Wir nehmen den Schutz Ihrer personenbezogenen Daten ernst und behandeln sie vertraulich gemäß der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG), dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und – soweit einschlägig – den Vorschriften zum Sozialdatenschutz nach SGB I, SGB VIII und SGB X. Mit dieser Datenschutzerklärung informieren wir Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten innerhalb unseres Online-Angebots.
Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:
Julian Petermaier
Wichtelkompass UG (haftungsbeschränkt) i. G.
vertreten durch die Geschäftsführerin Maria Bretthauer
E-Mail: datenschutz@wichtelkompass.de
Web: https://wichtelkompass.de
Wir sind nach derzeitigem Stand nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet (§ 38 BDSG). Bei besonders sensiblen Verarbeitungen – insbesondere im Kontext der Zusammenarbeit mit Jugendämtern – prüfen wir die freiwillige Bestellung. Bei datenschutzrechtlichen Anliegen wenden Sie sich bitte an datenschutz@wichtelkompass.de.
Diese Erklärung verwendet die Begriffe der DSGVO. „Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). „Verarbeitung" ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten (Art. 4 Nr. 2 DSGVO).
(1) Hosting. Die Plattform wird auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, im Rechenzentrum Frankfurt (Deutschland) betrieben. Der Plattformbetrieb erfolgt in der EU. Eine Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO mit Hetzner ist abgeschlossen.
(2) Sicherheit. Wir setzen geeignete technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO ein, insbesondere: TLS-Verschlüsselung der Datenübertragung, Verschlüsselung sensibler Felder at rest, mehrstufige Zugriffskontrolle, Row Level Security in der Datenbank, regelmäßige Backups, Mandantentrennung, Patch- und Schwachstellenmanagement.
(3) Server-Logfiles. Beim Aufruf der Plattform werden technisch notwendige Verbindungsdaten erfasst (IP-Adresse, Datum/Uhrzeit, abgerufene URL, Referrer, User-Agent). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Betrieb). IP-Adressen werden nach 7 Tagen anonymisiert oder gelöscht, soweit keine sicherheitsrelevanten Vorfälle vorliegen.
Datenart
Zweck
Rechtsgrundlage
E-Mail, Vorname (Pflichtangaben)
Registrierung, Authentifizierung, Anfragen, Chat
Art. 6 Abs. 1 lit. b DSGVO
Optional: Nachname, PLZ, Suchradius, Kind-Alter
Komfortfunktionen, Vorausfüllung Anfrageformular
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Anfrageinhalte (Wunschzeitraum, Besonderheiten)
Vermittlung an KTPP, Chat
Art. 6 Abs. 1 lit. b DSGVO
Bewertungen
Plattform-Funktion „Bewertungen"
Art. 6 Abs. 1 lit. b DSGVO
Datenart
Zweck
Rechtsgrundlage
Stammdaten (Name, Anschrift, Geburtsdatum, Kontaktdaten)
Profilerstellung, Identifikation, Abrechnung
Art. 6 Abs. 1 lit. b DSGVO
Profildaten (Beschreibung, Bilder, Öffnungszeiten, Tags, Sprachen)
öffentliche Darstellung, Suchfunktion
Art. 6 Abs. 1 lit. b DSGVO
Pflegeerlaubnis-Dokumente und Ablaufdatum
Verifizierung; Übermittlung an zuständiges Jugendamt
Art. 6 Abs. 1 lit. b und f DSGVO; § 43 SGB VIII
Standort (exakt vs. approximiert)
interne Verwaltung; öffentlich nur approximierter Pin
Art. 6 Abs. 1 lit. b DSGVO; berechtigtes Interesse Geo-Privacy
Premium-/Abrechnungsdaten (Stripe)
Abrechnung Premium-Abo
Art. 6 Abs. 1 lit. b DSGVO
Datenart
Zweck
Rechtsgrundlage
Dienstliche Kontaktdaten, Funktion, Amt
Bereitstellung Dashboard, Vertragsabwicklung
Art. 6 Abs. 1 lit. b und e DSGVO
Zuordnungs- und Bearbeitungs-Logs
Nachvollziehbarkeit hoheitlicher Entscheidungen, Audit
Art. 6 Abs. 1 lit. c und e DSGVO; § 78a ff. SGB X
Für die Authentifizierung setzen wir Supabase Auth ein. Im MVP wird ein Magic-Link-Verfahren genutzt (E-Mail-basierte Anmeldung ohne Passwort). Passwort-Login und Zwei-Faktor-Authentifizierung (TOTP) werden für Administratoren und Jugendamt-Mitarbeiter perspektivisch eingeführt. Rechtsgrundlage der Verarbeitung der Login-Daten ist Art. 6 Abs. 1 lit. b DSGVO.
(1) Adressen werden serverseitig über Nominatim (OpenStreetMap) bzw. einen kompatiblen datenschutzfreundlichen Anbieter geocodiert. Geocoding-Ergebnisse werden zwischengespeichert. Google Maps oder vergleichbare Dienste werden nicht eingesetzt.
(2) Öffentlich angezeigt wird ausschließlich ein approximierter Standort mit einem Versatz von ca. 200–300 m. Die exakte Adresse wird nie öffentlich ausgespielt.
(3) Die Kartenanzeige (Leaflet) lädt Tiles direkt vom OpenStreetMap-Server. Beim Aufruf wird Ihre IP-Adresse an OpenStreetMap übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datenschutzfreundlichen Kartenlösung).
(1) Anfragen und Chat-Nachrichten zwischen Eltern und KTPPs werden zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) auf unseren Servern gespeichert.
(2) Nachrichten werden in Echtzeit über Supabase Realtime synchronisiert. Sie sind nur den Teilnehmern eines Chats sowie – im Rahmen der Missbrauchsmoderation – berechtigten Administratoren zugänglich. Wir setzen Row Level Security ein, um den Zugriff auf Chat-Verläufe technisch zu beschränken.
(3) Anfragen und Nachrichten werden bis zur Löschung des betreffenden Kontos bzw. der Gesprächspartner gespeichert. Ältere, nicht mehr aktive Chats können nach 24 Monaten Inaktivität anonymisiert werden.
Bewertungen werden veröffentlicht mit Vornamen-Initial des Bewertenden und Datum. E-Mail-Adresse und vollständiger Name werden nicht öffentlich angezeigt. Die KTPP kann einmalig auf jede Bewertung antworten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Die Echtheitsbestätigung („Ich bestätige, dass meine Bewertung auf einer echten Erfahrung beruht.") dient der Sicherstellung der Vertrauenswürdigkeit; falsche Angaben können zur Löschung der Bewertung und ggf. zur Sperrung des Kontos führen.
Für die Abwicklung von Premium-Abos durch KTPPs nutzen wir die Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Bei Buchung eines Premium-Abos werden Stripe folgende Daten übermittelt: Name, E-Mail, Kennung der Buchung, Zahlungsbetrag. Wir selbst erhalten keine Zahlungsmittel-Daten (Kreditkarten, IBAN). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutzerklärung von Stripe: https://stripe.com/de/privacy.
Transaktionale E-Mails (Magic Links, Benachrichtigungen, Einladungen, Statusänderungen) werden über die Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA, versendet. Resend verarbeitet hierfür Empfänger-E-Mail-Adresse, Betreff und Inhalt. Eine Datenübermittlung in die USA erfolgt auf Grundlage der EU-US Data Privacy Framework-Zertifizierung sowie der EU-Standardvertragsklauseln (Art. 46 Abs. 2 DSGVO). Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.
Datenbank, Authentifizierung und Realtime-Funktionen werden über Supabase Inc., 970 Toa Payoh North #07-04, Singapur, betrieben. Die für Wichtelkompass eingesetzte Supabase-Instanz ist auf einen Standort innerhalb der EU konfiguriert. Mit Supabase ist eine Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO inklusive EU-Standardvertragsklauseln abgeschlossen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie für Sicherheit lit. f. Datenschutzerklärung: https://supabase.com/privacy.
(1) Umami (Webanalyse). Wir nutzen das selbstgehostete, cookie-lose Analyse-Tool Umami auf eigenen Servern in Deutschland. Es werden anonymisierte Aggregat-Daten erfasst (Seitenaufrufe, Verweildauer, Browser, anonymisierte IP). Es findet kein nutzerübergreifendes Tracking statt; Cookies werden hierfür nicht gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
(2) GlitchTip (Fehlertracking). Zur Stabilität der Plattform nutzen wir das selbstgehostete GlitchTip. Erfasst werden Fehlerprotokolle, Stack-Traces sowie technische Kontextdaten. Personenbezogene Daten werden nur insoweit erfasst, als sie zwingend zur Fehleranalyse erforderlich sind. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Wir setzen ausschließlich technisch notwendige Cookies bzw. Local-Storage-Einträge ein, die zur Bereitstellung der Plattform erforderlich sind (z. B. Authentifizierung, Spracheinstellung, CSRF-Schutz). Tracking- oder Marketing-Cookies werden nicht eingesetzt; ein Cookie-Banner ist daher nicht erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG i. V. m. Art. 6 Abs. 1 lit. b DSGVO).
(1) Die Wichtelkompass UG übernimmt mit ihrer Eintragung in das Handelsregister den Plattformbetrieb von der Vorgängerversion „Wichtelkompass V1", die zuvor von Frau Maria Bretthauer als Privatperson betrieben wurde. Im Rahmen dieser Migration werden personenbezogene Daten registrierter Nutzerinnen und Nutzer von Frau Bretthauer als bisheriger Verantwortlicher auf die UG als neue Verantwortliche übertragen.
(2) Migriert werden ausschließlich Daten, die für den Fortbetrieb des Kontos erforderlich sind: E-Mail, Vorname, Rolle, Profildaten, Bewertungen, Anfragen-/Chat-Verläufe sowie – bei Premium-Verhältnissen – Premium-Status und für die Abrechnung notwendige Angaben. Pflegeerlaubnis-Dokumente werden nur auf ausdrückliche Zustimmung der jeweiligen KTPP migriert.
(3) Rechtsgrundlage der Migration ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber Nutzerinnen und Nutzern, deren Vertragspartner wechselt) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am rechtssicheren Übergang).
(4) Alle Betroffenen werden vor Migration mit einer separaten Migrationsmitteilung über (a) den Wechsel des Verantwortlichen, (b) Zweck und Umfang der Migration, (c) ihr Widerspruchsrecht (Frist mindestens 30 Kalendertage) und (d) ihre weiteren Betroffenenrechte informiert.
(5) Nach erfolgreicher Migration löscht Frau Bretthauer die übertragenen Daten in eigenen Systemen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
(1) Soweit Jugendämter über die Plattform tätig werden und Sozialdaten im Sinne von § 67 SGB X verarbeiten, ist das jeweilige Jugendamt Verantwortlicher. Wichtelkompass handelt insoweit als Auftragsverarbeiter nach Art. 28 DSGVO i. V. m. § 80 SGB X.
(2) Die nähere Ausgestaltung der Auftragsverarbeitung (Datenarten, Weisungen, TOMs, Unterauftragsverarbeiter, Unterstützung bei Betroffenenrechten) wird in der Auftragsverarbeitungsvereinbarung als Anlage zum Servicevertrag mit dem Jugendamt geregelt.
(3) Pflegeerlaubnis-Dokumente und damit verbundene Metadaten werden ausschließlich autorisierten Personen (KTPP, zuständiges Jugendamt, Wichtelkompass-Administration im Supportfall) zugänglich gemacht.
Wir geben personenbezogene Daten nur weiter, soweit dies zur Vertragserfüllung erforderlich, gesetzlich zulässig oder durch eine Einwilligung gedeckt ist. Wir setzen folgende Auftragsverarbeiter ein:
Anbieter
Funktion
Sitz / Datenstandort
Hetzner Online GmbH
Hosting, Server-Infrastruktur
Deutschland (Frankfurt)
Supabase Inc.
Datenbank, Auth, Realtime, Storage
Singapur (Konfiguration mit EU-Standort)
Resend, Inc.
Transaktionale E-Mails
USA (DPF + Standardvertragsklauseln)
Stripe Payments Europe Ltd.
Zahlungsabwicklung Premium
Irland (EU)
OpenStreetMap Foundation
Karten-Tiles und Geocoding
EU/UK
Eine Übermittlung in Drittländer erfolgt ausschließlich auf Grundlage geeigneter Garantien gemäß Kapitel V DSGVO (insbesondere EU-Standardvertragsklauseln und – soweit einschlägig – DPF-Zertifizierung).
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder eine gesetzliche Aufbewahrungspflicht (insbesondere § 257 HGB, § 147 AO – bis zu 10 Jahre für Buchhaltungsunterlagen) entgegensteht. Bei Account-Löschung erfolgt eine Soft-Deaktivierung; nach 30 Tagen werden personenbezogene Daten anonymisiert oder gelöscht, soweit keine Aufbewahrungspflicht entgegensteht.
Ihnen stehen folgende Rechte zu:
Recht auf Auskunft (Art. 15 DSGVO);
Recht auf Berichtigung (Art. 16 DSGVO);
Recht auf Löschung (Art. 17 DSGVO);
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO);
Recht auf Datenübertragbarkeit (Art. 20 DSGVO);
Widerspruchsrecht (Art. 21 DSGVO) – insbesondere gegen Verarbeitungen auf Grundlage berechtigter Interessen oder zu Direktwerbungszwecken;
Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft;
Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) – zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestr. 2-4, 40213 Düsseldorf, https://www.ldi.nrw.de.
Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an datenschutz@wichtelkompass.de oder an die im Impressum genannte Postanschrift.
Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO oder ein darauf gestütztes Profiling findet nicht statt. Die Suchergebnis-Sortierung folgt nachvollziehbaren, technisch dokumentierten Kriterien (z. B. Premium-Status, Nähe, Verfügbarkeit) und entfaltet gegenüber den Betroffenen keine rechtliche Wirkung im Sinne des Art. 22 DSGVO.
Die Bereitstellung der als Pflichtangaben gekennzeichneten Daten ist erforderlich, um die jeweiligen Funktionen der Plattform nutzen zu können. Ohne diese Angaben können wir die entsprechenden Funktionen nicht zur Verfügung stellen. Die übrigen Angaben sind freiwillig.
Wir können diese Datenschutzerklärung anpassen, um sie an geänderte Rechtslagen oder Plattformfunktionen anzupassen. Die jeweils aktuelle Fassung ist auf der Plattform abrufbar. Bei wesentlichen Änderungen werden wir Sie zusätzlich per E-Mail oder Plattform-Benachrichtigung informieren.
Stand: 2026-05-08