Prompt Arena

Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

DATENMASSIV GmbH
Zeitblomstraße 31/2
89073 Ulm
E-Mail: hello@datenmassiv.com

Ein Datenschutzbeauftragter ist nicht bestellt, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG).

2. Übersicht der Verarbeitungen

Prompt-Arena ist ein Workshop-Tool für KI-Trainings. Workshop-Leitung erstellen Workshops, Teilnehmer treten per Code/QR-Code bei und experimentieren live mit KI-Modellen.

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Dienste erforderlich ist. Wir setzen keine Tracking-Tools, keine Analytics und keine Werbetechnologien ein.

3. Hosting und Infrastruktur

Webhosting und CDN — Vercel Inc.

Die Anwendung wird bei Vercel Inc. (USA) gehostet. Bei jedem Seitenabruf werden technisch notwendige Verbindungsdaten (IP-Adresse, Browsertyp, Zeitstempel) verarbeitet. Die serverseitige Verarbeitung (Serverless Functions) erfolgt in der EU-Region Frankfurt (eu-central-1). Im Rahmen des CDN-Betriebs können Verbindungsdaten auch über Netzwerkinfrastruktur außerhalb der EU geroutet werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der Anwendung). Drittlandübermittlung: Vercel ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss gem. Art. 45 DSGVO). Ergänzend gelten Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO. Ein Auftragsverarbeitungsvertrag (DPA) ist abgeschlossen.

Datenbank und Authentifizierung — Supabase Inc.

Wir nutzen Supabase Inc. (USA) als Datenbank- und Authentifizierungsdienst. Die Anwendungsdaten werden in einem Rechenzentrum in Frankfurt, Deutschland (eu-central-1) gespeichert und verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Drittlandübermittlung: Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO. Ein Auftragsverarbeitungsvertrag (DPA) ist abgeschlossen.

4. Authentifizierung (Workshop-Leitung)

Workshop-Leitungen melden sich per Magic Link an. Dabei wird die E-Mail-Adresse verarbeitet und ein Authentifizierungs-Cookie gesetzt.

  • Verarbeitete Daten: E-Mail-Adresse
  • Zweck: Zugang zum Dashboard und Workshop-Verwaltung
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

5. Workshop-Teilnahme

Teilnehmer treten Workshops ohne Account bei. Es wird lediglich ein frei wählbarer Nickname erhoben.

  • Verarbeitete Daten: Nickname (Pseudonym), Prompts, KI-generierte Ergebnisse
  • Speicherung: httpOnly-Cookie mit 24 Stunden Gültigkeit
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Durchführung des Workshops)

6. KI-Verarbeitung

Die von Teilnehmern eingegebenen Prompts werden zur Generierung von Antworten an KI-Dienstleister übermittelt. Die Übermittlung erfolgt über verschlüsselte API-Verbindungen. Es werden ausschließlich die Prompt-Texte übermittelt, keine personenbezogenen Daten wie E-Mail-Adressen oder IP-Adressen.

Wir setzen folgende Anbieter ein:

AnbieterSitzZweckDrittlandübermittlung
OpenAI, Inc.USAText- und BildgenerierungDPF-zertifiziert + SCCs
Anthropic, Inc.USATextgenerierungSCCs + DPA
Google LLC (Vertex AI)USAText- und BildgenerierungDPF-zertifiziert + SCCs

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Drittlandübermittlung in die USA erfolgt jeweils auf Grundlage der oben genannten Mechanismen. Mit allen Anbietern sind Auftragsverarbeitungsverträge (DPA) abgeschlossen.

7. E-Mail-Versand — Resend Inc.

Für den Versand von Magic-Link-E-Mails und Systembenachrichtigungen nutzen wir Resend Inc. (USA).

  • Verarbeitete Daten: E-Mail-Adresse, E-Mail-Inhalt
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Drittlandübermittlung: USA, auf Grundlage eines Data Processing Agreements (DPA) und Standardvertragsklauseln (SCCs)

8. Zahlungsabwicklung

Für die Abwicklung von Zahlungen bei kostenpflichtigen Plänen nutzen wir den Zahlungsdienstleister Stripe (Stripe, Inc., USA). Bei einem Kaufvorgang werden Sie auf die Stripe-Checkout-Seite weitergeleitet. Stripe verarbeitet Ihre Zahlungsdaten (Kreditkartendaten, SEPA-Daten) direkt — diese Daten werden nicht auf unseren Servern gespeichert.

  • Verarbeitete Daten: Zahlungsinformationen, E-Mail-Adresse, Rechnungsadresse, USt-ID (optional)
  • Zweck: Abonnement-Abrechnung und Credit-Top-Up-Zahlungen
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Drittlandübermittlung: USA. Stripe ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Ergänzend gelten Standardvertragsklauseln (SCCs). Ein Auftragsverarbeitungsvertrag (DPA) ist Bestandteil der Stripe-Nutzungsbedingungen.

Weitere Informationen: Stripe Datenschutzerklärung

9. Teilnahmebescheinigungen (Zertifikate)

Teilnehmer können am Ende eines Workshops eine Teilnahmebescheinigung als PDF erhalten. Hierzu gibt der Teilnehmer freiwillig seinen Namen ein.

  • Verarbeitete Daten: Vom Teilnehmer eingegebener Name, Workshop-Titel, Datum, Lernziele, ggf. Quiz-Ergebnis
  • Zweck: Erstellung und Verifizierung der Teilnahmebescheinigung
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Eingabe des Namens)
  • Verifizierung: Zertifikate erhalten eine eindeutige Credential-ID und können über eine öffentliche Verifizierungs-URL geprüft werden. Die Verifizierungs-Seite zeigt den Namen des Teilnehmers, Workshop-Titel und Datum an.

10. Web-Analyse

Wir setzen Vercel Analytics ein, einen datenschutzfreundlichen Analysedienst. Vercel Analytics erhebt keine personenbezogenen Daten, setzt keine Cookies und führt kein geräteübergreifendes Tracking durch. Es werden ausschließlich aggregierte, anonyme Metriken erhoben (Seitenaufrufe, Web Vitals).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Dienstes). Da keine personenbezogenen Daten verarbeitet werden, ist keine Einwilligung erforderlich.

11. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies. Eine Einwilligung ist daher nicht erforderlich (§ 25 Abs. 2 TDDDG).

CookieZweckDauer
sb-*-auth-tokenAuthentifizierung (Workshop-Leitung)Session
participant_sessionWorkshop-Teilnahme (Nickname, Workshop-Zuordnung)24 Stunden

12. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO) — Informationen über die von uns verarbeiteten Daten
  • Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten ("Recht auf Vergessenwerden"). Workshop-Leitungen können ihr Konto jederzeit selbst in den Account-Einstellungen löschen.
  • Einschränkung (Art. 18 DSGVO) — Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20 DSGVO) — Export Ihrer Daten in einem maschinenlesbaren Format. Workshop-Leitung können ihre Daten jederzeit selbst in den Account-Einstellungen exportieren.
  • Widerspruch (Art. 21 DSGVO) — Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: hello@datenmassiv.com

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

13. Speicherdauer und Löschung

  • Workshop-Leitung-Daten: Bis zur Löschung des Kontos durch den Nutzer oder auf Anfrage
  • Workshop-Daten (Workshops, Aufgaben, Einreichungen): Bis zur Löschung des Kontos der Workshop-Leitung (CASCADE-Löschung)
  • Teilnehmer-Daten: Teilnehmerdaten werden mit den zugehörigen Workshop-Daten gelöscht. Das Teilnehmer-Cookie verfällt automatisch nach 24 Stunden.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unseres Dienstes anzupassen. Die jeweils aktuelle Version finden Sie stets auf dieser Seite.