Datenschutzerklärung

Wir nehmen Datenschutz sehr ernst - getrennte Eltern teilen über diese App sehr persönliche Familieninformationen. Diese Erklärung beschreibt nach Art. 13/14 DSGVO, welche Daten wir verarbeiten, warum, wie lange und welche Rechte du hast.

Kurzfassung: Hosting in Deutschland (STRATO), keine Tracker (kein Google Analytics, kein PostHog), keine Werbe-Cookies. Server-Logs werden nach 30 Tagen gelöscht. Nur funktionale Session-Cookies. Du kannst deinen Account und alle Daten jederzeit selbst löschen.

1. Verantwortlicher

Baltes KI Solutions - Christian Baltes
Einzelunternehmen
Grünwalder Str. 3
82064 Straßlach-Dingharting
Deutschland

E-Mail: info@christian-baltes.de

1.1 Datenschutzbeauftragter

Wir sind nicht verpflichtet, einen Datenschutzbeauftragten zu benennen (Art. 37 DSGVO i.V.m. § 38 BDSG: weniger als 20 Personen mit ständiger Datenverarbeitung). Bei Fragen wende dich direkt an den Verantwortlichen oben.

2. Hosting und Auftragsverarbeitung

Die App wird auf einem virtuellen Server (vServer/VPS) der STRATO AG (Pascalstraße 10, 10587 Berlin) in einem deutschen Rechenzentrum betrieben. Mit STRATO besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Es findet kein Drittlandtransfer statt.

3. Welche Daten verarbeiten wir?

3.1 Stamm- und Konto-Daten

E-Mail-Adresse, Name, Anzeigefarbe, optional Geburtsdatum, Telefonnummer, Profilbild
Passwort-Hash (bcrypt; das Klartext-Passwort verlässt deinen Browser nie unverschlüsselt)
Theme-Präferenz (hell/dunkel), Sprache

Zweck: Authentifizierung, Personalisierung, Multi-User-Zuordnung im Haushalt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.2 Inhalts-Daten

Kalender-Termine, Wechselmodell-Pläne, Tausch-Anfragen
Nachrichten zwischen Co-Eltern, Genehmigungen, Kommentare
Kosten, Belege (PDF/Bild), Settlement-Notizen
Momente und Meilensteine inkl. Fotos/Videos, Notizen, Stimmungs-Score
Info-DB-Einträge (Medizin, Schule, Kontakte, Dokumente)
Kinder-Stammdaten: Name, Geburtsdatum, Allergien, Krankenkasse, Schule etc.

Zweck: Erbringung der vereinbarten Co-Parenting-Funktionen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Für besondere Kategorien (Gesundheitsdaten von Kindern, Art. 9): ausdrückliche Einwilligung beim Eintragen, Art. 9 Abs. 2 lit. a DSGVO.

3.3 Technische Daten (Server-Logs)

IP-Adresse (gekürzt für reine Status-Abrufe)
Zeitstempel, HTTP-Methode, URL, Status-Code, Useragent
Login-Versuche (erfolgreich/fehlgeschlagen) für Brute-Force-Schutz

Zweck: IT-Sicherheit, Fehleranalyse, Missbrauchsabwehr.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem Betrieb).
Speicherdauer: 30 Tage, danach automatische Löschung. Auth-Events (Login-History) bleiben so lange aktiv, wie dein Konto existiert.

3.4 Push-Notifications

Wenn du Push-Benachrichtigungen aktivierst, speichern wir die Push-Subscription deines Browsers (Endpoint-URL, Krypto-Schlüssel). Diese wird ausschließlich genutzt, um dir Benachrichtigungen zu Kalender-Events, Nachrichten und Genehmigungen zu senden. Der Push-Service-Provider (z.B. Apple/Google/Mozilla) erfährt dabei nur die verschlüsselten Payload-Daten - der Inhalt bleibt für ihn nicht lesbar.

4. Cookies und lokaler Speicher

Wir verwenden ausschließlich technisch notwendige Cookies und lokalen Speicher:

Session-Cookie (co_session): hält deine Anmeldung aufrecht. HttpOnly, SameSite=Lax, Secure. Lebensdauer: 90 Tage.
Theme-Präferenz (LocalStorage theme): vermeidet kurzes Blitzen beim Seitenladen.

Es werden keine Tracking-, Werbe- oder Analyse-Cookies gesetzt. Wir nutzen weder Google Analytics, noch PostHog, Plausible, Matomo o.Ä. Eine Einwilligung nach § 25 TTDSG ist daher nicht erforderlich.

5. Empfänger der Daten

Daten werden grundsätzlich nicht an Dritte weitergegeben. Ausnahmen:

Mit-Mitglieder deines Haushalts (Co-Eltern, ggf. Großeltern-Zugang) - im durch dich gewählten Umfang.
STRATO als Auftragsverarbeiter (Hosting), siehe Abschnitt 2.
Push-Service-Provider (Apple/Google/Mozilla) - nur verschlüsselte Push-Payloads.
KI-Provider (Anthropic, USA) - nur für freiwillig genutzte KI-Funktionen wie Tonfall-Check oder Recap-Generierung. Der Aufruf erfolgt mit Standardvertragsklauseln (SCCs); Inhalte werden nicht zum Training genutzt. Du kannst KI-Funktionen jederzeit in den Einstellungen deaktivieren.

6. Speicherdauer

Konto- und Inhalts-Daten: solange dein Konto besteht.
Server-Logs: 30 Tage.
Auth-Events: solange dein Konto besteht (für Sicherheitsanalyse).
Audit-Trail (gerichtsfeste Änderungs-Historie): bis Account-Löschung; danach pseudonymisiert weiter behalten, soweit gesetzliche Aufbewahrungspflichten bestehen.
Bei Account-Löschung: 30-Tage-Karenz (Soft-Delete), danach harte Löschung aller personenbezogenen Daten. Backup-Bereinigung folgt der Backup-Rotation (max. 30 Tage).

7. Deine Rechte

Du hast nach DSGVO folgende Rechte:

Art. 15 - Auskunft: welche Daten wir über dich gespeichert haben. In der App: Einstellungen → Rechtliches → „Meine Daten exportieren" (vollständiger ZIP-Export).
Art. 16 - Berichtigung: falsche Daten korrigieren - direkt im Profil oder per Mail.
Art. 17 - Löschung („Recht auf Vergessen"): Account-Löschung in den Einstellungen → Gefahrenzone. Nach 30 Tagen Karenz unwiderruflich.
Art. 18 - Einschränkung der Verarbeitung.
Art. 20 - Datenübertragbarkeit: Du erhältst deine Daten in einem strukturierten, gängigen Format (JSON in ZIP).
Art. 21 - Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen.
Art. 22: Wir nutzen keine automatisierten Entscheidungen mit rechtlicher Wirkung.
Art. 7 Abs. 3: Erteilte Einwilligungen kannst du jederzeit widerrufen (z.B. KI-Funktionen, Push).

Beschwerderecht (Art. 77): Du kannst dich bei der für dich zuständigen Datenschutzaufsichtsbehörde beschweren - z.B. bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Helga-Block-Straße 2-4, 40476 Düsseldorf.

8. Datensicherheit

Transport-Verschlüsselung via TLS (Let's Encrypt) auf allen Verbindungen.
Passwort-Speicherung als bcrypt-Hash (10 Rounds).
Session-Tokens HMAC-SHA-256 signiert.
Push-Payloads RFC 8291 verschlüsselt (VAPID).
Backups verschlüsselt, regelmäßige Wiederherstellungs-Tests.
Aufruf-Audit für sensitive Aktionen (Datenänderungen, Exporte).

9. Kinder

Die App ist für volljährige Eltern gedacht, die Daten ihrer Kinder organisieren. Eltern sind verantwortlich, die Daten ihrer Kinder rechtmäßig einzutragen und ggf. das Einverständnis des anderen Elternteils einzuholen.

10. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich gesetzliche Anforderungen oder unser Funktionsumfang ändern. Die jeweils aktuelle Fassung findest du immer hier.

Stand: Mai 2026 · Version 1.7