Rechtliches

Datenschutzerklärung

Gemäß DSGVO, BDSG und TMG · Stand: Februar 2026

Inhaltsverzeichnis

→ Impressum→ AGB
Kurzfassung: Campus Companion verarbeitet nur die Daten, die du uns gibst oder die technisch notwendig sind. Wir verkaufen keine Daten. Du kannst jederzeit Auskunft, Löschung oder Berichtigung verlangen. Alle Verarbeitungen erfolgen DSGVO-konform auf Servern in der EU.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Kinetiq UG (haftungsbeschränkt) i.G.

Rheinpromenade 13

40789 Monheim am Rhein

E-Mail: info@campus-companion.de

Vertreten durch: Arman Samary (Geschäftsführer)

Bei Fragen zum Datenschutz erreichst du uns unter der oben genannten E-Mail-Adresse. Ein gesonderter Datenschutzbeauftragter ist gemäß Art. 37 DSGVO nicht bestellt.

2. Grundsätze der Verarbeitung

Wir verarbeiten personenbezogene Daten nach den Grundsätzen der DSGVO:

  • Rechtmäßigkeit, Transparenz: Jede Verarbeitung hat eine Rechtsgrundlage.
  • Zweckbindung: Daten werden nur für den angegebenen Zweck verarbeitet.
  • Datenminimierung: Wir erheben nur, was wirklich benötigt wird.
  • Richtigkeit: Veraltete Daten werden korrigiert oder gelöscht.
  • Speicherbegrenzung: Daten werden gelöscht, sobald der Zweck entfällt.
  • Integrität & Vertraulichkeit: Technisch-organisatorische Schutzmaßnahmen (TOM).

3. Erhobene Daten

3.1 Kontodaten (bei Registrierung)

Bei der Erstellung eines Accounts erheben wir:

  • Name (Vor- und Nachname)
  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert, Bcrypt-Hash)
  • Semester, Universität, Studiengang (für personalisierte Ausgaben)
  • Bei Google-Login: Profil-ID, Name und E-Mail über OAuth 2.0

3.2 Nutzungsdaten

Im Rahmen der Plattformnutzung speichern wir:

  • Welche Tools genutzt wurden (Tool-ID und Zeitstempel) – für das Kontingent-Tracking
  • Von dir eingegebene Texte für KI-Anfragen (nur zur Verarbeitung, nicht dauerhaft gespeichert)
  • KI-Ergebnisse in deiner Verlaufshistorie (sofern du Einträge speicherst)

3.3 Zahlungsdaten

Beim Kauf eines Abonnements oder von Partner-Codes werden Zahlungsdaten ausschließlich über Stripe verarbeitet. Wir selbst speichern keine Kreditkartendaten. Wir erhalten lediglich eine Bestätigung über den Zahlungsstatus sowie ggf. die E-Mail-Adresse und den Namen des Käufers.

3.4 Serverlogdaten

Beim Aufruf unserer Website erfasst der Webserver automatisch:

  • IP-Adresse des anfragenden Rechners (anonymisiert)
  • Datum und Uhrzeit der Anfrage
  • Name und URL der abgerufenen Datei
  • Browsertyp und Betriebssystem
  • HTTP-Statuscode

Diese Daten werden für maximal 7 Tage gespeichert und danach automatisch gelöscht.

4. Verarbeitungszwecke

Account-Verwaltung

Bereitstellung und Verwaltung deines persönlichen Kontos, Authentifizierung, Passwortverwaltung.

KI-Tool-Betrieb

Verarbeitung deiner Eingaben durch KI-Modelle (OpenAI) zur Generierung der gewünschten Texte, Analysen und Dokumente.

Abonnement-Verwaltung

Abwicklung von Zahlungen, Aktivierung und Verwaltung von Abonnement-Plänen und Partner-Codes.

Kontingent-Tracking

Zählen der täglichen KI-Anfragen zur Durchsetzung des Freikontingents bei Basis-Nutzern.

E-Mail-Kommunikation

Versand von Transaktions-E-Mails (Registrierung, Passwort-Reset, Partner-Codes) über Resend.

Verbesserung des Dienstes

Aggregierte, anonymisierte Nutzungsstatistiken zur Weiterentwicklung der Plattform.

5. Rechtsgrundlagen (Art. 6 DSGVO)

VerarbeitungRechtsgrundlage
Kontoverwaltung, LoginArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
KI-Tool-NutzungArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
ZahlungsabwicklungArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Transaktions-E-MailsArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
ServerlogdatenArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: IT-Sicherheit)
NutzungsstatistikenArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Produktverbesserung)
Google OAuthArt. 6 Abs. 1 lit. a DSGVO (Einwilligung)

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben:

  • Kontodaten: Bis zur Löschung des Accounts (auf Anfrage) oder bis zu 30 Tage nach Ablauf des letzten Abonnements.
  • Serverlogdaten: Maximal 7 Tage.
  • Nutzungslogs (Kontingent): 30 Tage rollierend.
  • Verlaufshistorie: Bis zur manuellen Löschung durch den Nutzer oder Account-Löschung.
  • Bestelldaten / Zahlungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht nach § 147 AO, § 257 HGB).
  • Partner-Codes: Bis zur Einlösung + 3 Jahre für steuerliche Nachweise.

7. Drittanbieter & Auftragsverarbeiter

7.1 OpenAI (KI-Verarbeitung)

Für die KI-Funktionen nutzen wir die API von OpenAI, LLC (San Francisco, USA). Deine Eingaben werden an OpenAI zur Verarbeitung übermittelt. OpenAI verarbeitet Daten auf Basis der Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO.

OpenAI Datenschutzrichtlinie →

7.2 Stripe (Zahlungsabwicklung)

Zahlungen werden über Stripe Payments Europe, Ltd. (Irland) abgewickelt. Stripe ist PCI-DSS Level 1 zertifiziert. Kreditkartendaten verlassen nie unsere Server – sie werden direkt an Stripe übermittelt.

Stripe Datenschutzrichtlinie →

7.3 Resend (E-Mail-Versand)

Transaktionale E-Mails werden über Resend, Inc. (USA) versendet. Hierfür wird deine E-Mail-Adresse übermittelt. Die Verarbeitung erfolgt auf Basis der EU-Standardvertragsklauseln.

Resend Datenschutzrichtlinie →

7.4 Google OAuth (optionaler Login)

Wenn du dich mit deinem Google-Konto anmeldest, nutzen wir Google OAuth 2.0. Dabei werden Name, E-Mail-Adresse und Profil-ID von Google an uns übermittelt. Wir erhalten kein Passwort und keinen dauerhaften Zugriff auf dein Google-Konto.

Google Datenschutzerklärung →

7.5 Vercel (Hosting & Infrastruktur)

Die Plattform wird auf Vercel, Inc. (San Francisco, USA) gehostet. Vercel verarbeitet Serverlogdaten in EU-Rechenzentren (Frankfurt/Dublin) und ist nach EU-US Data Privacy Framework zertifiziert.

Vercel Datenschutzrichtlinie →

8. Cookies & Session-Daten

Campus Companion setzt ausschließlich technisch notwendige Cookies ein. Es werden keine Marketing- oder Tracking-Cookies verwendet.

CookieZweckLaufzeit
next-auth.session-tokenAuthentifizierungs-Session (JWT)30 Tage
next-auth.csrf-tokenCSRF-Schutz bei Login-FormularenSession
next-auth.callback-urlWeiterleitung nach LoginSession

Darüber hinaus nutzt die Partner-Seite sessionStorage (kein Cookie, nur im Browser-Tab) für den Passwortschutz. Diese Daten verlassen dein Gerät nicht.

9. Deine Rechte als betroffene Person

Gemäß DSGVO stehen dir folgende Rechte zu. Du kannst diese jederzeit unter info@campus-companion.de geltend machen:

Auskunftsrecht (Art. 15 DSGVO)

Du kannst jederzeit kostenlos Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.

Berichtigungsrecht (Art. 16 DSGVO)

Du hast das Recht, unrichtige oder unvollständige Daten berichtigen zu lassen.

Löschungsrecht (Art. 17 DSGVO)

Du kannst die Löschung deiner Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Einschränkung (Art. 18 DSGVO)

Du kannst die Einschränkung der Verarbeitung verlangen, z. B. wenn du die Richtigkeit der Daten bestreitest.

Datenübertragbarkeit (Art. 20 DSGVO)

Du kannst deine Daten in einem strukturierten, maschinenlesbaren Format erhalten.

Widerspruchsrecht (Art. 21 DSGVO)

Du kannst der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen.

Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Erteilte Einwilligungen (z. B. Google-Login) können jederzeit mit Wirkung für die Zukunft widerrufen werden.

Beschwerderecht bei einer Aufsichtsbehörde

Wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen die DSGVO verstößt, hast du das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen. Die zuständige Behörde für Nordrhein-Westfalen ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW)

Postfach 20 04 44

40102 Düsseldorf

Tel.: +49 211 38424-0

E-Mail: poststelle@ldi.nrw.de

www.ldi.nrw.de →

10. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um deine Daten gegen unbefugten Zugriff, Verlust und Missbrauch zu schützen:

  • TLS/SSL-Verschlüsselung für alle Datenübertragungen
  • Passwort-Hashing mit bcrypt (kein Klartext-Passwort)
  • JWT-basierte Sessions mit CSRF-Schutz
  • Stripe-Tokenisierung für Zahlungsdaten (keine Speicherung bei uns)
  • Rollbasierte Zugriffskontrolle auf API-Ebene
  • Regelmäßige Sicherheitsupdates der Abhängigkeiten
  • Hosting in ISO 27001 / SOC 2-zertifizierten Rechenzentren

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie stets den aktuellen gesetzlichen Anforderungen zu entsprechen oder um Änderungen unserer Dienste umzusetzen. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.

Letzte Aktualisierung: Februar 2026