Datenschutzerklärung – Wechselplan

Stand: 7. Juli 2026

1. Verantwortlicher (Art. 13 Abs. 1 lit. a DSGVO)

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Nikolas Gottschalk (Einzelunternehmer)
Sonnenhof 150, 53119 Bonn
Deutschland

E-Mail: kontakt@wechselplan.de

Datenschutzbeauftragter (Art. 37 DSGVO, Art. 13 Abs. 1 lit. b DSGVO):
Wir haben keinen Datenschutzbeauftragten benannt, da hierzu nach Art. 37 DSGVO und § 38 BDSG derzeit keine gesetzliche Verpflichtung besteht (kein Kerngeschäft mit regelmäßiger systematischer Überwachung, keine umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO, keine Beschäftigung von 20 oder mehr Personen mit ständiger automatisierter Datenverarbeitung). Für Fragen zum Datenschutz wenden Sie sich bitte an:
E-Mail: kontakt@wechselplan.de

2. Übersicht der verarbeiteten Daten

Wechselplan verarbeitet folgende Kategorien personenbezogener Daten:

a) Stammdaten der Elternteile (Nutzer):
Name, E-Mail-Adresse, verschlüsseltes Passwort, Rolle innerhalb der Familie (Inhaber/Co-Elternteil), Registrierungszeitpunkt.
b) Kinddaten:
Vorname des Kindes, Geburtsdatum, Bundesland (für Ferienberechnungen). Diese Daten werden von einem Elternteil über die App eingepflegt. Das Kind selbst ist nicht Nutzer der App und hat keinen eigenen Account. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (s. Abschnitt 4, a-2).
c) Betreuungs- und Kalendereinträge:
Betreuungszeiträume, Übergaben, Sondertage, Urlaubszeiträume, berechneter Betreuungsanteil (%).
d) Kostendaten:
Ausgabentitel, Betrag, Datum, Kategorie, Notiz; Angaben zur Kostenteilung oder reinen Information.
e) Ausgabenbelege (nicht gesundheitsbezogen):
Hochgeladene Belegdateien (z.B. Kassenbon, Quittung) in verschlüsselter Form auf einem privaten Speicher. Dateiname, MIME-Typ und Notiz werden ebenfalls verschlüsselt gespeichert.

f) Gesundheitsbezogene Ausgabenbelege – besondere Datenkategorie nach Art. 9 DSGVO (derzeit nicht angeboten)

Wechselplan sieht perspektivisch die freiwillige Möglichkeit vor, Belege mit Gesundheitsinformationen des Kindes (z.B. Arztrechnung, Apotheken-Bon, Krankenhaus-Bescheinigung) gesondert zu kennzeichnen und hochzuladen. Diese Funktion ist zum aktuellen Zeitpunkt technisch deaktiviert und wird nicht angeboten. Es werden derzeit keine Gesundheitsdaten im Sinne des Art. 9 DSGVO verarbeitet. Sobald diese Funktion aktiviert wird, wird diese Datenschutzerklärung vor Aktivierung um die dann geltenden Regelungen (gesonderte ausdrückliche Einwilligung beider Elternteile, Widerrufs- und Zugriffsregeln) ergänzt und den Nutzern erneut zur Kenntnis gebracht.

g) Einwilligungsnachweise:
Zeitpunkt und Version der erteilten Einwilligung für gesundheitsbezogene Belege; Widerrufszeitpunkt und -grund.
h) Zugriffsprotokolle:
Protokollierung von Abruf-, Download- und Löschzugriffen auf Belege (Zugriffstyp, Zeitpunkt, IP-Adresse des Nutzers) zu Sicherheits- und Auskunftszwecken (Art. 15 DSGVO).
i) Technische Daten:
IP-Adresse, Browser-/Geräteinformationen (soweit für Betrieb und Sicherheit erforderlich).

3. Verarbeitungszwecke (Art. 13 Abs. 1 lit. c DSGVO)

DatenkategorieZweck
StammdatenBereitstellung und Verwaltung des Nutzerkontos; Authentifizierung; Einladung des Co-Elternteils
KinddatenAbbildung der Betreuungssituation; Betreuungsanteil-Berechnung; Ferienberechnung (Bundesland)
BetreuungseinträgeTransparente Dokumentation der Betreuungszeiten; Berechnung des indikativen Betreuungsanteils (%)
KostendatenGemeinsame Ausgabendokumentation; optionale Saldoverwaltung
Belege (nicht gesundheitsbezogen)Ausgabennachweise; interne Dokumentation für Eltern
Gesundheitsbelege (Art. 9)Derzeit nicht angeboten – Funktion technisch deaktiviert; bei künftiger Aktivierung: freiwillige Ausgaben-Belegnachweise für gesundheitsbezogene Kosten des Kindes
EinwilligungsnachweiseNachweis der erteilten/widerrufenen Einwilligung (Art. 7 Abs. 1 DSGVO)
ZugriffsprotokolleSicherheit; Auskunft nach Art. 15 DSGVO; Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)

4. Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO)

a) Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung:
Die Verarbeitung der Stammdaten der Elternteile, der Betreuungs- und Kalendereinträge sowie nicht-gesundheitsbezogener Kostendaten erfolgt zur Erfüllung des zwischen den Elternteilen (als Vertragspartnern) und Wechselplan geschlossenen Nutzungsvertrags.
a-2) Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (Kind-Stammdaten):
Die Verarbeitung der Kind-Stammdaten (Vorname, Geburtsdatum, Bundesland) erfolgt auf Grundlage einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO, da das Kind nicht selbst Vertragspartner ist und Art. 6 Abs. 1 lit. b DSGVO daher keine tragfähige Rechtsgrundlage für die Verarbeitung der Kind-Daten bildet. Die Abwägung berücksichtigt den besonderen Schutzbedarf von Kindern (Erwägungsgrund 38 DSGVO): Die Verarbeitung dient der geordneten Organisation der Betreuungssituation und damit unmittelbar dem Interesse des Kindes selbst an einer verlässlichen, transparenten Betreuungsplanung zwischen den Elternteilen; es findet keine Werbung, kein Profiling und keine Weitergabe der Kind-Daten außerhalb der Familie statt; die verarbeiteten Daten sind auf das für die Kernfunktion erforderliche Minimum (Stammdaten) beschränkt. Nach dieser Abwägung überwiegen die schutzwürdigen Interessen des Kindes das Interesse an der geordneten Betreuungsorganisation nicht.

b) Art. 9 Abs. 2 lit. a DSGVO – Ausdrückliche Einwilligung (Gesundheitsdaten) – derzeit nicht angeboten

Die Funktion zum Upload gesundheitsbezogener Belege ist zum aktuellen Zeitpunkt deaktiviert; es findet keine Verarbeitung von Gesundheitsdaten statt. Sollte diese Funktion künftig aktiviert werden, erfolgt die Verarbeitung ausschließlich auf Grundlage der ausdrücklichen Einwilligung beider Elternteile (Art. 9 Abs. 2 lit. a i.V.m. Art. 6 Abs. 1 lit. a DSGVO), eingeholt vor dem Upload, freiwillig und jederzeit widerrufbar.

c) Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung:
Soweit die Verarbeitung zur Erfüllung gesetzlicher Pflichten erforderlich ist (z.B. Aufbewahrungspflichten, Auskunftspflichten gegenüber Aufsichtsbehörden).
d) Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse:
Die Verarbeitung von Zugriffsprotokollen (Zugriffstyp, Zeitpunkt, IP-Adresse) dient dem berechtigten Interesse an der Sicherheit und dem ordnungsgemäßen Betrieb der Plattform sowie der Erfüllung der Auskunftspflicht nach Art. 15 DSGVO. Die Protokollierung ist auf das für den Sicherheitszweck erforderliche Minimum beschränkt. Das Interesse an der Protokollierung überwiegt nach Abwägung die Interessen der Betroffenen, da die Daten nicht zu anderen Zwecken verwendet werden und die Speicherdauer begrenzt ist (Aufbewahrungsdauer: 6 Monate, danach automatisierte Löschung).

5. Empfänger und Auftragsverarbeiter (Art. 13 Abs. 1 lit. e DSGVO)

Co-Elternteil (familieninterne Sichtbarkeit):
Der jeweils andere Elternteil innerhalb derselben Familie kann bestimmte Daten einsehen, soweit dies für die App-Funktion erforderlich ist. Der Zugriff auf gesundheitsbezogene Belege ist dabei an eine gesonderte aktive Einwilligung des Zugreifenden gebunden.

Auftragsverarbeiter:

Wir setzen folgende Dienstleister als Auftragsverarbeiter ein (Art. 28 DSGVO):

DienstleisterFunktionSitz / Drittland-Transfer
Laravel Cloud (Laravel LLC)App-Hosting, Datenbankbetrieb, InfrastrukturLaravel LLC (Sitz USA); Hosting in einer EU-Rechenzentrums-Region. Soweit eine Übermittlung in Drittländer stattfindet, erfolgt sie auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
Laravel Cloud (Laravel LLC)Verschlüsselte Speicherung von BelegdateienObject Storage in einer EU-Rechenzentrums-Region; im Übrigen wie beim App-Hosting (Standardvertragsklauseln, Art. 46 Abs. 2 lit. c DSGVO).
Stripe Payments Europe, Ltd.Zahlungsabwicklung für das kostenpflichtige Familien-Abo (Stripe Checkout: Kreditkarte, SEPA-Lastschrift, PayPal)Sitz: 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland (EU). Mit Stripe besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO (Stripe Data Processing Agreement). Verarbeitet werden dabei Zahlungs- und Abrechnungsdaten (Zahlungsmittel-Referenz/Token, Rechnungsadresse, Transaktionsbetrag und -zeitpunkt; bei SEPA-Lastschrift die IBAN, bei PayPal die von PayPal übermittelten Transaktionsdaten). Vollständige Kartendaten werden PCI-DSS-konform unmittelbar von Stripe verarbeitet und laufen nicht über unsere eigenen Server. Da Stripe zur Betrugsprävention auch Unterauftragsverarbeiter außerhalb der EU/des EWR (u. a. in den USA) einsetzen kann, erfolgt eine solche Drittlandübermittlung auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), ergänzend gestützt auf das EU-US Data Privacy Framework, soweit dieses im Übermittlungszeitpunkt wirksam ist.

Keine Weitergabe zu Werbezwecken. Daten werden nicht an Dritte zu Werbezwecken weitergegeben oder verkauft.

6. Drittland-Übermittlungen (Art. 13 Abs. 1 lit. f DSGVO)

Unser Hosting- und Storage-Dienstleister Laravel Cloud (Laravel LLC) betreibt die für Wechselplan genutzte Infrastruktur in einer EU-Rechenzentrums-Region; eine Verarbeitung findet damit im Regelfall innerhalb der EU statt. Da Laravel LLC seinen Sitz in den USA hat, kann im Einzelfall (z. B. bei Support-Zugriffen oder konzerninternen Verarbeitungsvorgängen) eine Übermittlung mit Drittlandbezug nicht vollständig ausgeschlossen werden. Eine solche Übermittlung personenbezogener Daten in Drittländer außerhalb der EU/des EWR findet nur statt, soweit sie durch geeignete Garantien nach Art. 46 DSGVO abgesichert ist – vorrangig durch EU-Standardvertragsklauseln; das EU-US Data Privacy Framework wird als zusätzliche Grundlage berücksichtigt, soweit es im Zeitpunkt der Übermittlung wirksam ist. Seit Einführung des kostenpflichtigen Familien-Abos setzen wir zusätzlich den Zahlungsdienstleister Stripe Payments Europe, Ltd. (Sitz Irland/EU) ein; eine Übermittlung an dessen Unterauftragsverarbeiter in Drittländern erfolgt – wie beim Hosting – nur auf Grundlage geeigneter Garantien nach Art. 46 DSGVO, insbesondere EU-Standardvertragsklauseln (s. Abschnitt 5).

7. Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO)

Personenbezogene Daten werden nur so lange gespeichert, wie es für die Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

DatenkategorieSpeicherdauer
Stammdaten (Nutzer) Bis zur Kontolöschung; danach werden Stammdaten (Name, E-Mail, Rolle) innerhalb von 6 Monaten nach Kontolöschung endgültig gelöscht oder anonymisiert. Ausgenommen hiervon sind Zustimmungs-/Einwilligungsnachweise (s. gesonderter Hinweis unten zu „Einwilligungsnachweise").
KinddatenBis Löschung durch Elternteil oder Kontoauflösung
BetreuungseinträgeBis Löschung durch Elternteil oder Kontoauflösung
Kostendaten / Belege (nicht Art. 9) Kostendaten und nicht-gesundheitsbezogene Belege werden bis zur Löschung durch den Elternteil oder bis zur Kontoauflösung gespeichert; nach Kontoauflösung erfolgt Löschung innerhalb von 6 Monaten. Eine steuerliche Aufbewahrungspflicht nach § 147 AO bzw. § 14b UStG besteht für diese Nutzerdaten nicht: Es handelt sich um die von den Elternteilen selbst erfassten privaten Ausgaben für das Kind (z. B. Kita-Beitrag, Kleidung) nebst eigenen Belegen – nicht um Rechnungen oder Buchungsbelege, die Wechselplan als Unternehmer im eigenen Namen ausstellt oder empfängt. Diese Nutzerdaten unterliegen daher nicht der Aufbewahrungspflicht, die ausschließlich die eigenen Geschäftsunterlagen des Anbieters betrifft (dazu die gesonderte Zeile „Abrechnungs-/Rechnungsdaten (Familien-Abo)" unten).
Abrechnungs-/Rechnungsdaten (Familien-Abo) Rechnungen bzw. Zahlungsbelege, die Stripe in unserem Namen und für unsere Rechnung für das kostenpflichtige Familien-Abo erstellt, sowie die zugehörigen eigenen Buchungsunterlagen bewahren wir als gesetzlich vorgeschriebene Geschäftsunterlagen 8 Jahre auf, gerechnet ab dem Ende des Kalenderjahres der Rechnungsstellung (§ 147 Abs. 1 Nr. 4, Abs. 3 Satz 1 AO i. V. m. § 14b Abs. 1 UStG, jeweils in der seit 1. Januar 2025 durch das Vierte Bürokratieentlastungsgesetz geltenden Fassung). Diese Aufbewahrungspflicht gilt unabhängig von unserer Kleinunternehmerstellung (§ 19 UStG, keine USt-Ausweisung) und unabhängig von einer zwischenzeitlichen Kontolöschung. Rechtsgrundlage der Verarbeitung: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) i. V. m. den vorgenannten Normen. Nach Fristablauf werden die Daten gelöscht, soweit keine längere Aufbewahrung erforderlich ist (z. B. laufende Außenprüfung, offene Festsetzungsfrist, § 147 Abs. 3 Satz 2 AO).
Widerrufs-Zustimmungsnachweis (Checkout, Familien-Abo) Der Nachweis der Checkbox-Zustimmung zum sofortigen Leistungsbeginn und zur Kenntnisnahme des Erlöschens des Widerrufsrechts (Zeitpunkt, Nutzer-ID, Familien-ID, gebuchter Plan, Versionskennung des Checkbox-Wortlauts; bewusst ohne IP-Adresse) wird 3 Jahre ab Ende des Kalenderjahres der Kontolöschung bzw. der Beendigung des Abos aufbewahrt. Die Frist orientiert sich an der regelmäßigen zivilrechtlichen Verjährungsfrist (§§ 195, 199 BGB) und dient dem Nachweis, dass die Zustimmung wirksam eingeholt wurde, falls ein Nutzer nachträglich eine unwirksame Belehrung oder ein fortbestehendes Widerrufsrecht geltend macht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Rechtssicherheit/Verteidigung gegen Ansprüche) i. V. m. Art. 5 Abs. 2, Art. 7 Abs. 1 DSGVO (Rechenschaftspflicht).
Gesundheitsbelege (Art. 9)Bis Widerruf der Einwilligung / aktiver Löschung durch Uploader; Hard-Delete (keine Soft-Delete-Reste)
Zugriffsprotokolle Zugriffsprotokolle (Zugriffstyp, Zeitpunkt, IP-Adresse) werden 6 Monate rolling ab dem jeweiligen Protokollierungszeitpunkt gespeichert und danach automatisiert gelöscht, soweit nicht im Einzelfall ein konkreter, nicht nur theoretischer Sicherheitsvorfall eine begründete, dokumentierte Verlängerung erfordert.

AGB-Zustimmungs- und Einwilligungsnachweise (Rechenschaftspflicht, Art. 5 Abs. 2 / Art. 7 Abs. 1 DSGVO): Abweichend von der 6-Monats-Frist für Stammdaten werden Nachweise über erteilte AGB-Zustimmungen und Einwilligungen (Zeitpunkt, Version, ggf. Widerrufszeitpunkt) für 3 Jahre ab Ende des Kalenderjahres der Kontolöschung bzw. des Widerrufs aufbewahrt. Diese Frist orientiert sich an der regelmäßigen zivilrechtlichen Verjährungsfrist (§§ 195, 199 BGB) und dient ausschließlich dem Nachweis einer wirksam erteilten Zustimmung im Streitfall; die Daten werden zu keinem anderen Zweck verwendet.

8. Betroffenenrechte (Art. 13 Abs. 2 lit. b–e DSGVO)

Als betroffene Person haben Sie folgende Rechte:

Auskunftsrecht (Art. 15 DSGVO):
Sie können Auskunft über die zu Ihrer Person verarbeiteten Daten verlangen. Für gesundheitsbezogene Belege umfasst dies auch Informationen aus dem Zugriffsprotokoll.
Recht auf Berichtigung (Art. 16 DSGVO):
Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
Recht auf Löschung (Art. 17 DSGVO):
Sie können die Löschung Ihrer personenbezogenen Daten verlangen, soweit kein Aufbewahrungsgrund entgegensteht.

Besonderer Hinweis bei gemeinsam sorgeberechtigten Elternteilen – Löschkonflikte bei gemeinsamem Sorgerecht:

Wechselplan richtet sich an beide Elternteile eines Kindes; beide können ihre Rechte nach der DSGVO geltend machen.

Verlangen Sie die Löschung eines Belegs, den der andere Elternteil hochgeladen hat, informieren wir den anderen Elternteil unmittelbar in der App. Er kann innerhalb von 14 Tagen ein Interesse an der weiteren Aufbewahrung geltend machen, wenn er den Beleg zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt (Art. 17 Abs. 3 lit. e, Art. 18 Abs. 1 lit. c DSGVO). In diesem Fall schränken wir die Verarbeitung ein, statt den Beleg zu löschen: Sie haben dann keinen Zugriff mehr auf den Beleg; der andere Elternteil behält seinen bestehenden Zugriff, solange sein Interesse fortbesteht. Wir überprüfen dieses Interesse alle 6 Monate erneut; bestätigt der andere Elternteil sein Interesse 18 Monate lang nicht, löschen wir den Beleg. Bei fortbestehender Bestätigung kann die Einschränkung auch länger andauern.

Wir entscheiden keine Sorgerechts- oder Unterhaltsstreitigkeiten. Können Sie sich nicht einigen, steht Ihnen der Rechtsweg zum Familiengericht offen (§ 1628 BGB).

Ihre Anfragen zum Löschverfahren richten Sie an kontakt@wechselplan.de.
Kontolöschung bei fortbestehender Familie: Schließt ein Elternteil sein Konto, während der andere Elternteil die Plattform weiter aktiv nutzt, löschen bzw. anonymisieren wir unverzüglich die Stammdaten des ausscheidenden Elternteils (Name, E-Mail-Adresse; Anmeldung wird deaktiviert). Von ihm erstellte gemeinsame Inhalte (Betreuungseinträge, Kostendaten, nicht-gesundheitsbezogene Belege) bleiben hingegen für den verbleibenden Elternteil erhalten, da sie der gemeinsamen Betreuungs- und Kostendokumentation dienen und dieser Zweck für den verbleibenden Elternteil fortbesteht (Art. 17 Abs. 1 lit. a DSGVO, Art. 6 Abs. 1 lit. f DSGVO); der Bezug zum ausgeschiedenen Elternteil wird dabei auf die Kennzeichnung „Gelöschtes Konto" reduziert. Nachweise über erteilte AGB-Zustimmungen und Einwilligungen werden hiervon unabhängig gemäß der oben beschriebenen 3-Jahres-Frist behandelt. Ein Verlangen, auch die eigenen erstellten Inhalte vollständig löschen zu lassen, wird als gesondertes Löschbegehren nach dem in Abschnitt 8 beschriebenen Verfahren geprüft.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO):
Sie können unter den Voraussetzungen des Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer Daten verlangen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO):
Sie können verlangen, die Sie betreffenden Daten in einem strukturierten, gängigen, maschinenlesbaren Format zu erhalten, soweit die Verarbeitung auf Einwilligung oder Vertragserfüllung beruht und automatisiert erfolgt. Einen Teil dieser Daten können Sie direkt in den Einstellungen unter „Meine Daten" selbst als Datei herunterladen.
Widerspruchsrecht (Art. 21 DSGVO):
Sie können der Verarbeitung widersprechen, soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) basiert.
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO + Art. 9):
Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

Widerruf der Einwilligung für Gesundheitsbelege: Der Widerruf ist in der App jederzeit möglich – unter Einstellungen → Gesundheitsdaten-Einwilligung oder direkt im Beleg-Bereich. Der Widerruf erfolgt in zwei Schritten (Button „Einwilligung widerrufen" → Bestätigungsdialog). Die Sperrung Ihres Zugriffs auf Gesundheitsbelege erfolgt unverzüglich (technisch sofort). Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Bereits gespeicherte Belege bleiben erhalten, bis sie aktiv gelöscht werden.
Beschwerderecht (Art. 77 DSGVO):
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde ist: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf, www.ldi.nrw.de (zuständig für den Unternehmenssitz Bonn).
Geltendmachung von Rechten:
Anfragen richten Sie bitte an: kontakt@wechselplan.de
Wir bearbeiten Anfragen innerhalb von einem Monat, bei Komplexität innerhalb von drei Monaten (Art. 12 Abs. 3 DSGVO).

Pflicht zur Datenbereitstellung und Konsequenzen fehlender Bereitstellung (Art. 13 Abs. 2 lit. e DSGVO)

Stammdaten (E-Mail, Name): Die Bereitstellung ist für die Vertragsdurchführung (Nutzerkonto, Einladung des Co-Elternteils) erforderlich. Ohne diese Daten kann kein Nutzerkonto erstellt und die App nicht genutzt werden.

Kinddaten (Vorname, Geburtsdatum, Bundesland): Die Bereitstellung ist für die Kernfunktion der App (Betreuungsanteil-Berechnung, Ferienberechnung) erforderlich. Ohne diese Daten stehen die Berechnungsfunktionen nicht zur Verfügung.

Gesundheitsbezogene Belege (Art. 9 DSGVO): Die Bereitstellung ist vollständig freiwillig. Es entstehen keinerlei Konsequenzen für die Nutzung der übrigen App-Funktionen, wenn keine Einwilligung erteilt wird oder die Einwilligung widerrufen wird.

9. Kinder als Betroffene – Information nach Art. 14 DSGVO

Wechselplan verarbeitet Daten von minderjährigen Kindern (Vorname, Geburtsdatum, Bundesland, Betreuungszeiten, ggf. Gesundheitsbelege). Diese Daten werden nicht direkt von den Kindern bereitgestellt, sondern durch die Elternteile in die App eingepflegt.

Nach Art. 14 DSGVO sind wir verpflichtet, die betroffenen Kinder über die Verarbeitung ihrer Daten zu informieren, sofern dies angemessen ist. Da Kinder in der Regel nicht selbst Nutzer der App sind und in vielen Fällen nicht im schulpflichtigen Alter oder noch nicht in der Lage sind, eine solche Information zu verstehen, fungieren die sorgeberechtigten Elternteile als Informationspflicht-Proxy: Die Elternteile erhalten die vollständigen Informationen nach Art. 13 und Art. 14 DSGVO durch diese Datenschutzerklärung.

Sobald ein Kind in der Lage ist, die Informationen zu verstehen (in der Regel ab dem schulpflichtigen Alter), sind die Elternteile aufgefordert, das Kind über die Verarbeitung seiner Daten zu informieren.

Das Auskunftsrecht des Kindes nach Art. 15 DSGVO kann durch die sorgeberechtigten Elternteile geltend gemacht werden. Bei konfligierenden Sorgerechtsinteressen wenden Sie sich bitte an: kontakt@wechselplan.de

Diese Informationspflicht-Proxy-Konstruktion steht im Einklang mit dem elterlichen Sorgerecht nach §§ 1626 ff. BGB und der Vertretungsbefugnis der sorgeberechtigten Elternteile für ihr Kind nach § 1629 BGB sowie der gemeinsamen Ausübung der Personensorge nach § 1687 BGB: Die Elternteile nehmen die datenschutzrechtliche Informationspflicht stellvertretend für das Kind wahr, solange dieses hierzu selbst noch nicht in der Lage ist.

10. Kein automatisiertes Profiling (Art. 22 DSGVO)

Wir treffen keine ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidungen, die rechtliche oder ähnlich erhebliche Wirkung für Sie entfalten. Der berechnete Betreuungsanteil (%) ist ein indikativer Richtwert und hat keine automatisierte Rechtswirkung.

11. Technische Sicherheitsmaßnahmen (informativ)

Wechselplan setzt technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen (Art. 32 DSGVO). Dazu gehören insbesondere:

  • Verschlüsselung von Belegdateien und Metadaten at rest (keine Klartextspeicherung von Dateinamen, MIME-Typen oder Notizen bei Belegen).
  • Strikte Mandantentrennung: Daten einer Familie sind für andere Familien technisch nicht zugänglich.
  • Kein öffentlicher Dateizugriff; Downloads nur über zeitlich begrenzte, autorisierte Links.
  • Zugriffsprotokolle für sicherheitsrelevante Aktionen.

12. Cookies und Tracking

Wechselplan setzt ausschließlich technisch notwendige Cookies ein, die für den Betrieb der Plattform unbedingt erforderlich sind (§ 25 Abs. 2 Nr. 2 TDDDG). Ein Einwilligungsbanner ist daher nicht erforderlich.

CookieZweckSpeicherdauer
laravel_sessionAufrechterhaltung des Anmeldezustands und der Sitzung während der NutzungBis Ende der Browser-Sitzung
XSRF-TOKENSchutz vor Cross-Site-Request-Forgery (Sicherheit der Formularübermittlung)Bis Ende der Browser-Sitzung bzw. Session-Ablauf
remember_web_* („Angemeldet bleiben")Ermöglicht die automatische Wiederanmeldung, wenn Sie die Option „Angemeldet bleiben" beim Login aktiv ausgewählt haben400 Tage, danach automatischer Ablauf

Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt. Es findet keine Profilbildung statt.

Stand: Juli 2026. Diese Datenschutzerklärung wurde von Team Recht final ausgearbeitet und vom Head of Board freigegeben. Keine Rechtsberatung i.S.d. RDG.