Discovery & Geschäftsanalyse
User Stories, BPMN-Geschäftsprozessdiagramme, Anforderungsspezifikation (SRS), Rollen-Berechtigungs-Matrix, Inhaltsschutzmodell, DSGVO-Konformitätsmapping.
Fallstudie · EdTech · Online-Lernen
Wie wir eine produktionsreife Online-Lernplattform auf Laravel und React entwickelt haben — mit drei rollenbasierten Workspaces, Kohorten- und selbstbestimmten Kursen, Zertifikaten, InfoProtector-Inhaltsschutz und einer Creator-Auszahlungs-Engine. Entwickelt für Dozenten und Kursanbieter im DACH-Raum und der EU unter DSGVO-Anforderungen.
Anfang 2020 benötigte der Auftraggeber — ein Anbieter von Fernlerndienstleistungen — eine dedizierte Plattform für die vollständige Durchführung strukturierter Kurse, kein weiterer improvisierten Zoom-plus-Google-Docs-Workflow. Die Verlagerung zum Remote-Arbeiten im DACH-Raum und der gesamten EU vergrößerte den Markt schlagartig, doch die verfügbaren LMS-Lösungen waren entweder zu starr (Moodle, Canvas) oder zu eigenwillig beim Pricing (Teachable, Thinkific) für einen Betreiber mit eigenem Kurskatalog und eigener Preisgestaltung. Wir haben CourseMaker auf Basis einer frischen Geschäftsprozessanalyse entwickelt: drei Rollen, isolierte Workspaces, Kohorten- und selbstbestimmte Kursabwicklung, integrierte Zertifikate, Inhaltsschutz und Creator-Auszahlungen — alles auf einem einzigen Laravel + React-Stack mit PostgreSQL als System of Record.
Ein Überblick über die Ergebnisse des CourseMaker-Projekts über Web, Mobile und Back-Office-Systeme im ersten Produktionszyklus.

Die Plattform bedient drei grundlegend unterschiedliche Zielgruppen aus einer einzigen Codebasis: Lernende, die Kurse belegen, Dozenten, die sie erstellen und bewerten, sowie Kursanbieter (unabhängige Coaches, Business-Trainer und kleine EdTech-Betreiber im DACH-Raum), die den Katalog als Geschäft betreiben. Jede Rolle erhält einen dedizierten Workspace in React mit isolierter Navigation, rollenbasierten Daten und Berechtigungsprüfungen, die auf der Laravel-API-Schicht statt in der UI durchgesetzt werden.
Die Rollentrennung ist nicht nur UX — sie ist eine Datenmodellentscheidung. Ein einzelnes Benutzerkonto kann mehrere Rollengenehmigungen haben (ein Dozent kann auch Lernender in einem fremden Kurs sein), und Berechtigungen werden pro Kurs, pro Rolle und pro Sitzung aufgelöst. Dies ist dasselbe Muster, das wir in unserer individuellen Softwareentwicklung anwenden, wenn ein Produkt von einem einzelnen SaaS-Mandanten zu einem Marktplatz unabhängiger Betreiber in Deutschland, Österreich, der Schweiz und der EU skalieren muss.

Das Lernenden-Dashboard bündelt die gesamte Lernreise auf einem Bildschirm: eingeschriebene Kurse mit Fortschrittsbalken, bevorstehende Live-Sitzungen, bewertete Aufgaben und erworbene Zertifikate. Kohortenbasierte Kurse führen Lernende im Gleichschritt mit der Gruppe; selbstbestimmte Kurse schalten die nächste Lektion frei, sobald die vorherige abgeschlossen ist. Dieselbe Dashboard-Komponente rendert auf Desktop und Mobile über responsive React-Layouts — ein Lernender, der eine Lektion in der Mittagspause beginnt, kann sie abends in der Bahn fertigstellen, ohne eine separate Mobile-App installieren zu müssen.
Die Fortschrittsverfolgung ist event-sourced — jede Lektionsansicht, jeder Quizversuch und jede Aufgabeneinreichung ist ein diskretes Ereignis in PostgreSQL, das der Plattform ermöglicht, Abschlussprozentzahlen neu zu berechnen, Zertifikate zu generieren und die Empfehlungsmaschine ohne Neuaufbau des Zustands zu speisen. Zertifikate werden serverseitig als PDFs generiert und dem Benutzer zugeordnet, dann als öffentlicher Verifizierungslink mit eindeutigem Hash teilbar. Dies ist dasselbe Engineering-Muster, das wir in unseren Webanwendungsentwicklungs-Projekten verwenden, wo Prüfpfade und Inhaltsschutz nicht verhandelbar sind.

Online-Lernen steht und fällt mit dem Inhaltsschutz. CourseMaker integriert InfoProtector auf der Asset-Schicht: Kursvideos und herunterladbare PDFs werden über einen token-gesicherten Proxy bereitgestellt, der die Session-ID des Benutzers in den Stream einbettet, Rechtsklick und Bildschirmaufzeichnung auf unterstützten Browsern sperrt und den Zugang widerruft, sobald ein Abonnement abläuft. Dozenten behalten die Hoheit über ihre Kurse, Kursanbieter behalten ihre Marge, und Lernende erhalten ein sauberes Wiedergabeerlebnis ohne DRM-Unterbrechungen.
Zertifikate sind erstklassige Objekte. Wenn ein Lernender einen Kurs abschließt, generiert die Plattform ein signiertes PDF mit dem Namen des Dozenten, dem Kurstitel, dem Abschlussdatum und einer öffentlichen Verifizierungs-URL. Personalvermittler und Einstellungsmanager in Deutschland, Österreich, der Schweiz und der gesamten EU können die Qualifikation ohne Konto prüfen, und Dozenten können ein Zertifikat widerrufen (z.B. bei Plagiatsprüfung), was die öffentliche Verifizierungsseite in einen klaren Status „widerrufen“ wechselt. Der Verifizierungsendpunkt ist am Edge gecacht und auf derselben Laravel-API aufgebaut wie der Rest der Plattform.
Die Compliance-Ausrichtung ist von Anfang an eingebaut. Die Datenverarbeitungspraktiken sind auf die Anforderungen der DSGVO für Nutzer in der Europäischen Union sowie auf den CCPA / CPRA für Nutzer in Kalifornien abgestimmt. Für deutschsprachige Unternehmen bieten wir zusätzlich Orientierung am BSI Grundschutz.

CourseMaker ist eine zweiseitige Plattform: Lernende bezahlen für Kurse, und ein Anteil jeder Transaktion fließt an den Dozenten zurück, der sie erstellt hat. Die Monetarisierungsschicht verarbeitet drei Flows parallel — einmalige Kurskäufe per Karte, Bündel-Abonnements über mehrere Kurse und Dozenten-Auszahlungen auf das hinterlegte Bankkonto. Kartenzahlungen laufen über einen sicheren Prozessor; Quittungen für Lernende und Auszahlungsnachweise für Dozenten werden automatisch per E-Mail versandt und zur Prüfung gegen den Benutzerdatensatz archiviert.
Kursanbieter können Preisstaffelungen pro Kurs konfigurieren, Einführungsrabatte festlegen und Gutscheincodes für Marketingkampagnen einsetzen. Der Auszahlungsrechner läuft als nächtlicher Laravel-Job, fasst Einnahmen pro Dozent aus den Transaktionen des Vortages zusammen, zieht Plattformgebühren ab und stellt Banktransfers für das Betriebsteam zur Freigabe in eine Warteschlange. Dasselbe Subsystem betreibt die Analyse-Dashboards, die der Anbieter nutzt, um Kurseinnahmen, Rückgabequoten und Lifetime-Value je Dozent für Zielgruppen in Deutschland, Österreich, der Schweiz und der EU zu verfolgen.
Compliance-Status: DSGVO-konform · ISO 27001 bereit · SOC 2 Type II in Bearbeitung · HIPAA-fähig · CCPA-anerkannt.
Ein fünfphasiger Aufbau, der CourseMaker von der Produktspezifikation bis zur Produktion über Web, mobile-responsive Layouts und ein administratives Content-Management-Panel geführt hat.
User Stories, BPMN-Geschäftsprozessdiagramme, Anforderungsspezifikation (SRS), Rollen-Berechtigungs-Matrix, Inhaltsschutzmodell, DSGVO-Konformitätsmapping.
Laravel-API-Gerüst, PostgreSQL-Schema mit event-sourced Fortschrittsverfolgung, rollenbasierte Berechtigungen, Zertifikate-Engine, Auszahlungsrechner-Job.
Drei rollenbasierte React-Workspaces (Lernende, Dozenten, Kursanbieter), responsive Layouts, Kohorten- und selbstbestimmte Kursflows, Zertifikate und Verifizierungsseiten.
InfoProtector-Integration, token-gesicherter Asset-Proxy, Kartenzahlungen, Abonnement-Stufen, Dozenten-Auszahlungen, Kursanbieter-Analyse-Dashboards.
Produktions-Rollout, Content-Onboarding-Choreografie für die erste Dozentengruppe, zentralisierte Support-Übergabe, DSGVO-Compliance-Dokumentation.
Hinter den drei lernendenseitigen Workspaces befindet sich eine Operations-Konsole, die das Support-Team zur täglichen Aufrechterhaltung der Plattform nutzt. Rückerstattungsanträge, Zahlungsstreitigkeiten, Zertifikatswiderrufe und Dozenten-Onboarding laufen alle über eine einzige Warteschlange mit vollständigem Prüfprotokoll. Die Konsole läuft auf derselben Laravel-API wie der Rest der Plattform, mit einem berechtigungsgestaffelten React-Frontend, das dem First-Line-Support die Bearbeitung von Routinefällen ermöglicht, während Grundsatzentscheidungen an den Kursanbieter eskaliert werden. Jede Aktion wird in ein append-only Prüfprotokoll geschrieben — das bedeutet, dass eine DSGVO-Auskunftsanfrage eines Lernenden in Deutschland oder Österreich mit einem einzigen Export gegen den Ereignisstrom des Benutzers beantwortet werden kann. Dasselbe Muster überträgt sich in unsere Cloud & DevOps-Praxis, wenn Prüfbereitschaft Teil der Due Diligence des Käufers ist und kein Launch-Tag-Surprise sein soll.
CourseMaker startete als responsive Webplattform ohne separate native Apps, was die Angriffsoberfläche klein hielt und die Time-to-Market unter einem Jahr. Die Plattform bedient Lernende in Deutschland, Österreich, der Schweiz sowie in den Niederlanden, Frankreich, Irland und Schweden ohne separate Codebasis pro Region. Einwilligungsflows sind regionsbewusst auf Client-Seite: Lernende in der EU und dem EWR erhalten einen DSGVO-konformen granularen Einwilligungsbildschirm mit separaten Schaltern für optionale Produktanalysen. Die Datenverarbeitungspraktiken sind auf die DSGVO für europäische Nutzer abgestimmt — einschließlich BSI Grundschutz-Orientierung für deutschsprachige Unternehmen.
Die Plattforminfrastruktur wurde gleichzeitig über EU-Rechenzentren ausgerollt, mit Content Delivery von einem CDN, das Media-Knoten nah bei Lernenden in ganz Europa platziert. Der Matching-Service, der den Edge mit der niedrigsten RTT pro Lernenden auswählt, führt zustandslose Worker aus, die für künftige Datenhaltungsanforderungen an EU-Regionen gepinnt werden können. Die in der Plattform enthaltene Datenschutzerklärung wurde erstellt, um die obige Architektur zu dokumentieren und direkt auf die DSGVO-Pflichten zu verweisen. Das Engineering-Team hinter dem Projekt arbeitet in der CET-Zeitzone mit garantierter US-Ostküsten-Überlappung (9–13 Uhr ET) für Stand-ups, Content-Onboarding und Incident-Response.
Die aktive Roadmap für maßgeschneiderte Softwareentwicklung bei CourseMaker umfasst eine native mobile Begleit-App für Offline-Lektionswiedergabe, eine Einnahmenteilung zwischen Dozenten für gemeinsam erstellte Kurse, eine B2B-Stufe mit Bring-your-own-Domain und SSO für Unternehmens-Trainingsabteilungen im deutschsprachigen Mittelstand sowie eine Empfehlungsmaschine, die nächste Kursvorschläge basierend auf Kohorten-Abschlussmustern zeigt. Eine tiefere Analyse-Schicht ist für Kursanbieter geplant — Kohorten-Bindungskurven, Zertifikat-Ausstellungsgeschwindigkeit und Rückgabequoten-Tracking — mit dem Berechtigungssubsystem, das bereits für Multi-Seat-Zuweisung unter der Cloud & DevOps-Roadmap strukturiert ist.
Wenn Sie eine Online-Lernplattform, einen Kursmarktplatz oder ein mehrrolliges SaaS planen, bei dem Inhaltsschutz und Creator-Auszahlungen mit DSGVO-konformer Prüfbereitschaft für Zielgruppen im DACH-Raum und der EU koexistieren müssen — wir haben diesen Stack von Anfang bis Ende umgesetzt und können die Entwicklungszeit erheblich verkürzen. Die Referenzentwicklung ist dokumentiert unter Projektreferenz, und das Engineering-Team dahinter gehört zu YuSMP Group. Wir arbeiten zum Festpreis für klar definierte MVPs und in dedizierten Entwicklungsteams für laufende Lieferung, mit einem CET-Arbeitstag und garantierter US-Ostküsten-Überlappung (9–13 Uhr ET) für Stand-ups, Demos und Incident-Response.
Ein fokussiertes EdTech-MVP mit Lernenden- und Dozenten-Workspaces, Kursautorisierung, Zahlungsabwicklung und Zertifikatsgenerierung kostet typischerweise 80.000–220.000 USD. Das Hinzufügen einer Kursanbieter-Rolle mit Marktplatzmechanik, Creator-Auszahlungen, InfoProtector-Inhaltsschutz, Abonnement-Stufen und einem B2B-SSO-Tier bringt ein vollständiges Produkt auf 260.000–540.000 USD. Die dominanten Kostentreiber sind das rollenbasierte Berechtigungsmodell, die Inhaltsschutzschicht und das Auszahlungsberechnungssystem, das sauber mit den Buchhaltungspraktiken des Auftraggebers abgeglichen werden muss.
Laravel bietet ein ausgereiftes PHP-Framework mit Eloquent-ORM, einem robusten Job-Queue-System und einer bewährten Authentifizierungsschicht — optimal für das rollenbasierte Datenmodell einer EdTech-Plattform. React auf dem Frontend ermöglicht drei rollenbasierte Workspaces aus einer einzigen Codebasis mit gemeinsamen Design-Tokens und Komponentenprimitiven. Das Laravel-API-plus-React-SPA-Muster hält die Teamgrenzen sauber: Backend-Ingenieure sind für das Datenmodell und den Auszahlungsrechner-Job zuständig, Frontend-Ingenieure für den Workspace-UX, und der Vertrag zwischen ihnen ist eine typisierte REST-API.
Inhaltsschutz ist eine Architekturentscheidung, kein Marketing-Versprechen. Videos und PDFs werden über einen token-gesicherten Proxy bereitgestellt, der die Session-ID des Lernenden in den Stream einbettet und Rechtsklick sowie Bildschirmaufzeichnung auf unterstützten Browsern via InfoProtector sperrt. Das Token verfällt aggressiv, wird sofort widerrufen, wenn ein Abonnement abläuft, und ist an einen einzelnen Geräte-Fingerprint gebunden, um den Missbrauch gemeinsam genutzter Zugangsdaten zu verhindern. Entschlossene Angreifer können einen Bildschirm von einem separaten Gerät aus aufzeichnen — kein DRM ist unknackbar — aber der mit Wasserzeichen versehene Stream gibt der Plattform eine Zuordnung, wenn Inhalte auftauchen.
Das Auszahlungssystem läuft nächtlich: Ein Laravel-Job fasst die Kurstransaktionen des Vortages pro Dozent zusammen, zieht Plattformgebühren und Rückerstattungseinbehalte ab und stellt Banktransfers für das Betriebsteam zur wöchentlichen Freigabe in eine Warteschlange. Dozenten sehen Liveverdienste in ihrem Workspace, Kursanbieter sehen plattformweite Einnahmen pro Dozent und pro Kurs im Analyse-Dashboard, und das gesamte Auszahlungsbuch ist append-only für Prüfzwecke. Dasselbe Subsystem lässt sich sauber auf Einnahmenteilungen für gemeinsam verfasste Kurse, Marktplatz-Affiliateprovisionen und B2B-Tier-Lizenzabrechnung erweitern.
Ein fokussiertes MVP mit Lernenden- und Dozenten-Workspaces, Kursautorisierung, Zahlungsabwicklung und Zertifikatsgenerierung dauert typischerweise 16–24 Wochen. Das Hinzufügen eines Kursanbieter-Workspaces mit Marktplatzmechanik, InfoProtector-Inhaltsschutz, Abonnement-Stufen und Creator-Auszahlungen fügt 8–12 Wochen hinzu. Eine native mobile Begleit-App für die Offline-Lektionswiedergabe fügt weitere 10–14 Wochen hinzu. Der prüffaehige Härtungspass — DSGVO-Dokumentation, Bedrohungsmodellierung für den Inhaltsschutz, Drittanbieter-Bereitschaftsbewertung — wird häufig unterschätzt und sollte mit 4–6 Wochen dedizierter Arbeit veranschlagt werden.
Verwandte Fallstudien

Internes Schulungs- und Betriebsplattform für ein Mehrfilialen-Einzelhandelsnetzwerk — Kohortenschulung, Performance-Tracking, DACH + EU Rollout.
Fallstudie ansehen →
Plattformübergreifende Essensplanung- und Rezept-App mit Abonnement-Stufen, prüfbereitem Datenmanagement, DACH + EU Launch.
Fallstudie ansehen →
Offline-first Multi-Rollen-Workspace-Ökosystem — Android, Admin-Konsole, Controller-Dashboard, DSGVO-konformes Prüfprotokoll.
Fallstudie ansehen →Teilen Sie uns einige Details mit, und ein Senior-Consultant antwortet innerhalb eines Werktages.