Datenschutzerklärung

Stand: 01. Mai 2026

Die Steuerheld GmbH betreibt die Steuerheld Apps und die Webseite https://www.steuerheld.academy (zusammen „Steuerheld-Dienste“). Der Schutz deiner personenbezogenen Daten ist uns wichtig. Diese Datenschutzerklärung informiert dich gemäß Art. 13, 14 DSGVO über die Verarbeitung deiner Daten bei Nutzung unserer Dienste. Ohne gesonderte Einwilligung werden deine Daten weder zu Werbezwecken ausgewertet noch an Dritte weitergegeben.

1. Verantwortlicher

Steuerheld GmbH, Gluckstraße 57, 22081 Hamburg
Geschäftsführung: Justus Bahne Urbahns, Thilo Erik Dittrich
HRB 198377 (AG Hamburg)
Datenschutz-Kontakt: support@steuerheld.academy

2. Deine Rechte

Du hast gegenüber uns folgende Rechte hinsichtlich deiner personenbezogenen Daten:

3. Speicherdauer

Wir löschen deine Daten, sobald der jeweilige Zweck entfällt, es sei denn, gesetzliche Aufbewahrungspflichten stehen dem entgegen. Im Überblick:

4. Übersicht der Rechtsgrundlagen

Wir stützen die Verarbeitung deiner Daten je nach Zweck auf folgende Rechtsgrundlagen:

Die jeweils einschlägige Rechtsgrundlage wird bei den nachfolgenden Verarbeitungsvorgängen angegeben, soweit eine Zuordnung nicht bereits aus der obigen Übersicht hervorgeht.

5. Bereitstellung der Steuerheld-Dienste

Wir verarbeiten deine Daten zur Bereitstellung, Personalisierung und Sicherung unserer Dienste, zur nicht-werblichen Kommunikation sowie zur Durchführung von Aktionen. Das Hosting erfolgt über zertifizierte Dienstleister (s. u. Abschnitt 13). Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO.

5.1. Zugriffsdaten

Bei Nutzung der Steuerheld-Dienste werden automatisch technische Daten erfasst: aufgerufene Seiten, Zeitstempel, Datenmenge, Statusmeldungen, Geräte- und Browserinformationen, Referrer-URL, IP-Adresse, Session-IDs und daraus abgeleitete Geo-Daten (Stadt/PLZ). Diese Daten werden in Server-Logfiles gespeichert, getrennt von deinen Account-Daten, und nach 14 Tagen anonymisiert. Über Programmabstürze werden wir ggf. über Google Play Console und Apple App Store Connect informiert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; bei statistischer Auswertung: Art. 6 Abs. 1 lit. a DSGVO.

6. Account und Social Login

6.1. Registrierung

Bei der Registrierung erfassen wir Name, E-Mail-Adresse und Passwort (Pflichtfelder). Zusätzlich kannst du freiwillig ein Profilbild und Lernziele hinterlegen. Die Übermittlung erfolgt verschlüsselt. Daten werden bis zur Kontolöschung gespeichert. Rechtsgrundlage für Pflichtdaten: Art. 6 Abs. 1 lit. b DSGVO; für freiwillige Angaben: Art. 6 Abs. 1 lit. a DSGVO.

6.2. Social Login

Du kannst dich alternativ über Facebook, LinkedIn, Google oder Apple anmelden. Wir greifen dabei nicht auf Kontakte oder Freundeslisten zu. Eine dauerhafte Verknüpfung der Konten findet nicht statt. Es gelten zusätzlich die Datenschutzerklärungen von Meta Platforms Ireland Limited (Facebook), LinkedIn Ireland Unlimited Company, Google Ireland Limited und Apple Inc. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

7. Kontaktaufnahme

Du hast die Möglichkeit, auf unserer Website bzw. in unserer App mit uns Kontakt aufzunehmen. In diesem Zusammenhang verarbeiten wir deine Daten ausschließlich zur Kommunikation mit dir.

Du kannst dich mit uns in Verbindung setzen, indem du unserem Support eine E-Mail schreibst oder uns in der App eine Nachricht zukommen lässt. Zweck der Datenverarbeitung ist die Weiterleitung deiner Anfragen an uns. Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO.

8. Persönliche Lernhistorie

Wir speichern, welche Lerninhalte du wann, wie oft und wie lange abgerufen hast, sowie deine Übungsergebnisse. Diese Daten dienen der Personalisierung deiner Lernerfahrung (z. B. Schwierigkeitsanpassung, Spaced Repetition, landesrechtliche Spezifika). Deine Lernhistorie ist für andere Nutzer/innen nicht einsehbar. Soweit du freiwillig Informationen zu Studienort, Karrierefortschritt oder Tätigkeit angibst, ist Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO; im Übrigen Art. 6 Abs. 1 lit. b und f DSGVO.

9. Steuerheld Community

Öffentliches Profil: Wenn du an Gruppen, Leaderboards oder dem Forum teilnimmst, ist dein öffentliches Profil (Benutzername, Single-Player-Punktzahl, Streak Days, Community Reputation) sichtbar. Optional kannst du Profilbild, Klarname, Bio, Social-Media-Profile und Website ergänzen.

Gruppen & Leaderboards: Die Teilnahme an Leaderboards erfordert ein Opt-in. Sichtbarkeit kannst du jederzeit im Einstellungsdialog deaktivieren. Bei Massenlizenzen erfolgt eine Zuordnung zur Lizenznehmer-Gruppe.

Forum: Die Teilnahme ist freiwillig; Beiträge erscheinen unter deinem öffentlichen Profil.

Rechtsgrundlage für alle Community-Funktionen: Art. 6 Abs. 1 lit. a DSGVO.

10. Forschung, KI und Machine Learning

Für die Personalisierung deiner Lernerfahrung (z. B. Auswahl von Wiederholungsfragen, Schwierigkeitsanpassung) verarbeiten wir deine Lernhistorie personenbezogen (siehe hierzu Abschnitt 8). Für die Weiterentwicklung unserer Lernalgorithmen und Forschungszwecke (insbesondere die Entwicklung maschineller Lernverfahren und die Optimierung unserer Dienste) verarbeiten wir deine Daten ausschließlich in anonymisierter oder pseudonymisierter Form. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Automatisierte Entscheidungen (Art. 22 DSGVO): Die KI-basierte Personalisierung entfaltet keine rechtliche Wirkung und beeinträchtigt dich nicht in vergleichbar erheblicher Weise. Sollte künftig eine automatisierte Entscheidungsfindung i. S. d. Art. 22 Abs. 1 DSGVO eingeführt werden, informieren wir dich gesondert.

11. Newsletter und Bestandskund/innenwerbung

Newsletter: Anmeldung per Double-Opt-In; Abmeldung jederzeit über den Link in jeder E-Mail. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Bestandskund/innenwerbung: Nach Registrierung senden wir dir Informationen zu ähnlichen Produkten (§ 7 Abs. 3 UWG). Wir messen Öffnungsraten und Klicks pseudonymisiert (Tracking-Pixel). Widerspruch jederzeit per E-Mail an support@steuerheld.academy oder über den Abmelde-Link. Wir setzen für den Versand und die Analyse unserer E-Mails (Newsletter sowie transaktionale Benachrichtigungen) den Dienstleister Resend ein (siehe Abschnitt 13.7). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

12. Soziale Netzwerke

Wir betreiben Onlinepräsenzen auf folgenden Plattformen:

Die sozialen Netzwerke verarbeiten Daten in eigener Verantwortung; es gelten deren jeweilige Datenschutzerklärungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Das Teilen von Steuerheld-Inhalten über die Standard-Teilen-Funktion deines Geräts erfolgt erst bei aktivem Antippen; die weitere Verarbeitung richtet sich nach der gewählten Dritt-App.

13. Cookies und Tools

Wir verwenden Cookies und vergleichbare Technologien in vier Kategorien: technisch erforderliche, funktions-/leistungsbedingte, Marketing- und analysebedingte Tools. Nicht-technische Tools setzen wir nur mit deiner Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO; § 25 TDDDG). Die Einwilligung ist jederzeit widerruflich.

Eingesetzte Dienstleister für Hosting und Infrastruktur

Rechtsgrundlage für all diese Hosting-Dienste ist Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO.

13.1. Google Workspace

Wir nutzen zur Organisation unserer betrieblichen Abläufe, zur Dokumentenverwaltung sowie zur Zusammenarbeit mit unseren Kunden und Partnern die Dienste von Google Workspace, bereitgestellt von der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) („Google“).

Im Rahmen dieser Nutzung werden Dokumente, Tabellen, Präsentationen und andere Dateien auf den Servern von Google gespeichert und verarbeitet. Hierbei können personenbezogene Daten unserer Nutzer/innen, Kund/innen und Interessent/innen (z. B. Kontaktdaten, Vertragsinhalte, Projektdokumentationen und Kommunikationsdaten) erfasst werden. Zweck der Nutzung ist die effiziente, cloudbasierte Verwaltung unserer Geschäftsprozesse sowie die ortsunabhängige Zusammenarbeit in Echtzeit.

Rechtsgrundlage für die Verarbeitung der Daten ist — sofern die Nutzung der Durchführung vorvertraglicher Maßnahmen oder der Erfüllung eines Vertrages dient — Art. 6 Abs. 1 lit. b DSGVO. Im Übrigen beruht die Nutzung auf unserem berechtigten Interesse an einer modernen, sicheren und effizienten Organisation unserer Unternehmensinfrastruktur gemäß Art. 6 Abs. 1 lit. f DSGVO.

13.2. Hosting und Infrastruktur (IONOS)

Wir verwenden für den Betrieb unserer Website die Dienste der IONOS SE (Elgendorfer Str. 57, 56410 Montabaur). IONOS stellt uns die notwendige Serverinfrastruktur sowie Speicherplatz zur Verfügung, um die Erreichbarkeit und Sicherheit unserer Online-Präsenz zu gewährleisten. Hierbei werden personenbezogene Daten (z. B. IP-Adressen in Server-Logfiles) verarbeitet, um eine fehlerfreie Darstellung und Abwehr von Cyberangriffen sicherzustellen. Zur Absicherung dieser Verarbeitung haben wir mit IONOS einen Vertrag über Auftragsverarbeitung (AVV) geschlossen. Rechtsgrundlage für diese Verarbeitung ist unser berechtigtes Interesse an einer technisch einwandfreien und sicheren Bereitstellung unseres Onlineangebots gemäß Art. 6 Abs. 1 lit. f DSGVO.

13.3. Backend-Infrastruktur und Datenbanken (Supabase)

Für die Bereitstellung unserer Anwendungslogik, Datenbanken und Authentifizierungsdienste nutzen wir Supabase, einen Dienst der Supabase Inc. (970 Summer St, Stamford, CT 06905, USA). Supabase fungiert als zentrales Backend-System, in dem deine Nutzerprofile, Lernfortschritte und Authentifizierungsdaten verarbeitet werden. Um ein höchstmögliches Datenschutzniveau zu gewährleisten, haben wir den Serverstandort in der EU-Region (Frankfurt am Main) gewählt. Soweit Daten in die USA übertragen werden, erfolgt dies auf Basis der EU-Standardvertragsklauseln. Zweck dieser Nutzung ist die Bereitstellung der Kernfunktionen unserer Applikation und die Erfüllung des Nutzungsvertrags mit dir. Rechtsgrundlage ist die Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO.

13.4. Frontend-Hosting und Content Delivery Network (Vercel)

Zur Ausspielung und Optimierung der Benutzeroberfläche (UI) unserer Web-App verwenden wir Vercel, einen Dienst der Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA). Vercel ermöglicht eine schnelle weltweite Bereitstellung der Website-Inhalte durch ein Content Delivery Network (CDN). Dabei können technische Metadaten und IP-Adressen an Server von Vercel übertragen werden. Zum Schutz deiner Daten nutzt Vercel Sicherheitsstandards, die durch entsprechende vertragliche Vereinbarungen (Standardvertragsklauseln) abgesichert sind. Zweck ist die Performance-Optimierung und stabile Bereitstellung der Nutzeroberfläche. Rechtsgrundlage ist unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO.

13.5. App-Management und Lifecycle (Expo)

Für die Erstellung, Bereitstellung und Wartung unserer mobilen Applikation nutzen wir die Dienste von Expo (650 Industries, Inc., USA). Expo unterstützt uns beim Build-Prozess sowie beim Einspielen notwendiger technischer Updates („Over-the-Air Updates“). Hierbei können technische Gerätekennungen verarbeitet werden, um die Kompatibilität und Sicherheit der App auf deinem Endgerät zu gewährleisten. Die Verarbeitung erfolgt unter Einhaltung strenger technischer Schutzmaßnahmen und auf Basis der EU-Standardvertragsklauseln für Datentransfers in Drittstaaten. Rechtsgrundlage ist unser berechtigtes Interesse an der Bereitstellung einer funktionsfähigen und sicheren App gemäß Art. 6 Abs. 1 lit. f DSGVO.

13.6. Download über App-Stores (Apple & Google)

Beim Herunterladen der Steuerheld-App über den Apple App Store oder den Google Play Store werden Informationen an den jeweiligen Store-Betreiber übertragen (insbesondere Nutzername, E-Mail-Adresse, Kunden-Nummer deines Accounts, Zeitpunkt des Downloads sowie die individuelle Gerätekennziffer). Auf diese Datenerhebung haben wir keinen Einfluss und sind nicht dafür verantwortlich. Die Verarbeitung erfolgt ausschließlich durch den jeweiligen Store-Betreiber (Apple Inc. bzw. Google Ireland Limited). Informationen zum Datenschutz findest du in den jeweiligen Erklärungen der Anbieter (Apple Privacy Policy / Google Privacy Policy). Zweck dieser Verarbeitung ist die Ermöglichung des Software-Bezugs über die etablierten Distributionsplattformen.

13.7. E-Mail-Versand und Kommunikation (Resend)

Für den Versand von elektronischer Kommunikation (z. B. Newsletter, Transaktions-E-Mails wie Passwort-Resets sowie allgemeine Informations-E-Mails) nutzen wir den Dienst Resend der Resend Labs Inc. (2261 Market Street #5039, San Francisco, CA 94114, USA). Resend verarbeitet dabei E-Mail-Adressen und Metadaten zur Zustellung. Um ein angemessenes Datenschutzniveau bei der Übermittlung in die USA sicherzustellen, haben wir mit Resend EU-Standardvertragsklauseln abgeschlossen. Zweck der Nutzung ist die professionelle und zuverlässige Kommunikation mit unseren Nutzer/innen.

Rechtsgrundlage für werbliche Newsletter ist deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Für Transaktions- und Informations-E-Mails sowie die technische Messung von Zustellraten berufen wir uns auf unser berechtigtes Interesse an einer effizienten und sicheren Kommunikation gemäß Art. 6 Abs. 1 lit. f DSGVO.

14. Online-Werbung

Wir nutzen gängige Werbenetzwerke (u. a. Google, Meta) zur personalisierten Ausspielung von Werbung außerhalb der Steuerheld-Dienste. Dabei werden Cookies oder vergleichbare Technologien gesetzt, die ein Nutzungsprofil ermöglichen. IP-Adressen werden nur technisch übertragen, nicht zur Personalisierung genutzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

15. Zahlungsdienstleister

Wir setzen Stripe, Apple Pay, Google Pay, SEPA- und SOFORT-Überweisung ein. Die jeweiligen Zahlungsdienstleister erheben Zahlungsdaten in eigener Verantwortung; es gelten deren Datenschutzerklärungen.

16. Weitergabe von Daten

Eine Weitergabe deiner Daten erfolgt nur bei: ausdrücklicher Einwilligung (lit. a), Erforderlichkeit zur Rechtsverteidigung (lit. f), gesetzlicher Verpflichtung (lit. c) oder Vertragserfüllung (lit. b). Unsere Dienstleister verarbeiten Daten ausschließlich weisungsgebunden auf Basis von Auftragsverarbeitungsverträgen.

17. Massenlizenzen

Bei Nutzung über eine Massenlizenz (Kanzlei-, Campus-, Unternehmens-Lizenz) übermitteln wir dem Lizenznehmer: die Registrierungsinformation (E-Mail, Zeitpunkt) sowie eine anonymisierte Lernstatistik. Der Zugang erfolgt via Zugangscode oder lizenzgebundener E-Mail-Endung. Die Nutzung des Admin Portals setzt einen Auftragsverarbeitungsvertrag voraus. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.

18. Drittstaatenübermittlungen

Einige unserer Dienstleister sitzen in Drittländern (insb. USA). Soweit kein Angemessenheitsbeschluss der EU-Kommission vorliegt, haben wir EU-Standardvertragsklauseln abgeschlossen. Bei Einwilligung wirst du auf mögliche Risiken (z. B. behördlicher Zugriff) hingewiesen.

19. Datensicherheit

Wir schützen deine Daten durch Firewalls, verschlüsselte Übertragung und 2-Faktor-Authentifizierung. Ein hundertprozentiger Schutz kann nicht gewährleistet werden. Im Falle einer Datenkompromittierung werden betroffene Nutzer/innen informiert.

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, um sie an geänderte Dienste oder rechtliche Anforderungen anzupassen.