← LEMMA

Datenschutzerklärung

Stand: Juni 2026 · Version Beta

1. Verantwortlicher

Andreas Kreis
Sautterweg 5
70565 Stuttgart
E-Mail: hallo@getlemma.de

2. Welche Daten LEMMA verarbeitet

LEMMA ist während der geschlossenen Beta nur für eingeladene Lehrkräfte zugänglich. Wir erheben so wenig Daten wie technisch möglich:

  • Email-Adresse für Login— bei der Anmeldung erhältst du einen einmaligen Login-Link per Email („Magic-Link"). Die Email wird in Supabase Auth (Frankfurt) gespeichert, damit du dich später wieder anmelden und deine Materialien wiederfinden kannst.
  • Session-Cookies (HttpOnly, Secure, SameSite=Lax) — werden nach Login-Klick gesetzt, damit du angemeldet bleibst (bis zu 60 Tage). Technisch erforderlich.
  • Eingaben im Generator (Klassenstufe, Themenbereich, Differenzierung, optionaler Schwerpunkt) — werden an Anthropic zur Aufgabengenerierung übermittelt.
  • Generierte Materialien— Worksheet-Output und Telemetrie (Token-Verbrauch, Latenz, Cost) werden in Supabase persistent gespeichert und mit deinem Account verknüpft, damit du sie unter „Meine Materialien" wiederfindest.
  • Server-Logs bei Vercel (IP, User-Agent, Request-Path) für Debugging und Sicherheit. Werden gemäß Vercel-Standard nach kurzer Zeit gelöscht.
  • Web-Analytics (Vercel Web Analytics) — anonyme Seitenaufruf-Statistik (Pageviews, Referrer, Browser-Typ, Land). Cookielos, ohne Cross-Site-Tracking, ohne personenbezogene Daten. IP-Adressen werden vor der Speicherung anonymisiert. Wir sehen keine individuellen Nutzer:innen, sondern aggregierte Aufruf-Zahlen pro Seite. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an statistischer Auswertung).
  • Performance-Metriken (Vercel Speed Insights) — anonyme technische Lade- und Reaktionszeiten deines Browsers (Core Web Vitals: LCP, INP, CLS). Cookielos, ohne Cross-Site-Tracking, ohne personenbezogene Daten. Wird ausschließlich genutzt, um langsame Seiten zu erkennen und zu verbessern. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Funktionsfähigkeit und Performance der Website).
  • Worksheet-Bewertungen + NPS — wenn du nach dem Erstellen eines Worksheets eine kurze Bewertung (4-Punkt-Skala) oder eine Empfehlungs-Wahrscheinlichkeit (Net Promoter Score, 0–10) abgibst, speichern wir Score, optionalen Kommentar, deine User-ID und Zeitstempel. Wird ausschließlich zur Produkt- Verbesserung genutzt (welche Modelle und Themenstufen funktionieren besser, welche schlechter), nicht an Dritte weitergegeben. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Dienstes).
  • Feedback-Einsendungen— wenn du den „Feedback"-Button nutzt, speichern wir den Text, optional deine Email (falls du eine hinterlässt), die URL der Seite, von der du gesendet hast, sowie den User-Agent deines Browsers. Speicherung in Supabase Frankfurt. Email-Adresse wird nur zur Beantwortung deines Feedbacks verwendet, nicht für Marketing. Lösch-Recht jederzeit per Email an hallo@getlemma.de. Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Absenden).

Es gibt keine Tracking-Cookies, keine Marketing-Pixel, kein Cross-Site-Tracking.

3. Auftragsverarbeiter

LEMMA setzt folgende externe Dienstleister ein, die Daten in unserem Auftrag verarbeiten (Art. 28 DSGVO):

Vercel Inc. (Hosting)

Anbieter der Hosting-Plattform. Region: Frankfurt am Main (fra1), Deutschland. Standardvertragsklauseln für Datenübermittlungen. Datenschutzerklärung

Supabase Inc. (Datenbank + Auth)

Anbieter der Datenbank für persistierte Materialien und Telemetrie sowie der Login-Infrastruktur. Region: Frankfurt am Main (eu-central-1), Deutschland. Datenschutzerklärung

Resend Inc. (Versand der Login-Mails)

Versendet die Magic-Link-Emails von der Absender-Adresse noreply@getlemma.de. Verarbeitet ausschließlich deine Email-Adresse und den Login-Link. Sitz: USA, Datenübermittlung auf Basis von Standardvertragsklauseln und einem Auftragsverarbeitungs-Vertrag (DPA). Datenschutzerklärung · DPA

Anthropic PBC (KI-Generierung)

Anbieter des Sprachmodells, das die Aufgaben generiert. Sitz: USA. Datenübermittlung in die USA erfolgt auf Basis von Standardvertragsklauseln und einem Auftragsverarbeitungs-Vertrag (DPA). Anthropic nutzt die über die API übermittelten Eingaben nicht zum Training der Modelle. Eingaben werden standardmäßig bis zu 30 Tage zur Missbrauchserkennung gespeichert und anschließend gelöscht. Datenschutzerklärung · DPA

Fly.io Inc. (Schaubild-Rendering)

Anbieter einer Container-Plattform, auf der TeXLive die in Aufgaben enthaltenen Schaubilder serverseitig zu SVG rendert. Übermittelte Daten: ausschließlich die abstrakten Schaubild-Spezifikationen (z.B. Punkt-Koordinaten, Achsen-Beschriftungen) — keine personenbezogenen Daten, keine Aufgabentexte, keine Email-Adressen. Region: Frankfurt am Main. Sitz: USA. Datenübermittlung auf Basis von Standardvertragsklauseln und einem Auftragsverarbeitungs-Vertrag (DPA). Datenschutzerklärung · DPA

Langfuse GmbH (Qualitäts-Telemetrie der KI-Generierung)

Anbieter einer Beobachtungs-Plattform für KI-Anwendungen. Damit wir Fehler in der Material-Erstellung finden und die Qualität verbessern können, werden die Ein- und Ausgaben der KI-Aufrufe protokolliert (z.B. gewählte Themen, das freie Schwerpunkt-Feld und die generierten Aufgabentexte) — zusammen mit technischen Metadaten (Modell, Dauer, Tokenzahl). Keine Email-Adressen, keine Schülerdaten (siehe Hinweis unten). Region: EU (Langfuse EU Cloud). Sitz: Berlin, Deutschland. Verarbeitung auf Basis eines Auftragsverarbeitungs-Vertrags (DPA). Datenschutzerklärung · DPA

Wichtig für Beta-Tester: Gib in den Generator-Eingaben (insbesondere im freien Schwerpunkt-Feld) KEINE personenbezogenen Daten von Schüler:innen ein. Die App ist dafür nicht ausgelegt — bitte nutze nur fachliche Themen.

4. Rechtsgrundlagen

  • Email-Adresse, Login-Session, Bereitstellung der App, Server-Logs: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen des Beta-Tests).
  • Generierung und Speicherung von Materialien: Art. 6 Abs. 1 lit. b DSGVO.
  • Telemetrie (Cost- und Performance-Metriken pro Account): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Wirtschaftlichkeit der App).

5. Deine Rechte

Du hast nach DSGVO unter anderem die folgenden Rechte:

  • Auskunft über die zu deiner Person gespeicherten Daten (Art. 15)
  • Berichtigung unrichtiger Daten (Art. 16)
  • Löschung („Recht auf Vergessenwerden", Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch gegen die Verarbeitung (Art. 21)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77) — zuständig in Baden-Württemberg ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI BW)

Anfragen bitte an hallo@getlemma.de.

6. Speicherdauer + Sicherheit

Login-Sessions werden nach bis zu 60 Tagen automatisch ungültig. Email-Adresse und generierte Materialien bleiben gespeichert, solange du als Beta-Tester aktiv bist — oder bis zur Löschung auf Anfrage. Server-Logs werden gemäß Vercel-Standard nach kurzer Zeit rotiert.

Alle Daten werden verschlüsselt übertragen (TLS 1.2+) und auf den Servern der Auftragsverarbeiter ruhend verschlüsselt gespeichert (Supabase + Vercel Standard-Encryption).

7. Änderungen dieser Datenschutzerklärung

LEMMA befindet sich in geschlossener Beta. Diese Datenschutzerklärung wird angepasst, sobald sich die App weiterentwickelt — z.B. wenn echte User-Authentifizierung, Account-Verwaltung oder neue Auftragsverarbeiter dazukommen. Beta-Tester werden über E-Mail informiert, bevor solche Änderungen wirksam werden.