Stand: 7. Juli 2026
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Nikolas Gottschalk (Einzelunternehmer)Datenschutzbeauftragter (Art. 37 DSGVO, Art. 13 Abs. 1 lit. b DSGVO):
Wir haben keinen Datenschutzbeauftragten benannt, da hierzu nach Art. 37 DSGVO und § 38 BDSG derzeit keine gesetzliche Verpflichtung besteht (kein Kerngeschäft mit regelmäßiger systematischer Überwachung, keine umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO, keine Beschäftigung von 20 oder mehr Personen mit ständiger automatisierter Datenverarbeitung). Für Fragen zum Datenschutz wenden Sie sich bitte an:
E-Mail: kontakt@wechselplan.de
Wechselplan verarbeitet folgende Kategorien personenbezogener Daten:
f) Gesundheitsbezogene Ausgabenbelege – besondere Datenkategorie nach Art. 9 DSGVO (derzeit nicht angeboten)
Wechselplan sieht perspektivisch die freiwillige Möglichkeit vor, Belege mit Gesundheitsinformationen des Kindes (z.B. Arztrechnung, Apotheken-Bon, Krankenhaus-Bescheinigung) gesondert zu kennzeichnen und hochzuladen. Diese Funktion ist zum aktuellen Zeitpunkt technisch deaktiviert und wird nicht angeboten. Es werden derzeit keine Gesundheitsdaten im Sinne des Art. 9 DSGVO verarbeitet. Sobald diese Funktion aktiviert wird, wird diese Datenschutzerklärung vor Aktivierung um die dann geltenden Regelungen (gesonderte ausdrückliche Einwilligung beider Elternteile, Widerrufs- und Zugriffsregeln) ergänzt und den Nutzern erneut zur Kenntnis gebracht.
| Datenkategorie | Zweck |
|---|---|
| Stammdaten | Bereitstellung und Verwaltung des Nutzerkontos; Authentifizierung; Einladung des Co-Elternteils |
| Kinddaten | Abbildung der Betreuungssituation; Betreuungsanteil-Berechnung; Ferienberechnung (Bundesland) |
| Betreuungseinträge | Transparente Dokumentation der Betreuungszeiten; Berechnung des indikativen Betreuungsanteils (%) |
| Kostendaten | Gemeinsame Ausgabendokumentation; optionale Saldoverwaltung |
| Belege (nicht gesundheitsbezogen) | Ausgabennachweise; interne Dokumentation für Eltern |
| Gesundheitsbelege (Art. 9) | Derzeit nicht angeboten – Funktion technisch deaktiviert; bei künftiger Aktivierung: freiwillige Ausgaben-Belegnachweise für gesundheitsbezogene Kosten des Kindes |
| Einwilligungsnachweise | Nachweis der erteilten/widerrufenen Einwilligung (Art. 7 Abs. 1 DSGVO) |
| Zugriffsprotokolle | Sicherheit; Auskunft nach Art. 15 DSGVO; Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) |
Die Funktion zum Upload gesundheitsbezogener Belege ist zum aktuellen Zeitpunkt deaktiviert; es findet keine Verarbeitung von Gesundheitsdaten statt. Sollte diese Funktion künftig aktiviert werden, erfolgt die Verarbeitung ausschließlich auf Grundlage der ausdrücklichen Einwilligung beider Elternteile (Art. 9 Abs. 2 lit. a i.V.m. Art. 6 Abs. 1 lit. a DSGVO), eingeholt vor dem Upload, freiwillig und jederzeit widerrufbar.
Co-Elternteil (familieninterne Sichtbarkeit):
Der jeweils andere Elternteil innerhalb derselben Familie kann bestimmte Daten einsehen, soweit dies für die App-Funktion erforderlich ist. Der Zugriff auf gesundheitsbezogene Belege ist dabei an eine gesonderte aktive Einwilligung des Zugreifenden gebunden.
Auftragsverarbeiter:
Wir setzen folgende Dienstleister als Auftragsverarbeiter ein (Art. 28 DSGVO):
| Dienstleister | Funktion | Sitz / Drittland-Transfer |
|---|---|---|
| Laravel Cloud (Laravel LLC) | App-Hosting, Datenbankbetrieb, Infrastruktur | Laravel LLC (Sitz USA); Hosting in einer EU-Rechenzentrums-Region. Soweit eine Übermittlung in Drittländer stattfindet, erfolgt sie auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). |
| Laravel Cloud (Laravel LLC) | Verschlüsselte Speicherung von Belegdateien | Object Storage in einer EU-Rechenzentrums-Region; im Übrigen wie beim App-Hosting (Standardvertragsklauseln, Art. 46 Abs. 2 lit. c DSGVO). |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung für das kostenpflichtige Familien-Abo (Stripe Checkout: Kreditkarte, SEPA-Lastschrift, PayPal) | Sitz: 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland (EU). Mit Stripe besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO (Stripe Data Processing Agreement). Verarbeitet werden dabei Zahlungs- und Abrechnungsdaten (Zahlungsmittel-Referenz/Token, Rechnungsadresse, Transaktionsbetrag und -zeitpunkt; bei SEPA-Lastschrift die IBAN, bei PayPal die von PayPal übermittelten Transaktionsdaten). Vollständige Kartendaten werden PCI-DSS-konform unmittelbar von Stripe verarbeitet und laufen nicht über unsere eigenen Server. Da Stripe zur Betrugsprävention auch Unterauftragsverarbeiter außerhalb der EU/des EWR (u. a. in den USA) einsetzen kann, erfolgt eine solche Drittlandübermittlung auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), ergänzend gestützt auf das EU-US Data Privacy Framework, soweit dieses im Übermittlungszeitpunkt wirksam ist. |
Keine Weitergabe zu Werbezwecken. Daten werden nicht an Dritte zu Werbezwecken weitergegeben oder verkauft.
Unser Hosting- und Storage-Dienstleister Laravel Cloud (Laravel LLC) betreibt die für Wechselplan genutzte Infrastruktur in einer EU-Rechenzentrums-Region; eine Verarbeitung findet damit im Regelfall innerhalb der EU statt. Da Laravel LLC seinen Sitz in den USA hat, kann im Einzelfall (z. B. bei Support-Zugriffen oder konzerninternen Verarbeitungsvorgängen) eine Übermittlung mit Drittlandbezug nicht vollständig ausgeschlossen werden. Eine solche Übermittlung personenbezogener Daten in Drittländer außerhalb der EU/des EWR findet nur statt, soweit sie durch geeignete Garantien nach Art. 46 DSGVO abgesichert ist – vorrangig durch EU-Standardvertragsklauseln; das EU-US Data Privacy Framework wird als zusätzliche Grundlage berücksichtigt, soweit es im Zeitpunkt der Übermittlung wirksam ist. Seit Einführung des kostenpflichtigen Familien-Abos setzen wir zusätzlich den Zahlungsdienstleister Stripe Payments Europe, Ltd. (Sitz Irland/EU) ein; eine Übermittlung an dessen Unterauftragsverarbeiter in Drittländern erfolgt – wie beim Hosting – nur auf Grundlage geeigneter Garantien nach Art. 46 DSGVO, insbesondere EU-Standardvertragsklauseln (s. Abschnitt 5).
Personenbezogene Daten werden nur so lange gespeichert, wie es für die Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
| Datenkategorie | Speicherdauer |
|---|---|
| Stammdaten (Nutzer) | Bis zur Kontolöschung; danach werden Stammdaten (Name, E-Mail, Rolle) innerhalb von 6 Monaten nach Kontolöschung endgültig gelöscht oder anonymisiert. Ausgenommen hiervon sind Zustimmungs-/Einwilligungsnachweise (s. gesonderter Hinweis unten zu „Einwilligungsnachweise"). |
| Kinddaten | Bis Löschung durch Elternteil oder Kontoauflösung |
| Betreuungseinträge | Bis Löschung durch Elternteil oder Kontoauflösung |
| Kostendaten / Belege (nicht Art. 9) | Kostendaten und nicht-gesundheitsbezogene Belege werden bis zur Löschung durch den Elternteil oder bis zur Kontoauflösung gespeichert; nach Kontoauflösung erfolgt Löschung innerhalb von 6 Monaten. Eine steuerliche Aufbewahrungspflicht nach § 147 AO bzw. § 14b UStG besteht für diese Nutzerdaten nicht: Es handelt sich um die von den Elternteilen selbst erfassten privaten Ausgaben für das Kind (z. B. Kita-Beitrag, Kleidung) nebst eigenen Belegen – nicht um Rechnungen oder Buchungsbelege, die Wechselplan als Unternehmer im eigenen Namen ausstellt oder empfängt. Diese Nutzerdaten unterliegen daher nicht der Aufbewahrungspflicht, die ausschließlich die eigenen Geschäftsunterlagen des Anbieters betrifft (dazu die gesonderte Zeile „Abrechnungs-/Rechnungsdaten (Familien-Abo)" unten). |
| Abrechnungs-/Rechnungsdaten (Familien-Abo) | Rechnungen bzw. Zahlungsbelege, die Stripe in unserem Namen und für unsere Rechnung für das kostenpflichtige Familien-Abo erstellt, sowie die zugehörigen eigenen Buchungsunterlagen bewahren wir als gesetzlich vorgeschriebene Geschäftsunterlagen 8 Jahre auf, gerechnet ab dem Ende des Kalenderjahres der Rechnungsstellung (§ 147 Abs. 1 Nr. 4, Abs. 3 Satz 1 AO i. V. m. § 14b Abs. 1 UStG, jeweils in der seit 1. Januar 2025 durch das Vierte Bürokratieentlastungsgesetz geltenden Fassung). Diese Aufbewahrungspflicht gilt unabhängig von unserer Kleinunternehmerstellung (§ 19 UStG, keine USt-Ausweisung) und unabhängig von einer zwischenzeitlichen Kontolöschung. Rechtsgrundlage der Verarbeitung: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) i. V. m. den vorgenannten Normen. Nach Fristablauf werden die Daten gelöscht, soweit keine längere Aufbewahrung erforderlich ist (z. B. laufende Außenprüfung, offene Festsetzungsfrist, § 147 Abs. 3 Satz 2 AO). |
| Widerrufs-Zustimmungsnachweis (Checkout, Familien-Abo) | Der Nachweis der Checkbox-Zustimmung zum sofortigen Leistungsbeginn und zur Kenntnisnahme des Erlöschens des Widerrufsrechts (Zeitpunkt, Nutzer-ID, Familien-ID, gebuchter Plan, Versionskennung des Checkbox-Wortlauts; bewusst ohne IP-Adresse) wird 3 Jahre ab Ende des Kalenderjahres der Kontolöschung bzw. der Beendigung des Abos aufbewahrt. Die Frist orientiert sich an der regelmäßigen zivilrechtlichen Verjährungsfrist (§§ 195, 199 BGB) und dient dem Nachweis, dass die Zustimmung wirksam eingeholt wurde, falls ein Nutzer nachträglich eine unwirksame Belehrung oder ein fortbestehendes Widerrufsrecht geltend macht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Rechtssicherheit/Verteidigung gegen Ansprüche) i. V. m. Art. 5 Abs. 2, Art. 7 Abs. 1 DSGVO (Rechenschaftspflicht). |
| Gesundheitsbelege (Art. 9) | Bis Widerruf der Einwilligung / aktiver Löschung durch Uploader; Hard-Delete (keine Soft-Delete-Reste) |
| Zugriffsprotokolle | Zugriffsprotokolle (Zugriffstyp, Zeitpunkt, IP-Adresse) werden 6 Monate rolling ab dem jeweiligen Protokollierungszeitpunkt gespeichert und danach automatisiert gelöscht, soweit nicht im Einzelfall ein konkreter, nicht nur theoretischer Sicherheitsvorfall eine begründete, dokumentierte Verlängerung erfordert. |
AGB-Zustimmungs- und Einwilligungsnachweise (Rechenschaftspflicht, Art. 5 Abs. 2 / Art. 7 Abs. 1 DSGVO): Abweichend von der 6-Monats-Frist für Stammdaten werden Nachweise über erteilte AGB-Zustimmungen und Einwilligungen (Zeitpunkt, Version, ggf. Widerrufszeitpunkt) für 3 Jahre ab Ende des Kalenderjahres der Kontolöschung bzw. des Widerrufs aufbewahrt. Diese Frist orientiert sich an der regelmäßigen zivilrechtlichen Verjährungsfrist (§§ 195, 199 BGB) und dient ausschließlich dem Nachweis einer wirksam erteilten Zustimmung im Streitfall; die Daten werden zu keinem anderen Zweck verwendet.
Als betroffene Person haben Sie folgende Rechte:
Stammdaten (E-Mail, Name): Die Bereitstellung ist für die Vertragsdurchführung (Nutzerkonto, Einladung des Co-Elternteils) erforderlich. Ohne diese Daten kann kein Nutzerkonto erstellt und die App nicht genutzt werden.
Kinddaten (Vorname, Geburtsdatum, Bundesland): Die Bereitstellung ist für die Kernfunktion der App (Betreuungsanteil-Berechnung, Ferienberechnung) erforderlich. Ohne diese Daten stehen die Berechnungsfunktionen nicht zur Verfügung.
Gesundheitsbezogene Belege (Art. 9 DSGVO): Die Bereitstellung ist vollständig freiwillig. Es entstehen keinerlei Konsequenzen für die Nutzung der übrigen App-Funktionen, wenn keine Einwilligung erteilt wird oder die Einwilligung widerrufen wird.
Wechselplan verarbeitet Daten von minderjährigen Kindern (Vorname, Geburtsdatum, Bundesland, Betreuungszeiten, ggf. Gesundheitsbelege). Diese Daten werden nicht direkt von den Kindern bereitgestellt, sondern durch die Elternteile in die App eingepflegt.
Nach Art. 14 DSGVO sind wir verpflichtet, die betroffenen Kinder über die Verarbeitung ihrer Daten zu informieren, sofern dies angemessen ist. Da Kinder in der Regel nicht selbst Nutzer der App sind und in vielen Fällen nicht im schulpflichtigen Alter oder noch nicht in der Lage sind, eine solche Information zu verstehen, fungieren die sorgeberechtigten Elternteile als Informationspflicht-Proxy: Die Elternteile erhalten die vollständigen Informationen nach Art. 13 und Art. 14 DSGVO durch diese Datenschutzerklärung.
Sobald ein Kind in der Lage ist, die Informationen zu verstehen (in der Regel ab dem schulpflichtigen Alter), sind die Elternteile aufgefordert, das Kind über die Verarbeitung seiner Daten zu informieren.
Das Auskunftsrecht des Kindes nach Art. 15 DSGVO kann durch die sorgeberechtigten Elternteile geltend gemacht werden. Bei konfligierenden Sorgerechtsinteressen wenden Sie sich bitte an: kontakt@wechselplan.de
Diese Informationspflicht-Proxy-Konstruktion steht im Einklang mit dem elterlichen Sorgerecht nach §§ 1626 ff. BGB und der Vertretungsbefugnis der sorgeberechtigten Elternteile für ihr Kind nach § 1629 BGB sowie der gemeinsamen Ausübung der Personensorge nach § 1687 BGB: Die Elternteile nehmen die datenschutzrechtliche Informationspflicht stellvertretend für das Kind wahr, solange dieses hierzu selbst noch nicht in der Lage ist.
Wir treffen keine ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidungen, die rechtliche oder ähnlich erhebliche Wirkung für Sie entfalten. Der berechnete Betreuungsanteil (%) ist ein indikativer Richtwert und hat keine automatisierte Rechtswirkung.
Wechselplan setzt technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen (Art. 32 DSGVO). Dazu gehören insbesondere:
Wechselplan setzt ausschließlich technisch notwendige Cookies ein, die für den Betrieb der Plattform unbedingt erforderlich sind (§ 25 Abs. 2 Nr. 2 TDDDG). Ein Einwilligungsbanner ist daher nicht erforderlich.
| Cookie | Zweck | Speicherdauer |
|---|---|---|
laravel_session | Aufrechterhaltung des Anmeldezustands und der Sitzung während der Nutzung | Bis Ende der Browser-Sitzung |
XSRF-TOKEN | Schutz vor Cross-Site-Request-Forgery (Sicherheit der Formularübermittlung) | Bis Ende der Browser-Sitzung bzw. Session-Ablauf |
remember_web_* („Angemeldet bleiben") | Ermöglicht die automatische Wiederanmeldung, wenn Sie die Option „Angemeldet bleiben" beim Login aktiv ausgewählt haben | 400 Tage, danach automatischer Ablauf |
Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt. Es findet keine Profilbildung statt.