gemäß Art. 28 DSGVO — Version 3.1 — Stand: April 2026
zwischen
[Kunde / Träger / Einrichtung] („Verantwortlicher")
und
997 Ventures UG (haftungsbeschränkt)
Sonnenhof 13, 67677 Enkenbach-Alsenborn
(im Folgenden: „Auftragsverarbeiter")
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Kita-Management-Software app.bienenstock-kita.de.
(2) Die Verarbeitung beginnt mit Vertragsabschluss und gilt für die Dauer der Nutzung der Software durch den Verantwortlichen.
Die Verarbeitung umfasst folgende konkrete Vorgänge:
Zwecke der Verarbeitung:
Verarbeitete Datenarten, differenziert nach Betroffenengruppen:
Kinder:
Personal/Mitarbeitende:
Eltern/Sorgeberechtigte (via Eltern-App und API):
Nutzerkonten (alle Rollen):
Protokolldaten (Logs):
Nachrichten:
Kita-Metadaten:
Der Auftragsverarbeiter verpflichtet sich zur Einhaltung der folgenden Pflichten gemäß Art. 28 Abs. 3 DSGVO:
(1) Weisungsbindung (Art. 28 Abs. 3 Satz 2 lit. a DSGVO)
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation —, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften der Union oder der Mitgliedstaaten verstößt.
(2) Vertraulichkeit (Art. 28 Abs. 3 Satz 2 lit. b DSGVO)
Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung des Auftrags fort.
(3) Technische und organisatorische Maßnahmen (Art. 28 Abs. 3 Satz 2 lit. c i.V.m. Art. 32 DSGVO)
Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen gewährleistet der Auftragsverarbeiter ein dem Risiko angemessenes Schutzniveau. Die konkreten Maßnahmen sind in §5 dieses Vertrags beschrieben.
(4) Unterauftragsverarbeiter (Art. 28 Abs. 3 Satz 2 lit. d i.V.m. Art. 28 Abs. 2 und 4 DSGVO)
Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige allgemeine oder gesonderte schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Die Einzelheiten sind in §9 dieses Vertrags geregelt.
(5) Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 Satz 2 lit. e DSGVO)
Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in den Art. 15 bis 22 DSGVO genannten Rechte der betroffenen Personen. Hierzu zählen insbesondere das Auskunftsrecht (Art. 15), das Recht auf Berichtigung (Art. 16), das Recht auf Löschung (Art. 17), das Recht auf Einschränkung der Verarbeitung (Art. 18), die Mitteilungspflicht (Art. 19), das Recht auf Datenübertragbarkeit (Art. 20), das Widerspruchsrecht (Art. 21) sowie das Recht auf Nichtunterwerfung unter automatisierte Einzelentscheidungen (Art. 22).
(6) Unterstützung bei Sicherheitspflichten (Art. 28 Abs. 3 Satz 2 lit. f DSGVO)
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO. Dies umfasst insbesondere die Unterstützung bei:
(7) Meldung von Datenschutzverletzungen (Art. 33 Abs. 2 DSGVO)
Der Auftragsverarbeiter meldet dem Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme, damit der Verantwortliche seine Meldepflicht gemäß Art. 33 Abs. 1 DSGVO (72-Stunden-Frist gegenüber der Aufsichtsbehörde) einhalten kann. Die Meldung enthält mindestens:
(8) Löschung und Rückgabe (Art. 28 Abs. 3 Satz 2 lit. g DSGVO)
Nach Abschluss der Erbringung der Verarbeitungsdienstleistungen löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurück und löscht vorhandene Kopien, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. Die Einzelheiten sind in §8 dieses Vertrags geregelt.
(9) Nachweispflichten (Art. 28 Abs. 3 Satz 2 lit. h DSGVO)
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht und unterstützt Überprüfungen — einschließlich Inspektionen —, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden. Die Einzelheiten sind in §7 dieses Vertrags geregelt.
(10) Verarbeitungsverzeichnis (Art. 30 Abs. 2 DSGVO)
Der Auftragsverarbeiter führt ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die er im Auftrag des Verantwortlichen durchführt, das die in Art. 30 Abs. 2 lit. a bis d DSGVO genannten Angaben enthält.
Der Auftragsverarbeiter hat folgende Maßnahmen nach Art. 32 Abs. 1 lit. a–d DSGVO implementiert. Gemäß Art. 32 Abs. 1 DSGVO sind unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Maßnahmen umfassen insbesondere:
Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten (Art. 32 Abs. 2 DSGVO).
Die Maßnahmen orientieren sich an den Schutzzielen des § 64 Abs. 3 BDSG:
Die nachfolgende Darstellung beschreibt die konkreten Umsetzungen dieser Schutzziele. Die Maßnahmen werden regelmäßig überprüft und an den Stand der Technik angepasst (Art. 32 Abs. 1 lit. d DSGVO). Änderungen, die das Schutzniveau nicht unterschreiten, bedürfen keiner gesonderten Zustimmung.
1. Zutrittskontrolle (logisch)
Supabase Auth mit JWT und automatischem Token-Refresh; Row-Level Security (RLS) auf allen Datenbanktabellen; Column-Level Security auf der Kita-Tabelle.
2. Zugangskontrolle
Client-seitig: 3-stufiges Passwort-System (Admin/Staff/Parent); passwortgeschützte Higher-Order-Komponente (withPasswordProtection); API-Key-Authentifizierung für die Eltern-API.
Betreiber-seitig: Zugang zu Produktivsystemen, Datenbanken und Infrastruktur ist auf autorisiertes Personal beschränkt und durch individuelle Authentifizierung gesichert.
3. Zugriffskontrolle
Client-seitig: RLS-Policies auf Datenbankebene; rollenbasiertes Berechtigungskonzept mit den Stufen Superadmin, Träger-Manager, Kita-Admin und Staff; Zugriff ausschließlich auf Daten der eigenen Einrichtung.
Betreiber-seitig: Zugriff auf personenbezogene Daten ausschließlich nach dem Prinzip der Erforderlichkeit (Need-to-know), beschränkt auf Wartung, Support und Fehlerbehebung.
4. Weitergabekontrolle
TLS 1.2/1.3 für sämtliche Datenübertragungen; HTTPS-only-Konfiguration (Vercel); keine unverschlüsselten Schnittstellen.
5. Eingabekontrolle
Client-seitige Validierung (Formik + Yup); serverseitige Validierung; Protokollierung aller Check-in-/Check-out-Vorgänge mit Zeitstempel.
6. Verfügbarkeitskontrolle
Supabase Managed Database (Frankfurt) mit automatisierten Backups und Point-in-Time Recovery; Vercel Edge-Netzwerk mit Ausfallsicherheit; Reconnection-Logik mit exponentiellem Backoff (500 ms → 5 s).
7. Trennungskontrolle
Datenbankebene: Mandantentrennung über Row-Level Security (RLS) auf allen Tabellen — jede Policy prüft die Zugehörigkeit zur jeweiligen Einrichtung (kita_id). Column-Level Security (CLS) auf sensiblen Spalten (z. B. Passwörter). Blanket Denial als Baseline (REVOKE ALL für unauthentifizierte Zugriffe). Storage-Buckets ebenfalls RLS-geschützt.
Applikationsebene: Frontend nutzt ausschließlich eingeschränkte API-Schlüssel (kein Service-Role-Key); Service-Role-Key nur serverseitig in API-Routes. Realtime-Subscriptions durch RLS gefiltert. Einrichtungen können ausschließlich eigene Daten einsehen.
8. Pseudonymisierung
Optional konfigurierbar: Kürzel anstelle von Klarnamen in der Anzeige; pseudonymisierte Kind-IDs (Kind-Codes) in der Eltern-App.
Stand: April 2026. Änderungen werden dokumentiert und dem Verantwortlichen auf Anfrage zur Verfügung gestellt.
(1) Der Verantwortliche ist gemäß Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Er bleibt für die Rechtmäßigkeit der Verarbeitung verantwortlich (Art. 24 Abs. 1 DSGVO).
(2) Der Verantwortliche stellt sicher, dass die Verarbeitung im Einklang mit den Grundsätzen des Art. 5 Abs. 1 DSGVO erfolgt, insbesondere:
(3) Der Verantwortliche ist insbesondere verantwortlich für:
(4) Der Verantwortliche hat das Recht, dem Auftragsverarbeiter Weisungen hinsichtlich Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Weisungen sind schriftlich oder in einem elektronischen Format zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
(5) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Ergebnisse der Verarbeitung feststellt.
(1) Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrags und der datenschutzrechtlichen Vorgaben zu überprüfen (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Die Überprüfung kann erfolgen durch:
(2) Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage aktuelle Nachweise über die Einhaltung der technischen und organisatorischen Maßnahmen zur Verfügung. Hierzu zählen insbesondere die Zertifizierungen und Auditberichte der eingesetzten Unterauftragsverarbeiter.
(1) Nach Beendigung der Verarbeitungstätigkeit wird der Auftragsverarbeiter gemäß Art. 28 Abs. 3 Satz 2 lit. g DSGVO alle personenbezogenen Daten innerhalb von 30 Tagen nach Wahl des Verantwortlichen löschen oder zurückgeben, sofern keine gesetzliche Aufbewahrungspflicht besteht.
(2) Die Rückgabe erfolgt in einem gängigen, maschinenlesbaren Format (CSV oder Excel) über einen sicheren Übertragungsweg.
(3) Die Löschung umfasst sämtliche personenbezogenen Daten in Produktivsystemen. Daten in automatisierten Backup-Systemen werden spätestens innerhalb des regulären Backup-Rotationszyklus vollständig überschrieben.
(4) Der Auftragsverarbeiter stellt dem Verantwortlichen nach Abschluss der Löschung eine schriftliche Löschbestätigung aus, die Datum, Umfang und betroffene Systeme der Löschung benennt.
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit die allgemeine schriftliche Genehmigung gemäß Art. 28 Abs. 2 DSGVO zum Einsatz der in Anlage 1 genannten Unterauftragsverarbeiter.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche hat die Möglichkeit, innerhalb von 14 Tagen nach Benachrichtigung Einspruch gegen die Änderung zu erheben.
(3) Der Auftragsverarbeiter stellt gemäß Art. 28 Abs. 4 DSGVO sicher, dass mit jedem Unterauftragsverarbeiter ein Vertrag geschlossen wird, der diesem mindestens dieselben Datenschutzpflichten auferlegt wie in diesem AVV festgelegt.
(1) Sämtliche personenbezogenen Daten des Kernprodukts werden auf Servern innerhalb der Europäischen Union gespeichert (Hauptstandort: Supabase, Frankfurt/AWS). Serverless Functions und Datenspeicherung bei Vercel sind auf die EU-Region (Frankfurt) konfiguriert. Es besteht keine Konfiguration auf Non-EU-Transfer.
(2) Auch für die optionale Eltern-App (iOS/Android) werden sämtliche API-Anfragen und damit verbundene Daten seit der aktuellen Konfiguration innerhalb der EU verarbeitet: Die API-Vermittlung über Cloudflare ist auf Frankfurt (AWS eu-central-1 / Cloudflare Regional Services) beschränkt; Abmeldungen, Essensabsagen und Abholmeldungen werden ausschließlich innerhalb Deutschlands an Supabase (Frankfurt) übergeben. Die einzigen verbleibenden Datenflüsse, die systembedingt über außereuropäische Plattform-Infrastruktur laufen können, betreffen:
Diese beiden Datenflüsse sind technisch zwingend durch die Plattformen Apple/iOS und Google/Android vorgegeben und können nicht auf EU-Infrastruktur begrenzt werden. Details siehe Anlage 2.
(3) Konfigurationsstand — Datenhaltung ausschließlich in der EU: Zum Stand dieses Vertrags sind sämtliche eingesetzten Unterauftragsverarbeiter so konfiguriert, dass personenbezogene Daten ausschließlich innerhalb der Europäischen Union gespeichertwerden. Dies umfasst konkret:
Ausnahme Push-Routing: Bei aktiver Nutzung der Eltern-App (iOS/Android) müssen Push-Benachrichtigungen systembedingt über die globale Infrastruktur von Apple Push Notification service (APNs) und Firebase Cloud Messaging (FCM) sowie die Orchestrierungsschicht Expo geleitet werden. Diese Weiterleitung ist technisch zwingend und durch die Plattformen Apple/iOS und Google/Android vorgegeben; eine EU-ausschließliche Routing-Konfiguration ist auf Ebene dieser Push-Dienste nicht möglich. Es erfolgt jedoch keine dauerhafte Speicherungpersonenbezogener Daten auf dieser Infrastruktur (reiner Transit), und der Push-Payload enthält ausschließlich allgemeine, nicht personenbezogene und nicht pseudonymisierte Informationen (siehe Anlage 2 §2).
Zum Zeitpunkt des Vertragsschlusses besteht — mit Ausnahme des vorstehend beschriebenen Push-Routings — keine aktive Datenübermittlung in Drittländer im Sinne von Art. 44 DSGVO, die auf eine dauerhafte Speicherung außerhalb der EU abzielt. Die nachfolgend genannten DPF- und SCC-Grundlagen dienen der rechtlichen Absicherung gegenüber den US-Muttergesellschaften der eingesetzten Cloud-Anbieter sowie gegenüber potenziellen Zugriffen nach US-Recht (insbesondere CLOUD Act) — nicht der Absicherung aktiver Datenexporte.
(4) Überwachung der Transfergrundlage: Der Auftragsverarbeiter überwacht fortlaufend die Gültigkeit des EU-U.S. Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795). Datenübermittlungen bzw. potenzielle Zugriffsmöglichkeiten in die USA werden derzeit bei folgenden Unterauftragsverarbeitern (auch) auf Grundlage des DPF abgesichert:
(5) Fallback auf Standardvertragsklauseln: Für alle vorgenannten Dienste bestehen ergänzend Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914 als eigenständige Transfergrundlage gemäß Art. 46 Abs. 2 lit. c DSGVO. Bei Wegfall, Aussetzung oder Ungültigerklärung des EU-U.S. DPF stellt der Auftragsverarbeiter die Transfergrundlage ohne Unterbrechung des Dienstes auf die SCCs um und informiert den Verantwortlichen hierüber unverzüglich, spätestens innerhalb von 30 Tagen nach Kenntnisnahme.
(6) Ergänzende Schutzmaßnahmen (Transfer Impact Assessment): Im Einklang mit den EDSA-Empfehlungen 01/2020 werden folgende zusätzliche technische und organisatorische Schutzmaßnahmen angewendet:
(7) Eskalation bei Wegfall auch der SCCs: Sollten auch die Standardvertragsklauseln durch Urteil des EuGH oder verbindlichen Beschluss einer Aufsichtsbehörde als unzureichend eingestuft werden, ergreift der Auftragsverarbeiter mindestens eine der folgenden Maßnahmen und informiert den Verantwortlichen mit mindestens 14 Tagen Vorlauf:
(8) Auswirkungen auf das Kernprodukt: Die Datenlokalisierungdes Kernprodukts ist von einem Wegfall des EU-U.S. DPF nicht betroffen — alle personenbezogenen Kerndaten verbleiben an ihrem bisherigen Speicherort (Supabase: Frankfurt/DE; Vercel: Frankfurt/DE; Hetzner: Falkenstein/Nürnberg; Zoho: Niederlande). Betroffen ist ausschließlich die rechtliche Transfergrundlage für diejenigen Dienstleister, deren Muttergesellschaft ihren Sitz in den USA hat (konkret: Vercel Inc. und Supabase Inc.). Für diese würde die Transfergrundlage von DPF auf SCCs umgestellt (siehe Abs. 5), ohne dass der physische Speicherort oder der Dienstbetrieb unterbrochen wird. Sollten auch die SCCs durch Urteil oder behördlichen Beschluss als unzureichend eingestuft werden, würde der Auftragsverarbeiter auf EU-ansässige Ersatzanbieter ohne US-Muttergesellschaft migrieren. Die Push-Funktionalität der Eltern-App (FCM, APNs) kann in einem solchen Szenario optional deaktiviert werden, ohne das Kernprodukt zu beeinträchtigen.
Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO. Jede Partei haftet für Schäden, die durch eine ihr zuzurechnende Verletzung der DSGVO verursacht werden. Der Auftragsverarbeiter haftet für das Verschulden seiner Mitarbeiter und von ihm eingesetzter Unterauftragsverarbeiter wie für eigenes Verschulden.
(1) Der Vertragsschluss erfolgt durch aktive Bestätigung (Checkbox) im Rahmen der Einrichtung des Systems. Mit der Bestätigung erklärt der Verantwortliche seine Zustimmung zu diesem Auftragsverarbeitungsvertrag in der jeweils gültigen Fassung. Die Bestätigung wird zusammen mit der Versionsnummer des Vertrags gespeichert.
(2) Der jeweils aktuelle Auftragsverarbeitungsvertrag kann jederzeit auf der Webseite des Auftragsverarbeiters heruntergeladen und eingesehen werden. Eine gesonderte Rücksendung des Vertrags erfolgt nicht.
(3) Bei Aktualisierungen des Auftragsverarbeitungsvertrags wird der Verantwortliche per E-Mail oder innerhalb der Software über die Änderungen informiert und um erneute Bestätigung gebeten.
(4) Dieser Vertrag kann durch aktive Bestätigung (Checkbox) im System, durch ausdrückliche Zustimmung per E-Mail oder durch elektronische Signatur geschlossen werden. Eine handschriftliche Unterschrift ist nicht erforderlich (Art. 28 Abs. 9 DSGVO).
(1) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform.
(2) Sollte eine Bestimmung dieses Vertrags unwirksam sein, bleibt der Vertrag im Übrigen wirksam. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Kaiserslautern.
Der Auftragsverarbeiter setzt die folgenden Unterauftragsverarbeiter ein. Mit jedem besteht ein gesonderter Auftragsverarbeitungsvertrag (DPA). Es werden keine personenbezogenen Daten dauerhaft außerhalb der EU gespeichert.
| Anbieter | Zweck | Verarbeitete Datenarten | Serverstandort | Zertifizierungen / Rechtsgrundlage | DPA |
|---|---|---|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung, Realtime, Backend-Funktionen | Alle Kerndaten (Stamm-, Anwesenheits-, Kommunikations-, Authentifizierungsdaten) | EU (Frankfurt/AWS) | SOC 2 Type II, HIPAA-fähig, DSGVO-konform | Ja |
| Hetzner Online GmbH | Serverinfrastruktur (nur Verwaltung) | Verwaltungsdaten; kein Kontakt mit der Anwendung | Deutschland (Falkenstein/Nürnberg) | ISO 27001, ISO 27701, SOC 2 Type II, BSI C5 | Ja |
| Vercel Inc. | Hosting, Serverless Functions | IP-Adressen, Sitzungsdaten, Request-Logs | EU (Frankfurt) | SOC 2 Type II, ISO 27001, EU-U.S. Data Privacy Framework, SCCs | Ja |
| Zoho Corporation Pvt. Ltd. | E-Mail-Kommunikation | E-Mail-Adressen, Nachrichteninhalte | EU (Niederlande) | ISO 27001, SOC 2 Type II | Ja |
Stand: April 2026. Änderungen werden gemäß §9 Abs. 2 dieses Vertrags mitgeteilt.
Die Wahl von Supabase (Datenbank, Authentifizierung, Storage) und Vercel (Hosting, Serverless Functions) als zentrale Infrastrukturanbieter — beide technisch auf AWS Frankfurt (eu-central-1) aufgesetzt — ist Ergebnis einer sorgfältigen Abwägung zwischen Datenschutz-Anforderungen und Betriebssicherheit gemäß Art. 32 Abs. 1 DSGVO. Maßgeblich waren folgende Kriterien:
Bewertete Alternativen und Ablehnungsgründe:
Die gewählte Kombination maximiert das Schutzniveau nach Art. 32 DSGVO(Schutz vor Verlust, Zerstörung, unbefugter Offenlegung) unter Beibehaltung der EU-Lokalisierung (Frankfurt). Die verbleibende Restrisiko-Exposition gegenüber den US-Muttergesellschaften ist rechtlich durch DPF/SCCs (§10 Abs. 4–5) und technisch durch die in §5 beschriebenen Maßnahmen abgesichert.
Die folgende Ergänzung regelt die Auftragsverarbeitung im Rahmen der optionalen Eltern-App (iOS/Android) und gilt ausschließlich, sofern der Verantwortliche die Eltern-App als Erweiterung des Kernprodukts einsetzt. Die Eltern-App ist keine Voraussetzung für die Nutzung des Kernprodukts. Der Auftragsverarbeiter stellt innerhalb der Eltern-App eine technische Einwilligungsabfrage (Zustimmung zur Datenschutzerklärung) bereit. Die Sicherstellung einer darüber hinausgehenden wirksamen Einwilligung gemäß Art. 6 Abs. 1 lit. a, Art. 7 DSGVO liegt im Verantwortungsbereich und Ermessen des Verantwortlichen.
(1) Die Nutzung der Eltern-App ist freiwillig und keine Voraussetzung für die Inanspruchnahme der Betreuungsleistungen. Die Nicht-Nutzung hat keinerlei Auswirkungen auf den Betreuungsvertrag oder die Qualität der Betreuung.
(2) Alle Informationen, die über die App bereitgestellt werden, sind auch auf anderem Wege verfügbar (z. B. Aushang, persönliches Gespräch).
(3) Die Verarbeitung personenbezogener Daten über die Eltern-App erfolgt auf Grundlage der Einwilligung gemäß Art. 6 Abs. 1 lit. a, Art. 7 DSGVO. Der Widerruf ist jederzeit ohne Nachteile möglich.
Die Verarbeitung umfasst:
Nicht verarbeitet: Check-in-/Check-out-Zeiten von Kindern oder Personal.
Inhalt der Push-Benachrichtigungen: Über Push-Benachrichtigungen werden ausschließlich allgemeine, nicht personenbezogene und nicht pseudonymisierte Informationen übermittelt (z. B. Kita-Updates, Öffnungs- und Schließzeiten, öffentlicher Kita-Status bzw. Kapazitätsampel). Es werden keine Namen, Kürzel, Kind-Codes, Check-in-/Check-out-Daten oder sonstige einzelpersonenbezogenen Daten im Push-Payload versendet. Personenbezogene Vorgänge (Abmeldungen, Essensabsagen, Abholmeldungen) werden ausschließlich über die verschlüsselte API (Cloudflare → Supabase) übermittelt, nicht über Push-Dienste.
Für die Eltern-App werden folgende zusätzliche Unterauftragsverarbeiter eingesetzt. Mit jedem besteht ein gesonderter Auftragsverarbeitungsvertrag (DPA).
| Anbieter | Zweck | Verarbeitete Datenarten | Serverstandort | Zertifizierungen / Rechtsgrundlage | DPA |
|---|---|---|---|---|---|
| Cloudflare Inc. | API-Transit (reine Durchleitung; kein Datenbankzugriff, keine dauerhafte Speicherung, keine Verarbeitung über Routing/TLS-Terminierung/DDoS-Schutz hinaus) | Pseudonymisierte Kind-ID, Kita-ID, Abmeldungen, Essensabsagen, Abholmeldungen, Push-Tokens, Wallet-Items (nur Transit) | Deutschland (AWS eu-central-1 / Frankfurt, via Cloudflare Regional Services); keine dauerhafte Speicherung; kein Datenbankzugriff | ISO 27001, SOC 2 Type II, EU-U.S. Data Privacy Framework, SCCs | Ja |
| Expo (650 Industries Inc.) | Orchestrierung Push-Versand (delegiert an Firebase Cloud Messaging und Apple Push Notification service) | Anonymisierte Push-Tokens, allgemeine Nachrichteninhalte (nur Transit) | USA (nur Transit, keine Speicherung) | SOC 2 Type II, SCCs | Ja |
| Google Ireland Ltd. (Firebase Cloud Messaging) | Push-Zustellung Android | Anonyme FCM-Registrierungs-Tokens; allgemeine, nicht personenbezogene Nachrichteninhalte (nur Transit) | Global (US-primär); Vertragspartner: Google Ireland Ltd. | ISO 27001/27017/27018, SOC 1/2/3, EU-U.S. Data Privacy Framework, SCCs | Ja |
| Apple Distribution International Ltd. (APNs) | Push-Zustellung iOS | Anonyme APNs-Device-Tokens; allgemeine, nicht personenbezogene Nachrichteninhalte (nur Transit, TLS-verschlüsselt) | Global (Apple-Infrastruktur EU/US) | ISO 27001, SOC 2; Apple Developer Program License Agreement Schedule 4; SCCs | Ja (Apple DPLA) |
Sämtliche genannten Dienste haben keinen Kontakt zur Datenbank der Hauptanwendung. Es findet keine dauerhafte Speicherung personenbezogener Daten auf deren Infrastruktur statt. Sofern der Verantwortliche oder die Sorgeberechtigten Push-Benachrichtigungen und Wallet-Items nicht aktivieren, entfällt der Einsatz von Expo (650 Industries Inc.), Firebase Cloud Messaging (Android) sowie Apple Push Notification service (iOS) als Unterauftragsverarbeiter. Voraussetzung hierfür ist, dass die Berechtigungsanfrage für Push-Dienste (iOS/Android) auf dem Endgerät abgelehnt wird.
Präzisierung zur „nur Transit"-Angabe in der Tabelle: Die für Apple Push Notification Service (APNs), Firebase Cloud Messaging (FCM) und Expo vermerkte Eigenschaft „nur Transit" bezieht sich auf die Nachrichteninhalte (Push-Payload, Wallet-Inhalte)— diese werden bei den Push-Diensten nicht dauerhaft gespeichert, sondern ausschließlich für die Dauer der Zustellung verarbeitet (in Memory- bzw. Queue-Strukturen, nicht in Datenbanken). Die Geräte-Tokens selbst (anonyme APNs-Device-Tokens, anonyme FCM-Registrierungs-Tokens, ExpoPushTokens) werden bei den jeweiligen Push-Diensten für die Dauer der Token-Gültigkeit verarbeitet und gespeichert, da andernfalls eine Zustellung systembedingt nicht möglich wäre. Diese Token-Speicherung ist Bestandteil der Plattform-Infrastruktur und nicht Inhalt der eigentlichen Auftragsverarbeitung der Kita-Daten.
Keine technischen Alternativen: Eine EU-ausschließliche oder anbieterunabhängige Push-Infrastruktur für iOS und Android existiert auf Plattform-Ebene nicht. APNs ist der einzige zugelassene Zustellweg für iOS-Push, FCM der einzige zugelassene Zustellweg für Android-Push. Eine Verlagerung dieser Dienste in EU-Infrastruktur oder eine Vermeidung der Token-Speicherung bei den Push-Diensten ist auf Anwendungsebene weder konfigurierbar noch unterbindbar. Expo wird lediglich als Orchestrierungsschicht zwischen App und APNs/FCM eingesetzt, um eine plattformunabhängige Implementierung zu ermöglichen.
Manuelle Einwilligung des Nutzers (Opt-In): Die Verarbeitung durch APNs, FCM und Expo erfolgt ausschließlich auf Grundlage einer ausdrücklichen, manuellen Aktivierung der Push-Berechtigung durch den jeweiligen Nutzer über die Berechtigungsabfrage des Betriebssystems (iOS/Android). Lehnt der Nutzer die Berechtigung ab oder widerruft sie zu einem späteren Zeitpunkt in den Geräteeinstellungen, entfällt jede weitere Token-Erzeugung und -Übermittlung an die genannten Subprozessoren.
Hinweis zur Rolle von Cloudflare: Cloudflare fungiert ausschließlich als Transit-Layer für API-Anfragen der Eltern-App (Edge-Routing, TLS-Terminierung, DDoS-Schutz). Cloudflare hat keinen Zugriff auf die Supabase-Datenbank des Auftragsverarbeiters. Sämtlicher Datenverkehr wird nach Frankfurt geroutet (konfiguriert über Cloudflare Regional Services / AWS eu-central-1).
(1) Die Übermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission gemäß Art. 45 DSGVO (EU-U.S. Data Privacy Framework, Durchführungsbeschluss (EU) 2023/1795). Ergänzend sind Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss (EU) 2021/914) abgeschlossen.
(2) Der Auftragsverarbeiter prüft regelmäßig die Gültigkeit des EU-U.S. Data Privacy Framework und stellt bei Wegfall unverzüglich auf die vereinbarten Standardvertragsklauseln als alleinige Transfergrundlage um.
Im Übrigen gelten die Bestimmungen des Auftragsverarbeitungsvertrags.
Stand: April 2026.