← Zurück zur Startseite

Datenschutzerklärung

Stand: 1. Juni 2026

Hinweis: Diese Datenschutzerklärung beschreibt den aktuellen Stand unserer Plattform in der Testphase. Vor dem öffentlichen Launch wird sie um weitere Inhalte (z.B. Zahlungsdienste, Newsletter) ergänzt. Wir informieren registrierte Nutzer bei wesentlichen Änderungen.

Präambel

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als „Daten" bezeichnet) wir zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, sowohl im Rahmen der Erbringung unserer Leistungen als auch insbesondere auf unserer Plattform (nachfolgend zusammenfassend bezeichnet als „Onlineangebot").

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Verantwortlicher

Ledumi GmbH
Kochstraße 115
04277 Leipzig

Vertretungsberechtigte Person: Scarlett Smolenski-Schubert

E-Mail: hello@ledumi.com

Impressum: https://mein.ledumi.com/impressum

Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

  • Bestandsdaten (z.B. Name, E-Mail-Adresse)
  • Kontaktdaten (z.B. E-Mail-Adresse)
  • Inhaltsdaten (z.B. von Eltern erstellte Kindprofile, KI-generierte Geschichten)
  • Nutzungsdaten (z.B. Seitenaufrufe, Interaktionen)
  • Meta-, Kommunikations- und Verfahrensdaten (z.B. IP-Adressen, Zeitangaben)
  • Protokolldaten (Logfiles)

Kategorien betroffener Personen

  • Nutzer (Eltern, die sich auf der Plattform registrieren)
  • Kinder, für die von ihren Eltern Profile angelegt werden (Daten werden ausschließlich mit Einwilligung der Eltern verarbeitet)
  • Kommunikationspartner

Zwecke der Verarbeitung

  • Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit
  • Erbringung vertraglicher Leistungen
  • KI-gestützte Generierung individueller Kindergeschichten zur emotionalen Co-Regulation
  • Sicherheitsmaßnahmen
  • Kommunikation mit Nutzern
  • Anmeldeverfahren

Maßgebliche Rechtsgrundlagen

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Die betroffene Person hat ihre Einwilligung in die Verarbeitung gegeben. Bei Kindern unter 16 Jahren gilt die Einwilligung der Eltern oder Erziehungsberechtigten (Art. 8 DSGVO).
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich.

Zusätzlich gelten in Deutschland nationale Datenschutzregelungen, insbesondere das Bundesdatenschutzgesetz (BDSG).

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

TLS-/SSL-Verschlüsselung (HTTPS): Alle Daten, die über unsere Online-Dienste übertragen werden, sind durch TLS-/SSL-Verschlüsselungstechnologie geschützt (erkennbar am HTTPS-Präfix in der URL).

Zugriffskontrolle: Der Zugriff auf personenbezogene Daten ist auf befugte Personen beschränkt und durch Passwort-Authentifizierung gesichert.

Datenschutz durch Technikgestaltung: Wir berücksichtigen den Schutz personenbezogener Daten bereits bei der Entwicklung und Auswahl von Hard- und Software.

Internationale Datentransfers

Im Rahmen der Nutzung von Diensten Dritter werden teilweise Daten in Länder außerhalb der EU bzw. des EWR übermittelt, insbesondere in die USA.

Für Datenübermittlungen in die USA stützen wir uns vorrangig auf das EU-US Data Privacy Framework (DPF), welches durch Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 als sicherer Rechtsrahmen anerkannt wurde. Zusätzlich nutzen wir Standardvertragsklauseln (SCC) als zweite Schutzebene.

Weitere Informationen zum DPF und eine Liste der zertifizierten Unternehmen finden Sie unter dataprivacyframework.gov.

Datenspeicherung und Löschung

Wir löschen personenbezogene Daten, sobald die zugrundeliegenden Einwilligungen widerrufen werden oder keine weiteren rechtlichen Grundlagen für die Verarbeitung bestehen.

Gesetzliche Aufbewahrungsfristen (Handels- und Steuerrecht):

  • 10 Jahre: Bücher, Jahresabschlüsse, Buchungsbelege (§ 147 AO, § 257 HGB)
  • 6 Jahre: Geschäfts- und Handelsbriefe (§ 147 AO, § 257 HGB)
  • 3 Jahre: Daten zur Wahrung von Gewährleistungsansprüchen (§§ 195, 199 BGB)

Nach Kündigung Ihres Nutzerkontos werden die zugehörigen Konto- und Profildaten (Eltern-Konto, Kindprofile, generierte Geschichten) gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Rechte der betroffenen Personen

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO): Auskunft über zu Ihnen gespeicherte Daten.
  • Recht auf Berichtigung (Art. 16 DSGVO): Berichtigung unrichtiger Daten.
  • Recht auf Löschung (Art. 17 DSGVO): Löschung Ihrer Daten.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Einschränkung der Verarbeitung.
  • Datenübertragbarkeit (Art. 20 DSGVO): Erhalt der Daten in maschinenlesbarem Format.
  • Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung.
  • Widerrufsrecht bei Einwilligungen: Widerruf erteilter Einwilligungen.
  • Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO): Für die Ledumi GmbH ist der Sächsische Datenschutz- und Transparenzbeauftragte zuständig.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an hello@ledumi.com.

Bereitstellung des Onlineangebots und Hosting

Zur Bereitstellung unserer Plattform verarbeiten wir die IP-Adresse der Nutzer, die notwendig ist, um die Inhalte und Funktionen unserer Online-Dienste an den Browser oder das Endgerät zu übermitteln.

Hosting: Vercel

Unsere Plattform wird auf der Cloud-Infrastruktur von Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) gehostet. Vercel betreibt Server in der EU-Region (Frankfurt am Main), sodass die Hauptdatenverarbeitung innerhalb der EU stattfindet. Bestimmte Verwaltungs- und Logging-Funktionen können jedoch in die USA übermittelt werden.

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Drittlandtransfer: EU-US Data Privacy Framework (DPF) und Standardvertragsklauseln (SCC).
Datenschutzerklärung: vercel.com/legal/privacy-policy

Datenbank: Supabase

Zur Speicherung von Konto-Daten, Kindprofilen und generierten Geschichten nutzen wir die Datenbank-Infrastruktur von Supabase Inc.. Die für unsere Plattform genutzten Datenbanken befinden sich ausschließlich in der EU-Region (Frankfurt am Main, Deutschland), sodass alle Nutzer- und Kindprofildaten innerhalb der EU gespeichert werden.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Datenschutzerklärung: supabase.com/privacy

Server-Logfiles

Beim Aufruf unserer Plattform werden technische Informationen in Server-Logfiles gespeichert: aufgerufene URL, Datum und Uhrzeit, übertragene Datenmenge, Browsertyp und -version, Betriebssystem, Referrer-URL, IP-Adresse. Diese werden zu Sicherheitszwecken (z.B. Abwehr von DDoS-Attacken) und zur Sicherstellung der Server-Stabilität verwendet. Sie werden maximal 30 Tage gespeichert und danach gelöscht oder anonymisiert.

KI-gestützte Generierung von Geschichten

Das zentrale Produkt unserer Plattform ist die KI-gestützte Generierung individueller Kindergeschichten zur emotionalen Co-Regulation. Hierfür verarbeiten wir die von den Eltern angegebenen Informationen über das Kind sowie die gewählten Story-Parameter.

Story-Generierung: Anthropic (Claude)

Für die Erstellung der Geschichten nutzen wir den KI-Dienst Claude von Anthropic, PBC (548 Market St, PMB 90375, San Francisco, CA 94104, USA). An Anthropic übermittelt werden die für die Story-Erstellung notwendigen Parameter: gewähltes Thema, emotionaler Fokus, Alter des Kindes (in Jahren) und Vorname oder Pseudonym des Kindes (sofern dies von den Eltern für die Personalisierung angegeben wurde).

Nach Anthropic's Richtlinien für die kommerzielle API-Nutzung werden die übermittelten Daten nicht für das Training der KI-Modelle verwendet. Anthropic speichert API-Eingaben und -Ausgaben standardmäßig für maximal 30 Tage zur Erkennung von Missbrauch und zur Einhaltung der Nutzungsrichtlinien. Nach Ablauf dieser Frist werden die Daten automatisch gelöscht.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); für Kinddaten zusätzlich Einwilligung der Eltern (Art. 6 Abs. 1 lit. a i.V.m. Art. 8 DSGVO).
Drittlandtransfer: USA, abgesichert durch Standardvertragsklauseln (SCC).
Datenschutzerklärung: anthropic.com/legal/privacy

Sprachsynthese: Mistral AI (Voxtral)

Für die Umwandlung der Geschichten in gesprochene Audio-Dateien nutzen wir den Sprachsynthese-Dienst Voxtral von Mistral AI SAS (24 Rue des Capucines, 75002 Paris, Frankreich). Übermittelt wird der zu sprechende Text sowie die gewählten Stimm-Parameter.

Mistral AI hat seinen Sitz in Frankreich und betreibt seine Standard-API-Server innerhalb der Europäischen Union. Wir nutzen ausschließlich den EU-Standard-Endpunkt von Mistral AI, sodass keine Drittlanddatenübermittlung stattfindet. Mistral AI speichert API-Eingaben und -Ausgaben standardmäßig für maximal 30 Tage zur Missbrauchsüberwachung; die Daten werden nicht für das Training der KI-Modelle verwendet.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Datenschutzerklärung: mistral.ai/terms#privacy-policy

Speicherung der generierten Geschichten

Die generierten Geschichten (Text und Audio) werden in Ihrem Eltern-Konto auf unseren Servern in der EU (Supabase, Frankfurt) gespeichert. Sie sind ausschließlich für Sie als angemeldeten Nutzer zugänglich und werden nicht mit anderen Nutzern geteilt. Sie können einzelne Geschichten oder Ihr gesamtes Konto jederzeit löschen.

Verarbeitung von Daten über Kinder (Art. 8 DSGVO)

Unsere Plattform richtet sich an Eltern und Erziehungsberechtigte, nicht an Kinder selbst. Nur Eltern können sich registrieren und Kindprofile anlegen. Wir verarbeiten Daten über Kinder ausschließlich auf Grundlage der ausdrücklichen Einwilligung der Eltern (Art. 6 Abs. 1 lit. a i.V.m. Art. 8 DSGVO).

Welche Daten zu Kindern verarbeitet werden:

  • Vorname oder Pseudonym (frei wählbar durch die Eltern)
  • Alter / Geburtsjahr (zur altersgerechten Story-Anpassung)
  • Avatar-Auswahl (Emoji und Farbe, keine Fotos oder reale Bilder)
  • Vorlieben und Interessen, soweit von den Eltern eingegeben
  • Die für das Kind erstellten Geschichten und deren Hörverlauf

Was wir bewusst NICHT verarbeiten:

  • Nachnamen oder Klarnamen von Kindern
  • Fotos, Stimmaufnahmen oder biometrische Daten von Kindern
  • Adresse, Telefonnummer oder Schule des Kindes
  • Gesundheitsdaten oder besondere Kategorien (Art. 9 DSGVO)

Empfehlung für Eltern: Wir empfehlen ausdrücklich, statt des Klarnamens ein Pseudonym oder einen Spitznamen für das Kind zu verwenden.

Eltern-Rechte: Als Erziehungsberechtigte können Sie jederzeit Auskunft über die zu Ihrem Kind gespeicherten Daten verlangen, diese ändern oder löschen lassen. Bei Löschung des Eltern-Kontos werden alle zugehörigen Kindprofile und Geschichten ebenfalls gelöscht.

Einsatz von Cookies

Wir verwenden Cookies ausschließlich für technisch notwendige Funktionen, insbesondere für die Authentifizierung (Aufrechterhaltung der Login-Sitzung). Wir setzen keine Tracking-, Marketing- oder Analyse-Cookies ein.

Eingesetzte Cookies:

  • Session-Cookies (Supabase Auth): Aufrechterhaltung der Anmeldesitzung. Werden gelöscht beim Abmelden oder Schließen des Browsers.
  • Permanente Cookies (optional): Speicherung der Einstellung „Angemeldet bleiben" für bis zu 30 Tage.

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO). Da nur technisch notwendige Cookies eingesetzt werden, ist keine Einwilligung erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).

Sie können Cookies jederzeit in Ihren Browser-Einstellungen verwalten. Hinweis: Bei vollständiger Deaktivierung von Cookies funktioniert die Anmeldung an der Plattform nicht mehr.

Registrierung, Anmeldung und Nutzerkonto

Eltern können ein Nutzerkonto anlegen, um auf die Funktionen unserer Plattform zugreifen zu können. Im Rahmen der Registrierung werden folgende Daten erhoben:

  • E-Mail-Adresse (für Login und Kommunikation)
  • Passwort (verschlüsselt gespeichert, niemals im Klartext)
  • Optional: Name oder Anrede (kann auch ein Pseudonym sein)

Pseudonyme Registrierung: Sie dürfen statt eines Klarnamens ein Pseudonym verwenden.

Profile sind nicht öffentlich: Ihre Profile und die Profile Ihrer Kinder sind ausschließlich für Sie selbst sichtbar. Andere Nutzer haben keinen Zugriff auf Ihre Daten.

Löschung nach Kündigung: Wenn Sie Ihr Konto kündigen, werden die damit verbundenen Daten (Kindprofile, Geschichten, Einstellungen) gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Sicherheitsprotokollierung: Zum Schutz vor Missbrauch speichern wir die IP-Adresse und den Zeitpunkt der Anmeldungen. Diese Daten werden nach 30 Tagen gelöscht oder anonymisiert.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigte Interessen.

Kontaktaufnahme

Bei Kontaktaufnahme mit uns per E-Mail werden die übermittelten Daten (E-Mail-Adresse, Name soweit angegeben, Inhalt der Anfrage) zur Beantwortung verarbeitet. Wir nutzen diese Daten ausschließlich für die Bearbeitung Ihrer Anfrage.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Google Fonts

Auf unserer Plattform setzen wir die Schriftart „Nunito Sans" ein, die wir vom Google-Server beziehen (Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Beim Aufruf unserer Seiten wird die IP-Adresse des Nutzers an Google übermittelt, um die Schriftart laden zu können.

Google verwendet laut eigener Auskunft keine der von Google Fonts erfassten Informationen für Werbe- oder Profilbildungszwecke. IP-Adressen werden weder auf Google-Servern protokolliert noch gespeichert.

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Drittlandtransfer: EU-US Data Privacy Framework (DPF).
Datenschutzerklärung: policies.google.com/privacy

Hinweis: Wir planen, die Schriftart künftig auf unseren eigenen Servern bereitzustellen, sodass kein Datentransfer an Google mehr erforderlich ist.

Änderung und Aktualisierung

Wir passen die Datenschutzerklärung an, sobald Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren registrierte Nutzer bei wesentlichen Änderungen per E-Mail.

Begriffsdefinitionen

Soweit die Begrifflichkeiten gesetzlich definiert sind, gelten deren gesetzliche Definitionen. Die nachfolgenden Erläuterungen sollen dem Verständnis dienen:

Personenbezogene Daten
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).
Verarbeitung
Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, insbesondere Erheben, Erfassen, Speichern, Verändern, Übermitteln und Löschen (Art. 4 Nr. 2 DSGVO).
Verantwortlicher
Die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). Hier: die Ledumi GmbH.
Bestandsdaten
Daten zur Identifikation und Verwaltung von Nutzern, z.B. Name, E-Mail-Adresse, Benutzer-ID.
Inhaltsdaten
Von Nutzern erstellte oder eingegebene Inhalte, z.B. Kindprofile und KI-generierte Geschichten.
Nutzungsdaten
Informationen über die Interaktion mit der Plattform, z.B. Seitenaufrufe.
Meta-, Kommunikations- und Verfahrensdaten
Technische Daten zum Verarbeitungsvorgang, z.B. IP-Adresse und Zeitstempel.
Protokolldaten
Server-Logfiles zu Zugriffen und Aktivitäten auf der Plattform.

Datenschutzerklärung der Ledumi GmbH · Stand 1. Juni 2026
Bei Fragen: hello@ledumi.com