1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung und sonstiger nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
Sebastian Trösterdraw-up
Frühlingstr. 27
97708 Bad Bocklet
Deutschland
Telefon: +49 170 3205423
E-Mail (allgemein): kontakt@heykits.de
E-Mail (Datenschutz): datenschutz@heykits.de
2. Datenschutzbeauftragter
Eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht gemäß § 38 BDSG nicht, da die gesetzlichen Schwellenwerte nicht erreicht werden. Anfragen zu datenschutzrechtlichen Themen, insbesondere zur Ausübung Ihrer Betroffenenrechte, richten Sie bitte an datenschutz@heykits.de.
3. Verantwortlicher vs. Auftragsverarbeiter
Diese Datenschutzerklärung gilt für zwei unterschiedliche Verarbeitungs-Kontexte mit unterschiedlichen Rollenverteilungen nach Art. 4 Nr. 7 und Art. 28 DSGVO:
- Marketing-Website heykits.de – Hier ist der oben genannte Anbieter (Sebastian Tröster / draw-up) selbst Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO, etwa für Server-Logs, das Demo-Anfrageformular und den Newsletter-Versand.
- Software „Hey Kits“ (app.heykits.de) – Setzt eine Kindertageseinrichtung (Träger, Verein, Kommune) die Software ein, ist die jeweilige Einrichtung Verantwortlicher für die in der App verarbeiteten Eltern-, Kinder- und Personaldaten. Der Anbieter ist insoweit Auftragsverarbeiter nach Art. 28 DSGVO; die Verarbeitung erfolgt ausschließlich auf Grundlage eines mit der Einrichtung geschlossenen Auftragsverarbeitungsvertrags (AVV).
Die nachfolgenden Abschnitte 5–8 beschreiben die Verarbeitung auf der Marketing-Website. Abschnitt 10 beschreibt die Verarbeitung in der Software, soweit sie für Eltern, Beschäftigte und sonstige App-Nutzer:innen relevant ist.
4. Überblick der Verarbeitungen
Wir verarbeiten personenbezogene Daten in folgenden Zusammenhängen:
- Bereitstellung der Website und Erstellung von Server-Logfiles
- Bearbeitung von Demo-Anfragen über das Kontaktformular
- Versand unseres Newsletters nach Double-Opt-In (sofern Sie sich angemeldet haben)
- Speicherung Ihrer Cookie-Auswahl (technisch erforderlich)
- Optional und nur nach Einwilligung: Reichweitenmessung und Marketing-Tracking
5. Rechtsgrundlagen
Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Bei der Verarbeitung zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen ist Art. 6 Abs. 1 lit. b DSGVO einschlägig. Soweit eine Verarbeitung zur Wahrung eines berechtigten Interesses erforderlich ist, dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.
6. Server-Logfiles
Beim Aufruf unserer Website werden vom Hostingdienstleister automatisch Informationen erfasst und in Logfiles gespeichert (sogenannte Server-Logfiles). Erfasst werden:
- aufgerufene URL und HTTP-Statuscode
- Zeitpunkt der Anfrage
- Browsertyp, Betriebssystem und Referrer
- anonymisierte / gekürzte IP-Adresse (vom Hoster verarbeitet)
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse ist die technische Bereitstellung und Sicherheit der Website. Eine Zusammenführung dieser Daten mit anderen Datenquellen findet nicht statt.
7. Kontakt- und Demo-Anfrageformular
Wenn Sie uns über das Demo-Anfrageformular kontaktieren, verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail, Kita/Träger, Rolle sowie optional Telefonnummer, Anzahl Kinder und Nachricht) zur Bearbeitung Ihrer Anfrage. Die Eingabe einer Einwilligungs-Checkbox ist verpflichtend; ohne diese Einwilligung können wir Ihre Anfrage nicht verarbeiten.
Zusätzlich speichern wir den Zeitpunkt der Einwilligung (Consent-Timestamp) sowie eine per SHA-256 mit Salt unwiderruflich gehashte Form Ihrer IP-Adresse zur Spam-Abwehr. Die ursprüngliche IP-Adresse wird zu keinem Zeitpunkt im Klartext gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a (Einwilligung) und lit. b (vorvertragliche Maßnahmen) DSGVO. Speicherdauer siehe Abschnitt 15.
Die Daten werden in unserem Auftragsverarbeitungssystem (Supabase, siehe Abschnitt 13) abgelegt; eine Benachrichtigungs-E-Mail an unser Vertriebsteam erfolgt über den Dienst Resend.
10. Datenverarbeitung in der Hey Kits-App
Die App Hey Kits ist nur für eingeloggte Nutzer:innen einer Kindertageseinrichtung erreichbar. Der Anbieter verarbeitet die folgenden Datenkategorien im Auftrag der jeweiligen Einrichtung (Art. 28 DSGVO):
10.1 Eltern / Erziehungsberechtigte
- Stammdaten: Name, Anschrift, E-Mail, Telefon
- Bankverbindung (verschlüsselt gespeichert, in der UI nur maskiert als
DE** **** **** **** ****12) und SEPA-Mandate - Kommunikation mit der Einrichtung, Buchungsbelege, Einwilligungen
10.2 Kinder
- Stammdaten: Name, Geburtsdatum, Gruppe
- Anwesenheit, Abholungen, Mahlzeiten
- Allergien, Gesundheits- und Notfallnotizen – diese können besondere Kategorien nach Art. 9 DSGVO enthalten und werden ausschließlich auf Grundlage ausdrücklicher Einwilligung der Erziehungsberechtigten verarbeitet (Art. 9 Abs. 2 lit. a DSGVO)
- Fotos – Zugriff ausschließlich über kurzzeitig gültige signierte URLs, keine öffentliche Speicherung
10.3 Erzieher:innen und sonstiges Personal
- Stammdaten
- Arbeitszeiten, Urlaubsanträge, Dienstpläne, Zeiterfassung
10.4 Geräte und technische Daten
- Terminal- und Infoscreen-Tokens
- Push-Geräte-Tokens (nur mit Einwilligung)
- Technische Logs: Login-Events, Audit-Logs sensibler Aktionen (Rollenänderungen, Bankdaten-Zugriffe, Datenexporte, Anonymisierungen), Rate-Limit-Daten, Realtime-Sessions
10.5 Rechtsgrundlagen in der App
- Art. 6 Abs. 1 lit. b DSGVO – Vertrag zwischen Eltern und Einrichtung (Betreuungsvertrag).
- Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung (z. B. Kindertagesstättengesetz, Anwesenheitsnachweise, steuerliche Pflichten).
- Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse (IT-Sicherheit, Missbrauchsprävention, Audit-Logs).
- Art. 6 Abs. 1 lit. a / Art. 9 Abs. 2 lit. a DSGVO – (ausdrückliche) Einwilligung der Erziehungsberechtigten (z. B. Fotoveröffentlichung, Gesundheits-/Allergiedaten, Push-Benachrichtigungen).
10.6 Self-Service-Datenexport
Eingeloggte Eltern können in den App-Einstellungen unter „Datenschutz“ jederzeit einen vollständigen, maschinenlesbaren JSON-Export ihrer eigenen und der Daten ihrer Kinder herunterladen (Art. 15 / Art. 20 DSGVO). Aus Schutzgründen ist der Export auf einmal pro Stunde begrenzt.
Eine Löschung im Sinne des Art. 17 DSGVO erfolgt – soweit gesetzliche Aufbewahrungsfristen dem nicht entgegenstehen – durch Pseudonymisierung der Stammdaten und Entfernung der Bankverbindung; entsprechende Anträge richten Sie an Ihre Einrichtung oder an datenschutz@heykits.de.
11. Schutz minderjähriger Personen (Art. 8 DSGVO)
Hey Kits verarbeitet systematisch Daten von Kindern. Daraus ergeben sich folgende Schutzmaßnahmen:
- Einwilligungen werden ausschließlich von Erziehungsberechtigten erteilt – die Erteilung erfolgt nicht durch die Kinder selbst.
- Die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO (insb. Gesundheit, Allergien) sowie die Veröffentlichung von Fotos sind ausdrücklich einwilligungspflichtig und können jederzeit widerrufen werden (Art. 7 Abs. 3 DSGVO).
- Eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO ist für die App durchgeführt; sie wird gemeinsam mit der jeweiligen Einrichtung als Verantwortlichem fortgeschrieben.
- Sämtliche Datenbanktabellen mit Kinderdaten sind durch Row-Level-Security (RLS) gegen Querzugriffe geschützt – Nutzer:innen sehen ausschließlich Daten ihrer eigenen Kinder bzw. freigegebener Gruppen.
12. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Der Anbieter setzt insbesondere folgende Maßnahmen zum Schutz der verarbeiteten Daten ein:
- Hosting in der EU: Marketing-Website und App werden auf Hostinger Cloud betrieben; die Datenbank inklusive Auth und Storage läuft bei Supabase in der EU-Region (Frankfurt am Main).
- Verschlüsselte Übertragung: TLS 1.2 oder höher auf allen Verbindungen, HSTS-Header aktiv.
- Row-Level-Security (RLS) auf jeder mandantenfähigen Tabelle – inklusive Realtime-Streams, sodass Nutzer:innen ausschließlich Änderungen ihrer eigenen bzw. freigegebener Daten erhalten.
- Bankdaten verschlüsselt in der Datenbank (dedizierte Edge Functions
encrypt-bank-data/decrypt-bank-data); in der Oberfläche stets nur maskierte IBAN. - Private Storage-Buckets für sensible Inhalte (Kinder-Dokumente, Nachrichten-Anhänge, Abhol-Fotos); Zugriff ausschließlich über kurzzeitig gültige signierte URLs (1 Stunde für Dokumente, 24 Stunden für Fotos).
- Server-seitige sensible Schreibvorgänge (Rollen, Bankdaten, Authentifizierung) über Edge Functions mit Audit-Trail.
- Audit-Logs für Bankdaten-Zugriffe, Rollenänderungen, Datenexporte und Anonymisierungen.
- Passwortloser Login per Passkey/WebAuthn möglich; Rate-Limiting auf Login, Passkey- und PIN-Verifikation.
- Automatische Retention-Cleanups (
pg_cronin Supabase, täglich) – Logs werden nach Ablauf der jeweiligen Aufbewahrungsfrist datenbankseitig gelöscht (siehe Abschnitt 15). - Mobile-Apps (iOS / Android) basieren auf Capacitor; Push-Tokens werden nur nach Einwilligung registriert.
- Meldepflicht-Prozess bei Datenpannen gemäß Art. 33 DSGVO ist intern dokumentiert (Reaktion innerhalb von 72 Stunden).
13. Auftragsverarbeiter
Zur Bereitstellung der Marketing-Website, zur Bearbeitung von Anfragen und zum Betrieb der Software setzen wir folgende Dienstleister ein, mit denen ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO besteht. Eine fortlaufend aktualisierte Sub-Subprozessoren-Liste pflegen die jeweiligen Anbieter öffentlich (verlinkt):
- Hostinger International Ltd., Litauen – Hosting und Server-Bereitstellung sowohl für die Marketing-Website heykits.de als auch für die Software app.heykits.de. Verarbeitung in der EU. Anonymisierte / gekürzte Server-Logs.
- Supabase Inc., USA (Hosting EU-Region, Frankfurt am Main) – Datenbank, Authentifizierung, Storage und Edge Functions für die Software sowie Persistenz von Demo-Anfragen und Newsletter-Abonnenten. Verarbeitung erfolgt ausschließlich in der EU; Standardvertragsklauseln der EU-Kommission (SCC) gemäß Art. 46 DSGVO. Subprozessoren: supabase.com/subprocessors.
- Resend Inc., USA – Versand der internen Benachrichtigungs-E-Mail nach Eingang einer Demo-Anfrage. Standardvertragsklauseln gemäß Art. 46 DSGVO.
- Brevo SAS (vormals Sendinblue), Frankreich – Transaktionale E-Mails (Bestätigungs-/Newsletter-Mails, App-Einladungen und Benachrichtigungen), Verwaltung der Empfänger-Liste. Datenverarbeitung innerhalb der EU. Subprozessoren: brevo.com/legal/list-of-sub-processors.
- Google LLC (Firebase Cloud Messaging), USA – Zustellung von Push-Benachrichtigungen an Android-Geräte; nur nach ausdrücklicher Einwilligung. Google ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert (Art. 45 DSGVO).
- Apple Inc. (Apple Push Notification Service), USA – Zustellung von Push-Benachrichtigungen an iOS-Geräte; nur nach ausdrücklicher Einwilligung. Apple ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert.
- GitHub Inc. (Microsoft), USA – Code-Hosting der Anwendungs-Quellen; keine Produktivdaten. Microsoft ist DPF-zertifiziert.
14. Drittland-Übermittlung
Sämtliche personenbezogenen Daten aus der Software werden in der EU (Frankfurt am Main) gespeichert. Eine Drittland-Übermittlung findet ausschließlich in folgenden Konstellationen statt:
- USA-Empfänger Supabase und Resend – die Übermittlung basiert auf den Standardvertragsklauseln der EU-Kommission (SCC, Art. 46 DSGVO) zuzüglich ergänzender Schutzmaßnahmen (Verschlüsselung, RLS, EU-Speicherort).
- Push-Dienste Google FCM und Apple APNs – die Übermittlung der Push-Nutzlast erfolgt nur nach ausdrücklicher Einwilligung. Beide Anbieter sind nach dem EU-US Data Privacy Framework angemessenheitsbeschluss-zertifiziert (Art. 45 DSGVO).
15. Speicherdauer
15.1 Marketing-Website
- Server-Logfiles: gemäß Aufbewahrungsfristen unseres Hosters, maximal 30 Tage.
- Demo-Anfragen: bis zur Bearbeitung der Anfrage, anschließend bis zu 24 Monate für Rückfragen, sofern keine Geschäftsbeziehung entsteht. Bei Vertragsabschluss gelten die handels- und steuerrechtlichen Aufbewahrungsfristen.
- Newsletter-Anmeldung: solange Sie angemeldet sind. Nach Abmeldung bis zu 36 Monate zum Nachweis der Einwilligung, anschließend Löschung. Nicht bestätigte Anmeldungen werden spätestens nach 7 Tagen automatisch entwertet (Token-Ablauf) und nach 30 Tagen gelöscht.
- Consent-Status (lokal in Ihrem Browser): bis Sie ihn ändern oder den Browser-Speicher löschen.
15.2 Software „Hey Kits“
Die folgenden Aufbewahrungsfristen sind in der App technisch über automatisierte pg_cron-Jobs umgesetzt (täglicher Cleanup) und gelten als Höchstgrenzen, soweit nicht gesetzliche Aufbewahrungspflichten vorgehen:
- Login- und Aktivitäts-Logs (
user_activity_logs): 90 Tage. - QR- und PIN-Audits (
qr_scan_audit,staff_qr_scan_audit,pin_verification_audit): 180 Tage. - Benachrichtigungen nach Lesen (
notifications): 30 Tage. - Passkey-Rate-Limits: 30 Tage; Login-Rate-Limits: 7 Tage; WebAuthn-Challenges: 1 Stunde.
- Änderungs-Historie Kinderdaten (
child_data_changes): 5 Jahre (DSGVO-Auskunftspflicht). - Bankdaten-Zugriffsprotokoll (
bank_data_access_log): 5 Jahre (Buchhaltung / GoBD). - Stammdaten Kinder/Eltern: bis zum Austritt aus der Einrichtung zuzüglich gesetzlicher Aufbewahrungsfristen.
- Bankdaten / SEPA-Mandate: bis Widerruf zuzüglich 36 Monaten nach letzter Nutzung (SEPA-Rulebook).
- Anwesenheitsdaten: bis zum Austritt aus der Einrichtung zuzüglich 1 Jahr.
16. Ihre Rechte
Sie haben jederzeit das Recht auf:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
- keine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung im Einzelfall (Art. 22 DSGVO) – Hey Kits trifft keine derartigen Entscheidungen.
Innerhalb der Software können eingeloggte Nutzer:innen ihre Daten jederzeit per Self-Service-Export abrufen (Einstellungen → Datenschutz, siehe Abschnitt 10.6). Soweit die Verarbeitung im Auftrag einer Einrichtung erfolgt, sind Auskunfts- und Löschanträge bevorzugt an die jeweilige Einrichtung als Verantwortlichem zu richten.
Wenden Sie sich für die Ausübung Ihrer Rechte gegenüber dem Anbieter an datenschutz@heykits.de. Wir beantworten Ihre Anfrage innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).
17. Beschwerderecht bei der Aufsichtsbehörde
Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Für den Verantwortlichen ist die folgende Datenschutz-Aufsichtsbehörde zuständig:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)Promenade 18
91522 Ansbach
Telefon: +49 (0) 981 53 094 71-0
Web: www.lda.bayern.de