Datenschutzerklärung

Datenschutzerklärung (Art. 13 und 14 DSGVO)

Stand: Januar 2025

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

[Name und Anschrift des Verantwortlichen – vom Betreiber einzutragen]
[E-Mail-Kontakt]
[Optional: Datenschutzbeauftragte(r), Kontakt]

2. Zweck und Rechtsgrundlage der Verarbeitung

Inkluvo ist eine Software zur Verwaltung von Klienten- und Organisationsdaten (u. a. Einrichtungen der Kinder- und Jugendhilfe). Wir verarbeiten personenbezogene Daten ausschließlich zur Erbringung der vertraglichen Leistung, zur Berechtigungssteuerung und zur technischen Bereitstellung der Anwendung.

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Nutzerkonten, Organisations- und Klientenstammdaten, Termine, Berichte, Unterbringungen, Medikationen, Finanz- und Buchungsdaten.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Technische Logs, Sicherheitsmaßnahmen (z. B. Zugriffskontrolle, Rate Limiting), Betrugs- und Missbrauchsabwehr.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrungsfristen nach handels- und steuerrechtlichen Vorgaben, soweit anwendbar.

3. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Sofern in der Anwendung Gesundheitsdaten (z. B. Medikationen, Allergien, Diagnosen) oder Daten von Kindern und Jugendlichen verarbeitet werden, erfolgt dies auf Grundlage von:

  • Einwilligung (Art. 9 Abs. 2 lit. a, Art. 6 Abs. 1 lit. a DSGVO) oder
  • Berechtigten Interessen der Einrichtung im Rahmen der Kinder- und Jugendhilfe, soweit nationales Recht (z. B. SGB VIII) dies vorsieht und die Interessen der Betroffenen gewahrt sind.

Kinderdaten: Die Verarbeitung von Daten Minderjähriger erfolgt nur im Rahmen der Nutzung durch berechtigte Fachkräfte der jeweiligen Organisation. Eine eigenständige Registrierung von Kindern in der Anwendung ist nicht vorgesehen. Die Verantwortung für die Rechtmäßigkeit der Erhebung bei Minderjährigen liegt bei der jeweiligen Organisation (Auftragsverarbeiter-Verhältnis bzw. gemeinsame Verantwortlichkeit – vom Betreiber zu konkretisieren).

4. Empfänger und Auftragsverarbeiter

Personenbezogene Daten werden nur an solche Empfänger weitergegeben, die für die Leistungserbringung erforderlich sind (z. B. Hosting, E-Mail-Versand). Auftragsverarbeiter werden vertraglich im Sinne von Art. 28 DSGVO gebunden. Eine Weitergabe zu Werbezwecken an Dritte erfolgt nicht.

5. Übermittlung in Drittländer

Eine Übermittlung in Drittländer außerhalb des EWR erfolgt nur, wenn die Kommission einen Angemessenheitsbeschluss getroffen hat oder geeignete Garantien (z. B. Standardvertragsklauseln) vorliegen. Der Betreiber benennt in der technischen Dokumentation die eingesetzten Subunternehmer und deren Standorte.

6. Speicherdauer

  • Nutzer- und Organisationsdaten: Bis zur Löschung des Kontos bzw. der Organisation, zuzüglich einer Aufbewahrungsfrist für Backups (max. 30 Tage), sofern nicht längere gesetzliche Aufbewahrungsfristen bestehen.
  • Klienten- und Fallakten: Entsprechend den von der Organisation festgelegten und gesetzlich vorgeschriebenen Aufbewahrungsfristen (z. B. Jugendhilfe, Finanzbuchhaltung).
  • Technische Logs: Höchstens 90 Tage, sofern nicht aus Sicherheitsgründen eine kürzere Frist vereinbart wird.

7. Ihre Rechte

Sie haben gegenüber dem Verantwortlichen u. a. folgende Rechte:

  • Auskunft (Art. 15 DSGVO) über die zu Ihrer Person gespeicherten Daten,
  • Berichtigung (Art. 16 DSGVO) unrichtiger Daten,
  • Löschung (Art. 17 DSGVO) unter den dort genannten Voraussetzungen,
  • Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit (Art. 20 DSGVO),
  • Widerspruch (Art. 21 DSGVO) gegen die Verarbeitung, soweit sie auf Art. 6 Abs. 1 lit. f gestützt wird,
  • Widerruf einer Einwilligung mit Wirkung für die Zukunft,
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).

Kontakt für die Ausübung Ihrer Rechte: [E-Mail/Anschrift des Verantwortlichen].

8. Pflicht zur Angabe von Daten

Die Bereitstellung personenbezogener Daten ist für den Vertragsschluss und die Nutzung der Anwendung erforderlich. Ohne diese Daten kann der Vertrag nicht erfüllt bzw. der Dienst nicht bereitgestellt werden.

9. Automatisierte Entscheidungsfindung

Es erfolgt keine automatisiierte Entscheidungsfindung im Sinne von Art. 22 DSGVO (kein Profiling mit Rechtsfolge).

10. Sicherheit der Verarbeitung (Art. 32 DSGVO)

Der Verantwortliche und ggf. seine Auftragsverarbeiter setzen technische und organisatorische Maßnahmen um, die dem Risiko angemessen sind, u. a.:

  • Zugriffskontrolle (berechtigungsbezogen, organisationsbezogen),
  • Verschlüsselung von Verbindungen (TLS),
  • Begrenzung von Zugriffsversuchen (Rate Limiting),
  • Regelmäßige Überprüfung der Maßnahmen.

Details zu Verschlüsselung und Zugriffskontrolle können in einer separaten Sicherheits- bzw. Auftragsverarbeitungsdokumentation hinterlegt werden.

11. Änderungen

Diese Datenschutzerklärung kann bei Bedarf angepasst werden. Die aktuelle Version ist unter der angegebenen URL abrufbar; bei wesentlichen Änderungen werden Nutzer bzw. Organisationen informiert.