Cursio

Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Plattform ist:

Blackfield Holding UG (haftungsbeschränkt), Industriestraße 13, 65439 Flörsheim
E-Mail: hello@cursio.pro

2. Übersicht der Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Datenverarbeitung auf cursio.pro.

3. Hosting und Infrastruktur

3.1 Vercel (Hosting)

Unsere Plattform wird bei Vercel Inc. gehostet. Die Serverless Functions laufen in der Region Frankfurt (fra1), sodass die Verarbeitung innerhalb der EU erfolgt. Beim Aufruf der Website werden technisch notwendige Daten (IP-Adresse, Browsertyp, Zeitstempel) in Server-Logs erfasst.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb der Website).

3.2 Supabase (Datenbank und Authentifizierung)

Für Datenbank, Benutzer-Authentifizierung und Dateispeicherung nutzen wir Supabase. Die Daten werden in der EU-Region eu-west-1 (Irland, AWS) gespeichert.

Gespeichert werden: E-Mail-Adresse, Name, Profilbild, Buchungsdaten, Kursdaten und hochgeladene Dateien (z. B. Kursbilder).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.3 Upstash Redis (Rate-Limiting)

Zum Schutz vor Missbrauch nutzen wir Upstash Redis in der Region Frankfurt. Dabei werden temporär IP-Adressen und Anfragezähler gespeichert. Die Daten werden automatisch nach kurzer Zeit gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz der Plattform).

3.4 Google (OAuth-Login & Karten)

Sie können sich optional mit Ihrem Google-Konto auf Cursio einloggen. In diesem Fall werden Ihre E-Mail-Adresse, Ihr Name und Ihr Profilbild von Google an Cursio übermittelt — wir speichern diese Daten zur Konto-Erstellung und für künftige Logins.

Google verarbeitet Daten auf Grundlage eigener Datenschutzbestimmungen: policies.google.com/privacy. Die Datenübermittlung erfolgt im Rahmen des EU-US Data Privacy Framework.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, Konto-Anlage).

3.5 OpenAI (KI-gestützte Redaktion)

Cursio setzt für interne Redaktions-Aufgaben (z. B. Blog-Beiträge, Studio-Recherche) die OpenAI-API ein. Dabei werden ausschließlich öffentlich verfügbare Informationen (z. B. SEO-Keywords, Branchen-Recherche) an OpenAI übermittelt — keine personenbezogenen Daten von Teilnehmern oder Anbietern.

OpenAI ist über das EU-US Data Privacy Framework zertifiziert und nutzt Eingaben nicht zum Training der Modelle. Datenschutzbestimmungen: openai.com/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Inhaltserstellung).

4. Registrierung und Benutzerkonto

Bei der Registrierung erheben wir:

  • E-Mail-Adresse
  • Name
  • Passwort (verschlüsselt gespeichert)

Optional können Sie ein Profilbild hochladen. Anbieter geben zusätzlich Geschäftsdaten an (Firmenname, Adresse, Steuer-Nr., USt-IdNr.).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. Zahlungsabwicklung (Stripe)

Zahlungen werden über Stripe Payments Europe Ltd. (Irland) abgewickelt. Stripe verarbeitet Ihre Zahlungsdaten (Kreditkartennummer, IBAN etc.) direkt — diese Daten werden nicht auf unseren Servern gespeichert.

Wir erhalten von Stripe: Zahlungsstatus, Betrag, Transaktions-ID und die letzten vier Ziffern der Kartennummer.

Stripe verarbeitet Daten auf Grundlage eigener Datenschutzbestimmungen: stripe.com/de/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. E-Mail-Versand (Resend)

Für den Versand transaktionaler E-Mails (Buchungsbestätigungen, Erinnerungen, Passwort-Reset) nutzen wir Resend. Dabei wird Ihre E-Mail-Adresse und der E-Mail-Inhalt an Resend übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7. Newsletter

Sie können sich freiwillig für unseren Newsletter anmelden. Wir speichern Ihre E-Mail-Adresse bis zum Widerruf. Jeder Newsletter enthält einen Abmelde-Link.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

8. Fehlertracking (Sentry)

Zur Erkennung und Behebung technischer Fehler nutzen wir Sentry (serverseitig). Dabei können technische Daten wie Fehlermeldungen, Stack-Traces, URL-Pfade und Zeitstempel erfasst werden.

Ausgeschlossen sind: Passwörter, Zahlungsdaten, vollständige Kreditkartennummern, API-Keys und Authentifizierungs-Token. Sentry ist über die Cursio-Konfiguration so eingerichtet, dass diese sensiblen Felder vor dem Versand automatisch ausgefiltert werden.

Es findet kein clientseitiges Tracking statt — Sentry wird nur serverseitig zur Fehlerdiagnose eingesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Stabilität der Plattform).

9. Bot-Schutz (Cloudflare Turnstile)

Zur Abwehr automatisierter Anmeldungs- und Registrierungs-Versuche setzen wir auf den Login- und Registrierungs-Seiten Cloudflare Turnstile ein, ein Bot-Erkennungs-Verfahren der Cloudflare, Inc. (101 Townsend St., San Francisco, CA 94107, USA).

Verarbeitete Daten: IP-Adresse, Browser- und Geräteinformationen (User-Agent, Bildschirmgröße, installierte Fonts), Bewegungsmuster der Maus und Tastatur, ggf. ein einmaliger Token-Cookie ("cf_chl_*"). Die Daten werden an Cloudflare in die USA übertragen.

Zweck: Schutz vor automatisierten Angriffen (Credential-Stuffing, Account-Erstellung durch Bots). Es findet keine Profilbildung statt; die Daten werden ausschließlich zur Bot-Bewertung genutzt und nach Abschluss der Challenge verworfen.

Datentransfer in die USA: Cloudflare ist nach dem EU-US Data Privacy Framework zertifiziert (prüfbar unter dataprivacyframework.gov); zusätzlich werden Standardvertragsklauseln verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Dienstes).

Weitere Informationen: cloudflare.com/privacypolicy

10. Online-Live-Kurse (Daily.co)

Für Live-Stream-Online-Kurse nutzen wir Daily.co (Pluot Media, Inc., 1390 Market Street, Suite 200, San Francisco, CA 94102, USA) als Video-Streaming-Anbieter. Daily.co wird nur dann geladen, wenn Sie aktiv an einem von Ihnen gebuchten Online-Kurs teilnehmen.

Verarbeitete Daten: Vor- und Nachname (zur Anzeige im Meeting), Audio- und Video-Stream während der Teilnahme, Chat-Nachrichten, IP-Adresse, Geräte- und Browser-Informationen (zur Stream-Optimierung), Verbindungszeitpunkte. Aufzeichnungen finden nur statt, wenn der Studio-Anbieter dies ausdrücklich aktiviert hat und Sie vorab im Meeting darauf hingewiesen werden.

Zweck: Durchführung des gebuchten Live-Online-Kurses und Bereitstellung der Streaming-Infrastruktur (Server-Auswahl, Bandbreiten-Anpassung, Audio-/Video-Mixing).

Datentransfer in die USA: Daily.co ist nach dem EU-US Data Privacy Framework zertifiziert; zusätzlich werden Standardvertragsklauseln verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — der gebuchte Online-Kurs kann ohne Live-Stream nicht durchgeführt werden).

Weitere Informationen: daily.co/legal/privacy

11. Kartenanzeige (OpenStreetMap / Leaflet)

Für die Darstellung von Kursstandorten nutzen wir Leaflet mit Kartenmaterial von OpenStreetMap. Beim Laden der Karte werden Kartenkacheln von den OpenStreetMap-Servern abgerufen, wobei Ihre IP-Adresse übermittelt wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Darstellung von Standorten).

12. Google Places API

Anbieter können ihre Google-Bewertungen auf Cursio anzeigen. Dafür nutzen wir die Google Places API. Die Abfrage erfolgt serverseitig — es werden keine Daten von Besuchern an Google übermittelt. Die Bewertungen werden in unserer Datenbank zwischengespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse der Anbieter an der Darstellung von Bewertungen).

13. Social Media Einbindung (Instagram, TikTok)

Anbieter können Instagram- und TikTok-Beiträge auf ihrem Profil anzeigen. Die Thumbnail-Bilder werden auf unseren Servern zwischengespeichert — beim Betrachten der Profilseite werden keine Daten an Meta oder TikTok übermittelt.

Beim Klick auf einen Beitrag werden Sie zur jeweiligen Plattform weitergeleitet, wo deren Datenschutzbestimmungen gelten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Präsentation).

14. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies für:

  • Authentifizierung und Sitzungsverwaltung
  • Cookie-Einstellungen
  • Empfehlungs-/Referral-Codes (30–60 Tage)

Es werden keine Tracking- oder Werbe-Cookies eingesetzt. Eine Einwilligung ist für technisch notwendige Cookies nicht erforderlich (§ 25 Abs. 2 TDDDG).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

15. Datenweitergabe an Dritte

Eine Weitergabe personenbezogener Daten erfolgt nur:

  • An den jeweiligen Kursanbieter im Rahmen einer Buchung (Name, E-Mail).
  • An die unter Abschnitt 3–11 genannten Dienstleister im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO.
  • Wenn wir gesetzlich dazu verpflichtet sind.

Mit folgenden Dienstleistern hat Cursio Auftragsverarbeitungsverträge (AVV) bzw. Datenverarbeitungs-Vereinbarungen abgeschlossen:

  • Vercel Inc. (Hosting) — AVV abgeschlossen, EU-Region Frankfurt
  • Supabase Inc. (Datenbank, Auth, Storage) — AVV abgeschlossen, EU-Region Irland
  • Resend (E-Mail-Versand) — AVV abgeschlossen, EU-US Data Privacy Framework
  • Sentry (Fehlertracking) — AVV abgeschlossen, EU-US Data Privacy Framework
  • Stripe Payments Europe Ltd. (Zahlungsabwicklung) — Datenverarbeitung gemäß PCI-DSS-Standard, EU-Sitz Irland
  • Upstash (Rate-Limiting/Redis) — EU-Region Frankfurt
  • OpenAI (KI-Redaktion) — EU-US Data Privacy Framework, keine personenbezogenen Daten übermittelt
  • Google LLC / Google Ireland Limited (OAuth-Login, Google Places API, Google Analytics) — EU-US Data Privacy Framework, Daten-Verarbeitungsvertrag (DPA) für Google Analytics abgeschlossen
  • Cloudflare Inc. (Bot-Schutz Turnstile) — EU-US Data Privacy Framework, Standardvertragsklauseln
  • Daily.co / Pluot Media Inc. (Video-Live-Stream für Online-Kurse) — EU-US Data Privacy Framework, Standardvertragsklauseln
  • Cal.com Inc. (Demo-Termin-Buchung auf /demo) — EU-US Data Privacy Framework

Eine Übermittlung in Drittländer außerhalb der EU erfolgt nur auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) oder im Rahmen des EU-US Data Privacy Framework.

16. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt:

  • Kontodaten: Bei Löschung des Benutzerkontos.
  • Buchungsdaten: 10 Jahre (handels- und steuerrechtliche Aufbewahrungspflichten, § 147 AO, § 257 HGB).
  • Server-Logs: 30 Tage.
  • Newsletter: Bis zum Widerruf.

17. Ihre Rechte

Sie haben das Recht auf:

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Richten Sie Ihre Anfrage an: hello@cursio.pro

18. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist die Aufsichtsbehörde Ihres Bundeslandes.

19. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

  • Verschlüsselte Übertragung (TLS/SSL)
  • Verschlüsselte Passwortspeicherung (bcrypt)
  • Row-Level Security (RLS) in der Datenbank
  • Rate-Limiting zum Schutz vor Missbrauch
  • Regelmäßige Sicherheitsupdates

20. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Über wesentliche Änderungen informieren wir Sie per E-Mail.

Stand: Mai 2026

Datenschutzerklärung — Cursio (DSGVO-konform, deutsche Server)