Datenschutzerklärung der Leadwave Academy

1. Überblick und Geltungsbereich

Diese Datenschutzerklärung informiert Sie darüber, wie wir personenbezogene Daten im Rahmen der Leadwave Academy verarbeiten. Sie gilt für:

• die Website unter leadwave-academy.de,
• die Leadwave Academy Lernplattform (Web-App),
• die Leadwave Coach-App (mobile App für Coaches, iOS und Android),
• die Leadwave Lern-App (mobile App für Lernende, iOS und Android),
• das Coach-Portal für registrierte Coaches,
• das Unternehmensportal für Firmenkunden.

Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG), dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) sowie dem Digitale-Dienste-Gesetz (DDG).

2. Verantwortlicher, Datenschutzbeauftragter und Kontakt

2.1 Verantwortlicher gemäß Art. 4 Abs. 7 DSGVO

flowluap GmbH
Saarstraße 33
54290 Trier
Deutschland

Vertreten durch den Geschäftsführer Paul Wolf
Amtsgericht Wittlich, HRB 44596
USt-IdNr.: DE323127197

E-Mail: datenschutz@leadwave-academy.de
Telefon: 0651 60340399

2.2 Datenschutzbeauftragter

Aufgrund der Verarbeitung sensibler Reflexionsdaten im KI-Reflexionsassistenten „Mindy" sowie der Erstellung von Persönlichkeits- und Wirkprofilen haben wir freiwillig einen Datenschutzbeauftragten benannt:

flowluap GmbH
z. Hd. Paul Wolf (Datenschutzbeauftragter)
Saarstraße 33
54290 Trier

E-Mail: datenschutz@leadwave-academy.de

Bei einer formellen Bestellpflicht nach § 38 BDSG bzw. Art. 37 DSGVO wird die Funktion auf eine externe, unabhängige Person übertragen und diese Datenschutzerklärung entsprechend aktualisiert.

3. Kategorien betroffener Personen

Wir verarbeiten personenbezogene Daten folgender Personengruppen:

• Partner-Coaches: Coaches, die sich auf der Plattform registrieren, Audio-Kurse erstellen und über die Plattform anbieten.
• Lernende / Endnutzer: Personen, die Audio-Kurse über die Plattform konsumieren, entweder als Einzelkäufer oder als Mitarbeitende von Unternehmenskunden.
• Unternehmenskunden und deren Ansprechpartner: Unternehmen, die ein Abo der Leadwave Academy für ihre Mitarbeitenden buchen, sowie die dort benannten Kontaktpersonen.
• Website-Besucher: Personen, die die Website besuchen, ohne sich zu registrieren.
• Kontaktpersonen: Personen, die uns per E-Mail oder über das Kontaktformular kontaktieren.

4. Datenverarbeitung bei Partner-Coaches

4.1 Registrierung und Coach-Konto

Bei der Registrierung als Partner-Coach erheben wir:

• Vollständiger Name
• E-Mail-Adresse
• Passwort (ausschließlich als Hashwert gespeichert, nicht im Klartext)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer: Bis zur Löschung des Coach-Kontos. Abrechnungsrelevante Daten darüber hinaus gemäß §§ 147 AO, 257 HGB bis zu 10 Jahre.

4.2 Coach-Profil

Coaches erstellen ein öffentlich sichtbares Profil im Coachverzeichnis. Folgende Daten werden veröffentlicht:

• Name, Profilbild, biografischer Text (Bio)
• Schwerpunkte und Themen
• Link zum LinkedIn-Profil
• Kursübersicht
• Buchungslink für Terminvereinbarungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit den bei Registrierung akzeptierten AGB.
Speicherdauer: Bis zur Löschung des Profils durch den Coach oder bis zur Beendigung des Vertragsverhältnisses.

4.3 Audio-Kurse und Skripte

Coaches laden Audio-Dateien und PDF-Skripte hoch. Diese werden auf den Servern der Plattform gespeichert, den Lernenden zugänglich gemacht und mittels KI-gestützter Technologien verarbeitet (siehe Abschnitt 11).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Bis zur Löschung durch den Coach. Nach Löschung erfolgt die Entfernung innerhalb von 14 Werktagen; technische Backups können bis zu 30 Tage bestehen bleiben.

4.4 Vergütung und Abrechnungsdaten

Zur Vergütung und Auszahlung verarbeiten wir:

• Bankverbindung (IBAN, BIC, Kontoinhaber)
• Umsatzsteuer-Identifikationsnummer (sofern vorhanden)
• Angaben zur Kleinunternehmerregelung gemäß § 19 UStG
• Abrechnungsübersichten (Umsätze, Hörzeit, Teilnehmerzahlen)
• Gutschriften und Zahlungsbelege

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB (gesetzliche Aufbewahrungspflicht).
Speicherdauer: 10 Jahre gemäß gesetzlicher Aufbewahrungsfristen.

4.5 Nutzungsstatistiken für Coaches

Coaches erhalten über das Coach-Portal Zugang zu aggregierten Nutzungsdaten ihrer Kurse:

• Gesamthörzeit und Hörzeit pro Kapitel
• Anzahl aktiver Teilnehmer
• Abgeschlossene Lektionen
• Anonymisierte Bewertungen und Feedback

Es werden zu keinem Zeitpunkt individuelle Daten einzelner Lernender an Coaches übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kursanalyse und Weiterentwicklung).

5. Datenverarbeitung bei Lernenden / Endnutzern

5.1 Registrierung als Lernender

Bei der Registrierung erheben wir:

• Vollständiger Name
• E-Mail-Adresse (privat oder geschäftlich)
• Passwort (ausschließlich als Hashwert gespeichert)
• ggf. Unternehmenszugehörigkeit (bei Unternehmens-Abos)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Bis zur Löschung des Nutzerkontos; darüber hinaus nur soweit gesetzliche Aufbewahrungsfristen dies erfordern.

5.2 Lernfortschritt und Hörzeit-Tracking

Zur Bereitstellung der Plattform und zur Berechnung der Coach-Vergütung erfassen wir:

• Gehörte Kapitel und deren Dauer
• Abgeschlossene Lektionen und Fortschrittsstatus pro Kurs
• Zeitpunkt des letzten Zugriffs
• Status beantworteter Reflexionsfragen (siehe 5.3)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Während der aktiven Nutzung des Kontos; nach Kontolöschung werden Lernfortschrittsdaten innerhalb von 30 Tagen anonymisiert.

5.3 Reflexionsfragen und Antworten der Lernenden

Im Rahmen einzelner Kurse werden den Lernenden Reflexionsfragen gestellt. Die individuellen Antworten werden ausschließlich im persönlichen Nutzerkonto des Lernenden gespeichert und sind nur für den Lernenden selbst einsehbar. Sie werden weder dem Coach noch dem Unternehmenskunden zugänglich gemacht.

Die Antworten werden nicht zum Training von KI-Modellen verwendet und nicht an Dritte weitergegeben. Lernende können ihre Antworten jederzeit einsehen, bearbeiten und löschen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; bei Themen mit Gesundheitsbezug zusätzlich Art. 9 Abs. 2 lit. a DSGVO (siehe Abschnitt 7).
Speicherdauer: Bis zur Löschung durch den Lernenden oder 30 Tage nach Kontolöschung.

5.4 Zahlungsdaten der Lernenden

Bei Einzelkurs-Käufen werden Zahlungsdaten über unseren Zahlungsdienstleister Stripe verarbeitet (siehe Abschnitt 10.3). Wir selbst speichern keine vollständigen Kreditkarten- oder Kontodaten der Lernenden.

6. Datenverarbeitung bei Unternehmenskunden und gemeinsame Verantwortlichkeit

6.1 Datenverarbeitung bei Firmenkunden

Für Unternehmens-Abos verarbeiten wir:

• Firmenname und Anschrift
• Ansprechpartner (Name, dienstliche E-Mail, Telefon)
• Rechnungsdaten
• Anzahl der lizenzierten Nutzer
• Aggregierte Nutzungsdaten (Gesamthörzeit, Anzahl aktiver Nutzer)

Individuelle Mitarbeiterdaten werden dem Unternehmen nicht zugänglich gemacht. Das Unternehmen erhält ausschließlich aggregierte, nicht personenbezogene Nutzungskennzahlen.

6.2 Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)

Soweit Unternehmenskunden ihre Mitarbeitenden auf die Plattform einladen, stellt die Einladung, Lizenzvergabe und Organisationszuordnung eine gemeinsame Verarbeitungstätigkeit dar. Leadwave Academy und der Unternehmenskunde sind insoweit gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO.

Die Rollen und Pflichten sind in einer gesonderten Vereinbarung zur gemeinsamen Verantwortlichkeit (Joint-Controller-Agreement) geregelt, die jedem Unternehmenskunden vor Vertragsabschluss zur Verfügung gestellt wird. Wesentliche Punkte:

• Der Unternehmenskunde ist für die Rechtmäßigkeit der Einladung seiner Mitarbeitenden sowie für die interne Kommunikation der Nutzung gegenüber der Belegschaft verantwortlich.
• Leadwave Academy ist für den technischen Betrieb der Plattform sowie die Erfüllung der DSGVO-Pflichten aus der Plattform-Nutzung verantwortlich.
• Betroffenenrechte können gegenüber beiden Verantwortlichen geltend gemacht werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für das vertragliche Verhältnis mit dem Unternehmen; für die Mitarbeitenden ergänzend Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Personalentwicklung) oder § 26 BDSG (Beschäftigtendatenverarbeitung), abhängig von der arbeitsrechtlichen Ausgestaltung beim Unternehmenskunden.

7. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Einige Module der Leadwave Academy sowie der KI-Assistent „Mindy" (siehe §11.3) adressieren Themen mit Bezug zur mentalen Gesundheit, zu Stressregulation, emotionaler Selbstwahrnehmung oder vergleichbaren Inhalten. Beantworten Lernende in diesem Zusammenhang Reflexionsfragen oder schildern sie dem KI-Assistenten konkrete persönliche Situationen, können dabei Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO entstehen.

7.1 Art der Verarbeitung

• Speicherung der Antworten und Konversationen ausschließlich im persönlichen Nutzerkonto des Lernenden.
• Keine Weitergabe an Coaches, Unternehmenskunden oder sonstige Dritte.
• KI-Verarbeitung standardmäßig über Mistral La Plateforme (EU/EWR), siehe §11.2 und §13 für Details und Sub-Sub-Processoren.
• Keine Nutzung zum Training von KI-Modellen — Default-Provider Mistral wird über den AI Studio Scale Plan bezogen, der API-Anfragen per Default vom Modell-Training ausnimmt.
• Keine Auswertung zu Profilbildungs- oder Werbezwecken.

7.2 Einwilligung

Die Verarbeitung erfolgt ausschließlich auf Grundlage der ausdrücklichen Einwilligung der Lernenden gemäß Art. 9 Abs. 2 lit. a DSGVO. Die Einwilligung wird vor Beginn entsprechender Module separat eingeholt (gesonderte Checkbox mit klarer Beschreibung der Verarbeitung).

Die Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne dass dadurch die Nutzung anderer Module der Plattform eingeschränkt wird. Nach Widerruf werden die betroffenen Daten innerhalb von 14 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7.3 Technische und organisatorische Schutzmaßnahmen

• Getrennte, zusätzlich verschlüsselte Speicherung besonders sensibler Inhalte.
• Strenge Zugriffsbeschränkungen (Zero-Access-Prinzip gegenüber Mitarbeitenden von Leadwave).
• Automatisierte Löschroutinen bei Konto- oder Einwilligungsentzug.
• Regelmäßige Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO.

8. Datenverarbeitung beim Besuch der Website

8.1 Server-Log-Dateien

Beim Aufruf unserer Website werden automatisch folgende Daten erhoben:

• IP-Adresse (gekürzt und pseudonymisiert)
• Datum und Uhrzeit des Zugriffs
• Aufgerufene Seite / URL
• Browsertyp und -version
• Betriebssystem
• Referrer-URL
• Übertragene Datenmenge

Diese Daten werden nicht mit anderen Datenquellen zusammengeführt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb, Stabilität und Sicherheit der Website).
Speicherdauer: 30 Tage.

8.2 Cookies und vergleichbare Technologien

Technisch notwendige Cookies: erforderlich für den Betrieb der Website (u.a. Session, Authentifizierung, Cookie-Consent). Diese werden ohne Einwilligung gesetzt. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 lit. f DSGVO.

Analyse- und Marketing-Cookies: nur nach ausdrücklicher Einwilligung über unseren Cookie-Banner. Rechtsgrundlage: § 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO.

Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen am Ende jeder Seite widerrufen.

8.3 Kontaktaufnahme

Wenn Sie uns per E-Mail oder über ein Kontaktformular kontaktieren, verarbeiten wir Name (sofern angegeben), E-Mail-Adresse, Datum, Uhrzeit und Inhalt der Nachricht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme); Art. 6 Abs. 1 lit. f DSGVO (Bearbeitung von Anfragen).
Speicherdauer: Bis zur abschließenden Bearbeitung, danach gemäß gesetzlicher Fristen.

9. Datenverarbeitung in den mobilen Apps

9.1 App-Berechtigungen

Die Leadwave Lern-App und die Leadwave Coach-App erfordern je nach genutzter Funktion folgende Berechtigungen:

• Benachrichtigungen: optional, für Erinnerungen und Kursupdates.
• Mikrofon (nur Coach-App): optional, zur Aufnahme von Audio-Inhalten durch Coaches. Wird ausschließlich aktiviert, wenn der Coach aktiv eine Aufnahme startet.
• Speicher (nur Coach-App): zum Upload bzw. Offline-Zugriff auf eigene Kursmaterialien.
• Netzwerkzugriff: zwingend erforderlich für die Plattformnutzung.

Jede Berechtigung kann im Betriebssystem (iOS/Android) jederzeit einzeln entzogen werden.

9.2 Gerätekennungen

Zur Gewährleistung der Session-Sicherheit und zur Zuordnung von Push-Benachrichtigungen verarbeiten wir pseudonymisierte Gerätekennungen (z.B. Push-Token, App-Installations-ID). Werbe-Identifier (IDFA/AAID) werden nicht ausgelesen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); § 25 Abs. 2 Nr. 2 TDDDG.

9.3 Push-Benachrichtigungen

Für den Versand von Push-Benachrichtigungen nutzen wir Apple Push Notification Service (APNs) und Firebase Cloud Messaging (FCM). Dabei werden ausschließlich Push-Token und Benachrichtigungsinhalte übermittelt – keine Kontoinhalte oder Reflexionsantworten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung auf Betriebssystemebene). Widerruf jederzeit in den Geräteeinstellungen möglich.

9.4 Absturz- und Fehleranalyse

Zur Stabilitätssicherung nutzen wir pseudonymisierte Absturz- und Fehlerberichte über unseren Infrastruktur-Anbieter. Dabei werden keine Nutzerinhalte übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an technischer Stabilität).

10. Auftragsverarbeiter und Drittanbieter

Wir setzen sorgfältig ausgewählte Dienstleister ein, die personenbezogene Daten ausschließlich in unserem Auftrag verarbeiten. Mit allen in diesem Abschnitt genannten Dienstleistern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO, sofern sie in dieser Eigenschaft tätig werden.

10.1 Supabase (Hosting und Datenbank)

Anbieter: Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992
Zweck: Hosting, Datenbank, Authentifizierung, Dateispeicherung (Audio, Skripte)
Verarbeitete Daten: sämtliche auf der Plattform gespeicherten Nutzerdaten, Inhalte und Metadaten
Serverstandort: EU (Frankfurt, Deutschland)
Rechtsgrundlage: Art. 28 DSGVO (AV-Vertrag)
Datenschutzhinweise: supabase.com/privacy

10.2 Cloudflare (CDN und Web-Sicherheit)

Anbieter: Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA
Zweck: CDN, DDoS-Schutz, DNS, Leistungsoptimierung
Verarbeitete Daten: IP-Adressen, Browsertyp, Betriebssystem, Referrer, Seitenaufrufe
Drittlandtransfer: USA; abgesichert durch Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO sowie Zertifizierung unter dem EU-US Data Privacy Framework
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; Art. 28 DSGVO
Datenschutzhinweise: cloudflare.com/privacypolicy

10.3 Stripe (Zahlungsabwicklung)

Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland
Zweck: Abwicklung von Zahlungen, Auszahlungen an Coaches
Verarbeitete Daten: Name, E-Mail, Zahlungsinformationen, Rechnungsadresse, Transaktionsdaten
Drittlandtransfer: primär EU (Irland); bei USA-Übermittlung SCC + DPF
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Art. 28 DSGVO
Datenschutzhinweise: stripe.com/de/privacy

Leadwave speichert selbst keine vollständigen Zahlungskartendaten. Stripe ist als PCI-DSS Level 1 zertifiziert.

10.4 Mistral AI (KI-Verarbeitung via La Plateforme)

Anbieter: Mistral AI SAS, 11 rue de la Grange Batelière, 75009 Paris, Frankreich
Zweck: KI-gestützte Verarbeitung von Coach-Inhalten (Transkription, Reflexionsfragen, Kapitelzusammenfassungen, Handlungsempfehlungen) sowie Betrieb des Reflexionsassistenten „Mindy"
Verarbeitete Daten: Audio-Dateien, PDF-Skripte, daraus extrahierte Textinhalte der Coaches sowie Freitext-Eingaben der Lernenden in Mindy-Konversationen
Drittlandtransfer: nicht relevant — Inferenz erfolgt in der EU/EWR (Microsoft-Azure-Datenzentren Schweden/Norwegen unter EU Data Boundary Commitment)
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Datenschutzhinweise: mistral.ai/terms/#privacy-policy · Trust-Center: trust.mistral.ai

Die über die Mistral La Plateforme übermittelten Inhalte werden nicht zum Training von KI-Modellen verwendet — wir beziehen Mistral über den AI Studio Scale Plan, der API-Anfragen per Default vom Modell-Training ausnimmt. Die Auftragsverarbeitung ist über die Mistral-Standard-DPA gemäß Art. 28 DSGVO geregelt.

10.5 SalesViewer (B2B-Leadgenerierung)

Anbieter: SalesViewer GmbH, Bongardstraße 29, 44787 Bochum, Deutschland
Zweck: Identifizierung von Unternehmen (nicht Einzelpersonen) zu Marketing- und Vertriebszwecken
Verarbeitete Daten: pseudonymisierte IP-Adressen, Seitenaufrufe
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an B2B-Neukundengewinnung)
Widerspruch: salesviewer.com/opt-out

10.6 Google Analytics (Webanalyse – nur mit Einwilligung)

Anbieter: Google Ireland Limited
Zweck: Reichweitenanalyse, Optimierung der Website
Verarbeitete Daten: anonymisierte IP-Adresse, Seitenaufrufe, Verweildauer, Browser, Gerät, Referrer
Drittlandtransfer: USA; SCC + DPF
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG
Speicherdauer: 14 Monate
Widerspruch: Cookie-Einstellungen oder Browser-Plugin

10.7 Meta / Facebook-Pixel (nur mit Einwilligung)

Anbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland
Zweck: Lookalike Audiences, Werbeanzeigen-Zielgruppen
Verarbeitete Daten: IP-Adresse, Seitenaufrufe, Interaktionsdaten
Drittlandtransfer: USA; SCC + DPF
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG
Widerspruch: Cookie-Einstellungen oder Meta-Werbeeinstellungen

10.8 Apple Push Notification Service (APNs) und Firebase Cloud Messaging (FCM)

Anbieter: Apple Distribution International Ltd., Hollyhill Industrial Estate, Cork, Irland; Google Ireland Limited
Zweck: Zustellung von Push-Benachrichtigungen an die mobilen Apps
Verarbeitete Daten: Push-Token, Benachrichtigungsinhalte
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung auf Geräteebene)

10.9 Sentry (Fehler- und Performance-Monitoring)

Anbieter: Sentry GmbH, Krausenstraße 9–10, 10117 Berlin, Deutschland (EU-Vertragspartner für Sentry-SaaS); Konzernmutter: Functional Software, Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA
Zweck: Erkennung und Diagnose technischer Fehler in Backend, Frontend, mobilen Apps und Edge-Workern; Performance-Tracing zur Aufrechterhaltung der Plattform-Stabilität; Session-Replay bei Fehlern (nur mit Einwilligung).
Verarbeitete Daten: Stack-Traces, anonymisierte Nutzerkennung (UUID, kein Klarname/keine E-Mail), URL-Pfad ohne Query-Parameter, Browser-/Geräte-Kontext, Konsolen-Breadcrumbs (ohne Cookies, ohne Authorization-Header, ohne Request-Bodies — clientseitig durch requestDataIntegration mit cookies: false, data: false, query_string: false abgeschaltet, zusätzlich serverseitiger PII-Filter in beforeSend); bei Session-Replay zusätzlich maskierte DOM-Snapshots (maskAllText: true, blockAllMedia: true) — sichtbare Texte werden vor der Übertragung lokal durch Platzhalter ersetzt.
Serverstandort: Europäische Union (Frankfurt, Deutschland — de.sentry.io Datenresidenz, gewählt bei Organisationsanlage und nicht änderbar)
Drittlandtransfer: nicht relevant — Datenresidenz ausschließlich EU; Sentry GmbH Berlin ist deutsche Tochtergesellschaft. Eine Übermittlung in die USA findet im normalen Betrieb nicht statt; sollte für Support-Zwecke ausnahmsweise ein Zugriff aus den USA notwendig werden, ist dieser durch Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und Sentrys EU-US-Data-Privacy-Framework-Zertifizierung abgesichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität, IT-Sicherheit und Fehlerdiagnose der Plattform); für Session-Replay zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über den Klaro-Cookie-Banner — Service-Name sentry bzw. session-replay, Default „abgelehnt", Widerruf jederzeit über Cookie-Einstellungen möglich).
Auftragsverarbeitung: Art. 28 DSGVO – Standard-DPA der Sentry GmbH; AI-Service-Data-Improvement (Modell-Training mit Diagnose-Daten) ist bei Organisationsanlage deaktiviert.
Speicherdauer: 30 Tage (Issue-Events und Performance-Spans, Standard-Sentry-Retention für SaaS-Tier); Aggregat-Statistiken länger, ohne personenbezogenen Bezug.
Datenschutzhinweise: sentry.io/privacy · DPA: sentry.io/legal/dpa

11. KI-Verarbeitung von Inhalten

Die Leadwave Academy setzt KI-gestützte Technologien in zwei klar voneinander getrennten Bereichen ein: bei der Aufbereitung von Coach-Inhalten (§11.1 und §11.2) sowie für den KI-Reflexionsassistenten „Mindy", der Lernende bei individueller Selbstreflexion unterstützt (§11.3). Beide Einsatzbereiche werden standardmäßig über die Mistral La Plateforme (Mistral AI SAS, Paris, Frankreich) umgesetzt; die Inferenz-Infrastruktur betreibt Mistral auf EU/EWR-Datenzentren in Schweden und Norwegen (Sub-Sub-Processor: Microsoft Ireland Operations Ltd. unter EU Data Boundary Commitment). Eine vollständige Liste der Sub-Sub-Processoren und unsere Schutzmaßnahmen finden Sie in unserer Sub-Processor-Liste. Auf ausdrücklichen Wunsch eines Unternehmenskunden kann alternativ die Anthropic-Claude-API (USA) genutzt werden; in diesem Fall greifen die im Transfer-Impact-Assessment Anthropic dokumentierten zusätzlichen Schutzmaßnahmen.

11.1 KI-Verarbeitung von Coach-Inhalten – was verarbeitet wird

• Audio-Dateien der Coaches (Transkription)
• PDF-Skripte der Coaches (Textextraktion)
• Daraus extrahierte Textinhalte zur Generierung von Begleitmaterialien

Zweck: automatische Generierung von Reflexionsfragen, Kapitelzusammenfassungen, Handlungsempfehlungen, Lernpfaden und Transkripten.

Was ausdrücklich nicht erfolgt:

• Keine Übermittlung personenbezogener Daten der Lernenden an die KI in diesem Anwendungsfall.
• Keine Übermittlung von Reflexionsantworten oder Mindy-Konversationen der Lernenden in diesen Verarbeitungsstrang.
• Keine Nutzung der übermittelten Inhalte zum Training von KI-Modellen durch den eingesetzten LLM-Anbieter — Mistral La Plateforme wird über den AI Studio Scale Plan bezogen, der API-Anfragen per Default vom Modell-Training ausnimmt; bei Anthropic ist der Trainings-Ausschluss in der Auftragsverarbeitungs-Vereinbarung verankert.

Coaches willigen bei der Registrierung ausdrücklich in die KI-Verarbeitung ihrer Inhalte ein (separate Checkbox mit konkreter Beschreibung). Die KI-generierten Begleitmaterialien werden dem Coach vor Veröffentlichung zur Prüfung und Freigabe vorgelegt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

11.2 Technische Infrastruktur

Standard-LLM-Provider (Default): Mistral La Plateforme (Mistral AI SAS, 11 rue de la Grange Batelière, 75009 Paris, Frankreich). Die Inferenz-Infrastruktur wird durch Mistral auf EU/EWR-Datenzentren in Schweden und Norwegen betrieben (technischer Sub-Sub-Processor: Microsoft Ireland Operations Ltd. unter EU Data Boundary Commitment, abgesichert durch Standard-Vertragsklauseln zwischen Mistral und Microsoft). Die Verarbeitung findet damit ausschließlich innerhalb der Europäischen Union statt; eine Übermittlung in ein Drittland erfolgt nicht. Die Auftragsverarbeitung ist über die Mistral-Standard-DPA gemäß Art. 28 DSGVO geregelt; eine Verwendung der übermittelten Inhalte zum Training von KI-Modellen ist über den Mistral AI Studio Scale Plan per Default ausgeschlossen.

Optionaler LLM-Provider auf Tenant-Wahl: Anthropic Claude (Anthropic, PBC, San Francisco, USA). Bei Wahl dieses Providers durch einen Unternehmenskunden findet eine Übermittlung in die USA statt; sie ist durch EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO und durch das EU-US Data Privacy Framework abgesichert sowie ergänzend durch ein Transfer-Impact-Assessment dokumentiert. Eine Verwendung der Inhalte zum Modell-Training ist auch hier vertraglich ausgeschlossen.

11.3 KI-Reflexionsassistent „Mindy" für Lernende

„Mindy" ist ein in die Leadwave Academy integrierter KI-basierter Reflexionsassistent. Er unterstützt Lernende durch gezielte, offen gestellte Fragen zur Selbstreflexion in fachlichen und mentalen Themenbereichen. Mindy gibt keine konkreten Ratschläge, Empfehlungen oder Handlungsanweisungen, sondern fördert ausschließlich die strukturierte Selbstreflexion der Nutzenden.

11.3.1 Welche Daten verarbeitet werden

• Freitext-Eingaben der Lernenden zu konkreten beruflichen oder persönlichen Situationen
• Von den Lernenden aktiv eingegebene Reflexionsinhalte
• Konversationshistorie mit Mindy (um kontextbezogene Rückfragen zu ermöglichen und auf frühere Reflexionen einzugehen)

11.3.2 Zweck der Verarbeitung

• Individuelle Unterstützung der Selbstreflexion
• Kontextbezogenes Anknüpfen an frühere Konversationen
• Vertiefung der Lerninhalte durch individuelle Fragestellung

11.3.3 Technische Infrastruktur und Server-Standort

• KI-Anbieter (Default): Mistral La Plateforme (Mistral AI SAS, Paris, Frankreich)
• Server-Standort (Default): EU/EWR — Mistral betreibt die Inferenz-Infrastruktur auf Microsoft-Azure-Datenzentren in Schweden und Norwegen (EU Data Boundary)
• Drittlandtransfer (Default): nicht relevant — Verarbeitung ausschließlich in der EU/EWR
• Optional auf Tenant-Wahl: Anthropic Claude (USA), abgesichert durch EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie das EU-US Data Privacy Framework
• Training: Inhalte werden nicht für das Training von KI-Modellen verwendet — Mistral La Plateforme wird über den AI Studio Scale Plan bezogen (per Default opted-out); bei Anthropic vertraglich über die DPA ausgeschlossen

11.3.4 Zugriffsbeschränkung (Zero-Access)

Die Konversationen mit Mindy sind ausschließlich für den Lernenden selbst einsehbar. Es besteht kein Zugriff durch:

• Coaches
• Unternehmenskunden oder Arbeitgeber
• Mitarbeitende der Leadwave Academy (Zero-Access-Prinzip)
• Dritte oder externe Systeme außerhalb der KI-Verarbeitung beim eingesetzten LLM-Anbieter (Mistral bzw. auf Tenant-Wahl Anthropic)

Unternehmenskunden erhalten zu keinem Zeitpunkt Kenntnis davon, ob, wie intensiv oder zu welchen Themen ein Mitarbeitender Mindy genutzt hat. Es werden keine aggregierten oder personenbezogenen Mindy-Nutzungsdaten an Unternehmen ausgeleitet.

11.3.5 Einwilligung und Rechtsgrundlage

Die Nutzung von Mindy erfolgt ausschließlich auf Grundlage der ausdrücklichen, freiwilligen Einwilligung des Lernenden (separate Checkbox mit transparenter Erläuterung vor Erstnutzung).

Da Reflexionen auch Themen mit Bezug zur mentalen Gesundheit umfassen können, umfasst die Einwilligung ausdrücklich auch die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 2 lit. a DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); zusätzlich Art. 9 Abs. 2 lit. a DSGVO für Themen mit Gesundheitsbezug; Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

11.3.6 Keine automatisierte Entscheidungsfindung

Mindy trifft keine Entscheidungen, spricht keine konkreten Empfehlungen aus und bewertet Nutzende nicht. Die Funktion beschränkt sich auf die Formulierung reflektierender Rückfragen. Eine automatisierte Einzelentscheidung im Sinne des Art. 22 DSGVO findet ausdrücklich nicht statt (siehe auch §12).

11.3.7 Widerruf, Opt-out und Löschung

Lernende können jederzeit:

• die Einwilligung zur Nutzung von Mindy widerrufen (Deaktivierung in den Kontoeinstellungen),
• einzelne Konversationen löschen,
• den gesamten Konversationsverlauf löschen,
• eine vollständige Kopie der Konversationsdaten exportieren (Art. 20 DSGVO).

Bei Einwilligungswiderruf werden die gespeicherten Konversationen innerhalb von 14 Tagen vollständig gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Backups werden innerhalb von maximal 30 Tagen überschrieben.

Die Plattform kann ohne Mindy uneingeschränkt in allen anderen Funktionen genutzt werden.

11.3.8 Speicherdauer

• Konversationen bleiben bis zur aktiven Löschung durch den Lernenden oder bis zum Widerruf der Einwilligung erhalten (damit Mindy kontextbezogen arbeiten kann).
• Bei Kontolöschung: automatische Löschung innerhalb von 14 Tagen.
• Verschlüsselte Backups: maximal 30 Tage.

12. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO, die rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt. Insbesondere werden keine automatisierten Profilbildungen zu Bewertungs-, Bonitäts- oder personalwirtschaftlichen Zwecken vorgenommen.

Die in §11.1 beschriebene KI-gestützte Erstellung von Begleitmaterialien zu Kursinhalten stellt keine automatisierte Einzelentscheidung dar, da sie sich ausschließlich auf Kursinhalte und nicht auf Lernende bezieht und sämtliche Ergebnisse vor Veröffentlichung durch den Coach freigegeben werden.

Auch der KI-Reflexionsassistent Mindy (§11.3) trifft keine Entscheidungen über Lernende, bewertet sie nicht und gibt keine konkreten Empfehlungen. Er stellt ausschließlich reflektierende Rückfragen und fällt daher nicht in den Anwendungsbereich des Art. 22 DSGVO.

13. Übermittlung in Drittländer

Personenbezogene Daten werden teilweise in Drittländer außerhalb der EU/des EWR übermittelt, insbesondere in die USA. Die Übermittlung erfolgt ausschließlich unter Anwendung geeigneter Garantien gemäß Kapitel V DSGVO:

Wir führen für jede Drittlandsübermittlung eine Risikoabschätzung (Transfer Impact Assessment, TIA) gemäß EDSA-Empfehlungen durch und dokumentieren diese intern.

14. Datensicherheit und Datenschutzverletzungen

14.1 Technische und organisatorische Maßnahmen

Wir treffen angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO, insbesondere:

• SSL/TLS-Verschlüsselung sämtlicher Datenübertragungen
• Passwort-Hashing (bcrypt/Argon2)
• Verschlüsselte Speicherung besonders schützenswerter Inhalte (Art. 9 DSGVO)
• Regelmäßige Sicherheitsupdates und Patch-Management
• Zugriffsbeschränkungen nach dem Prinzip der geringsten Berechtigung
• Regelmäßige, verschlüsselte Backups
• Row Level Security (RLS) in der Datenbank zur Mandantentrennung
• Periodische Penetrationstests und Sicherheitsüberprüfungen
• Verpflichtung sämtlicher Mitarbeitenden auf das Datengeheimnis

14.2 Meldung von Datenschutzverletzungen

Bei einer Verletzung des Schutzes personenbezogener Daten erfolgt eine Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden gemäß Art. 33 DSGVO. Sofern ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht, werden die Betroffenen ebenfalls unverzüglich benachrichtigt (Art. 34 DSGVO).

15. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO) – für Coaches einschließlich Download ihrer Audio-Dateien und Skripte
• Widerspruch (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) – Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an datenschutz@leadwave-academy.de. Wir bearbeiten Ihre Anfrage innerhalb eines Monats nach Eingang (Art. 12 Abs. 3 DSGVO).

Zuständige Aufsichtsbehörde:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34, 55116 Mainz

Telefon: 06131/8920-0
E-Mail: poststelle@datenschutz.rlp.de
Web: www.datenschutz.rlp.de

16. Speicherfristen im Überblick

17. Nutzung durch Minderjährige

Die Leadwave Academy ist grundsätzlich für Erwachsene im beruflichen Weiterbildungskontext konzipiert. Im Hinblick auf minderjährige Nutzende differenzieren wir wie folgt:

17.1 Einzelnutzung (B2C)

Eine direkte Registrierung und Nutzung der Plattform durch Minderjährige außerhalb eines Unternehmens-Abos ist nicht vorgesehen. Einzelkonten setzen eine Volljährigkeit der nutzenden Person voraus.

17.2 Nutzung im Rahmen von Unternehmens-Abos (B2B)

Im Kontext eines bestehenden Unternehmens-Abos können Unternehmenskunden auch minderjährige Beschäftigte – insbesondere Auszubildende, duale Studierende oder vergleichbare Rollen – zur Nutzung der Plattform einladen, sofern der Arbeitgeber dies aktiv entscheidet. In diesem Fall gelten folgende Regelungen:

• Der Unternehmenskunde verantwortet die arbeitsrechtliche und datenschutzrechtliche Grundlage der Nutzung durch Minderjährige. Er trägt insbesondere die Haftung für die Rechtmäßigkeit der Einladung und der Zuweisung von Kursinhalten.
• Bei Minderjährigen unter 16 Jahren ist gemäß Art. 8 Abs. 1 DSGVO zusätzlich die Einwilligung der Erziehungsberechtigten einzuholen. Die Einholung und Dokumentation dieser Einwilligung obliegt dem Unternehmenskunden.
• Der Unternehmenskunde stellt sicher, dass die Inhalte, zu denen Minderjährige Zugang erhalten, für deren Alter und Entwicklungsstand angemessen sind.
• Module, die besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO berühren können (z.B. Inhalte mit Bezug zur mentalen Gesundheit) sowie die Nutzung des KI-Reflexionsassistenten „Mindy" (§11.3) erfordern bei Minderjährigen eine gesonderte, ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Bei unter 16-Jährigen ist hierfür die Einwilligung der Erziehungsberechtigten erforderlich.
• Die Zuständigkeit für die interne Kommunikation gegenüber Minderjährigen und ihren Erziehungsberechtigten liegt beim Unternehmenskunden.

17.3 Verantwortlichkeitsabgrenzung

Im Rahmen der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO (§6.2) wird die Verantwortung für die Rechtmäßigkeit der Nutzung durch Minderjährige – einschließlich der Einholung erforderlicher Einwilligungen der Erziehungsberechtigten – ausdrücklich dem Unternehmenskunden zugewiesen. Leadwave Academy stellt die technische Plattform sowie entsprechende Einwilligungsmechanismen bereit, übernimmt aber keine eigene Prüfung der arbeits- oder familienrechtlichen Zulässigkeit der Einladung.

17.4 Sperrung bei Kenntnis unrechtmäßiger Nutzung

Sollten wir Kenntnis davon erlangen, dass ein Konto durch eine minderjährige Person ohne die in §17.2 genannten Voraussetzungen eingerichtet oder genutzt wird, sperren wir das Konto unverzüglich und löschen die zugehörigen personenbezogenen Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

18. Soziale Medien und externe Links

Auf unserer Website finden sich Verlinkungen zu sozialen Netzwerken und externen Diensten. Diese sind datenschutzfreundlich als reine Hyperlinks eingebunden – Ihre Daten werden erst dann an die Server des jeweiligen Netzwerks übertragen, wenn Sie den Button aktiv anklicken (Shariff-Prinzip).

Wir haben keinen Einfluss auf Art und Umfang der Datenverarbeitung durch die Anbieter der sozialen Netzwerke. Die jeweiligen Datenschutzhinweise entnehmen Sie bitte den Internetauftritten der Anbieter.

19. Online-Streitbeilegung

Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit: ec.europa.eu/consumers/odr.

Unsere E-Mail-Adresse: datenschutz@leadwave-academy.de. Wir sind weder verpflichtet noch bereit, an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.

20. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage, der Funktionsumfang der Plattform oder die Datenverarbeitung ändert. Die jeweils aktuelle Version ist unter leadwave-academy.de/datenschutz abrufbar. Wesentliche Änderungen kommunizieren wir registrierten Nutzern zusätzlich per E-Mail oder über die Plattform.

21. Kontakt

Bei Fragen zum Datenschutz oder zur Wahrnehmung Ihrer Rechte:

flowluap GmbH
Saarstraße 33
54290 Trier
Deutschland

E-Mail: datenschutz@leadwave-academy.de
Telefon: 0651 60340399