Datenschutzrichtlinie

Überblick

Lumenshore Limited ("Lumenshore", "wir", "uns" oder "unser"), Firmennummer 09607326, registriert unter Windsor House, Troon Way Business Centre, Humberstone Lane, Leicester, England, LE4 9HA, betreibt die mobile Anwendung LumenLingo (die "App") und die Website lumenlingo.com (die "Website"). Diese Datenschutzrichtlinie erläutert, wie wir Informationen erheben, verwenden, speichern und schützen, wenn Sie eine der beiden Plattformen nutzen.

Wir haben LumenLingo mit einer Privacy-First-Architektur entwickelt. In der iOS-App werden Ihre Lerndaten auf Ihrem Gerät und in Ihrem persönlichen iCloud-Konto verarbeitet und gespeichert — nicht auf unseren Servern. Auf der Website erheben wir nur die minimal notwendigen Daten für den Betrieb des Dienstes und die Verbesserung Ihres Erlebnisses. Wir sind der Überzeugung, dass Ihre Daten Ihnen gehören und das so bleiben sollte.

Diese Richtlinie ist in zwei Abschnitte unterteilt — Website und iOS-App — damit Sie schnell die für Sie relevanten Informationen finden können.

Datenerfassung auf der Website

Wenn Sie lumenlingo.com besuchen, erheben wir möglicherweise die folgenden Daten:

• E-Mail-Adresse — wenn Sie sich für unseren Newsletter anmelden oder der Warteliste beitreten. Wir erfassen Ihre E-Mail-Adresse ausschließlich, um Ihnen Produktaktualisierungen und Startbenachrichtigungen zu senden. Sie können sich jederzeit abmelden.
• Sprachpräferenz — wenn Sie der Warteliste beitreten, erfassen wir, an welcher Sprache Sie interessiert sind, um künftige Kommunikation anzupassen.
• Kampagnenzuordnung (UTM-Parameter) — wir erfassen UTM-Parameter (Quelle, Medium, Kampagne) aus URLs im sessionStorage Ihres Browsers, um zu verstehen, welche Marketingkanäle effektiv sind. Diese Daten sind nicht mit Ihrer Identität verknüpft und werden beim Schließen des Browser-Tabs gelöscht.
• Anonyme Seitenaufrufe — wir verwenden Vercel Analytics, einen cookiefreien, datenschutzfreundlichen Analysedienst, zur Zählung von Seitenaufrufen. Es werden keine personenbezogenen Daten erhoben, keine Cookies gesetzt und keine einzelnen Nutzer identifiziert.
• Anonyme Leistungsmetriken — wir verwenden Vercel Speed Insights zur Messung von Seitenladezeiten und Core Web Vitals. Diese Daten sind vollständig anonym und helfen uns, die Website schnell zu halten.
• Fehlerdaten und Sitzungsaufzeichnungen — wir verwenden Sentry zur Fehlerüberwachung. Mit Ihrer Zustimmung kann Sentry Sitzungen aufzeichnen, um uns bei der Diagnose und Behebung von Fehlern zu helfen. Einzelheiten finden Sie im Abschnitt „Sentry Session Replay” weiter unten.
• IP-Adressen — Ihre IP-Adresse wird vorübergehend von unseren API-Routen zur Ratenbegrenzung (Missbrauchsverhinderung) verarbeitet. IP-Adressen werden von uns nicht gespeichert oder protokolliert.

Sentry Session Replay

Wir verwenden Sentry (betrieben von Functional Software, Inc.) zur Fehlerüberwachung auf unserer Website. Die Session-Replay-Funktion von Sentry zeichnet Seiteninteraktionen (Klicks, Scrollen, Navigation) auf, um uns zu helfen, Fehler zu reproduzieren und zu beheben.

Sampling-Raten: Sitzungsaufzeichnungen werden bei etwa 0,1 % der normalen Browsing-Sitzungen erfasst. Tritt ein Fehler auf, steigt die Aufzeichnungsrate für diese Sitzung auf 100 % — dies hilft uns zu verstehen, was genau zum Fehler geführt hat.

Was aufgezeichnet wird: Seitennavigation, Klicks, Scrollen und Bildschirminhalte. Alle Texteingaben in Formularen (wie Newsletter- und Wartelisten-Felder) werden zum Schutz Ihrer Privatsphäre maskiert. Medieninhalte werden nicht erfasst.

Wohin die Daten gesendet werden: Replay-Daten werden an die Server von Sentry in den USA übertragen. Sie werden gemäß der Datenaufbewahrungsrichtlinie von Sentry gespeichert (in der Regel 90 Tage).

Ihre Kontrolle: Sitzungsaufzeichnungen sind nur aktiv, wenn Sie über unser Cookie-Zustimmungsbanner zugestimmt haben. Sie können Ihre Einstellung jederzeit ändern.

Vercel Analytics & Speed Insights

Wir verwenden Vercel Analytics und Vercel Speed Insights auf unserer Website. Diese Dienste sind von Grund auf datenschutzfreundlich konzipiert:

• Keine Cookies — Vercel Analytics setzt keine Cookies auf Ihrem Gerät.
• Keine personenbezogenen Daten — es werden keine IP-Adressen, Geräte-Fingerprints oder Benutzerkennungen erfasst.
• Nur aggregierte Daten — wir sehen Gesamtzahlen von Seitenaufrufen und Leistungsmetriken, können aber keine einzelnen Besucher identifizieren.

Beide Dienste werden von Vercel Inc. betrieben. Daten werden auf der Infrastruktur von Vercel verarbeitet. Weitere Informationen finden Sie in der Datenschutzrichtlinie von Vercel.

Benutzerdefinierte Ereignisse (PostHog)

Wir verwenden PostHog zur Erfassung von Analytics-Ereignissen auf unserer Website, um das Nutzerverhalten zu verstehen und unsere Dienste zu verbessern. Alle Ereignisse sind anonymen Kennungen zugeordnet — es werden keine personenbezogenen Daten erhoben.

• newsletter_signup — wird erfasst, wenn sich jemand für den Newsletter anmeldet. Erfasste Eigenschaften: UTM-Kampagnenzuordnung und erkannte Sprache.
• waitlist_signup — wird erfasst, wenn sich jemand auf die Warteliste setzt. Erfasste Eigenschaften: UTM-Kampagnenzuordnung, erkannte Sprache und gewählte Lernsprache.
• waitlist_cta_view — wird erfasst, wenn der Wartelisten-Bereich im Sichtfeld des Nutzers erscheint (einmalig durch Intersection Observer ausgelöst).
• splash_screen_interaction — wird erfasst, wenn ein Nutzer auf den Begrüßungsbildschirm klickt, um zur Hauptseite zu gelangen, wobei die Anzeigedauer des Begrüßungsbildschirms erfasst wird.
• cookie_consent — wird erfasst, wenn ein Nutzer eine Auswahl im Cookie-Zustimmungsbanner trifft, wobei erfasst wird: Cookie-Kategorie (Analytics, funktional), ob die Kategorie akzeptiert oder abgelehnt wurde, sowie die Quelle der Interaktion (Banner oder Einstellungscenter).
• faq_toggle — wird erfasst, wenn ein Nutzer eine FAQ-Frage auf- oder zuklappt, wobei erfasst wird: Fragetitel, Kategorie und durchgeführte Aktion (Öffnen/Schließen).
• language_selection_view — wird erfasst, wenn der Sprachauswahl-Bereich im Wartelisten-Formular sichtbar wird.
• language_selected — wird erfasst, wenn ein Nutzer eine Lernsprache im Wartelisten-Formular auswählt, wobei der Name der gewählten Sprache erfasst wird.
• page_view_custom — wird erfasst, wenn ein Nutzer eine Seite besucht, wobei URL-Pfad, UTM-Parameter und Sprache erfasst werden.
• notification_bar — wird erfasst, wenn ein Nutzer die Benachrichtigungsleiste schließt, wobei der Benachrichtigungsinhalt erfasst wird.
• error_page_view — wenn ein Besucher eine Fehlerseite sieht (zeichnet die Fehlermeldung auf)

Service Worker & Caching

Unsere Website verwendet einen Service Worker, um statische Ressourcen (Seiten, Bilder, Schriftarten) für schnelleres Laden bei späteren Besuchen zwischenzuspeichern. Der Service Worker sammelt, überträgt oder speichert keine personenbezogenen Daten. Er arbeitet ausschließlich in Ihrem Browser, um die Offline-Leistung zu verbessern.

Sie können den Cache jederzeit über die Browsereinstellungen löschen oder den Service Worker über die Entwicklertools Ihres Browsers abmelden.

iOS-App-Daten

Die LumenLingo iOS-App verwendet eine Privacy-First-Architektur. Folgende Daten werden von der App gespeichert und verarbeitet:

• Lernfortschritt — Daten zur verteilten Wiederholung, Quizergebnisse und Lernhistorie. Lokal auf Ihrem Gerät mit Apples SwiftData-Framework gespeichert.
• Einstellungen — App-Einstellungen wie Design, Schwierigkeitsgrade und Sprachpräferenzen. In UserDefaults von Apple auf Ihrem Gerät gespeichert.
• iCloud-Synchronisierung — Ihre Lerndaten können über Ihr persönliches iCloud-Konto zwischen Ihren Apple-Geräten synchronisiert werden. Diese Daten werden von Apple verschlüsselt und wir haben keinen Zugriff darauf.
• Abonnementstatus — Ihr Abonnement-Level (kostenlos oder Premium) wird über die App-Store-Abrechnung von Apple verifiziert. Zahlungsdaten werden ausschließlich von Apple verarbeitet — wir sehen und speichern keine Kartendaten oder Rechnungsinformationen.

Was wir nicht erfassen

Wir möchten klar darlegen, was wir NICHT tun:

• Kein Benutzerkonto oder Login erforderlich, um die iOS-App zu nutzen
• Keine Standortverfolgung oder Geolokalisierungstools
• Keine Werbenetzwerke oder Tracking-Pixel in der App oder auf der Website
• Kein Verkauf, keine Vermietung oder Weitergabe von Daten an Datenhändler oder Werbetreibende
• Keinerlei Device-Fingerprinting, Cross-Site-Tracking oder Retargeting-Pixel
• Keine Weitergabe personenbezogener Daten an KI-Modelltrainingsdienste

Rechtsgrundlage der Verarbeitung

Nach der DSGVO und der britischen DSGVO verarbeiten wir personenbezogene Daten nur, wenn wir eine rechtmäßige Grundlage haben. Hier ist die Rechtsgrundlage für jede Art von Daten, die wir verarbeiten:

Einwilligung (DSGVO Art. 6(1)(a))

• Newsletter-Anmeldung — Sie geben aktiv Ihre E-Mail-Adresse an und stimmen dem Erhalt von Updates zu
• Wartelisten-Anmeldung — Sie geben aktiv Ihre E-Mail-Adresse und Sprachpräferenz an
• Sentry-Sitzungsaufzeichnung — Aufzeichnungen werden nur nach Ihrer ausdrücklichen Zustimmung über unser Cookie-Zustimmungsbanner erfasst

Berechtigtes Interesse (DSGVO Art. 6(1)(f))

• Vercel Analytics — anonyme, cookiefreie Seitenaufrufzählung zur Verbesserung unserer Website. Unser Interesse am Verständnis der Websitenutzung steht im Verhältnis zur minimalen Auswirkung auf die Privatsphäre (keine personenbezogenen Daten)
• Sentry-Fehlerüberwachung — Erfassung von Fehlerdiagnosen zur Aufrechterhaltung der Dienstzuverlässigkeit. Nutzerverhalten wird ohne Einwilligung nicht erfasst; nur Absturz- und Fehlerdaten werden auf dieser Grundlage erhoben
• Ratenbegrenzung (IP-Adressverarbeitung) — Verhinderung von Missbrauch unserer API-Endpunkte. IP-Adressen werden vorübergehend verarbeitet und nicht gespeichert

Vertragserfüllung (DSGVO Art. 6(1)(b))

• iOS-App-Lerndaten — die Verarbeitung Ihres Lernfortschritts ist notwendig, um den Sprachlerndienst zu erbringen, den Sie nutzen
• iCloud-Synchronisierung — die geräteübergreifende Synchronisierung Ihres Fortschritts ist ein wesentlicher Bestandteil des Dienstes
• Abonnementverwaltung — Überprüfung Ihres Abonnement-Levels zur Bereitstellung der entsprechenden Funktionen

Ob die Bereitstellung von Daten verpflichtend ist

Gemäß Artikel 13 Absatz 2 Buchstabe e UK GDPR müssen wir Sie darüber informieren, ob die Bereitstellung personenbezogener Daten eine gesetzliche oder vertragliche Pflicht ist, und über die möglichen Folgen einer Nichtbereitstellung:

Vertragliche Anforderungen

• Daten zur Kontoerstellung (E-Mail-Adresse über Clerk-Authentifizierung) — dies ist eine vertragliche Anforderung. Ohne diese können wir Ihr Konto nicht erstellen oder den Dienst bereitstellen.
• Abonnement-Zahlungsdaten (verarbeitet durch Apple/RevenueCat) — dies ist eine vertragliche Anforderung für Premium-Funktionen. Ohne diese können wir Ihre Zahlung nicht verarbeiten.

Freiwillige Bereitstellung

• Analytics-Einwilligung (Vercel Analytics, Sentry Session Replay) — dies ist vollständig freiwillig. Eine Ablehnung hat keinen Einfluss auf Ihre Nutzung des Dienstes.
• Feedback und Support-E-Mails — freiwillig. Wenn Sie keine Kontaktdaten angeben, können wir möglicherweise nicht auf Ihre Anfrage antworten.

Es besteht keine gesetzliche Pflicht, uns Ihre personenbezogenen Daten bereitzustellen. Alle Datenbereitstellungen sind entweder vertraglich (für den Dienst erforderlich) oder freiwillig.

Datenschutz im Vereinigten Königreich

Lumenshore Limited ist eine in England und Wales eingetragene Gesellschaft (Handelsregisternummer 09607326). Als im Vereinigten Königreich ansässiger Verantwortlicher für die Verarbeitung personenbezogener Daten halten wir die UK-Datenschutz-Grundverordnung (UK GDPR) ein — übernommen aus dem EU-Recht durch den European Union (Withdrawal) Act 2018 — sowie den Data Protection Act 2018 (DPA 2018). Diese Gesetze regeln, wie wir Ihre personenbezogenen Daten erheben, verwenden, speichern und schützen.

Verantwortlicher

Verantwortlich für Ihre personenbezogenen Daten ist:

• Unternehmen: Lumenshore Limited
• Registrierter Sitz: Windsor House, Troon Way Business Centre, Humberstone Lane, Leicester, England, LE4 9HA
• Handelsregisternummer: 09607326 (England und Wales)
• USt-IdNr.: GB 270411929

Datenschutzbeauftragter

Obwohl Lumenshore gemäß Artikel 37 UK GDPR nicht verpflichtet ist, einen Datenschutzbeauftragten (DSB) zu ernennen (wir sind keine öffentliche Stelle, führen keine umfangreiche Überwachung durch und verarbeiten keine besonderen Kategorien personenbezogener Daten in großem Umfang), haben wir einen Datenschutzverantwortlichen zur Überwachung der Einhaltung benannt:

Datenschutzverantwortlicher: Geschäftsführer der Lumenshore Limited

Sie können unseren Datenschutzverantwortlichen unter Almost ready kontaktieren — bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten, zur Ausübung Ihrer Rechte oder bei datenschutzrechtlichen Bedenken.

ICO-Registrierung

Gemäß Abschnitt 25 des Data Protection Act 2018 entrichtet Lumenshore Limited die jährliche Datenschutzgebühr an das Information Commissioner’s Office (ICO), die unabhängige Aufsichtsbehörde des Vereinigten Königreichs für den Datenschutz.

Das ICO führt ein öffentliches Register der Gebührenzahler. Sie können unseren Registrierungsstatus auf der Website des ICO überprüfen.

Unsere ICO-Registrierungsnummer lautet ZB718685. Sie können dies im ICO-Register überprüfen.

Angemessenheitsentscheidungen für internationale Datenübermittlungen

Werden personenbezogene Daten zwischen dem Vereinigten Königreich und dem Europäischen Wirtschaftsraum (EWR) übermittelt, sind sie durch den Angemessenheitsbeschluss UK–EU gemäß Artikel 45 UK GDPR geschützt. Die Europäische Kommission hat dem Vereinigten Königreich im Juni 2021 die Angemessenheit zuerkannt und damit anerkannt, dass das britische Datenschutzrecht ein im Wesentlichen gleichwertiges Schutzniveau wie die EU-DSGVO bietet.

Für Übermittlungen in die Vereinigten Staaten stützen wir uns auf Dienstleister, die im Rahmen des EU-US Data Privacy Framework (DPF) und dessen UK-Erweiterung zertifiziert sind, welche die britische Regierung als angemessene Garantie anerkannt hat. Sofern ein Unterauftragsverarbeiter nicht DPF-zertifiziert ist, stellen wir sicher, dass vom ICO genehmigte Standardvertragsklauseln (SVK) vorhanden sind.

Weitere Einzelheiten zu internationalen Übermittlungen und den konkreten Schutzmaßnahmen finden Sie im Abschnitt Internationale Datenübermittlungen dieser Richtlinie.

Besondere Kategorien personenbezogener Daten

LumenLingo erhebt und verarbeitet keine besonderen Kategorien personenbezogener Daten gemäß Artikel 9 UK GDPR und Abschnitt 10 DPA 2018. Dies umfasst: rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung sowie Daten über strafrechtliche Verurteilungen.

Sollten sich unsere Datenverarbeitungsaktivitäten in Zukunft ändern und besondere Kategorien personenbezogener Daten umfassen, werden wir diese Richtlinie aktualisieren, eine Datenschutz-Folgenabschätzung (DSFA) durchführen und eine ausdrückliche Einwilligung einholen, sofern erforderlich.

Ihr Beschwerderecht beim ICO

Wenn Sie mit der Verarbeitung Ihrer personenbezogenen Daten unzufrieden sind, haben Sie das Recht, eine Beschwerde beim Information Commissioner’s Office (ICO) einzureichen. Wir würden uns über die Gelegenheit freuen, Ihre Anliegen zuerst zu klären — kontaktieren Sie uns unter Almost ready und wir werden unser Bestes tun, um das Problem zu lösen.

Wenn Sie mit unserer Antwort nicht zufrieden sind, können Sie das ICO kontaktieren:

• Webseite: ico.org.uk/make-a-complaint
• Telefon: 0303 123 1113
• Postadresse: Information Commissioner’s Office, Wycliffe House, Water Lane, Wilmslow, Cheshire, SK9 5AF

Elektronische Kommunikation (UK PECR)

Die Privacy and Electronic Communications Regulations 2003 (PECR) legen spezifische Regeln für elektronisches Marketing und die Verwendung von Cookies und ähnlichen Technologien fest. Als britisches Unternehmen erfüllt Lumenshore Limited die PECR neben der UK-DSGVO.

Cookies und ähnliche Technologien (Regulation 6)

PECR Regulation 6 erfordert Ihre Zustimmung, bevor wir Informationen auf Ihrem Gerät speichern oder darauf zugreifen, es sei denn, dies ist unbedingt erforderlich, um einen von Ihnen angeforderten Dienst bereitzustellen. Unser Ansatz:

• Unbedingt notwendige Speicherung — Einwilligungseinstellungen und Spracheinstellungen — wird ohne Zustimmung gesetzt, da sie für die Funktion der Website, wie von Ihnen angefordert, unerlässlich ist.
• Nicht wesentliche Speicherung — Analyse-Tracking, Fehlerüberwachung und Session-Replay — wird erst nach Ihrer ausdrücklichen Zustimmung über unser Cookie-Banner aktiviert.
• Sie können Ihre Einstellungen jederzeit über den Link „Cookie-Einstellungen“ in der Fußzeile der Website ändern.
• Wenn Ihr Browser ein Global Privacy Control (GPC)- oder Do Not Track (DNT)-Signal sendet, wird jegliche nicht wesentliche Speicherung automatisch unterdrückt.

Für vollständige Details darüber, was wir speichern und warum, siehe unsere Cookie-Richtlinie.

Marketing-Kommunikation (Regulation 22)

Wir versenden Marketing-E-Mails nur an Personen, die ihre ausdrückliche, freiwillige Zustimmung durch Abonnierung unseres Newsletters gegeben haben. Wir verwenden keine vorangekreuzten Kästchen und bündeln keine Marketing-Einwilligung mit anderen Vereinbarungen.

Jede Marketing-E-Mail, die wir versenden:

• Identifiziert den Absender als Lumenshore Limited
• Enthält einen funktionierenden Abmeldelink
• Beschreibt die Arten von Inhalten, die Sie erhalten (Produkt-Updates, Sprachlerntipps und gelegentliche Angebote)

Wir zeichnen Ihre Zustimmung auf (einschließlich der Version des angezeigten Einwilligungstexts, eines Zeitstempels und einer gehashten Kennung) für unsere Verantwortlichkeitsaufzeichnungen.

Soft Opt-In

PECR Regulation 22(3) erlaubt es Unternehmen, Marketing an bestehende Kunden für ähnliche Produkte ohne ausdrückliche Zustimmung zu versenden („Soft Opt-In“), sofern beim Erheben der Daten und in jeder nachfolgenden Nachricht eine Abmeldemöglichkeit angeboten wurde. Lumenshore stützt sich derzeit nicht auf die Soft-Opt-In-Ausnahme — sämtliches Marketing erfordert eine ausdrückliche Zustimmung.

Wohin Ihre Daten gehen

Hier ist eine verständliche Zusammenfassung darüber, wo Ihre Daten gespeichert und verarbeitet werden:

• Ihr Gerät — alle iOS-App-Lerndaten, Einstellungen und Fortschritte werden lokal auf Ihrem iPhone oder iPad mit Apples SwiftData-Framework gespeichert
• Ihr iCloud-Konto — Lerndaten werden über Ihr persönliches iCloud-Konto zwischen Ihren Apple-Geräten synchronisiert, verschlüsselt von Apple. Wir haben keinen Zugriff auf diese Daten
• Vercel (Website-Hosting) — unsere Website wird auf Vercels globalem Edge-Netzwerk gehostet. Anonyme Analysedaten werden von Vercel verarbeitet. Vercels Server befinden sich hauptsächlich in den USA mit Edge-Knoten weltweit
• Sentry (Fehlerüberwachung) — Fehlerprotokolle und (mit Ihrer Zustimmung) Sitzungsaufzeichnungen werden an Sentrys Server in den USA gesendet. Sentry verarbeitet diese Daten auf Grundlage einer DPA mit Standardvertragsklauseln
• Apple (App Store & iCloud) — Abonnementverwaltung und iCloud-Synchronisierung werden über Apples globale Infrastruktur abgewickelt

Ihre Daten werden an keine anderen Drittparteien gesendet. Wir verwenden kein Google Analytics, Facebook SDK oder Werbenetzwerke.

Wie wir Ihre Informationen verwenden

Die begrenzten Daten, die wir verarbeiten, werden ausschließlich verwendet für:

• Personalisierung Ihres Lernens — Planung der verteilten Wiederholung, Schwierigkeitsanpassung und Fortschrittsverfolgung basieren auf Ihrer Lernhistorie.
• Synchronisierung Ihres Fortschritts — die iCloud-Synchronisierung stellt sicher, dass Ihre Daten auf allen Ihren Apple-Geräten verfügbar sind.
• Verwaltung Ihres Abonnements — wir überprüfen Ihr Abonnement-Level zur Freischaltung der entsprechenden Funktionen.
• Verbesserung der App und Website — anonyme aggregierte Daten helfen uns zu verstehen, welche Funktionen wertvoll sind und wo wir die Entwicklung fokussieren sollten.
• Kommunikation mit Ihnen — wenn Sie sich für unseren Newsletter oder die Warteliste angemeldet haben, verwenden wir Ihre E-Mail-Adresse für Produktaktualisierungen. Sie können sich jederzeit abmelden.
• Diagnose und Behebung von Fehlern — Sentry-Fehlerdaten (und Sitzungsaufzeichnungen mit Ihrer Zustimmung) helfen uns, Probleme schnell zu identifizieren und zu beheben.

Datenspeicherung und Sicherheit

LumenLingo verwendet eine datenschutzorientierte On-Device-Architektur:

• On-Device-Speicherung — alle Lerndaten werden lokal mit Apples SwiftData-Framework gespeichert und durch die integrierte Geräteverschlüsselung geschützt.
• iCloud-Synchronisierung — Daten werden über Ihr persönliches iCloud-Konto zwischen Ihren Geräten synchronisiert, Ende-zu-Ende von Apple verschlüsselt. Wir haben keinen Zugriff auf Ihre iCloud-Daten.
• Keine externen Server — LumenLingo betreibt keine Server, die personenbezogene Daten aus der iOS-App speichern. Es gibt keine Cloud-Datenbank, die wir sichern (oder verletzen) könnten.
• App-Store-Sicherheit — die Abonnementverwaltung wird über Apples sichere Infrastruktur abgewickelt.
• Website-Sicherheit — lumenlingo.com verwendet HTTPS-Verschlüsselung, strenge Content-Security-Policy-Header und ratenbegrenzte API-Endpunkte zum Schutz Ihrer Daten.

Drittanbieter-Dienste

LumenLingo verwendet eine begrenzte Anzahl von Drittanbieter-Diensten:

• Apple App Store & iCloud — für App-Distribution, Abonnementverwaltung, Zahlungsabwicklung und Datensynchronisierung. Es gilt Apples Datenschutzrichtlinie.
• Vercel — für Website-Hosting, anonyme Analytik und Leistungsüberwachung. Cookiefrei, DSGVO-konform. Es gilt Vercels Datenschutzrichtlinie.
• Sentry — für Website-Fehlerüberwachung und (mit Zustimmung) Sitzungsaufzeichnung. Es gilt Sentrys Datenschutzrichtlinie.
• Clerk — für Benutzerauthentifizierung und Identitätsverwaltung. Gemäß Clerks Datenschutzrichtlinie.
• RevenueCat — für Abonnementverwaltung und Berechtigungsverfolgung. Apple bleibt der Händler für alle Zahlungen. Gemäß RevenueCats Datenschutzrichtlinie.

Wir verwenden kein Google Analytics, Facebook SDK oder Werbenetzwerke.

Auftragsverarbeiter

Die folgenden Drittanbieter-Dienste verarbeiten Daten in unserem Auftrag. Jeder Auftragsverarbeiter wurde auf die Einhaltung des Datenschutzes geprüft:

Auftragsverarbeitungsvereinbarungen

Wir unterhalten Auftragsverarbeitungsvereinbarungen (AVV) oder gleichwertige vertragliche Schutzmaßnahmen mit allen Auftragsverarbeitern, die personenbezogene Daten verarbeiten:

• Apple — abgedeckt durch Apples Standard-AVV für Entwickler, einschließlich Standardvertragsklauseln für internationale Transfers.
• Vercel — abgedeckt durch Vercels AVV, verfügbar unter vercel.com/legal/dpa. Vercel Analytics ist cookiefrei und verarbeitet keine personenbezogenen Daten.
• Sentry — abgedeckt durch Sentrys AVV mit Standardvertragsklauseln (SCCs) für EU-US-Datentransfers.
• Clerk — abgedeckt durch Clerks Auftragsverarbeitungsvertrag mit Standardvertragsklauseln und EU-US Data Privacy Framework-Zertifizierung.
• RevenueCat — abgedeckt durch RevenueCats Auftragsverarbeitungszusatz mit Standardvertragsklauseln. RevenueCat erhält keine Rohzahlungskartendaten; Apple ist der Händler.

Änderungen der Auftragsverarbeiter

Wenn wir einen Auftragsverarbeiter hinzufügen oder ändern, der personenbezogene Daten verarbeitet, werden wir diese Seite aktualisieren und die Änderung im Abschnitt Versionshistorie dieser Datenschutzrichtlinie vermerken. Bei wesentlichen Änderungen werden wir mindestens 30 Tage im Voraus informieren, bevor der neue Auftragsverarbeiter mit der Datenverarbeitung beginnt.

Internationale Datenübermittlungen

Lumenshore Limited hat seinen Sitz im Vereinigten Königreich. Einige Ihrer Daten können in Länder außerhalb des Vereinigten Königreichs und des Europäischen Wirtschaftsraums (EWR) übertragen und dort verarbeitet werden. Hier erfahren Sie, wo jeder Dienst Daten verarbeitet und welcher Rechtsmechanismus die Übertragung schützt:

• Apple (Vereinigte Staaten & global) — iCloud-Daten und App-Store-Abonnementdaten können in Apples globalen Rechenzentren verarbeitet werden, einschließlich in den Vereinigten Staaten. Apple nimmt an Übermittlungen auf Grundlage von Standardvertragsklauseln (SCCs) und dem EU-US Data Privacy Framework teil.
• Vercel (Vereinigte Staaten & globale Edge-Knoten) — unsere Website wird über Vercels Edge-Netzwerk bereitgestellt, mit primären Servern in den Vereinigten Staaten. Vercel Analytics verarbeitet keine personenbezogenen Daten. Website-Hosting-Daten sind durch Vercels DSGVO-AVV mit Standardvertragsklauseln geschützt.
• Sentry (Vereinigte Staaten) — Fehlerprotokolle und Sitzungsaufzeichnungsdaten (mit Ihrer Zustimmung) werden an Sentrys Server in den Vereinigten Staaten übermittelt. Diese Übertragungen sind durch Sentrys AVV mit Standardvertragsklauseln (SCCs) geschützt.
• Clerk (Vereinigte Staaten) — Authentifizierungsdaten (E-Mail-Adresse, Benutzerkennungen, Auth-Tokens) werden auf Clerks Servern in den Vereinigten Staaten verarbeitet. Diese Übertragungen sind durch Clerks DPA mit Standardvertragsklauseln und EU-US Data Privacy Framework-Zertifizierung geschützt.
• RevenueCat (Vereinigte Staaten) — Abonnementverwaltungsdaten (App-Benutzer-ID, Abonnementstatus, Apple-Kaufbelege) werden auf RevenueCats Servern in den Vereinigten Staaten verarbeitet. Diese Übertragungen sind durch RevenueCats Auftragsverarbeitungszusatz mit Standardvertragsklauseln geschützt.

Transferschutzmaßnahmen

Für alle internationalen Datenübermittlungen stellen wir sicher, dass mindestens eine der folgenden Schutzmaßnahmen vorhanden ist:

• Standardvertragsklauseln (SCCs) — von der EU-Kommission genehmigte Vertragsklauseln, die den Datenimporteur verpflichten, Ihre Daten gemäß DSGVO-Standards zu schützen.
• EU-US Data Privacy Framework — wenn der Empfänger im Rahmen des Frameworks zertifiziert ist, was eine Angemessenheitsgrundlage für Übermittlungen in die USA bietet.
• UK International Data Transfer Agreement (IDTA) — das britische Äquivalent zu SCCs, vom ICO für Übermittlungen aus dem Vereinigten Königreich genehmigt.
• Angemessenheitsbeschlüsse — wenn die Europäische Kommission oder die britische Regierung festgestellt hat, dass das Zielland ein angemessenes Datenschutzniveau bietet.

Sie können eine Kopie der relevanten Transferschutzmaßnahmen anfordern, indem Sie uns unter Almost ready kontaktieren.

Aggregierte und de-identifizierte Daten

Wir können personenbezogene Daten erfassen, aggregieren und de-identifizieren, so dass sie keine einzelne Person mehr identifizieren können. Nach der De-Identifizierung gelten diese Daten nicht mehr als personenbezogene Daten im Sinne der geltenden Datenschutzgesetze.

Wir können de-identifizierte und aggregierte Daten für jeden Zweck verwenden, offenlegen und veröffentlichen, einschließlich, aber nicht beschränkt auf:

• Produktverbesserung und Funktionsentwicklung
• Forschung und Analytik
• Marketingmaterialien und Fallstudien
• Benchmarking und öffentliche Berichte
• Investoren- und Stakeholder-Berichterstattung

De-Identifizierungsstandards

Unser De-Identifizierungsprozess erfüllt die folgenden rechtlichen Standards:

• DSGVO Erwägungsgrund 26 — Daten können nicht herausgegriffen, verknüpft oder abgeleitet werden, um eine Person zu identifizieren, unter Berücksichtigung aller Mittel, deren Verwendung vernünftigerweise wahrscheinlich ist.
• CCPA § 1798.140(m) — Informationen, die nicht vernünftigerweise verwendet werden können, um Informationen über einen bestimmten Verbraucher oder Haushalt abzuleiten oder anderweitig mit ihm verknüpft zu werden. Wir verpflichten uns, de-identifizierte Daten nicht erneut zu identifizieren.

Beispiele für aggregierte Daten

Beispiele für die Arten aggregierter Daten, die wir ableiten und veröffentlichen können, umfassen:

• Gesamtzahl der Nutzer pro Sprachpaar
• Durchschnittliche Lernsitzungsdauer
• Am häufigsten gelernter Wortschatz
• Fehlerquoten pro Schwierigkeitsstufe
• Funktionsnutzungsstatistiken nach Mitgliedschaftsstufen

Kein einzelner Nutzer kann aus veröffentlichten aggregierten Daten identifiziert werden.

Unser Recht, aggregierte Daten aufzubewahren und zu verwenden, besteht auch nach der Kontolöschung und Beendigung des Dienstes fort. Nach der Löschung Ihres Kontos können wir aggregierte Daten aufbewahren, die aus Ihrer Nutzung des Dienstes abgeleitet wurden.

Datenschutz für Kinder

Eltern und Erziehungsberechtigte können die App und ihre Daten jederzeit über die Standard-iOS-Geräteverwaltung verwalten oder löschen. Wenn Sie glauben, dass ein Kind uns personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte unter Almost ready, und wir werden diese umgehend löschen.

Eltern und Erziehungsberechtigte können die App und ihre Daten jederzeit über die Standard-iOS-Geräteverwaltung verwalten oder löschen. Wenn Sie glauben, dass ein Kind uns personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte unter Almost ready, und wir werden diese umgehend löschen.

Eltern und Erziehungsberechtigte können die App und ihre Daten jederzeit über die Standard-iOS-Geräteverwaltung verwalten oder löschen. Wenn Sie glauben, dass ein Kind uns personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte unter Almost ready, und wir werden diese umgehend löschen.

COPPA-Konformität

LumenLingo erfüllt die Anforderungen des US-amerikanischen Gesetzes zum Schutz der Online-Privatsphäre von Kindern (COPPA). Wir erheben, verwenden oder offenbaren wissentlich keine personenbezogenen Daten von Kindern unter 13 Jahren ohne nachweisbare elterliche Einwilligung. Unser Dienst richtet sich nicht an Kinder unter 13 Jahren, und wir richten keine Werbung an Kinder.

Alle Website-Formulare, die personenbezogene Daten erfassen (z. B. E-Mail-Adressen), enthalten einen Schritt zur Altersbestätigung, bei dem Nutzer bestätigen müssen, dass sie mindestens 13 Jahre alt sind oder die Einwilligung eines Elternteils oder Erziehungsberechtigten haben, wenn sie unter 18 sind.

Elternrechte

Gemäß COPPA und ähnlichen Gesetzen haben Eltern und Erziehungsberechtigte das Recht:

• Jede personenbezogene Information einzusehen, die wir möglicherweise versehentlich von ihrem Kind erhoben haben
• Die Löschung der personenbezogenen Daten ihres Kindes aus unseren Systemen zu verlangen
• Die weitere Erhebung oder Nutzung der Daten ihres Kindes abzulehnen
• Die App und ihre lokal gespeicherten Daten über die Standard-iOS-Geräteverwaltung zu verwalten oder zu entfernen

Um eines dieser Rechte auszuüben, kontaktieren Sie uns bitte unter Almost ready. Wenn wir feststellen, dass wir personenbezogene Daten eines Kindes unter 13 Jahren ohne ordnungsgemäße elterliche Einwilligung erhoben haben, werden wir diese Daten innerhalb von 72 Stunden nach Entdeckung löschen.

Bildungsnutzung & FERPA

LumenLingo wird nicht von oder im Auftrag von Bildungseinrichtungen betrieben. Wenn eine Schule oder Bildungsorganisation LumenLingo ihren Schülern empfiehlt, geschieht dies eigenständig. Die Einrichtung ist dafür verantwortlich, die Einhaltung des US-Gesetzes über Bildungsrechte und Datenschutz der Familie (FERPA) sicherzustellen und die erforderliche elterliche Einwilligung einzuholen, bevor Schüler unter 13 Jahren zur Nutzung des Dienstes aufgefordert werden.

Alter der digitalen Einwilligung — Multi-Jurisdiktion

Das Alter, ab dem eine Person wirksam in die Datenverarbeitung einwilligen kann, variiert je nach Rechtsordnung. Als Sprachlern-Dienst wenden wir standortbezogene Altersanforderungen an.

Einwilligungsalter nach Rechtsordnung

Die folgende Liste fasst das digitale Mindest-Einwilligungsalter zusammen:

• Vereinigtes Königreich: 13 (UK-DSGVO / ICO-Leitlinien)
• USA: 13 (COPPA)
• Spanien: 14 (LOPDGDD)
• Italien: 14 (D.Lgs 101/2018)
• China: 14 (PIPL Art. 31 — unter 14 als sensible Daten eingestuft)
• Südkorea: 14 (PIPA — Elterneinwilligung für unter 14)
• Frankreich: 15 (Loi Informatique et Libertés)
• Deutschland: 16 (BDSG)
• Niederlande: 16 (UAVG)
• Polen: 16 (DSGVO nationale Umsetzung)
• Irland: 16 (Data Protection Act 2018)
• Japan: 16 (APPI — Einzelfallprüfung; wir wenden 16 an)
• VAE: 18 (UAE PDPL — Minderjährige benötigen Einwilligung des Erziehungsberechtigten)
• Saudi-Arabien: 18 (PDPL — Einwilligung des Erziehungsberechtigten erforderlich)
• Indien: 18 (DPDPA 2023 — unter 18 als Kinder definiert)
• Brasilien: 12/18 (LGPD Art. 14 — unter 12: Elterneinwilligung; 12–17: bestes Interesse)
• Kanada: 13 (PIPEDA; Québec: 14)
• Australien: kapazitätsbasiert (Privacy Act 1988)

Unser Ansatz

Wir verwenden standortbezogene Altersverifikation. Das in unseren Formularen angezeigte und geprüfte Mindestalter entspricht Ihrem Standort. Für nicht explizit zugeordnete Standorte verwenden wir 16 als Standard.

Unsere iOS-App erfordert keine Kontoregistrierung und speichert Daten lokal. Es werden keine personenbezogenen Daten an uns übermittelt.

Elterliche Einwilligung für Minderjährige

Nutzer zwischen 13 und dem Einwilligungsalter ihrer Rechtsordnung können ohne elterliche Einwilligung keine personenbezogenen Daten über unsere Website übermitteln.

Wesentliche Website-Funktionen bleiben ohne einwilligungsbasierte Datenerhebung verfügbar.

China PIPL — Besonderer Schutz für unter 14

Nach Chinas PIPL Art. 31 gelten Daten von unter 14-Jährigen als sensible personenbezogene Daten mit erhöhten Anforderungen.

Wir erfassen wissentlich keine Daten chinesischer Nutzer unter 14 und löschen solche Daten umgehend.

Erweiterter Datenschutz für Kinder

Als Sprachlern-Dienst wenden wir erweiterte Schutzmaßnahmen für Nutzer unter 18 Jahren an. Diese übersteigen die gesetzlichen Mindestanforderungen.

Datenminimierung für Minderjährige

Wir erheben nur Daten, die für die Dienstleistung unbedingt erforderlich sind, mit zusätzlichen Einschränkungen für verifizierte Minderjährige:

• Keine Marketing-Kommunikation an verifizierte minderjährige Nutzer.
• Kein Session-Replay oder Verhaltens-Tracking.
• Analyse beschränkt auf wesentliche Fehlerüberwachung.
• Keine Drittanbieter-Werbetracker für minderjährige Nutzer.

Elterliche Kontrolle

Wenn die Einwilligung eines Elternteils oder Erziehungsberechtigten vorliegt:

• Eltern können die gespeicherten Daten ihres Kindes per E-Mail an Almost ready überprüfen.
• Eltern können die Einwilligung jederzeit widerrufen.
• Auf Anfrage der Eltern löschen wir alle Daten des Minderjährigen.

Altersgerechte Datenschutzhinweise

Für Nutzer im Alter von 13–17 Jahren stellen wir Datenschutzinformationen bereit, die:

• In klarer, einfacher Sprache für ein jüngeres Publikum verfasst sind.
• Prägnant und auf das Wesentliche fokussiert sind.
• In einem visuellen, zugänglichen Format präsentiert werden.

UK Children’s Code Compliance

Der Age Appropriate Design Code des britischen Information Commissioner's Office (ICO) gilt für Online-Dienste, die wahrscheinlich von Kindern unter 18 Jahren genutzt werden. Als Sprachlern-Dienst fällt LumenLingo in den Geltungsbereich. Wir haben unseren Dienst anhand aller 15 Standards des Codes bewertet:

• Kindeswohl: Datenpraktiken stellen das Wohl der Kinder über kommerzielle Interessen.
• Datenschutz-Folgenabschätzung: Wir führen DPIAs für Funktionen durch, auf die Kinder voraussichtlich zugreifen.
• Altersgerechte Anwendung: Wir wenden standardmäßig altersgerechte Schutzmaßnahmen an; wenn das genaue Alter unbekannt ist, behandeln wir alle Nutzer für Datenschutzzwecke als potenziell unter 18.
• Transparenz: Datenschutzinformationen werden in klarer, altersgerechter Sprache bereitgestellt.
• Schädliche Datennutzung: Wir verwenden Kinderdaten nicht in einer Weise, die sich als schädlich für ihr Wohlbefinden erwiesen hat.
• Richtlinien und Gemeinschaftsstandards: Unsere veröffentlichten Bedingungen wahren die Standards des Codes.
• Standardeinstellungen: Hohe Datenschutz-Standardeinstellungen werden für alle Nutzer angewandt, um Kindern maximalen Schutz zu gewährleisten.
• Datenminimierung: Es werden nur die für den Lerndienst wesentlichen Daten verarbeitet.
• Datenweitergabe: Wir geben personenbezogene Daten von Kindern nicht zu Marketing- oder Werbezwecken an Dritte weiter.
• Geolokalisierung: Wir erheben oder verwenden keine genauen Standortdaten.
• Elterliche Kontrolle: Nicht zutreffend — LumenLingo bietet derzeit keine Funktionen zur elterlichen Kontrolle. Falls eingeführt, werden sie ein angemessenes Maß an Überwachung bieten.
• Profiling: Kinder werden nicht für Marketing oder verhaltensbasiertes Targeting profiliert. Unser Spaced-Repetition-Algorithmus ist rein pädagogisch.
• Nudge-Techniken: Wir verwenden keine Designtechniken, die Kinder dazu verleiten, unnötige personenbezogene Daten preiszugeben.
• Vernetztes Spielzeug und Geräte: Nicht zutreffend — LumenLingo ist eine Software-Anwendung und interagiert nicht mit vernetztem Spielzeug oder IoT-Geräten.
• Online-Tools: Wir bieten zugängliche Tools zur Ausübung von Datenrechten, einschließlich Kontolöschung und Datenexport.

App Store Altersfreigabe

LumenLingo ist im Apple App Store mit 4+ (Bildungsinhalte) bewertet. Die App erfordert keine Kontoregistrierung.

Für Website-Dienste gilt das Mindestalter gemäß der Jurisdiktion des Nutzers.

Datenaufbewahrung und Löschung

Wir bewahren Ihre Daten nur so lange auf, wie es nötig ist:

Website-Daten

• Newsletter-/Wartelisten-E-Mails — aufbewahrt bis zur Abmeldung, zuzüglich bis zu 30 Tage für die Verarbeitung der Löschung.
• Sentry-Fehlerprotokolle — von Sentry 90 Tage aufbewahrt, danach automatisch gelöscht.
• Sentry-Sitzungsaufzeichnungen — von Sentry 90 Tage aufbewahrt, danach automatisch gelöscht.
• Vercel Analytics — aggregierte, cookie-freie Analysedaten werden 30 Tage nach der Erfassung aufbewahrt und dann automatisch gelöscht. Es werden keine personenbezogenen Daten gespeichert.
• Einwilligungsprotokolle — werden 3 Jahre nach Ihrer letzten Interaktion aufbewahrt, wie für die DSGVO-Rechenschaftspflicht erforderlich.
• Datenauskunfts-Protokolle — werden 3 Jahre nach Abschluss aufbewahrt, wie für die DSGVO-Rechenschaftspflicht erforderlich.

iOS-App-Daten

• Konto löschen — verwenden Sie die In-App-Option Einstellungen → Abmelden → Konto löschen, um alle Lerndaten, Fortschritte, Einstellungen und iCloud-Synchronisierungsdaten dauerhaft zu löschen. Diese Aktion kann nicht rückgängig gemacht werden.
• App löschen — die Deinstallation von LumenLingo entfernt alle lokal gespeicherten Daten.
• iCloud-Daten — Sie können den iCloud-Speicher über die Geräteeinstellungen → Apple-ID → iCloud → Speicher verwalten.
• Abonnement — kündigen Sie Ihr Abonnement über Einstellungen → Apple-ID → Abonnements. Nach der Kündigung werden keine Daten von uns aufbewahrt.

Benachrichtigung bei Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für Ihre Rechte und Freiheiten führt, werden wir die zuständige Aufsichtsbehörde (ICO) unverzüglich und nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen, gemäß Artikel 33 UK GDPR. Erfolgt die Meldung nicht innerhalb von 72 Stunden, wird sie mit einer Begründung der Verzögerung versehen.

Wenn die Verletzung voraussichtlich ein hohes Risiko für Ihre Rechte und Freiheiten darstellt, werden wir Sie ebenfalls unverzüglich direkt benachrichtigen, gemäß Artikel 34 UK GDPR. Wir werden Ihnen in klarer und verständlicher Sprache mitteilen:

• Die Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und der betroffenen Datensätze
• Den Namen und die Kontaktdaten unseres Datenschutzbeauftragten, von dem weitere Informationen eingeholt werden können
• Die wahrscheinlichen Folgen der Verletzung
• Die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Wir unterhalten interne Verfahren zur Reaktion auf Datenschutzverletzungen, einschließlich eines Verletzungsregisters, um sicherzustellen, dass wir Verletzungen des Schutzes personenbezogener Daten wirksam erkennen, melden und untersuchen können. Bei Fragen zu unseren Meldeverfahren kontaktieren Sie uns unter Almost ready.

Anfragen von Strafverfolgungsbehörden und Regierungsstellen

Lumenshore gibt personenbezogene Daten an Strafverfolgungsbehörden oder Regierungsstellen nur dann weiter, wenn dies gesetzlich vorgeschrieben ist — beispielsweise aufgrund eines Gerichtsbeschlusses, eines Durchsuchungsbefehls oder einer gesetzlichen Verpflichtung gemäß dem Data Protection Act 2018, Abschnitt 7.

Wenn wir eine rechtmäßige Anfrage zur Herausgabe personenbezogener Daten erhalten, benachrichtigen wir die betroffene Person, sofern uns dies nicht gesetzlich untersagt ist (z. B. durch eine mit der Anfrage verbundene Geheimhaltungsanordnung).

Wir werden jede Anfrage ablehnen, die wir als unverhältnismäßig weit gefasst, unangemessen oder ohne ordnungsgemäße Rechtsgrundlage betrachten. Wir stellen keiner Regierungsbehörde freiwillig personenbezogene Daten zur Verfügung und beteiligen uns nicht an Massenüberwachungsprogrammen.

Bei Fragen zu unserem Umgang mit Anfragen von Strafverfolgungsbehörden kontaktieren Sie uns bitte unter Almost ready.

Automatisierte Entscheidungsfindung und Profiling

Wir verwenden Ihre personenbezogenen Daten nicht für automatisierte Entscheidungsfindung, die rechtliche Auswirkungen oder ähnlich erhebliche Auswirkungen auf Sie hat, wie in Artikel 22 UK GDPR definiert.

Unsere App verwendet einen Spaced-Repetition-Algorithmus zur Optimierung Ihres Lernplans. Dies ist ausschließlich pädagogische Optimierung — es bestimmt, wann Ihnen eine Karteikarte gezeigt wird, nicht eine Entscheidung mit rechtlichen oder ähnlich erheblichen Auswirkungen.

Sollten wir in Zukunft automatisierte Entscheidungsfindung mit rechtlichen oder erheblichen Auswirkungen einführen, werden wir diese Richtlinie aktualisieren und sicherstellen, dass Sie das Recht haben: (a) menschliches Eingreifen zu erwirken, (b) Ihren Standpunkt darzulegen und (c) die Entscheidung anzufechten, wie in Artikel 22(3) UK GDPR vorgeschrieben.

Kalifornischer Hinweis zur Datenerhebung (CCPA/CPRA)

Wenn Sie in Kalifornien ansässig sind, verlangen der California Consumer Privacy Act (CCPA) und der California Privacy Rights Act (CPRA), dass wir die Kategorien personenbezogener Daten, die wir erheben, die Zwecke der Erhebung und ob solche Informationen verkauft oder geteilt werden, offenlegen. Dieser Hinweis wird zum oder vor dem Zeitpunkt der Erhebung bereitgestellt.

Meine personenbezogenen Daten nicht verkaufen oder teilen

Lumenshore verkauft Ihre personenbezogenen Daten nicht an Dritte. Wir teilen Ihre personenbezogenen Daten nicht für kontextübergreifende verhaltensbasierte Werbung. Da wir diese Praktiken nicht anwenden, ist kein Opt-out erforderlich — wir stellen diese Offenlegung jedoch gemäß den Anforderungen der CCPA/CPRA bereit.

Sollten sich unsere Praktiken ändern, werden wir diese Richtlinie aktualisieren und Ihnen einen Mechanismus zum Opt-out bereitstellen, bevor ein Verkauf oder Teilen beginnt.

Kalifornische Einwohner können auch das Global Privacy Control (GPC)-Browsersignal verwenden, um ihre Opt-out-Präferenz mitzuteilen. Wir respektieren GPC als gültige Opt-out-Anfrage gemäß der CPRA.

Ihre Rechte

Abhängig von Ihrem Standort haben Sie möglicherweise zusätzliche Rechte bezüglich Ihrer Daten:

Nach der DSGVO (Europäischer Wirtschaftsraum & Vereinigtes Königreich)

• Recht auf Zugang zu Ihren Daten — App-Daten befinden sich auf Ihrem Gerät und in iCloud; für Website-Daten kontaktieren Sie uns.
• Recht auf Berichtigung — bearbeiten Sie App-Einstellungen direkt; für Website-Daten kontaktieren Sie uns.
• Recht auf Löschung — verwenden Sie die In-App-Funktion zum Löschen des Kontos, löschen Sie die App oder kontaktieren Sie uns, um Ihre E-Mail-Adresse aus unseren Listen zu entfernen.
• Recht auf Datenübertragbarkeit — exportieren Sie alle Ihre persönlichen Daten als kostenlosen JSON-Download unter Einstellungen → Meine Daten exportieren in der iOS-App. Ihre Daten werden immer in Standardformaten gespeichert. Kontaktieren Sie uns für den Export von Website-Daten.
• Widerspruchsrecht — kontaktieren Sie uns, um der anonymen Analytik zu widersprechen oder der Verarbeitung auf Grundlage berechtigter Interessen zu widersprechen.
• Recht auf Einschränkung der Verarbeitung — kontaktieren Sie uns, um eine Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
• Recht auf Beschwerde — Sie haben das Recht, eine Beschwerde beim Information Commissioner's Office (ICO) unter ico.org.uk oder telefonisch unter 0303 123 1113 einzureichen, oder bei Ihrer zuständigen Aufsichtsbehörde, wenn Sie sich außerhalb des Vereinigten Königreichs befinden.
• Recht auf Widerruf der Einwilligung — soweit wir auf Einwilligung als Rechtsgrundlage setzen (z.B. Analysen), können Sie Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Cookie-Einstellungen anpassen oder uns unter Almost ready kontaktieren. Der Widerruf berührt nicht die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung.

Gemäß CCPA/CPRA (Kalifornien)

• Recht auf Auskunft — Sie können verlangen, dass wir die Kategorien und konkreten Stücke personenbezogener Daten offenlegen, die wir über Sie erhoben haben. Siehe den Abschnitt Hinweis zur Datenerhebung oben.
• Recht auf Löschung — Sie können die Löschung Ihrer personenbezogenen Daten verlangen. Nutzen Sie die Konto-löschen-Funktion in der App, löschen Sie die App oder kontaktieren Sie uns zur Entfernung von Website-Daten.
• Recht auf Berichtigung — Sie können die Korrektur ungenauer personenbezogener Daten verlangen. App-Daten können direkt bearbeitet werden; für Website-Daten kontaktieren Sie uns.
• Recht auf Widerspruch gegen Verkauf oder Teilen — wir verkaufen oder teilen keine personenbezogenen Daten für kontextübergreifende verhaltensbasierte Werbung. Keine Opt-out-Maßnahme erforderlich.
• Recht auf Einschränkung der Nutzung sensibler Daten — wir erheben keine sensiblen personenbezogenen Daten gemäß der Definition der CCPA/CPRA.
• Diskriminierungsverbot — wir werden Ihnen keine Dienste verweigern, keine unterschiedlichen Preise berechnen oder eine andere Servicequalität bieten, weil Sie Ihre Datenschutzrechte ausgeübt haben.

Für kalifornische Einwohner bestätigen wir den Eingang Ihrer Anfrage innerhalb von 10 Werktagen und antworten inhaltlich innerhalb von 45 Kalendertagen. Bei Bedarf können wir um weitere 45 Tage mit Vorankündigung verlängern. Wir können Ihre Identität überprüfen, indem wir die von Ihnen bereitgestellten Informationen mit unseren Daten abgleichen.

Gemäß US-amerikanischen Datenschutzgesetzen (Virginia, Colorado, Connecticut und andere)

Wenn Sie in Virginia, Colorado, Connecticut, Utah oder anderen US-Bundesstaaten mit umfassenden Datenschutzgesetzen leben, haben Sie ähnliche Rechte wie die oben unter CCPA/CPRA beschriebenen. Diese Gesetze umfassen den Virginia Consumer Data Protection Act (VCDPA), den Colorado Privacy Act (CPA) und den Connecticut Data Privacy Act (CTDPA).

• Recht auf Auskunft — Sie können bestätigen, ob wir Ihre personenbezogenen Daten verarbeiten, und eine Kopie anfordern.
• Recht auf Berichtigung — Sie können die Korrektur unrichtiger personenbezogener Daten verlangen.
• Recht auf Löschung — Sie können die Löschung Ihrer personenbezogenen Daten verlangen.
• Recht auf Datenübertragbarkeit — Sie können Ihre Daten in einem portablen, leicht nutzbaren Format erhalten.
• Widerspruchsrecht — Sie können gezielte Werbung, den Verkauf personenbezogener Daten und Profiling ablehnen. Lumenshore betreibt keine dieser Praktiken.

Wenn wir Ihre Anfrage ablehnen, können Sie Einspruch einlegen, indem Sie uns unter Almost ready kontaktieren. Wir werden innerhalb von 60 Tagen auf Einsprüche reagieren. Wenn Sie mit dem Ergebnis nicht zufrieden sind, können Sie sich an das Büro des Generalstaatsanwalts Ihres Bundesstaates wenden.

Colorado und Connecticut verlangen, dass wir universelle Opt-out-Signale wie Global Privacy Control (GPC) berücksichtigen. Wir berücksichtigen GPC in allen Rechtsgebieten.

Verifizierungs- und Antwortverfahren

Zum Schutz Ihrer Daten werden wir Ihre Identität überprüfen, bevor wir eine Rechtsanfrage bearbeiten. Wir können Sie bitten, die mit Ihrem Konto oder Abonnement verknüpfte E-Mail-Adresse zu bestätigen oder andere identifizierende Angaben zu machen, die mit unseren Aufzeichnungen übereinstimmen.

Sie können einen bevollmächtigten Vertreter benennen, der eine Anfrage in Ihrem Namen stellt. Wir verlangen einen Nachweis der Vollmacht des Vertreters (z. B. eine unterzeichnete Vollmacht) und können Ihre Identität dennoch direkt überprüfen.

Antwortfristen

• CCPA/CPRA (Kalifornien) — Bestätigung innerhalb von 10 Werktagen; inhaltliche Antwort innerhalb von 45 Kalendertagen (verlängerbar um weitere 45 Tage mit Vorankündigung).
• VCDPA (Virginia) — Antwort innerhalb von 45 Tagen (verlängerbar um weitere 45 Tage mit Vorankündigung).
• CPA (Colorado) — Antwort innerhalb von 45 Tagen (verlängerbar um weitere 45 Tage, wenn vernünftigerweise erforderlich).
• CTDPA (Connecticut) — Antwort innerhalb von 45 Tagen (verlängerbar um weitere 45 Tage mit Vorankündigung).
• DSGVO (EWR und Vereinigtes Königreich) — Antwort innerhalb eines Kalendermonats (verlängerbar um zwei weitere Monate bei komplexen Anfragen).

Um eines dieser Rechte auszuüben, senden Sie uns eine E-Mail an Almost ready oder reichen Sie eine Anfrage über unsere Datenanfrage-Seite ein. Wir werden innerhalb der für Ihre Rechtsordnung geltenden Frist antworten. Möglicherweise müssen wir Ihre Identität überprüfen, bevor wir bestimmte Anfragen bearbeiten können.

Ihre Datenschutzrechte in Kalifornien

Gemäß California Civil Code § 1798.83 („Shine the Light“) können Einwohner Kaliforniens Informationen über die Weitergabe personenbezogener Daten an Dritte für deren Direktmarketingzwecke anfordern. Lumenshore gibt keine personenbezogenen Daten an Dritte für deren Direktmarketingzwecke weiter.

Um ein kalifornisches Datenschutzrecht auszuüben — einschließlich der Rechte gemäß CCPA/CPRA — senden Sie uns eine E-Mail an Almost ready mit dem Betreff „Kalifornische Datenschutzrechte“ oder reichen Sie eine Anfrage über unsere Datenanfrage-Seite ein.

Global Privacy Control und Do Not Track

Wir respektieren das Global Privacy Control (GPC)-Signal. Wenn Ihr Browser ein GPC-Signal sendet (über den Sec-GPC-HTTP-Header oder die navigator.globalPrivacyControl-JavaScript-API), behandeln wir dies als gültige Abmeldung von nicht-essenzieller Datenverarbeitung.

Gemäß dem California Privacy Rights Act (CPRA) stellt GPC eine gültige Abmeldung vom Verkauf oder der Weitergabe personenbezogener Daten dar. Gemäß dem Colorado Privacy Act und dem Connecticut Data Privacy Act sind wir verpflichtet, universelle Abmeldemechanismen einschließlich GPC zu respektieren.

Wenn ein GPC-Signal erkannt wird, unterdrücken wir automatisch jedes nicht-essenzielle Tracking auf unserer Website — einschließlich Analyseereignissen und Session-Replay — unabhängig von früheren Cookie-Einstellungen.

Wir respektieren auch das Do Not Track (DNT)-Browsersignal. Obwohl DNT vom W3C als veraltet eingestuft wurde, behandeln wir es identisch wie GPC, um Konsistenz zu wahren und unser Engagement für den Datenschutz zu demonstrieren.

Richtlinienaktualisierungen

Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren, typischerweise um Änderungen in unseren Diensten oder rechtlichen Anforderungen widerzuspiegeln. Bei wesentlichen Änderungen aktualisieren wir das Datum „Zuletzt aktualisiert” und die Versionsnummer oben auf dieser Seite.

Wir empfehlen Ihnen, diese Seite regelmäßig zu überprüfen. Die fortgesetzte Nutzung von LumenLingo nach Änderungen gilt als Akzeptanz der aktualisierten Richtlinie.

Versionshistorie

• v2.3 (27. März 2026) — Phase 3 rechtliche Verstärkung: Querverweis auf Haftungsbeschränkung in den Nutzungsbedingungen hinzugefügt, Streitbeilegungsabschnitt mit Verweis auf Nutzungsbedingungen für nicht-DSGVO-bezogene Streitigkeiten mit DSGVO Art. 79 Ausnahme hinzugefügt, alle Kontakt-E-Mail-Adressen auf Almost ready standardisiert.
• v2.2 (26. März 2026) — Phase-2-Rechtsabsicherung: Firmenname durchgängig auf Lumenshore Limited standardisiert; ICO-Beschwerderecht und Kontaktdaten gemäß DSGVO Art. 77 hinzugefügt; Auftragsverarbeiter-Register ergänzt; Internationale Transfersicherungen verbessert; Regionale Datenschutzrahmen hinzugefügt; PECR-Offenlegungen verbessert.
• v2.1 (26. März 2026) — Abschnitte neu organisiert: Kommerzielle/regulatorische Compliance-Offenlegungen (MwSt-Behandlung, EU-MwSt, internationale Steuern, Preiskonformität, Sanktionen, Verschlüsselungsexportkontrollen) in die Nutzungsbedingungen verschoben. Querverweis auf Nutzungsbedingungen hinzugefügt. Markenattribution konsolidiert. Keine Inhalte wurden entfernt.
• v2.0 (23. März 2026) — Erweiterung der Richtlinie um die Datenerfassung auf lumenlingo.com, Sentry Session Replay, Vercel Analytics, Rechtsgrundlagen, Datenfluss-Abschnitt und Service-Worker-Caching-Details.
• v1.0 (22. März 2026) — Erste Datenschutzrichtlinie für die LumenLingo iOS-App.

Haftungsbeschränkung

Einzelheiten zu unseren Haftungsbeschränkungen finden Sie im Abschnitt Haftungsbeschränkung in unseren Nutzungsbedingungen.

Streitbeilegung

Für Streitigkeiten, die nicht den Datenschutz betreffen, gelten die Streitbeilegungsbestimmungen unserer Nutzungsbedingungen, einschließlich informeller Beilegung, Mediation und Gerichtsverfahren nach dem Recht von England und Wales.

Für Datenschutzstreitigkeiten haben Sie das Recht, eine Beschwerde beim Information Commissioner's Office (ICO) einzureichen oder einen gerichtlichen Rechtsbehelf gemäß DSGVO Artikel 79 und Data Protection Act 2018 Abschnitt 167 einzulegen, unbeschadet jedes anderen Ihnen zur Verfügung stehenden verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs.

EU-Vertreter (DSGVO Art. 27)

Lumenshore Limited ist in England und Wales eingetragen und hat daher ihren Sitz ausserhalb des Europaeischen Wirtschaftsraums (EWR). Wenn Lumenshore ihren Dienst Personen im EWR anbietet oder deren Verhalten innerhalb des EWR ueberwacht, kann sie der Pflicht gemaess DSGVO Art. 27 unterliegen, einen Vertreter in der EU zu benennen.

LumenLingo verarbeitet minimale personenbezogene Daten und ueberwacht nicht systematisch das Verhalten von in der EU ansaessigen Personen. Die Lernalgorithmen der App arbeiten lokal auf den Geraeten der Nutzer und beinhalten kein serverseitiges Profiling oder Tracking.

Lumenshore Limited, Almost ready

Lumenshore wird diese Bewertung regelmaessig ueberpruefen und formell einen EU-Vertreter gemaess DSGVO Art. 27 benennen, wenn dies durch Aenderungen der Verarbeitungstaetigkeiten, anwendbare Leitlinien oder regulatorische Anforderungen erforderlich wird.

In der EU ansaessige Personen haben das Recht, eine Beschwerde bei ihrer lokalen Datenschutzaufsichtsbehoerde einzureichen. Eine Liste der EWR-Aufsichtsbehoerden ist auf der Website des Europaeischen Datenschutzausschusses verfuegbar.

Wenn Lumenshore in Zukunft formell einen EU-Vertreter benennt, werden die Angaben des Vertreters in dieser Datenschutzerklaerung veroeffentlicht und der zustaendigen Aufsichtsbehoerde gemaess DSGVO Art. 27(4) mitgeteilt.

Kontakt

Wenn Sie Fragen zu dieser Datenschutzrichtlinie, Ihren Daten haben oder Ihre Rechte ausüben möchten, kontaktieren Sie uns bitte:

• E-Mail: Almost ready
• Unternehmen: Lumenshore Limited, Windsor House, Troon Way Business Centre, Humberstone Lane, Leicester, England, LE4 9HA
• Firmennummer: 09607326 (England und Wales)
• USt-IdNr.: GB 270411929

Wir antworten normalerweise innerhalb von 48 Stunden und innerhalb von 30 Tagen bei formellen Datenschutzanfragen.