Datenschutz
Wir informieren Sie über die Verarbeitung personenbezogener Daten bei der Nutzung unserer Website, der Produktanfrage und der goqita-Fachanwendung für Einrichtungen.
1. Allgemeine Informationen
1.1 Verantwortliche Stelle
Dennis Schönwälder
Einzelunternehmen
Leonhard-Kern-Weg 18
74523 Schwäbisch Hall
Verantwortlich: Dennis Schönwälder
1.2 Datenschutzkontakt
Für Datenschutzanfragen, Auskunftsersuchen, Löschanfragen oder Hinweise auf Sicherheitsvorfälle erreichen Sie uns unter:
E-Mail: datenschutz@goqita.de
2. Rollen, Geltungsbereich und Datenkategorien
2.1 Rollen und Geltungsbereich
goqita verarbeitet personenbezogene Daten in zwei Rollen, die getrennt betrachtet werden müssen:
| Eigene Verantwortlichkeit | Websitebetrieb, Kontakt- und Produktanfragen, Login- und Accountverwaltung, Passwort-Reset, Support, Feedback, Sicherheitsprotokolle und eigene Vertrags- oder Abrechnungsprozesse. |
|---|---|
| Auftragsverarbeitung | Bei der Nutzung der Fachanwendung durch eine Einrichtung ist grundsätzlich die jeweilige Einrichtung oder der Träger Verantwortlicher im Sinne der DSGVO. goqita stellt die Anwendung technisch bereit und verarbeitet Inhaltsdaten nach Weisung der Einrichtung. Dafür ist vor der Verarbeitung echter Kinder- und Entwicklungsdaten ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. |
Diese Hinweise gelten nicht für eigenständige Verarbeitungen der Einrichtung außerhalb von goqita, etwa lokale Akten, ausgedruckte Exporte oder interne Weitergaben.
2.2 Kategorien betroffener Personen und Daten
| Websitebesucher | Technische Zugriffsdaten wie IP-Adresse, Datum und Uhrzeit, angeforderte Seite, Browser-/Geräteinformationen, Referrer, Request-ID, Statuscode und Dauer des Aufrufs, soweit diese für Betrieb, Sicherheit und Fehleranalyse erforderlich sind. |
|---|---|
| Interessenten | Name, E-Mail-Adresse, Einrichtung, optionale Telefonnummer, Interessensbereich, Nachricht, Quellseite sowie technische Missbrauchsschutzdaten wie gehashte Rate-Limit-Merkmale. |
| Nutzer der Fachanwendung | E-Mail-Adresse, Name, Rolle, Institution, Gruppenzuordnung, Passwort-Hash, Sitzungsstatus, Passwort-Reset-Token-Hash, Admin- und Sicherheitsereignisse. |
| Kinder und Entwicklungsdaten | Nach Vertragsschluss und soweit durch die Einrichtung eingegeben: Name oder Kennzeichnung des Kindes, Gruppe, Profil, Geschlecht für Textbausteine, Antworten in Entwicklungsgesprächen, daraus erzeugte Zusammenfassungen, Empfehlungen, Diagrammdaten, Notizen, Exportzeitpunkte und Bearbeitungszeitpunkte. |
| Einrichtungs- und Vertragsdaten | Name der Einrichtung, Kundennummer, gebuchte Module, Vertragsmodell, Vertragsbeginn und -ende, Zahlungs- oder Abrechnungstermine sowie Statusdaten zur Aktivierung oder Archivierung. |
Daten von Kindern verdienen besonderen Schutz. Entwicklungsdokumentation kann je nach Inhalt besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO berühren, etwa Gesundheitsdaten oder sensible Entwicklungsinformationen. Die Einrichtung muss deshalb fachlich festlegen, welche Angaben erforderlich sind und auf welcher Rechtsgrundlage sie erfasst werden.
3. Betroffenenrechte
Sie haben nach Maßgabe der gesetzlichen Voraussetzungen das Recht auf:
- Auskunft über die verarbeiteten personenbezogenen Daten
- Berichtigung unrichtiger Daten
- Löschung oder Einschränkung der Verarbeitung
- Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen
- Datenübertragbarkeit
- Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft
- Beschwerde bei einer Datenschutzaufsichtsbehörde
Für goqita mit Sitz in Baden-Württemberg ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Heilbronner Straße 35, 70191 Stuttgart, erreichbar über baden-wuerttemberg.datenschutz.de, zuständig. Wenn eine Einrichtung als Verantwortliche handelt, kann je nach Träger zusätzlich eine andere Aufsichtsbehörde zuständig sein.
4. Zwecke der Verarbeitung
goqita verarbeitet personenbezogene Daten insbesondere zu folgenden Zwecken:
- Bereitstellung der Website, Anfrageformulare und des Login-Bereichs
- Benutzerverwaltung und Authentifizierung
- Durchführung, Speicherung und Wiederaufnahme von Entwicklungsgesprächen
- Erstellung von DOCX-Exporten, PDF-Exporten und Entwicklungsdiagrammen
- Belegungsplanung, soweit dieses Modul für eine Einrichtung aktiviert ist
- Bearbeitung von Kontakt-, Produkt-, Support- und Feedbackanfragen
- Sicherstellung von Betrieb, Sicherheit, Missbrauchsschutz, Backup und Support
- Vertrags-, Abrechnungs- und Administrationsprozesse für Einrichtungen
5. Website, Kontaktformular und E-Mail
Beim Besuch der Website werden technisch erforderliche Zugriffsdaten verarbeitet, damit die Seiten ausgeliefert, Angriffe erkannt und Störungen untersucht werden können. Eine Weitergabe an Analyse-, Marketing- oder Retargetingdienste findet im aktuellen Stand der Website nicht statt.
Wenn Sie das Anfrageformular nutzen, verarbeiten wir Ihre Angaben zur Bearbeitung der Anfrage, zur Kontaktaufnahme und zur internen Nachverfolgung. Die Anfrage wird in der Anwendung gespeichert und, sofern ein SMTP-Dienst konfiguriert ist, zusätzlich per E-Mail an den hinterlegten goqita-Kontakt gesendet.
Zur Verhinderung von Spam und Missbrauch werden Anfragen begrenzt. Dafür können IP-Adresse, E-Mail-Adresse und Anfrageinhalt kurzfristig verarbeitet werden.
6. Login, Sicherheit, Support und Feedback
Für den geschützten Bereich werden Nutzerkonten mit Rollen und Institutionszuordnung angelegt. Passwörter werden nicht im Klartext gespeichert, sondern als Hash. Sitzungen laufen standardmäßig nach 2 Stunden ab; beim Logout werden Sitzungen serverseitig ungültig gemacht.
Passwort-Reset- und Einladungsvorgänge verwenden einmalige Token, die nur als Hash gespeichert und standardmäßig nach 2 Stunden ungültig werden. Wenn der Mailversand aktiviert ist, werden Reset- oder Einladungsinformationen per SMTP zugestellt.
Zur Betriebssicherheit speichert goqita Systemereignisse, Admin-Audit-Logs, fehlgeschlagene Login- oder Reset-Versuche, Frontend-Fehlermeldungen, Request-IDs und vergleichbare Protokolldaten. Freitext aus Fehler- und Feedbackmeldungen kann personenbezogene Angaben enthalten, wenn Nutzer diese selbst eingeben.
7. Fachanwendung für Einrichtungen
In der Fachanwendung können Einrichtungen Entwicklungsgespräche vorbereiten, dokumentieren, wieder aufnehmen und als Bericht exportieren. Je nach freigeschaltetem Modul können zusätzlich Entwicklungsdiagramme und Belegungspläne erstellt werden.
Vor Vertragsschluss kann goqita als betreuter Test- oder Einführungszugang bereitgestellt werden. Dabei können echte Einrichtungsdaten wie Konfigurationen, Gruppennamen, Rollen und Modulfreigaben verarbeitet werden. Die Eingabe des Namens eines Kindes bleibt in diesem Stadium gesperrt; für Testabläufe dürfen nur Kennzeichnungen oder Platzhalter verwendet werden.
Die Verarbeitung echter Kinder- und Entwicklungsdaten beginnt erst nach Vertragsschluss. Ein gesonderter Pilotbetrieb mit echten Kinderdaten ist nicht vorgesehen.
Die erzeugten Zusammenfassungen, Einstufungen und Diagramme sind Arbeitshilfen. Sie ersetzen keine pädagogische oder rechtliche Entscheidung der Einrichtung. Eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO ist nicht vorgesehen.
8. Rechtsgrundlagen
| Website und Sicherheit | Art. 6 Abs. 1 lit. f DSGVO, soweit die Verarbeitung für Bereitstellung, IT-Sicherheit, Missbrauchsschutz, Fehleranalyse und Dokumentation erforderlich ist. |
|---|---|
| Kontakt- und Produktanfragen | Art. 6 Abs. 1 lit. b DSGVO für vorvertragliche Kommunikation sowie Art. 6 Abs. 1 lit. f DSGVO für interne Nachverfolgung, Sicherheit und Missbrauchsschutz. |
| Accounts und Vertrag | Art. 6 Abs. 1 lit. b DSGVO für Vertragserfüllung und Nutzerverwaltung; Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Pflichten bestehen; Art. 6 Abs. 1 lit. f DSGVO für Admin-Logs, Sicherheitsprotokolle und Support. |
| Fachanwendung | Die Einrichtung legt als Verantwortliche die konkrete Rechtsgrundlage fest. Je nach Träger und Bundesland kommen Vertrag, gesetzliche Aufgaben oder Pflichten, öffentliches Interesse, berechtigte Interessen oder Einwilligungen in Betracht. Soweit besondere Kategorien personenbezogener Daten verarbeitet werden, muss zusätzlich eine Grundlage nach Art. 9 Abs. 2 DSGVO vorliegen. |
| Auftragsverarbeitung | Art. 28 DSGVO für die Verarbeitung durch goqita im Auftrag der Einrichtung. |
Einwilligungen sollen nur dort eingesetzt werden, wo sie wirklich erforderlich sind. Wenn eine Verarbeitung auf Einwilligung beruht, kann diese jederzeit mit Wirkung für die Zukunft widerrufen werden.
Die Bereitstellung personenbezogener Daten ist freiwillig. Bestimmte Angaben sind jedoch erforderlich, um Anfragen zu bearbeiten, Nutzerkonten bereitzustellen, Verträge durchzuführen oder die Fachanwendung nach Weisung der Einrichtung zu nutzen. Ohne diese Angaben können die jeweiligen Funktionen nicht oder nur eingeschränkt bereitgestellt werden.
9. Cookies und Browser-Speicher
goqita verwendet derzeit keine Analyse-, Marketing- oder Retargeting-Cookies. Eingesetzt werden technisch notwendige Cookies und browserseitige Speicherungen für Login, Sicherheit, Cookie-Hinweis und temporäre Arbeitsfortsetzung.
| goqita_session | HttpOnly-Session-Cookie für angemeldete Nutzer. Speicherdauer standardmäßig bis zu 2 Stunden oder bis zum Logout. |
|---|---|
| goqita_csrf | Sicherheits-Cookie zum Schutz zustandsändernder Browser-Anfragen. Speicherdauer standardmäßig bis zu 2 Stunden oder bis zum Logout. |
| goqita_cookie_preferences | Speichert für bis zu 6 Monate, dass der Cookie-Hinweis angezeigt wurde und welche Kategorien gewählt wurden. Derzeit sind nur erforderliche Cookies aktiv. |
| sessionStorage | Speichert temporäre Login-Hinweise, Weiterleitungsziele und lokale Entwurfsdaten der Fachanwendung, zum Beispiel wenn die Verbindung unterbrochen wird oder eine Sitzung abläuft. Diese Entwürfe können Kinder- und Entwicklungsdaten enthalten, bleiben grundsätzlich auf dem Endgerät und werden in der Regel beim Schließen des Tabs oder Browsers gelöscht. Offene lokale Entwürfe werden zusätzlich spätestens nach 24 Stunden bereinigt. |
Rechtsgrundlage für das Speichern oder Auslesen technisch erforderlicher Informationen auf dem Endgerät ist insbesondere § 25 Abs. 2 TDDDG. Soweit dabei personenbezogene Daten verarbeitet werden, erfolgt die weitere Verarbeitung je nach Funktion insbesondere auf Grundlage von Art. 6 Abs. 1 lit. b und lit. f DSGVO. Optionale Analyse- oder Marketingdienste dürfen erst nach vorheriger Aktualisierung dieser Hinweise und nach wirksamer Einwilligung aktiviert werden.
10. Empfänger, Subprozessoren und Drittlandtransfer
Personenbezogene Daten werden nur an Empfänger weitergegeben, wenn dies für Betrieb, Vertrag, Support, Sicherheit, rechtliche Pflichten oder die Auftragsverarbeitung erforderlich ist. Dazu können insbesondere folgende Kategorien von Empfängern gehören:
- Hosting und Serverbetrieb
- Datenbank und Backup-Speicher
- E-Mail-/SMTP-Dienst
- Monitoring und Fehleranalyse
- Wartung und Support
- Zahlungsabwicklung und Steuerberatung
Soweit Dienstleister personenbezogene Daten im Auftrag verarbeiten, werden konkrete Subprozessoren im AVV-Anhang oder auf Anfrage benannt.
Eine Übermittlung personenbezogener Daten in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums findet nicht statt.
11. Speicherdauer und Löschung
Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist, die Einrichtung eine Speicherung anweist oder gesetzliche Aufbewahrungspflichten bestehen. Es gelten die folgenden Standardfristen, sofern die verantwortliche Einrichtung keine strengere Weisung erteilt.
| Sessions und Reset-Token | Sessions und CSRF-Cookies laufen standardmäßig nach 2 Stunden oder beim Logout ab. Reset- und Einladungstoken sind 2 Stunden gültig und sollen als Hash spätestens 24 Stunden nach Ablauf oder Nutzung gelöscht werden. |
|---|---|
| Website- und Serverlogs | Technische Zugriffsdaten und Serverlogs werden standardmäßig 30 Tage gespeichert. Bei Sicherheitsvorfällen können relevante Auszüge bis zum Abschluss des Vorfalls und für Nachweiszwecke bis zu 3 Jahre aufbewahrt werden. |
| Nutzerkonten | Bei Austritt oder Sperrung wird der Zugang deaktiviert. Personenbezogene Kontodaten archivierter Nutzer werden spätestens nach 90 Tagen gelöscht oder anonymisiert, soweit keine vorrangigen Nachweis- oder Vertragsgründe bestehen. |
| Produktanfragen | Ohne Vertragsabschluss 12 Monate nach letzter Bearbeitung. Bei Vertragsabschluss werden erforderliche Angaben in die Vertragskommunikation überführt und dort nach gesetzlichen oder vertraglichen Nachweisfristen aufbewahrt. |
| Test- und Einführungszugänge | Echte Einrichtungsdaten aus betreuten Test- oder Einführungszugängen werden ohne Vertragsschluss spätestens 30 Tage nach Ende des Zugangs gelöscht. Bei Vertragsschluss können erforderliche Einrichtungs- und Konfigurationsdaten in den Vertragsbetrieb überführt werden. Kindernamen werden in diesem Stadium nicht verarbeitet. |
| Entwicklungsgespräche | Während der aktiven Nutzung nach Weisung der Einrichtung. Gelöschte Gespräche bleiben 30 Tage im Papierkorb. Nach Vertragsende gilt ein Exportfenster von 30 Tagen; anschließend werden Fachinhalte spätestens nach weiteren 60 Tagen gelöscht, sofern keine andere dokumentierte Weisung vorliegt. |
| Entwicklungsdiagramme | Wie Entwicklungsgespräche. Bei manueller Löschung werden Diagramme im aktuellen Produktumfang direkt entfernt. |
| Belegungsplan | Aktive Belegungsnutzungen werden 12 Monate nach Ende des Belegungszeitraums gelöscht. Archivierte Nutzungen werden standardmäßig bis zu 30 Tage zur Wiederherstellung vorgehalten und danach gelöscht. |
| Feedback und Support | Erledigtes Feedback wird 24 Monate nach Abschluss aufbewahrt. Supportkopien und vergleichbare Arbeitskopien werden spätestens 30 Tage nach Ticketabschluss gelöscht, sofern kein Sicherheitsvorfall oder gesetzlicher Nachweiszweck entgegensteht. |
| Backups | Backups werden nach einem Generationenplan gelöscht. Vorgesehen sind 7 tägliche, 4 wöchentliche und 6 monatliche Generationen. Wiederherstellungen müssen dokumentieren, welche Löschaufträge erneut anzuwenden sind. |
| Audit- und Sicherheitslogs | Normale Systemereignisse 180 Tage, sicherheitsrelevante Warnungen und Fehler 12 Monate, Admin-Audit-Logs 3 Jahre. Incident-relevante Auszüge können für die Vorfallsdokumentation bis zu 3 Jahre aufbewahrt werden. |
Stand: 01.06.2026