Datenschutzerklärung
Stand: Oktober 2025
1. Einleitung und Verantwortlicher
Wir freuen uns über Ihr Interesse an KinderAlbum. Der Schutz Ihrer personenbezogenen Daten ist uns ein besonderes Anliegen. Diese Datenschutzerklärung informiert Sie über die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Nutzung unserer DSGVO-konformen Foto-Sharing-Plattform für Schulen.
Verantwortlicher im Sinne der DSGVO:
Vadim Shchepin
Flottbeker Drift 1
22607 Hamburg, Deutschland
E-Mail: hello@snapsites.me
Telefon: +49 (0) 176 321 94 754
2. Grundsätze der Datenverarbeitung
KinderAlbum wurde von Grund auf DSGVO-konform entwickelt und befolgt alle Grundsätze der Datenschutz-Grundverordnung:
- Rechtmäßigkeit und Transparenz: Alle Datenverarbeitungen erfolgen auf Basis expliziter Einwilligungen gemäß Art. 6 DSGVO
- Zweckbindung: Daten werden ausschließlich zum Zweck des sicheren Foto-Sharings zwischen Schulen und Eltern verarbeitet
- Datenminimierung: Es werden nur die für den Zweck notwendigen Daten erhoben (Name, E-Mail, Schulzugehörigkeit)
- Speicherbegrenzung: Fotos können jederzeit gelöscht werden, Einwilligungen sind zeitversioniert dokumentiert
- Integrität und Vertraulichkeit: Mehrstufige Sicherheitsarchitektur mit Verschlüsselung und Zugriffskontrolle
3. Welche Daten werden erhoben?
3.1 Lehrkräfte
- Vor- und Nachname
- E-Mail-Adresse (für Authentifizierung)
- Schulzugehörigkeit
- Hochgeladene Fotos und zugehörige Metadaten
3.2 Eltern
- Vor- und Nachname
- E-Mail-Adresse (für Authentifizierung)
- Schulzugehörigkeit
- Beziehung zum Kind (Mutter/Vater/Erziehungsberechtigter)
- Einwilligungsstatus für Foto-Veröffentlichungen
3.3 Schüler:innen
- Vor- und Nachname
- Geburtsdatum (optional)
- Klassenzugehörigkeit
- Zuordnung zu Eltern
Hinweis: Es werden keine sensiblen personenbezogenen Daten wie Gesundheitsdaten, religiöse Überzeugungen oder biometrische Daten erhoben.
3.4 Technische Daten
- IP-Adresse (für Sicherheitsprotokolle)
- Browser-Typ und -Version (User Agent)
- Zeitstempel von Zugriffen
- Aufgerufene Seiten und Aktionen (Audit-Logs)
4. Rechtsgrundlagen der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt auf folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Eltern erteilen explizite Einwilligung zur Veröffentlichung von Fotos ihrer Kinder
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung zur Bereitstellung der Plattform-Funktionalität
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Sicherheitsmaßnahmen und Audit-Logs zum Schutz vor Missbrauch
5. Einwilligungsmanagement (DSGVO Art. 6)
KinderAlbum implementiert ein zeitversioniertes Einwilligungssystem, das höchste DSGVO-Standards erfüllt:
- Explizite Einwilligung: Eltern müssen aktiv zustimmen, bevor Fotos ihrer Kinder sichtbar werden
- Jederzeit widerrufbar: Einwilligungen können ohne Angabe von Gründen zurückgezogen werden
- Vollständige Dokumentation: Alle Einwilligungsänderungen werden mit Zeitstempel und verantwortlicher Person protokolliert
- Sofortige Wirkung: Widerruf führt zur unmittelbaren Unsichtbarkeit der Fotos für Eltern
Technische Umsetzung: Einwilligungen werden niemals überschrieben, sondern als neue Datensätze mit Gültigkeitszeitraum angelegt. Dies ermöglicht eine lückenlose Nachvollziehbarkeit für rechtliche Zwecke.
6. Datenspeicherung und technische Sicherheit
6.1 Hosting in Deutschland
Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet:
- Datenbank: Self-hosted Supabase (PostgreSQL) bei Hetzner, Nürnberg
- Foto-Speicher: Hetzner S3 Object Storage, Nürnberg
- Keine Drittland-Übermittlung: Alle Daten verbleiben in der EU/Deutschland
6.2 Verschlüsselung
- Übertragung: HTTPS/TLS 1.3 für alle Verbindungen
- Speicherung: Datenbank und S3-Storage sind verschlüsselt
- Foto-Zugriff: Signierte URLs mit Ablaufzeit (1 Stunde)
6.3 Zugriffskontrolle
Mehrstufige Sicherheitsarchitektur:
- Authentifizierung: Sichere Passwort-basierte Anmeldung mit Supabase Auth
- Autorisierung: Rollenbasierte Zugriffskontrolle (Lehrkräfte/Eltern)
- Row-Level Security: 76 Datenbank-Policies für granulare Zugriffskontrolle
- Schulisolation: Strikte Trennung der Daten zwischen verschiedenen Schulen
6.4 Audit-Logging
Alle sicherheitsrelevanten Aktionen werden protokolliert:
- Foto-Ansichten und Downloads
- Einwilligungsänderungen
- Foto-Uploads und -Löschungen
- Anmeldungen und Abmeldungen
Audit-Logs sind unveränderlich und können nicht gelöscht werden (Compliance-Anforderung).
7. Ihre Rechte gemäß DSGVO
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
Recht auf Auskunft (Art. 15 DSGVO)
Sie können jederzeit Auskunft über die von uns gespeicherten personenbezogenen Daten verlangen. Eltern können über ihr Dashboard alle Informationen zu ihren Kindern einsehen.
Recht auf Berichtigung (Art. 16 DSGVO)
Unrichtige Daten können jederzeit korrigiert werden. Lehrkräfte können Schülerdaten aktualisieren, Eltern können ihr eigenes Profil bearbeiten.
Recht auf Löschung / "Recht auf Vergessenwerden" (Art. 17 DSGVO)
Sie können die Löschung Ihrer Daten verlangen. Fotos können sofort ausgeblendet werden (is_hidden-Flag), Einwilligungen können widerrufen werden. Die Löschung erfolgt unter Berücksichtigung gesetzlicher Aufbewahrungsfristen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Eltern können alle Fotos, auf die sie Zugriff haben, herunterladen. Alle Downloads werden zu Compliance-Zwecken protokolliert.
Recht auf Widerspruch (Art. 21 DSGVO)
Sie können der Verarbeitung Ihrer Daten jederzeit widersprechen. Einwilligungen können ohne Angabe von Gründen widerrufen werden, was zur sofortigen Unsichtbarkeit der Fotos führt.
Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Str. 22
20459 Hamburg
Website: datenschutz-hamburg.de
8. Datenweitergabe an Dritte
Wir geben Ihre Daten NICHT an Dritte weiter.
KinderAlbum ist eine selbstgehostete Lösung ohne externe Dienstleister für Datenverarbeitung. Es findet keine Weitergabe an:
- Werbenetzwerke oder Marketing-Plattformen
- Analytics-Dienste (kein Google Analytics, kein Tracking)
- Social-Media-Plattformen
- Cloud-Dienste außerhalb Deutschlands
Ausnahme: Hosting-Provider Hetzner (Deutschland) als Auftragsverarbeiter gemäß Art. 28 DSGVO. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV).
9. Speicherdauer
- Fotos: Werden gespeichert, bis sie von Lehrkräften gelöscht oder ausgeblendet werden
- Einwilligungen: Vollständige Historie wird für rechtliche Nachweispflichten aufbewahrt
- Audit-Logs: Werden für 3 Jahre aufbewahrt (Compliance-Anforderung)
- Nutzerkonten: Werden bei Inaktivität oder auf Anfrage gelöscht
10. Cookies und Tracking
KinderAlbum verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung:
- Session-Cookies: Für die Anmeldung und Sitzungsverwaltung (HttpOnly, Secure, SameSite)
- Keine Tracking-Cookies: Wir verwenden keine Cookies für Werbung, Analytics oder Tracking
- Keine Drittanbieter-Cookies: Es werden keine Cookies von externen Diensten gesetzt
Ein Cookie-Banner ist nicht erforderlich, da nur technisch notwendige Cookies verwendet werden.
11. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Dienstleistungen anzupassen. Die aktuelle Version ist stets auf dieser Seite verfügbar.
Stand: Oktober 2025
12. Kontakt bei Datenschutzfragen
Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte können Sie uns jederzeit kontaktieren:
Vadim Shchepin
Flottbeker Drift 1
22607 Hamburg, Deutschland
E-Mail: hello@snapsites.me
Telefon: +49 (0) 176 321 94 754