Datenschutzerklärung

Information nach Art. 13 und 14 DSGVO für die Plattform vantech-academy.de.

Stand: 23. Mai 2026

1. Verantwortlicher

Vantech IT-Beratung Inhaber: Duc Van Nguy Meßdornstr. 16 33106 Paderborn Telefon: +49 176 6789 5883 E-Mail: info@vantech-it.de

Hinweis: Unterhalb der DSGVO-Schwelle von 20 Personen, die regelmäßig automatisierte Verarbeitungen durchführen, ist Vantech IT-Beratung nicht zur Benennung eines:r externen Datenschutzbeauftragten verpflichtet. Anfragen zum Datenschutz richten Sie bitte direkt an die obige E-Mail-Adresse.

2. Welche Daten wir verarbeiten

2.1 Beim Besuch der Plattform (ohne Anmeldung)

  • IP-Adresse
  • Browser-Typ und -Version, Betriebssystem
  • Aufgerufene URL, Verweis-URL (Referer)
  • Zeitstempel des Zugriffs

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Sicherung des Betriebs, Abwehr von Angriffen).

Speicherdauer: maximal 30 Tage in Server-Logs, danach Löschung.

2.2 Bei Registrierung / Anmeldung

  • E-Mail-Adresse
  • Frei wählbarer Anzeigename
  • Zeitstempel der Registrierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.3 Bei Nutzung der Plattform

  • Bearbeitungs-Status pro Modul („abgeschlossen / offen")
  • Selbsttest-Bearbeitungen (Antworten werden serverseitig zur Anzeige der Auflösung mit Erklärungen validiert, aber nicht zur Bewertung aggregiert)
  • Erzeugte Teilnahme-Nachweise (PDF mit Dokument-ID)
  • Audit-Log-Einträge (siehe Modul 3-3 im Kurs)
  • Toolkit-Eingaben (KI-Inventur, Policy-Generator)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrages) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Compliance-Dokumentation und Plattform-Sicherheit).

2.4 Bei Kauf eines Tiers (Stripe)

  • Name, E-Mail-Adresse
  • Rechnungs-Anschrift
  • Zahlungs-Daten (Kreditkarte, SEPA) — werden NICHT bei Vantech gespeichert, sondern direkt bei Stripe (PCI-DSS-konform).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.5 Bei Team-Tier (Multi-User)

Der Inhaber eines Team-Tiers (Praxisinhaber:in, Geschäftsführer:in) ist datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Vantech IT-Beratung tritt für die Verarbeitung der Mitarbeiter-Daten als Auftragsverarbeiter im Sinne von Art. 28 DSGVO auf. Ein AVV (Anlage 1 zu den AGB) ist Vertragsbestandteil.

Der Inhaber ist verpflichtet, seine Mitarbeitenden vor dem Anlegen der Seats nach Art. 13 DSGVO zu informieren. Vantech stellt hierzu unter /legal/mitarbeiter-info eine Muster-Information zur Verfügung.

3. An wen wir Daten übermitteln (Auftragsverarbeiter / Subprozessoren)

Wir setzen externe Dienstleister ein, mit denen jeweils ein AVV nach Art. 28 DSGVO abgeschlossen ist. Aktuelle Liste:

DienstleisterZweckRegionRechtsgrundlage Drittland-Transfer
Supabase Inc. (Hosting in EU)Datenbank, Auth, StorageFrankfurt (eu-central-1)EU — kein Drittland
Vercel Inc.Anwendungs-Hosting (Frontend + API)EU-Region für Compute; globales CDNEU; CDN-Edge nur statische Assets
Stripe Payments Europe Ltd.ZahlungsabwicklungEU + USA-KonzernfunktionenEU-US Data Privacy Framework + SCC
Resend Inc. (geplant ab v1.0)Transaktionaler E-Mail-VersandUSA mit EU-RoutingEU-US DPF + SCC

Die Subprozessor-Liste wird bei Änderungen aktualisiert und ist im AVV (Anlage 1 zu den AGB) detailliert geregelt.

Hinweis: KI-Tool-Anbieter (OpenAI, Anthropic, Google, Microsoft etc.), die der Kunde im Rahmen seiner eigenen KI-Inventur nutzt, sind nicht Auftragsverarbeiter von Vantech. Diese Verarbeitungen finden im eigenen Verantwortungsbereich des Kunden statt; entsprechende AVVs schließt der Kunde selbst direkt mit dem jeweiligen Anbieter ab.

4. Wie lange wir Daten speichern

  • Account-Daten: so lange Ihr Konto aktiv ist; nach Löschung des Kontos 30 Tage Nachlaufzeit zur Rückgabe-Anforderung
  • Schulungs-Dokumente: bei Lifetime-Tier dauerhaft; bei 12-Monats-Tier bis 30 Tage nach Vertragsende
  • Audit-Log-Einträge: 7 Jahre (HGB-/AO-Aufbewahrungsfristen für Compliance-Nachweise)
  • Stripe-Transaktionen: 10 Jahre (steuerrechtliche Aufbewahrungspflicht)
  • Server-Logs: 30 Tage

5. Ihre Rechte

Sie haben das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO, soweit nicht Aufbewahrungspflichten entgegenstehen)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft

Anfragen richten Sie an info@vantech-it.de. Wir bearbeiten innerhalb 30 Tagen.

Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO): zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW, ldi.nrw.de) bzw. die für Ihren Wohnsitz zuständige Behörde.

6. Verifikations-URL für Schulungs-Dokumente — Privacy-by-design

Jede ausgestellte Schulungs-Dokumentation enthält einen QR-Code, der auf eine öffentliche Verifikations-URL zeigt. Dort wird standardmäßig nur die Dokument-ID, der Kurstitel, das Ausstellungsdatum und der Gültigkeits-Status angezeigt.

Ihr Name erscheint dort nicht, es sei denn Sie aktivieren dies ausdrücklich in den Account-Einstellungen (Opt-in unter /dashboard/zertifikate). Sie können diesen Opt-in jederzeit widerrufen.

Die Verifikations-Seite ist mit <meta name="robots" content="noindex, nofollow"> versehen und wird nicht über Suchmaschinen auffindbar.

7. Cookies und Tracking

Wir verwenden ausschließlich technisch notwendige Cookies für Login-Sessions und Authentifizierung. Es wird kein Marketing-Tracking, kein Google-Analytics, kein Facebook-Pixel eingesetzt. Eine Einwilligung in technisch notwendige Cookies ist nach § 25 Abs. 2 Nr. 2 TTDSG nicht erforderlich.

8. Keine automatisierten Einzelentscheidungen

Es findet keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO statt. Insbesondere werden Lerne-Fortschritt und Quiz-Ergebnisse nicht für automatische personalwirtschaftliche oder kreditwirtschaftliche Entscheidungen verwendet.

9. Sicherheit

Wir setzen folgende technische und organisatorische Maßnahmen ein (Auszug aus TOMs in der AVV-Anlage):

  • TLS 1.3 für alle Verbindungen, HSTS
  • Row Level Security (RLS) in der PostgreSQL-Datenbank
  • Magic-Link-Auth, optional 2FA
  • Verschlüsselung at-rest (Supabase AES-256)
  • Daily Backups mit Point-in-Time-Recovery 7 Tage
  • Audit-Log mit SHA-256-Hash-Chain
  • Datenminimierung im Manager-Dashboard (nur „abgeschlossen / offen", keine Selbsttest-Antworten, keine Scores)

10. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Erklärung bei Bedarf — etwa wenn sich gesetzliche Anforderungen ändern oder neue Subprozessoren hinzukommen. Aktuelle Version ist immer unter /legal/datenschutz einsehbar.

Stand: 23. Mai 2026

Vantech IT-Beratung · info@vantech-it.de · vantech-it.de