Datenschutzerklärung
Qualitätsmanagement-Feedbacksystem „Stark für Kinder“
https://starkfuerkinder.services
Stand: März 2026
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Stark auch ohne Muckis GmbH
Am Hülsenbusch 23
59063 Hamm
Deutschland
Vertreten durch: Daniel Duddek (Geschäftsführer)
E-Mail: info@starkauchohnemuckis.de
2. Überblick über die Datenverarbeitung
Diese Datenschutzerklärung informiert dich darüber, welche personenbezogenen Daten wir im Rahmen unseres Qualitätsmanagement-Systems (nachfolgend „QM-System“ oder „App“) erheben, verarbeiten und speichern. Das QM-System dient der Qualitätssicherung zertifizierter Anbieter:innen, die im Auftrag der Stark auch ohne Muckis GmbH Kindertrainings, Kindercoachings und Elternberatungen durchführen.
Die App richtet sich an drei Nutzergruppen:
| Nutzergruppe | Beschreibung |
|---|---|
| Administratoren | Mitarbeitende der Stark auch ohne Muckis GmbH, die das QM-System verwalten |
| Anbieter:innen | Zertifizierte TrainerInnen und Coaches, die über ein eigenes Portal auf ihre Qualitätsdaten zugreifen |
| Feedbackgeber:innen | AuftraggeberInnen (z. B. Schulen, Kitas, Eltern), die Feedback zu durchgeführten Maßnahmen abgeben |
3. Hosting und Serverstandort
Das QM-System wird auf einem dedizierten Server der Hetzner Online GmbH betrieben. Sämtliche Daten werden ausschließlich in Deutschland verarbeitet und gespeichert.
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland
Die Datenverarbeitung durch Hetzner erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO. Es findet kein Transfer personenbezogener Daten in Drittländer im Rahmen des Hostings statt. Die Rechtsgrundlage für die Nutzung des Hosting-Dienstleisters ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem zuverlässigen und sicheren Betrieb der App).
4. Erhobene Daten im Detail
4.1 Daten der Feedbackgeber:innen
Wenn du als FeedbackgeberIn ein Feedback-Formular ausfüllst, werden folgende Daten erhoben:
Pflichtangaben:
| Datenart | Zweck | Rechtsgrundlage |
|---|---|---|
| Vor- und Nachname | Zuordnung des Feedbacks, Rückfragen bei Qualitätsproblemen | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| E-Mail-Adresse | Kontaktaufnahme bei Qualitätsfragen | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Likert-Bewertungen (5-stufige Skala) | Qualitätsbewertung der durchgeführten Maßnahme | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Veranstaltungsdatum | Zeitliche Zuordnung des Feedbacks | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Einrichtung/Kurs | Kontextuelle Zuordnung | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Datenschutz-Einwilligung | Nachweis der Einwilligung | Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) |
Freiwillige Angaben:
| Datenart | Zweck | Rechtsgrundlage |
|---|---|---|
| Telefonnummer | Rückfragen bei schwerwiegenden Qualitätsproblemen | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Einwilligung zur QS-Kontaktaufnahme | Erlaubnis zur Kontaktaufnahme bei Qualitätsfragen | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Freitextantworten | Qualitative Rückmeldung zur Maßnahme | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
Die Einwilligung kannst du jederzeit widerrufen (siehe Abschnitt 9). Ein Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
4.2 Daten der AnbieterInnen
Für zertifizierte Anbieter:innen werden folgende Daten verarbeitet:
| Datenart | Zweck | Rechtsgrundlage |
|---|---|---|
| Vor- und Nachname | Identifikation, Zuordnung von Feedbacks | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| E-Mail-Adresse | Kommunikation, Zugangs-Links, Benachrichtigungen | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Region | Regionale Zuordnung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Zugewiesene Szenarien | Steuerung der Feedback-Formulare | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Zertifizierungsstatus und -historie | Nachweis der Zertifizierung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Qualitätsstatus und -metriken | Qualitätssicherung und -entwicklung | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Passwort (optional, bcrypt-gehasht) | Authentifizierung im Trainer-Portal | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Monatsfokus-Einträge | Persönliche Entwicklungsplanung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
Die Verarbeitung der Qualitätsdaten erfolgt im Rahmen des Zertifizierungsvertrags zwischen der Stark auch ohne Muckis GmbH und den AnbieterInnen. Das berechtigte Interesse an der Qualitätssicherung ergibt sich aus der Verantwortung gegenüber den Kindern, Eltern und Einrichtungen, die die Maßnahmen in Anspruch nehmen.
4.3 Daten der Administratoren
| Datenart | Zweck | Rechtsgrundlage |
|---|---|---|
| E-Mail-Adresse | Authentifizierung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Passwort (bcrypt-gehasht) | Authentifizierung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
4.4 Automatisch erhobene technische Daten
Beim Zugriff auf die App werden folgende technische Daten in Server-Logfiles erfasst:
| Datenart | Zweck | Speicherdauer |
|---|---|---|
| IP-Adresse | Sicherheit, Missbrauchsprävention (Rate-Limiting) | Maximal 7 Tage |
| Zeitpunkt des Zugriffs | Sicherheit, Fehleranalyse | Maximal 7 Tage |
| Aufgerufene URL | Sicherheit, Fehleranalyse | Maximal 7 Tage |
| HTTP-Statuscode | Fehleranalyse | Maximal 7 Tage |
Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität der App). Die IP-Adresse wird zusätzlich für das Rate-Limiting verwendet, um Missbrauch des Feedback-Formulars zu verhindern (maximal 5 Einreichungen pro IP-Adresse innerhalb von 10 Minuten).
5. E-Mail-Versand
Für den Versand von Einladungs-E-Mails an neue AnbieterInnen nutzen wir den Dienst Resend.
Plus Five Five, Inc. („Resend“)
2261 Market Street #4990
San Francisco, CA 94114
USA
Resend ist ein US-amerikanisches Unternehmen. Der E-Mail-Versand wurde mit der EU-Region Irland (AWS eu-west-1) konfiguriert, sodass E-Mails über Server in der Europäischen Union versendet werden. Die Account- und Konfigurationsdaten werden jedoch in den USA gespeichert. Es handelt sich daher um eine Datenübermittlung in ein Drittland (USA) im Sinne von Art. 44 ff. DSGVO.
Schutzmaßnahmen für den Drittlandtransfer:
Die Datenübermittlung in die USA ist durch folgende Mechanismen abgesichert:
- EU-U.S. Data Privacy Framework (DPF): Resend ist unter dem EU-U.S. Data Privacy Framework zertifiziert, für das die Europäische Kommission einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO erlassen hat (Durchführungsbeschluss (EU) 2023/1795 vom 10. Juli 2023). Die Gültigkeit des DPF wurde im September 2025 vom Gericht der Europäischen Union bestätigt.
- Standardvertragsklauseln (SCCs): Zusätzlich hat Resend Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss (EU) 2021/914) in sein Data Processing Addendum (DPA) integriert.
- Auftragsverarbeitungsvertrag (AVV): Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO mit Resend.
Die Rechtsgrundlage für die Nutzung von Resend ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der zuverlässigen Zustellung von Einladungs-E-Mails an Anbieter:innen).
Resend verarbeitet ausschließlich die für den E-Mail-Versand erforderlichen Daten (E-Mail-Adresse des Empfängers, E-Mail-Inhalt). Der Umfang der über Resend versendeten E-Mails ist bewusst auf ein Minimum beschränkt:
| E-Mail-Typ | Empfänger | Inhalt |
|---|---|---|
| Willkommens-E-Mail | Anbieter:innen | Zugangs-Link zum Portal, Feedback-Link |
| Magic-Link | AnbieterInnen | Zeitlich begrenzter Zugangs-Link (24h gültig) |
Es werden über Resend keine Feedback-Daten, Bewertungen oder sonstige inhaltliche Informationen übermittelt – ausschließlich E-Mail-Adressen und Zugangs-Links.
E-Mail-Versandprotokolle werden für maximal 12 Monate gespeichert und danach automatisch gelöscht.
6. Cookies und Session-Management
Die App verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung. Es werden keine Tracking-Cookies, Analyse-Cookies oder Cookies von Drittanbietern eingesetzt.
| Cookie | Zweck | Speicherdauer | Typ |
|---|---|---|---|
| Session-Cookie (JWT) | Authentifizierung nach dem Login | Sitzungsdauer (wird beim Schließen des Browsers gelöscht) | Technisch notwendig |
Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung einer funktionsfähigen Authentifizierung). Da ausschließlich technisch notwendige Cookies verwendet werden, ist keine Einwilligung über ein Cookie-Banner erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).
7. Automatisierte Entscheidungsfindung
Das QM-System führt automatisierte Berechnungen durch, die Auswirkungen auf Anbieter:innen haben können:
Qualitätsstatus-Berechnung: Nach jeder Feedback-Einreichung wird der Qualitätsstatus der/des betroffenen Anbieter:in automatisch neu berechnet (OK, Beobachtung, Auffällig, Kritisch). Diese Berechnung basiert auf den Durchschnittswerten der eingegangenen Bewertungen.
QS-Trigger: Bei Unterschreitung definierter Schwellenwerte (z. B. Gesamtbewertung unter 4,0 oder kritische Sicherheitsanker-Bewertung) wird automatisch ein Qualitätssicherungs-Vorgang (Case) erstellt.
Diese automatisierten Verarbeitungen dienen der Qualitätssicherung und führen nicht zu einer ausschließlich automatisierten Entscheidung im Sinne von Art. 22 DSGVO. Alle Cases werden von einem Administrator geprüft und bearbeitet. Maßnahmen gegenüber Anbieter:innen werden stets durch eine natürliche Person entschieden.
8. Speicherdauer und automatische Bereinigung
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist. Das System führt eine automatische Datenbereinigung durch:
| Datenart | Aufbewahrungsfrist | Löschmethode |
|---|---|---|
| Zugangs-Link-Tokens (Magic-Links) | 24 Stunden | Automatische Löschung |
| Server-Logfiles (IP-Adressen) | 7 Tage | Automatische Löschung |
| E-Mail-Versandprotokolle | 12 Monate | Automatische Löschung |
| Audit-Log-Einträge | 24 Monate | Automatische Löschung |
| Case-Aktionsprotokolle | 24 Monate | Automatische Löschung |
| Feedback-Einreichungen | Bis zur manuellen Löschung oder Löschung der/des Anbieter:in | Manuelle oder kaskadierende Löschung |
| Anbieter:innen-Daten | Bis zur manuellen Löschung | Manuelle Löschung über DSGVO-Werkzeuge |
| Feedbackgeber:innen-Kontaktdaten | Bis zur manuellen Löschung oder Löschung der/des Anbieter:in | Manuelle oder kaskadierende Löschung |
Die automatische Bereinigung wird täglich um 3:00 Uhr ausgeführt.
9. Deine Rechte
Du hast als betroffene Person folgende Rechte:
- Recht auf Auskunft (Art. 15 DSGVO): Du kannst jederzeit Auskunft darüber verlangen, welche personenbezogenen Daten wir über dich gespeichert haben.
- Recht auf Berichtigung (Art. 16 DSGVO): Du kannst die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Du kannst die Löschung deiner personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Das QM-System verfügt über ein integriertes DSGVO-Löschungswerkzeug, das eine vollständige und unwiderrufliche Löschung aller zugehörigen Daten ermöglicht.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Du kannst unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung deiner Daten verlangen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Du kannst verlangen, dass wir dir deine Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON) zur Verfügung stellen. Das QM-System verfügt über ein integriertes Datenexport-Werkzeug für diesen Zweck.
- Recht auf Widerspruch (Art. 21 DSGVO): Du kannst jederzeit gegen die Verarbeitung deiner Daten Widerspruch einlegen, soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO):Sofern du eine Einwilligung zur Datenverarbeitung erteilt hast (insbesondere als Feedbackgeber:in), kannst du diese jederzeit mit Wirkung für die Zukunft widerrufen.
- Beschwerderecht (Art. 77 DSGVO): Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44
40102 Düsseldorf
E-Mail: poststelle@ldi.nrw.de
Website: https://www.ldi.nrw.de
Zur Ausübung deiner Rechte wende dich bitte an: datenschutz@starkauchohnemuckis.de
10. Datensicherheit
Wir setzen folgende technische und organisatorische Maßnahmen zum Schutz deiner Daten ein:
- Verschlüsselung: Die gesamte Kommunikation zwischen deinem Browser und dem Server erfolgt über TLS/SSL-Verschlüsselung (HTTPS). Passwörter werden ausschließlich als bcrypt-Hashes gespeichert und sind nicht im Klartext rekonstruierbar.
- Zugriffskontrolle: Das System implementiert eine rollenbasierte Zugriffskontrolle mit strikter Trennung zwischen Administrator-, Anbieter:innen- und öffentlichem Zugriff. Anbieter:innen können ausschließlich auf ihre eigenen Daten zugreifen.
- Missbrauchsprävention: Ein Rate-Limiting-Mechanismus begrenzt die Anzahl der Feedback-Einreichungen pro IP-Adresse (maximal 5 innerhalb von 10 Minuten).
- Anonymisierungsmaßnahmen: Freitextantworten von Feedbackgeber:innen werden Anbieter:innen erst ab einer Mindestzahl von 5 Feedbacks angezeigt, um die Anonymität einzelner Feedbackgeber:innen zu schützen.
- Audit-Trail: Alle administrativen Aktionen werden lückenlos protokolliert, um Zugriffe und Änderungen nachvollziehen zu können.
- Serverstandort: Alle Daten werden auf einem dedizierten Server der Hetzner Online GmbH in Deutschland gespeichert. Der einzige Drittlandtransfer betrifft den E-Mail-Versand über Resend (USA), der durch das EU-U.S. Data Privacy Framework und Standardvertragsklauseln abgesichert ist (siehe Abschnitt 5). Über Resend werden ausschließlich E-Mail-Adressen und Zugangs-Links übermittelt – keine Feedback-Daten oder Bewertungen.
11. Keine Nutzung von Analyse- und Tracking-Diensten
Das QM-System verwendet keine Analyse- oder Tracking-Dienste wie Google Analytics, Matomo oder vergleichbare Tools. Es werden keine Nutzungsprofile erstellt und kein Nutzerverhalten getrackt. Die App setzt ausschließlich technisch notwendige Cookies ein (siehe Abschnitt 6).
12. Keine Weitergabe an Dritte
Personenbezogene Daten werden nicht an Dritte weitergegeben, verkauft oder für Werbezwecke genutzt. Eine Weitergabe erfolgt ausschließlich an die in dieser Datenschutzerklärung genannten Auftragsverarbeiter (Hetzner für das Hosting, Resend für den E-Mail-Versand) und nur im Rahmen der beschriebenen Zwecke.
13. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen der App oder der Datenverarbeitung anzupassen. Die aktuelle Version ist stets unter https://starkfuerkinder.services/datenschutz abrufbar. Wesentliche Änderungen werden den Nutzer:innen in geeigneter Weise mitgeteilt.
14. Kontakt
Bei Fragen zum Datenschutz oder zur Ausübung deiner Rechte erreichst du uns unter:
Stark auch ohne Muckis GmbH
Am Hülsenbusch 23
59063 Hamm
Deutschland