Datenschutzerklärung

    997 Ventures UG (haftungsbeschränkt)

    Version 3.1 — Stand: April 2026

    1. Verantwortlicher

    997 Ventures UG (haftungsbeschränkt)
    Sonnenhof 13
    67677 Enkenbach-Alsenborn
    E-Mail: info@bienenstock-kita.de

    2. Erhobene Daten

    Die App funktioniert ohne Angabe von personenbezogenen Daten und ohne separaten Account. Die verwendete Kind-ID existiert bereits in der Kita-internen Anwendung Bienenstock — die App erstellt keinen neuen Eintrag, sondern nutzt die vorhandene Kind-ID ausschließlich zur Validierung des Nutzers. Freiwillig übertragene Inhalte (z. B. Abmeldungen vom Essen) werden mit dieser ID verknüpft und pseudonymisiert an unsere zertifizierten Datenbanken weitergegeben und der Kita zur Verfügung gestellt.

    3. Push-Benachrichtigungen

    Sofern der Nutzer Push-Benachrichtigungen aktiviert, wird ein anonymisiertes Geräte-Token vom Betriebssystem (iOS) bzw. Firebase-SDK (Android) erzeugt und in der EU-Datenbank (Supabase, Frankfurt) gespeichert, um Benachrichtigungen zuzustellen. Das Token lässt keinen Rückschluss auf die Identität des Nutzers zu und wird bei Deaktivierung der Benachrichtigungen oder Deinstallation der App aus unserer Datenbank gelöscht.

    Verarbeitung des Tokens bei den Push-Diensten: Damit Push-Benachrichtigungen technisch zugestellt werden können, wird das Geräte-Token zusätzlich bei folgenden Diensten für die Dauer der Token-Gültigkeit verarbeitet und gespeichert:

    • Apple Push Notification Service (APNs): Apple verwaltet das Geräte-Token in seiner Routing-Infrastruktur, um Nachrichten an iOS-Geräte zuzustellen.
    • Google Firebase Cloud Messaging (FCM): Google erzeugt und verwaltet das FCM-Registrations-Token, um Nachrichten an Android-Geräte zuzustellen.
    • Expo (650 Industries Inc., USA): Expo speichert das Geräte-Token gemäß eigener Datenschutzangabe, um Nachrichten an APNs bzw. FCM weiterzuleiten.

    Diese Token-Speicherung ist Bestandteil der von Apple (iOS) und Google (Android) bereitgestellten Plattform-Infrastruktur und auf Anwendungsebene weder konfigurierbar noch abschaltbar. Eine EU-ausschließliche oder anbieterunabhängige Push-Infrastruktur existiert nicht. Push-Benachrichtigungen setzen eine ausdrückliche, manuelle Aktivierung der Push-Berechtigung durch den Nutzer im Betriebssystem voraus (Opt-In) — wird die Berechtigung abgelehnt, entfällt jede Token-Erzeugung und -Übermittlung. Die Übermittlung in die USA ist durch das EU-U.S. Data Privacy Framework und ergänzend durch Standardvertragsklauseln (SCCs) abgesichert.

    Inhalte der Push-Nachrichten: Die Inhalte sind nicht personalisiert und enthalten keine sensiblen oder personenbezogenen Daten. Es handelt sich ausschließlich um allgemeine, von der Kita verfasste Informationen (z. B. Schließtage, Hinweise), die an alle registrierten Geräte der Einrichtung gesendet werden. Die Nachrichteninhalte werden bei keinem der genannten Push-Dienste dauerhaft gespeichert.

    4. Wallet-Karten

    Die App bietet die Möglichkeit, eine digitale Karte für Apple Wallet oder Google Wallet zu erstellen. Dabei werden Kind-Code, Gruppenname und Einrichtungsname an unseren Dienst übermittelt, der die Karte generiert. Bei Apple Wallet wird die Karte als Datei erzeugt, bei Google Wallet wird ein signierter Link über Google-Dienste erstellt. Es werden keine personenbezogenen Daten übertragen.

    Wird in den Einstellungen ein Spitzname für ein Kind vergeben, erscheint dieser auf der Wallet-Karte. Der Spitzname wird ausschließlich lokal auf dem Gerät gespeichert und nur bei der Erstellung der Karte einmalig an den Kartendienst übermittelt.

    5. Datenspeicherung

    Alle über die App übermittelten Informationen werden in Datenbanken in Deutschland gespeichert und unterliegen vollständig der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union.

    Ausnahme: Für die Zustellung von Push-Benachrichtigungen und die Erstellung von Wallet-Karten werden anonymisierte Geräte-Tokens an technisch notwendige Drittdienste übermittelt (siehe Abschnitt 6). Diese Übermittlung ist zur Bereitstellung der Funktion erforderlich und erfolgt auf Grundlage der Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO).

    6. Technisch notwendige Drittdienste

    Für die Zustellung von Push-Benachrichtigungen und die Erstellung von Wallet-Karten werden folgende technisch notwendige Drittdienste eingesetzt:

    • Apple Push Notification Service (APNs) — Zustellung auf iOS; Apple verwaltet das Geräte-Token, Nachrichteninhalte werden nicht dauerhaft gespeichert (Details siehe Abschnitt 3)
    • Google Firebase Cloud Messaging (FCM) — Zustellung auf Android; Google verwaltet das FCM-Registrations-Token, Nachrichteninhalte werden nicht dauerhaft gespeichert (Details siehe Abschnitt 3)
    • Expo (expo.dev) — Vermittlung zwischen App und APNs/FCM; Expo speichert das Geräte-Token, Nachrichteninhalte werden nicht dauerhaft gespeichert (Details siehe Abschnitt 3)
    • Cloudflare (cloudflare.com) — API-Vermittlung (Workers) zwischen App und Kita-Datenbank; auf Frankfurt (AWS eu-central-1 / Cloudflare Regional Services) beschränkt; reiner Transit, keine Speicherung, kein Datenbankzugriff
    • Google Wallet API — Erstellung von Wallet-Karten auf Android

    Diese Dienste erhalten ausschließlich anonymisierte Geräte-Tokens und pseudonymisierte Kind-Codes — keine direkten personenbezogenen Informationen. Die Nutzung erfolgt auf Grundlage der Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO) bei Push-Benachrichtigungen sowie des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) bei technisch notwendigen Vorgängen.

    Es werden keine Analyse-, Tracking- oder Werbetools eingesetzt.

    7. Cloudflare Workers (API-Vermittlung)

    Für die Übertragung von Daten zwischen der App und der Kita-Datenbank (Supabase) werden Cloudflare Workers eingesetzt. Cloudflare Workers fungieren als technischer Vermittler und leiten die Daten an die Datenbank in der EU (Frankfurt) weiter. Es findet keine dauerhafte Speicherung personenbezogener Daten bei Cloudflare statt.

    Über Cloudflare Workers verarbeitete Daten:

    • Essensabmeldungen
    • Abmeldungen (Abwesenheit des Kindes)
    • Früheres Abholen
    • Allgemeine, nicht-personenbezogene Nachrichten
    • Kita-Status (offen, geschlossen etc.)
    • Antworten auf allgemeine Umfragen
    • Pseudonymisierte Kind-ID und Kita-ID

    Nicht über Cloudflare verarbeitet: Check-in-/Check-out-Zeiten von Kindern oder Personal. Diese werden ausschließlich am Terminal in der Kita erfasst und direkt in der EU-Datenbank gespeichert.

    Das Routing der Cloudflare Workers ist auf die EU-Region beschränkt (AWS eu-central-1 / Cloudflare Regional Services, Frankfurt). Cloudflare Inc. hat ihren Sitz in den USA — potenzielle Zugriffsmöglichkeiten der US-Muttergesellschaft sind durch Standardvertragsklauseln (SCCs) und den Angemessenheitsbeschluss EU-U.S. Data Privacy Framework abgesichert. Da keine dauerhafte Speicherung und kein Datenbankzugriff bei Cloudflare erfolgen, handelt es sich um eine reine Transit-Verarbeitung.

    8. Lokale Speicherung

    Spitznamen, Einstellungen und Zugangsdaten werden im lokalen Speicher des Geräts abgelegt (SecureStore auf iOS/Android, localStorage im Web). Diese Daten verlassen das Gerät nicht — mit Ausnahme des Spitznamens bei der freiwilligen Erstellung einer Wallet-Karte (siehe Abschnitt 4).

    9. Unterscheidung: Pflichtdaten und freiwillige Daten

    Pflichtdaten (Bring- und Abholzeiten):

    Die Erfassung der Bring- und Abholzeiten erfolgt ausschließlich am Check-in-/Check-out-Terminal in der Kita — nicht über diese App.

    Warum ist das verpflichtend? Kindertageseinrichtungen benötigen eine Betriebserlaubnis nach § 45 SGB VIII. Diese legt unter anderem die maximal zulässige Anzahl gleichzeitig betreuter Kinder fest. Um nachzuweisen, dass diese Kapazitätsgrenze eingehalten wird, muss die Einrichtung jederzeit dokumentieren können, welche Kinder sich aktuell in der Einrichtung befinden. Darüber hinaus ist der Kita-Träger nach § 47 Abs. 2 SGB VIII verpflichtet, Aufzeichnungen über den Betrieb der Einrichtung zu führen und mindestens fünf Jahre aufzubewahren. Dazu gehören auch die Anwesenheitszeiten der Kinder. Zusätzlich ergibt sich aus der Aufsichtspflicht (§§ 1631, 832 BGB) die Notwendigkeit, den Übergang der Verantwortung zwischen Eltern und Einrichtung lückenlos zu dokumentieren — also wann ein Kind übergeben und wann es abgeholt wurde.

    Das Check-in-/Check-out-Terminal ist das technische Mittel, mit dem die Kita diese gesetzlichen Pflichten erfüllt. Die Nutzung des Terminals ist daher Bestandteil des Betreuungsvertrags. Eine Abwahl (Opt-out) ist nicht möglich, da die Dokumentation nicht im Ermessen der Einrichtung liegt, sondern gesetzlich vorgeschrieben ist.

    Wahl des Dienstleisters:

    Das Gesetz verpflichtet die Kita zur Dokumentation, schreibt aber nicht vor, mit welcher Software dies geschieht. Der Kita-Träger wählt den Dienstleister eigenständig — vorausgesetzt, ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO besteht. Vergleichbar mit einem Arbeitgeber, der die Bürosoftware für seine Mitarbeiter bestimmt, liegt die Entscheidung über das eingesetzte System beim Träger. Ihr Recht als Eltern erstreckt sich auf den Schutz Ihrer Daten nach der DSGVO, nicht auf die Wahl des technischen Systems.

    Freiwillige Daten (über diese App):

    Alle über diese App übermittelten Informationen — z. B. Essensabmeldungen, Abholbenachrichtigungen oder sonstige Mitteilungen — sind freiwillig. Die App dient ausschließlich der optionalen Kommunikation zwischen Eltern und Kita. Es besteht keine Pflicht zur Nutzung der App.

    10. Rechte der Betroffenen

    Als Nutzer — und als Erziehungsberechtigter im Namen Ihres Kindes — stehen Ihnen folgende Rechte gemäß der DSGVO zu:

    Auskunftsrecht (Art. 15 DSGVO):

    Sie können jederzeit Auskunft darüber verlangen, welche Daten über Sie oder Ihr Kind gespeichert sind. Wenden Sie sich hierfür an Ihre Kita.

    Recht auf Berichtigung (Art. 16 DSGVO):

    Sind gespeicherte Daten zu Ihnen oder Ihrem Kind unrichtig oder unvollständig, können Sie deren Korrektur verlangen. Lokal gespeicherte Daten (z. B. Spitznamen) können Sie direkt in der App ändern.

    Recht auf Löschung (Art. 17 DSGVO):

    Lokal gespeicherte Daten löschen Sie jederzeit über „App zurücksetzen" in den Einstellungen. Freiwillig über die App übermittelte Daten werden nach Eingang bei der Kita Bestandteil der betrieblichen Aufzeichnungen des Kita-Trägers. Der Träger ist nach § 47 Abs. 2 SGB VIII gesetzlich verpflichtet, diese Aufzeichnungen mindestens fünf Jahre aufzubewahren. Solange gesetzliche Aufbewahrungsfristen laufen, wird die Verarbeitung eingeschränkt statt gelöscht (Art. 17 Abs. 3 lit. b DSGVO). Nach Ablauf der Fristen werden die Daten gelöscht. Pflichtdaten (Bring-/Abholzeiten) unterliegen derselben gesetzlichen Aufbewahrungspflicht und können nicht vorzeitig gelöscht werden.

    Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO):

    Sie können verlangen, dass die Verarbeitung Ihrer Daten eingeschränkt wird — etwa wenn Sie die Richtigkeit der Daten bestreiten oder die Verarbeitung für unrechtmäßig halten.

    Recht auf Datenübertragbarkeit (Art. 20 DSGVO):

    Sie haben das Recht, die von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Wenden Sie sich hierfür an Ihre Kita.

    Widerspruchsrecht (Art. 21 DSGVO):

    Sie können der Verarbeitung Ihrer freiwillig übermittelten Daten jederzeit widersprechen. Für Pflichtdaten (Bring-/Abholzeiten) besteht kein Widerspruchsrecht, da die Verarbeitung auf einer gesetzlichen Verpflichtung beruht (Art. 6 Abs. 1 lit. c DSGVO).

    Verantwortlichkeit:

    Verantwortlich für die Datenverarbeitung ist der jeweilige Kita-Träger (Verantwortlicher im Sinne der DSGVO). Die 997 Ventures UG (haftungsbeschränkt) verarbeitet die Daten als technischer Dienstleister (Auftragsverarbeiter) ausschließlich im Auftrag und auf Weisung der Kita. Anfragen zu Ihren Rechten richten Sie an Ihre Kita.

    11. Support über WhatsApp

    Wir bieten optional Support über WhatsApp an. WhatsApp ist ein Dienst der Meta Platforms Inc. mit Sitz in den USA. Wenn Sie diesen Kanal nutzen, gilt Folgendes:

    • Keine personenbezogenen Daten teilen: Senden Sie über WhatsApp keine personenbezogenen oder sensiblen Daten (z. B. Namen von Kindern, Geburtsdaten, Gesundheitsdaten, Fotos oder Dokumente mit personenbezogenen Inhalten). Der Kanal dient ausschließlich für allgemeine Anfragen und technischen Support.
    • Datenspeicherung außerhalb der EU: WhatsApp-Nachrichten werden auf Servern von Meta Platforms Inc. verarbeitet und gespeichert, die sich auch außerhalb der Europäischen Union (insbesondere in den USA) befinden können. Mit der Nutzung von WhatsApp zur Kontaktaufnahme erklären Sie sich damit einverstanden, dass die Inhalte Ihrer Nachrichten außerhalb der EU gespeichert werden können.

    Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung des Kanals). Für datenschutzkonforme Kommunikation mit personenbezogenen Daten nutzen Sie bitte E-Mail an info@bienenstock-kita.de.

    12. ElevenLabs Sprachassistent

    Innerhalb der Anwendung bieten wir einen KI-gestützten Sprachassistenten an, der auf der Technologie von ElevenLabs Inc. (USA) basiert. Die Nutzung ist freiwillig und erfordert eine ausdrückliche Zustimmung (Checkbox) vor der ersten Verwendung.

    • Keine personenbezogenen Daten teilen: Teilen Sie dem Sprachassistenten keine personenbezogenen oder sensiblen Daten mit (z. B. Namen von Kindern, Geburtsdaten, Gesundheitsdaten oder sonstige vertrauliche Informationen). Der Assistent dient ausschließlich für allgemeine Anfragen und technische Hilfestellung.
    • Datenspeicherung außerhalb der EU: Sprachdaten und Texteingaben werden zur Verarbeitung an Server von ElevenLabs Inc. übermittelt, die sich außerhalb der Europäischen Union (insbesondere in den USA) befinden können. Mit der Aktivierung des Sprachassistenten erklären Sie sich damit einverstanden, dass Ihre Eingaben außerhalb der EU verarbeitet und gespeichert werden können.

    Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung per Checkbox vor der ersten Nutzung). Die Einwilligung kann jederzeit widerrufen werden, indem der Sprachassistent nicht mehr verwendet wird.

    13. Änderungen

    Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die aktuelle Version ist jederzeit in der App einsehbar.

    14. Kontakt

    Bei Fragen zum Datenschutz wenden Sie sich bitte an:
    info@bienenstock-kita.de

    ← Zurück zur Startseite