Datenschutzerklärung

Verantwortlicher für den Betrieb der Website und die eigene Verarbeitung personenbezogener Daten ist:

ZwergalPost wird ausschließlich an Kindertagesstätten, Kinderkrippen, Kindergärten, Horte und vergleichbare Betreuungseinrichtungen angeboten. Die jeweilige Einrichtung ist Verantwortlicher im Sinne der DSGVO für die Verarbeitung von Kinder-, Eltern-, Mitarbeitenden- und Organisationsdaten innerhalb des Systems. Die Software2 Handels GmbH verarbeitet diese Daten als Auftragsverarbeiter ausschließlich auf Weisung des Kunden. Soweit wir unsere eigene Website, Abrechnung, Support-Kommunikation oder Systemlogs verarbeiten, handeln wir insoweit als eigener Verantwortlicher.

Je nach Nutzung verarbeiten wir insbesondere: Stammdaten von Kindern, Eltern, Sorgeberechtigten und Mitarbeitenden; Kontaktdaten; Notfallkontakte; Abholberechtigungen; Anwesenheits-, Abwesenheits- und Krankmeldungen; Urlaubs- und Vertretungsinformationen; Nachrichteninhalte; Rollen-, Rechte- und Berechtigungsdaten; Speiseplan- und Mahlzeiteninformationen; Allergie- und Unverträglichkeitsangaben; Uploads, Dokumente und Importdaten; technische Protokolldaten sowie Nutzungs- und Diagnoseinformationen.

Informationen über Allergien, Unverträglichkeiten, Krankheiten, besondere Ernährungsbedürfnisse oder sonstige gesundheitsbezogene Angaben können besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO darstellen. Diese Daten werden nur verarbeitet, soweit dies vom Kunden veranlasst und datenschutzrechtlich zulässig ist. Die Verantwortung für die Rechtsgrundlage, Information der betroffenen Personen und etwaige Einwilligungen oder sonstigen Erlaubnistatbestände liegt beim Kunden.

Die Verarbeitung dient insbesondere: der Bereitstellung und Administration der Plattform; der Verwaltung von Gruppen, Kindern, Eltern und Mitarbeitenden; der Abwicklung von Check-in- und Check-out-Prozessen; der Organisation von Abwesenheiten und Krankmeldungen; der Kommunikation mit Eltern und Team; dem Versand von Nachrichten und Notfallmitteilungen; der Verwaltung von Berechtigungen; der Planung von Mahlzeiten und Speiseplänen; der Übersetzung von Inhalten; der Extraktion von Daten aus Dokumenten; der Fehleranalyse, Sicherheit, Missbrauchsvermeidung und Supportbearbeitung.

Soweit wir als Verantwortlicher handeln, stützen wir die Verarbeitung auf: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung oder vorvertragliche Maßnahmen), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit, Stabilität, Fehleranalyse und Support). Bei besonderen Kategorien personenbezogener Daten gelten die zusätzlichen Voraussetzungen des Art. 9 DSGVO bzw. die durch den Kunden verantwortete Rechtsgrundlage.

Zur Bereitstellung von ZwergalPost nutzen wir folgende Dienste:

Soweit hierbei personenbezogene Daten verarbeitet werden, geschieht dies im Rahmen der Vertragsdurchführung und nach Maßgabe der jeweils geschlossenen Auftragsverarbeitungsverträge. Wir setzen nach Möglichkeit EU-Hosting bzw. EU-basierte Verarbeitung ein.

Beim Aufruf unserer Anwendung können automatisch technische Informationen verarbeitet werden, etwa: IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Seiten, Referrer, Browsertyp und -version, Betriebssystem, Geräteinformationen sowie Fehler- und Ereignisprotokolle. Die Verarbeitung erfolgt zur Sicherstellung des Betriebs, zur Fehleranalyse, zur Missbrauchserkennung und zur IT-Sicherheit.

Für Einladungen, Magic Links, Systembenachrichtigungen und Notfall-E-Mails nutzen wir Postmark. Dabei können E-Mail-Adressen, Inhaltsdaten und technische Zustellinformationen verarbeitet werden.

Sofern Nutzer Web-Push-Benachrichtigungen aktivieren, werden die hierfür technisch erforderlichen Daten verarbeitet (Push-Endpunkt-URL, Verschlüsselungsschlüssel p256dh und auth). Diese Daten werden auf unserer eigenen Infrastruktur (Railway/Redis) gespeichert. Die Aktivierung erfolgt über den Browser des Nutzers und kann jederzeit widerrufen werden. Die Zustellung hängt von den Einstellungen des jeweiligen Browsers, Endgeräts und Betriebssystems ab und kann nicht garantiert werden.

Für die sprachliche Übersetzung von Inhalten setzen wir die DeepL API ein. Übersetzungen dienen ausschließlich der Verständlichmachung. Sie können inhaltlich ungenau, verkürzt oder missverständlich sein. Insbesondere bei gesundheits-, sicherheits- oder notfallrelevanten Inhalten ersetzt die Übersetzung keine fachliche Prüfung durch den Kunden.

Wir nutzen Google Gemini 2.5 Flash zur unterstützenden Extraktion und Strukturierung von Inhalten, insbesondere aus Speiseplänen, Stammdatenimporten, Dienstplan-Uploads und Dokumenten. Bei der Verarbeitung können personenbezogene Daten (z. B. Namen, Kontaktdaten) an den Dienst übermittelt werden. Die Übermittlung erfolgt auf Basis einer Auftragsverarbeitungsvereinbarung und EU-Standardvertragsklauseln. Die KI-Ausgaben können fehlerhaft, unvollständig oder missverständlich sein und müssen vor operativer Nutzung durch den Kunden geprüft werden.

Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur, soweit dies erforderlich ist: zur Vertragserfüllung, zur Erfüllung rechtlicher Pflichten, aufgrund einer Weisung des Kunden, auf Grundlage einer Einwilligung oder aufgrund eines berechtigten Interesses, soweit zulässig.

Soweit personenbezogene Daten in Staaten außerhalb der EU bzw. des EWR verarbeitet werden (insbesondere bei Google Gemini und Postmark), erfolgt dies nur bei Vorliegen eines Angemessenheitsbeschlusses oder geeigneter Garantien im Sinne der Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln.

Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Im Einzelnen:

• Audit-Logs werden nach 90 Tagen gelöscht.
• Tägliche Backups werden 7 Tage, monatliche Backups 30 Tage und jährliche Backups 365 Tage vorgehalten.
• Archivierte Kinder- und Mitarbeitendendaten unterliegen einer vom Kunden konfigurierbaren DSGVO-Löschfrist (wählbare Optionen: 90 Tage, 180 Tage, 1 Jahr, 2 Jahre oder 3 Jahre; Standard: 1 Jahr).
• Nach Vertragsende hat der Kunde 30 Tage zum Datenexport; anschließend werden alle Daten einschließlich Backups vollständig gelöscht.

Betroffene Personen haben im Rahmen der gesetzlichen Voraussetzungen folgende Rechte: Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO), Widerspruch (Art. 21 DSGVO) sowie Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO).

Soweit wir als Auftragsverarbeiter tätig werden, sind Anfragen grundsätzlich an die jeweilige Einrichtung als Verantwortlichen zu richten. Wir unterstützen den Kunden im Rahmen unserer vertraglichen und gesetzlichen Pflichten.

Beschwerden können an die Österreichische Datenschutzbehörde gerichtet werden: dsb@dsb.gv.at, https://www.dsb.gv.at

Im Rahmen der Nutzung der Plattform müssen nur diejenigen Daten bereitgestellt werden, die für die jeweilige Funktion erforderlich sind. Ohne diese Daten kann die Nutzung einzelner Funktionen eingeschränkt oder nicht möglich sein.

Wir setzen keine ausschließlich automatisierten Entscheidungsverfahren einschließlich Profiling im Sinne von Art. 22 DSGVO ein, die gegenüber betroffenen Personen rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen.

Wir setzen angemessene technische und organisatorische Maßnahmen ein, um personenbezogene Daten vor Verlust, Missbrauch, unbefugtem Zugriff und Manipulation zu schützen. Hierzu gehören insbesondere:

• TLS-1.3-Verschlüsselung mit HSTS und Perfect Forward Secrecy
• Rollenbasierte Zugriffskontrollen (RBAC) mit Bitmask-Berechtigungssystem
• Multi-Faktor-Authentifizierung
• Row-Level-Security auf Datenbankebene
• Audit-Protokollierung (90 Tage Aufbewahrung)
• Tägliche Backups mit gestaffelter Aufbewahrung
• Trennung von Entwicklungs- und Produktionssystemen
• DDoS-Schutz und Web Application Firewall (WAF)
• Content-Security-Policy und SQLi/XSS-Schutz

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, soweit dies aufgrund geänderter Rechtslagen, technischer Entwicklungen oder Änderungen des Dienstes erforderlich ist.