Datenschutz

Deine Daten, ohne Fachjargon erklärt.

Diese Seite beschreibt ehrlich, was Vellume mit den Daten macht, die du uns anvertraust. Konform mit dem revidierten Schweizer DSG (1. September 2023) und der EU-DSGVO.

Aktualisiert am 2026-04-30

Wer ist verantwortlich

Vellume ist ein persönliches Projekt eines Schweizer CFC-Informatiker-Lernenden. Er entscheidet, was gesammelt und wie es verarbeitet wird. Kontaktadresse am Ende der Seite.

Welche Daten wir sammeln

Strikt das Minimum, damit die App funktioniert. Wir sammeln nicht deine IP «für Statistiken», wir tracken dich nicht zwischen Sessions.

Kontodaten

  • E-Mail-Adresse — für die Anmeldung und Produktbenachrichtigungen (Passwort-Reset usw.).
  • Vor- und Nachname — zur Anzeige in der App und im teilbaren Bildungsdossier.
  • Gewählte CFC-Fachrichtung (Entwicklung / Betrieb) und Lehrjahr — um dein Modulkatalog anzupassen.
  • Passwort — als bcrypt-Hash gespeichert, niemals im Klartext. Bei Google-Anmeldung wird kein Passwort gespeichert.

Inhalte, die du erstellst

  • Hochgeladene Dokumente (PDF, Bilder, Texte) — zur Generierung deiner Karteikarten und zur Tutor-Speisung.
  • Generierte Karteikarten und ihr FSRS-Wiederholungsverlauf.
  • Notenpro Modul und Kompetenzniveaus, die du erfasst.
  • Geplante Prüfungen und Tutor-Konversationen.
  • Konversationen mit dem KI-Tutor — 90 Tage aufbewahrt, dann automatisch gelöscht.

Minimale technische Daten

  • Better-Auth-Session-Cookie — für die Anmeldung strikt notwendig. Keine Drittanbieter-Cookies, keine Analytics.
  • Runtime-Fehler via Sentry (per Umgebungsvariable opt-in, im Self-Host standardmässig deaktiviert).

KI-Nutzung (Gemini, Claude, OpenAI)

Karteikarten und Tutor-Antworten werden generiert, indem deine Dokumente an einen KI-Anbieter geschickt werden (standardmässig Google Gemini, oder Claude/OpenAI bei BYOK-Schlüssel). Diese Anbieter haben eigene Datenschutzrichtlinien.

Vellume nutzt deine Dokumente nicht zum Trainieren eigener Modelle — wir haben keine. Die KI-Anbieter verwenden vertraglich auch keine über die API gesendeten Inhalte zum Training (gemäss ihren jeweiligen Richtlinien).

Bei BYOK (Bring Your Own Key) wird dein API-Schlüssel mit AES-256-GCM verschlüsselt gespeichert. Der Master-Schlüssel ist getrennt von der Datenbank: ein Datenbank-Leak allein reicht nicht, um die Schlüssel zu lesen.

Wo die Daten leben

Alle von Vellume genutzten Auftragsverarbeiter:

  • Railway (Schweiz / Europa) — verschlüsselte MySQL-Datenbank, nightly Backups 90 Tage aufbewahrt.
  • Vercel Blob Storage — hochgeladene Dateien (PDFs, Bilder), Zugriff über signierte URLs.
  • Vercel — App-Hosting, europäisches Edge-Netzwerk.
  • Brevo (ehemals Sendinblue, Frankreich) — ausschliesslich transaktionale E-Mails (Verifizierung, Passwort-Reset). Kein Newsletter ohne explizites Opt-in.
  • Sentry — Erfassung von Runtime-Fehlern, EU-Hosting falls aktiviert. Standardmässig deaktiviert.

Sensible Daten (BYOK-Schlüssel) ruhend mit AES-256-GCM verschlüsselt. Passwörter mit bcrypt gehasht.

Deine Rechte

Das Schweizer DSG und die DSGVO garantieren dir folgende Rechte. Alle sind in Vellume als Self-Service implementiert — du musst uns für die meisten nicht schreiben.

  • AuskunftSehen, was wir über dich haben: Seite /account/profile + /account/settings + teilbares Bildungsdossier.
  • DatenübertragbarkeitAlle deine Daten als JSON herunterladen unter /account/settings → «Meine Daten exportieren».
  • BerichtigungProfil ändern (Fachrichtung, Jahr usw.) jederzeit unter /account/profile.
  • LöschungSchaltfläche «Konto löschen» unter /account/settings — löscht alles kaskadiert: Konto, Dokumente, Karteikarten, Prüfungen, Tutor-Konversationen, Dossier.
  • WiderspruchDu kannst jederzeit einer spezifischen Verarbeitung widersprechen. Vellume betreibt sowieso kein Direktmarketing oder Werbeprofiling.

Wie lange wir aufbewahren

Solange dein Konto besteht, bleiben deine Daten zugänglich. Wenn du dein Konto löschst, wird alles innerhalb von 30 Tagen gelöscht (entspricht der Backup-Aufbewahrung der Datenbank).

Konversationen mit dem KI-Tutor werden nach 90 Tagen Inaktivität automatisch gelöscht — ein Kompromiss zwischen Komfort (alte Konversation wiederfinden) und Datenminimierung.

Cookies und Tracking

Vellume nutzt einen einzigen Cookie: das Better-Auth-Session-Cookie, strikt notwendig für deine Anmeldung. Kein Cookie-Banner, weil für strikt notwendige Cookies keine Einwilligung erforderlich ist.

Kein Google Analytics, kein Meta-Pixel, keine Drittanbieter-Tracker. Falls eines Tages Analytics dazukommt, dann selbst gehostetes Umami, anonymisiert, ohne Cookies.

Minderjährige Lernende

Die CFC-Lehre beginnt mehrheitlich mit 15-16 Jahren. Falls du minderjährig bist, erfordert die Nutzung von Vellume die Zustimmung deiner Eltern oder gesetzlichen Vertreter:innen. Mit der Kontoerstellung erklärst du, diese Zustimmung zu haben. Es werden keinerlei Daten unabhängig vom Alter zu kommerziellen Zwecken weitergegeben.

Änderungen dieser Erklärung

Wenn die Datenschutzerklärung geändert wird, ändert sich das Datum «Aktualisiert am» oben auf der Seite. Bei wesentlichen Änderungen (neue Datenkategorie, neuer Auftragsverarbeiter) werden aktive Nutzer per E-Mail benachrichtigt.

Kontakt

Bei Fragen zu deinen Daten schreib uns an contact@vellume.ch.

Siehe auch unsere Nutzungsbedingungen.