Privacy Policy

Wordifi · wordifi.com · admin@wordifi.com
AppsBrite UG (haftungsbeschränkt) · Version 3.0 · Effective Date: 7 May 2026

1. Who This Policy Applies To

Wordifi is intended for users aged 16 and over. We do not knowingly collect personal data from anyone under 16. If we become aware that a user is under 16, the account will be deleted promptly.

This Privacy Policy explains how AppsBrite UG (haftungsbeschränkt) ("Wordifi", "we", "us", or "our") collects, uses, stores, and shares your personal data when you use the Wordifi mobile application and any related services (the "Service").

It applies to all users worldwide and satisfies our disclosure obligations under:

• Regulation (EU) 2016/679 (General Data Protection Regulation — GDPR)
• UK GDPR and the UK Data Protection Act 2018
• The German Federal Data Protection Act (Bundesdatenschutzgesetz — BDSG)

2. Data Controller

The data controller responsible for your personal data is:

AppsBrite UG (haftungsbeschränkt)
Konstantinstraße 329, 41238 Mönchengladbach, Germany
Registered: HRB 19589, Amtsgericht Mönchengladbach
Managing Director: Arun Varma
Privacy contact: admin@wordifi.com
Website: wordifi.com

3. Personal Data We Collect

We collect the following categories of personal data:

Account and registration data

Email address, username, and password hash. If you sign in with Google, we also receive your full name and profile picture URL via Google OAuth.

Profile and progress data

Your target CEFR level (e.g. B1), exam type and date, daily study goal, learner style preference, question answers, test session scores, streak count, XP total, and readiness score.

Written language samples (Schreiben)

Full essay text and word count submitted in the Schreiben writing-practice feature. Stored in your account so you can review past submissions and track improvement.

Voice and audio data (Sprechen)

When you use the Sprechen live speaking-practice feature, your voice is streamed in real time to an AI voice processing service for the duration of the session only. Your audio is not recorded or stored by Wordifi. Only the text transcript of the conversation is returned and stored in your account. See Section 7 for full details.

Subscription and purchase data

Subscription tier, plan name, trial start and end dates, entitlement status, and platform order ID. Your payment card details are handled entirely by the app store platform and are never seen by Wordifi.

Device and technical data

Device model, operating system version, app version and build number, device locale, and an anonymous device identifier.

IP address

Your IP address is logged automatically by our backend infrastructure on every login and session restore as a standard security measure.

Usage and analytics data

Screen views, feature interactions, session duration, and app lifecycle events (open, background, foreground). Collected from the point of T&C acceptance — see Section 8.

Crash and error data

Stack traces, error context, app version, OS version, and device locale at the point of a crash or error. Only a pseudonymous account identifier is attached — your email address is never included in error reports.

Push notification tokens

A device-specific push notification token linked to your Wordifi account identifier (not your email). Collected when you grant notification permission.

Notification personalisation tags

Your CEFR level and subscription status are used to personalise push notification content. No name or email is used for this purpose.

Consent audit record

The date, time, and version of the Terms and Conditions and Privacy Policy you accepted. This record is retained for the life of your account plus 5 years for legal compliance purposes. See Section 4.3.

Support correspondence

Email content and issue descriptions when you contact us at admin@wordifi.com.

We do not collect payment card details. We do not build voice profiles or use audio for identification. We do not collect special categories of personal data (health, religion, political opinions, etc.). We do not use session recording or screen replay tools.

4. How We Use Your Data and Our Legal Bases

We must have a lawful basis for each processing activity under GDPR Art. 6. Our bases are:

4.1 Performance of Contract (Art. 6(1)(b) GDPR)

We rely on contract performance to: create and manage your account; deliver lessons, tests, and progress tracking; process your subscription; send transactional emails; evaluate your Sprechen voice sessions and Schreiben written responses via AI to provide feedback; and respond to support enquiries.

4.2 Legitimate Interests (Art. 6(1)(f) GDPR)

We rely on legitimate interests to: monitor app stability and fix crashes via our crash reporting service; and conduct pseudonymised product analytics to understand how the Service is used and improve it. We have balanced each of these interests against your rights and concluded they do not override your fundamental rights and freedoms.

4.3 Consent (Art. 6(1)(a) GDPR)

We rely on your consent to send push notifications. You provide consent by accepting the OS-level notification permission prompt during onboarding. You may withdraw this at any time in your device settings or within the app — this does not affect your access to the Service.

We also record the date, time, and version of the Terms and Conditions and Privacy Policy you accepted, as required by GDPR Art. 7(1) to demonstrate that consent was given. This record is retained for the life of your account plus 5 years.

4.4 Legal Obligation (Art. 6(1)(c) GDPR)

We retain transaction and subscription records for 10 years as required by German commercial and tax law (HGB / AO).

5. Categories of Third-Party Service Providers

We engage third-party service providers (sub-processors) to operate the Service. In accordance with GDPR Art. 13(1)(e), we disclose the categories of recipients and the nature of data shared with each. All sub-processors are bound by Data Processing Agreements with appropriate safeguards for international transfers.

You may request full details of our sub-processor arrangements, including the specific providers used and copies of applicable Data Processing Agreements, by contacting us at admin@wordifi.com.

Category 1 — Cloud Database and Backend Infrastructure

• What it does: Stores and manages all account data, progress, test results, essays, transcripts, and subscription records. Also handles user authentication, email confirmation, and password reset emails.
• Data received: Email address, username, password hash, CEFR level, exam data, question answers, scores, essay text, transcripts, subscription status, IP address (security logging), push notification token.
• Server location: European Union
• Transfer safeguard: No transfer outside EEA — EU-based infrastructure
• Legal basis: Art. 6(1)(b) GDPR — Performance of contract

Category 2 — Crash Reporting and Error Monitoring

• What it does: Captures application crashes and error stack traces to enable bug fixes and maintain app stability.
• Data received: Pseudonymous account identifier (not email), device OS, app version, device locale, error stack trace.
• Server location: European Union (Germany)
• Transfer safeguard: No transfer outside EEA — EU-based infrastructure
• Legal basis: Art. 6(1)(f) GDPR — Legitimate interest (app stability)

Category 3 — Product Analytics

• What it does: Tracks pseudonymised in-app behaviour (screen views, feature usage, session length, conversion events) to understand how the product is used and improve it. Analytics initialises only after you have accepted our Terms and Conditions.
• Data received: Pseudonymous account identifier, CEFR level, subscription status, app interaction events, app version.
• Server location: European Union
• Transfer safeguard: No transfer outside EEA — EU-based infrastructure
• Legal basis: Art. 6(1)(f) GDPR — Legitimate interest (product improvement)

Category 4 — Subscription and Payment Processing

• What it does: Manages in-app subscription entitlements and purchase verification. Confirms what plan you are on and whether it is active. Your payment card details are handled entirely by the app store platform — this provider never sees them.
• Data received: Pseudonymous account identifier (not email or name), product purchased, purchase and expiry dates, entitlement status, platform order ID.
• Server location: United States
• Transfer safeguard: Standard Contractual Clauses (EU SCCs 2021 edition) / EU-US Data Privacy Framework where applicable; UK IDTA where applicable
• Legal basis: Art. 6(1)(b) GDPR — Performance of contract

Category 5 — Push Notification Delivery

• What it does: Delivers push notifications to your device, including practice reminders, streak alerts, and exam countdown notices.
• Data received: Device push notification token, pseudonymous account identifier, CEFR level tag, subscription status tag. No name or email address.
• Server location: United States
• Transfer safeguard: Standard Contractual Clauses (EU SCCs 2021 edition) / EU-US Data Privacy Framework where applicable; UK IDTA where applicable
• Legal basis: Art. 6(1)(a) GDPR — Consent (notification permission)

Category 6 — AI Voice Processing

• What it does: Powers the Sprechen live speaking-practice feature. Your voice is streamed in real time via WebRTC for the duration of your session only. Audio is not recorded or stored. The AI service processes your speech to generate conversational responses and returns a text transcript. Under our API agreement, audio is not used to train AI models.
• Data received: Live voice audio stream (duration of session only — not stored). Conversation context (exam prompt text). Text transcript returned to Wordifi servers.
• Server location: United States
• Transfer safeguard: Standard Contractual Clauses (EU SCCs 2021 edition) / EU-US Data Privacy Framework where applicable; UK IDTA where applicable
• Legal basis: Art. 6(1)(b) GDPR — Performance of contract (Sprechen feature)

Category 7 — Static Web Hosting and Authentication Redirect

• What it does: Hosts the email confirmation and password reset landing pages that handle authentication deep links. Your IP address is transmitted as a standard side-effect of the HTTPS request.
• Data received: IP address (side-effect only). Authentication token embedded in URL.
• Server location: United States (CDN)
• Transfer safeguard: Standard Contractual Clauses (EU SCCs 2021 edition)
• Legal basis: Art. 6(1)(b) GDPR — Performance of contract (auth flow)

Category 8 — OAuth Identity Provider

• What it does: Enables sign-in with an existing Google account. If you choose Google Sign-In, we receive your name, email address, and profile picture URL from Google to create your Wordifi account.
• Data received: Full name, email address, profile picture URL (Google Sign-In users only).
• Server location: United States
• Transfer safeguard: Standard Contractual Clauses (EU SCCs 2021 edition) / EU-US Data Privacy Framework where applicable
• Legal basis: Art. 6(1)(b) GDPR — Performance of contract

6. International Data Transfers

Some of our sub-processors are located in the United States, which does not have a general EU adequacy decision for commercial data transfers. In each case, we rely on one or both of the following as the lawful transfer mechanism under GDPR Art. 46:

• Standard Contractual Clauses (SCCs) approved by the European Commission (Commission Implementing Decision (EU) 2021/914)
• The EU-US Data Privacy Framework (DPF), where the recipient is certified under that framework

For transfers involving UK personal data, we rely on the UK International Data Transfer Agreement (IDTA) or the UK Addendum to the EU SCCs, as appropriate.

Our primary database, authentication, crash reporting, and analytics infrastructure is hosted within the European Union and does not involve a transfer outside the EEA.

You may request a copy of the applicable SCCs or DPF certification by contacting admin@wordifi.com.

7. Voice and Audio Data — Sprechen Feature

When you use the Sprechen feature, your voice is processed in real time by an AI service. Please read this section before using Sprechen for the first time.

Before your first Sprechen session, you will see a one-time in-app notice explaining: "When you speak, your voice is processed by an AI service to assess your pronunciation and fluency. Transcripts and scores may be saved to your progress." By proceeding past this notice, you confirm your understanding.

In full detail:

• Your voice is captured only when you are actively in a Sprechen session and speaking
• Audio is streamed live in real time via WebRTC to an AI voice processing service for the duration of the session only
• Your audio is not recorded or stored by Wordifi at any point
• The AI service processes your speech to generate conversational responses. Under our service agreement, audio is not used to train AI models
• Audio is not retained by the AI provider beyond the duration of the processing call
• The text transcript of your conversation is returned to Wordifi and stored in your account to allow you to review sessions and track progress
• Data transfers to the AI voice provider are governed by Standard Contractual Clauses and/or the EU-US Data Privacy Framework

We do not process biometric data or build voice profiles for identification purposes.

You can disable microphone access for Wordifi at any time in your device settings (Settings > Apps > Wordifi > Permissions > Microphone). This prevents use of Sprechen but does not affect any other feature.

8. Product Analytics

We use a product analytics service to collect pseudonymised event data about how users interact with the app — for example, which features are used, how long sessions last, and whether users convert to paid subscribers. This helps us improve the Service.

The analytics service does not receive your name, email address, or any directly identifying information. It receives only a pseudonymous identifier, your CEFR level, subscription status, and interaction events.

Analytics data collection begins only after you have accepted our Terms and Conditions. Users who have not accepted the Terms and Conditions are not tracked.

If you wish to object to analytics data collection, please contact us at admin@wordifi.com. We will disable analytics processing for your account within 30 days of your request.

9. Push Notifications

With your permission, we send push notifications including practice reminders, streak alerts, exam countdown notices, and product updates. Notifications are delivered via a third-party push notification service whose servers are located in the United States.

Your push notification token and account identifier are shared with this service solely to deliver notifications. Your CEFR level and subscription status are used as tags to personalise notification content. Your name and email address are not shared.

You may withdraw consent and stop notifications at any time by:

• Going to your device Settings > Notifications > Wordifi and disabling notifications, or
• Toggling notifications off within the Wordifi app settings

Withdrawing consent does not affect your access to the app or any other feature.

10. Written Practice Data — Schreiben Feature

When you submit a written response in the Schreiben feature, your essay text is stored in your account on EU-based infrastructure. This allows you to review past submissions and track improvement over time.

Your written responses are assessed using automated processing — not human review. Your writing samples are not shared with any third party for training or commercial purposes. Fully anonymised, aggregated writing data (with no identifying information) may be used internally to improve our assessment accuracy.

11. Cookies and Local Storage

The Wordifi mobile app does not use browser cookies. We use local device storage (AsyncStorage) solely to maintain your login session, your T&C acceptance flag, and your app preferences. This data never leaves your device except as described in this Policy.

Our website (wordifi.com) uses cookies. These are governed by our separate Cookie Policy.

12. Data Retention

We retain personal data only as long as necessary for the purposes in this Policy or as required by law. Our retention periods are:

• Account and profile data: for the duration of your account, plus 30 days after a confirmed deletion request
• Transaction and subscription records: 10 years (German HGB / AO commercial and tax law)
• Conversation transcripts (Sprechen): until account deletion; purged within 30 days of deletion
• Written responses (Schreiben): until account deletion; purged within 30 days of deletion
• Crash and error logs: 90 days
• Analytics events: up to 7 years in accordance with our analytics provider's standard retention policy
• Voice and audio data: not retained — deleted immediately after the AI processing response is returned
• Push notification tokens: until you revoke notification permission or delete your account
• T&C and Privacy Policy consent records: life of account plus 5 years
• Support emails: 3 years from last correspondence
• Database backups: rolling 7-day backup window; purged 7 days after account deletion

To request account deletion, visit wordifi.com/delete-account or email admin@wordifi.com with the subject "Account Deletion Request". Deletion is completed within 30 days.

13. Your Rights Under GDPR and UK GDPR

To exercise any of the rights below, email admin@wordifi.com with the subject "Privacy Request — [Your Name]". We will respond within 30 days (extendable to 3 months for complex requests, with notice).

Right of Access (Art. 15 GDPR)

Obtain a copy of all personal data we hold about you, together with information about how we process it.

Right to Rectification (Art. 16 GDPR)

Request correction of inaccurate or incomplete personal data.

Right to Erasure (Art. 17 GDPR)

Request deletion of your data where it is no longer necessary, or where you have withdrawn consent and no other lawful basis applies. Some data may be retained for legal compliance (e.g. transaction records).

Right to Restriction of Processing (Art. 18 GDPR)

Ask us to pause processing while a dispute about accuracy or lawfulness is resolved.

Right to Data Portability (Art. 20 GDPR)

Receive your personal data in a structured, machine-readable format (e.g. JSON). Request a data export by emailing admin@wordifi.com; we will provide it within 30 days.

Right to Object (Art. 21 GDPR)

Where we process your data on the basis of legitimate interests (such as analytics and crash reporting), you have the right to object. To do so, contact admin@wordifi.com and we will disable analytics and crash reporting for your account within 30 days.

Right to Withdraw Consent

Where processing is based on consent (e.g. push notifications), withdraw at any time without affecting the lawfulness of prior processing.

Right to Lodge a Complaint

You have the right to complain to the competent supervisory authority. For our operations in Germany:

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153, 53117 Bonn, Germany
Tel: +49 228 997799-0
Email: poststelle@bfdi.bund.de
Website: https://www.bfdi.bund.de

UK-based users may also contact the Information Commissioner's Office (ICO) at https://ico.org.uk.

14. Children and Age Restriction

Wordifi is not directed at children under the age of 16. Under EU GDPR Art. 8, the minimum age for consent-based digital services is 16 in Germany and most EU member states. We apply this threshold across all markets.

We do not knowingly collect personal data from anyone under 16. If you are a parent or guardian and believe your child has provided us with personal data, please contact us at admin@wordifi.com. We will delete that data promptly on verification.

15. Data Security

We implement appropriate technical and organisational measures to protect your personal data, including:

• All data in transit is encrypted using TLS 1.2 or higher
• Database data at rest is encrypted (AES-256)
• Passwords are hashed using industry-standard algorithms (bcrypt)
• Email addresses are excluded from crash and error reports
• Access to production systems is restricted to authorised personnel only

No method of transmission over the internet is completely secure. While we apply commercially reasonable measures, we cannot guarantee absolute security.

16. Changes to This Policy

When we make material changes to this Policy, we will:

• Display a notice within the Wordifi app before the change takes effect, and
• Update the version number and effective date at the top of this document

Continued use of Wordifi after the effective date constitutes acceptance of the revised Policy. Where we introduce new types of data collection or change the legal basis for processing, we will seek fresh consent where required by law.

17. Contact Us

For any privacy-related questions, requests, or complaints:

• Email: admin@wordifi.com
• Subject: Privacy Request — [Your Name]
• Response time: within 30 days
• Supervisory authority: BfDI — www.bfdi.bund.de
• UK supervisory authority: ICO — ico.org.uk

Deutsch — Datenschutzerklärung

Wordifi · wordifi.com · admin@wordifi.com
AppsBrite UG (haftungsbeschränkt) · Version 3.0 · Stand: 7. Mai 2026

1. Für wen gilt diese Erklärung?

Wordifi richtet sich an Nutzerinnen und Nutzer ab 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren. Wenn wir feststellen, dass ein Nutzer unter 16 Jahre alt ist, wird das Konto unverzüglich gelöscht.

Diese Datenschutzerklärung erläutert, wie AppsBrite UG (haftungsbeschränkt) ("Wordifi", "wir", "uns") personenbezogene Daten erhebt, verwendet, speichert und weitergibt, wenn Sie die Wordifi-Mobilanwendung und zugehörige Dienste (das "Angebot") nutzen.

Sie gilt für alle Nutzerinnen und Nutzer weltweit und erfüllt unsere Offenlegungspflichten gemäß:

• Verordnung (EU) 2016/679 (DSGVO)
• UK DSGVO und UK Data Protection Act 2018
• Bundesdatenschutzgesetz (BDSG)

2. Verantwortlicher

Verantwortlicher für Ihre personenbezogenen Daten:

AppsBrite UG (haftungsbeschränkt)
Konstantinstraße 329, 41238 Mönchengladbach, Deutschland
HRB 19589, Amtsgericht Mönchengladbach
Geschäftsführer: Arun Varma
Datenschutzkontakt: admin@wordifi.com
Website: wordifi.com

3. Erhobene personenbezogene Daten

Wir erheben folgende Datenkategorien:

• Konto- und Registrierungsdaten: E-Mail-Adresse, Nutzername, Passwort-Hash. Bei Google-Anmeldung erhalten wir zusätzlich Ihren vollständigen Namen und die URL Ihres Profilbilds.
• Profil- und Fortschrittsdaten: CEFR-Niveau, Prüfungstyp und -datum, tägliches Lernziel, Lernstilpräferenz, Frageantworten, Testergebnisse, Streak-Zähler, XP und Vorbereitungsstand.
• Schriftliche Sprachproben (Schreiben): Vollständiger Aufsatztext und Wortzahl aus der Schreiben-Funktion. In Ihrem Konto gespeichert zur Verlaufsverfolgung.
• Sprach- und Audiodaten (Sprechen): Bei der Sprechen-Funktion wird Ihre Stimme in Echtzeit an einen KI-Dienst gestreamt. Audio wird von Wordifi nicht gespeichert. Nur das Texttranskript wird in Ihrem Konto gespeichert. Einzelheiten in Abschnitt 7.
• Abonnement- und Kaufdaten: Abonnementstufe, Planname, Test- und Ablaufdaten, Berechtigungsstatus, Plattform-Bestellnummer. Zahlungskartendaten verbleiben beim App-Store-Anbieter.
• Geräte- und technische Daten: Gerätemodell, Betriebssystemversion, App-Version, Geräte-Locale, anonyme Geräte-ID.
• IP-Adresse: Wird bei jeder Anmeldung und Sitzungswiederherstellung automatisch von unserer Backend-Infrastruktur als Sicherheitsmaßnahme protokolliert.
• Nutzungs- und Analysedaten: Bildschirmaufrufe, Funktionsinteraktionen, Sitzungsdauer und App-Lebenszyklusereignisse. Erhoben ab dem Zeitpunkt der T&C-Akzeptanz — siehe Abschnitt 8.
• Absturz- und Fehlerdaten: Stack-Traces, Fehlerkontext, App-Version und Betriebssystem beim Absturz. Nur eine pseudonyme Konto-ID wird angehängt — Ihre E-Mail-Adresse wird nie in Fehlerberichten übermittelt.
• Push-Benachrichtigungstoken: Gerätespezifischer Push-Token, verknüpft mit Ihrer Konto-ID (nicht Ihrer E-Mail). Erhoben bei Erteilung der Benachrichtigungsberechtigung.
• Personalisierungs-Tags: CEFR-Niveau und Abonnementstatus für personalisierte Benachrichtigungen. Kein Name, keine E-Mail.
• Einwilligungsnachweis: Datum, Uhrzeit und Version der akzeptierten Nutzungsbedingungen und Datenschutzerklärung. Aufbewahrt für die Kontolaufzeit plus 5 Jahre. Siehe Abschnitt 4.3.
• Support-Korrespondenz: E-Mail-Inhalte bei Kontaktaufnahme unter admin@wordifi.com.

Wir erheben keine Zahlungskartendaten, erstellen keine Stimmprofile, verarbeiten keine besonderen Datenkategorien und verwenden keine Sitzungsaufzeichnungs- oder Screen-Replay-Tools.

4. Verwendung Ihrer Daten und Rechtsgrundlagen

Gemäß Art. 6 DSGVO benötigen wir für jede Verarbeitungstätigkeit eine Rechtsgrundlage:

4.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Kontoverwaltung; Bereitstellung von Lektionen, Tests und Fortschrittsverfolgung; Abonnementabwicklung; transaktionale E-Mails; KI-gestützte Auswertung von Sprechen- und Schreiben-Antworten; Support-Bearbeitung.

4.2 Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): App-Stabilitätsmonitoring und Fehlerbehebung via Absturzberichterstattung; pseudonymisierte Produktanalyse zur Verbesserung des Angebots. Wir haben diese Interessen gegen Ihre Rechte abgewogen.

4.3 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Push-Benachrichtigungen via Betriebssystem-Erlaubnisabfrage. Widerruf jederzeit möglich ohne Beeinträchtigung des Zugangs. Wir erfassen außerdem Datum, Uhrzeit und Version der akzeptierten Nutzungsbedingungen und Datenschutzerklärung gemäß Art. 7 Abs. 1 DSGVO. Diese Aufzeichnung wird für die Kontolaufzeit plus 5 Jahre aufbewahrt.

4.4 Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Transaktions- und Abonnementunterlagen: 10 Jahre gemäß HGB / AO.

5. Kategorien von Auftragsverarbeitern

Wir setzen Auftragsverarbeiter ein, die personenbezogene Daten in unserem Auftrag verarbeiten. Gemäß Art. 13 Abs. 1 lit. e DSGVO legen wir die Kategorien der Empfänger und die Art der weitergegebenen Daten offen. Alle Auftragsverarbeiter sind durch AVV mit geeigneten Garantien für internationale Datenübermittlungen gebunden.

Auf Anfrage stellen wir vollständige Angaben zu unseren Auftragsverarbeitern sowie Kopien relevanter AVV zur Verfügung: admin@wordifi.com.

• Kategorie 1 — Cloud-Datenbank und Backend-Infrastruktur (EU; Art. 6 Abs. 1 lit. b DSGVO)
• Kategorie 2 — Absturzberichterstattung und Fehlermonitoring (EU/Deutschland; Art. 6 Abs. 1 lit. f DSGVO)
• Kategorie 3 — Produktanalyse (EU; Art. 6 Abs. 1 lit. f DSGVO; pseudonymisiert; Start nach T&C-Akzeptanz)
• Kategorie 4 — Abonnement- und Zahlungsabwicklung (USA; SCC 2021 / EU-US DPF; Art. 6 Abs. 1 lit. b DSGVO)
• Kategorie 5 — Push-Benachrichtigungsdienst (USA; SCC 2021 / EU-US DPF; Art. 6 Abs. 1 lit. a DSGVO)
• Kategorie 6 — KI-Sprachverarbeitung (USA; SCC 2021 / EU-US DPF; Art. 6 Abs. 1 lit. b DSGVO; Audio nicht gespeichert, kein KI-Training)
• Kategorie 7 — Statisches Web-Hosting und Auth-Weiterleitung (USA-CDN; SCC 2021; Art. 6 Abs. 1 lit. b DSGVO)
• Kategorie 8 — OAuth-Identitätsanbieter (Google Sign-In) (USA; SCC 2021 / EU-US DPF; Art. 6 Abs. 1 lit. b DSGVO)

Detaillierte Beschreibungen der einzelnen Kategorien finden Sie in der englischen Fassung oben. Bei Fragen wenden Sie sich an admin@wordifi.com.

6. Internationale Datenübermittlungen

Einige Auftragsverarbeiter haben ihren Sitz in den USA, für die kein allgemeiner EU-Angemessenheitsbeschluss besteht. Wir stützen uns auf:

• Standardvertragsklauseln (SCC) der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/914)
• Das EU-US Data Privacy Framework (DPF), soweit der Empfänger zertifiziert ist

Für Übermittlungen britischer personenbezogener Daten stützen wir uns auf das UK IDTA oder den UK-Zusatz zu den EU-SCC. Unsere primäre Datenbank-, Authentifizierungs-, Absturzmeldungs- und Analyseinfrastruktur befindet sich innerhalb der EU und unterliegt keiner Drittlandsübermittlung. Kopien der SCC oder DPF-Zertifizierung auf Anfrage unter admin@wordifi.com.

7. Sprach- und Audiodaten — Sprechen-Funktion

Bei der Sprechen-Funktion wird Ihre Stimme in Echtzeit von einem KI-Dienst verarbeitet. Bitte lesen Sie diesen Abschnitt vor Ihrer ersten Sprechen-Sitzung.

Vor Ihrer ersten Sprechen-Sitzung erscheint ein einmaliger In-App-Hinweis: "Wenn Sie sprechen, wird Ihre Stimme von einem KI-Dienst verarbeitet, um Aussprache und Sprachfluss zu bewerten. Transkripte und Ergebnisse werden in Ihrem Fortschritt gespeichert." Durch Fortfahren bestätigen Sie Ihr Verständnis.

• Ihre Stimme wird nur während aktiver Sprechen-Sitzungen erfasst
• Audio wird per WebRTC live an einen KI-Sprachverarbeitungsdienst gestreamt — nur für die Sitzungsdauer
• Ihre Audioaufnahmen werden von Wordifi zu keinem Zeitpunkt gespeichert
• Gemäß unserer Dienstleistungsvereinbarung werden Audiodaten nicht für KI-Training verwendet
• Audio wird vom KI-Anbieter nicht über die Verarbeitungsdauer hinaus gespeichert
• Das Texttranskript wird an Wordifi zurückgegeben und in Ihrem Konto gespeichert
• Datenübermittlungen erfolgen auf Grundlage von SCC und/oder EU-US DPF

Wir verarbeiten keine biometrischen Daten und erstellen keine Stimmprofile zur Identifizierung. Mikrofonzugriff deaktivierbar unter: Einstellungen > Apps > Wordifi > Berechtigungen > Mikrofon.

8. Produktanalyse

Wir nutzen einen Produktanalysedienst, um pseudonymisierte Ereignisdaten über die App-Nutzung zu erheben. Der Dienst erhält keinen Namen, keine E-Mail-Adresse oder andere direkt identifizierende Informationen.

Die Analysedatenerhebung beginnt erst nach Ihrer Akzeptanz der Nutzungsbedingungen. Nutzerinnen und Nutzer, die die Nutzungsbedingungen nicht akzeptiert haben, werden nicht verfolgt.

Um der Analysedatenerhebung zu widersprechen, wenden Sie sich an admin@wordifi.com. Wir deaktivieren die Analyse für Ihr Konto innerhalb von 30 Tagen.

9. Push-Benachrichtigungen

Mit Ihrer Erlaubnis senden wir Push-Benachrichtigungen als Übungserinnerungen, Streak-Warnungen, Prüfungscountdowns und Produktneuigkeiten. Die Zustellung erfolgt über einen Drittanbieter mit Servern in den USA.

Ihr Push-Token und Ihre Konto-ID werden ausschließlich für die Benachrichtigungszustellung geteilt. CEFR-Niveau und Abonnementstatus dienen der Personalisierung. Name und E-Mail werden nicht geteilt.

• Geräteeinstellungen > Benachrichtigungen > Wordifi deaktivieren, oder
• Benachrichtigungen in den Wordifi-App-Einstellungen deaktivieren

10. Schriftliche Übungsdaten — Schreiben-Funktion

Aufsatztexte werden in Ihrem Konto auf EU-basierter Infrastruktur gespeichert. Automatisierte KI-Auswertung — keine menschliche Prüfung. Keine Weitergabe an Dritte für Training oder kommerzielle Zwecke. Vollständig anonymisierte, aggregierte Schreibdaten können intern zur Verbesserung unserer Bewertungsmodelle verwendet werden.

11. Cookies und lokaler Speicher

Die Wordifi-App verwendet keine Browser-Cookies. Lokaler Gerätespeicher (AsyncStorage) wird ausschließlich für Login-Sitzung, T&C-Akzeptanzstatus und App-Einstellungen genutzt.

Unsere Website (wordifi.com) verwendet Cookies gemäß der gesonderten Cookie-Richtlinie.

12. Speicherdauer

• Konto- und Profildaten: Kontolaufzeit plus 30 Tage nach bestätigtem Löschantrag
• Transaktions- und Abonnementunterlagen: 10 Jahre (HGB / AO)
• Gesprächstranskripte (Sprechen): bis Kontolöschung; Bereinigung innerhalb 30 Tagen
• Schriftliche Antworten (Schreiben): bis Kontolöschung; Bereinigung innerhalb 30 Tagen
• Absturz- und Fehlerprotokolle: 90 Tage
• Analyseereignisse: bis zu 7 Jahre gemäß Standard-Aufbewahrungsrichtlinie des Anbieters
• Sprach- / Audiodaten: nicht gespeichert — sofortige Löschung nach KI-Antwort
• Push-Benachrichtigungstoken: bis Widerruf oder Kontolöschung
• T&C- und Datenschutz-Einwilligungsnachweise: Kontolaufzeit plus 5 Jahre
• Support-E-Mails: 3 Jahre ab letztem Kontakt
• Datenbank-Backups: rollierendes 7-Tage-Fenster; Löschung 7 Tage nach Kontolöschung

Löschanträge unter wordifi.com/delete-account oder per E-Mail an admin@wordifi.com (Betreff: "Account Deletion Request"). Löschung innerhalb von 30 Tagen.

13. Ihre Rechte gemäß DSGVO und UK DSGVO

Zur Ausübung Ihrer Rechte: admin@wordifi.com (Betreff: "Privacy Request — [Ihr Name]"). Antwort innerhalb von 30 Tagen (bei komplexen Anfragen verlängerbar auf 3 Monate).

• Auskunftsrecht (Art. 15 DSGVO): Kopie aller gespeicherten Daten sowie Verarbeitungsinformationen.
• Recht auf Berichtigung (Art. 16 DSGVO): Berichtigung unrichtiger oder unvollständiger Daten.
• Recht auf Löschung (Art. 17 DSGVO): Löschung Ihrer Daten, sofern keine Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung während einer Streitigkeit.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Datenexport in maschinenlesbarem Format (z. B. JSON) — Anfrage per E-Mail; Bereitstellung innerhalb 30 Tagen.
• Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen (z. B. Analyse, Absturzberichte). Wir deaktivieren die Verarbeitung innerhalb von 30 Tagen.
• Widerruf der Einwilligung: Jederzeit widerrufbar ohne Auswirkung auf die Rechtmäßigkeit bisheriger Verarbeitung.

Beschwerderecht — zuständige Aufsichtsbehörde:

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153, 53117 Bonn, Deutschland
Tel: +49 228 997799-0
E-Mail: poststelle@bfdi.bund.de
Website: https://www.bfdi.bund.de

Nutzerinnen und Nutzer im Vereinigten Königreich können sich außerdem an das ICO wenden: https://ico.org.uk.

14. Datenschutz für Minderjährige

Wordifi richtet sich nicht an Personen unter 16 Jahren. Gemäß Art. 8 DSGVO gilt in Deutschland und den meisten EU-Mitgliedstaaten ein Mindestalter von 16 Jahren. Wir wenden diese Grenze weltweit an.

Falls Sie vermuten, dass ein Kind unter 16 Daten übermittelt hat: admin@wordifi.com. Löschung nach Bestätigung unverzüglich.

15. Datensicherheit

• Datenverschlüsselung bei Übertragung: TLS 1.2 oder höher
• Datenbankdaten im Ruhezustand: AES-256-Verschlüsselung
• Passwörter: bcrypt-Hashing
• E-Mail-Adressen ausgeschlossen aus Absturz- und Fehlerberichten
• Zugang zu Produktionssystemen: beschränkt auf autorisiertes Personal

Kein Übertragungsweg ist vollständig sicher. Wir bemühen uns um angemessenen Schutz, können jedoch keine absolute Sicherheit garantieren.

16. Änderungen dieser Erklärung

• In-App-Hinweis vor Inkrafttreten wesentlicher Änderungen
• Aktualisierung von Versionsnummer und Datum oben in diesem Dokument

Fortgesetzte Nutzung nach Inkrafttreten gilt als Zustimmung. Bei neuen Datenerhebungen oder Änderung der Rechtsgrundlage holen wir erneut Einwilligungen ein.

17. Kontakt

• E-Mail: admin@wordifi.com
• Betreff: Privacy Request — [Ihr Name]
• Antwortzeit: innerhalb von 30 Tagen
• Aufsichtsbehörde: BfDI — www.bfdi.bund.de
• UK-Aufsichtsbehörde: ICO — ico.org.uk

Wordifi · AppsBrite UG (haftungsbeschränkt) · wordifi.com · admin@wordifi.com · v3.0