Rechtliches

🔒 Datenschutzerklärung

Gemäß Art. 13/14 DSGVO · Stand: Mai 2026 · Version 1.1

Inhalt

  1. 1. Verantwortliche Stelle
  2. 2. Verarbeitungsgrundsätze
  3. 3. Browser-Extension (lokal)
  4. 4. Aktivierungscode & Buddy-Token
  5. 5. KI-Verarbeitung
  6. 6. Buddy Campus & Lernwelten
  7. 7. Referral-System
  8. 8. Website learning-buddy.app
  9. 9. Zahlungsabwicklung (Lemon Squeezy / Stripe)
  10. 10. Hosting & Infrastruktur
  11. 11. Speicherdauer
  12. 12. Auftragsverarbeiter
  13. 13. chrome.storage & Cookies
  14. 14. Ihre Rechte
  15. 15. Beschwerderecht
  16. 16. Änderungen

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten durch Learning Buddy. Learning Buddy ist eine Browser-Extension mit begleitendem KI-Campus. Die Extension verarbeitet soweit möglich lokal; für KI-Features und den Campus werden Daten pseudonymisiert über das Learning Buddy Backend verarbeitet.

§ 1 Verantwortliche Stelle

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 7 DSGVO ist:

Learning Buddy (Marcel Kelemen, Einzelunternehmer)

Stargarder Str. 8 · 10437 Berlin · Deutschland

E-Mail: hello@learning-buddy.app

Da weniger als 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind (Art. 37 DSGVO), ist kein Datenschutzbeauftragter benannt.

§ 2 Verarbeitungsgrundsätze

Wir verarbeiten personenbezogene Daten nur auf gesetzlicher Grundlage nach Art. 6 Abs. 1 DSGVO:

Rechtsgrundlage Einsatz bei Learning Buddy
Art. 6 I lit. a (Einwilligung)KI-Verarbeitung von Textmarkierungen, Feedback
Art. 6 I lit. b (Vertragserfüllung)Aktivierungscode, Campus-Zugang, Referral-Vergütung
Art. 6 I lit. c (rechtliche Verpflichtung)Steuer- und Handelsrecht (10 Jahre)
Art. 6 I lit. f (berechtigtes Interesse)Sicherheit, Server-Logs, Missbrauchsabwehr, Performance

§ 3 Browser-Extension — lokale Verarbeitung

Die Learning Buddy Extension speichert Konfiguration und Sitzungsdaten lokal in Ihrem Browser:

  • Einstellungen (Sprache, Theme, Mute-Liste) in chrome.storage.local
  • Aktivierungstoken (lb_settings.activationToken) lokal gespeichert — enthält keinen Klarnamen oder E-Mail
  • Markierter Text wird für KI-Calls temporär verarbeitet und nicht dauerhaft lokal gespeichert
  • Gesammelte Nuggets und Flashcards werden zwischengespeichert und mit dem Campus synchronisiert (§ 6)
  • URL-Kontext: URLs werden niemals im Klartext gespeichert oder übertragen — nur ein datenschutzkonformer Hash wird ggf. für KI-Kontext verwendet
  • Kein Telemetrie- oder Nutzungstracking
Privacy by Design: Die Extension erhebt keine personenbezogenen Daten über Ihr Surfverhalten. Alle KI-Calls werden mit pseudonymem Buddy-Token authentifiziert — ohne Klarnamen oder E-Mail-Adresse.

§ 4 Aktivierungscode & Buddy-Token

Der Zugang zu Learning Buddy erfolgt über einen Aktivierungscode. Bei der Aktivierung wird ein pseudonymisiertes Token generiert:

  • Der Aktivierungscode wird gegen unsere Datenbank geprüft — dabei wird keine E-Mail-Adresse erfasst (sofern Sie keine angeben)
  • Nach erfolgreicher Prüfung erhält Ihr Browser ein HMAC-SHA256-signiertes Buddy-Token, das lokal gespeichert wird
  • Das Token enthält eine pseudonymisierte Code-ID und einen Ablaufzeitpunkt (TTL) — keine personenbezogenen Daten im Klartext
  • Alle Backend-Calls der Extension werden mit diesem Token authentifiziert (Header x-buddy-token)
  • Das Token kann jederzeit durch Deinstallation der Extension oder Löschung des Browser-Speichers entfernt werden
Pseudonymisierung: Alle serverseitigen Einträge (XP, Streak, Nuggets) sind ausschließlich an die pseudonymisierte Token-ID geknüpft — nicht an eine E-Mail oder einen Klarnamen.

§ 5 KI-Verarbeitung

Wenn Sie eine KI-Funktion nutzen (Erklären, Chat, Quiz, Zusammenfassung), wird der markierte Text verarbeitet:

  • Der Text wird pseudonymisiert (mit Buddy-Token, ohne Klarnamen) an das Learning Buddy Backend übermittelt
  • Das Backend leitet den Text an KI-Sprachmodelle weiter (siehe Tabelle)
  • Die KI-Antwort wird direkt an Ihren Browser zurückgegeben — keine dauerhafte Speicherung des Textes auf unseren Servern
  • Wenn URL-Kontext verwendet wird, wird ausschließlich ein Hash der URL übertragen — niemals die Klartext-URL
KI-Provider Priorität Sitz / Region Rechtsgrundlage
Langdock GmbHPrio 1Deutschland / EUAVV, kein Drittlandtransfer
GitHub Models / Azure OpenAIPrio 2EU-Rechenzentren (Azure)AVV, EU-Datenspeicherung konfiguriert
Automatisierte Entscheidungen: Es findet gemäß Art. 22 DSGVO keine ausschließlich automatisierte Entscheidungsfindung mit rechtlicher Wirkung statt. KI-Ergebnisse (Erklärungen, Quiz-Fragen) sind Empfehlungen und werden nicht für Bewertungen oder Rechtsentscheidungen verwendet.

§ 6 Buddy Campus & Lernwelten

Der Buddy Campus speichert Ihren Lernfortschritt serverseitig, verknüpft mit Ihrem pseudonymisierten Token:

  • XP & Streak: Lernpunkte und Lerntage werden in der Tabelle lb_leaderboard gespeichert — nur Token-ID, keine personenbezogenen Daten
  • Nuggets: Von Ihnen gespeicherte Textfragmente (gesammeltes Wissen) — werden dem Token zugeordnet, nicht einer Person
  • Flashcards: KI-generierte Lernkarten aus Ihren Markierungen — pseudonymisiert gespeichert
  • Lernwelt-Zugang: Welche Lernwelten für Ihr Token freigeschaltet sind, wird serverseitig geprüft (world_ids-Scoping)
  • Feedback: Optionales Feedback (Kategorie + Nachricht) kann freiwillig übermittelt werden — wird dem Token zugeordnet, Kontext-URL als Hash
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Campus-Zugang als Teil des Buddy-Produkts) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei freiwilligen Angaben wie Feedback).

§ 7 Referral-System

Learning Buddy bietet ein freiwilliges Empfehlungsprogramm:

  • Wenn Sie jemanden einladen, geben Sie dessen E-Mail-Adresse an — diese wird einmalig für den Versand der Einladungs-E-Mail verwendet
  • Die E-Mail-Adresse des Eingeladenen wird in der Tabelle buddy_referrals gespeichert (im Admin-Bereich maskiert angezeigt)
  • Ihr persönlicher Referral-Code wird in lb_leaderboard hinterlegt — verknüpft mit Ihrem pseudonymisierten Token, nicht mit Ihrem Namen
  • Die Teilnahme am Referral-Programm ist vollständig freiwillig
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung des Empfehlungsprogramms). Die E-Mail-Adresse des Eingeladenen wird nur für den Einladungsversand genutzt und nicht für Werbezwecke weiterverwendet.

§ 8 Website learning-buddy.app

Die Website learning-buddy.app ist eine Informations- und Aktivierungsseite. Es werden folgende Daten verarbeitet:

  • Server-Logs: IP-Adresse (nach 7 Tagen gelöscht), User-Agent, URL, HTTP-Statuscode
  • Aktivierungsformular: Der eingegebene Buddy-Code wird verarbeitet; dabei wird optional eine E-Mail-Adresse zur Zuordnung gespeichert (sofern angegeben)
  • Keine Tracking-Scripts, keine Werbenetzwerke, kein Analytics
  • Externe Ressourcen: Google Fonts CDN (Plus Jakarta Sans, Material Icons), Tailwind CDN
Hinweis Google Fonts / CDN: Beim Laden externer Ressourcen wird Ihre IP-Adresse an den jeweiligen Anbieter übermittelt (Google LLC, USA). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

§ 9 Zahlungsabwicklung

Learning Buddy-Käufe werden je nach Herkunft des Käufers über Stripe (Deutschland) oder Lemon Squeezy (internationale Käufe) abgewickelt. Ein internationaler Legacy-Checkout kann optional wieder aktiviert werden.

Lemon Squeezy (internationale Käufer außerhalb Deutschlands)

Lemon Squeezy (a Stripe company)

Datenschutz: lemonsqueezy.com/privacy

Lemon Squeezy verarbeitet für internationale Transaktionen insbesondere folgende Daten:

  • E-Mail-Adresse des Käufers
  • Zahlungsmittelinformationen (Kreditkarte, PayPal o. Ä.)
  • Rechnungsadresse und ggf. Steuer-ID
  • Transaktions- und Abonnement-Metadaten
Hinweis: Für internationale Käufe erhalten wir nur die für die Zugangsvergabe notwendigen Metadaten (z. B. Bestell-/Abo-ID, E-Mail). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Stripe (Käufer mit Rechnungsadresse Deutschland)

Stripe Payments Europe, Ltd.

1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland (EU)

Datenschutz: stripe.com/de/privacy

Stripe verarbeitet für deutsche Käufer folgende Daten:

  • E-Mail-Adresse des Käufers
  • Zahlungsmittelinformationen (Kreditkarte, SEPA-Lastschrift o. Ä.)
  • Rechnungsadresse
  • Abonnement- und Zahlungshistorie

Wir haben mit Stripe Ireland einen Auftragsverarbeitungsvertrag (DPA) abgeschlossen. Stripe ist GDPR-konform und verarbeitet Daten ausschließlich in der EU (Irland). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datenweitergabe: Wir übermitteln an Stripe / Lemon Squeezy nur die für die Zahlung erforderlichen Mindestdaten. Keine Weitergabe von Buddy-Token, Lernfortschritt oder Campus-Nutzungsdaten an Zahlungsanbieter.

Optionaler Fallback: Falls der internationale Legacy-Checkout wieder aktiviert wird, gilt ergänzend dessen Datenschutzerklärung: Datenschutzerklärung des Legacy-Checkoutanbieters.

§ 10 Hosting & Infrastruktur

Die Website und das Backend werden auf einem dedizierten VPS-Server betrieben:

IONOS SE

Elgendorfer Str. 57, 56410 Montabaur, Deutschland

Serverstandort: Deutschland (EU) · AVV abgeschlossen: Ja

Server-Logfiles enthalten IP-Adresse (nach 7 Tagen gelöscht), User-Agent, URL, Datum/Uhrzeit, HTTP-Statuscode. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

§ 11 Speicherdauer

DatenkategorieSpeicherdauerBegründung
Buddy-Token (lokal im Browser)Bis Deinstallation / LöschungLokal — kein Serverzugriff
Aktivierungscode-PrüfungCode-Status in DB dauerhaftVerhinderung mehrfacher Einlösung
XP, Streak, Nuggets (lb_leaderboard)Bis Löschungsanfrage + 30 TageVertragserfüllung
FlashcardsBis Löschungsanfrage durch NutzerEinwilligung
Feedback (buddy_feedback)12 Monate, dann ArchivierungBerechtigtes Interesse (Qualitätssicherung)
Referral-E-Mail (Eingeladener)Bis Abschluss der Einladung + 6 MonateVertragserfüllung Referral-Programm
Server-Logs (IP)7 TageSicherheit / Fehleranalyse
Rechnungsdaten10 Jahre§ 147 AO, § 257 HGB
Zahlungsdaten (Stripe)Gemäß Stripe-Retention-Policy (i.d.R. 7 Jahre)Steuer- / Handelsrecht, Stripe-Pflicht
Zahlungsdaten (Lemon Squeezy)Gemäß Lemon-Squeezy-Retention-PolicyAbwicklung internationaler Käufe
Zahlungsdaten (Intl Legacy, optional)Nur falls Intl-Legacy aktiviert istDatenschutzerklärung des Legacy-Checkoutanbieters gilt

§ 12 Auftragsverarbeiter (Art. 28 DSGVO)

Wir setzen folgende Auftragsverarbeiter ein, mit denen AVVs abgeschlossen wurden:

IONOS SE

Hosting, Serverinfrastruktur, VPS und E-Mail-Versand (SMTP)

EU ✓

Langdock GmbH

KI-Sprachmodelle (primärer Provider, Prio 1) — EU-Rechenzentrum

EU ✓

Microsoft Azure (GitHub Models)

KI-Sprachmodelle (Fallback, Prio 2) — EU-Rechenzentrum konfiguriert

EU-RZ ✓

Google LLC (Fonts CDN)

Schriftarten Plus Jakarta Sans & Material Icons — nur für die Website

USA / SCCs

Stripe Payments Europe, Ltd.

Zahlungsabwicklung für Käufer mit DE-Rechnungsadresse — Auftragsverarbeitungsvertrag abgeschlossen

EU (Irland) ✓

Lemon Squeezy (a Stripe company)

Zahlungsabwicklung für internationale Käufer

International

Internationaler Legacy-Checkoutanbieter (optional)

Optionaler internationaler Zahlungs-Checkout, derzeit deaktiviert

UK / optional

§ 13 chrome.storage & Cookies

Learning Buddy setzt keine Tracking-Cookies. Folgende Speichermechanismen werden genutzt:

SpeicherInhaltZweckDauer
chrome.storage.local Aktivierungstoken, Einstellungen, Nuggets-Cache, Campus-Cache Konfiguration & Performance (lokal) Bis Deinstallation / Löschung
localStorage (Website) buddy_token, buddy_token_exp Campus-Zugang nach Code-Aktivierung auf der Landing Page Bis Token-Ablauf (TTL)
Cookie lb_ref Referral-Code (aus URL-Parameter) Referral-Zuordnung bei Aktivierung Session

Es werden keine Werbe- oder Tracking-Cookies gesetzt. Ein Cookie-Banner ist nicht erforderlich, da kein einwilligungspflichtiges Tracking stattfindet.

§ 14 Ihre Rechte als betroffene Person

Sie haben folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Art. 15
    Auskunftsrecht: Welche Daten wir über Sie verarbeiten.
  • Art. 16
    Berichtigungsrecht: Berichtigung unrichtiger oder unvollständiger Daten.
  • Art. 17
    Recht auf Löschung: Löschung Ihrer Daten, sofern keine Aufbewahrungspflichten entgegenstehen.
  • Art. 18
    Einschränkung: Einschränkung der Verarbeitung, z. B. während einer Richtigkeitsprüfung.
  • Art. 20
    Datenübertragbarkeit: Ihre Daten in maschinenlesbarem Format erhalten.
  • Art. 21
    Widerspruch: Verarbeitung auf Basis berechtigter Interessen widersprechen.
  • Art. 7 III
    Widerruf: Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.
Kontakt zur Rechteausübung:
E-Mail: hello@learning-buddy.app
Wir antworten binnen 30 Tagen (Art. 12 Abs. 3 DSGVO).

§ 15 Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen (Art. 77 DSGVO):

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Alt-Moabit 59–61, 10555 Berlin · Tel.: +49 (0)30 13889-0

E-Mail: mailbox@datenschutz-berlin.de

Web: www.datenschutz-berlin.de

§ 16 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei technischen Änderungen der Extension oder bei Änderungen der rechtlichen Anforderungen anzupassen. Die aktuelle Fassung ist stets unter learning-buddy.app/datenschutz abrufbar. Bei wesentlichen Änderungen werden Nutzer gemäß den Chrome Web Store-Richtlinien informiert.

Stand: Mai 2026  |  Version: 1.0

Hinweis: Diese Datenschutzerklärung dient als inhaltliche Grundlage und wurde noch nicht von einem Rechtsexperten abgenommen.

Legal

🔒 Privacy Policy

Pursuant to Art. 13/14 GDPR · As of May 2026 · Version 1.1

Contents

  1. 1. Data Controller
  2. 2. Legal Bases
  3. 3. Browser Extension
  4. 4. Activation Code & Token
  5. 5. AI Processing
  6. 6. Buddy Campus
  7. 7. Referral System
  8. 8. Website
  9. 9. Payment Processing (Lemon Squeezy / Stripe)
  10. 10. Hosting
  11. 11. Retention Periods
  12. 12. Data Processors
  13. 13. Storage & Cookies
  14. 14. Your Rights
  15. 15. Supervisory Authority
  16. 16. Changes

This Privacy Policy informs you pursuant to Art. 13 and 14 GDPR about the nature, scope and purpose of the processing of personal data by Learning Buddy. Learning Buddy is a browser extension with an accompanying AI Campus. The extension processes data locally wherever possible; for AI features and the Campus, data is processed pseudonymously via the Learning Buddy backend.

§ 1 Data Controller

The controller for processing personal data within the meaning of Art. 4 No. 7 GDPR is:

Learning Buddy (Marcel Kelemen, Sole Trader)

Stargarder Str. 8 · 10437 Berlin · Germany

Email: hello@learning-buddy.app

Since fewer than 20 people are permanently engaged in processing personal data, no data protection officer has been appointed (Art. 37 GDPR).

§ 2 Legal Bases

We process personal data only on a legal basis pursuant to Art. 6 para. 1 GDPR:

Legal BasisUsed for
Art. 6(1)(a) — ConsentAI processing of text highlights, feedback
Art. 6(1)(b) — Contract performanceActivation code, Campus access, referral payouts
Art. 6(1)(c) — Legal obligationTax and commercial law (10 years)
Art. 6(1)(f) — Legitimate interestsSecurity, server logs, abuse prevention, performance

§ 3 Browser Extension — Local Processing

The Learning Buddy extension stores configuration and session data locally in your browser:

  • Settings (language, theme, mute list) in chrome.storage.local
  • Activation token stored locally — contains no name or email address
  • Highlighted text is processed temporarily for AI calls and not stored locally
  • Collected nuggets and flashcards are cached and synced with the Campus (§ 6)
  • URL context: URLs are never stored or transmitted in plaintext — only a privacy-compliant hash is used
  • No telemetry or usage tracking
Privacy by Design: The extension collects no personal data about your browsing behaviour. All AI calls are authenticated with a pseudonymous Buddy token — without your name or email address.

§ 4 Activation Code & Buddy Token

Access to Learning Buddy is granted via an activation code. A pseudonymised token is generated on activation:

  • The activation code is verified against our database — no email address is collected unless you provide one voluntarily
  • After successful verification your browser receives an HMAC-SHA256 signed Buddy token stored locally
  • The token contains a pseudonymised code-ID and an expiry timestamp — no personal data in plaintext
  • All extension backend calls are authenticated with this token (header x-buddy-token)
  • The token can be removed at any time by uninstalling the extension or clearing browser storage
Pseudonymisation: All server-side entries (XP, streak, nuggets) are linked solely to the pseudonymous token ID — not to an email address or name.

§ 5 AI Processing

When you use an AI feature (Explain, Chat, Quiz, Summary), the highlighted text is processed:

  • The text is transmitted pseudonymously (with Buddy token, without name) to the Learning Buddy backend
  • The backend forwards the text to AI language models (see table below)
  • The AI response is returned directly to your browser — no permanent storage of your text on our servers
  • If URL context is used, only a hash of the URL is transmitted — never the URL in plaintext
AI ProviderPriorityLocationLegal basis
Langdock GmbH1Germany / EUDPA signed, no third-country transfer
GitHub Models / Azure OpenAI2EU data centresDPA signed, EU storage configured
Automated decision-making: No solely automated decision-making with legal effect takes place pursuant to Art. 22 GDPR. AI outputs are recommendations only.

§ 6 Buddy Campus & Learning Worlds

The Buddy Campus stores your learning progress server-side, linked to your pseudonymous token:

  • XP & Streak: Learning points and active days — only token-ID, no personal data
  • Nuggets: Text snippets you save — linked to the token, not a person
  • Flashcards: AI-generated learning cards from your highlights — stored pseudonymously
  • Learning World access: Which worlds are unlocked for your token is checked server-side
  • Feedback: Optional feedback may be submitted voluntarily — linked to the token; context URL as hash
Legal basis: Art. 6(1)(b) GDPR (contract performance) and Art. 6(1)(a) GDPR (consent for voluntary submissions such as feedback).

§ 7 Referral System

Learning Buddy offers an optional referral programme:

  • When you invite someone you provide their email address — used solely for sending the invitation email
  • The invitee's email address is stored in buddy_referrals (masked in the admin panel)
  • Your personal referral code is linked to your pseudonymous token, not your name
  • Participation is entirely voluntary
Legal basis: Art. 6(1)(b) GDPR (contract performance of the referral programme). The invitee's email is not used for marketing purposes.

§ 8 Website learning-buddy.app

The website is an information and activation page. The following data is processed:

  • Server logs: IP address (deleted after 7 days), user agent, URL, HTTP status code
  • Activation form: The entered Buddy code is processed; optionally an email address may be stored for code assignment (if provided)
  • No tracking scripts, no ad networks, no analytics
  • External resources: Google Fonts CDN (Plus Jakarta Sans, Material Icons), Tailwind CDN
Note on Google Fonts / CDN: When loading external resources your IP address is transmitted to the respective provider (Google LLC, USA). Legal basis: Art. 6(1)(f) GDPR.

§ 9 Payment Processing

Learning Buddy purchases are processed via Stripe (Germany) or Lemon Squeezy (international checkout), depending on buyer location. An international legacy checkout can be enabled again as an optional fallback.

Lemon Squeezy (international buyers outside Germany)

Lemon Squeezy (a Stripe company)

Privacy: lemonsqueezy.com/privacy

Lemon Squeezy processes the following data for international transactions:

  • Buyer’s email address
  • Payment method details (credit card, PayPal, etc.)
  • Billing address and VAT ID if applicable
  • Transaction and subscription metadata
Note: For international purchases, we receive only metadata required for access fulfilment (e.g. order/subscription ID, email). Legal basis: Art. 6(1)(b) GDPR (contract performance).

Stripe (buyers with a German billing address)

Stripe Payments Europe, Ltd.

1 Grand Canal Street Lower, Grand Canal Dock, Dublin D02 H210, Ireland (EU)

Privacy: stripe.com/privacy

Stripe processes the following data for German buyers:

  • Buyer’s email address
  • Payment method details (credit card, SEPA direct debit, etc.)
  • Billing address
  • Subscription and payment history

We have concluded a Data Processing Agreement (DPA) with Stripe Ireland. Stripe is GDPR-compliant and processes data exclusively in the EU (Ireland). Legal basis: Art. 6(1)(b) GDPR (contract performance).

Data minimisation: We transmit to Stripe / Lemon Squeezy only the minimum data necessary for payment processing. No Buddy token, learning progress or Campus usage data is shared with payment providers.

Optional fallback: if international legacy checkout is re-enabled, the legacy checkout provider’s privacy policy additionally applies: Legacy checkout provider privacy policy.

§ 10 Hosting & Infrastructure

The website and backend are operated on a dedicated VPS server hosted by IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Germany (server location: Germany / EU; DPA signed). Server logfiles are deleted after 7 days. Legal basis: Art. 6(1)(f) GDPR.

§ 11 Retention Periods

Data categoryRetention periodReason
Buddy token (local)Until uninstall / deletionLocal — no server access
Activation code verificationPermanently in DBPrevention of multiple redemptions
XP, streak, nuggetsUntil deletion request + 30 daysContract performance
FlashcardsUntil deletion requestConsent
Feedback12 months, then archivedLegitimate interest (quality)
Referral email (invitee)Until completion + 6 monthsContract performance
Server logs (IP)7 daysSecurity / error analysis
Invoice data10 yearsGerman commercial law
Payment data (Stripe)Per Stripe retention policy (typically 7 years)Tax law, Stripe obligation
Payment data (Lemon Squeezy)Per Lemon Squeezy retention policyInternational checkout processing
Payment data (Intl Legacy, optional)Only if Intl Legacy is enabledLegacy checkout provider’s privacy policy applies

§ 12 Data Processors (Art. 28 GDPR)

We use the following data processors with whom DPAs have been concluded:

IONOS SE

Hosting, server infrastructure, VPS and email delivery (SMTP)

EU ✓

Langdock GmbH

AI language models (primary provider, priority 1) — EU data centre

EU ✓

Microsoft Azure (GitHub Models)

AI language models (fallback, priority 2) — EU data centre configured

EU-DC ✓

Google LLC (Fonts CDN)

Plus Jakarta Sans & Material Icons fonts — website only

USA / SCCs

Stripe Payments Europe, Ltd.

Payment processing for buyers with a German billing address — DPA concluded

EU (Ireland) ✓

Lemon Squeezy (a Stripe company)

Payment processing for international buyers

International

International Legacy Checkout Provider (optional)

Optional international payment checkout, currently disabled

UK / Optional

§ 13 chrome.storage & Cookies

Learning Buddy sets no tracking cookies. The following storage mechanisms are used:

StorageContentsPurposeDuration
chrome.storage.localActivation token, settings, nuggets cache, Campus cacheConfiguration & performance (local)Until uninstall / deletion
localStorage (website)buddy_token, buddy_token_expCampus access after code activationUntil token expiry (TTL)
Cookie lb_refReferral code (from URL parameter)Referral attribution on activationSession

No advertising or tracking cookies are set. A cookie banner is not required as no consent-requiring tracking takes place.

§ 14 Your Rights as a Data Subject

You have the following rights regarding your personal data:

  • Art. 15
    Right of access: What data we process about you.
  • Art. 16
    Right to rectification: Correction of inaccurate or incomplete data.
  • Art. 17
    Right to erasure: Deletion of your data where no retention obligations apply.
  • Art. 18
    Restriction: Restriction of processing e.g. during an accuracy check.
  • Art. 20
    Data portability: Receive your data in a machine-readable format.
  • Art. 21
    Right to object: Object to processing based on legitimate interests.
  • Art. 7(3)
    Withdrawal: Withdraw consent at any time with effect for the future.
Contact: hello@learning-buddy.app — we respond within 30 days (Art. 12 para. 3 GDPR).

§ 15 Right to Lodge a Complaint

You have the right to lodge a complaint with a data protection supervisory authority (Art. 77 GDPR). The competent authority for our registered address is the Berlin Commissioner for Data Protection and Freedom of Information, Alt-Moabit 59–61, 10555 Berlin, Germany — www.datenschutz-berlin.de.

§ 16 Changes to this Privacy Policy

We reserve the right to update this Privacy Policy in response to technical changes in the extension or changes in legal requirements. The current version is always available at learning-buddy.app/datenschutz. In the event of material changes, users will be notified in accordance with Chrome Web Store policies.

As of: May 2026  |  Version: 1.1

Note: This Privacy Policy serves as content-level guidance and has not yet been reviewed by a legal expert.