Datenschutzerklärung

1. Verantwortlicher und Kontaktdaten

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und sonstiger datenschutzrechtlicher Bestimmungen ist:

Vertretungsberechtigte Geschäftsführer: Alex Kollmer, Hevend Hussein

2. Überblick der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Betroffene Personen

• Besucher unserer Website (rihla-app.de)
• Nutzer der Rihla App (Schüler/Studenten)
• Lehrkräfte, die die Rihla App nutzen
• Erziehungsberechtigte minderjähriger Nutzer
• Kommunikationspartner (Kontaktformular, E-Mail)
• Geschäftspartner

Anwendungsbereich

Diese Datenschutzerklärung gilt für:

• Die Website rihla-app.de und alle Unterseiten
• Die Rihla App für iOS und Android
• Alle Social-Media-Auftritte
• Jegliche E-Mail-Kommunikation mit uns

3. Rechtsgrundlagen der Verarbeitung

Im Folgenden informieren wir Sie über die Rechtsgrundlagen gemäß der Datenschutz-Grundverordnung (DSGVO), auf deren Basis wir personenbezogene Daten verarbeiten:

Hinweis für Deutschland: Zusätzlich zur DSGVO gelten in Deutschland nationale Datenschutzvorschriften, insbesondere das Bundesdatenschutzgesetz (BDSG). Das BDSG enthält insbesondere Spezialregelungen zum Recht auf Auskunft, zum Recht auf Löschung, zum Widerspruchsrecht, zur Verarbeitung besonderer Kategorien personenbezogener Daten, zur Verarbeitung für andere Zwecke und zur Übermittlung sowie automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling.

4. Arten der verarbeiteten Daten

Im Folgenden listen wir detailliert auf, welche Kategorien personenbezogener Daten wir verarbeiten:

5. Zwecke der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten für folgende Zwecke:

6. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die Erfüllung des jeweiligen Zwecks erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Löschkonzept

Unser Löschkonzept stellt sicher, dass personenbezogene Daten systematisch und nachvollziehbar gelöscht werden:

• Automatische Löschung: Bestimmte Daten (z.B. Logs) werden automatisch nach Ablauf der definierten Frist gelöscht.
• Kontolöschung: Bei Löschung des Nutzerkontos werden alle verknüpften Daten innerhalb von 30 Tagen gelöscht.
• Anonymisierung: Wo möglich, anonymisieren wir Daten anstatt sie zu löschen, um aggregierte Statistiken zu erhalten.
• Backup-Retention: Backups werden nach 90 Tagen überschrieben; gelöschte Daten sind spätestens dann vollständig entfernt.

7. Empfänger und Drittanbieter

Zur Erbringung unserer Dienste setzen wir die folgenden Dienstleister (Auftragsverarbeiter) ein:

8. Drittlandtransfer (Datenübermittlung außerhalb der EU)

Einige unserer Dienstleister haben ihren Sitz außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in den USA. In diesen Fällen stellen wir durch geeignete Garantien sicher, dass Ihre Daten angemessen geschützt sind:

9. Schutz von Minderjährigen

Altersgrenze und Einwilligung

Gemäß Art. 8 DSGVO und § 25 TTDSG gilt in Deutschland:

• Nutzer ab 16 Jahren können selbst in die Datenverarbeitung einwilligen.
• Nutzer unter 16 Jahren benötigen die Einwilligung eines Erziehungsberechtigten.
• Bei der Registrierung wird das Alter abgefragt.
• Bei Nutzern unter 16 Jahren fordern wir die Bestätigung durch einen Erziehungsberechtigten an.

Verifizierung der elterlichen Einwilligung

Wir ergreifen angemessene Maßnahmen, um die elterliche Einwilligung zu verifizieren:

• E-Mail-Bestätigung durch den Erziehungsberechtigten
• Angabe der Kontaktdaten des Erziehungsberechtigten
• Möglichkeit für Erziehungsberechtigte, den Account des Kindes zu verwalten

Besondere Schutzmaßnahmen für Minderjährige

• Keine Weitergabe von Daten Minderjähriger an Dritte zu Werbezwecken
• Keine personalisierten Werbeanzeigen für Minderjährige
• Lehrer sehen nur die für den Unterricht notwendigen Daten
• Eltern/Erziehungsberechtigte können jederzeit Auskunft über die Daten ihres Kindes verlangen
• Eltern/Erziehungsberechtigte können jederzeit die Löschung der Daten ihres Kindes verlangen

Kindgerechte Sprache

In der App selbst verwenden wir eine einfache, verständliche Sprache, um auch jüngeren Nutzern zu erklären, welche Daten wir erheben und warum.

10. Ihre Rechte als Betroffener

Nach der DSGVO stehen Ihnen folgende Rechte zu:

Zuständige Aufsichtsbehörde

Ausübung Ihrer Rechte

Um Ihre Rechte auszuüben, kontaktieren Sie uns bitte unter:

• E-Mail: support@rihla-app.de
• In der App: Einstellungen → Datenschutz → Datenauskunft/Löschung
• Account-Löschung: Account-Löschseite

Wir werden Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang bearbeiten. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

11. Datenverarbeitung in der Rihla App

11.1 Registrierung und Nutzerkonto

Bei der Registrierung erheben wir:

• E-Mail-Adresse (zur Kontoverifizierung und Anmeldung)
• Name (zur Personalisierung und für Lehrer)
• Passwort (wird verschlüsselt gespeichert, niemals im Klartext)
• Rolle (Schüler oder Lehrer)
• Altersangabe (zur Prüfung der Einwilligungsfähigkeit)

11.2 Lernfortschritt und Gamification

Während der Nutzung speichern wir:

• Memorisierte Suren und Ayat
• Lernzeiten und -sitzungen
• Punkte, Streaks und Meilensteine
• Hausaufgaben und deren Status
• Feedback von Lehrern

11.3 Lehrer-Schüler-Beziehung

Für die Zuordnung zu Lehrern verarbeiten wir:

• Zuordnung Schüler ↔ Lehrer
• Moschee-/Institutszugehörigkeit (falls zutreffend)
• Nachrichten zwischen Schüler und Lehrer
• Hausaufgaben-Kommentare und Bewertungen

11.4 Rollen und Berechtigungen

12. Audio-Aufnahmen und Mikrofon-Zugriff

Zweck der Audio-Aufnahmen

• Aufnahme Ihrer Quran-Rezitationen
• Übermittlung an Ihren Lehrer zur Tajweed-Bewertung
• Speicherung für Ihren persönlichen Lernfortschritt
• Ermöglichung von Feedback durch die Lehrkraft

Einwilligung und Widerruf

• Vor der ersten Aufnahme werden Sie um Erlaubnis für den Mikrofon-Zugriff gebeten.
• Sie können die Berechtigung jederzeit in den Geräteeinstellungen widerrufen.
• Bereits gespeicherte Aufnahmen können Sie einzeln oder mit dem gesamten Account löschen.

Speicherung und Zugriff

• Audio-Dateien werden verschlüsselt auf unseren EU-Servern (Supabase) gespeichert.
• Zugriff haben nur Sie selbst und Ihr zugewiesener Lehrer.
• Administratoren haben nur bei technischen Problemen oder Support-Anfragen Zugriff.
• Audio-Dateien werden nicht für Werbezwecke oder KI-Training verwendet.

13. Push-Benachrichtigungen

Zweck

Mit Ihrer Einwilligung senden wir Ihnen Push-Benachrichtigungen für:

• Erinnerungen an das tägliche Lernen
• Benachrichtigungen über neue Hausaufgaben
• Feedback von Ihrem Lehrer
• Informationen über erreichte Meilensteine
• Wichtige Service-Mitteilungen

Technische Umsetzung

Für Push-Benachrichtigungen nutzen wir:

• iOS: Apple Push Notification Service (APNs)
• Android: Firebase Cloud Messaging (FCM)

Dabei wird ein gerätespezifisches Token gespeichert, das keine Rückschlüsse auf Ihre Person zulässt.

Einwilligung und Widerruf

Sie können Push-Benachrichtigungen jederzeit deaktivieren:

• In den Einstellungen der Rihla App
• In den Systemeinstellungen Ihres Geräts

14. Webhosting und Infrastruktur

Beim Besuch unserer Website werden automatisch technische Informationen erhoben, die für den Betrieb und die Sicherheit der Website erforderlich sind.

Erhobene Daten

• IP-Adresse (anonymisiert nach 7 Tagen)
• Datum und Uhrzeit des Zugriffs
• Angeforderte Seite/Ressource
• Browser-Typ und -Version
• Betriebssystem
• Referrer-URL (woher Sie kamen)

Vercel (Website-Hosting)

Unsere Website wird auf Servern von Vercel Inc. gehostet. Vercel speichert Server-Logs für maximal 7 Tage zur Sicherheit und Fehleranalyse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Website-Betrieb)

15. Kontaktformular

Wenn Sie uns über das Kontaktformular auf unserer Website kontaktieren, verarbeiten wir folgende Daten:

• Name
• E-Mail-Adresse
• Betreff
• Nachrichteninhalt
• Zeitstempel der Anfrage
• IP-Adresse (zur Missbrauchserkennung)

Zweck: Bearbeitung Ihrer Anfrage und Rückmeldung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Speicherdauer: 3 Jahre nach Abschluss der Kommunikation, sofern keine gesetzlichen Aufbewahrungspflichten bestehen

E-Mail-Versand: Der Versand erfolgt über den Dienst Resend. Sie erhalten eine Bestätigungs-E-Mail an die angegebene Adresse.

16. Cookies und lokale Speicherung

Was sind Cookies?

Cookies sind kleine Textdateien, die auf Ihrem Gerät gespeichert werden und bestimmte Informationen enthalten. Sie dienen dazu, die Website funktionsfähig zu machen und Ihr Nutzererlebnis zu verbessern.

Von uns verwendete Cookies

Keine Tracking-Cookies

Wir verwenden keine Tracking-Cookies, Analyse-Tools von Drittanbietern (wie Google Analytics) oder Werbe-Cookies. Ihre Nutzung wird nicht für Werbezwecke ausgewertet.

Cookie-Einstellungen

Da wir nur technisch notwendige Cookies verwenden, ist keine gesonderte Einwilligung erforderlich (Art. 6 Abs. 1 lit. f DSGVO). Sie können Cookies dennoch in Ihren Browser-Einstellungen verwalten oder löschen. Beachten Sie, dass dies die Funktionalität der Website beeinträchtigen kann.

Lokale Speicherung (LocalStorage)

Zusätzlich zu Cookies nutzen wir den LocalStorage Ihres Browsers, um bestimmte Einstellungen lokal zu speichern (z.B. UI-Präferenzen). Diese Daten werden nicht an unsere Server übermittelt.

17. Technische und organisatorische Maßnahmen (TOM)

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

Verschlüsselung

• Transport: Alle Daten werden über TLS/HTTPS verschlüsselt übertragen.
• Speicherung: Daten werden auf den Servern verschlüsselt gespeichert (AES-256).
• Passwörter: Werden gehasht (bcrypt) und niemals im Klartext gespeichert.

Zugriffskontrolle

• Row Level Security (RLS): Jeder Nutzer kann nur auf seine eigenen Daten zugreifen.
• Role-Based Access Control (RBAC): Strenge Trennung der Berechtigungen nach Rollen.
• Administratorzugriff: Nur autorisierte Mitarbeiter, protokolliert und auf das Notwendige beschränkt.

Datensicherung

• Tägliche automatische Backups
• Geo-redundante Speicherung
• Regelmäßige Tests der Wiederherstellung

Monitoring und Incident Response

• Überwachung auf Sicherheitsvorfälle
• Dokumentiertes Verfahren bei Datenpannen
• Meldung an Aufsichtsbehörde binnen 72 Stunden (Art. 33 DSGVO)
• Benachrichtigung Betroffener bei hohem Risiko (Art. 34 DSGVO)

Organisatorische Maßnahmen

• Schulung aller Mitarbeiter im Datenschutz
• Vertraulichkeitsverpflichtung aller Mitarbeiter
• Regelmäßige Überprüfung der Schutzmaßnahmen
• Dokumentation aller Verarbeitungstätigkeiten

18. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unseres Dienstes sowie der Datenverarbeitung anzupassen.

• Bei wesentlichen Änderungen werden wir Sie per E-Mail oder In-App-Benachrichtigung informieren.
• Die aktuelle Version ist stets auf dieser Seite verfügbar.
• Das Datum der letzten Aktualisierung finden Sie am Anfang dieses Dokuments.
• Bei Änderungen, die Ihre Einwilligung erfordern, werden wir diese erneut einholen.