Datenschutzerklärung
Version 1.2.0 — Stand 1. Juni 2026
Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Michael Merzbach
handelnd unter der Bezeichnung „Kikidori"
Stellbrinkweg 9
69469 Weinheim
Deutschland
Hinweis: Kikidori befindet sich derzeit in einer nicht-kommerziellen, geschlossenen Testphase mit eingeladenen Familien. Eine separate gewerbliche Anmeldung bzw. Überführung in eine Gesellschaftsform erfolgt mit dem öffentlichen Start.
Telefon: +49 151 42020021
E-Mail: datenschutz@kikidori.com
Website: www.kikidori.com
Datenschutzbeauftragter
Eine Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht derzeit nicht (Art. 37 DSGVO i.V.m. § 38 BDSG):
- Wir beschäftigen weniger als 20 Personen, die ständig mit der Verarbeitung personenbezogener Daten befasst sind.
- Es findet keine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen statt.
- Eine Verarbeitung besonderer Kategorien personenbezogener Daten als Kerntätigkeit ist nicht beabsichtigt (zur Risiko-Behandlung von Beweisfotos siehe Abschnitt „Besondere Datenkategorien").
Anfragen zum Datenschutz richten Sie bitte an datenschutz@kikidori.com — wir antworten innerhalb der nach Art. 12 Abs. 3 DSGVO geltenden Fristen.
1. Überblick
Kikidori ist eine App zur Unterstützung der Verhaltensförderung bei Kindern im Alter von 6–12 Jahren, mit besonderem Fokus auf neurodivergente Familien. Die App wird von Eltern bzw. Bezugspersonen eingerichtet und gemeinsam mit ihren Kindern genutzt.
Diese Erklärung informiert Sie nach Art. 13 und 14 DSGVO darüber, welche Daten wir erheben, auf welcher Rechtsgrundlage, zu welchem Zweck, wie lange wir sie speichern und welche Rechte Sie als betroffene Person haben.
1.1 Datenschutzfreundliche Voreinstellungen (ICO Children's Code Standard #7)
Als an Kinder gerichtete Anwendung folgen wir dem ICO Children's Code („Age Appropriate Design Code") als faktischem EU-Benchmark. Konkret bedeutet das:
- Keine öffentlichen Profile. Alle Daten sind familien-intern; es gibt keine Option, Profile, Aktivitäten oder Belohnungen außerhalb der eigenen Familie sichtbar zu machen.
- Keine Third-Party-Analytics in der App. In der App selbst setzen wir keine externen Tracking-SDKs (Google Analytics, Meta Pixel, Mixpanel, Amplitude o.Ä.) ein. Fehler-Diagnose erfolgt über ein selbst gehostetes Glitchtip. Auf der öffentlichen Marketing-Website nutzen wir eine selbst gehostete, cookielose Reichweitenmessung — siehe Abschnitt „Statistik & Reichweitenmessung".
- Keine verhaltensbezogene Werbung. Es gibt keine Werbeanzeigen in der App und keine Datenweitergabe für Werbezwecke.
- Keine Standortdaten. Wir erheben keine GPS- oder Geolocation-Daten.
- Gamification ohne Profilbildung. Streaks, Punkte und Badges wirken ausschließlich innerhalb der Familie und entfalten keine algorithmische Bewertung des Kindes.
1.2 Selbstverpflichtung gegen Dark Patterns
Wir verzichten bewusst auf manipulative Anreiz-Mechaniken (Dark Patterns) bei Kindern:
- Keine Streak-Verlust-Drohungen oder künstliche Knappheit, die Kinder zu Engagement drängen.
- Keine asymmetrische Friction zwischen „Ja" und „Nein" in Einwilligungs-Flows — beide Optionen sind gleich erreichbar.
- Notification-Frequenz ist gleichmäßig konfiguriert, nicht engagement-getrieben.
- Keine Countdown-Pressure-UX in Belohnungs-Einlöseflüssen.
2. Rechtsgrundlagen-Matrix pro Datenkategorie
Pro Datenkategorie weisen wir Rechtsgrundlage, Zweck, Speicherdauer und Erforderlichkeit aus.
| Datenkategorie | Betroffene Person | Rechtsgrundlage | Zweck | Erforderlichkeit |
|---|---|---|---|---|
| Bezugsperson-E-Mail, Passwort-Hash, Anzeigename | Bezugsperson | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Bereitstellung des Nutzerkontos | erforderlich |
| Bezugsperson-Profilfoto, Theme, Benachrichtigungseinstellungen | Bezugsperson | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), jederzeit widerruflich | Personalisierung | optional |
| Einwilligungs-Audit-Record | Bezugsperson | Art. 6 Abs. 1 lit. c DSGVO (Nachweispflicht Art. 7 Abs. 1) | Consent-Audit | erforderlich |
| Kind-Profilname (Pseudonym empfohlen), PIN-Hash | Kind | Art. 6 Abs. 1 lit. a + Art. 8 DSGVO (Einwilligung, repräsentiert durch Sorgeberechtigten) | Familien-interne Nutzung | erforderlich |
| Kind-Avatar / Profilfoto | Kind | Art. 6 Abs. 1 lit. a + Art. 8 DSGVO, jederzeit widerruflich | Personalisierung | optional |
| Aufgaben, Aufgaben-Abschlüsse, Punktetransaktionen, Belohnungen, Belohnungsanfragen, Badges, Routinen | Kind | Art. 6 Abs. 1 lit. a + Art. 8 DSGVO | Kern-Funktionalität Token-Economy | erforderlich für Funktionalität |
| Aufgaben-Beweisfotos | Kind | Art. 6 Abs. 1 lit. a + Art. 8 DSGVO (mit Art. 9-Risiko-Hinweis, siehe Abschnitt 5) | Belegführung gegenüber Bezugspersonen | optional pro Aufgabe |
| Aktivitätsprotokoll (familien-interne Ereignisse) | Kind + Bezugsperson | Art. 6 Abs. 1 lit. a + Art. 8 DSGVO (kind-bezogen) bzw. Art. 6 Abs. 1 lit. b (Bezugsperson-bezogen) | Verlaufstreue als Bezugsperson-Feature | erforderlich für Feature |
| Server-Logfiles (IP, Datum, User Agent) | Bezugsperson + Kind (transient) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Missbrauchs-Erkennung, Betriebssicherheit) | Betrieb, Sicherheit | erforderlich |
| Push-Subscription + Preferences | Bezugsperson | Art. 6 Abs. 1 lit. a DSGVO, jederzeit widerruflich | Benachrichtigungen | optional |
| Warteliste-E-Mail (Landing-Page) | Interessent | Art. 6 Abs. 1 lit. a DSGVO | Einmalige Benachrichtigung über Beta-Start | optional |
Die Bereitstellung der als „erforderlich" markierten Daten ist Voraussetzung für die Nutzung der jeweiligen Funktion. Optionale Daten können jederzeit entfernt werden, ohne dass die Funktionsfähigkeit des Kontos beeinträchtigt wird (Art. 13 Abs. 2 lit. e DSGVO).
2.1 Erhebung von Kinderdaten bei der Bezugsperson (Art. 14 DSGVO)
Kinderdaten werden nicht vom Kind selbst, sondern von der Bezugsperson beim Anlegen des Kindprofils erhoben. Damit greift zusätzlich Art. 14 DSGVO:
- Quelle der Daten: Eigene Angaben der Bezugspersonen im Anlage-Flow des Kindprofils.
- Empfänger: ausschließlich Bezugspersonen innerhalb derselben Familie. Keine Drittempfänger.
- Information an das Kind: über die alters-angemessene Kurzfassung der Datenschutzerklärung („Was wir über dich wissen") — beim ersten Login und jederzeit über das Kind-Settings-Menü erreichbar.
3. Speicherdauer und Löschung
| Kategorie | Speicherdauer | Lösch-Mechanismus |
|---|---|---|
| Bezugsperson-Stammdaten | bis Account-Löschung | sofort bei delete_family_hard / remove_caregiver |
| Kind-Profildaten | bis Kind-Löschung oder Account-Löschung | sofort bei delete_child / withdraw_child_consent / delete_family_hard |
| Aufgaben-Abschlüsse, Punktetransaktionen, Belohnungen, Badges, Routinen | bis Kind-Löschung | Cascade-Delete |
| Aktivitätsprotokoll | Lebensdauer des Bezugsperson-Accounts; 90 Tage Grace-Period nach Account-Löschung | pg_cron Hard-Delete täglich |
| Aufgaben-Beweisfotos | 30 Tage nach Bezugsperson-Bestätigung; sofort bei Ablehnung | Storage-Delete via pg_cron + RPC |
| Profilfotos (Avatare) | bis Profil-Bearbeitung oder Profil-Löschung | Storage-Delete |
| Push-Subscriptions | bis Widerruf | sofort bei Widerruf |
| Consent-Records (Bezugsperson) | bis Bezugsperson-Löschung + 6 Monate (Nachweispflicht-Puffer) | Hard-Delete nach 6 Monaten |
| Server-Logfiles | in der Regel 14 Tage, max. 30 Tage | Log-Rotation |
| Verwaiste Kind-Auth-Records (server-seitiges Housekeeping) | längstens 24 Stunden | automatische Bereinigung |
| Warteliste-E-Mail | bis Widerruf oder 12 Monate nach Beta-Launch | manuelle Löschung |
| Zahlungsdaten (Premium, künftig) | 10 Jahre (§ 147 AO) | manuelle Archivierung |
Die Aufgaben-Beweisfoto-Frist von 30 Tagen folgt aus Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung) und dem Grundsatz der Datenminimierung. Bei Ablehnung einer Aufgaben-Einreichung entfällt die Rechtfertigungsgrundlage für die Speicherung des Fotos sofort. Die Bezeichnung „gelöscht am …" bleibt im Familien-Verlauf sichtbar, damit Bezugspersonen nachvollziehen können, dass eine Datei vorhanden war und wann sie automatisch entfernt wurde.
4. Keine automatisierte Entscheidungsfindung (Art. 22 DSGVO)
Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die Ihrem Kind oder Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.
- Badges und Fortschritts-Anzeigen sind gamifizierte Darstellungen, keine Bewertungen.
- Punkte-Vergabe erfolgt ausschließlich durch Bezugspersonen — nicht durch das System.
- Es gibt kein adaptives Lernen, keine Verhaltens-Vorhersage, keine Profilbildung mit rechtlicher Wirkung.
5. Besondere Datenkategorien (Art. 9 DSGVO)
Wir beabsichtigen nicht, besondere Kategorien personenbezogener Daten zu verarbeiten und führen keine Klassifikation, biometrische Identifizierung oder automatisierte Bildanalyse durch.
Hinweis zu Aufgaben-Beweisfotos: Ein vom Kind oder von der Bezugsperson hochgeladenes Beweisfoto kann unbeabsichtigt besondere Kategorien offenbaren (Gesundheit — z.B. Medikations-Quest; religiöse Praxis — z.B. Gebets-Routine; Gesichter Dritter). Dem begegnen wir mit folgenden Schutzmaßnahmen:
- Familien-interne Sichtbarkeit (RLS): Beweisfotos sind ausschließlich für Bezugspersonen derselben Familie sichtbar. Keine andere Familie und keine Dritten haben Zugriff.
- Keine Drittübermittlung: Beweisfotos verlassen unseren Server nicht. Keine externe Bildanalyse, kein ML-Training, keine Cloud-Verarbeitung.
- Bezugsperson-Hinweis im Upload-Dialog: Wir empfehlen, Gesichter Dritter und medizinische Kontexte zu vermeiden. Weniger ist besser.
- Kurze Aufbewahrungsfrist: 30 Tage nach Bestätigung, sofort bei Ablehnung — siehe Retention-Matrix.
Falls Sie ein Beweisfoto vor Ablauf der Frist entfernen möchten, ist das jederzeit über die App oder per E-Mail an datenschutz@kikidori.com möglich.
6. Hosting und Auftragsverarbeiter
6.1 Datenverarbeitung in Deutschland — keine Drittland-Übermittlung
Sämtliche Verarbeitung erfolgt auf Servern innerhalb der Europäischen Union, konkret in Deutschland (Karlsruhe). Es findet keine Übermittlung in Drittländer statt.
Falls in Zukunft Dienstleister mit Drittland-Bezug eingesetzt werden (insbesondere ein Premium-Payment-Provider), erfolgt dies ausschließlich auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) zuzüglich einer dokumentierten Transfer-Risk-Bewertung („TIA"); diese Datenschutzerklärung wird vor jedem solchen Schritt entsprechend angepasst.
6.2 Auftragsverarbeiter
| Auftragsverarbeiter | Sitz | Zweck | AVV | Drittland |
|---|---|---|---|---|
| netcup GmbH | Karlsruhe, DE | VPS-Hosting (Compute, Storage, Network) | Standard-AVV netcup gem. Art. 28 DSGVO | nein |
| netcup SMTP (netcup GmbH) | Karlsruhe, DE | Transactional Email für Auth-Mails und Benachrichtigungen | inklusive Hosting-AVV | nein |
| netcup GmbH (Domain-Registrar) | Karlsruhe, DE | Domain-Registrierung und DNS für kikidori.com und kikidori.de | inklusive Hosting-AVV | nein |
Glitchtip (Error-Tracking) wird selbst gehostet auf netcup-Infrastruktur betrieben und ist daher kein eigener Auftragsverarbeiter im Sinne des Art. 28 DSGVO.
Wir betreiben unsere gesamte Infrastruktur selbst (Self-Hosted Supabase). Es werden keine Cloud-Dienste wie Google Cloud, AWS, Azure, Cloudflare-Workers oder Vercel für die Datenverarbeitung genutzt. Externe Schriftarten und CDNs sind ebenfalls nicht eingebunden.
Bei Aufnahme weiterer Auftragsverarbeiter (z.B. Premium-Payment-Provider) kündigen wir diese mit einer Vorlaufzeit von 14 Tagen an und geben den betroffenen Bezugspersonen Gelegenheit zum Widerspruch.
7. Sicherheitsmaßnahmen (Technische und Organisatorische Maßnahmen, Art. 32 DSGVO)
Wir setzen folgende Maßnahmen zum Schutz personenbezogener Daten um:
- Verschlüsselung in Transit: TLS 1.3 für alle Datenübertragungen (Caddy-Reverse-Proxy mit Let's-Encrypt-Zertifikaten).
- Credential-Hashing nach Stand der Technik (BSI TR-02102): Passwörter und PINs werden ausschließlich als kryptographische Hashes gespeichert (salted, adaptive Hash-Verfahren mit hinreichendem Kostenfaktor). Es erfolgt keine Klartext-Speicherung; veraltete Verfahren wie MD5 oder SHA-1 werden für Credentials nicht eingesetzt.
- Zugriffs-Kontrolle: Row Level Security (RLS) auf Datenbank-Ebene ist die primäre Autorisierungs-Schicht; jede Familie sieht ausschließlich ihre eigenen Daten. Server-seitige Administration nur via SSH-Key + 2FA auf Admin-Accounts.
- Physische Sicherheit: Hosting bei netcup GmbH (ISO 27001 zertifiziert, Tier-3 Rechenzentrum, EU/DE).
- Härtung & CSP: Content Security Policy gegen Cross-Site-Scripting; Rate-Limiting bei Authentifizierungs-Versuchen.
- Incident-Response: dokumentierter Workflow zur Behandlung von Sicherheits-Vorfällen einschließlich Meldepflichten nach Art. 33/34 DSGVO (72 Stunden).
- Dependency-Audits: regelmäßige automatisierte Audits zur frühzeitigen Erkennung verwundbarer Abhängigkeiten.
Eine ausführliche Beschreibung unserer technischen und organisatorischen Maßnahmen ist im internen Dokument tom.md hinterlegt und auf Anfrage einsehbar.
Hinweis zu Verschlüsselung at rest: Die Disk-Verschlüsselung (LUKS) und gpg-verschlüsselte Backups sind als Maßnahme für Phase 2 (vor Premium-Launch) vorgesehen und werden nach Umsetzung in dieser Erklärung konkretisiert. Bis dahin verlassen wir uns auf TLS in Transit, Credential-Hashing, RLS, sowie die physische Sicherheit unseres Rechenzentrums-Anbieters.
8. Cookies und lokale Speicherung
Kikidori verwendet keine Tracking-Cookies und keine Werbe-Cookies.
Folgende lokale Daten werden im Browser bzw. auf dem Gerät gespeichert:
- family_id (localStorage): Identifiziert das Gerät als „vertrauenswürdiges Familiengerät" nach dem ersten Bezugsperson-Login. Enthält keine personenbezogenen Daten. Kann über die Einstellung „Gerät vergessen" gelöscht werden.
- Session-Token (Supabase Auth): Authentifizierungs-Token mit ca. einer Stunde Lebensdauer und automatischer Erneuerung über einen Refresh-Token. Bezugspersonen können die Sitzung jederzeit über „Gerät vergessen" beenden. Hiervon zu unterscheiden ist die in Abschnitt 3 genannte server-seitige Bereinigung verwaister Auth-Records.
Ein Cookie-Banner ist nicht erforderlich, da ausschließlich technisch notwendige Speichermechanismen i.S.v. § 25 Abs. 2 TDDDG zum Einsatz kommen.
Statistik & Reichweitenmessung (Marketing-Website)
Auf den öffentlichen Marketing- und Rechtsseiten (Startseite und die hier verlinkten Rechtsdokumente) messen wir aggregierte Reichweite mit Plausible. Diese Messung gilt ausschließlich für die Marketing-Website — nicht in der angemeldeten App (Eltern- und Kind-Bereich) und nicht in der nativen App.
- Selbst gehostet in Deutschland. Plausible läuft auf unserer eigenen netcup-Infrastruktur. Es gibt keinen Drittanbieter und keine Drittland-Übermittlung; wir sind zugleich Verantwortlicher und Betreiber.
- Cookielos und ohne Wiedererkennung. Es werden keine Cookies gesetzt, kein sitzungsübergreifender Identifier vergeben und kein Fingerprinting durchgeführt.
- Aggregiert, ohne personenbezogene Daten. Erfasst werden nur aggregierte Kennzahlen (z. B. Seitenaufrufe, anonyme Kampagnen-Herkunft über UTM-Parameter, ob die Anmeldung zur Warteliste abgeschlossen wurde). Es werden keine E-Mail-Adressen, keine Konto-Kennungen und keine Diagnose- oder Neurotyp-Angaben übertragen.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datensparsamen Reichweitenmessung für den eigenen Dienst). Ein Cookie-Banner ist nicht erforderlich, da die Messung cookielos ist und keine Informationen i.S.v. § 25 Abs. 1 TDDDG im Endgerät gespeichert oder ausgelesen werden (§ 25 Abs. 2 TDDDG).
Diese Messung ist mit unserer Zusage „keine Third-Party-Analytics in der App" vereinbar: In der App ist kein Analyse-SDK eingebettet; die Reichweitenmessung der Marketing-Website ist eine davon getrennte, selbst gehostete und cookielose Messung.
9. Push-Benachrichtigungen
Stand Beta: Push-Benachrichtigungen sind in der Beta deaktiviert. Es werden keine Permission-Anfragen ausgelöst, keine Push-Subscriptions angelegt, keine Push-Benachrichtigungen versendet.
Die Funktion wird zum regulären Betrieb aktiviert. Ab dann gilt:
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), optional.
- Erteilung: Über die Browser-/Geräte-Permission im Einstellungs-Dialog der App.
- Widerruf (Art. 7 Abs. 3 DSGVO — so einfach wie die Erteilung): über Bezugsperson-Einstellungen → Benachrichtigungen. Ein Master-Toggle deaktiviert alle Push-Benachrichtigungen sofort und entfernt die zugehörige Push-Subscription serverseitig (nicht nur lokal stumm). Zusätzlich Per-Type-Toggles für einzelne Benachrichtigungs-Typen.
- Wirkung: Bis zum Widerruf erfolgte Verarbeitung bleibt rechtmäßig; nach dem Widerruf werden keine weiteren Push-Benachrichtigungen versendet.
Vor Aktivierung der Funktion wird diese Datenschutzerklärung mit dem dann gültigen Stand aktualisiert.
10. Elterneinwilligung — Verifikationsverfahren (Art. 8 DSGVO)
Da Kikidori personenbezogene Daten von Kindern unter 16 Jahren verarbeitet, ist die Einwilligung des Sorgeberechtigten erforderlich (Art. 8 Abs. 1 DSGVO). Wir setzen ein zweistufiges Verfahren ein:
- Email-Verifikation: Die Bezugsperson bestätigt ihre E-Mail-Adresse beim Anlegen des Accounts.
- Doppelklick-Reconfirmation: Vor dem ersten Anlegen eines Kindprofils erfolgt eine zweite Bestätigung der Elterneinwilligung in einem dedizierten Modal.
Verhältnismäßigkeit der Verifikations-Tiefe
Art. 8 Abs. 2 DSGVO verlangt „angemessene Anstrengungen" zur Verifikation, abgestuft nach Risiko der Verarbeitung (vgl. EDPB Guidelines 05/2020 §7.1; DSK Kurzpapier Nr. 20). Wir charakterisieren Kikidoris Verarbeitungs-Profil als low-to-medium-risk:
- familien-internen Scope (keine Sichtbarkeit außerhalb der Familie),
- keine Weitergabe an Dritte,
- keine verhaltensbezogene Werbung,
- keine Geolocation-Erhebung,
- keine Profilbildung mit rechtlicher Wirkung (Art. 22 Negativ-Erklärung in Abschnitt 4).
Für diese Risiko-Klasse ist Email + Doppelklick-Reconfirmation eine angemessene Anstrengung. Bei künftiger Premium-Funktionalität (Payment-Authorization über einen Payment-Provider) wirkt der Payment-Touch zusätzlich als sekundärer Verifikations-Schritt.
11. Kind-gerechte Information (Art. 12 Abs. 1 DSGVO)
Eine alters-angemessene Kurzfassung dieser Datenschutzerklärung in einfacher Sprache, mit Piktogrammen und auf einer Bildschirm-Seite, ist beim ersten Kind-Login nach PIN-Eingabe sowie jederzeit über das Kind-Settings-Menü unter „Was wir über dich wissen" erreichbar. Die Kurzfassung liegt in deutscher und englischer Sprache vor.
12. Ihre Rechte als betroffene Person
Als betroffene Person haben Sie folgende Rechte:
- Auskunft (Art. 15 DSGVO) — Information über die zu Ihrer Person gespeicherten Daten.
- Berichtigung (Art. 16 DSGVO) — Berichtigung unrichtiger Daten.
- Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten. Für Kinderdaten steht eine sofortige Löschfunktion direkt in der App zur Verfügung.
- Einschränkung der Verarbeitung (Art. 18 DSGVO).
- Datenübertragbarkeit (Art. 20 DSGVO) — Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format.
- Widerspruch (Art. 21 DSGVO) — Widerspruch gegen die Verarbeitung Ihrer Daten.
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) — jederzeit, mit Wirkung für die Zukunft. Der Widerruf der Eltern-Einwilligung bewirkt die unverzügliche Löschung der zugrunde liegenden Kinder-Daten (Art. 17 Abs. 1 lit. b DSGVO). Es gibt keine Grace-Period.
12.1 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Sie haben das Recht, sich bei jeder Datenschutz-Aufsichtsbehörde der Europäischen Union/des Europäischen Wirtschaftsraums zu beschweren — insbesondere bei der Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder am Ort des mutmaßlichen Verstoßes. Die für uns zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de
12.2 Rechte des Kindes — Ausübung über die Bezugsperson
Bis zur Volljährigkeit werden die Betroffenenrechte des Kindes (Art. 15–22 DSGVO) durch den Sorgeberechtigten als gesetzlichen Vertreter ausgeübt. Dies entspricht der Markt-Praxis vergleichbarer Kinder-Apps in DACH und EU. Mit Erreichen der Volljährigkeit übernimmt die nun-erwachsene Person die Rechte selbst — entweder durch Einrichtung eines eigenen Erwachsenen-Kontos oder durch Übertragung des bestehenden Profils. Der Übergangs-Pfad wird zum Zeitpunkt der ersten betreffenden User-Konstellation produktiv ausgestaltet.
Direkte Anfragen Minderjähriger an datenschutz@kikidori.com leiten wir mit kurzer Information an die Bezugsperson zurück.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@kikidori.com
13. Beta-Programm
Während des Beta-Programms gelten zusätzliche Bedingungen, die zum Beta-Start in einer separaten Beta-Vereinbarung dokumentiert und gesondert eingewilligt werden. Die Beta-Vereinbarung adressiert: experimentellen Stand, Beta-Versionierung (3-Monats-Zeitraum), Feedback-Opt-in, Follow-up-Kontakt-Opt-in. Das Beta-Programm endet mit dem regulären Produktstart; ab dann entfällt diese Sektion.
14. Warteliste (Landing-Page)
Über das Anmeldeformular auf unserer Landing-Page können Interessierte ihre E-Mail-Adresse hinterlassen, um über den Beta-Start benachrichtigt zu werden.
- Daten: E-Mail-Adresse, Zeitpunkt der Anmeldung und der Einwilligung, Herkunft des Formulars (Hero / Final-CTA), Sprache der Seite (lang), User Agent.
- Zweck: einmalige Benachrichtigung über den Beta-Start.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
- Doppel-Opt-In: Nach der Anmeldung erhalten Interessierte eine Bestätigungs-E-Mail (Double-Opt-In gemäß UWG § 7 und DSGVO Art. 6 Abs. 1 lit. a). Die Einwilligung gilt erst als erteilt, wenn der Bestätigungs-Link in der E-Mail angeklickt wurde.
- Speicherdauer unbestätigter Einträge: Wird der Bestätigungs-Link nicht innerhalb von 7 Tagen angeklickt, wird der Eintrag automatisch gelöscht.
- Speicherdauer bestätigter Einträge: bis Widerruf oder 12 Monate nach Beta-Launch, je nachdem, was früher eintritt.
- Widerruf: jederzeit per formloser E-Mail an datenschutz@kikidori.com — die bis zum Widerruf erfolgte Verarbeitung bleibt rechtmäßig.
15. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an aktuelle rechtliche Anforderungen oder funktionale Änderungen der App anzupassen. Bei substantiellen Änderungen informieren wir registrierte Bezugspersonen per E-Mail und holen — wo erforderlich — eine erneute Einwilligung ein. Die jeweils aktuelle Fassung ist unter /de/datenschutz einsehbar.
16. Fragen zum Datenschutz
Bei Fragen wenden Sie sich bitte an:
Michael Merzbach
E-Mail: datenschutz@kikidori.com
Telefon: +49 151 42020021