studentive.

Datenschutz­erklärung

Stand: 11.09.2025

1. Datenschutz auf einen Blick

Geltungsbereich

Diese Datenschutzerklärung gilt für alle von uns bereitgestellten Online-Angebote und Dienste:

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unsere Angebote nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen entnehmen Sie den nachstehenden Abschnitten.

Datenerfassung in Website, Web-App und mobiler App

Wer ist verantwortlich?

Die Datenverarbeitung erfolgt durch den in Abschnitt „Hinweis zur verantwortlichen Stelle“ genannten Anbieter.

Wie erfassen wir Ihre Daten?

Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen (z. B. bei Registrierung, Profilerstellung, Nachrichten auf der Plattform, Support-Anfragen).

Andere Daten werden automatisch oder nach Ihrer Einwilligung bei Nutzung unserer Angebote erfasst (z. B. technische Daten/Logfiles, Nutzungsdaten in Web- und Mobile-App; Details siehe unten).

Wofür nutzen wir Ihre Daten?

Zur Bereitstellung der Website und der Apps, zur Abwicklung und Verbesserung unseres Matching-Dienstes, zur Kommunikation (z. B. Nachrichten, E-Mail, Push-Mitteilungen), zur Sicherheit/Fehleranalyse und – nach Einwilligung – zu Analysezwecken. Rechtsgrundlagen finden Sie in Abschnitt „Allgemeine Hinweise zu den Rechtsgrundlagen“.

Welche Rechte haben Sie?

Sie haben jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen nach Art. 6 Abs. 1 lit. e oder f DSGVO und gegen Direktwerbung (siehe Abschnitt „Ihre Rechte“). Hierzu können Sie uns jederzeit kontaktieren.

2. Hosting & Betrieb

Wir hosten Inhalte unserer Website, Web-App und ggf. zugehörige Backends bei folgendem Anbieter:

Host Europe

Anbieter ist die Host Europe GmbH, Hansestraße 111, 51149 Köln („Host Europe“). Bei Aufruf unserer Dienste erfasst Host Europe u. a. Server-Logfiles inkl. IP-Adresse. Details: Datenschutzerklärung Host Europe .

Die Nutzung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen Bereitstellung). Sofern eine Einwilligung abgefragt wurde, erfolgt die Verarbeitung zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG (z. B. für Cookies/Endgeräteinformationen). Einwilligungen können jederzeit widerrufen werden.

Auftragsverarbeitung

Wir haben mit Host Europe einen Vertrag über Auftragsverarbeitung (AVV) geschlossen.

3. Allgemeine Hinweise und Pflicht­informationen

Datenschutz

Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. E-Mail) Sicherheitslücken aufweisen kann.

Hinweis zur verantwortlichen Stelle

Verantwortlicher:

Pancodium GmbH
Philosophenweg 31-33
47051 Duisburg

Telefon: 02363-389904
E-Mail: info@pancodium.de

Speicherdauer

Soweit in dieser Erklärung keine speziellere Frist genannt wird, speichern wir personenbezogene Daten nur solange, wie der Verarbeitungszweck besteht. Nach Zweckerreichung oder bei wirksamem Widerspruch/Widerruf löschen wir die Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Allgemeine Hinweise zu den Rechtsgrundlagen

Je nach Vorgang stützen wir uns auf:

Empfänger von personenbezogenen Daten

Wir übermitteln Daten an externe Stellen nur, wenn eine Rechtsgrundlage dies erlaubt (z. B. AV-Dienstleister/Hosting, Support, Analytik; behördliche Anfragen). Mit Auftragsverarbeitern bestehen AV-Verträge; bei gemeinsamer Verantwortlichkeit bestehen entsprechende Vereinbarungen.

Widerruf Ihrer Einwilligung

Sie können Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Widerspruchsrecht (Art. 21 DSGVO)

Sie können aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen Verarbeitungen nach Art. 6 Abs. 1 lit. e oder f DSGVO Widerspruch einlegen; dies gilt auch für ein darauf gestütztes Profiling. Bei Widerspruch verarbeiten wir die Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Gegen Direktwerbung (inkl. ggf. verbundenem Profiling) können Sie jederzeit Widerspruch einlegen.

Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde, insbesondere am Ort Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des mutmaßlichen Verstoßes.

Recht auf Datenübertragbarkeit, Auskunft, Berichtigung, Löschung, Einschränkung

Sie haben im Rahmen der gesetzlichen Voraussetzungen die genannten Rechte. Kontaktieren Sie uns hierzu jederzeit.

SSL-/TLS-Verschlüsselung

Unsere Dienste nutzen üblicherweise eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie an „https://“ und dem Schloss-Symbol im Browser.

4. Datenerfassung und Verarbeitung nach Nutzungsszenarien

4.1 Server-Log-Dateien (Website/Web-App/Backend-APIs)

Beim Aufruf werden automatisch Server-Logs verarbeitet (Browsertyp/-version, Betriebssystem, Referrer-URL, Hostname/IP-Adresse, Uhrzeit, aufgerufene Ressourcen). Eine Zusammenführung mit anderen Daten erfolgt nicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (technische Bereitstellung, Sicherheit).

4.2 Registrierung, Konto & Matching-Plattform

Zur Nutzung der Matching-Funktionen können Sie ein Konto anlegen. Verarbeitete Daten sind z. B.: Basisdaten (Name, E-Mail, Passwort-Hash), Profilangaben (z. B. Qualifikationen, Interessen, Standortangaben, Verfügbarkeiten, sofern von Ihnen angegeben), Plattform-Interaktionen (z. B. Likes/Matches/Bewerbungen), Kommunikationsinhalte (Nachrichten, Benachrichtigungen).

Zwecke: Kontoverwaltung, Bereitstellung der Matching-Funktionen, Kommunikation zwischen Nutzerinnen und Nutzern sowie mit uns, Missbrauchsprävention. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag); ergänzend Art. 6 Abs. 1 lit. f DSGVO (Sicherheit/Abwehr von Missbrauch).

4.2.1 Zusätzliche Daten je Zielgruppe/Use Case

4.2.2 Speicherdauer

Die vorstehenden Daten werden grundsätzlich bis zur Löschung Ihres Kontos gespeichert oder bis Sie einzelne Angaben selbst entfernen (z. B. Profilinhalte). Gesetzliche Aufbewahrungspflichten bleiben unberührt.

4.3 Kommunikation (E-Mail, Telefon, In-App-Nachrichten, Support)

Anfragen und Supportfälle verarbeiten wir zur Bearbeitung Ihres Anliegens. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (vertraglicher Bezug) oder lit. f (berechtigtes Interesse an effizienter Bearbeitung) bzw. lit. a (Einwilligung), sofern erteilt. Speicherdauer bis Zweckerreichung bzw. gesetzliche Aufbewahrung.

4.4 Mobile App: Gerätedaten, Berechtigungen & Push-Mitteilungen

Bei Nutzung der mobilen App können je nach Funktion folgende Daten verarbeitet werden:

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Nutzung der App-Funktionen), Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (Berechtigungen/Push, sofern erforderlich). Sie können Berechtigungen und Push in den Systemeinstellungen Ihres Geräts jederzeit anpassen.

4.5 Swipe-Funktion

Für die Swipe-Funktion speichern wir das Swipe-Ergebnis (positiv/negativ), den Zeitpunkt und den gewählten Benutzernamen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Das Ergebnis der Swipes wird dauerhaft anonymisiert für das Training von Algorithmen verwendet.

5. Externe Dienste & Integrationen

5.1 PostHog (Analyse & Produktoptimierung; Fehleranalyse)

Wir nutzen PostHog (PostHog Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA) zur Auswertung von Nutzungsdaten in Website, Web-App und mobiler App (Produktverbesserung, Support). PostHog verarbeitet u. a. technische Nutzungsdaten und Interaktionen; bei eingeloggten Nutzungen können Identifikationsdaten (z. B. E-Mail, Name) zugeordnet werden, soweit dies für Support-/Produktzwecke erforderlich ist.

Hinweis zu Unternehmens- und Hochschul-Webanwendungen: In business.studentive.app und university.studentive.app nutzen wir PostHog auch für die Fehleranalyse.

Einwilligungsmodus (Opt-in): Bei Zustimmung über unseren Cookie-/Bestätigungsbanner wird eine eindeutige Kennung persistent gespeichert (z. B. Cookie/gleichwertig), um wiederkehrende Nutzer:innen zu erkennen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG. Widerruf jederzeit möglich.

Ohne Opt-in: Es erfolgt eine auf das Nötigste beschränkte, nicht wiedererkennungsbasierte Nutzungsanalyse ohne Verwendung persistenter Endgerätekennungen (kein Cookie o. Ä.) und mit IP-Kürzung/ohne geräteübergreifendes Tracking. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; § 25 Abs. 2 TDDDG.

PostHog speichert Daten ausschließlich auf Servern in der EU. Es besteht ein Auftragsverarbeitungsvertrag (Data Processing Agreement) zwischen Pancodium GmbH und PostHog Inc. (inkl. geeigneter Garantien, z. B. Standardvertragsklauseln). Details: Datenschutz PostHog.

5.2 Sentry (Fehleranalyse – mobile App & Studierenden-Web-App)

Sentry (Functional Software Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA) wird in der mobilen App und der Web-App für Studierende (studentive.app) für Crash-Reports und Fehleranalyse eingesetzt. Verarbeitet werden u. a. Fehlerzeitpunkt, Gerät/OS, App-Version, technische Ereignisdetails, anonymisierte IP, ggf. benutzerdefinierte Logs, Nutzer-ID, E-Mail (falls vorhanden), kontextbezogene Felder (z. B. Formularinhalte). Kein Profiling, kein Session-Replay.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (stabile/fehlerfreie Bereitstellung); bei endgerätebezogenen Zugriffen zusätzlich Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. AV-Vertrag nach Art. 28 DSGVO vorhanden; Übermittlungen auf Basis SCC/DPF (siehe Anbieterangaben).

5.3 Laravel Nightwatch (Backend-Monitoring, Performance & Fehleranalyse)

Wir setzen Laravel Nightwatch (Laravel Holdings, Inc., 60 Broad St, 24th Floor #1559, New York, NY 10004, USA) für Monitoring unserer Backend-Systeme ein (Performance-Analysen, Fehlermeldungen, Stabilität). Dabei können auch personenbezogene Informationen aus API-Interaktionen verarbeitet werden (z. B. Zeitstempel, Endpunkte, Statuscodes, IP/Device-Infos, Nutzer-/Konto-IDs, Fehlermeldungen/Stacktraces sowie ggf. kontextbezogene Inhaltsausschnitte zur Diagnose).

Region/Speicherort: Wir haben die Region Europa (Frankfurt) gewählt; Verarbeitung damit innerhalb der EU. Es besteht ein DPA/AVV zwischen Pancodium GmbH und Laravel; geeignete Schutzmaßnahmen sind vereinbart.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer, stabiler und performanter Bereitstellung); ergänzend Art. 6 Abs. 1 lit. b DSGVO, sofern zur Vertragserfüllung (Störungsbehebung) erforderlich.

5.4 DFN-AAI / REFEDS & GEANT (SAML-Login; Föderierte Identität)

Wir nehmen an der DFN-AAI teil und befolgen den GEANT Data Protection Code of Conduct v1 sowie den REFEDS Data Protection Code of Conduct v2 („CoCo v2“). Zudem nutzen wir REFEDS Personalized. Bei Anmeldung über Ihre Heimorganisation (IdP) können die nachstehenden required Attribute übermittelt werden; Verarbeitung erfolgt zweckgebunden und nach Datenminimierung.

Weitergabe an Authentifizierungsdienst: Die vom IdP gelieferten Attribute werden an AWS Cognito übertragen und dort für die Kontoverwaltung gespeichert (siehe Abschnitt „5.5 AWS Cognito & Amazon SES“).

5.4.1 Angefragte (required) Attribute

5.4.2 Zweckbindung je Attribut

Attribut Zweck Rechtsgrundlage
subject-id Eindeutige, stabile Kennung für Konto-Zuordnung, Session-Handling, Missbrauchsprävention, Sicherheits-Nachvollziehbarkeit. Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. f DSGVO (Sicherheit)
mail Kontakt, Konto-Benachrichtigungen, Sicherheits-Hinweise, Zugangswiederherstellung. Art. 6 Abs. 1 lit. b DSGVO
givenName, sn Personalisierung, Anzeige des Namens, Zuordnung in Workflows. Art. 6 Abs. 1 lit. b DSGVO
schacHomeOrganization Zuordnung zur richtigen Hochschul-Instanz; Steuerung spezifischer Funktionen/Policies. Art. 6 Abs. 1 lit. b DSGVO
eduPersonScopedAffiliation Rollen-/Berechtigungsmanagement (z. B. Studierende vs. Mitarbeitende); Zugangssteuerung. Art. 6 Abs. 1 lit. b DSGVO

5.4.3 Datenminimierung, Aufbewahrung, Empfänger

Verarbeitung nur der genannten Attribute und nur zu den angegebenen Zwecken. Speicherdauer gemäß Abschnitt „Speicherdauer“ bzw. Laufzeit des Nutzerkontos; Weitergabe nur an Auftragsverarbeiter (z. B. Hosting/Support/Authentifizierung) mit AV-Vertrag oder wenn rechtlich erforderlich.

5.4.4 Rechtsgrundlagen & Verträge

Erforderlich zur Bereitstellung des Dienstes und Zugangs-/Berechtigungsverwaltung (Art. 6 Abs. 1 lit. b DSGVO), ergänzt um berechtigtes Interesse an sicherem Zugangsmanagement (Art. 6 Abs. 1 lit. f DSGVO). AV-Vertrag gem. Art. 28 DSGVO mit dem DFN (Verein zur Förderung eines Deutschen Forschungsnetzes e. V.) besteht.

5.4.5 Zusätzliche Hinweise

Abhängig vom IdP können displayName und eduPersonAssurance übermittelt werden; wir speichern und verarbeiten diese nicht, da sie für unseren Dienst nicht erforderlich sind. Bei internationalen Übermittlungen werden geeignete Garantien (z. B. SCC) genutzt.

5.5 AWS Cognito & Amazon SES (Authentifizierung & E-Mail-Versand)

Amazon Cognito (Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, 1855 Luxemburg) dient Registrierung, Authentifizierung und Kontoverwaltung (E-Mail, gehashte Passwörter, Anmeldedaten/Tokens, IP, Geräte-/Login-Metadaten). DFN-AAI-Attribute werden an Cognito übermittelt und dort gespeichert (siehe 5.4).

Amazon SES wird für Authentifizierungs-E-Mails (z. B. Bestätigungen, Passwort-Reset) und plattforminterne Benachrichtigungen eingesetzt. Verarbeitung grundsätzlich in der EU (z. B. Region Frankfurt), vereinzelt Drittlandsübermittlungen (insb. USA) mit geeigneten Garantien (SCC/DPF). Rechtsgrundlagen: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

Weitere Infos: AWS Privacy, AWS GDPR Center

5.6 DeepL (Übersetzungen)

DeepL SE, Maarweg 165, 50825 Köln, Deutschland. Wir übertragen zu übersetzende Inhalte (z. B. Ausschreibungen, Unternehmensprofile, Freitexte, Keywords) an DeepL; nach Abschluss des Übersetzungsvorgangs werden diese dort gelöscht. DeepL kann auch an anderen Stellen eingesetzt werden, wo eine Übersetzungsfunktion in der Oberfläche ausgewiesen ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (mehrsprachige Bereitstellung). Infos: deepl.com/privacy.

5.7 Google Fonts (lokales Hosting)

Wir nutzen lokal eingebundene Google Fonts; es findet keine Verbindung zu Google-Servern statt. Weitere Informationen: FAQ, Datenschutz Google.

5.8 Paddle (Merchant of Record – nur für Unternehmensnutzer:innen)

Für Unternehmensnutzer:innen fungiert Paddle.com Market Limited (Judges House, 19–21 Broad Street, St Helier, JE2 3RR, Jersey, UK; „Paddle“) als Merchant of Record. Das bedeutet: Paddle ist der rechtliche Verkäufer/Reseller der über unsere Plattform gebuchten Leistungen und übernimmt insbesondere Zahlungsabwicklung, Rechnungsstellung, Steuer- und Compliance-Pflichten.

Keine Nutzung bei Studierenden oder Hochschulen: Studierende verwenden unsere App kostenfrei. Hochschulen/Universitäten schließen Verträge direkt mit der Pancodium GmbH und erhalten Rechnungen unmittelbar von uns (kein Paddle-Einsatz).

Paddle verarbeitet dabei insbesondere folgende Kategorien von Daten: Zahlungs- und Rechnungsinformationen (z. B. Name, Adresse, E-Mail, Unternehmensangaben, Transaktions- und Steuerdaten, Betrugspräventionsdaten).

Rollenverständnis: Paddle agiert als eigenständig Verantwortlicher (Controller) im Sinne der DSGVO (insb. für Zahlungsabwicklung, Betrugsprävention, Erfüllung steuer-/handelsrechtlicher Pflichten). Die rechtliche Grundlage hierfür ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrugsprävention).

Verträge: Zwischen uns und Paddle gilt das Data Sharing Addendum (Controller-to-Controller). Soweit Paddle ausnahmsweise in der Rolle eines Auftragsverarbeiters tätig wird, gilt ergänzend das Standard-DPA von Paddle.

Weitere Informationen finden Sie in der Datenschutzerklärung von Paddle.

5.9 Supademo (Interactive Demos & Tutorials)

Zur Bereitstellung von interaktiven Demos und Tutorials auf unserer Landingpage sowie innerhalb unserer Anwendungen nutzen wir den Dienst Supademo der Supademo, Inc., Adresse: 651 N Broad St Suite 201, Middletown, DE 19709, USA. Supademo ermöglicht uns, Nutzer:innen geführte Klick-Demonstrationen unserer Plattform anzuzeigen. Dabei können – je nach Interaktion – technische Daten (z. B. IP-Adresse, Browser, Interaktionsverhalten in der Demo) verarbeitet werden. Die Verarbeitung erfolgt erst nach Ihrer Zustimmung innerhalb der eingebetteten Demo (Cookie-/Tracking-Banner von Supademo).

Rollenverständnis: Supademo agiert als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Ein entsprechender Auftragsverarbeitungsvertrag (AVV) mit Supademo wurde abgeschlossen. Weitere Informationen finden Sie in der Datenschutzerklärung von Supademo .

Rechtsgrundlagen: Die Einbindung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Ohne Ihre Einwilligung erfolgt keine Datenverarbeitung durch Supademo.

6. Unsere Social-Media-Auftritte

Diese Datenschutzerklärung gilt für folgende Auftritte

Datenverarbeitung durch soziale Netzwerke

Beim Besuch unserer Auftritte können die jeweiligen Anbieter Ihr Nutzungsverhalten analysieren (auch ohne Login mittels Cookies/Endgerätekennung/IP). Die Anbieter erstellen ggf. Profile und verwenden diese für interessenbezogene Werbung. Weitere Details entnehmen Sie den Datenschutzhinweisen der Plattformen.

Rechtsgrundlagen, Verantwortlichkeit, Rechte

Unsere Social-Media-Auftritte dienen einer möglichst umfassenden Präsenz (Art. 6 Abs. 1 lit. f DSGVO). Im Übrigen gelten die jeweiligen Rechtsgrundlagen der Plattformbetreiber. Bei z. B. Facebook Pages besteht eine gemeinsame Verantwortlichkeit (Controller Addendum: Link). Sie können Ihre Rechte sowohl uns als auch dem jeweiligen Betreiber gegenüber geltend machen.

Plattform-spezifische Hinweise (Auszug)

Facebook & Instagram (Meta)

Einstellungen für Werbung: Facebook. Datentransfer USA auf Grundlage von Standardvertragsklauseln (SCC). Details: SCC Meta, Hilfe, Datenschutz: Facebook, Instagram.

X (ehemals Twitter)

Einstellungen: Personalisierung. SCC-Info: Link. Datenschutz: Link.

LinkedIn

Werbe-Cookies deaktivieren: Link. SCC/DPA: DPA, SCC. Datenschutz: Link.

TikTok

Datenschutz: Link. Internationale Datentransfers gemäß SCC (Details siehe Datenschutzhinweise von TikTok).

7. Weitere Hinweise

Jugendschutz

Unsere Dienste richten sich nicht an Kinder unter 16 Jahren. Personen unter 16 Jahren dürfen personenbezogene Daten nur mit Zustimmung der Erziehungsberechtigten bereitstellen.

Sicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen (TOM), um Ihre Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen.

Änderungen dieser Datenschutzerklärung

Wir passen diese Erklärung an, wenn unsere Dienste oder die Rechtslage dies erfordern. Es gilt die jeweils aktuelle Version.