VoyaLang

Privacy Policy

This English text is a non-binding courtesy translation. Only the German version is legally binding under the GDPR as applied in Germany.

Last updated: 25 May 2026

1. Controller under the GDPR

The controller responsible for data processing on this website is:

Maryam Mohebi Langhansstraße 87B 13086 Berlin Germany

Email: contact@mohebi.me

Additional operator information can be found on the Impressum page.

2. Data Protection Officer

We are not required to appoint a data protection officer under § 38(1) BDSG because fewer than twenty persons are regularly engaged in the automated processing of personal data in our organization, and we do not carry out any processing that requires a data protection impact assessment. For any privacy-related questions please contact us directly at contact@mohebi.me.

3. Processing activities, purposes and legal bases

3.0 Server logs

When you visit our website, your browser sends technical connection data to our server (IP address, date and time, requested URL, HTTP status, transferred bytes, browser identifier and referrer URL). These access logs are used solely to ensure stable operation and to detect attacks. No profiling or cross-referencing with other data sources takes place.

Legal basis: Art. 6(1)(f) GDPR. The legitimate interest arises from GDPR Recital 49 (network and information security). Log data is automatically deleted after a maximum of 14 days.

3.1 Registration and account management

To create a user account we process your email address, optional username, password and display name. Passwords are stored only in cryptographically hashed form and never in clear text.

Email verification: Before an account is created we verify control of the email address you provided by sending a time-limited verification code via our processor Resend (see Section 4). The code is stored only in cryptographically protected form and is removed as soon as it is successfully used, the attempts limit is reached, or its validity expires (15 minutes after issuance). Changing your account email later goes through the same verification step. “Sign in with Google” skips verification because Google has already confirmed ownership of the address.

Password reset: If you forget your password, or if you want to recover access to a Google-linked account that never had a password set, you can request a one-time reset link via “Forgot password?”. We send the link through our processor Resend (see Section 4) to your registered email address. Used links are invalidated immediately; unused links expire 15 minutes after issuance. After a successful reset, existing sessions are terminated and you must sign in again with the new password.

Marketing attribution: if you arrived from a campaign URL and granted the marketing category of the cookie banner before signing up, campaign identifiers from the attribution cookie described in Section 7 are copied onto your user record when the account is created so we can attribute the registration to the campaign that brought you. Without marketing consent the cookie is never written, so no identifiers are available to copy and the user record is created with the attribution columns left blank. The identifiers are read only once at account creation and contain no personal data. Legal basis: Art. 6(1)(a) GDPR (consent) in conjunction with § 25(1) TDDDG for the cookie storage; the on-server processing of the copied identifiers is then carried out under Art. 6(1)(f) GDPR (legitimate interest in measuring the effectiveness of our own marketing).

You may optionally store a planned exam date so the dashboard can show a countdown and a weekly practice recommendation. Providing the exam date is voluntary and you can change or clear it at any time. Legal basis: Art. 6(1)(a) GDPR (consent).

Legal basis: Art. 6(1)(b) GDPR (performance of a contract). Without these details we cannot create an account or grant access to the correction service.

3.1a Product communications

After you create an account we send a short welcome email, up to two one-time reminders if you have not yet tried the correction service within the first few days of signing up, a milestone notification right after your first scored writing, and a one-time invitation to share product feedback once you have completed a few scored submissions without leaving any in-app feedback yourself. These messages are addressed to the email you registered with and are sent through our processor Resend (see Section 4).

Each of these messages includes a one-click unsubscribe link. Using that link permanently removes you from these product communications. Essential account messages (the verification code and the password-reset link described above) are unaffected by the opt-out because they are required for the account to function.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in onboarding our users to the service we contracted with them to provide) and, where applicable, § 7(3) UWG for the existing-customer exemption. You may object at any time via the unsubscribe link.

3.2 Login and authentication

After a successful login we issue a session token so that you remain logged in. The token is stored in your browser and protected by appropriate technical and organizational measures.

Legal basis: Art. 6(1)(b) GDPR (performance of a contract) and § 25(2) No. 2 TDDDG (strictly necessary access to information stored on your device).

3.3 Login IP address

On every successful login we store the IP address used for that login in your user account. We store only the most recent IP address, not a running log of all login events.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest). GDPR Recital 49 expressly recognizes ensuring network and information security as a legitimate interest.

Legitimate-interest balancing test:

  • Purpose: detecting and investigating account takeover, credential stuffing and abuse of the correction service.
  • Necessity: we only store the single most recent IP, not a history. Less intrusive alternatives (no storage, or hashing) would defeat the security purpose with no meaningful privacy gain.
  • Balancing: users of a security-relevant application reasonably expect a login audit. The IP is not combined with profiling, not shared with third parties, and is automatically deleted after the retention window. Users can delete their account at any time (Art. 17 GDPR), which removes the IP immediately.

Retention: the stored IP is automatically cleared no later than 14 days after the user's last login.

3.4 Writing correction (OpenAI and Anthropic APIs)

When you submit a text for correction, the submitted text and the selected parameters (task type, target band, optional topic) are processed through the APIs of OpenAI L.L.C., 3180 18th Street, San Francisco, CA 94110, USA, and/or Anthropic PBC, 548 Market Street, San Francisco, CA 94104, USA. For this processing both providers act as our processors within the meaning of Art. 28 GDPR.

Legal basis: Art. 6(1)(b) GDPR (performance of a contract - the correction service is the core contractual service).

Important note on training data: under OpenAI's API data usage policy and Anthropic's usage policy, content submitted via the APIs is not used to train language models. The providers may retain API inputs for a limited period for abuse and quality monitoring and delete them afterwards unless a legal obligation requires longer retention.

For more information see the OpenAI Data Processing Addendum, OpenAI enterprise privacy page, and Anthropic privacy page. Details on the third-country transfer are in Section 5 below.

3.5 Storing your writings and correction history

Submitted texts, corrections received and band scores are stored in your user account so that you can track your progress and revisit earlier work. For authenticated users we treat your writings as personal data, even when the text content itself contains no direct identifiers.

Legal basis: Art. 6(1)(b) GDPR (performance of a contract).

3.5a Diagnostic capture of model calls (off by default)

For quality-assurance purposes the operator may temporarily record individual model requests and responses to investigate a specific issue (for example, an obviously incorrect band score). The capture is off by default, kept on our own servers, never shared with third parties, and automatically removed after a short period. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in maintaining the quality of the correction service).

3.5b Optional feedback on your writing

After a writing is corrected, the app may show a short feedback form asking whether the score, the corrections and the rewrite were useful. The form is optional and can be dismissed. If you submit it, we store your ratings and any free-text comment against your writing so the operator can improve the correction pipeline.

Legal basis: Art. 6(1)(a) GDPR (consent given by submitting the form) for the optional comment, and Art. 6(1)(f) GDPR (legitimate interest in improving service quality) for the ratings tied to your account.

Retention and deletion: feedback rows are kept as research data and have no automatic retention window. If you self-delete your account (Section 4), your user reference is nulled out on every feedback row you owned so the rating and comment survive without identifying you. An admin can also permanently delete an individual feedback row on request.

3.6 Cookies and browser storage

Further details on the cookies and browser storage entries we use are in Section 7. Non-strictly-necessary entries include functional user-interface preferences and reach measurement (when configured). These entries are only written after you give consent.

Google Analytics 4: we use Google Analytics to measure reach and to evaluate the effectiveness of our own marketing. IP addresses are anonymized before transfer to Google. Google LLC is certified under the EU-US Data Privacy Framework (DPF). In addition to the browser-side measurement, a limited set of conversion events (such as completed sign-up or first writing submission) is sent server-side to the same analytics property so the figures remain accurate when browser-side tracking is blocked. All analytics processing is gated on your consent and stops when you withdraw it. For more information see Google's privacy policy. You can install the Google Analytics opt-out browser add-on to disable data collection.

Google Ads conversion measurement: when you complete a sign-up or submit your first essay, a conversion event may be sent to Google Ads so the platform can attribute the action to the campaign that brought you here. To improve attribution when browser-side tracking is blocked, the event may include a one-way cryptographic hash of your email address; the hash cannot be reversed back into your email and lets the platform match the conversion to a logged-in account without us sharing the email itself. The event is sent only after you grant analytics consent.

Legal basis: § 25(2) No. 2 TDDDG for strictly necessary storage; § 25(1) TDDDG in combination with Art. 6(1)(a) GDPR for consent-based storage. You can withdraw your consent at any time via the "Cookie preferences" button.

3.7 Contact form

On the /contact page you can send us a message, report a problem, or submit a GDPR data-subject request (e.g. access, erasure). We process the following data:

  • Name (optional)
  • Email address (required)
  • Subject (optional)
  • Message (required)
  • IP address and user agent of the submitter - stored for abuse prevention only.
  • User ID for registered, logged-in users, so we can link the inquiry to an existing account. For registered users, the name and email fields are additionally prefilled from the account profile in line with the data-minimization principle of Art. 5(1)(c) GDPR. No user ID is stored for guests or visitors who are not logged in.
  • Marketing attribution (only when present): the attribution cookie described in Section 7 exists only if you granted the marketing category of the cookie banner before submitting; in that case the campaign identifiers stored in the cookie are sent alongside the message. Without marketing consent the cookie is never written and no identifiers are attached. The identifiers contain no personal data and are used exclusively for our internal marketing-effectiveness analysis. Legal basis: Art. 6(1)(a) GDPR (consent) in conjunction with § 25(1) TDDDG for the cookie storage; Art. 6(1)(f) GDPR for the downstream analysis of any identifiers received with the message.

Legal basis: Art. 6(1)(b) GDPR (performance of a contract, for contract-related inquiries) and Art. 6(1)(f) GDPR (legitimate interest in answering general inquiries and in network and information security for IP/UA data).

Retention: Non-archived messages are automatically deleted 90 days after submission. Archived messages are retained until manually deleted by an administrator. We aim to respond to GDPR requests within one month (Art. 12(3) GDPR). The form uses appropriate technical anti-abuse measures; no cookies, tracking pixels or third-party scripts are embedded.

3.8 Using the service without an account

The correction service can be used without registering. In that case we only process the text you submit and the technical connection data (IP address, timestamp, browser type) that arise when your browser establishes an HTTPS connection to our server.

The submitted text is forwarded to OpenAI and/or Anthropic (see Sections 3.4 and 5). It is not stored in a database; once the correction is delivered to your browser, no user-generated data remains on our systems. Connection data is kept in server logs for up to 14 days (see Section 3.0).

Legal basis: Art. 6(1)(b) GDPR (performance of the service you explicitly requested) and Art. 6(1)(f) GDPR (legitimate interest in network and information security for connection data).

4. Recipients and processors

We only share personal data with the following recipients, each on the legal basis named above:

  • OpenAI L.L.C. (USA) - processor for AI-assisted text correction. See Sections 3.4 and 5.
  • Anthropic PBC (USA) - processor for AI-assisted text correction. See Sections 3.4 and 5.
  • Resend (Resend, Inc.) (USA) - processor for delivering transactional email (currently only the email verification code used at registration and when you change your account email, and the password-reset link, see Section 3.1). Data shared with Resend: the email address you entered and the verification code or password-reset link. Resend is certified under the EU-US Data Privacy Framework; additionally, we have entered into a data processing agreement with Standard Contractual Clauses of the European Commission. We do not send newsletters or marketing emails. Legal basis: Art. 6(1)(b) GDPR (performance of a contract).
  • Google LLC (USA) - When you use “Sign in with Google”, your Google-issued ID token is verified server-side through the Google API. Your email address, Google user ID (“sub” claim) and display name are read from the token and stored persistently in your user account so we can recognize you on future sign-ins. This data is retained until you delete your account (Art. 17 GDPR). Google does not act as a processor because no personal data is transmitted from us to Google - the verification only checks the signature of the token already present in your browser. Legal basis: Art. 6(1)(b) GDPR (performance of a contract). More information: Google's privacy policy.
  • Microsoft Ireland Operations Limited (Ireland) - processor for session recording and heatmaps (Microsoft Clarity) used to understand how visitors use our website (when consent is given). Data processed: your anonymized IP address, screen size, device type, browser information, country, preferred language, and your interactions with the page (mouse movements, scroll behavior and clicks). We have entered into a data processing agreement with Microsoft; any onward transfer to sub-processors in the USA (Microsoft Corporation, Redmond) is governed by the Standard Contractual Clauses of the European Commission (Art. 46(2)(c) GDPR). Recordings stored at Clarity are automatically deleted after a maximum of 13 months. You can object to recording at any time via the cookie banner; a recording that is already in progress when you withdraw consent stops at the next full page reload. More information about Microsoft's processing is available in the Microsoft Privacy Statement and the Microsoft Clarity Terms of Use. Legal basis: Art. 6(1)(a) GDPR (consent).

Hosting in Germany. Personal data is processed exclusively on servers in a data center in Germany and does not leave this server location. The facility operator only provides power, cooling, physical access control and network connectivity; they have no logical access to the application or the data, and are therefore not a data processor within the meaning of Art. 28 GDPR.

We currently do not use any payment providers or other tracking providers besides Google Analytics and Microsoft Clarity (each when consent is given). We send only transactional email (see Section 3.1); we do not send newsletters or marketing emails.

5. Third-country transfer (OpenAI and Anthropic, USA)

When you use the correction service, your submitted text is transferred to OpenAI and/or Anthropic servers in the United States. Under the GDPR the United States is treated as a third country without a general adequacy finding; the transfer therefore relies on a two-layered safeguards model:

  1. EU-US Data Privacy Framework: OpenAI and Anthropic are certified under the European Commission's adequacy decision Commission Implementing Decision (EU) 2023/1795 of 10 July 2023 (DPF). The list of certified US companies is publicly searchable at dataprivacyframework.gov.
  2. Standard Contractual Clauses (SCCs): as an additional safeguard, we have concluded with OpenAI and Anthropic the new Standard Contractual Clauses adopted by the Commission in Implementing Decision (EU) 2021/914. The corresponding addendum is part of the OpenAI Data Processing Addendum.

You have the right under Art. 13(1)(f) GDPR to request a copy of the safeguards in place. Please send such a request to contact@mohebi.me.

6. Retention periods

  • Server logs: up to 14 days from the time of creation.
  • Account data (email, username, password hash, display name, optional exam date): until the user deletes the account. If the account has no activity (no submitted writings, no contact messages, and the invite code owned by the user has not been used by anyone), the record is removed immediately and completely on deletion. Otherwise we pseudonymize the identifier fields and remove the password hash so that re-login becomes impossible.
  • Writings, corrections, band scores: until the user deletes the individual writing or deletes the account.
  • Login IP address: at most 14 days after the last login. The value is automatically cleared by a background task.
  • Contact form messages: non-archived messages are automatically deleted 90 days after submission. Archived messages are retained until manually deleted by an administrator.
  • Anonymous guest sessions: if you try the product without signing up, an anonymous guest account is created. If that account stays inactive for 3 days (no writings submitted, no contact messages sent, never converted to a regular account), a background task hard-deletes it from the database.
  • Email correspondence: up to 6 months after the conversation is closed, unless a legal retention obligation applies.
  • Cookie consent record: as configured by the consent management tool (6 months by default), so that you are not asked again on return visits.

If we introduce a billing feature in the future, statutory retention periods under § 147 AO (up to 10 years) will apply to tax-relevant records. We will update this policy accordingly.

7. Cookies and browser storage

VoyaLang uses cookies and browser storage for the following purposes:

  • Authentication (strictly necessary): We store a session token in your browser so that you remain logged in during your session. It is automatically removed on logout or after expiry.
  • Functional preferences (consent required): Your user-interface preferences (e.g. layout arrangement, sidebar state) are saved in your browser so that your settings persist across visits. These entries are only set with your consent.
  • Session data (strictly necessary): Some temporary entries are used for navigation and displaying status messages. They are automatically cleared when you close the browser tab.
  • Cookie consent (strictly necessary): A cookie records your cookie banner choices so that you are not asked again on return visits (duration: 6 months).
  • Region classification (strictly necessary): A short-lived entry in your browser storage carries only whether the visit originates from the GDPR jurisdiction, so we can render the appropriate form of the cookie banner.
  • Marketing attribution (consent required): A first-party cookie is set only after you grant the marketing category of the cookie banner and only when you arrive on the site via a marketing campaign. It stores only the campaign identifiers and a first-seen timestamp; it contains no personal data and is never shared with third parties. The values are sent to our own server only when you create an account or submit the contact form, so we can attribute the signup to the campaign that brought you. Withdrawing consent via the marketing category automatically clears the cookie. Lifetime: 90 days. Legal basis: Art. 6(1)(a) GDPR (consent) in conjunction with § 25(1) TDDDG.
  • Reach measurement (consent required): If you consent, Google Analytics sets cookies for reach measurement. IP addresses are anonymized before transfer to Google. These cookies have a lifespan of up to 2 years.
  • Session recording (consent required): If you consent, Microsoft Clarity places first-party storage entries in your browser so it can record your interactions with the page and turn them into aggregated heatmaps. Lifetime of these entries: typically up to 12 months. The Microsoft processor is described in Section 4.

"Strictly necessary" means the entry is required under § 25(2) No. 2 TDDDG for the service you explicitly requested. For all other entries we obtain your consent via the consent banner.

When you visit our site from a country outside the EEA, the United Kingdom or Switzerland, we treat the consent-required categories as accepted under the local privacy framework without showing the banner first. You can adjust or withdraw your choice at any time via the "Cookie preferences" button; the right to withdraw consent under Art. 7(3) GDPR is unaffected.

8. Automated decision-making

Band score assessment is performed algorithmically by AI language models (OpenAI and/or Anthropic). It does not produce legal or similarly significant effects within the meaning of Art. 22 GDPR; the output is intended as a learning aid, not as an official IELTS score. We nonetheless disclose transparently that the scoring is AI-generated.

9. Your rights as a data subject

You have the following rights with regard to the personal data we hold about you:

  • Right of access (Art. 15 GDPR)
  • Right to rectification (Art. 16 GDPR)
  • Right to erasure (Art. 17 GDPR)
  • Right to restriction of processing (Art. 18 GDPR)
  • Right to data portability (Art. 20 GDPR)
  • Right to object to processing based on Art. 6(1)(f) GDPR (Art. 21 GDPR) - in particular to the storage of the login IP address
  • Right to withdraw consent at any time (Art. 7(3) GDPR); the lawfulness of processing carried out before withdrawal is not affected

To exercise these rights, an informal email to contact@mohebi.me is sufficient. We respond to requests within one month (Art. 12(3) GDPR); this period may be extended by up to two further months in justified cases.

Account deletion: you can delete your own account from inside the application (profile page). If your account has no activity (no submitted writings, no contact messages, and the invite code you own has not been used by anyone), the record is removed immediately and completely. Otherwise your email and username are pseudonymized, the password hash is removed, and the login IP address is cleared immediately; your submitted writings remain in the database but are associated only with an anonymous identifier.

Right to complain: you also have the right to lodge a complaint with a data protection supervisory authority (Art. 77 GDPR). The competent authority for our registered address is: BlnBDI, Alt-Moabit 59-61, 10555 Berlin.

10. Obligation to provide data

Providing an email address and a password is a contractual requirement to create an account and use the correction service. Without this information we cannot enter into a contract with you. There is no statutory obligation to provide these details.

11. Changes to this privacy policy

We update this policy when legal or technical conditions change. The current version is always available at /privacy. The last-updated date is shown at the top. For material changes we will notify registered users by email or by displaying a prominent notice on their next visit to the website.

Changelog

  • 17 May 2026: Editorial revision aligning the policy with common industry practice. The scope of processing activities, legal bases and data-subject rights is unchanged; the level of internal technical implementation detail has been reduced.
  • 16 May 2026: Section 3.6 extended with Google Ads conversion measurement, a note on Google Consent Mode v2, and the collection of web performance metrics. All extensions operate only after analytics consent has been granted.
  • 23 April 2026: Section 3.1 extended with the password-reset flow.
  • 22 April 2026: Section 3.1 extended with email verification at registration and on email change.
  • 15 April 2026: Added Anthropic PBC as an additional processor for the correction and rewriting calls (sections 3.4, 4 and 5).
  • 9 April 2026: First publication of the privacy policy, including the contact form.
Deutsche Fassung anzeigen (rechtlich verbindlich)

Datenschutzerklärung

Stand: 25 May 2026

1. Verantwortlicher im Sinne der DSGVO

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Maryam Mohebi Langhansstraße 87B 13086 Berlin Germany

E-Mail: contact@mohebi.me

Weitere Angaben zum Anbieter finden Sie im Impressum.

2. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist nach § 38 Abs. 1 BDSG nicht erforderlich, da bei uns weniger als zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind und keine Datenverarbeitungen durchgeführt werden, die einer Datenschutz-Folgenabschätzung unterliegen. Für alle Anliegen im Zusammenhang mit dem Datenschutz wenden Sie sich bitte direkt an contact@mohebi.me.

3. Verarbeitungstätigkeiten, Zwecke und Rechtsgrundlagen

3.0 Serverprotokolle

Beim Aufruf unserer Website übermittelt Ihr Browser technische Verbindungsdaten an unseren Server (IP-Adresse, Datum und Uhrzeit, aufgerufene URL, HTTP-Status, übertragene Datenmenge, Browser-Kennung und Referrer-URL). Diese Zugriffsprotokolle dienen ausschließlich der Sicherstellung des störungsfreien Betriebs und der Erkennung von Angriffen. Eine Zusammenführung mit anderen Datenquellen oder eine Profilbildung findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse ergibt sich aus dem Erwägungsgrund 49 der DSGVO (Netz- und Informationssicherheit). Die Protokolldaten werden automatisch nach spätestens 14 Tagen gelöscht.

3.1 Registrierung und Kontoverwaltung

Zum Anlegen eines Nutzerkontos verarbeiten wir E-Mail-Adresse, Benutzername (soweit angegeben), Passwort und Anzeigename. Passwörter werden ausschließlich in kryptografisch gehashter Form gespeichert und niemals im Klartext.

E-Mail-Verifizierung: Bevor ein Konto angelegt wird, verifizieren wir die Kontrolle über die angegebene E-Mail-Adresse, indem wir einen zeitlich befristeten Verifizierungscode über unseren Auftragsverarbeiter Resend (siehe Abschnitt 4) zustellen. Der Code wird ausschließlich in kryptografisch geschützter Form gespeichert und entfernt, sobald er erfolgreich verwendet, die Versuchsbegrenzung erreicht oder seine Gültigkeit abgelaufen ist (15 Minuten nach Ausstellung). Eine spätere Änderung Ihrer E-Mail-Adresse im Konto durchläuft denselben Verifizierungsschritt. Bei der Anmeldung über “Mit Google anmelden” entfällt die Verifizierung, weil Google die Inhaberschaft der E-Mail-Adresse bereits bestätigt.

Passwort-Zurücksetzen: Falls Sie Ihr Passwort vergessen haben oder Ihr mit Google verknüpftes Konto wieder über ein eigenes Passwort zugänglich machen möchten, können Sie unter “Passwort vergessen?” einen einmaligen Zurücksetzen-Link anfordern. Wir senden den Link über unseren Auftragsverarbeiter Resend (siehe Abschnitt 4) an Ihre registrierte Adresse. Verwendete Links werden unverzüglich entwertet; ungenutzte Links verlieren ihre Gültigkeit 15 Minuten nach Ausstellung. Nach erfolgreichem Zurücksetzen werden bestehende Sitzungen beendet und Sie müssen sich mit dem neuen Passwort neu anmelden.

Marketing-Attribution: Haben Sie unsere Seite über eine Kampagnen-URL erreicht und vor der Registrierung die Marketing-Kategorie des Cookie-Banners freigegeben, werden die in dem in Abschnitt 7 beschriebenen Attributions-Cookie hinterlegten Kampagnen-Kennungen beim Anlegen des Kontos in Ihren Benutzerdatensatz übernommen, damit wir die Registrierung der ausgespielten Kampagne zuordnen können. Ohne Marketing-Einwilligung wird das Cookie gar nicht erst gesetzt, sodass keine Kennungen zur Übernahme vorliegen und der Benutzerdatensatz ohne Attributionsdaten angelegt wird. Die Übernahme erfolgt nur einmalig beim Anlegen des Kontos und die Kennungen enthalten keine personenbezogenen Daten. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 25 Abs. 1 TDDDG für die Cookie-Speicherung; die serverseitige Verarbeitung der übernommenen Kennungen erfolgt anschließend auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Erfolgsmessung eigener Werbekampagnen).

Optional können Sie ein geplantes Prüfungsdatum hinterlegen, damit das Dashboard einen Countdown und eine wöchentliche Übungsempfehlung anzeigen kann. Das Prüfungsdatum ist freiwillig und kann jederzeit geändert oder entfernt werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Ohne diese Angaben kann kein Konto erstellt und damit kein Zugang zum Korrekturdienst gewährt werden.

3.1a Produktkommunikation

Nach der Anlage eines Kontos versenden wir eine kurze Begrüßungs-E-Mail, gegebenenfalls bis zu zwei einmalige Erinnerungen, falls Sie den Korrekturdienst innerhalb der ersten Tage nach der Registrierung noch nicht ausprobiert haben, eine Benachrichtigung unmittelbar nach Ihrer ersten bewerteten Schreibaufgabe sowie eine einmalige Einladung, Produktfeedback zu geben, sobald Sie mehrere bewertete Schreibaufgaben abgeschlossen haben, ohne in der App selbst Feedback hinterlassen zu haben. Diese Nachrichten gehen an die bei der Registrierung angegebene E-Mail-Adresse und werden über unseren Auftragsverarbeiter Resend versendet (siehe Abschnitt 4).

Jede dieser Nachrichten enthält einen Ein-Klick-Abmeldelink. Über diesen Link können Sie sich dauerhaft von dieser Produktkommunikation abmelden. Notwendige Kontonachrichten (der oben beschriebene Verifizierungscode und der Link zum Zurücksetzen des Passworts) sind von der Abmeldung nicht betroffen, da sie für den Betrieb des Kontos erforderlich sind.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, unsere Nutzerinnen und Nutzer an den vertraglich vereinbarten Dienst heranzuführen) und, soweit einschlägig, § 7 Abs. 3 UWG (Bestandskundenausnahme). Sie können jederzeit über den Abmeldelink widersprechen.

3.2 Login und Authentifizierung

Nach erfolgreichem Login stellen wir ein Sitzungstoken aus, damit Sie eingeloggt bleiben. Das Token wird in Ihrem Browser gespeichert und durch geeignete technische und organisatorische Maßnahmen geschützt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlicher Zugriff auf Informationen in der Endeinrichtung).

3.3 Protokollierung der Login-IP-Adresse

Bei jedem erfolgreichen Login speichern wir die IP-Adresse, von der aus der Login erfolgt ist, in Ihrem Nutzerkonto. Es wird nur die jeweils letzte IP-Adresse gespeichert; ein fortlaufendes Login-Log gibt es nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Der Erwägungsgrund 49 der DSGVO erkennt die Gewährleistung der Netz- und Informationssicherheit ausdrücklich als berechtigtes Interesse an.

Interessenabwägung (dreistufiger Test):

  • Zweck: Erkennung und Untersuchung von Kontoübernahmen, Credential Stuffing und Missbrauch des Korrekturdienstes.
  • Erforderlichkeit: Wir speichern ausschließlich die zuletzt verwendete IP-Adresse, nicht den Verlauf. Eine weniger eingreifende Alternative (z. B. gar keine Speicherung oder Hashing) würde den Sicherheitszweck entwerten.
  • Abwägung: Die Erwartung der Nutzer an eine sicherheitsrelevante Anwendung umfasst ein Login-Audit. Die IP wird nicht mit Profilbildung verknüpft, nicht an Dritte weitergegeben und nach Ablauf der Speicherfrist automatisch gelöscht. Nutzer können ihr Konto jederzeit löschen (Art. 17 DSGVO), wodurch die IP-Adresse sofort entfernt wird.

Speicherdauer: Die gespeicherte IP-Adresse wird spätestens 14 Tage nach dem letzten Login eines Nutzers automatisiert gelöscht.

3.4 Korrektur von Schreibaufgaben (OpenAI und Anthropic APIs)

Wenn Sie einen Text zur Korrektur einreichen, wird der eingereichte Text zusammen mit den ausgewählten Parametern (Aufgabentyp, Ziel-Band, ggf. Thema) über die APIs von OpenAI L.L.C., 3180 18th Street, San Francisco, CA 94110, USA, und/oder Anthropic PBC, 548 Market Street, San Francisco, CA 94104, USA, verarbeitet. Beide Anbieter handeln insoweit als unsere Auftragsverarbeiter im Sinne des Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung; die Korrektur ist die vertragliche Hauptleistung).

Wichtig zu den Trainingsdaten: Nach der API-Datenverwendungsrichtlinie von OpenAI und der Nutzungsrichtlinie von Anthropic werden über die APIs eingereichte Inhalte nicht zum Training von Sprachmodellen verwendet. Die Anbieter speichern API-Eingaben für einen begrenzten Zeitraum zu Missbrauchs- und Qualitätssicherungszwecken und löschen sie danach, sofern keine rechtliche Verpflichtung zu längerer Aufbewahrung besteht.

Weitere Informationen finden Sie im Data Processing Addendum von OpenAI, auf der Enterprise-Datenschutzseite von OpenAI sowie auf der Datenschutzseite von Anthropic. Die Details zur Drittlandsübermittlung finden Sie weiter unten in Abschnitt 5.

3.5 Speicherung Ihrer Schreibaufgaben und Korrekturhistorie

Eingereichte Texte, erhaltene Korrekturen und Band-Scores werden in Ihrem Nutzerkonto gespeichert, damit Sie Ihren Fortschritt einsehen und frühere Arbeiten wieder aufrufen können. Für angemeldete Nutzer behandeln wir Ihre Texte wie personenbezogene Daten, auch wenn der Textinhalt selbst keine Identifikationsmerkmale enthält.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.5a Diagnose-Aufzeichnung von Modellaufrufen (standardmäßig deaktiviert)

Zu Qualitätssicherungszwecken kann der Betreiber einzelne Modellanfragen und -antworten vorübergehend protokollieren, um einem konkreten Problem (z. B. einer offensichtlich falschen Bewertung) nachzugehen. Diese Funktion ist standardmäßig deaktiviert, die Protokolle liegen ausschließlich auf unseren eigenen Servern, werden nicht an Dritte weitergegeben und nach kurzer Zeit automatisch wieder entfernt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Qualitätssicherung des Korrekturdienstes).

3.5b Optionales Feedback zu Ihrer Schreibaufgabe

Nach der Korrektur einer Schreibaufgabe kann die Anwendung ein kurzes Feedback-Formular anzeigen, in dem Sie angeben können, ob die Bewertung, die Korrekturen und die Umformulierung hilfreich waren. Das Formular ist freiwillig und kann weggeklickt werden. Wenn Sie es absenden, speichern wir Ihre Bewertungen sowie einen optionalen Freitext-Kommentar bei der jeweiligen Schreibaufgabe, damit der Betreiber den Korrekturablauf verbessern kann.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch das Absenden des Formulars) für den optionalen Kommentar und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung der Servicequalität) für die mit Ihrem Konto verknüpften Bewertungen.

Speicherdauer und Löschung: Feedback-Datensätze werden als Forschungsdaten ohne automatische Löschfrist aufbewahrt. Wenn Sie Ihr Konto selbst löschen (Abschnitt 4), wird die Verknüpfung mit Ihrem Nutzerkonto in jedem von Ihnen eingereichten Feedback entfernt, sodass Bewertungen und Kommentar erhalten bleiben, ohne Sie zu identifizieren. Auf Anfrage kann ein Administrator einen einzelnen Feedback-Datensatz zudem dauerhaft löschen.

3.6 Cookies und Browser-Speicher

Weitere Einzelheiten zu den von uns eingesetzten Cookies und Browser-Speichereinträgen finden Sie in Abschnitt 7. Nicht unbedingt erforderliche Einträge umfassen funktionale Präferenzen sowie Reichweitenmessung (sofern eingerichtet). Diese Einträge werden nur nach Ihrer Einwilligung gesetzt.

Google Analytics 4: Wir setzen Google Analytics zur Reichweitenmessung und zur Erfolgsmessung unserer eigenen Werbekampagnen ein. IP-Adressen werden vor der Übertragung an Google anonymisiert. Google LLC ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Ergänzend zur browserseitigen Messung wird eine begrenzte Auswahl von Conversion-Ereignissen (z. B. abgeschlossene Registrierung, erste eingereichte Schreibübung) serverseitig an dieselbe Analyse-Property übertragen, damit die Zahlen auch dann belastbar bleiben, wenn browserseitige Messungen blockiert werden. Sämtliche Analyse-Verarbeitung erfolgt erst nach Ihrer Einwilligung und endet, sobald Sie diese widerrufen. Weitere Informationen in der Datenschutzerklärung von Google. Sie können das Google Analytics Opt-out Browser-Add-on installieren, um die Datenerfassung zu deaktivieren.

Google Ads Conversion-Messung: Wenn Sie eine Registrierung abschließen oder Ihre erste Schreibübung einreichen, kann ein Conversion-Ereignis an Google Ads übertragen werden, damit die Werbeplattform die Aktion der Kampagne zuordnen kann, über die Sie gekommen sind. Um die Zuordnung auch dann zu ermöglichen, wenn die browserseitige Nachverfolgung blockiert ist, kann das Ereignis einen kryptografischen Einweg-Hash Ihrer E-Mail-Adresse enthalten; der Hash lässt sich nicht in Ihre E-Mail-Adresse zurückrechnen und ermöglicht es der Plattform, die Conversion einem angemeldeten Konto zuzuordnen, ohne dass wir die E-Mail-Adresse selbst weitergeben. Das Ereignis wird ausschließlich nach Ihrer Analyse-Einwilligung versendet.

Rechtsgrundlage: Für unbedingt erforderliche Speichervorgänge § 25 Abs. 2 Nr. 2 TDDDG; für einwilligungspflichtige Vorgänge § 25 Abs. 1 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit über die Schaltfläche "Cookie preferences" widerrufen.

3.7 Kontaktformular

Auf der Seite /contact können Sie uns eine Nachricht schicken, ein Problem melden oder einen Antrag nach der DSGVO (z. B. Auskunft, Löschung) stellen. Wir verarbeiten dabei folgende Daten:

  • Name (freiwillig)
  • E-Mail-Adresse (Pflichtfeld)
  • Betreff (freiwillig)
  • Nachricht (Pflichtfeld)
  • IP-Adresse und User-Agent des Absenders - ausschließlich zur Missbrauchsabwehr gespeichert.
  • Nutzer-ID bei registrierten, eingeloggten Nutzern, um die Anfrage einem bestehenden Konto zuordnen zu können. Bei registrierten Nutzern werden Name und E-Mail-Adresse zudem automatisch aus dem Profil übernommen (Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO). Bei Gastnutzern und nicht eingeloggten Besuchern wird keine Nutzer-ID gespeichert.
  • Marketing-Attribution (nur sofern vorhanden): Das in Abschnitt 7 beschriebene Attributions-Cookie wird nur gesetzt, wenn Sie vor dem Absenden die Marketing-Kategorie des Cookie-Banners freigegeben haben; in diesem Fall werden die im Cookie hinterlegten Kampagnen-Kennungen an die Nachricht angehängt. Ohne Marketing-Einwilligung wird das Cookie nicht erstellt und es werden keine Kennungen mitgesendet. Die Kennungen enthalten keine personenbezogenen Daten und dienen ausschließlich der internen Erfolgsmessung unserer Werbekampagnen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 25 Abs. 1 TDDDG für die Cookie-Speicherung; Art. 6 Abs. 1 lit. f DSGVO für die anschließende Auswertung etwaiger mit der Nachricht übermittelter Kennungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, bei vertragsbezogenen Anfragen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung allgemeiner Anfragen und an der Netz- und Informationssicherheit für IP/UA).

Speicherdauer: Nicht archivierte Nachrichten werden 90 Tage nach Eingang automatisch gelöscht. Archivierte Nachrichten werden bis zur manuellen Löschung durch einen Administrator aufbewahrt. Wir bemühen uns, auf DSGVO-Anfragen innerhalb eines Monats zu antworten (Art. 12 Abs. 3 DSGVO). Das Formular nutzt geeignete technische Maßnahmen zur Missbrauchsabwehr; es werden keine Cookies, Pixel oder Drittanbieter-Skripte eingebunden.

3.8 Nutzung ohne Konto

Der Korrekturdienst kann ohne Registrierung genutzt werden. In diesem Fall verarbeiten wir ausschließlich den von Ihnen eingereichten Text sowie die technischen Verbindungsdaten (IP-Adresse, Zeitstempel, Browsertyp), die beim Aufbau der HTTPS-Verbindung zu unserem Server anfallen.

Der eingereichte Text wird an OpenAI und/oder Anthropic übermittelt (siehe Abschnitte 3.4 und 5). Er wird nicht in einer Datenbank gespeichert; nach Übermittlung der Korrektur an Ihren Browser verbleiben keine Nutzdaten auf unseren Systemen. Die Verbindungsdaten werden in den Serverprotokollen für bis zu 14 Tage gespeichert (siehe Abschnitt 3.0).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung; Sie rufen den Dienst aktiv auf) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Netz- und Informationssicherheit für die Verbindungsdaten).

4. Empfänger und Auftragsverarbeiter

Wir geben personenbezogene Daten nur an die folgenden Empfänger weiter, jeweils auf der oben genannten Rechtsgrundlage:

  • OpenAI L.L.C. (USA) - Auftragsverarbeiter für die KI-gestützte Textkorrektur. Siehe Abschnitt 3.4 und 5.
  • Anthropic PBC (USA) - Auftragsverarbeiter für die KI-gestützte Textkorrektur. Siehe Abschnitt 3.4 und 5.
  • Resend (Resend, Inc.) (USA) - Auftragsverarbeiter für den Versand transaktionaler E-Mails (derzeit ausschließlich E-Mail-Verifizierung bei Registrierung und Änderung der E-Mail-Adresse sowie Passwort-Zurücksetzen-Links, siehe Abschnitt 3.1). An Resend übermittelt werden die angegebene E-Mail-Adresse und der generierte Code- bzw. Link-Text. Resend ist nach dem EU-US Data Privacy Framework zertifiziert; zusätzlich ist ein Auftragsverarbeitungsvertrag mit Standardvertragsklauseln der Europäischen Kommission abgeschlossen. Newsletter oder Marketing-E-Mails versenden wir nicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Google LLC (USA) - Wenn Sie die Funktion “Mit Google anmelden” nutzen, wird das von Google ausgestellte ID-Token serverseitig über die Google-API verifiziert. Dabei werden die E-Mail-Adresse, die Google-Nutzer-ID (Claim “sub”) und der Anzeigename aus dem Token ausgelesen und in Ihrem Nutzerkonto dauerhaft gespeichert, um Sie bei künftigen Anmeldungen wiederzuerkennen. Die Speicherung erfolgt bis zur Löschung Ihres Kontos (Art. 17 DSGVO). Google handelt insoweit nicht als Auftragsverarbeiter, da keine personenbezogenen Daten von uns an Google übermittelt werden - die Verifizierung prüft nur die Signatur des bereits in Ihrem Browser vorhandenen Tokens. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen: Datenschutzerklärung von Google.
  • Microsoft Ireland Operations Limited (Irland) - Auftragsverarbeiter für Sitzungsaufzeichnung und Heatmaps (Microsoft Clarity) zur Auswertung der Nutzung unserer Website (sofern eingewilligt). Verarbeitet werden Ihre anonymisierte IP-Adresse, Bildschirmgröße und Gerätetyp, Informationen über den verwendeten Browser, Ihr Land, Ihre bevorzugte Sprache sowie Ihre Interaktionen mit der Seite (Mausbewegungen, Scrollverhalten und Klicks). Mit Microsoft ist ein Auftragsverarbeitungsvertrag abgeschlossen; bei etwaigen Sub-Auftragsverarbeitern in den USA (Microsoft Corporation, Redmond) kommen die Standardvertragsklauseln der Europäischen Kommission (Art. 46 Abs. 2 lit. c DSGVO) zur Anwendung. Die bei Clarity gespeicherten Aufzeichnungen werden nach spätestens 13 Monaten automatisch gelöscht. Sie können der Aufzeichnung jederzeit über das Cookie-Banner widersprechen; eine bereits laufende Aufzeichnung wird spätestens beim nächsten vollständigen Seitenaufbau beendet. Weitere Informationen zur Verarbeitung durch Microsoft finden Sie in der Datenschutzerklärung von Microsoft sowie in den Microsoft Clarity Nutzungsbedingungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Hosting in Deutschland. Personenbezogene Daten werden ausschließlich auf Servern in einem Rechenzentrum in Deutschland verarbeitet und verlassen diesen Serverstandort nicht. Der Rechenzentrumsbetreiber stellt ausschließlich Strom, Klimatisierung, physische Zutrittskontrolle und Netzwerkanbindung bereit und hat keinen logischen Zugriff auf die Anwendung oder die Daten; er ist daher kein Auftragsverarbeiter im Sinne des Art. 28 DSGVO.

Eine Nutzung von Zahlungsdienstleistern oder weiteren Tracking-Anbietern außer Google Analytics und Microsoft Clarity (jeweils sofern eingewilligt) findet derzeit nicht statt. E-Mails werden ausschließlich transaktional versandt (siehe Abschnitt 3.1); Newsletter oder Marketing-E-Mails versenden wir nicht.

5. Drittlandsübermittlung (OpenAI und Anthropic, USA)

Durch die Nutzung der OpenAI- und Anthropic-APIs werden die von Ihnen eingereichten Texte an Server dieser Anbieter in den Vereinigten Staaten übermittelt. Die USA werden nach der DSGVO als Drittland ohne generelles Angemessenheitsniveau behandelt; die Übermittlung erfolgt daher auf der Grundlage eines zweistufigen Garantienmodells:

  1. EU-US Data Privacy Framework: OpenAI und Anthropic sind nach dem am 10. Juli 2023 in Kraft getretenen Angemessenheitsbeschluss der Europäischen Kommission Commission Implementing Decision (EU) 2023/1795 (DPF) zertifiziert. Die Liste der zertifizierten US-Unternehmen ist öffentlich einsehbar unter dataprivacyframework.gov.
  2. Standardvertragsklauseln (SCC): Zusätzlich haben wir mit OpenAI und Anthropic die von der Kommission mit Implementing Decision (EU) 2021/914 beschlossenen neuen Standarddatenschutzklauseln abgeschlossen. Der entsprechende Addendum-Vertrag ist im OpenAI Data Processing Addendum integriert.

Sie haben nach Art. 13 Abs. 1 lit. f DSGVO das Recht, eine Kopie der vorhandenen Garantien anzufordern. Bitte richten Sie eine entsprechende Anfrage an contact@mohebi.me.

6. Speicherdauer und Löschfristen

  • Serverprotokolle: bis zu 14 Tage nach Entstehung.
  • Kontodaten (E-Mail, Benutzername, Passwort-Hash, Anzeigename, optionales Prüfungsdatum): bis zur Löschung des Kontos durch den Nutzer. Hat das Konto keine Aktivität (keine eingereichten Texte, keine Kontaktnachrichten, und der eigene Einladungscode wurde von niemandem eingelöst), wird der Datensatz bei der Löschung sofort und vollständig entfernt. Andernfalls werden die Felder pseudonymisiert und der Passwort-Hash entfernt, so dass ein Re-Login nicht mehr möglich ist.
  • Schreibaufgaben, Korrekturen, Band-Scores: bis zur Löschung der jeweiligen Aufgabe durch den Nutzer oder bis zur vollständigen Kontolöschung.
  • Login-IP-Adresse: maximal 14 Tage nach dem letzten Login. Der Wert wird durch einen automatischen Hintergrundprozess gelöscht.
  • Kontaktformular-Nachrichten: nicht archivierte Nachrichten werden 90 Tage nach Eingang automatisch gelöscht. Archivierte Nachrichten verbleiben bis zur manuellen Löschung.
  • Anonyme Gastkonten: wenn Sie das Produkt ohne Anmeldung ausprobieren, wird ein anonymes Gastkonto angelegt. Bleibt dieses Konto 3 Tage lang ohne Aktivität (keine Schreibaufgaben, keine Kontaktnachrichten, keine Umwandlung in ein reguläres Konto), wird es durch einen Hintergrundprozess vollständig aus der Datenbank gelöscht.
  • E-Mail-Korrespondenz: bis zu 6 Monate nach abschließender Bearbeitung Ihrer Anfrage, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
  • Cookie-Einwilligung: wie vom Consent-Management-Tool vorgegeben (standardmäßig 6 Monate), damit Sie bei Folgebesuchen nicht erneut gefragt werden.

Sollte in Zukunft eine Abrechnungsfunktion eingeführt werden, gelten für steuerrelevante Unterlagen die gesetzlichen Aufbewahrungspflichten nach § 147 AO (bis zu 10 Jahren). Diese Policy wird in diesem Fall entsprechend aktualisiert.

7. Cookies und Browser-Speicher

VoyaLang nutzt Cookies und den Browser-Speicher für folgende Zwecke:

  • Authentifizierung (unbedingt erforderlich): Wir speichern ein Sitzungstoken in Ihrem Browser, damit Sie während Ihrer Sitzung eingeloggt bleiben. Es wird beim Logout oder nach Ablauf automatisch entfernt.
  • Funktionale Präferenzen (einwilligungspflichtig): Ihre Einstellungen zur Benutzeroberfläche (z. B. Layout-Anordnung, Seitenleistenstatus) werden in Ihrem Browser abgelegt, damit Ihre Einstellungen bei Folgebesuchen erhalten bleiben. Diese Einträge werden nur mit Ihrer Einwilligung gesetzt.
  • Sitzungsdaten (unbedingt erforderlich): Einige temporäre Einträge dienen der Navigation und Anzeige von Statusmeldungen. Sie werden automatisch beim Schließen des Browser-Tabs gelöscht.
  • Cookie-Einwilligung (unbedingt erforderlich): Ein Cookie speichert Ihre Entscheidung zum Cookie-Banner, damit Sie bei Folgebesuchen nicht erneut gefragt werden (Speicherdauer: 6 Monate).
  • Region-Klassifizierung (unbedingt erforderlich): Ein kurzlebiger Eintrag im Browser-Speicher hält ausschließlich die Information vor, ob der Besuch aus dem GDPR-Geltungsbereich erfolgt, damit wir die passende Form des Cookie-Banners anzeigen können.
  • Marketing-Attribution (einwilligungspflichtig): Ein First-Party-Cookie wird ausschließlich nach Ihrer Einwilligung über die Marketing-Kategorie des Cookie-Banners gesetzt, wenn Sie unsere Seite über eine Werbekampagne erreichen. Es enthält ausschließlich die Werbekampagnen-Kennungen und einen Zeitstempel des ersten Besuchs, jedoch keine personenbezogenen Daten, und wird nicht an Dritte übermittelt. Die Werte werden lediglich bei der Registrierung oder beim Absenden des Kontaktformulars an unseren Server übertragen, damit wir die Anmeldung der ausgespielten Kampagne zuordnen können. Bei Widerruf Ihrer Einwilligung über die Marketing-Kategorie wird das Cookie automatisch entfernt. Lebensdauer: 90 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 25 Abs. 1 TDDDG.
  • Reichweitenmessung (einwilligungspflichtig): Wenn Sie einwilligen, setzt Google Analytics Cookies zur Reichweitenmessung. IP-Adressen werden vor der Übertragung an Google anonymisiert. Diese Cookies haben eine Lebensdauer von bis zu 2 Jahren.
  • Sitzungsaufzeichnung (einwilligungspflichtig): Wenn Sie einwilligen, legt Microsoft Clarity First-Party-Einträge in Ihrem Browser an, um Ihre Interaktionen mit der Seite aufzuzeichnen und in aggregierter Form als Heatmaps auszuwerten. Lebensdauer dieser Einträge: typischerweise bis zu 12 Monate. Details sowie den Microsoft-Auftragsverarbeiter beschreibt Abschnitt 4.

"Unbedingt erforderlich" bedeutet, dass der Eintrag nach § 25 Abs. 2 Nr. 2 TDDDG notwendig ist, damit der von Ihnen ausdrücklich gewünschte Dienst funktioniert. Für alle anderen Einträge holen wir Ihre Einwilligung über das Consent-Banner ein.

Besuchen Sie unsere Seite aus einem Land außerhalb des EWR, des Vereinigten Königreichs oder der Schweiz, gehen wir auf Grundlage der dort geltenden Rechtslage von einer Einwilligung in die einwilligungspflichtigen Kategorien aus, ohne das Banner zunächst anzuzeigen. Ihre Wahl können Sie jederzeit über die Schaltfläche "Cookie preferences" widerrufen oder anpassen; das Widerrufsrecht nach Art. 7 Abs. 3 DSGVO bleibt unberührt.

8. Automatisierte Entscheidungsfindung

Die Band-Score-Bewertung Ihrer Texte erfolgt algorithmisch durch KI-Modelle (OpenAI und/oder Anthropic). Sie erzeugt keine rechtlichen oder vergleichbar erheblichen Wirkungen im Sinne des Art. 22 DSGVO; die Ausgaben verstehen sich als lernbegleitende Einschätzung und nicht als offizielle IELTS-Bewertung. Wir weisen Sie dennoch transparent darauf hin, dass die Bewertung KI-generiert ist.

9. Ihre Rechte als betroffene Person

Sie haben uns gegenüber jederzeit die folgenden Rechte bezüglich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO gestützt sind (Art. 21 DSGVO) - insbesondere gegen die Speicherung der Login-IP-Adresse
  • Recht auf jederzeitigen Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO); die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt

Zur Ausübung dieser Rechte genügt eine formlose E-Mail an contact@mohebi.me. Wir bearbeiten Anfragen nach Art. 12 Abs. 3 DSGVO innerhalb eines Monats; die Frist kann in begründeten Fällen um zwei Monate verlängert werden.

Kontolöschung: Sie können Ihr Konto selbst in der Anwendung löschen (Profilseite). Hat Ihr Konto keine Aktivität (keine eingereichten Texte, keine Kontaktnachrichten, und Ihr eigener Einladungscode wurde von niemandem eingelöst), wird der Datensatz sofort und vollständig entfernt. Andernfalls werden E-Mail-Adresse und Benutzername pseudonymisiert, der Passwort-Hash entfernt und die Login-IP-Adresse sofort gelöscht; Ihre eingereichten Texte verbleiben in der Datenbank, jedoch nur unter einer anonymen Kennung.

Beschwerderecht: Sie haben außerdem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für unseren Sitz zuständige Aufsichtsbehörde ist: BlnBDI, Alt-Moabit 59-61, 10555 Berlin.

10. Pflicht zur Bereitstellung von Daten

Die Angabe von E-Mail-Adresse und Passwort ist vertraglich erforderlich, um ein Nutzerkonto zu erstellen und den Korrekturdienst nutzen zu können. Ohne diese Angaben können wir keinen Vertrag mit Ihnen abschließen. Eine gesetzliche Pflicht zur Bereitstellung besteht nicht.

11. Änderungen dieser Datenschutzerklärung

Wir passen diese Erklärung an, wenn sich rechtliche oder technische Rahmenbedingungen ändern. Die jeweils aktuelle Fassung steht unter /datenschutz bereit. Das Datum der letzten Aktualisierung finden Sie oben rechts. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail oder durch einen deutlichen Hinweis beim nächsten Besuch der Website.

Änderungshistorie

  • 17. Mai 2026: Redaktionelle Überarbeitung zur Angleichung an branchenübliche Datenschutzerklärungen. Der Umfang der Verarbeitungstätigkeiten, Rechtsgrundlagen und Betroffenenrechte bleibt unverändert; die Darstellung interner technischer Umsetzungsdetails wurde reduziert.
  • 16. Mai 2026: Abschnitt 3.6 um die Google-Ads-Conversion-Messung sowie um eine Erläuterung zu Google Consent Mode v2 und zur Erfassung von Web-Performance-Metriken ergänzt. Alle Erweiterungen erfolgen ausschließlich nach Analyse-Einwilligung.
  • 23. April 2026: Abschnitt 3.1 um den Ablauf zum Zurücksetzen des Passworts ergänzt.
  • 22. April 2026: Abschnitt 3.1 um die E-Mail-Verifizierung bei Registrierung und E-Mail-Änderung erweitert.
  • 15. April 2026: Anthropic PBC als weiterer Auftragsverarbeiter für die Korrektur- und Umschreibe-Aufrufe aufgenommen (Abschnitte 3.4, 4 und 5).
  • 9. April 2026: Erste Veröffentlichung der Datenschutzerklärung einschließlich Kontaktformular.