

Eatomics kann anonymisierte (d.h. nicht auf den einzelnen Nutzer rückführbare) KI-Chat-Inhalte zur Verbesserung der Lerninhalte verwenden (Audimax-Prinzip). Details hierzu finden Sie in AGB §9.3 und in Abschnitt 5 dieser Datenschutzerklärung.

13. Automatisierte Einzelfallentscheidungen

Wir verwenden keine automatisierten Entscheidungen im Sinne von Art. 21 nDSG, die gegenüber dem Nutzer rechtliche Wirkung entfalten oder ihn in vergleichbarer Weise erheblich beeinträchtigen. Algorithmen zur Personalisierung von Lerninhalten (z.B. Spaced Repetition) dienen ausschliesslich der Verbesserung des Lernerlebnisses und haben keine rechtliche Wirkung.

14. Ihre Rechte

Nach dem nDSG stehen Ihnen folgende Rechte zu:

• Auskunftsrecht (Art. 25 nDSG): Sie haben das Recht, unentgeltlich Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten wir über Sie bearbeiten.
• Recht auf Datenherausgabe und -übertragung (Art. 28 nDSG): Sie können verlangen, dass Ihre Daten in einem gängigen elektronischen Format herausgegeben oder an einen anderen Verantwortlichen übertragen werden.
• Recht auf Berichtigung (Art. 32 Abs. 1 nDSG): Sind Ihre Daten unrichtig, können Sie deren Berichtigung verlangen.
• Recht auf Löschung: Sie können die Löschung Ihrer personenbezogenen Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Kontolöschung ist jederzeit in den Einstellungen möglich.
• Widerspruchsrecht: Sie können der Bearbeitung Ihrer Daten für Marketing-Zwecke jederzeit widersprechen.

Einschränkung der Rechte: Die vorstehenden Rechte können gemäss Art. 26 nDSG eingeschränkt, aufgeschoben oder verweigert werden, insbesondere wenn überwiegende Interessen Dritter, gesetzliche Pflichten oder berechtigte Geschäftsgeheimnisse entgegenstehen.

Mitwirkungspflicht: Der Nutzer ist verpflichtet, bei Auskunfts- und Löschungsanfragen die notwendigen Angaben zu machen, damit wir seinem Antrag effizient nachkommen können. Unvollständige oder unklare Anträge können zu einer verzögerten Bearbeitung führen.

Exzessive oder unbegründete Anfragen: Sind Anfragen offensichtlich unbegründet oder exzessiv, insbesondere bei wiederholten Anträgen, behalten wir uns vor, die Auskunft zu verweigern oder einen angemessenen Kostenbeitrag zu erheben (Art. 25 Abs. 7 nDSG).

Identitätsverifizierung: Zur Ausübung Ihrer Rechte ist eine eindeutige Identifizierung erforderlich. Wir behalten uns vor, ergänzende Angaben zur Verifizierung Ihrer Identität zu verlangen, bevor wir einem Antrag entsprechen. Anfragen richten Sie bitte an info@studomics.com. Wir werden Ihnen innert 30 Tagen antworten (Art. 25 Abs. 6 nDSG).

15. Beschwerderecht

Wenn Sie der Ansicht sind, dass die Bearbeitung Ihrer Personendaten gegen das Datenschutzrecht verstösst, haben Sie das Recht, eine Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) einzureichen:

16. Datensicherheitsverletzungen

Im Falle einer Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, melden wir dies unverzüglich dem EDÖB (Art. 24 nDSG). Betroffene Nutzer werden informiert, sofern dies zu ihrem Schutz erforderlich ist oder vom EDÖB verlangt wird.

17. Haftungsausschluss

Die Eatomics GmbH übernimmt keine Haftung für Schäden, die aus der Bearbeitung von Personendaten entstehen, soweit sie nachweisen kann, dass sie die nach den Umständen gebotene Sorgfalt eingehalten hat (Art. 32 Abs. 2 nDSG analog). Insbesondere haften wir nicht für:

• Datenverluste oder unbefugte Datenzugriffe, die auf das Verhalten von Drittanbietern oder Auftragsbearbeitern zurückzuführen sind;
• Schäden infolge höherer Gewalt, Cyberangriffen oder anderen Umständen ausserhalb unseres Einflussbereichs;
• Schäden, die aufgrund von Handlungen oder Unterlassungen des Nutzers entstehen, einschliesslich der unsachgemässen Handhabung von Zugangsdaten.

18. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung jederzeit und ohne vorherige Ankündigung anzupassen. Die jeweils aktuelle Fassung ist stets auf unserer Website abrufbar. Die fortgesetzte Nutzung der Plattform nach Veröffentlichung einer aktualisierten Fassung gilt als Kenntnisnahme der Änderungen. Wir sind nicht verpflichtet, Nutzer individuell über Änderungen zu informieren, bemühen uns aber, wesentliche Änderungen auf der Plattform sichtbar zu machen.

19. Anwendbares Recht und Gerichtsstand

Für alle Streitigkeiten im Zusammenhang mit dieser Datenschutzerklärung und der Bearbeitung von Personendaten gilt ausschliesslich Schweizer Recht. Gerichtsstand ist der Sitz der Eatomics GmbH (Flawil, SG), soweit gesetzlich zulässig.

20. Salvatorische Klausel

Sollten einzelne Bestimmungen dieser Datenschutzerklärung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt. Die unwirksame Bestimmung wird durch eine wirksame Regelung ersetzt, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

21. Kontakt

Bei Fragen zum Datenschutz wenden Sie sich bitte an: