Zum Inhalt springen
Hey Kits – Logo

Datenschutzerklärung

Diese Erklärung informiert über Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten gemäß Art. 13/14 DSGVO – sowohl auf der öffentlichen Marketing-Website heykits.de als auch in der Software „Hey Kits“ (app.heykits.de), für die diese Erklärung ebenfalls gilt.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung und sonstiger nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Sebastian Tröster
draw-up
Frühlingstr. 27
97708 Bad Bocklet
Deutschland
Telefon: +49 170 3205423
E-Mail (allgemein): kontakt@heykits.de
E-Mail (Datenschutz): datenschutz@heykits.de

2. Datenschutzbeauftragter

Eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht gemäß § 38 BDSG nicht, da die gesetzlichen Schwellenwerte nicht erreicht werden. Anfragen zu datenschutzrechtlichen Themen, insbesondere zur Ausübung Ihrer Betroffenenrechte, richten Sie bitte an datenschutz@heykits.de.

3. Verantwortlicher vs. Auftragsverarbeiter

Diese Datenschutzerklärung gilt für zwei unterschiedliche Verarbeitungs-Kontexte mit unterschiedlichen Rollenverteilungen nach Art. 4 Nr. 7 und Art. 28 DSGVO:

  • Marketing-Website heykits.de – Hier ist der oben genannte Anbieter (Sebastian Tröster / draw-up) selbst Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO, etwa für Server-Logs, das Demo-Anfrageformular und den Newsletter-Versand.
  • Software „Hey Kits“ (app.heykits.de) – Setzt eine Kindertageseinrichtung (Träger, Verein, Kommune) die Software ein, ist die jeweilige Einrichtung Verantwortlicher für die in der App verarbeiteten Eltern-, Kinder- und Personaldaten. Der Anbieter ist insoweit Auftragsverarbeiter nach Art. 28 DSGVO; die Verarbeitung erfolgt ausschließlich auf Grundlage eines mit der Einrichtung geschlossenen Auftragsverarbeitungsvertrags (AVV).

Die nachfolgenden Abschnitte 5–8 beschreiben die Verarbeitung auf der Marketing-Website. Abschnitt 10 beschreibt die Verarbeitung in der Software, soweit sie für Eltern, Beschäftigte und sonstige App-Nutzer:innen relevant ist.

4. Überblick der Verarbeitungen

Wir verarbeiten personenbezogene Daten in folgenden Zusammenhängen:

  • Bereitstellung der Website und Erstellung von Server-Logfiles
  • Bearbeitung von Demo-Anfragen über das Kontaktformular
  • Versand unseres Newsletters nach Double-Opt-In (sofern Sie sich angemeldet haben)
  • Speicherung Ihrer Cookie-Auswahl (technisch erforderlich)
  • Optional und nur nach Einwilligung: Reichweitenmessung und Marketing-Tracking

5. Rechtsgrundlagen

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Bei der Verarbeitung zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen ist Art. 6 Abs. 1 lit. b DSGVO einschlägig. Soweit eine Verarbeitung zur Wahrung eines berechtigten Interesses erforderlich ist, dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

6. Server-Logfiles

Beim Aufruf unserer Website werden vom Hostingdienstleister automatisch Informationen erfasst und in Logfiles gespeichert (sogenannte Server-Logfiles). Erfasst werden:

  • aufgerufene URL und HTTP-Statuscode
  • Zeitpunkt der Anfrage
  • Browsertyp, Betriebssystem und Referrer
  • anonymisierte / gekürzte IP-Adresse (vom Hoster verarbeitet)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse ist die technische Bereitstellung und Sicherheit der Website. Eine Zusammenführung dieser Daten mit anderen Datenquellen findet nicht statt.

7. Kontakt- und Demo-Anfrageformular

Wenn Sie uns über das Demo-Anfrageformular kontaktieren, verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail, Kita/Träger, Rolle sowie optional Telefonnummer, Anzahl Kinder und Nachricht) zur Bearbeitung Ihrer Anfrage. Die Eingabe einer Einwilligungs-Checkbox ist verpflichtend; ohne diese Einwilligung können wir Ihre Anfrage nicht verarbeiten.

Zusätzlich speichern wir den Zeitpunkt der Einwilligung (Consent-Timestamp) sowie eine per SHA-256 mit Salt unwiderruflich gehashte Form Ihrer IP-Adresse zur Spam-Abwehr. Die ursprüngliche IP-Adresse wird zu keinem Zeitpunkt im Klartext gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a (Einwilligung) und lit. b (vorvertragliche Maßnahmen) DSGVO. Speicherdauer siehe Abschnitt 15.

Die Daten werden in unserem Auftragsverarbeitungssystem (Supabase, siehe Abschnitt 13) abgelegt; eine Benachrichtigungs-E-Mail an unser Vertriebsteam erfolgt über den Dienst Resend.

8. Newsletter-Versand

Sie können über das Anmeldeformular im Footer unseren Newsletter abonnieren. Die Anmeldung erfolgt im Double-Opt-In-Verfahren: Nach dem Eintragen Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungsmail. Erst durch Klick auf den darin enthaltenen Link wird Ihre Anmeldung aktiv. Bis zu dieser Bestätigung versenden wir keinen Newsletter an Sie.

Verarbeitete Daten:

  • E-Mail-Adresse
  • Zeitpunkt der Anmeldung sowie Zeitpunkt der Bestätigung (Consent-Timestamp für den Einwilligungsnachweis nach Art. 7 Abs. 1 DSGVO)
  • per SHA-256 mit Salt unwiderruflich gehashte Form Ihrer IP-Adresse zum Zeitpunkt der Anmeldung (zur Spam-Abwehr und als technischer Nachweis). Die ursprungliche IP-Adresse wird zu keinem Zeitpunkt im Klartext gespeichert.
  • Quelle der Anmeldung (z. B. „footer“) für interne Statistik

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 7 Abs. 2 Nr. 3 UWG. Sie können die Einwilligung jederzeit widerrufen, indem Sie auf den Abmelde-Link in jeder Newsletter-Mail klicken oder uns unter kontakt@heykits.de schreiben. Der Widerruf lässt die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung unberührt.

Für den technischen Versand und die Listenverwaltung nutzen wir den Dienstleister Brevo (siehe Abschnitt 13). Ihre E-Mail-Adresse wird erst nach erfolgter Bestätigung an Brevo übermittelt. Vor der Bestätigung verbleiben Ihre Daten ausschließlich in unserer Supabase-Datenbank.

Speicherdauer: Ihre Daten werden so lange gespeichert, wie Sie angemeldet sind. Nach Abmeldung markieren wir Ihren Eintrag als „unsubscribed“ und löschen die zugehörigen Tokens; den Datensatz selbst bewahren wir bis zu 36 Monate auf, um den Einwilligungsnachweis nach Art. 7 Abs. 1 DSGVO führen zu können, und löschen ihn anschließend.

9. Cookies und lokale Speicherung

Wir setzen keine klassischen Cookies für Tracking oder Marketing ein, ohne dass Sie zuvor eingewilligt haben. Strikt notwendig ist lediglich die Speicherung Ihrer Cookie-Einstellungen im localStorage Ihres Browsers (Schlüssel heykits.consent.v1). Diese Speicherung enthält keinerlei personenbezogene Identifikatoren.

Die Verarbeitungs-Kategorien sind:

  • Notwendig – Speicherung Ihrer Cookie-Auswahl. Immer aktiv, § 25 Abs. 2 TDDDG (vormals TTDSG).
  • Funktional – Speichert Komfortoptionen (z. B. Sprache, UI-Präferenzen). Optional.
  • Analyse – Anonymisierte Reichweitenmessung (geplant: Plausible / Matomo). Nur nach Einwilligung.
  • Marketing – Wirksamkeitsmessung von Kampagnen (geplant: LinkedIn Insight Tag). Nur nach Einwilligung.

Sie können Ihre Auswahl jederzeit ändern: .

Innerhalb der Software Hey Kits (app.heykits.de) werden zusätzlich folgende technisch notwendige Speichervorgänge im Browser durchgeführt (sie sind für den Betrieb erforderlich und unterliegen § 25 Abs. 2 Nr. 2 TDDDG, vormals TTDSG):

  • sb-<project>-auth-token (localStorage) – Supabase-Authentifizierungs-Session (JWT), zwingend für den eingeloggten Zustand.
  • heykits.consent.v1 bzw. kita-hub-consent (localStorage) – Persistenz Ihrer Consent-Auswahl.
  • theme (localStorage) – Hell-/Dunkel-Modus-Präferenz.
  • Push-Geräte-Token (nativer Store der Mobile-App) – nur nach ausdrücklicher Einwilligung, zur Zustellung von Benachrichtigungen über Apple APNs bzw. Google FCM.

Hey Kits verwendet keine Cookies oder Tracking-Pixel von Dritten zu Werbe- oder Profiling-Zwecken. Es findet kein Google Analytics, Tag Manager, Hotjar oder vergleichbares Tracking statt.

10. Datenverarbeitung in der Hey Kits-App

Die App Hey Kits ist nur für eingeloggte Nutzer:innen einer Kindertageseinrichtung erreichbar. Der Anbieter verarbeitet die folgenden Datenkategorien im Auftrag der jeweiligen Einrichtung (Art. 28 DSGVO):

10.1 Eltern / Erziehungsberechtigte

  • Stammdaten: Name, Anschrift, E-Mail, Telefon
  • Bankverbindung (verschlüsselt gespeichert, in der UI nur maskiert als DE** **** **** **** ****12) und SEPA-Mandate
  • Kommunikation mit der Einrichtung, Buchungsbelege, Einwilligungen

10.2 Kinder

  • Stammdaten: Name, Geburtsdatum, Gruppe
  • Anwesenheit, Abholungen, Mahlzeiten
  • Allergien, Gesundheits- und Notfallnotizen – diese können besondere Kategorien nach Art. 9 DSGVO enthalten und werden ausschließlich auf Grundlage ausdrücklicher Einwilligung der Erziehungsberechtigten verarbeitet (Art. 9 Abs. 2 lit. a DSGVO)
  • Fotos – Zugriff ausschließlich über kurzzeitig gültige signierte URLs, keine öffentliche Speicherung

10.3 Erzieher:innen und sonstiges Personal

  • Stammdaten
  • Arbeitszeiten, Urlaubsanträge, Dienstpläne, Zeiterfassung

10.4 Geräte und technische Daten

  • Terminal- und Infoscreen-Tokens
  • Push-Geräte-Tokens (nur mit Einwilligung)
  • Technische Logs: Login-Events, Audit-Logs sensibler Aktionen (Rollenänderungen, Bankdaten-Zugriffe, Datenexporte, Anonymisierungen), Rate-Limit-Daten, Realtime-Sessions

10.5 Rechtsgrundlagen in der App

  • Art. 6 Abs. 1 lit. b DSGVO – Vertrag zwischen Eltern und Einrichtung (Betreuungsvertrag).
  • Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung (z. B. Kindertagesstättengesetz, Anwesenheitsnachweise, steuerliche Pflichten).
  • Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse (IT-Sicherheit, Missbrauchsprävention, Audit-Logs).
  • Art. 6 Abs. 1 lit. a / Art. 9 Abs. 2 lit. a DSGVO – (ausdrückliche) Einwilligung der Erziehungsberechtigten (z. B. Fotoveröffentlichung, Gesundheits-/Allergiedaten, Push-Benachrichtigungen).

10.6 Self-Service-Datenexport

Eingeloggte Eltern können in den App-Einstellungen unter „Datenschutz“ jederzeit einen vollständigen, maschinenlesbaren JSON-Export ihrer eigenen und der Daten ihrer Kinder herunterladen (Art. 15 / Art. 20 DSGVO). Aus Schutzgründen ist der Export auf einmal pro Stunde begrenzt.

Eine Löschung im Sinne des Art. 17 DSGVO erfolgt – soweit gesetzliche Aufbewahrungsfristen dem nicht entgegenstehen – durch Pseudonymisierung der Stammdaten und Entfernung der Bankverbindung; entsprechende Anträge richten Sie an Ihre Einrichtung oder an datenschutz@heykits.de.

11. Schutz minderjähriger Personen (Art. 8 DSGVO)

Hey Kits verarbeitet systematisch Daten von Kindern. Daraus ergeben sich folgende Schutzmaßnahmen:

  • Einwilligungen werden ausschließlich von Erziehungsberechtigten erteilt – die Erteilung erfolgt nicht durch die Kinder selbst.
  • Die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO (insb. Gesundheit, Allergien) sowie die Veröffentlichung von Fotos sind ausdrücklich einwilligungspflichtig und können jederzeit widerrufen werden (Art. 7 Abs. 3 DSGVO).
  • Eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO ist für die App durchgeführt; sie wird gemeinsam mit der jeweiligen Einrichtung als Verantwortlichem fortgeschrieben.
  • Sämtliche Datenbanktabellen mit Kinderdaten sind durch Row-Level-Security (RLS) gegen Querzugriffe geschützt – Nutzer:innen sehen ausschließlich Daten ihrer eigenen Kinder bzw. freigegebener Gruppen.

12. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Anbieter setzt insbesondere folgende Maßnahmen zum Schutz der verarbeiteten Daten ein:

  • Hosting in der EU: Marketing-Website und App werden auf Hostinger Cloud betrieben; die Datenbank inklusive Auth und Storage läuft bei Supabase in der EU-Region (Frankfurt am Main).
  • Verschlüsselte Übertragung: TLS 1.2 oder höher auf allen Verbindungen, HSTS-Header aktiv.
  • Row-Level-Security (RLS) auf jeder mandantenfähigen Tabelle – inklusive Realtime-Streams, sodass Nutzer:innen ausschließlich Änderungen ihrer eigenen bzw. freigegebener Daten erhalten.
  • Bankdaten verschlüsselt in der Datenbank (dedizierte Edge Functions encrypt-bank-data /decrypt-bank-data); in der Oberfläche stets nur maskierte IBAN.
  • Private Storage-Buckets für sensible Inhalte (Kinder-Dokumente, Nachrichten-Anhänge, Abhol-Fotos); Zugriff ausschließlich über kurzzeitig gültige signierte URLs (1 Stunde für Dokumente, 24 Stunden für Fotos).
  • Server-seitige sensible Schreibvorgänge (Rollen, Bankdaten, Authentifizierung) über Edge Functions mit Audit-Trail.
  • Audit-Logs für Bankdaten-Zugriffe, Rollenänderungen, Datenexporte und Anonymisierungen.
  • Passwortloser Login per Passkey/WebAuthn möglich; Rate-Limiting auf Login, Passkey- und PIN-Verifikation.
  • Automatische Retention-Cleanups (pg_cron in Supabase, täglich) – Logs werden nach Ablauf der jeweiligen Aufbewahrungsfrist datenbankseitig gelöscht (siehe Abschnitt 15).
  • Mobile-Apps (iOS / Android) basieren auf Capacitor; Push-Tokens werden nur nach Einwilligung registriert.
  • Meldepflicht-Prozess bei Datenpannen gemäß Art. 33 DSGVO ist intern dokumentiert (Reaktion innerhalb von 72 Stunden).

13. Auftragsverarbeiter

Zur Bereitstellung der Marketing-Website, zur Bearbeitung von Anfragen und zum Betrieb der Software setzen wir folgende Dienstleister ein, mit denen ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO besteht. Eine fortlaufend aktualisierte Sub-Subprozessoren-Liste pflegen die jeweiligen Anbieter öffentlich (verlinkt):

  • Hostinger International Ltd., Litauen – Hosting und Server-Bereitstellung sowohl für die Marketing-Website heykits.de als auch für die Software app.heykits.de. Verarbeitung in der EU. Anonymisierte / gekürzte Server-Logs.
  • Supabase Inc., USA (Hosting EU-Region, Frankfurt am Main) – Datenbank, Authentifizierung, Storage und Edge Functions für die Software sowie Persistenz von Demo-Anfragen und Newsletter-Abonnenten. Verarbeitung erfolgt ausschließlich in der EU; Standardvertragsklauseln der EU-Kommission (SCC) gemäß Art. 46 DSGVO. Subprozessoren: supabase.com/subprocessors.
  • Resend Inc., USA – Versand der internen Benachrichtigungs-E-Mail nach Eingang einer Demo-Anfrage. Standardvertragsklauseln gemäß Art. 46 DSGVO.
  • Brevo SAS (vormals Sendinblue), Frankreich – Transaktionale E-Mails (Bestätigungs-/Newsletter-Mails, App-Einladungen und Benachrichtigungen), Verwaltung der Empfänger-Liste. Datenverarbeitung innerhalb der EU. Subprozessoren: brevo.com/legal/list-of-sub-processors.
  • Google LLC (Firebase Cloud Messaging), USA – Zustellung von Push-Benachrichtigungen an Android-Geräte; nur nach ausdrücklicher Einwilligung. Google ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert (Art. 45 DSGVO).
  • Apple Inc. (Apple Push Notification Service), USA – Zustellung von Push-Benachrichtigungen an iOS-Geräte; nur nach ausdrücklicher Einwilligung. Apple ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert.
  • GitHub Inc. (Microsoft), USA – Code-Hosting der Anwendungs-Quellen; keine Produktivdaten. Microsoft ist DPF-zertifiziert.

14. Drittland-Übermittlung

Sämtliche personenbezogenen Daten aus der Software werden in der EU (Frankfurt am Main) gespeichert. Eine Drittland-Übermittlung findet ausschließlich in folgenden Konstellationen statt:

  • USA-Empfänger Supabase und Resend – die Übermittlung basiert auf den Standardvertragsklauseln der EU-Kommission (SCC, Art. 46 DSGVO) zuzüglich ergänzender Schutzmaßnahmen (Verschlüsselung, RLS, EU-Speicherort).
  • Push-Dienste Google FCM und Apple APNs – die Übermittlung der Push-Nutzlast erfolgt nur nach ausdrücklicher Einwilligung. Beide Anbieter sind nach dem EU-US Data Privacy Framework angemessenheitsbeschluss-zertifiziert (Art. 45 DSGVO).

15. Speicherdauer

15.1 Marketing-Website

  • Server-Logfiles: gemäß Aufbewahrungsfristen unseres Hosters, maximal 30 Tage.
  • Demo-Anfragen: bis zur Bearbeitung der Anfrage, anschließend bis zu 24 Monate für Rückfragen, sofern keine Geschäftsbeziehung entsteht. Bei Vertragsabschluss gelten die handels- und steuerrechtlichen Aufbewahrungsfristen.
  • Newsletter-Anmeldung: solange Sie angemeldet sind. Nach Abmeldung bis zu 36 Monate zum Nachweis der Einwilligung, anschließend Löschung. Nicht bestätigte Anmeldungen werden spätestens nach 7 Tagen automatisch entwertet (Token-Ablauf) und nach 30 Tagen gelöscht.
  • Consent-Status (lokal in Ihrem Browser): bis Sie ihn ändern oder den Browser-Speicher löschen.

15.2 Software „Hey Kits

Die folgenden Aufbewahrungsfristen sind in der App technisch über automatisierte pg_cron-Jobs umgesetzt (täglicher Cleanup) und gelten als Höchstgrenzen, soweit nicht gesetzliche Aufbewahrungspflichten vorgehen:

  • Login- und Aktivitäts-Logs (user_activity_logs): 90 Tage.
  • QR- und PIN-Audits (qr_scan_audit, staff_qr_scan_audit, pin_verification_audit): 180 Tage.
  • Benachrichtigungen nach Lesen (notifications): 30 Tage.
  • Passkey-Rate-Limits: 30 Tage; Login-Rate-Limits: 7 Tage; WebAuthn-Challenges: 1 Stunde.
  • Änderungs-Historie Kinderdaten (child_data_changes): 5 Jahre (DSGVO-Auskunftspflicht).
  • Bankdaten-Zugriffsprotokoll (bank_data_access_log): 5 Jahre (Buchhaltung / GoBD).
  • Stammdaten Kinder/Eltern: bis zum Austritt aus der Einrichtung zuzüglich gesetzlicher Aufbewahrungsfristen.
  • Bankdaten / SEPA-Mandate: bis Widerruf zuzüglich 36 Monaten nach letzter Nutzung (SEPA-Rulebook).
  • Anwesenheitsdaten: bis zum Austritt aus der Einrichtung zuzüglich 1 Jahr.

16. Ihre Rechte

Sie haben jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
  • keine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung im Einzelfall (Art. 22 DSGVO) – Hey Kits trifft keine derartigen Entscheidungen.

Innerhalb der Software können eingeloggte Nutzer:innen ihre Daten jederzeit per Self-Service-Export abrufen (Einstellungen → Datenschutz, siehe Abschnitt 10.6). Soweit die Verarbeitung im Auftrag einer Einrichtung erfolgt, sind Auskunfts- und Löschanträge bevorzugt an die jeweilige Einrichtung als Verantwortlichem zu richten.

Wenden Sie sich für die Ausübung Ihrer Rechte gegenüber dem Anbieter an datenschutz@heykits.de. Wir beantworten Ihre Anfrage innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).

17. Beschwerderecht bei der Aufsichtsbehörde

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Für den Verantwortlichen ist die folgende Datenschutz-Aufsichtsbehörde zuständig:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 (0) 981 53 094 71-0
Web: www.lda.bayern.de
Stand: 16.05.2026