Zum Inhalt springen
N.terion

Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und Art. 14 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten, wenn Sie unsere Website nterion.de (einschließlich der Domain nterion.academy) und die darauf angebotenen Dienste — insbesondere die Lernplattform N.terion Academy (AI READY) — nutzen.

Letzte Aktualisierung: 21. April 2026

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:

N.terion Consulting GmbH
Darmstädter Straße 24a
64521 Groß-Gerau
Deutschland

Geschäftsführer: Prof. Dr. Alexander Holtermann, Nikita Rösner
E-Mail: datenschutz@nterion.de

2. Datenschutzbeauftragter

Aktuell ist kein Datenschutzbeauftragter benannt, da die gesetzlichen Schwellen gemäß Art. 37 DSGVO und § 38 BDSG nicht erreicht werden. Für alle datenschutzrechtlichen Anliegen wenden Sie sich bitte direkt an:

datenschutz@nterion.de

3. Aufsichtsbehörde

Jede betroffene Person hat das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Für uns zuständig ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)
Gustav-Stresemann-Ring 1, 65189 Wiesbaden
https://datenschutz.hessen.de

4. Grundsätzliches zu unserer Datenverarbeitung

Die N.terion Academy ist ein EU-konformes AI-Literacy-Schulungsportal. Wir haben die Architektur so gestaltet, dass personenbezogene Daten die EU nicht verlassen. Dienstleister außerhalb der EU erhalten ausschließlich anonymisierte Inhalte (reinen Antwort-Text oder reine Audio-Streams), die keine Rückführung auf einen einzelnen Nutzer erlauben.

  • Produktiv-Hosting, Datenbank, LLM: Vercel Frankfurt (fra1), Supabase Frankfurt (fra), Mistral AI Paris — alle in der EU.
  • Drittland-Dienste (USA): ElevenLabs (Sprachsynthese, Voice Clone), HeyGen/LiveAvatar (Avatar-Rendering), Deepgram (Speech-to-Text, in Integration) — erhalten nur anonymisierte Texte bzw. Audio-Streams ohne Nutzerkennung.
  • Rechtsgrundlage für Drittland-Transfers: Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) sowie — soweit einschlägig — das EU-U.S. Data Privacy Framework (Art. 45 DSGVO).

5. Zugriff auf unsere Website (Server-Logs)

Beim Aufruf unserer Website werden durch unseren Hosting-Provider technisch notwendige Daten verarbeitet:

DatumZweck
IP-Adresse (gekürzt/pseudonymisiert)Zustellung der Seite, Abwehr von Angriffen
Datum und Uhrzeit der AnfrageTechnische Protokollierung
Browser-Typ, Betriebssystem, Referrer-URLFehleranalyse, Kompatibilität
Angeforderte URL, HTTP-StatusBereitstellung des Dienstes

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler, sicherer Bereitstellung).
Speicherdauer: Server-Logs werden nach maximal 30 Tagen gelöscht oder anonymisiert.

6. Registrierung und Nutzerkonto (Lerner, HR-Admins)

Zur Nutzung der Lernplattform, zum Kauf von Kursen und zum Erhalt eines Zertifikats ist die Anlage eines Nutzerkontos erforderlich.

Verarbeitete Daten:

  • Vor- und Nachname
  • E-Mail-Adresse
  • Passwort (nur als Hash; Klartext wird nicht gespeichert)
  • Rolle (Lerner, HR-Admin, Affiliate, Administrator)
  • Kurs-Einschreibungen, Fortschritt, Prüfungsergebnisse
  • Generierte Zertifikate (inkl. QR-Code-Verifikationslink)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Dauer der Mitgliedschaft. Nach Kündigung Löschung gemäß Abschnitt 14, sofern keine gesetzlichen Aufbewahrungsfristen (z. B. Rechnungen: 10 Jahre nach § 147 AO) entgegenstehen.

7. Zahlungsabwicklung (Stripe)

Zahlungen für Kurse, Zertifikate und B2B-Lizenzen werden über Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland abgewickelt. Zahlungsdaten (Kreditkartennummer, IBAN bei SEPA, Name des Karteninhabers) werden direkt bei Stripe erhoben und gespeichert — wir erhalten diese nicht und speichern sie nicht.

Von Stripe an uns übermittelt: Rechnungs-ID, Zahlungsstatus, Name, Rechnungsadresse, letzte 4 Ziffern der Kreditkarte, E-Mail.

Zwecke: Vertragsabwicklung, Rechnungsstellung, Buchhaltung, Betrugsprävention.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag); Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrung).
Speicherdauer: 10 Jahre (§ 147 AO) für Rechnungen und Zahlungsbelege.
Datenschutzerklärung Stripe: https://stripe.com/de/privacy

8. Lernplattform — Voice-First-Avatar-Interaktion

Die N.terion Academy bietet eine Voice-First-Interaktion mit einem KI-Avatar (Professor Alexander Holtermann). Der Avatar nutzt Ihre Sprach-Eingabe, um Fragen zu beantworten, und spricht die Antwort mit einer Stimm-Nachbildung von Prof. Holtermann synchron zu einem Video aus. Die Verarbeitung erfolgt in mehreren Stufen:

8.1 Spracheingabe — Speech-to-Text (STT)

Wenn Sie das Mikrofon in einer Kurs-Session aktivieren, wird Ihre Audio-Aufnahme zur Transkription an den Anbieter Deepgram Inc., 1801 California Street, Denver, CO 80202, USA übermittelt. Aktuell erfolgt dies über einen Server-seitigen Proxy (Vercel Frankfurt), sodass Ihre IP-Adresse gegenüber Deepgram nicht offengelegt wird.

Übermittelt: Audio-Datenstrom (Ihre Stimme, gesprochener Inhalt der Frage).
Nicht übermittelt: Name, E-Mail, Nutzer-ID, IP-Adresse.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung der Lernfunktion).
Rechtsgrundlage Drittland-Transfer: Standardvertragsklauseln (Art. 46 DSGVO).
Speicherdauer bei Deepgram: Laut Anbieter: keine dauerhafte Speicherung der Audio-Inhalte; nur transiente Verarbeitung.
Datenschutzerklärung Deepgram: https://deepgram.com/privacy

8.2 Antwort-Generierung — Large Language Model

Die transkribierte Frage wird an Mistral AI SAS, 15 rue des Halles, 75001 Paris, Frankreich übermittelt. Mistral generiert die Antwort.

Übermittelt: Transkribierter Fragetext, ggf. Kurs-Kontext (welcher Slide, welcher Modul-Abschnitt).
Nicht übermittelt: Name, E-Mail, Nutzer-ID — ausschließlich Inhalts-Text.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Datenstandort: EU (Paris).
Datenschutzerklärung Mistral: https://mistral.ai/terms#privacy-policy

8.3 Sprachausgabe — Text-to-Speech

Der Antwort-Text wird an ElevenLabs Inc., 169 Madison Ave STE 2484, New York, NY 10016, USA übermittelt. ElevenLabs generiert die gesprochene Antwort mit der Stimm-Nachbildung von Prof. Holtermann (Voice-Clone-ID, eingewilligt durch den Stimminhaber selbst).

Übermittelt: Antwort-Text, Voice-ID.
Nicht übermittelt: Name, E-Mail, Nutzer-ID des Lerners.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Art. 46 DSGVO (SCC) für Drittland-Transfer.
Datenschutzerklärung ElevenLabs: https://elevenlabs.io/privacy

8.4 Avatar-Video — Lippensynchronisation (LiveAvatar / HeyGen)

Parallel zur Sprachausgabe wird ein Video-Stream erzeugt, in dem der Avatar von Prof. Holtermann synchron zur Audio-Spur die Lippen bewegt. Dienstleister: HeyGen Inc., 101 Second Street, Suite 600, San Francisco, CA 94105, USA.

Übermittelt: Audio-Stream (aus ElevenLabs), Avatar-ID.
Nicht übermittelt: Text-Inhalt der Antwort, Name, E-Mail, Nutzer-ID.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Art. 46 DSGVO (SCC) für Drittland-Transfer.
Datenschutzerklärung HeyGen: https://www.heygen.com/policy

8.5 Speicherung der Konversation

Fragen und Antworten werden in der Supabase-Datenbank (Frankfurt) unter der Nutzer-ID gespeichert, damit Sie Ihren Lernverlauf einsehen können und wir die Dienst-Qualität verbessern können.

Speicherdauer: Bis zur Löschung des Nutzerkontos oder auf Antrag gemäß Art. 17 DSGVO.

8.6 Transparenzhinweis KI-Interaktion (Art. 50 EU AI Act)

Sie interagieren mit einem KI-System (Large Language Model) und sehen einen computergenerierten Avatar, der die Stimme und das Erscheinungsbild von Prof. Dr. Alexander Holtermann nachbildet. Die Antworten werden automatisiert erzeugt und nicht von einer natürlichen Person in Echtzeit gesprochen. Inhaltliche Richtigkeit im Einzelfall kann nicht garantiert werden; verbindliche Rechtsauskünfte erteilt ein Avatar nicht. Details siehe unsere Seite „KI-Transparenz" unter /ai-ready/transparenz.

9. E-Mail-Versand (Resend)

Transaktionale E-Mails (Bestellbestätigungen, Passwort-Reset, Zertifikat-Versand, Team-Einladungen) versenden wir über Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA.

Übermittelt: Name des Empfängers, E-Mail-Adresse, Inhalt der Nachricht (z. B. Rechnungs-PDF-Anhang).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger Kommunikation); Art. 46 DSGVO (SCC).
Speicherdauer bei Resend: Zustellungs-Metadaten werden laut Anbieter nach spätestens 30 Tagen gelöscht; Inhalte nicht dauerhaft gespeichert.
Datenschutzerklärung Resend: https://resend.com/legal/privacy-policy

10. Hosting und Datenbank

10.1 Vercel (Frankfurt)

Unsere Website und alle API-Routen werden bei Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA gehostet. Die Auslieferung und Verarbeitung erfolgt in der Region Frankfurt (fra1). Server-seitige Daten verlassen die EU nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; SCC gemäß Art. 46 DSGVO für den Fall administrativer Zugriffe aus den USA.
Auftragsverarbeitungsvertrag: Abgeschlossen.
Datenschutzerklärung Vercel: https://vercel.com/legal/privacy-policy

10.2 Supabase (Frankfurt)

Datenbank, Authentifizierung und Datei-Storage erfolgen bei Supabase Inc., 970 Toa Payoh N #07-04, Singapur 318992, gehostet auf AWS in der Region eu-central-1 (Frankfurt).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; SCC gemäß Art. 46 DSGVO.
Auftragsverarbeitungsvertrag: Abgeschlossen.
Datenschutzerklärung Supabase: https://supabase.com/privacy

11. Analyse und Performance-Messung

11.1 Vercel Analytics / Speed Insights

Wir nutzen Vercel Web Analytics und Vercel Speed Insights zur Messung der Seitenperformance und aggregierter Besuchs-Metriken. Die Erfassung ist cookie-frei und erfolgt nach Angaben des Anbieters pseudonymisiert (Hash der IP-Adresse, tagesweise rotiert).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Performance-Messung).
Speicherdauer: Rohdaten max. 30 Tage, danach Aggregation.

11.2 Google Analytics 4

Soweit Sie einwilligen (siehe Cookie-Banner), setzen wir Google Analytics 4 (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Mutterunternehmen: Google LLC, USA) zur Reichweitenanalyse ein. GA4 erfasst Nutzungsverhalten über Cookies und ähnliche Technologien.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); § 25 Abs. 1 TDDDG; SCC gemäß Art. 46 DSGVO.
Speicherdauer: Ereignisdaten max. 14 Monate.
Widerruf: Jederzeit über den Cookie-Banner oder im Footer unter „Cookie-Einstellungen".
Datenschutzerklärung Google: https://policies.google.com/privacy

11.3 Sentry (Fehler-Monitoring)

Zur Erkennung und Behebung technischer Fehler setzen wir (in Vorbereitung) Sentry (Functional Software, Inc. dba Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA) ein. Sentry erhält bei technischen Fehlern anonymisierte Fehlerberichte (Stack-Traces, Browser-Typ, betroffene URL).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; SCC gemäß Art. 46 DSGVO.
Datenschutzerklärung Sentry: https://sentry.io/privacy/

12. Weitere optionale Dienste

12.1 Identitätsprüfung für ECTS-Zertifikat (Didit)

Wenn Sie den ECTS-Pfad (universitäres 6-ECTS-Zertifikat) buchen, ist eine Identitätsprüfung nach deutschem Hochschulrecht erforderlich. Dienstleister: Didit.

Verarbeitete Daten: Ausweisdokument-Scan, Selfie, biometrischer Gesichtsabgleich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung für biometrische Verarbeitung).
Speicherdauer: Nach Abschluss der Prüfung unverzüglich gelöscht.
Datenschutzerklärung Didit: https://didit.me/privacy

12.2 WhatsApp-Kommunikation (optional)

Soweit Sie uns Ihre Mobilnummer mitteilen und dem WhatsApp-Versand ausdrücklich zustimmen, senden wir Benachrichtigungen über WhatsApp (Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
Widerruf: Jederzeit durch E-Mail an datenschutz@nterion.de.

13. Cookies und ähnliche Technologien

Details zu den auf unserer Website eingesetzten Cookies und Ihren Wahlmöglichkeiten finden Sie in unserer separaten Cookie-Richtlinie unter /legal/cookies.

Technisch notwendige Cookies (Session-Cookies von Supabase-Auth, Stripe-Checkout, Next.js-CSRF-Token) werden ohne Einwilligung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO und § 25 Abs. 2 Nr. 2 TDDDG gesetzt. Alle anderen Cookies (Analyse, Marketing) nur mit vorheriger Einwilligung.

14. Ihre Rechte als betroffene Person

Sie haben folgende Rechte:

  • Auskunft (Art. 15 DSGVO): Information darüber, welche Daten wir zu Ihrer Person verarbeiten.
  • Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten.
  • Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden"): Vollständige Löschung Ihrer Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Datenübertragbarkeit (Art. 20 DSGVO): Export Ihrer Daten in einem strukturierten, gängigen, maschinenlesbaren Format.
  • Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Grundlage berechtigter Interessen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft.
  • Beschwerde (Art. 77 DSGVO) bei der zuständigen Aufsichtsbehörde (siehe Abschnitt 3).

14.1 Ein-Klick-Löschung (Art. 17 DSGVO)

Im angemeldeten Zustand können Sie unter Dashboard → Profil → Konto löschen Ihr Konto einschließlich aller verknüpften Lerndaten mit einem Klick löschen. Die Löschung wird mit einem Audit-Trail (Zeitstempel, bestätigter Löschungs-Scope) protokolliert. Rechnungs-Stammdaten werden separat bis zum Ablauf der steuerrechtlichen Aufbewahrungsfrist (10 Jahre gemäß § 147 AO) in einer zugriffsbeschränkten Archivdatenbank gehalten und anschließend gelöscht.

Alternativ: Anfrage an datenschutz@nterion.de. Wir bestätigen den Eingang innerhalb von 72 Stunden und bearbeiten die Löschung innerhalb der Monatsfrist des Art. 12 Abs. 3 DSGVO.

15. Speicherdauer — Überblick

DatenkategorieDauerGrundlage
Server-Logsmax. 30 TageArt. 6 Abs. 1 lit. f DSGVO
Nutzerkonto, LernfortschrittDauer der MitgliedschaftArt. 6 Abs. 1 lit. b DSGVO
Konversationen mit AvatarDauer der Mitgliedschaft, Löschung auf AntragArt. 6 Abs. 1 lit. b DSGVO
Zertifikatedauerhaft (Verifikations-Zweck), Löschung auf AntragArt. 6 Abs. 1 lit. b DSGVO
Rechnungen, Zahlungsbelege10 Jahre§ 147 AO, Art. 6 Abs. 1 lit. c DSGVO
Newsletter-Einwilligungbis WiderrufArt. 6 Abs. 1 lit. a DSGVO
Analyse-Daten (GA4)max. 14 MonateEinwilligung
Einwilligungs-Protokolle3 Jahre nach WiderrufArt. 7 Abs. 1 DSGVO (Nachweispflicht)

16. Sicherheit der Verarbeitung (Art. 32 DSGVO)

Wir setzen technische und organisatorische Maßnahmen ein, die dem Stand der Technik entsprechen:

  • Verschlüsselung der Verbindung (TLS 1.3) mit HSTS über 2 Jahre.
  • Verschlüsselung sensibler Daten im Ruhezustand (Supabase at-rest-Encryption, AES-256).
  • Row-Level Security auf allen Datenbank-Tabellen; Nutzer sehen nur ihre eigenen Daten.
  • Security-Header (Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy).
  • Getrennte Administratoren-Rollen und Prinzip der geringsten Rechte.
  • Regelmäßige Überprüfung der Zugriffe, automatisierte Retention-Jobs (tägliche Cron-Jobs).

17. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage, Technik oder unsere Leistungen ändern. Die jeweils aktuelle Version ist unter nterion.de/legal/datenschutz abrufbar. Das Datum am Ende zeigt den Stand der letzten Überarbeitung.

Stand: 21. April 2026