Supertut
Datenschutzerklärung
Hier informieren wir Sie darüber, wie personenbezogene Daten bei der Nutzung von Supertut verarbeitet werden.
1. Verantwortlicher und Kontakt
Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist, soweit Supertut über Zwecke und Mittel der Verarbeitung selbst entscheidet (siehe Abschnitt 2):
Edwise GmbH (Betreiberin von Supertut)Magirus-Deutz-Straße 16, 89077 UlmVertreten durch: Oleg Winokurow und Tim Knittel · Handelsregister: HRB 750296Kontakt für DatenschutzOleg WinokurowE-Mail: oleg.winokurow@supertut.comTelefon: +49 162 683 0443Ein:e Datenschutzbeauftragte:r ist nicht bestellt, da hierfür keine gesetzliche Pflicht besteht. Für Datenschutzanliegen steht der oben genannte Kontakt zur Verfügung.
2. Rolle von Supertut: Verantwortlicher und Auftragsverarbeiter
Supertut verarbeitet personenbezogene Daten in zwei unterschiedlichen Rollen. Welche Angaben dieser Erklärung einschlägig sind, hängt davon ab, wie Sie Supertut nutzen:
2.1 Supertut als Verantwortlicher
Für die öffentliche Website, selbst angelegte Nutzerkonten (Registrierung mit eigener E-Mail/eigenem Nutzernamen), Kontaktaufnahmen sowie vertriebliche Vorgänge (z. B. Terminvereinbarung, CRM) entscheidet Supertut über Zwecke und Mittel der Verarbeitung und ist damit Verantwortlicher. Für diese Verarbeitungen gilt die vorliegende Datenschutzerklärung unmittelbar.
2.2 Supertut als Auftragsverarbeiter für Hochschulen
Setzt eine Hochschule Supertut im Rahmen einer Lehrveranstaltung ein — insbesondere beim Zugang über den Hochschul-Login (Single Sign-On) sowie bei der Verarbeitung von Lern-, Leistungs- und Prüfungsdaten im Auftrag — ist die Hochschule Verantwortliche und Supertut Auftragsverarbeiter nach Art. 28 DSGVO. Grundlage ist ein Auftragsverarbeitungsvertrag (AVV). In diesem Fall ist vorrangig die Datenschutzerklärung der jeweiligen Hochschule maßgeblich; Supertut verarbeitet die Daten ausschließlich weisungsgebunden (Details siehe Abschnitt 11).
3. Kategorien betroffener Personen und Daten
Je nach Nutzung verarbeiten wir personenbezogene Daten von Websitebesucher:innen, registrierten Nutzer:innen (u. a. Studierende), Interessent:innen/Ansprechpartner:innen bei Hochschulen sowie von Personen, die uns kontaktieren. Die verarbeiteten Datenkategorien werden in Abschnitt 4 im Einzelnen beschrieben.
4. Verarbeitungen im Einzelnen
4.1 Konto- und Authentifizierungsdaten
Zur Bereitstellung des Nutzerkontos und der Anmeldung verarbeiten wir je nach Anmeldeweg:
- Selbstregistrierung: Nutzername, E-Mail-Adresse, Passwort (ausschließlich als Hash gespeichert)
- Bestätigungs-/Rücksetz-/Löschvorgänge: temporäre Token (Wert, Ablaufzeitpunkt, Zweck)
- Anmeldung über Hochschul-Login (SSO/SAML): eine SSO-Kennung zur Zuordnung des Kontos (z. B. Objekt-/Tenant-Kennung, ggf. eine vom Identity-Provider übermittelte E-Mail). Passwörter erhalten und speichern wir dabei nicht
- Sitzungsverwaltung: JWT-Token (Access-/Refresh-Token) in Browser-Cookies
Rechtsgrundlage: Vertragserfüllung bzw. vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO); beim Einsatz im Auftrag einer Hochschule erfolgt die Verarbeitung weisungsgebunden nach Art. 28 DSGVO.
4.2 Profil- und Stammdaten
Zur Personalisierung und für aggregierte Auswertungen können Hochschule/Studiengang und eine Rolle sowie ein optionales Profilbild verarbeitet werden. Profilbilder werden nach dem Upload in ein komprimiertes Format (WebP) umgewandelt und in einem Objektspeicher (S3) abgelegt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO; bei Hochschul-Einsatz Art. 28 DSGVO.
4.3 Lern-, Leistungs- und Nutzungsdaten
Zur Bereitstellung der Lerninhalte, zur Fortschritts- und Ergebnisdarstellung, für Ranglisten sowie für Statistiken verarbeiten wir insbesondere:
- Aufgaben-Einreichungen (Lösung, bestanden/nicht bestanden, Ausgabe, benötigte Zeit, Bezug/Scope)
- Prüfungs-/Testläufe (ausgewählte Aufgaben, Bewertung, Dauer)
- Challenge-Läufe, Feedback-Angaben (Bewertung, Freitext, Bezug), Tutorial-Zuweisungen und Auszeichnungen (Badges)
Beim Einsatz im Rahmen einer Lehrveranstaltung kann dieser Umfang datensparsam konfiguriert werden — insbesondere pseudonym bzw. ohne Verknüpfung der Ergebnisse mit einer identifizierbaren Person (z. B. nur Auswertung auf Kohorten-/Studiengangsebene). Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO bzw. Art. 28 DSGVO im Auftrag der Hochschule.
4.4 Kommunikations- und Supportdaten
- Kontaktanfragen (Name, E-Mail, Telefon, Nachricht) werden zur Bearbeitung an unser CRM (HubSpot) übergeben
- Support-/Fehlermeldungen (Reports) mit zugehörigem Bezug und Beschreibung sowie Statusrückmeldungen
- Transaktions-, Trigger- und Bestätigungsmails sowie Zertifikate (inkl. Name/Nutzername im PDF) über die E-Mail-Dienstleister Mailjet und SMTP2GO
Rechtsgrundlage: Vertragserfüllung/vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b) bzw. berechtigtes Interesse an Kommunikation und Support (Art. 6 Abs. 1 lit. f DSGVO).
4.5 Vertrieb und Terminvereinbarung (Calendly)
Eine eigenständige Selbst-Anforderung einer Demo-Version durch Interessent:innen wird nicht mehr angeboten. Für die Terminvereinbarung mit uns binden wir den Dienst Calendly ein. Dabei verarbeitete Angaben (z. B. Name, E-Mail-Adresse, Terminwunsch) werden zur Terminabwicklung genutzt und in unserem CRM (HubSpot) gespeichert. Calendly kann dabei technisch notwendige sowie ggf. weitere Cookies setzen. Rechtsgrundlage: Durchführung vorvertraglicher Maßnahmen bzw. berechtigtes Interesse (Art. 6 Abs. 1 lit. b/f DSGVO); für nicht erforderliche Cookies Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
4.6 Testzugänge für Interessent:innen
Interessierten Ansprechpartner:innen (z. B. Lehrende sowie Studiengangs- oder Vorkursleitungen) stellen wir auf Wunsch einen Testzugang zur Evaluierung der Plattform bereit. Hierfür verarbeiten wir die E-Mail-Adresse der Ansprechperson sowie einen daraus abgeleiteten Nutzernamen.
Das initiale Passwort wird von uns vergeben und der Person per E-Mail (über unsere E-Mail-Dienstleister Mailjet/SMTP2GO) mitgeteilt. Es wird ausschließlich als Hash gespeichert; nach der Erstellung haben wir keinen Zugriff mehr auf das Passwort im Klartext. Rechtsgrundlage: Durchführung vorvertraglicher Maßnahmen bzw. berechtigtes Interesse an der Produktpräsentation (Art. 6 Abs. 1 lit. b/f DSGVO). Nicht mehr benötigte Testzugänge werden gelöscht.
4.7 Technische Zugriffsdaten
Zur Absicherung des Zugriffs und für den Prüfungsbetrieb werten wir zur Laufzeit technische Daten aus: IP-Adresse (u. a. für Zugriffsschutz/Whitelisting) sowie den User-Agent (z. B. zur Erkennung des Safe Exam Browser). Eine dauerhafte Speicherung dieser Zugriffsdaten in der Datenbank erfolgt nach aktueller Konfiguration nicht. Rechtsgrundlage: berechtigtes Interesse an Sicherheit und ordnungsgemäßem Prüfungsbetrieb (Art. 6 Abs. 1 lit. f DSGVO).
4.8 Cookies und Einwilligung
Technisch erforderliche Cookies zur Sitzungs- und Authentifizierungsverwaltung (JWT Access-/Refresh-Token) sind für den Betrieb notwendig (Art. 6 Abs. 1 lit. f DSGVO; § 25 Abs. 2 TDDDG) und bedürfen keiner Einwilligung. Nicht zwingend erforderliche Dienste — insbesondere die Reichweitenmessung (Abschnitt 4.9) — setzen wir nur auf Grundlage Ihrer Einwilligung ein, die Sie über unseren Cookie-Banner erteilen und jederzeit mit Wirkung für die Zukunft widerrufen können (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG).
4.9 Reichweitenmessung mit Google Analytics
Unsere Website nutzt Google Analytics, einen Webanalysedienst der Google Ireland Limited bzw. Google LLC. Google Analytics verwendet Cookies, die eine Analyse der Nutzung der Website ermöglichen. Die dabei erzeugten Informationen (einschließlich einer gekürzten IP-Adresse) werden an Server von Google übertragen und dort gespeichert; eine Übermittlung in die USA ist dabei möglich (siehe Abschnitt 6). Wir setzen die IP-Anonymisierung ein, sodass Ihre IP-Adresse innerhalb der EU/des EWR vor der Übermittlung gekürzt wird. Der Einsatz erfolgt ausschließlich auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Sie können die Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.
5. Empfänger und Auftragsverarbeiter
Zur Erbringung unserer Leistungen setzen wir sorgfältig ausgewählte Dienstleister ein, die überwiegend als Auftragsverarbeiter tätig werden. Eine Datenübermittlung erfolgt nur, soweit dies zur Zweckerfüllung erforderlich ist. Die folgende Übersicht nennt die wesentlichen Empfänger:
| Empfänger | Zweck | Übermittelte Daten | Sitz / Drittland |
|---|---|---|---|
| Mailjet | Transaktions-/Bestätigungsmails | Empfänger-E-Mail, Nutzername, Links/Token | EU |
| SMTP2GO | Mailzustellung, Zertifikate | Empfänger, Mailinhalt, Name/Nutzername, PDF-Anhang | EU |
| HubSpot | Kontaktformular, CRM | Name, E-Mail, Telefon, Nachricht | EU (Germany) |
| Calendly | Terminvereinbarung | Name, E-Mail, Terminwunsch, Cookie-IDs | USA |
| Google (Analytics) | Reichweitenmessung (mit Einwilligung) | Nutzungsdaten, gekürzte IP, Cookie-IDs | USA |
| Sanity | Content-Bereitstellung, SSO-Konfiguration | Content-Abfragen; Zugriffsparameter (z. B. accessIp/isSeb) | EU (Belgium) |
| AI Recommendation Service | Adaptive Empfehlungen | Nutzer-ID, Scope, Einreichungen/Metadaten | EU (Germany) |
| Test-Harness / Code-Sandboxes | Auswertung von Code-Aufgaben | Eingereichter Code, Aufgabendaten | EU (Germany) |
| Microsoft / Azure (OAuth/SAML) | Hochschul-Login (SSO) | Claims wie E-Mail, Objekt-ID, Name | Depending on tenant |
| AWS S3 | Speicherung Profilbilder | Bilddatei unter nutzerbezogenem Schlüssel | EU (Germany) |
| OpenTelemetry-Transport | Zentrale Logs/Tracing | Strukturierte Logs (trace-/spanId) | EU (Germany) |
Speicherorte der fachlichen Daten sind im Wesentlichen eine MongoDB (Hauptdaten), ein Redis-Cache sowie ein S3-Objektspeicher (Profilbilder).
6. Übermittlung in Drittländer
Soweit Empfänger ihren Sitz außerhalb des Europäischen Wirtschaftsraums (insbesondere in den USA, u. a. Google und Calendly) haben oder dort Daten verarbeiten, stützen wir die Übermittlung auf geeignete Garantien: entweder auf eine Zertifizierung des Empfängers unter dem EU-US Data Privacy Framework (Angemessenheitsbeschluss) oder auf Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO), ggf. ergänzt um zusätzliche Schutzmaßnahmen.
Hinweis zur Rechtslage: Das EU-US Data Privacy Framework ist derzeit in Kraft, steht jedoch unter rechtlicher Beobachtung (u. a. anhängiges Verfahren vor dem EuGH; ein US-Urteil vom Juni 2026 hat die Diskussion um die Unabhängigkeit der Aufsicht neu belebt). Wir beobachten die Entwicklung und passen die Transfergrundlagen bei Bedarf an.
7. Speicherdauer und Löschung
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Technisch gesetzte Ablaufzeiten:
| Daten / Zweck | Frist |
|---|---|
| JWT Access-Token (Sitzung) | 30 Minuten |
| JWT Refresh-Token (Sitzung) | 14 Tage |
| Bestätigungs-Token (Confirm) | 30 Minuten |
| Passwort-Rücksetz-Token (Reset) | 15 Minuten |
| Konto-Lösch-Token (Delete) | 60 Minuten |
| Cache (Redis) — Standard-TTL | 4 Stunden |
| CRM-Daten (HubSpot) | 3 Jahre ohne weitere Vertragsbeziehung, dann Löschung |
| Konto- und Lerndaten | bis zur Kontolöschung / nach AVV-Vorgaben — Frist festlegen |
8. Ihre Rechte
Sie haben nach der DSGVO das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie das Recht, einer Verarbeitung auf Grundlage berechtigter Interessen zu widersprechen (Art. 21). Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3).
Zur Ausübung Ihrer Rechte wenden Sie sich an den oben genannten Kontakt. Zudem steht Ihnen ein Beschwerderecht bei einer Aufsichtsbehörde zu (Art. 77 DSGVO), insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts oder am Sitz des Verantwortlichen, in diesem Falle LfDI Baden-Württemberg.
Werden Ihre Daten im Auftrag einer Hochschule verarbeitet (Abschnitt 2.2), richten Sie Betroffenenanfragen bitte an die Hochschule als Verantwortliche; wir unterstützen diese im Rahmen des AVV.
9. Datensicherheit
Wir treffen technische und organisatorische Maßnahmen, um Ihre Daten gegen Verlust, Manipulation und unberechtigten Zugriff zu schützen (u. a. Passwörter nur als Hash, tokenbasierte Sitzungen mit kurzer Gültigkeit, Zugriffsschutz/IP-Whitelisting, sicherer Prüfungsbetrieb inkl. Safe Exam Browser). Unsere Maßnahmen werden fortlaufend an den Stand der Technik angepasst.
10. Anmeldung über den Hochschul-Login (SSO)
Bei der Anmeldung über den Login Ihrer Hochschule (Single Sign-On, z. B. via Microsoft/Azure) authentifizieren Sie sich unmittelbar bei Ihrer Hochschule bzw. deren Identity-Provider. Supertut erhält kein Passwort, sondern lediglich ein Bestätigungs-Token sowie die zur Kontozuordnung notwendigen, minimalen Angaben (konfigurierbar). Der Umfang dieser Angaben wird im Auftragsverarbeitungsvertrag mit der Hochschule festgelegt.
11. Verarbeitung im Auftrag von Hochschulen
Beim Einsatz im Rahmen einer Lehrveranstaltung ist die Hochschule Verantwortliche und Supertut Auftragsverarbeiter (Art. 28 DSGVO). Der AVV regelt insbesondere: welche Daten vom Identity-Provider übermittelt werden, zu welchen Zwecken Supertut sie verarbeitet, welche Daten ausdrücklich nicht erhoben oder gespeichert werden sowie die Weisungsgebundenheit, Vertraulichkeit, Löschung und Unterstützung bei Betroffenenrechten. Ergebnisse können dabei auf Wunsch pseudonym bzw. ausschließlich auf Kohortenebene (z. B. nach Studiengang) ausgewertet werden.
12. Änderungen dieser Datenschutzerklärung
Stand: 13.07.2026 · Version: 2.0