Rechtliches
Alle rechtlichen Dokumente an einem Ort
Datenschutzerklärung
DSGVO Art. 13, 14
flowgeist KITA – Software für Kita-Einrichtungen
Stand: 08.07.2026 | Version: 0.2
Rechtlicher Hinweis: Dieses Dokument ist eine Vorlage und ersetzt keine anwaltliche Prüfung. Vor Veröffentlichung ist rechtliche Beratung durch einen Fachanwalt für IT-/Datenschutzrecht einzuholen.
Präambel und Rollenverteilung
Diese Datenschutzerklärung bezieht sich auf das Produkt "flowgeist KITA" und
berücksichtigt die spezifische Rollenverteilung:
- flowgeist (Software-Lieferant): Auftragsverarbeiter im Sinne der DSGVO.
Verarbeitet personenbezogene Daten ausschliesslich im Auftrag des
Generalunternehmers bzw. des Endkunden (Kita-Träger). - Generalunternehmer: Verantwortlich für die Datenverarbeitung gegenüber
Endkunden und betroffenen Personen. - Endkunde (Kita-Träger): Verantwortlicher im Sinne der DSGVO für die
Verarbeitung der Daten von Kindern, Erziehungsberechtigten und Personal.
Wichtiger Hinweis: Diese Datenschutzerklärung ist eine Produkt-spezifische
Ergänzung. Die finale Datenschutzerklärung gegenüber betroffenen Personen
(Kinder, Eltern, Personal) wird durch den jeweiligen Generalunternehmer
bzw. Kita-Träger erstellt, da dieser die Verantwortlichenrolle innehat.
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist der jeweilige Kita-Träger, der die
Software "flowgeist KITA" einsetzt. Die Kontaktdaten des Verantwortlichen
sind der jeweiligen Kita-Einrichtung zu entnehmen.
Software-Lieferant (Auftragsverarbeiter):
flowgeist – Ralf Carsjens
Eidamshauser Straße 13
40822 Mettmann
Deutschland
E-Mail: info@flowgeist.de
Telefon: +49 155 109 251 22
Generalunternehmer:
[PLATZHALTER: Firmenname des Generalunternehmers — EXTERN]
[PLATZHALTER: Adresse — EXTERN]
[PLATZHALTER: E-Mail — EXTERN]
[PLATZHALTER: Telefon — EXTERN]
2. Verarbeitung im Rahmen der Software "flowgeist KITA"
2.1 Datenkategorien und Verarbeitungszwecke
Die Software "flowgeist KITA" verarbeitet folgende personenbezogene Daten:
a) Kinderdaten
| Datenkategorie | Zweck | Rechtsgrundlage |
|---|---|---|
| Name, Vorname, Geburtsdatum | Identifikation und Verwaltung | Art. 6 Abs. 1 lit. b DSGVO |
| Adresse | Kontakt und Verwaltung | Art. 6 Abs. 1 lit. b DSGVO |
| Gesundheitsdaten (Allergien, Medikamente, Erkrankungen) | Pflege und Notfallversorgung | Art. 9 Abs. 2 lit. h DSGVO |
| Integrations-/Inklusionsbedarf | Individuelle Förderung | Art. 9 Abs. 2 lit. h DSGVO |
| Betreuungsvertrag und -zeiten | Vertragsabwicklung | Art. 6 Abs. 1 lit. b DSGVO |
| Anwesenheits-/Abwesenheitsdaten | Betreuungsdokumentation, Abrechnung | Art. 6 Abs. 1 lit. b DSGVO |
| Bring-/Abholberechtigungen | Sicherheit und Aufsichtspflicht | Art. 6 Abs. 1 lit. b DSGVO |
| Ernährungsbedarf (Unverträglichkeiten) | Verpflegung, Gesundheit | Art. 9 Abs. 2 lit. h DSGVO |
b) Erziehungsberechtigte / Eltern
| Datenkategorie | Zweck | Rechtsgrundlage |
|---|---|---|
| Name, Vorname | Identifikation | Art. 6 Abs. 1 lit. b DSGVO |
| Adresse, Telefon, E-Mail | Kontakt, Notfall | Art. 6 Abs. 1 lit. b DSGVO |
| Sorgerechtsverhältnisse | Berechtigungsprüfung | Art. 6 Abs. 1 lit. b DSGVO |
| Bankverbindung | Beitragsabrechnung | Art. 6 Abs. 1 lit. b DSGVO |
| Beitragsdaten | Gebührenabrechnung | Art. 6 Abs. 1 lit. b DSGVO |
c) Personal der Kita-Einrichtung
| Datenkategorie | Zweck | Rechtsgrundlage |
|---|---|---|
| Name, Vorname, Kontaktdaten | Identifikation, Verwaltung | Art. 6 Abs. 1 lit. b DSGVO |
| Beschäftigungsverhältnis | Einsatzplanung | Art. 6 Abs. 1 lit. b DSGVO |
| Qualifikationen, Zertifikate | Eignungsprüfung, Nachweis | Art. 6 Abs. 1 lit. b DSGVO |
| Einsatzplanung, Arbeitszeiten | Personalverwaltung | Art. 6 Abs. 1 lit. b DSGVO |
| Abwesenheitsgrund (Krankheit) | Vertretungsplanung | Art. 9 Abs. 2 lit. h DSGVO |
d) Notfallkontakte
| Datenkategorie | Zweck | Rechtsgrundlage |
|---|---|---|
| Name, Telefonnummer | Notfallkontaktierung | Art. 6 Abs. 1 lit. b DSGVO |
| Verhältnis zum Kind | Berechtigungsprüfung | Art. 6 Abs. 1 lit. b DSGVO |
e) Technische Daten
| Datenkategorie | Zweck | Rechtsgrundlage |
|---|---|---|
| IP-Adresse (pseudonymisiert) | Sicherheit, Fehlersuche | Art. 6 Abs. 1 lit. f DSGVO |
| Login-Daten, Session-IDs | Authentifizierung | Art. 6 Abs. 1 lit. f DSGVO |
| Audit-Logs | Nachvollziehbarkeit, Sicherheit | Art. 6 Abs. 1 lit. f DSGVO |
3. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
Die Software verarbeitet besondere Datenkategorien gemäss Art. 9 DSGVO:
- Gesundheitsdaten von Kindern (Allergien, Medikamente, chronische Erkrankungen)
- Pflege- und Betreuungsbedarf (Integrations-/Inklusionsmassnahmen)
- Krankheitsdaten von Personal (Abwesenheitsgrund)
Diese Daten werden ausschliesslich verarbeitet, soweit dies für die
Betreuung und Pflege der Kinder bzw. die Personalverwaltung erforderlich ist.
Die Rechtsgrundlage ergibt sich aus Art. 9 Abs. 2 lit. h DSGVO
(Gesundheitsvorsorge) i.V.m. den entsprechenden landesrechtlichen
Bestimmungen für Kindertageseinrichtungen.
4. Datenverarbeitung Minderjähriger
(1) Die Software verarbeitet Daten von Kindern (Minderjährige, teilweise
unter 14 Jahren).
(2) Die Verarbeitung erfolgt auf Grundlage der Einwilligung der
Erziehungsberechtigten bzw. auf Grundlage des Betreuungsvertrages.
(3) Der Kita-Träger als Verantwortlicher stellt sicher, dass:
- Erziehungsberechtigte vor Abschluss des Betreuungsvertrages über die
Datenverarbeitung informiert werden - Die erforderlichen Einwilligungen eingeholt werden
- Daten Minderjähriger nicht für andere Zwecke (z.B. Marketing) verwendet werden
(4) Die Software selbst führt keine eigenständige Verarbeitung von
Kinderdaten durch. Alle Verarbeitungsvorgänge erfolgen auf Weisung des
Verantwortlichen.
5. Rollen und Verantwortlichkeiten
5.1 Software-Lieferant (flowgeist) als Auftragsverarbeiter
- Verarbeitet Daten ausschliesslich im Auftrag des Generalunternehmers
bzw. des Kita-Trägers - Hat keinen eigenverantwortlichen Zugriff auf die Dateninhalte
- Ist gemäss Art. 28 DSGVO verpflichtet, die TOMs einzuhalten
- Informiert den Verantwortlichen bei Datenverletzungen unverzüglich
5.2 Generalunternehmer als Vermittler
- Vermittelt die Software-Lösung an den Kita-Träger
- Ist verantwortlich für die vertragliche Einbindung des Kita-Trägers
- Stellt sicher, dass ein AVV mit dem Software-Lieferanten besteht
5.3 Kita-Träger als Verantwortlicher
- Entscheidet über Art und Umfang der Datenverarbeitung
- Ist Ansprechpartner für betroffene Personen
- Ist verantwortlich für die Einholung von Einwilligungen
- Ist verantwortlich für die Informationspflichten gegenüber Betroffenen
6. Speicherdauer und Löschung
(1) Personenbezogene Daten werden gelöscht, sobald sie für die
Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind.
(2) Massgebliche Aufbewahrungsfristen:
| Datenkategorie | Aufbewahrungsfrist | Grundlage |
|---|---|---|
| Kinderdaten (Stammdaten) | Austritt + 10 Jahre | Vertragsabwicklung, § 2.3.22 LB |
| Gesundheitsdaten (Kind) | Austritt + 1 Jahr | Haftung, Nachweis, Art. 9 Abs. 2 lit. h DSGVO |
| Erziehungsberechtigte | Kindaustritt + 10 Jahre | Vertragsabwicklung |
| Beitrags-/Abrechnungsdaten | 10 Jahre | HGB § 257, AO § 147 |
| Personaldaten | Austritt + 10 Jahre | Arbeitsrechtliche Aufbewahrung |
| Krankheitsdaten (Personal) | 4 Wochen nach Ende (soweit nicht Abrechnungsbezug) | Art. 9 Abs. 2 lit. h DSGVO |
| Anwesenheitsdaten | 6 Jahre | Abrechnungsnachweis |
| Audit-Logs | 10 Jahre | SGB X §35, Revisionssicherheit |
| Backups | 30 Tage | Disaster Recovery |
| Elternportal-Anträge (abgelehnt) | 1 Jahr nach letzter Aktivität | Datenminimierung, Art. 5(1)(c) DSGVO |
| Kontakt-Nachrichten | 1 Jahr nach Archivierung | Datenminimierung |
| Seriendruck-Empfänger (PII) | 365 Tage | Datenminimierung |
(3) Nach Ablauf der Fristen werden die Daten automatisch gelöscht.
(4) Backups werden nach der definierten Aufbewahrungsfrist überschrieben.
7. Betroffenenrechte
Betroffene Personen (Kinder über deren Erziehungsberechtigte, Eltern, Personal)
haben folgende Rechte:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
Anfragen sind an den jeweiligen Kita-Träger als Verantwortlichen zu richten.
Der Software-Lieferant unterstützt den Verantwortlichen bei der Umsetzung.
8. Sicherheit der Datenverarbeitung
(1) Der Software-Lieferant implementiert umfassende technisch-organisatorische
Massnahmen (TOMs) gemäss Art. 32 DSGVO. Details sind im AVV (Anlage) geregelt.
(2) Kernmassnahmen:
- Verschlüsselung aller Datenübertragungen (TLS 1.3)
- Verschlüsselung ruhender Daten (AES-256)
- Multi-Faktor-Authentifizierung für alle administrativen Zugänge
- Rollenbasiertes Zugriffskontrollsystem
- Mandantentrennung auf Datenbankebene
- Tägliche automatisierte Backups
- Geo-redundante Speicherung
- 24/7 Monitoring mit Alerting
- Audit-Logging aller Datenänderungen
(3) Die Verarbeitung erfolgt in europäischen Rechenzentren.
Kein Datentransfer in Drittländer.
9. Datenverletzungen
(1) Im Falle einer Datenverletzung informiert der Software-Lieferant den
Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden.
(2) Der Verantwortliche prüft die Meldepflicht an die Aufsichtsbehörde
(Art. 33 DSGVO) und ggf. die Benachrichtigungspflicht gegenüber
betroffenen Personen (Art. 34 DSGVO).
10. Cookies und lokale Speicherung
(1) Die Software verwendet technisch notwendige Cookies/Session-Tokens
zur Aufrechterhaltung der Benutzersitzung.
(2) Es werden keine Tracking-Cookies oder Marketing-Cookies verwendet.
(3) Die Progressive Web App speichert Authentifizierungs-Tokens lokal auf dem Gerät
(Secure Storage / Keychain).
(4) Auf den öffentlichen Marketing-Seiten (flowgeist-kita.de) wird Umami Analytics
eingesetzt – eine cookie-freie, anonymisierte Web-Analyse-Software. Umami setzt keine
Cookies ein und verarbeitet keine personenbezogenen Daten. Die Datenerfassung erfolgt
serverseitig und umfasst ausschließlich anonyme Metadaten (Seitenaufruf, Referrer,
gerätebezogene Grobkategorien). Die Speicherdauer beträgt 6 Monate. Rechtsgrundlage ist
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, Opt-in über Cookie-Banner). Umami wird erst
nach ausdrücklicher Zustimmung über das Cookie-Banner aktiviert.
11. Aktualisierung dieser Datenschutzerklärung
(1) Diese Datenschutzerklärung kann bei Änderungen der Verarbeitungsvorgänge
oder gesetzlicher Anforderungen aktualisiert werden.
(2) Wesentliche Änderungen werden den betroffenen Personen durch den
Verantwortlichen mitgeteilt.
12. Kontakt
Software-Lieferant:
flowgeist – Ralf Carsjens
Eidamshauser Straße 13
40822 Mettmann
Deutschland
E-Mail: datenschutz@flowgeist.de
Allgemeiner Hinweis: Bei Fragen zum Datenschutz wenden sich betroffene
Personen zunächst an den jeweiligen Kita-Träger. Bei Fragen zur
technischen Umsetzung kann der Software-Lieferant kontaktiert werden.
Beschwerderecht bei der Aufsichtsbehörde:
Betroffene Personen haben das Recht, sich bei einer Aufsichtsbehörde zu
beschweren. Zuständig ist die Aufsichtsbehörde am Sitz des jeweiligen
Verantwortlichen (Kita-Träger).
Für Kita-Träger in Nordrhein-Westfalen:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Postfach 20 04 44
40102 Düsseldorf
Web: https://www.ldi.nrw
Hinweis: Für Kita-Träger in anderen Bundesländern ist die jeweils zuständige Landesdatenschutzbehörde massgeblich.
Version: 0.2 | Datum: 08.07.2026 | Status: Entwurf – nicht veröffentlicht
© 2026 flowgeist – Ralf Carsjens · Alle Rechte vorbehalten