Kidood

1. Datenschutz auf einen Blick

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Diese Datenschutzerklärung informiert Sie darüber, welche Daten wir bei der Nutzung der Kidood-App verarbeiten, zu welchem Zweck und auf welcher Rechtsgrundlage. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Das Hosting erfolgt in Deutschland.

2. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung in der Kidood-App ist:

Henry Solutions GmbH
Sankt-Jobser-Straße 53
52146 Würselen
Telefon: 02405 6039-100
E-Mail: support@kidood.de

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

3. Datenschutzbeauftragter

Unseren Datenschutzbeauftragten erreichen Sie unter: [Name und Kontakt werden ergänzt]. Ob eine Benennungspflicht nach § 38 BDSG besteht, wird vor dem Pilotstart geprüft.

4. Allgemeine Hinweise und Pflichtinformationen

Rechtsgrundlagen der Verarbeitung: Soweit wir für Verarbeitungsvorgänge Ihre Einwilligung einholen, ist Art. 6 Abs. 1 lit. a DSGVO Rechtsgrundlage. Erfolgt die Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, stützt sie sich auf Art. 6 Abs. 1 lit. b DSGVO. Ist die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich, dient Art. 6 Abs. 1 lit. c DSGVO als Grundlage. In den übrigen Fällen beruht die Verarbeitung auf unserem berechtigten Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO.

Widerruf Ihrer Einwilligung: Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

5. Hosting

Die Kidood-App wird auf Servern in Deutschland (Standort Frankfurt am Main) gehostet. Das Rechenzentrum ist nach ISO 27001 zertifiziert. Eine Datenübermittlung in Länder außerhalb der EU/des EWR (Drittländer) findet im Rahmen des Hostings nicht statt.

Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an einer sicheren und effizienten Bereitstellung unseres Onlineangebots (Art. 6 Abs. 1 lit. f DSGVO). Mit unserem Hosting-Anbieter haben wir einen Vertrag über Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen.

Hosting-Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland [Angabe wird final bestätigt].

6. SSL- bzw. TLS-Verschlüsselung

Diese App nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und am Schloss-Symbol in Ihrer Browserzeile.

7. Server-Logfiles, Cookies und lokaler Speicher

Server-Logfiles: Der Provider erhebt und speichert automatisch Informationen in sogenannten Server-Logfiles, die Ihr Browser automatisch übermittelt. Dies sind: Browsertyp und -version, verwendetes Betriebssystem, Referrer-URL, Hostname des zugreifenden Rechners, Uhrzeit der Serveranfrage sowie die IP-Adresse. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO zur technisch fehlerfreien Bereitstellung und zur Gewährleistung der IT-Sicherheit.

Session-Cookie: Für die Anmeldung verwenden wir ein technisch notwendiges, verschlüsseltes Session-Cookie (HttpOnly), das Ihre angemeldete Sitzung absichert. Ohne dieses Cookie ist die App nicht nutzbar (Art. 6 Abs. 1 lit. f DSGVO, § 25 Abs. 2 TDDDG – technisch erforderlich).

Funktionaler lokaler Speicher: Wir verwenden keine Tracking-, Marketing- oder Analyse-Cookies und binden keine Dienste wie Google Analytics oder Google Fonts ein; verwendete Schriftarten werden lokal ausgeliefert. Lediglich Ihre Design- (heller/dunkler Modus) und Spracheinstellung werden zu rein funktionalen Zwecken in Ihrem Browser (localStorage) gespeichert. Diese Information verbleibt auf Ihrem Endgerät und dient ausschließlich Ihrem Bedienkomfort. Ein Cookie-Einwilligungsbanner ist daher nicht erforderlich.

8. Konto und Authentifizierung

Zur Nutzung der App legen Sie ein Konto an. Dabei verarbeiten wir Ihren Namen, Ihre E-Mail-Adresse, Ihre Spracheinstellung sowie die bei der Registrierung verwendete IP-Adresse. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertrag) bzw. Art. 6 Abs. 1 lit. f DSGVO (Sicherheit).

Die Anmeldung erfolgt vorrangig über Passkeys (WebAuthn). Hierbei verbleiben Ihre biometrischen Merkmale ausschließlich auf Ihrem Endgerät; an uns werden nur kryptografische Schlüssel übermittelt, mit denen keine Identifizierung Ihrer Person außerhalb der App möglich ist. Alternativ bieten wir eine Anmeldung per einmaligem E-Mail-Code an.

9. Kinder und Bestellungen

Zur Essensbestellung verarbeiten wir die Daten der von Ihnen angelegten Kinder (Name, Geburtsjahr, zugeordnete Einrichtung und Gruppe) sowie die Bestellhistorie (bestellte Menüs, Datum, Status). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Die Angaben zu den Kindern werden durch die Erziehungsberechtigten gemacht; die Verarbeitung von Daten Minderjähriger erfolgt im Rahmen von Art. 8 DSGVO auf Grundlage der elterlichen Verantwortung.

10. Allergene (besondere Kategorien personenbezogener Daten)

Damit wir Sie bei der Bestellung vor allergieauslösenden Zutaten warnen können, können Sie für Ihr Kind Allergene hinterlegen. Da solche Angaben Rückschlüsse auf den Gesundheitszustand zulassen, behandeln wir sie vorsorglich als besondere Kategorie personenbezogener Daten. Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die Sie während der Registrierung separat erteilen und jederzeit mit Wirkung für die Zukunft widerrufen können.

11. Zahlungen und SEPA-Lastschrift (Mollie)

Für die Abwicklung der monatlichen Essensbeiträge setzen wir den lizenzierten Zahlungsdienstleister Mollie B.V. (Keizersgracht 126, 1015 CW Amsterdam, Niederlande) ein. Zur Zahlung per SEPA-Lastschrift erteilen Sie ein Mandat; wir speichern hierzu eine Mollie-Mandats-Kennung sowie die letzten vier Ziffern Ihrer IBAN. Vollständige Kontoverbindungen werden uns nicht offengelegt und unmittelbar von Mollie verarbeitet; Mollie ist insoweit eigenständig Verantwortlicher.

Die Verarbeitung erfolgt zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO. Einzelheiten entnehmen Sie der Datenschutzerklärung von Mollie unter mollie.com/de/privacy.

12. E-Mail-Versand (Resend)

Für den Versand von Transaktions-E-Mails (z. B. Anmelde-Codes, Bestellbestätigungen, Rechnungen, Erinnerungen) nutzen wir den Dienst Resend (Resend, Inc., USA). Dabei werden Ihre E-Mail-Adresse sowie die zum Versand erforderlichen Inhalte verarbeitet. Die Übermittlung in die USA stützt sich auf den Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework; mit dem Anbieter besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

13. Empfänger und rollenbasierte Sichtbarkeit

Innerhalb der Plattform werden Daten streng nach Rollen sichtbar gemacht:

• Einrichtung: sieht die ihr zugeordneten Kinder, die Bestellungen des Tages sowie einen Allergie-Hinweis je Kind (zur sicheren Essensausgabe).
• Caterer: erhält ausschließlich aggregierte Bestellzahlen ohne Kindernamen und ohne individuelle Allergiedaten.
• Administration: Zugriff zu Support- und Abrechnungszwecken, jede schreibende Aktion wird protokolliert (Audit-Log).

14. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist. Zahlungs- und Rechnungsbelege bewahren wir aufgrund handels- und steuerrechtlicher Pflichten (insb. § 147 AO) bis zu zehn Jahre auf; nach Beendigung des Vertragsverhältnisses werden diese Daten anonymisiert weitergeführt. Nachweise über erteilte und widerrufene Einwilligungen bewahren wir zu Dokumentationszwecken auf. Im Übrigen werden Daten gelöscht, sobald der Zweck entfällt.

15. Ihre Rechte als betroffene Person

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)

Selbstbedienung in der App: Unter Einstellungen → Datenschutz können Sie Ihre Daten jederzeit als strukturierten Export herunterladen (Art. 15 DSGVO) und Ihr Konto löschen (Art. 17 DSGVO). Alternativ genügt eine formlose Mitteilung an die oben genannte verantwortliche Stelle.

16. Beschwerderecht bei der Aufsichtsbehörde

Im Falle von Verstößen gegen die DSGVO steht Ihnen ein Beschwerderecht bei einer Aufsichtsbehörde zu. Zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf.