Datenschutzrichtlinie

    Web-App app.bienenstock-kita.de

    Version 3.0 — Stand: April 2026

    Auf einen Blick

    Hosting & Datenstandort
    App-Datenbanken und Hosting: Deutschland. E-Mail: Niederlande. (Ausgenommen Apple/Android Push-Benachrichtigungen und Wallet Cards.) Sämtliche Kerndaten ausschließlich in der EU — keine Konfiguration für Non-EU-Transfer.
    Verschlüsselung
    TLS 1.2/1.3 für jede Übertragung. HTTPS-only. Keine unverschlüsselten Schnittstellen.
    Trennung & Pseudonymität
    Mandantentrennung auf Datenbankebene über Row-Level Security (kita_id-Prüfung) auf jeder Tabelle. Eltern-App ohne externe Nutzerkonten — Zugang nur über pseudonymisierte Kind-Codes. Optional pseudonymisierter Betrieb der gesamten Software möglich (Kürzel statt Klarnamen).
    Non-EU-Transfer
    Funktionen mit Non-EU-Transfer: Apple- und Android-Push-Benachrichtigungen (Eltern-App) sowie Wallet-Karten.

    1. Verantwortlicher und Auftragsverarbeiter

    Verantwortlicher im Sinne der DSGVO (Art. 4 Nr. 7) für die Verarbeitung personenbezogener Daten ist der jeweilige Kita-Träger bzw. die Einrichtung, die die Software nutzt.

    Auftragsverarbeiter gemäß Art. 28 DSGVO ist:

    997 Ventures UG (haftungsbeschränkt)
    Sonnenhof 13
    67677 Enkenbach-Alsenborn
    E-Mail: info@bienenstock-kita.de

    Die 997 Ventures UG verarbeitet personenbezogene Daten ausschließlich im Auftrag und auf Weisung des Verantwortlichen. Das Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter ist im Auftragsverarbeitungsvertrag (AVV) geregelt.

    2. Erhebung und Verarbeitung personenbezogener Daten

    2.1 Automatisch erfasste Daten (Serverprotokolle)

    Bei jedem Zugriff auf die Web-App werden automatisch folgende Informationen erfasst:

    • IP-Adresse
    • Datum und Uhrzeit des Zugriffs
    • Name und URL der abgerufenen Datei(en)
    • Website, von der der Zugriff erfolgt (Referrer-URL)
    • Verwendeter Browser, Betriebssystem und Access-Provider

    Zweck: Verbindungsaufbau, Sicherheit, Systemstabilität, Missbrauchserkennung.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

    2.2 Registrierungsdaten

    • Name, E-Mail-Adresse, Passwort (verschlüsselt gespeichert)
    • Account-Informationen, ggf. Telefonnummer und Organisation

    Zweck: Vertragserfüllung, Authentifizierung, Kontoverwaltung.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

    2.3 Nutzungsdaten (Kita-Betrieb)

    • Stammdaten: Namen, Betreuungsart/-modus, Gruppenzugehörigkeiten
    • Anwesenheitszeiten (Bring- und Abholzeiten via Check-in-/Check-out-Terminal)
    • Interaktionen innerhalb der App, Zeitstempel
    • Reporte und Dokumentation

    Zweck: Organisation des Kita-Betriebs, Erfüllung gesetzlicher Dokumentationspflichten (§ 45, § 47 SGB VIII), Kapazitätsdokumentation, Kommunikation mit Sorgeberechtigten.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung).

    2.4 Kommunikationsdaten

    • Nachrichten zwischen Einrichtung und Sorgeberechtigten
    • Essensabmeldungen und sonstige Mitteilungen über die Eltern-App
    • Kontaktanfragen und Support-Nachrichten
    • Hochgeladene Dateien (z. B. Dokumentation)

    Zweck: Elternkommunikation, Verwaltung, Support.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, bei freiwilliger App-Nutzung).

    2.5 Geräte- und Sitzungsdaten

    • Browsertyp, Betriebssystem, Gerätekennung
    • Sitzungs-IDs
    • Anonymisierte Push-Token (bei aktivierten Benachrichtigungen)

    Zweck: Sicherheit, Zustellung von Push-Benachrichtigungen, Sitzungsverwaltung.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, bei Push-Benachrichtigungen).

    2.6 Support über WhatsApp

    Wir bieten optional Support über WhatsApp an. WhatsApp ist ein Dienst der Meta Platforms Inc. mit Sitz in den USA. Wenn Sie diesen Kanal nutzen, gilt Folgendes:

    • Keine personenbezogenen Daten teilen: Senden Sie über WhatsApp keine personenbezogenen oder sensiblen Daten (z. B. Namen von Kindern, Geburtsdaten, Gesundheitsdaten, Fotos oder Dokumente mit personenbezogenen Inhalten). Der Kanal dient ausschließlich für allgemeine Anfragen und technischen Support.
    • Datenspeicherung außerhalb der EU: WhatsApp-Nachrichten werden auf Servern von Meta Platforms Inc. verarbeitet und gespeichert, die sich auch außerhalb der Europäischen Union (insbesondere in den USA) befinden können. Mit der Nutzung von WhatsApp zur Kontaktaufnahme erklären Sie sich damit einverstanden, dass die Inhalte Ihrer Nachrichten außerhalb der EU gespeichert werden können.

    Zweck: Optionaler Support-Kanal für allgemeine und technische Anfragen.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung des Kanals). Für datenschutzkonforme Kommunikation mit personenbezogenen Daten nutzen Sie bitte E-Mail an info@bienenstock-kita.de oder die Kommunikationsfunktionen innerhalb der Bienenstock-Plattform.

    2.7 ElevenLabs Sprachassistent

    Innerhalb der Anwendung bieten wir einen KI-gestützten Sprachassistenten an, der auf der Technologie von ElevenLabs Inc. (USA) basiert. Die Nutzung ist freiwillig und erfordert eine ausdrückliche Zustimmung (Checkbox) vor der ersten Verwendung.

    • Keine personenbezogenen Daten teilen: Teilen Sie dem Sprachassistenten keine personenbezogenen oder sensiblen Daten mit (z. B. Namen von Kindern, Geburtsdaten, Gesundheitsdaten oder sonstige vertrauliche Informationen). Der Assistent dient ausschließlich für allgemeine Anfragen und technische Hilfestellung.
    • Datenspeicherung außerhalb der EU: Sprachdaten und Texteingaben werden zur Verarbeitung an Server von ElevenLabs Inc. übermittelt, die sich außerhalb der Europäischen Union (insbesondere in den USA) befinden können. Mit der Aktivierung des Sprachassistenten erklären Sie sich damit einverstanden, dass Ihre Eingaben außerhalb der EU verarbeitet und gespeichert werden können.

    Zweck: Optionaler KI-Sprachassistent für allgemeine und technische Anfragen.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung per Checkbox vor der ersten Nutzung). Die Einwilligung kann jederzeit widerrufen werden, indem der Sprachassistent nicht mehr verwendet wird.

    2a. Betroffene Personen

    • Kinder der Einrichtung
    • Eltern / Sorgeberechtigte
    • Mitarbeitende der Einrichtung

    3. QR-Code-Erkennung und Kameranutzung

    Die Web-App nutzt die Kamera des Endgeräts ausschließlich zum Scannen von QR-Codes am Check-in-/Check-out-Terminal. Obwohl die Kamera dauerhaft aktiviert sein kann, erfolgt keine Videoüberwachung im Sinne von § 4 BDSG. Insbesondere gilt:

    • Es findet keine Aufzeichnung oder Speicherung von Bildmaterial statt.
    • Die Kamera dient ausschließlich der technischen Erkennung von QR-Codes.
    • Es erfolgt keine Beobachtung oder Auswertung von Personen oder Umgebungen.
    • Eine Weitergabe oder Analyse von Kameradaten findet nicht statt.
    • Die Erkennung der Codes erfolgt lokal auf dem Endgerät (Tablet).

    Die Nutzung der Kamera erfolgt zweckgebunden, nicht dauerhaft beobachtend und nicht zur Überwachung öffentlich zugänglicher Räume, sodass keine Videoüberwachung im rechtlichen Sinne vorliegt.

    4. Eltern-App: Push-Benachrichtigungen und Wallet-Karten

    Die Eltern-App (separate, datenfreie App ohne Account) bietet optionale Funktionen wie Push-Benachrichtigungen und digitale Wallet-Karten. Darüber hinaus werden API-Anfragen der Eltern-App (z. B. Essensabmeldungen, Abmeldungen, früheres Abholen, allgemeine Nachrichten, Kita-Status, Umfrage-Antworten) über Cloudflare Workers an die Kita-Datenbank (Supabase) weitergeleitet. Dabei werden pseudonymisierte Kind-IDs und Kita-IDs übertragen. Check-in-/Check-out-Zeiten von Kindern oder Personal werden nicht über Cloudflare verarbeitet. Diese Funktionen verwenden zusätzliche Dienstleister (Expo, Cloudflare), die nicht für die Web-App eingesetzt werden.

    Die vollständige Datenschutzerklärung für die Eltern-App mit allen Details zu diesen Funktionen und Diensten finden Sie unter: Datenschutzerklärung der Eltern-App.

    5. Unterauftragsverarbeiter und Weitergabe an Dritte

    Personenbezogene Daten werden nur in folgenden Fällen weitergegeben:

    • Zur Vertragserfüllung oder zum App-Betrieb an Unterauftragsverarbeiter (Art. 6 Abs. 1 lit. b DSGVO)
    • Bei gesetzlicher Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
    • Bei berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO)
    • Mit ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

    Folgende Unterauftragsverarbeiter werden eingesetzt. Mit jedem besteht ein Auftragsverarbeitungsvertrag (DPA):

    AnbieterZweckServerstandort
    Supabase Inc.Datenbank, Authentifizierung, BackendEU (Frankfurt/AWS)
    Hetzner Online GmbHVerwaltungsinfrastruktur (kein Kontakt mit Kita-Daten)Deutschland (Falkenstein/Nürnberg)
    Vercel Inc.Hosting der Web-Anwendung, Serverless FunctionsEU (Frankfurt)
    Zoho Corporation Pvt. Ltd.E-Mail-Kommunikation und -SpeicherungEU (Niederlande)

    Die vollständige Liste mit Zertifizierungen befindet sich in Anlage 1 des AVV.

    Es werden keine Analyse-, Tracking- oder Werbetools eingesetzt.

    6. Datenübermittlung außerhalb der EU

    Sämtliche personenbezogenen Daten der Web-App werden ausschließlich auf Servern innerhalb der Europäischen Union gespeichert (Hauptstandort: Supabase, Frankfurt/AWS). Serverless Functions und Datenspeicherung bei Vercel sind auf die EU-Region (Frankfurt) konfiguriert. Es besteht keine Konfiguration auf Non-EU-Transfer.

    Rechtliche Absicherung gegenüber US-Muttergesellschaften: Supabase Inc. und Vercel Inc. haben ihren Sitz in den USA. Potenzielle Zugriffsmöglichkeiten — insbesondere nach US-CLOUD-Act — sind über den Angemessenheitsbeschluss EU-U.S. Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795) sowie ergänzend über Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss (EU) 2021/914) abgesichert. Eine dauerhafte Speicherung personenbezogener Daten außerhalb der EU findet nicht statt.

    Hinweis zur Eltern-App: Für die separate, datenfreie Eltern-App (ohne Account, pseudonymisiert) werden zusätzliche Dienste eingesetzt:

    • Cloudflare (API-Transit) — auf Frankfurt (AWS eu-central-1 / Cloudflare Regional Services) beschränkt, reiner Transit, keine dauerhafte Speicherung, kein Datenbankzugriff.
    • Apple Push Notification service, Firebase Cloud Messaging, Expo — Push-Zustellung iOS/Android. Plattformbedingt teilweise globale (US-)Infrastruktur, technisch zwingend durch Apple/Google vorgegeben. Reiner Transit, keine Speicherung. Der Push-Payload enthält ausschließlich allgemeine, nicht personenbezogene Informationen (z. B. Kita-Status), keine Namen, Kürzel oder Kind-Codes.

    Cloudflare verarbeitet keine Check-in-/Check-out-Zeiten von Kindern oder Personal. Details zu allen Subprozessoren der Eltern-App finden sich in der Datenschutzerklärung der Eltern-App.

    7. Cookies und ähnliche Technologien

    Wir setzen ausschließlich technisch notwendige Cookies ein, um die Funktionalität der Web-App sicherzustellen (z. B. Sitzungsverwaltung, Authentifizierung).

    Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für technisch notwendige Cookies. Tracking- oder Marketing-Cookies werden nicht eingesetzt.

    8. Speicherdauer

    Personenbezogene Daten werden nur solange gespeichert, wie dies zur Erreichung der Verarbeitungszwecke erforderlich ist oder der Verantwortliche (Kita-Träger) eine längere Speicherung anweist.

    Insbesondere gilt:

    • Anwesenheitsdaten (Bring-/Abholzeiten): Die gesetzliche Aufbewahrungspflicht von mindestens 5 Jahren (§ 47 Abs. 2 SGB VIII) obliegt dem Kita-Träger als Verantwortlichem. Wir speichern diese Daten im Auftrag des Trägers so lange, wie dieser es anweist oder das Vertragsverhältnis besteht.
    • Registrierungsdaten: Für die Dauer des Vertragsverhältnisses sowie 30 Tage nach Kündigung (Datenexport-Frist).
    • Serverprotokolle: Maximal 90 Tage, sofern kein Sicherheitsvorfall vorliegt.

    Nach Beendigung des Vertragsverhältnisses werden die Daten innerhalb von 30 Tagen nach Wahl des Verantwortlichen gelöscht oder zurückgegeben (siehe AVV §8). Es liegt in der Verantwortung des Kita-Trägers, vor Löschung für die Einhaltung seiner gesetzlichen Aufbewahrungspflichten zu sorgen.

    9. Unterscheidung: Pflichtdaten und freiwillige Daten

    Pflichtdaten (Bring- und Abholzeiten)

    Die Erfassung der Bring- und Abholzeiten erfolgt am Check-in-/Check-out-Terminal in der Kita. Diese Dokumentation ist gesetzlich vorgeschrieben (§ 45, § 47 SGB VIII, §§ 1631, 832 BGB) und Bestandteil des Betreuungsvertrags. Eine Abwahl (Opt-out) ist nicht möglich.

    Freiwillige Daten (über die Eltern-App)

    Die Eltern-App funktioniert ohne Account und ohne Angabe personenbezogener Daten. Die Nutzung erfolgt ausschließlich pseudonymisiert über eine bestehende Kind-ID aus dem Kita-System. Alle über die App übermittelten Informationen — z. B. Essensabmeldungen, Abholbenachrichtigungen oder sonstige Mitteilungen — sind freiwillig. Es besteht keine Pflicht zur Nutzung der App. Details: Datenschutzerklärung der Eltern-App.

    10. Betroffenenrechte

    Als betroffene Person — und als Erziehungsberechtigter im Namen Ihres Kindes — stehen Ihnen folgende Rechte gemäß der DSGVO zu:

    • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die gespeicherten Daten verlangen.
    • Recht auf Berichtigung (Art. 16 DSGVO): Unrichtige oder unvollständige Daten können Sie korrigieren lassen.
    • Recht auf Löschung (Art. 17 DSGVO): Vorbehaltlich gesetzlicher Aufbewahrungsfristen (§ 47 Abs. 2 SGB VIII).
    • Recht auf Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
    • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
    • Widerspruchsrecht (Art. 21 DSGVO): Für freiwillig übermittelte Daten jederzeit möglich. Für Pflichtdaten besteht kein Widerspruchsrecht (Art. 6 Abs. 1 lit. c DSGVO).
    • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

    Verantwortlichkeit: Verantwortlich für die Datenverarbeitung ist der jeweilige Kita-Träger. Die 997 Ventures UG verarbeitet die Daten als Auftragsverarbeiter ausschließlich im Auftrag und auf Weisung der Kita. Anfragen zu Ihren Rechten richten Sie an Ihre Kita.

    Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP).

    11. Datensicherheit

    Wir setzen umfassende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein:

    • Verschlüsselung: TLS 1.2/1.3 bei Übertragung (HTTPS-only, keine unverschlüsselten Schnittstellen), AES-256 bei Speicherung
    • Zugriffskontrollen: Rollenbasierte Zugriffsbeschränkung, Authentifizierung; Mandantentrennung auf Datenbankebene über Row-Level Security (kita_id-Prüfung) auf jeder Tabelle
    • Verfügbarkeit: Regelmäßige Backups, redundante Infrastruktur, DDoS-Schutz
    • Pseudonymisierung: Kind-Codes anstelle von Klarnamen in der Eltern-App; optional pseudonymisierter Betrieb der Web-App möglich
    • Überprüfung: Regelmäßige Sicherheitsaudits, Evaluierung der Maßnahmen

    Meldung von Datenschutzverletzungen: Im Falle einer Verletzung des Schutzes personenbezogener Daten informieren wir den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme, damit dieser seine 72-Stunden-Meldepflicht gegenüber der Aufsichtsbehörde nach Art. 33 DSGVO einhalten kann.

    Die Speicherung erfolgt ausschließlich auf Servern in der Europäischen Union. Detaillierte TOMs werden auf Anfrage zur Verfügung gestellt.

    12. Minderjährigenschutz

    Unsere Web-App richtet sich primär an Erziehungsberechtigte und Kita-Mitarbeiter. Die Verarbeitung personenbezogener Daten von Kindern erfolgt ausschließlich im Rahmen des Betreuungsverhältnisses und auf Grundlage des Betreuungsvertrags zwischen Kita und Erziehungsberechtigten.

    13. Pseudonymisierung

    Die Software bietet die Möglichkeit, mit pseudonymisierten Daten der Kinder sowie des Personals zu arbeiten. In der Eltern-App werden standardmäßig Kind-Codes anstelle von Klarnamen verwendet. Für weitere Pseudonymisierungsoptionen in der Web-App wenden Sie sich an info@bienenstock-kita.de.

    14. Transparenzinformationen gemäß Art. 13 & 14 DSGVO

    Die Kita oder der Träger ist nach Art. 4 Nr. 7 DSGVO der Verantwortliche für die Datenverarbeitung und damit verpflichtet, die betroffenen Personen (Eltern, Mitarbeitende) über die Verarbeitung zu informieren.

    Wir stellen auf unserer Plattform ein Musterformular für Transparenzinformationen zur Verfügung. Für die Vollständigkeit und Rechtmäßigkeit bei Nutzung dieses Formulars übernimmt der Auftragsverarbeiter keine Haftung.

    15. Verknüpfte Dokumente

    Die folgenden Dokumente sind Bestandteil des Datenschutzkonzepts und ergänzen diese Richtlinie:

    16. Änderungen dieser Datenschutzrichtlinie

    Wir behalten uns vor, diese Datenschutzrichtlinie bei Bedarf anzupassen. Die aktuelle Version ist jederzeit unter bienenstock-kita.de/datenschutzrichtlinie abrufbar.

    Bei Fragen zum Datenschutz wenden Sie sich bitte an: info@bienenstock-kita.de

    ← Zurück zur Startseite