1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen ist:
Alexander Ebner
Sperberweg 23
53757 Sankt Augustin
E-Mail: info@alexanderebner.eu
Telefon: +49 175 508 8530
(Nach Gründung der UG (haftungsbeschränkt) wird der Verantwortliche hier aktualisiert.)
2. Übersicht der Verarbeitungen
Wir verarbeiten personenbezogene Daten im Rahmen folgender Tätigkeiten:
- Authentifizierung – Anmeldung per Magic Link (E-Mail-basiert)
- Nutzerprofil – Optionale Angaben zu Stadt, Kita und Sprache
- Eltern-Berater – KI-gestützter Chat zu Fragen rund um Kita und Kinderbetreuung
- Nutzer-Feedback – Bewertung von Berater-Antworten (Daumen hoch/runter)
- E-Mail-Benachrichtigungen – Relevante Informationen zu Diskussionen und Entscheidungen der Lokalpolitik und Verwaltung, Gesetzesänderungen und neuen Funktionen (Double Opt-in)
- Communication Simplifier – KI-gestützte Vereinfachung von Verwaltungstexten
- Kuratoren-Portal – Validierung öffentlicher Inhalte für die Wissensdatenbank
- Webanalyse – Cookielose Nutzungsstatistiken und Performance-Messung
- Fehlerprotokollierung – Technische Protokolle zur Sicherstellung der App-Stabilität
3. Einsatz künstlicher Intelligenz
3.1 Welche KI-Systeme wir einsetzen
Wir setzen folgende KI-Sprachmodelle (Large Language Models) ein:
- Google Gemini Flash (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) – für den Eltern-Berater (Chat), den Communication Simplifier und die Erzeugung von Such-Embeddings.
- Anthropic Claude Sonnet (Anthropic PBC, 548 Market St, San Francisco, CA 94104, USA) – für den Eltern-Berater (Chat).
3.2 Hinweis gemäß Art. 50 Abs. 1 EU AI Act
Die Antworten des Eltern-Beraters und die Textvereinfachungen des Communication Simplifiers werden durch künstliche Intelligenz generiert. Es handelt sich nicht um rechtsverbindliche Auskünfte. Die KI-generierten Inhalte können trotz Nutzung kuratierter offizieller Quellen Ungenauigkeiten enthalten.
3.3 Welche Daten an die KI-Systeme übermittelt werden
Eltern-Berater (Chat):
- Ihre aktuelle Frage (Freitext)
- Die bisherige Konversationshistorie der laufenden Chat-Sitzung
- Falls im Profil hinterlegt: Stadt, Kita-Name und bevorzugte Sprache (zur Kontextualisierung der Antwort)
- Relevante Textbausteine aus unserer kuratierten Wissensdatenbank (öffentliche kommunale Inhalte)
Communication Simplifier:
- Der von Ihnen eingegebene Text oder das hochgeladene PDF-Dokument
3.4 Kein Training mit Ihren Daten
Wir nutzen die kostenpflichtigen API-Versionen beider Dienste. Sowohl Google als auch Anthropic sind vertraglich verpflichtet, die über die API übermittelten Inhalte nicht zum Training, zur Verbesserung oder zur Weiterentwicklung ihrer KI-Modelle zu verwenden.
3.5 Keine automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Die KI-Systeme liefern informative Hinweise und Vorschläge; es werden keine rechtlich oder ähnlich erheblich wirkenden Entscheidungen über Sie getroffen.
4. Einzelne Verarbeitungen im Detail
4.1 Authentifizierung (Magic Link)
| Beschreibung | Anmeldung über einen per E-Mail zugesandten Einmal-Link (Magic Link). Es wird kein Passwort gespeichert. |
|---|---|
| Verarbeitete Daten | E-Mail-Adresse, Nutzer-ID (UUID), Sitzungstoken (JWT), Zeitpunkt der Anmeldung |
| Zweck | Identifizierung und Authentifizierung, Bereitstellung nutzerbezogener Funktionen (Chat-Verlauf, Profil) |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Nutzungsvertrags) |
| Speicherdauer | Bis zur Kontolöschung; Sitzungen laufen gemäß Serverkonfiguration automatisch ab |
| Empfänger | Supabase (Auftragsverarbeiter, EU-Region Frankfurt) |
4.2 Nutzerprofil
| Beschreibung | Optionale Profilangaben, die Sie freiwillig hinterlegen können. |
|---|---|
| Verarbeitete Daten | Stadt, Kita-Name, Postleitzahl, bevorzugte Sprache, Rolle (Elternteil/Kurator/Admin) |
| Zweck | Personalisierung der angezeigten Inhalte in der App sowie – bei erteilter Einwilligung – Personalisierung von E-Mail-Benachrichtigungen, um Ihnen relevante Informationen zu Ihrer Kommune und Kita zukommen zu lassen |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); die Angaben sind freiwillig und können jederzeit geändert oder gelöscht werden |
| Speicherdauer | Bis zur Änderung durch Sie oder Löschung Ihres Kontos |
| Empfänger | Supabase (EU-Region Frankfurt); bei Chat-Nutzung wird der Profil-Kontext an Google Gemini und/oder Anthropic Claude übermittelt (siehe Abschnitt 3.3) |
4.3 Eltern-Berater (Chat)
| Beschreibung | KI-gestützter Chat, der Fragen zu Kita und Kinderbetreuung in Ihrer Kommune beantwortet. Antworten werden auf Basis kuratierter offizieller Quellen und bei Bedarf durch eine webbasierte Recherche (sog. Grounding) generiert. |
|---|---|
| Verarbeitete Daten | Chat-Sitzungen (Titel, Zeitstempel), Chat-Nachrichten (Ihre Fragen und die KI-generierten Antworten) |
| Zweck | Bereitstellung eines faktenbasierten Informationsangebots zu Kita-Themen |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung des Dienstes) |
| Speicherdauer | 12 Monate ab Erstellung der Chat-Sitzung; danach automatische Löschung. Sie können Ihre Chat-Verläufe jederzeit selbst löschen. |
| Empfänger | Supabase (EU-Region Frankfurt); Google LLC (Gemini API); Anthropic PBC (Claude API) – siehe Abschnitt 6 |
Anonyme Nutzung: Der Eltern-Berater kann auch ohne Anmeldung verwendet werden. In diesem Fall werden keine Chat-Verläufe gespeichert und kein Personenbezug hergestellt.
4.4 Nutzer-Feedback
| Beschreibung | Bewertung einzelner Berater-Antworten mittels Daumen hoch/runter, optional mit Ablehnungsgrund und Freitext-Kommentar. |
|---|---|
| Verarbeitete Daten | Bewertung (positiv/negativ), optionaler Grund und Kommentar, technische Metadaten (Antwortquelle, Antwortzeit). Es wird keine Kopie Ihrer Frage oder der Berater-Antwort im Feedback gespeichert. |
| Zweck | Qualitätssicherung und Verbesserung des Berater-Angebots |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Qualitätsverbesserung). Ihr Recht auf Widerspruch gemäß Art. 21 DSGVO bleibt unberührt. |
| Speicherdauer | 12 Monate, danach Löschung |
| Empfänger | Supabase (EU-Region Frankfurt); Zugriff nur durch Administratoren |
Anonymes Feedback: Feedback kann auch ohne Anmeldung abgegeben werden. In diesem Fall ist das Feedback nicht personenbezogen.
4.5 E-Mail-Benachrichtigungen
| Beschreibung | Auf Wunsch informieren wir Sie per E-Mail über relevante Veröffentlichungen Ihrer Stadt/Verwaltung, Gesetzesänderungen im Bereich Kinderbetreuung und neue Funktionen der Plattform. |
|---|---|
| Verarbeitete Daten | E-Mail-Adresse; zur Personalisierung ggf. Ihre Profilangaben (Stadt, Kita, Sprache) |
| Zweck | Zusendung relevanter und kontextuell passender Informationen |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie erteilen Ihre Einwilligung über ein Double-Opt-in-Verfahren: Nach Aktivierung erhalten Sie eine Bestätigungs-E-Mail mit einem Bestätigungslink. Erst nach Klick auf diesen Link werden E-Mails versendet. |
| Widerruf | Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie den Abmeldelink in jeder E-Mail nutzen oder die Einstellung in Ihrem Profil ändern. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. |
| Speicherdauer | Bis zum Widerruf der Einwilligung oder zur Löschung Ihres Kontos |
| Empfänger | Supabase (EU-Region Frankfurt); E-Mail-Versanddienst (wird nach Implementierung hier ergänzt) |
4.6 Communication Simplifier
| Beschreibung | Werkzeug zur Vereinfachung komplexer Verwaltungstexte in verständliche Sprache mittels KI. |
|---|---|
| Verarbeitete Daten | Der von Ihnen eingegebene Text (max. 50.000 Zeichen) oder ein hochgeladenes PDF-Dokument (max. 5 MB) |
| Zweck | KI-gestützte Textvereinfachung |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung des Dienstes) |
| Speicherdauer | Die Daten werden nicht gespeichert. Die Verarbeitung erfolgt in Echtzeit; nach Anzeige des Ergebnisses werden die eingegebenen Texte weder auf unseren Servern noch bei Google gespeichert (abgesehen von der kurzfristigen technischen Verarbeitung durch die API). |
| Empfänger | Google LLC (Gemini API) – siehe Abschnitt 6 |
Hinweis: Der Communication Simplifier ist auch ohne Anmeldung nutzbar.
4.7 Kuratoren-Portal
| Beschreibung | Validierung von aus öffentlichen Quellen gescrapten Inhalten für die Wissensdatenbank des Eltern-Beraters. |
|---|---|
| Verarbeitete Daten | Kuratoren-ID (verknüpft mit Nutzerkonto), Abstimmungen und Begründungen zu einzelnen Inhalten, Bearbeitungsprotokolle |
| Zweck | Qualitätssicherung der Wissensdatenbank |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung des Dienstes für zugelassene Kuratoren) |
| Speicherdauer | Unbefristet (Prüfprotokoll als Nachweis der inhaltlichen Qualitätssicherung) |
| Empfänger | Supabase (EU-Region Frankfurt); Zugriff nur durch Kuratoren und Administratoren |
Hinweis: Kuratoren verarbeiten ausschließlich öffentlich verfügbare Inhalte, keine personenbezogenen Nutzerdaten.
4.8 Webanalyse (Vercel Analytics und Speed Insights)
| Beschreibung | Wir verwenden Vercel Analytics und Vercel Speed Insights zur Messung der Website-Nutzung und Performance. |
|---|---|
| Verarbeitete Daten | Seitenaufrufe, Performance-Metriken, Referrer, User-Agent. IP-Adressen werden von Vercel zur Geolokalisierung verarbeitet, aber nicht gespeichert. |
| Zweck | Verbesserung der Website-Performance und Nutzererfahrung |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung des Dienstes). Ihr Recht auf Widerspruch gemäß Art. 21 DSGVO bleibt unberührt. |
| Cookies | Keine. Vercel Analytics und Speed Insights arbeiten ohne Cookies. |
| Speicherdauer | Aggregierte Daten bei Vercel; kein Personenbezug in den gespeicherten Auswertungen |
| Empfänger | Vercel Inc. (USA) – siehe Abschnitt 6 |
4.9 Fehlerprotokollierung
| Beschreibung | Automatische Protokollierung technischer Fehler zur Sicherstellung der App-Stabilität. |
|---|---|
| Verarbeitete Daten | Fehler-ID, Fehlerquelle (z. B. auth_sign_in), Fehlermeldung, optionale Referenz-ID (z. B. Nutzer-ID oder Sitzungs-ID), technische Metadaten, Zeitstempel |
| Zweck | Erkennung und Behebung technischer Probleme |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Betriebssicherheit) |
| Speicherdauer | 6 Monate, danach automatische Löschung |
| Empfänger | Supabase (EU-Region Frankfurt); Zugriff nur durch Administratoren |
4.10 Rate Limiting (Missbrauchsschutz)
| Beschreibung | Serverseitige Begrenzung der Anfragehäufigkeit zum Schutz vor Missbrauch. |
|---|---|
| Verarbeitete Daten | Technische Zähler, die Nutzer-IDs als Schlüssel enthalten können |
| Zweck | Schutz der Infrastruktur vor übermäßiger Nutzung |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz der Infrastruktur) |
| Speicherdauer | Kurzlebig; automatische Löschung nach Ablauf des Zeitfensters (in der Regel wenige Stunden) |
| Empfänger | Supabase (EU-Region Frankfurt) |
5. Cookies und Speichertechnologien
Wir setzen ausschließlich technisch notwendige Cookies ein:
| Cookie | Zweck | Typ | Rechtsgrundlage |
|---|---|---|---|
sb-*-auth-token | Authentifizierung und Sitzungsverwaltung (Supabase) | Session-Cookie, HTTP-only | § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich) |
Keine Tracking- oder Marketing-Cookies. Vercel Analytics und Speed Insights arbeiten ohne Cookies. Ein Cookie-Consent-Banner ist daher nicht erforderlich.
6. Empfänger und Übermittlung in Drittländer
6.1 Auftragsverarbeiter innerhalb der EU/des EWR
| Dienst | Unternehmen | Standort | Zweck |
|---|---|---|---|
| Supabase | Supabase Inc. | Serverstandort: Frankfurt (eu-central-1), Deutschland | Authentifizierung, Datenbank (Profile, Chats, Feedback), Dateispeicherung |
Mit Supabase besteht ein Auftragsverarbeitungsvertrag (Data Processing Addendum). Die Daten werden ausschließlich in der EU verarbeitet.
6.2 Übermittlung in die USA
Google LLC (Google Gemini API) – Zweck: KI-gestützte Beantwortung von Nutzerfragen (Eltern-Berater), Textvereinfachung (Communication Simplifier), Erzeugung von Such-Embeddings. Übermittelte Daten: Chat-Fragen, Konversationshistorie, Profil-Kontext (Stadt, Kita, Sprache), vom Nutzer eingegebene Texte/PDFs (Simplifier). Schutzgarantie: EU-US Data Privacy Framework (DPF); Google LLC ist unter dem DPF zertifiziert. Auftragsverarbeitung: Google Cloud Data Processing Addendum. Kein Training mit Ihren Inhalten.
Anthropic PBC (Claude API) – Zweck: KI-gestützte Beantwortung von Nutzerfragen (Eltern-Berater). Übermittelte Daten: Chat-Fragen, Konversationshistorie, Profil-Kontext (Stadt, Kita, Sprache). Schutzgarantie: EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Auftragsverarbeitung: Anthropic Data Processing Addendum inkl. SCCs und UK Addendum. Kein Training mit Ihren Inhalten.
Vercel Inc. (Hosting, Analytics, Speed Insights) – Zweck: Hosting der Webanwendung, cookielose Nutzungsstatistiken, Performance-Messung. Übermittelte Daten: Seitenaufrufe, Performance-Metriken, IP-Adressen (zur Verarbeitung, nicht zur Speicherung). Schutzgarantie: EU-US Data Privacy Framework (DPF). Auftragsverarbeitung: Vercel Data Processing Addendum.
6.3 Hinweis zum EU-US Data Privacy Framework
Der Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework vom 10. Juli 2023 ist derzeit gültig. Er wurde am 3. September 2025 durch das Gericht der Europäischen Union (EuG) bestätigt. Ein Revisionsverfahren vor dem Europäischen Gerichtshof (EuGH) ist anhängig. Sollte der Angemessenheitsbeschluss aufgehoben werden, werden wir die Datenübermittlung auf alternative Garantien (insbesondere EU-Standardvertragsklauseln) umstellen und diese Datenschutzerklärung entsprechend aktualisieren.
7. Speicherdauer
| Nutzerkonto (Auth) | Bis zur Kontolöschung durch Sie |
|---|---|
| Nutzerprofil | Bis zur Änderung/Löschung durch Sie oder Kontolöschung |
| Chat-Verläufe | 12 Monate ab Erstellung; danach automatische Löschung. Eigene Löschung jederzeit möglich. |
| Nutzer-Feedback | 12 Monate, danach automatische Löschung |
| E-Mail-Einwilligung | Bis zum Widerruf oder zur Kontolöschung |
| Fehlerprotokolle | 6 Monate, danach automatische Löschung |
| Rate-Limiting-Zähler | Wenige Stunden (automatischer Ablauf) |
| Kuratoren-Protokolle | Unbefristet (Qualitätssicherungsnachweis) |
8. Ihre Rechte als betroffene Person
Nach der DSGVO stehen Ihnen folgende Rechte zu:
- Auskunft (Art. 15 DSGVO) – Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
- Berichtigung (Art. 16 DSGVO) – Sie können die Berichtigung unrichtiger Daten verlangen.
- Löschung (Art. 17 DSGVO) – Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sie können Ihre Chat-Verläufe und Ihr Profil jederzeit selbst in der App löschen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO) – Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO) – Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
- Widerspruch (Art. 21 DSGVO) – Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht. Wir verarbeiten Ihre Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) – Soweit die Verarbeitung auf Ihrer Einwilligung beruht (z. B. Profildaten, E-Mail-Benachrichtigungen), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) – Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für Sie zuständige Behörde richtet sich nach Ihrem Wohnort; eine Liste der Aufsichtsbehörden finden Sie unter www.bfdi.bund.de.
9. Kontakt für Datenschutzanfragen
Für Fragen zum Datenschutz, Auskunftsersuchen oder den Widerruf von Einwilligungen wenden Sie sich bitte an:
E-Mail: info@alexanderebner.eu
Wir werden Ihre Anfrage unverzüglich, spätestens innerhalb eines Monats, beantworten (Art. 12 Abs. 3 DSGVO).
10. Änderungen dieser Datenschutzerklärung
Wir aktualisieren diese Datenschutzerklärung bei Bedarf, insbesondere wenn wir neue Funktionen einführen, neue Dienste einbinden oder sich die Rechtslage ändert. Die jeweils aktuelle Fassung ist unter /datenschutz abrufbar. Wesentliche Änderungen teilen wir Ihnen – soweit möglich – gesondert mit.