Datenschutz

Wo wir aktuell stehen

Diese Seite ist kein finales Rechtsdokument. Sie ist eine Selbstauskunft im aktuellen Beta-Stand. Die formale Datenschutzerklärung wird vor öffentlichem Launch durch eine:n auf DSGVO und COPPA spezialisierte:n Anwält:in finalisiert. Solange die unten markierten Abschnitte „in Arbeit” sind, behaupten wir keine formelle DSGVO-Konformität, sondern beschreiben die Selbstverpflichtungen, nach denen wir derzeit handeln.

Wenn Sie Fragen zum aktuellen Datenschutz-Stand haben, schreiben Sie an hallo@kazu.cool. Wir antworten innerhalb von 48 Stunden.

Selbstverpflichtungen, die schon heute gelten

Auch ohne finalisierte Erklärung halten wir uns ab Beta-Start an diese Grundsätze:

• Datenminimierung. Wir erheben nur, was für die Funktion der App notwendig ist (Konto, Übungsfortschritt, Gerät-Basisdaten).
• EU-Hosting. Konto- und Lerndaten liegen ausschließlich auf Servern in der Europäischen Union. Kein Datentransfer in Drittländer.
• Keine Werbe-Tracker. Wir setzen keine Werbe-Pixel, keine Cross-App-Tracker, keine Drittpartei-Analytics ohne Opt-in.
• Kein Datenverkauf. Lerndaten von Kindern werden niemals an Dritte verkauft, weitergegeben oder zu Marketingzwecken genutzt.
• Eltern-Einwilligung. Konto-Erstellung erfolgt durch Eltern. Für Kinder unter 13 wird die ausdrückliche Eltern-Einwilligung eingeholt.
• Jederzeit löschbar. Eltern können das Konto und alle damit verbundenen Daten jederzeit selbst löschen. Auf Anfrage liefern wir einen vollständigen Daten-Export.
• Stripe als externer Zahlungsdienstleister. Zahlungsdaten werden ausschließlich von Stripe verarbeitet, nicht von KAZU.

Was noch in Arbeit ist

Die folgenden Abschnitte werden mit der finalen anwaltlich geprüften Fassung ergänzt bzw. ersetzt:

1. Verantwortlicher

TODO(Anwalt): Vollständiger Name, Anschrift, E-Mail, Telefon des Verantwortlichen nach Art. 4 Nr. 7 DSGVO. Optional: Datenschutzbeauftragter, falls bestellt.

2. Welche Daten verarbeiten wir?

Konto-Daten der Eltern

• E-Mail-Adresse
• Passwort-Hash (bcrypt)
• Sprache, Zeitzone
• Optionale Anzeigenamen

Kind-bezogene Daten

• Vorname (oder Spitzname, Eltern entscheiden)
• Alter (für Altersfreigabe)
• Übungsfortschritt: Schwierigkeitsgrade, Trefferquoten, Übungs-Historie

TODO(Anwalt): vollständige Auftragsverarbeiter-Liste vor Launch ergänzen (Hostinger als Hoster, Stripe für Zahlungen, Sentry für Fehlertracking, PostHog falls Analytics-Consent erteilt).

3. Rechtsgrundlage

TODO(Anwalt): Art. 6 Abs. 1 DSGVO, Buchstabe für jede Verarbeitungsart aufschlüsseln (a für Consent, b für Vertragserfüllung, f für berechtigtes Interesse).

4. Speicherdauer

TODO(Anwalt): Differenzieren, Aktive Konten, gekündigte Konten (steuerrechtliche Aufbewahrung), Anonymisierung.

5. Deine Rechte

• Auskunft (Art. 15)
• Berichtigung (Art. 16)
• Löschung (Art. 17)
• Einschränkung (Art. 18)
• Datenübertragbarkeit (Art. 20)
• Widerspruch (Art. 21)
• Beschwerde bei der Aufsichtsbehörde

6. Kontakt für Datenschutz-Anfragen

TODO(Anwalt): Kontakt-Adresse, idealerweise eine dedizierte E-Mail wie datenschutz@kazu.cool.

7. Spezifika für Kinder-Daten (DSGVO Art. 8 + COPPA)

TODO(Anwalt): Eltern-Einwilligung als Voraussetzung jeder Verarbeitung, kein Profiling der Kinder, keine Werbung, keine Datenverkäufe.