Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Felix Beck
Kraillinger Weg 9
82061 Neuried
Deutschland

Telefon: +49 15510 814400
E-Mail: info@korrigio.de

1a. Begriffsbestimmungen

Diese Datenschutzerklärung verwendet Begriffe im Sinne der Datenschutz-Grundverordnung (Art. 4 DSGVO). Insbesondere:

  • Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • Verarbeitung ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten, etwa das Erheben, Speichern, Verwenden, Übermitteln oder Löschen.
  • Verantwortlicher ist die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung entscheidet (hier: Felix Beck).
  • Auftragsverarbeiter ist eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (z. B. Hosting-Anbieter, KI-Dienste).

2. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt auf folgenden Rechtsgrundlagen gemäß Art. 6 Abs. 1 DSGVO:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung ist erforderlich zur Erfüllung des Nutzungsvertrags über Korrigio. Dies betrifft insbesondere: Kontoverwaltung, OCR-Verarbeitung handschriftlicher Schülerarbeiten, KI-gestützte Fehlerkorrektur und Kommentarerstellung, Speicherung von Kalibrierungsdaten sowie den Export von Korrekturdokumenten.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Für die Verarbeitung von Server-Protokolldaten (Log-Dateien) zur IT-Sicherheit und zum Schutz vor Missbrauch besteht ein berechtigtes Interesse des Verantwortlichen.
  • Nachweis- und Rechenschaftspflichten (Art. 6 Abs. 1 lit. f DSGVO): Zur Erfüllung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO), zum Nachweis der menschlichen Aufsicht über die KI-gestützten Vorschläge sowie zur IT-Sicherheit und Missbrauchsabwehr werden manipulationssichere, pseudonymisierte Audit-Protokolle geführt. Es besteht ein berechtigtes Interesse des Verantwortlichen an der revisionssicheren Dokumentation dieser Vorgänge.
  • Technisch notwendige Cookies (TDDDG (vormals TTDSG) § 25 Abs. 2): Für Authentifizierungs-Cookies, die ausschließlich der Sitzungsverwaltung dienen, ist keine Einwilligung erforderlich (siehe Abschnitt 10).

3. Kategorien verarbeiteter Daten

3.1 Accountdaten (Lehrkraft)

Bei der Registrierung und Nutzung von Korrigio werden E-Mail-Adresse und ein verschlüsselter Passwort-Hash (Bcrypt) gespeichert. Die Authentifizierung erfolgt über Supabase Auth (Frankfurt, Deutschland). Optionale Profilinformationen wie Schulname oder Fachpräferenzen werden nur auf ausdrücklichen Wunsch der Lehrkraft gespeichert.

3.2 Unterrichtsmaterial

Lehrkräfte können Aufgabenstellungen (Aufgaben aus Leistungsnachweisen) und Erwartungshorizonte hochladen oder eingeben. Diese Materialien enthalten in der Regel keine personenbezogenen Daten von Schülerinnen und Schülern und werden ausschließlich zur Konfiguration der KI-gestützten Korrektur verwendet.

3.3 Schülerarbeiten (Scans, Fotos oder digitalisierter Plaintext)

Fotos oder Scans handschriftlicher Schülerarbeiten enthalten personenbezogene Daten, da Handschrift ein indirektes Identifizierungsmerkmal darstellt. Die Bilder werden ausschließlich zum Zweck der automatischen Texterkennung (OCR) und der KI-gestützten Korrektur (multimodale Mathematik-Bewertung, Anzeige neben den KI-Markierungen) verarbeitet. Eine Identifizierung der Schreiberin oder des Schreibers anhand der Handschrift ist nicht Ziel oder Zweck der Verarbeitung. Die Seitenbilder werden 30 Tage nach Abschluss der Korrektur (Status Korrigiert), spätestens bei Löschung durch die Lehrkraft, automatisch gelöscht; während der Korrekturphase werden sie für die multimodale Mathematik-Bewertung und die Anzeige neben den KI-Markierungen benötigt. Eine dauerhafte Speicherung findet nicht statt. Auf den hochgeladenen Aufnahmen dürfen keine Schülernamen oder sonstige direkte Identifikatoren sichtbar sein (Hinweis beim Upload).

Alternativ kann die Lehrkraft den von Schülerinnen und Schülern bereits digitalisierten Plaintext (z. B. via mebis-Plugin KI-gestütztes Feedback) direkt hochladen (Copy-Paste oder als DOCX/TXT/MD-Datei). In diesem Fall entfällt die OCR-Verarbeitung; die hochgeladene Quelldatei wird nach Plaintext-Extraktion sofort gelöscht.

3.4 OCR-Ergebnisse (digitalisierter Text)

Nach der Handschrifterkennung oder nach Übernahme des bereits digitalisierten Plaintexts liegt die Schülerarbeit als digitaler Fließtext vor. Dieser Text enthält keine Bilddaten mehr und wird für die anschließende KI-gestützte Korrektur und Kommentarerstellung verwendet.

3.5 KI-Korrekturdaten

Die KI-gestützte Korrektur erzeugt Fehlermarkierungen (z. B. R, Gr, Z, A) sowie einen strukturierten Kommentartext. Diese Daten werden zusammen mit dem korrigierten Text in der Datenbank gespeichert, bis die Lehrkraft sie löscht. Notenvorschläge werden als Orientierung angezeigt; die endgültige Bewertung liegt ausschließlich bei der Lehrkraft (Abschnitt 6).

3.6 Lehrerkalibrierungsdaten

Korrigio verwendet ein Kalibrierungssystem: Die Lehrkraft kann KI-Korrekturen prüfen und anpassen. Diese validierten Korrekturentscheidungen werden als Kalibrierungsbeispiele dauerhaft gespeichert und bei zukünftigen Korrekturen als Kontext (Few-Shot-Lernen) an das KI-Modell übermittelt, um dessen Ausgabe an den individuellen Korrekturstil der Lehrkraft anzupassen. Die gespeicherten Kalibrierungsdaten sind ausschließlich der jeweiligen Lehrkraft zugeordnet. Lehrkräfte können die Löschung ihrer Kalibrierungsdaten jederzeit gemäß Art. 17 DSGVO beantragen (Abschnitt 11).

4. Zwei-Stufen-Verarbeitungspipeline (Privacy by Design)

Korrigio verarbeitet Schülerarbeiten in einer zweistufigen Pipeline, die so konzipiert ist, dass personenbezogene Daten minimiert und auf das technisch erforderliche Minimum reduziert werden:

Stufe 1 — Handschrifterkennung (OCR): Das Foto der handschriftlichen Arbeit wird an einen dedizierten OCR-Dienst übermittelt. Dieser wandelt das Bild in reinen Text um. Die Originalfotos werden 30 Tage nach Abschluss der Korrektur (Status Korrigiert), spätestens bei Löschung durch die Lehrkraft, automatisch gelöscht; während der Korrekturphase werden sie für die multimodale Mathematik-Bewertung und die Anzeige neben den KI-Markierungen benötigt (siehe Abschnitt 8).

Modus-Variante (Plaintext-Direkt-Ingest): Alternativ zur Foto-Upload-Stufe-1-OCR kann die Lehrkraft den von Schülerinnen und Schülern bereits digitalisierten Plaintext direkt hochladen (Copy-Paste oder DOCX/TXT/MD-Datei). In diesem Modus entfällt der OCR-Schritt; die Stufe 2 (Anonymisierungs-Bestätigung und KI-Korrektur) bleibt strukturell identisch. Hochgeladene Quelldateien werden nach Extraktion sofort gelöscht (siehe Abschnitt 8).

Anonymisierung durch organisatorische Maßnahme: Die Lehrkraft entfernt oder verdeckt Schülernamen und sonstige direkte Identifikatoren auf den hochgeladenen Aufnahmen bereits vor dem Upload und bestätigt diese Anonymisierung durch eine ausdrückliche Erklärung im Upload-Dialog (Schülername entfernt/abgedeckt). Die Erklärung wird je Einreichung in einem manipulationssicheren, hashverketteten Audit-Log protokolliert (audit.anonymization_acknowledgment_log). Eine algorithmische Nachbearbeitung der Texte findet nicht statt; die organisatorische Anonymisierung durch die Lehrkraft ist die einzige technische Anonymisierungskontrolle.

Stufe 2 — KI-Korrektur und Kommentarerstellung: Nur der anonymisierte Fließtext wird an das KI-Sprachmodell zur Fehleranalyse und Kommentarerstellung übermittelt. Keine Bilder, keine Handschrift, keine direkten Identifikatoren.

Proxy-Architektur: Weder der OCR-Dienst noch das KI-Sprachmodell erhalten Informationen darüber, von welcher Lehrkraft, welchem Schüler oder welcher Schule eine Anfrage stammt. Alle Anfragen laufen über den Korrigio-Server, der als einziger Endnutzer gegenüber den KI-Anbietern auftritt.

5. Korrigio als Assistenzsystem — keine automatisierte Einzelentscheidung

Korrigio ist ein Assistenzsystem (nicht ein automatisches Beurteilungssystem). Die endgültige Bewertung einer Schülerarbeit obliegt ausschließlich der Lehrkraft. Die KI-Ausgaben (Fehlermarkierungen, Kommentarvorschläge, Notenorientierung) sind unverbindliche Arbeitshilfen, keine Entscheidungen. Die menschliche Kontrolle ist strukturell verankert: Jede Korrektur muss von der Lehrkraft geprüft und bestätigt werden, bevor sie als Bewertungsgrundlage dienen kann. Korrigio trifft keine automatisierten Einzelentscheidungen im Sinne von Art. 22 DSGVO.

6. Auftragsverarbeiter und Unterauftragnehmer

Zur Erbringung des Dienstes setzt Korrigio folgende Auftragsverarbeiter ein. Mit allen Anbietern bestehen Auftragsverarbeitungsverträge bzw. Datenverarbeitungsvereinbarungen gemäß Art. 28 DSGVO. Schülerdaten (Handschriftbilder, Schülertexte) werden ausschließlich auf Servern innerhalb der Europäischen Union verarbeitet. Einzelne Dienste für Zahlungs-, Kommunikations- und Sicherheitsfunktionen (Stripe, Resend, hCaptcha) verarbeiten Account-, Kontakt- bzw. Sicherheitsdaten der Lehrkraft auch in den USA — auf Grundlage von EU-Standardvertragsklauseln (siehe Abschnitt 7). An diese Dienste werden keine Schülerdaten übermittelt.

6.1 Supabase (Datenbank, Authentifizierung, Dateispeicher)

Anbieter: Supabase Inc. / Supabase GmbH
Serverstandort: Frankfurt am Main, Deutschland (eu-central-1)
Verarbeitete Daten: Accountdaten, Korrektur- und Kalibrierungsdaten, temporäre Datei-Uploads
Zweck: Datenbankbetrieb, Nutzerauthentifizierung, sichere Datei-Zwischenspeicherung

6.2 AWS Bedrock (KI-Sprachmodell-Verarbeitung)

Anbieter: Amazon Web Services EMEA SARL
Serverstandort: Frankfurt am Main, Deutschland (eu-central-1)
Verarbeitete Daten: Anonymisierter Fließtext der Schülerarbeiten, Kalibrierungsbeispiele (anonymisiert), Bilddaten handschriftlicher Arbeiten (ausschließlich für die Handschrifterkennung im Foto-Modus; auf Korrigio-Seite automatische Löschung 30 Tage nach Abschluss der Korrektur, spätestens bei Löschung durch die Lehrkraft; im Plaintext-Modus erfolgt keine Bildübermittlung an Bedrock)
Zweck: KI-gestützte Fehlerkorrektur, Kommentarerstellung und Handschrifterkennung (OCR) über Amazon Bedrock. Keine Speicherung der Eingabedaten durch AWS gemäß Data Processing Agreement. Die Eingabedaten werden weder zum Training noch zur Verbesserung der KI-Modelle verwendet (vertraglich gemäß AWS-DPA, technisch durch den No-Train-API-Flag erzwungen).
Modelle:

  • Claude Opus — Korrektur und Kommentarerstellung (primäres Modell)
  • Claude Sonnet — Handschrifterkennung (OCR, multimodal) sowie erste Fallback-Stufe für Korrektur/Kommentar bei vorübergehender Nichtverfügbarkeit von Opus innerhalb derselben Bedrock-Region

Bereitgestellt über AWS Bedrock — keine direkte Kommunikation mit Anthropic.

6.2a Mistral AI (zweite Fallback-Stufe für Bedrock-Regional-Ausfälle)

Anbieter: Mistral AI SAS
Serverstandort: Paris, Frankreich (EU)
Verarbeitete Daten: Anonymisierter Fließtext (ausschließlich im Ausfallfall, wenn sowohl Claude Opus als auch Claude Sonnet auf AWS Bedrock nicht erreichbar sind — typischerweise bei einem regionalen Bedrock-Ausfall)
Zweck: Echte Provider-Diversität als zweite Fallback-Stufe zur Sicherstellung der Hochverfügbarkeit. Keine Verwendung für die Handschrifterkennung (Mistral verarbeitet keine Bilddaten). Keine Speicherung der Eingabedaten durch Mistral gemäß Data Processing Agreement.
AVV: Signed via Mistral Terms-of-Service-Incorporation §11.2 (verifiziert 2026-05-08, lokal archiviert — siehe docs/datenschutz/sub-processors.md).

6.3 Netcup GmbH (Serverhosting)

Anbieter: Netcup GmbH
Serverstandort: Nürnberg, Deutschland
Verarbeitete Daten: Alle Daten, die über den Korrigio-Server laufen (Server-Protokolldaten, HTTP-Anfragen)
Zweck: Hosting des Anwendungsservers (VPS), Reverse-Proxy (nginx), SSL-Zertifikatsverwaltung

6.4 Stripe (Zahlungsabwicklung)

Anbieter: Stripe Payments Europe, Ltd. (Irland) / Stripe, Inc. (USA)
Serverstandort: Irland (EU); Datenübermittlung in die USA auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Verarbeitete Daten: E-Mail-Adresse, Zahlungsdaten (Kreditkartennummer, Ablaufdatum, CVC — diese werden ausschließlich von Stripe verarbeitet und nicht auf Korrigio-Servern gespeichert), Transaktionsdaten, IP-Adresse bei Checkout.
Zweck: Abwicklung von Zahlungen für Premium-Abonnements, Rechnungserstellung, Abonnementverwaltung.
Datenschutzhinweise: stripe.com/de/privacy

6.5 Resend (E-Mail-Versand)

Anbieter: Resend, Inc. (USA)
Serverstandort: USA; Datenübermittlung in die USA auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Verarbeitete Daten: E-Mail-Adresse der Lehrkraft sowie der Inhalt transaktionaler System-E-Mails (Registrierungs- und Passwort-Bestätigung, E-Mail-Änderung, Widerrufsbestätigung, Feedback- und Missbrauchsmeldungen, Betriebsbenachrichtigungen). Es werden keine Schülerdaten übermittelt.
Zweck: Zuverlässiger Versand transaktionaler E-Mails (der Hosting-Anbieter blockiert ausgehenden SMTP-Verkehr). Keine werbliche Nutzung.

6.6 hCaptcha (Bot- und Missbrauchsabwehr)

Anbieter: Intuition Machines, Inc. (USA)
Serverstandort: USA; Datenübermittlung in die USA auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Verarbeitete Daten: IP-Adresse und Interaktionsdaten der Lehrkraft auf den Authentifizierungsformularen (Login, Registrierung, Passwort-Zurücksetzen). Es werden keine Schülerdaten übermittelt.
Zweck: Schutz der Anmelde- und Registrierungsformulare vor automatisierten Angriffen und Missbrauch (Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Sicherheit des Dienstes).

6.7 Sentry (Fehler- und Stabilitätsüberwachung)

Anbieter: Functional Software, Inc. (dba Sentry, USA)
Serverstandort: EU-Region (Frankfurt am Main, Deutschland); die Datenhaltung erfolgt ausschließlich in der EU. Aus der US-Konzernzugehörigkeit ergibt sich ein theoretisches Restrisiko, das durch EU-Standardvertragsklauseln und den Verzicht auf Nutzerinhalte abgesichert ist.
Verarbeitete Daten: Technische Fehler- und Diagnosedaten (Stack Traces, Fehlerkontext, ggf. IP-Adresse). Es werden keine Nutzerinhalte (Schülertexte, Korrekturdaten) übermittelt.
Zweck: Erkennung und Behebung technischer Fehler zur Sicherstellung des stabilen Betriebs.

7. Drittlandübermittlung

Eine Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union findet bei drei Diensten statt, jeweils ausschließlich auf Grundlage von EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO:

  • Stripe (Zahlungsabwicklung): Stripe Payments Europe, Ltd. (Irland) kann Zahlungs- und Kontaktdaten an Stripe, Inc. (USA) übermitteln.
  • Resend (E-Mail-Versand): E-Mail-Adresse der Lehrkraft und Inhalt der transaktionalen System-E-Mails werden durch Resend, Inc. (USA) verarbeitet.
  • hCaptcha (Missbrauchsabwehr): IP-Adresse und Interaktionsdaten der Lehrkraft auf den Authentifizierungsformularen werden durch Intuition Machines, Inc. (USA) verarbeitet.

Diese drei Übermittlungen betreffen ausschließlich Account-, Kontakt- und Sicherheitsdaten der Lehrkraft (E-Mail-Adresse, Zahlungs-Metadaten, IP-Adresse). Schülerdaten — Handschriftbilder und Schülertexte — werden niemals in Drittländer übermittelt; sie werden ausschließlich in der EU verarbeitet (KI-Verarbeitung in Frankfurt über AWS Bedrock, EU-nativer Fallback bei Mistral AI in Paris). Alle übrigen Dienste (Supabase, Netcup, Sentry) verarbeiten Daten auf Servern innerhalb der EU.

Hinweis zu AWS Bedrock (Schrems-II-Status): Amazon Web Services EMEA SARL (Luxemburg) ist EU-Vertragspartnerin und betreibt die Verarbeitung ausschließlich in der EU-Region Frankfurt (eu-central-1). Aus der Konzernzugehörigkeit zur US-Muttergesellschaft Amazon.com Inc. ergibt sich ein theoretisches Schrems-II-Restrisiko (US CLOUD Act, FISA Section 702), das durch fünf kumulative Schutzmaßnahmen abgemildert wird: ausschließliche EU-Region, AWS-DPA + EU-Standardvertragsklauseln, Proxy-Architektur ohne personenidentifizierende Daten (keine Schülernamen, keine Schul- oder Lehrer-IDs), vertragliche No-Persistence sowie der EU-native Fallback-Anbieter Mistral AI SAS (Paris). Eine separate Drittlandsübermittlung im Sinne von Art. 44 ff. DSGVO findet damit nicht statt.

8. Speicherdauer

Personenbezogene Daten werden gespeichert, solange das Nutzerkonto besteht. Die Lehrkraft kann ihr Konto und alle damit verknüpften Daten jederzeit löschen. Hiervon ausgenommen sind die zu Nachweis- und Rechenschaftszwecken geführten, pseudonymisierten Audit-Protokolle (siehe Abschnitt 2): Sie überdauern die Kontolöschung und werden erst nach Ablauf ihrer Aufbewahrungsfrist (183 bis 366 Tage, siehe unten) automatisch gelöscht (Art. 17 Abs. 3 DSGVO). Folgende kürzere Fristen gelten:

  • Fotos/Scans handschriftlicher Arbeiten: Werden 30 Tage nach Abschluss der Korrektur (Status Korrigiert), spätestens bei Löschung durch die Lehrkraft, automatisch gelöscht. Während der Korrekturphase werden die Seitenbilder für die multimodale Mathematik-Bewertung und die Anzeige neben den KI-Markierungen benötigt. Es findet keine dauerhafte Speicherung von Originalbildern statt.
  • Plaintext-Quelldateien (DOCX, TXT, MD): Werden nach erfolgreicher Plaintext-Extraktion sofort gelöscht. Es findet keine dauerhafte Speicherung der hochgeladenen Originaldateien statt.
  • Server-Log-Dateien: Werden nach spätestens 30 Tagen automatisch gelöscht.
  • Kalibrierungsdaten: Bleiben gespeichert, bis die Lehrkraft deren Löschung beantragt oder das Konto löscht.
  • Audit-Protokolle: Manipulationssichere, pseudonymisierte Nachweisprotokolle (KI-Ereignisse, Anonymisierungs-Bestätigungen, menschliche Aufsicht, Administration) werden zwischen 183 und 366 Tagen aufbewahrt und danach automatisiert gelöscht.

9. Cookies und technische Speicherung

Korrigio setzt ausschließlich technisch notwendige Cookies ein. Diese sind gemäß TDDDG § 25 Abs. 2 von der Einwilligungspflicht ausgenommen, da sie zwingend für den Betrieb des Dienstes erforderlich sind. Ein Cookie-Banner ist daher nicht erforderlich.

  • Supabase Auth Session Cookie: Speichert den Authentifizierungstoken der angemeldeten Lehrkraft. Notwendig für die Nutzung des Dienstes. Läuft mit dem Ende der Sitzung oder nach einem konfigurierten Zeitraum ab.
  • hCaptcha (nur auf den Anmelde-/Registrierungsformularen): Der zur Missbrauchsabwehr eingesetzte Dienst hCaptcha (siehe Abschnitt 6.6) kann zur Sicherheits- und Bot-Erkennung technisch notwendige Cookies bzw. lokale Speicherung setzen. Diese dienen ausschließlich der Sicherheit des angeforderten Dienstes und sind gemäß TDDDG § 25 Abs. 2 von der Einwilligungspflicht ausgenommen. Sie werden nur auf den Authentifizierungsseiten geladen, nicht in der angemeldeten Anwendung. Die Notwendigkeit im Sinne des § 25 Abs. 2 Nr. 2 TDDDG ergibt sich daraus, dass die Speicherung unbedingt erforderlich ist, um den von der Lehrkraft ausdrücklich angeforderten Anmelde- und Registrierungsdienst gegen automatisierten Missbrauch (Bot- und Betrugsabwehr) abzusichern; sie dient keinem Analyse-, Tracking- oder Werbezweck.

Darüber hinaus werden keine Tracking-Cookies, Analytics-Cookies oder werblichen Cookies gesetzt. Es findet kein Tracking, keine Analyse des Nutzungsverhaltens und keine Weitergabe von Nutzungsdaten an Werbetreibende statt (die Reichweitenmessung erfolgt cookielos und ohne personenbezogene Identifikatoren über das selbstgehostete Plausible).

10. Ihre Rechte als betroffene Person

Sie haben gegenüber dem Verantwortlichen folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Dies umfasst auch die Löschung Ihrer Kalibrierungsdaten.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können die Herausgabe Ihrer Daten in einem maschinenlesbaren Format verlangen.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Basis berechtigter Interessen widersprechen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die unter Abschnitt 1 genannte Kontaktadresse.

11. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Für Korrigio als privatrechtliches Unternehmen ist das BayLDA zuständig:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: 0981 180093-0
E-Mail: poststelle@lda.bayern.de
Website: www.lda.bayern.de

12. Auftragsverarbeitungsvertrag (AVV) für Schulen

Der Einsatz von Korrigio an einer Schule erfordert den Abschluss eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO zwischen der Schule (Auftraggeber / Verantwortlicher) und Felix Beck / Korrigio (Auftragnehmer / Auftragsverarbeiter).

Eine vorausgefüllte AVV-Vorlage im Standardformat steht zum Download bereit. Die Vorlage enthält bereits die vollständige Unterauftragnehmerliste (Supabase Frankfurt, AWS Bedrock Frankfurt (primary LLM), Mistral AI Paris (fallback LLM), Netcup Nürnberg, Stripe Payments Europe, Sentry (EU-Region) sowie — ausschließlich für Lehrkraft-Account-/Sicherheitsdaten auf SCC-Grundlage — Resend (USA) und hCaptcha (USA)) sowie die technischen und organisatorischen Maßnahmen (TOM). Die Schule füllt ihre Kontaktdaten ein und unterzeichnet das Dokument.

AVV-Vorlage herunterladen (PDF)

Eine ausführliche Compliance-Übersicht für Schulleitungen — mit KM-Mapping, Datenfluss-Diagramm und vollständigem Download-Bundle — finden Sie unter korrigio.de/fuer-schulen.

13. Kontakt

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte wenden Sie sich an:

Felix Beck
E-Mail: info@korrigio.de