Stand: 14.06.2026 (rev. 6)
Verantwortlicher
smartbaden — Dennie Gulbinski
Zeitstraße 108
53721 Siegburg
E-Mail:
kontakt@smartbaden.de
Ein Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen
Schwellenwerte nicht erreicht werden.
Geltungsbereich
Diese Datenschutzerklärung gilt für die öffentliche Webseite
smartbaden.de und die unter
app.smartbaden.de betriebene smartbaden-Suite
(Anfrageformular, Admin-Bereich). Für die einzelnen Produkte
(Bäder-Azubi-App, InfoCenter, Datenschutzberatung) gelten die
jeweiligen Reiter dieser Erklärung.
Hosting und Server-Logs
Diese Webseite und die smartbaden-Suite werden auf einem
Hostinger KVM-2-VPS am Serverstandort Frankfurt am Main, Deutschland,
betrieben. Bei jedem Aufruf werden vorübergehend folgende Daten
gespeichert, die möglicherweise eine Identifizierung zulassen:
- Datum und Uhrzeit des Zugriffs
- IP-Adresse
- Hostname des zugreifenden Rechners
- Webseite, von der aus unsere Seite aufgerufen wurde (Referrer)
- Aufgerufene Seite / URL
- Meldung, ob der Abruf erfolgreich war
- Übertragene Datenmenge
- Browsertyp und verwendete Version
- Betriebssystem
Die vorübergehende Speicherung ist für die Auslieferung der Website
erforderlich. Die Protokolldateien werden zur Sicherstellung der
Funktionsfähigkeit und Sicherheit der Systeme für maximal 7 Tage
gespeichert und anschließend gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Schriftarten
Diese Webseite verwendet die Schriftart „Inter", die lokal auf unserem
eigenen Server bereitgestellt wird. Beim Laden der Schriftart findet
keine Verbindung zu Google-Servern oder anderen Drittanbietern statt.
Kontaktaufnahme und Anfrageformular
Über den Kontakt-Bereich auf smartbaden.de gelangen Sie zum
Anfrageformular unter app.smartbaden.de/anfrage.
Dort verarbeiten wir folgende Angaben zur Bearbeitung Ihrer Anfrage
und Angebotserstellung:
- Organisation / Betriebsname (Pflichtangabe)
- Name und Position der Ansprechperson (Pflichtangabe)
- E-Mail-Adresse (Pflichtangabe)
- Telefonnummer (freiwillig)
- Produktinteresse (Pflichtangabe)
- Eckdaten zur Anfrage (Pflichtangabe)
- Freie Nachricht (freiwillig)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche
Maßnahmen). Anfragen ohne Vertragsabschluss werden nach spätestens
12 Monaten gelöscht. Eine automatisierte Entscheidungsfindung
(Profiling) findet nicht statt.
Spam-Schutz:
Ausschließlich serverseitige Maßnahmen (Honeypot-Feld,
Mindest-Ausfüllzeit, Rate-Limits). Kein Drittanbieter-Captcha.
Kunden-, Vertrags- und Rechnungsdaten
Wird aus einer Anfrage ein Vertragsverhältnis, verarbeiten wir
Stammdaten, Kontaktdaten, Vertragsdaten, Angebote, Rechnungen und
interne Audit-Protokolle. Rechtsgrundlage: Art. 6 Abs. 1 lit. b
DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO i. V. m.
§ 147 AO (Aufbewahrungspflicht).
Speicherdauer:
Rechnungen und Buchungsbelege gemäß gesetzlicher Frist (regelmäßig
8 Jahre); Angebote ohne Vertragsabschluss bis zu 3 Jahre nach letztem
Kontakt; Audit-Protokolle grundsätzlich 12 Monate.
E-Mail-Versand (Angebote und Rechnungen)
Angebote und Rechnungen werden als PDF per E-Mail versandt. Der
Versand erfolgt über Hostinger SMTP (Hostinger International
Limited, EU), mit dem ein AVV gemäß Art. 28 DSGVO besteht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Auftragsverarbeiter
| Dienstleister | Zweck | Sitz / Serverstandort |
| Hostinger International Limited |
VPS-Hosting (Webseite, Datenbank, PDF-Archiv) und SMTP-Versand für kontakt@smartbaden.de
|
Sitz: Vilnius, Litauen, EU
Serverstandort: Frankfurt am Main, Deutschland (VPS); EU-Rechenzentren (Mail-Server)
|
Mit allen Dienstleistern bestehen AVV gemäß Art. 28 DSGVO.
Auf Anfrage senden wir die AVV-Übersicht zu.
Cookies und Local Storage
smartbaden.de verwendet keine Tracking-Cookies,
keine Drittanbieter-Cookies und keine Analyse-Pixel.
Im Admin-Bereich (app.smartbaden.de/admin) werden ausschließlich
technisch notwendige Einträge im Browser-Local-Storage gesetzt
(§ 25 Abs. 2 Nr. 2 TDDDG):
| Schlüssel | Zweck | Lebensdauer |
| smartbaden.adminSession | Admin-Sitzungs-Token (nur /admin, nie beim Anfrageformular) | Bis Logout oder Token-Ablauf |
| smartbaden.theme | Gewählte Darstellung (Hell / Dunkel / Auto) im Admin-Bereich | Bis manuelle Änderung |
Recht auf Widerspruch gemäß Art. 21 Abs. 1 DSGVO
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen
Situation ergeben, jederzeit gegen die Verarbeitung Ihrer
personenbezogenen Daten Widerspruch einzulegen, sofern die
Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
gestützt wird. Wir verarbeiten die Daten dann nicht mehr, es sei denn,
wir können zwingende schutzwürdige Gründe nachweisen, die Ihre
Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung
dient der Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen.
Widersprüche richten Sie an:
kontakt@smartbaden.de
Ihre weiteren Rechte
- Auskunft — Art. 15 DSGVO
- Berichtigung — Art. 16 DSGVO
- Löschung — Art. 17 DSGVO
- Einschränkung der Verarbeitung — Art. 18 DSGVO
- Datenübertragbarkeit — Art. 20 DSGVO (soweit Verarbeitung auf Einwilligung oder Vertrag beruht)
- Widerruf einer Einwilligung — jederzeit mit Wirkung für die Zukunft
Anfragen richten Sie an
kontakt@smartbaden.de mit dem Stichwort DSGVO-Anfrage. Wir antworten
innerhalb von 10 Werktagen.
Beschwerderecht: Sie haben das Recht, sich bei einer
Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO).
Zuständig für uns:
Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW)
Postfach 20 04 44, 40102 Düsseldorf
www.ldi.nrw.de/kontakt/ihre-beschwerde 1. Verantwortlicher und Nutzungsszenarien
Diese Datenschutzhinweise unterscheiden zwei Nutzungsszenarien, in denen
die App betrieben wird:
Szenario A — Direktnutzung: Bei eigenständiger Anmeldung
und Nutzung ohne Zuordnung zu einem Ausbildungsbetrieb ist Verantwortlicher
im Sinne von Art. 4 Nr. 7 DSGVO:
Dennie Gulbinski
Zeitstraße 108
53721 Siegburg
E-Mail:
kontakt@smartbaden.de Szenario B — Nutzung über einen Ausbildungsbetrieb: Wenn
die App von einem Ausbildungsbetrieb (z. B. Stadtwerk, kommunales Bad,
Zweckverband) für die eigenen Auszubildenden und Ausbilder eingesetzt wird,
ist der jeweilige Betrieb Verantwortlicher für sämtliche
Konto-, Lern-, Ausbildungs- und Kommunikationsdaten der zugeordneten
Personen. Der App-Betreiber verarbeitet diese Daten in diesem Fall
ausschließlich auf dokumentierte Weisung des Betriebs als
Auftragsverarbeiter nach Art. 28 DSGVO; Grundlage ist
ein Auftragsverarbeitungsvertrag (AVV) zwischen Betrieb und Betreiber.
In Szenario B sind die primären Informationen nach Art. 13
DSGVO vom jeweiligen Ausbildungsbetrieb bereitzustellen. Diese
Datenschutzerklärung dient in diesem Fall als ergänzende
Transparenzinformation des Betreibers. Anfragen zur Verarbeitung im
Ausbildungskontext richten Sie bitte zunächst an Ihren Ausbildungsbetrieb;
der Betreiber unterstützt auf Anforderung des Betriebs.
Betriebsinterne Ausbildungsdaten wie Berichtsheft, Klausurnoten,
Prüfungssimulator, Berufsschulkarte, Lernstände, Ausbilder-Kommentare und
betriebsinterne Chats bleiben im Workspace des jeweiligen
Ausbildungsbetriebs. Betriebsübergreifende Funktionen wie Quizduell, Forum
und Schwimm-Challenge verwenden außerhalb des eigenen Betriebs nur
öffentliche Anzeigenamen, Avatare und funktionsbezogene Statistiken.
2. Datenschutzkontakt
Für Fragen zum Datenschutz erreichen Sie den Verantwortlichen unter:
Dennie Gulbinski
E-Mail:
kontakt@smartbaden.de
(Betreff: „Datenschutz")
Der Verantwortliche verfügt über eine datenschutzrechtliche Weiterbildung,
unter anderem im Bereich Datenschutzbeauftragter, und bearbeitet
Datenschutzanfragen intern fachkundig. Ein formell benannter
Datenschutzbeauftragter im Sinne von Art. 37 DSGVO besteht derzeit
nicht. Die Erforderlichkeit einer Benennung wird
regelmäßig überprüft; die Prüfung umfasst insbesondere die Schwellenwerte
nach § 38 BDSG sowie die Frage, ob eine Verarbeitung vorliegt, die eine
Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich macht. Bei
Eintritt einer Benennungspflicht oder auf entsprechende Anforderung von
Auftraggebern wird ein externer Datenschutzbeauftragter eingebunden.
3. Zwecke der Verarbeitung
- Bereitstellung von Benutzerkonten, Rollen, Organisationen und App-Funktionen
- Unterstützung von Lern-, Ausbildungs- und Organisationsprozessen (Berichtsheft, Klausuren, Quiz, Schwimm-Challenge u. a.)
- Kommunikation zwischen Azubis, Ausbildern und Administration (Chat, Forum, Benachrichtigungen)
- Sicherer Betrieb, Missbrauchserkennung und Nachvollziehbarkeit sicherheitsrelevanter Aktionen
- Erfüllung gesetzlicher und vertraglicher Pflichten gegenüber Ausbildungsbetrieben
4. Verarbeitete Datenarten
- Kontodaten: öffentlicher Anzeigename bzw. frei wählbarer Spitzname, E-Mail-Adresse, Rolle, Status, Avatar; bei Bedarf Bestätigung, dass das 16. Lebensjahr vollendet wurde (Altersbestätigung nach Art. 8 DSGVO)
- Optionale Profilangaben: Geburtsdatum (freiwillig). Wird verwendet zur Altersprüfung im Sinne von Art. 8 DSGVO sowie — sofern der Nutzer das Schwimm-Trainingsmodul verwendet — zur Berechnung eines altersbedingten Zeitbonus (Handicap) bei Schwimm-Auswertungen. Die Angabe ist nicht erforderlich für die übrige Nutzung der App.
- Organisationsdaten: Zugeordneter Ausbildungsbetrieb, Einladungscode-Bezug, Berechtigungen
- Lern- und Ausbildungsdaten: Lernfortschritte, Quiz- und Duell-Ergebnisse, Prüfungssimulator-Sitzungen, Klausurnoten, Berichtsheft-Einträge, Schwimm-Daten, Karteikarten
- Kommunikationsdaten: Chatnachrichten, Forenbeiträge, Benachrichtigungen, Push-Subscriptions
- Technische und Sicherheitsdaten: Login-Zeitpunkte, IP-Adresse, User-Agent, Audit-Logs sicherheitsrelevanter Aktionen, Geräte-Trust-Status
Hinweis zu besonderen Kategorien (Art. 9 DSGVO): Die App
ist nicht darauf ausgelegt, besondere Kategorien personenbezogener Daten
(z. B. Gesundheitsdaten, Religionszugehörigkeit,
Gewerkschaftszugehörigkeit) zu erheben. Nutzer werden gebeten, keine
derartigen Angaben in Freitextfelder, Chats, Foren oder Berichtshefte
einzutragen. Sollte dies im Einzelfall dennoch geschehen, erfolgt keine
gezielte Auswertung dieser Angaben durch den Betreiber.
5. Rechtsgrundlagen je Verarbeitung
Die nachfolgende Übersicht ordnet die wesentlichen
Verarbeitungstätigkeiten den jeweiligen Rechtsgrundlagen zu. Bei Nutzung
über einen Ausbildungsbetrieb (Szenario B) ist der Betrieb für die
rechtliche Grundlage zuständig; die Spalte „Rechtsgrundlage" verweist auf
die übliche Konstellation.
| Verarbeitung | Rechtsgrundlage |
| Konto, Login, Rollen, Organisationszuordnung | Art. 6 Abs. 1 lit. b DSGVO; bei B2B Weisung des Betriebs |
| Lernstände, Klausurnoten, Berichtsheft, Prüfungssimulator | Bei B2B verantwortet vom Ausbildungsbetrieb, üblicherweise Art. 6 Abs. 1 lit. b/c DSGVO bzw. § 26 BDSG |
| Chat, Forum, In-App-Benachrichtigungen | Art. 6 Abs. 1 lit. b DSGVO oder berechtigtes Interesse an Kommunikation, Art. 6 Abs. 1 lit. f DSGVO |
| Betriebsübergreifende Funktionen wie Quizduell, öffentliches Forum, Schwimm-Challenge und Betriebsranking | Art. 6 Abs. 1 lit. b DSGVO für die bereitgestellten App-Funktionen; ergänzend Art. 6 Abs. 1 lit. f DSGVO für faire, datensparsame Wettbewerbs- und Community-Funktionen. Im B2B-Kontext erfolgt die Nutzung im Rahmen der Freischaltung durch den Ausbildungsbetrieb. |
| Sicherheitslogs, Rate-Limits, Missbrauchsschutz | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: IT-Sicherheit, Nachvollziehbarkeit) |
| Push-Benachrichtigungen | Einwilligung, Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TDDDG |
| Altersbestätigung / Nachweis der Zustimmung bei Direktnutzung | Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 8 DSGVO, soweit die Verarbeitung zur Prüfung und Dokumentation einer wirksamen Einwilligung erforderlich ist; bei B2B im Rahmen des Ausbildungsverhältnisses |
| Auftragsverarbeitung gegenüber Betrieben | Art. 28 DSGVO i. V. m. AVV |
Auszubildende sind nach § 26 Abs. 8 BDSG ausdrücklich vom
Beschäftigtendatenschutz erfasst. Bei B2B-Nutzung prüft der
Ausbildungsbetrieb als Verantwortlicher, ob § 26 BDSG bzw.
ausbildungs- oder arbeitsrechtliche Grundlagen einschlägig sind.
6. Empfänger und Zugriffsrollen
Innerhalb der App können je nach Rolle und Funktion folgende Personen und
Stellen personenbezogene Daten einsehen:
- Der jeweilige Nutzer selbst hat Zugriff auf alle eigenen Daten (Profil, Lernstände, Berichtsheft, Klausuren, eigene Beiträge).
- Ausbilder und Trainer der zugeordneten Organisation sehen Lernfortschritte, Klausurnoten, Berichtshefte, Berufsschulkarte, Monatsberichte und Statistiken ihrer eigenen Azubis. Sie können Berichte freigeben, Aufgaben zuweisen und Wissen prüfen.
- Administratoren haben technischen und organisatorischen Zugriff für Benutzerverwaltung, Freigaben, Support und Sicherheitsereignisse innerhalb ihrer Organisation. Sie sehen u. a. Geburtsdatum (sofern angegeben) zur Altersprüfung sowie den Status der elterlichen Einwilligung.
- Andere Nutzer derselben Organisation sehen im Forum, Chat und in internen Bestenlisten Anzeigenamen, Avatar und ggf. Beiträge. Lernstände, Noten, Berichtshefte, Berufsschulkarte und Profildetails sind dort nicht sichtbar.
- Quizduell-Gegner sehen den öffentlichen Anzeigenamen bzw. Spitznamen, Avatar, Punktestand, Antwortverhalten innerhalb des Duells sowie daraus abgeleitete Statistiken wie Siege, Unentschieden und Niederlagen.
- Nutzer außerhalb des eigenen Betriebs sehen in betriebsübergreifenden Funktionen nur öffentlichen Anzeigenamen bzw. Spitznamen, Avatar, eigene Beiträge und funktionsbezogene Statistiken. Klarnamen, E-Mail-Adressen, Geburtsdatum, Berichtshefte, Klausurnoten, Prüfungssimulator-Leistungen, Berufsschulkarte und individuelle Lernstände werden betriebsübergreifend nicht angezeigt.
- Betriebsübergreifende Betriebsrankings zeigen nur aggregierte Betriebswerte, zum Beispiel eine Top-Ten-Platzierung zwischen Betrieben. Um Rückschlüsse auf einzelne Personen zu vermeiden, erscheinen Betriebe in solchen Rankings erst, wenn eine ausreichende Anzahl aktiver Teilnehmender vorhanden ist.
- Auftragsverarbeiter (siehe Abschnitt 7) erhalten Zugriff im technisch erforderlichen Umfang und sind vertraglich gebunden.
- Eine Weitergabe an unbeteiligte Dritte oder zu Werbezwecken erfolgt nicht.
7. Hosting, Mail und Auftragsverarbeiter
Die App wird in der Europäischen Union betrieben. Mit allen genannten
Auftragsverarbeitern bestehen oder werden vor Inbetriebnahme
Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen.
- Hosting (Server, Datenbank): Hostinger International Ltd., Vilnius/Litauen und Zypern. Server-Standort: Frankfurt am Main, Deutschland. Backups innerhalb der EU.
- E-Mail-Versand (Anmeldung, Benachrichtigungen, Passwort-Reset): Hostinger Mail-Service über die Server
smtp.hostinger.com / imap.hostinger.com. Mailspeicherung in Hostinger-Rechenzentren innerhalb der EU. - Fehler-Monitoring (Stabilität): Functional Software, Inc. (Sentry), Sitz USA, genutzt in der EU-Datenregion (
de.sentry.io, Speicherung in der EU). Erfasst ausschließlich technische JavaScript-Fehler (Fehlermeldung, Stacktrace, Browser-/Systemtyp, betroffene Seite) und ist ohne personenbezogene Daten konfiguriert (kein PII, kein Session Replay). Auftragsverarbeitung nach Art. 28 DSGVO; DPA mit EU-Standardvertragsklauseln, abgeschlossen am 11.06.2026 (Version 5.1.0). - Push-Infrastruktur: Siehe Abschnitt 8.
- Es findet keine Übermittlung in Drittländer außerhalb der EU statt, außer im technisch unvermeidbaren Umfang bei Web-Push-Benachrichtigungen (siehe Abschnitt 8).
8. Push-Benachrichtigungen
Push-Benachrichtigungen sind ein optionaler Dienst und
nur nach ausdrücklicher Einwilligung im Browser oder Betriebssystem aktiv.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TDDDG
(Speichern auf Endgeräten). Die Einwilligung kann jederzeit in den
Browser- oder Geräte-Einstellungen sowie im Profil der App widerrufen
werden.
Technisch bedingt erfolgt die Zustellung über die Push-Dienste der
jeweiligen Browser- bzw. Betriebssystem-Hersteller:
- Google Firebase Cloud Messaging (FCM) — für Chrome, Edge und Android (Anbieter: Google LLC, USA)
- Apple Push Notification service (APNs) — für Safari, iOS und macOS (Anbieter: Apple Inc., USA)
- Mozilla Push Service — für Firefox (Anbieter: Mozilla Foundation, USA)
Verschlüsselung: Web-Push-Nachrichten werden nach dem
Web-Push-Standard verschlüsselt übertragen (RFC 8291). Das VAPID-Verfahren
(RFC 8292) dient zusätzlich der Identifikation des App-Servers gegenüber
dem jeweiligen Push-Dienst. Push-Dienste verarbeiten technisch
erforderliche Metadaten (Push-Endpunkt, Zeitstempel, Größe,
Zustellinformationen).
Drittlandtransfer USA: Bei der Nutzung von Push-Diensten
können technische Metadaten durch Anbieter in den USA verarbeitet werden.
Soweit der jeweilige Anbieter unter dem EU-U.S. Data Privacy Framework
zertifiziert ist, erfolgt die Übermittlung auf Grundlage des
Angemessenheitsbeschlusses nach Art. 45 DSGVO. Soweit erforderlich,
werden ergänzend EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c
DSGVO zugrunde gelegt. Die konkreten Transfermechanismen werden anhand
der jeweils aktuellen Anbieterinformationen geprüft und dokumentiert. Die
Nutzung von Push-Benachrichtigungen selbst ist freiwillig und erfolgt nur
nach Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Datenminimierung im Push-Inhalt: Der Betreiber hält
Push-Inhalte möglichst neutral (z. B. „Sie haben eine neue
Benachrichtigung"). Konkrete Inhalte wie Klausurnoten, Lernstände oder
Chatnachrichten werden nicht in der Push-Nachricht selbst übertragen,
sondern erst nach Login in der App angezeigt.
Wer keine Übermittlung an diese Dienste wünscht, aktiviert Push schlicht
nicht — alle App-Funktionen bleiben auch ohne Push voll nutzbar.
9. Speicherdauer, Deaktivierung und Löschung
Die App unterscheidet zwischen drei Stufen: Deaktivierung
(Konto-Login wird gesperrt, Daten bleiben), Anonymisierung
(personenbezogene Identifikatoren werden entfernt, aggregierte Datensätze
bleiben) und Hard-Deletion (vollständige physische
Löschung aller Daten).
- Aktive Konten: Daten werden gespeichert, solange das Konto besteht und die Ausbildungs- bzw. Vertragsbeziehung andauert.
- Inaktivitätsroutine: Nach 22 Monaten ohne Login erhält der Nutzer eine Erinnerungs-E-Mail. Bleibt das Konto weitere 2 Monate inaktiv, wird es automatisch nach insgesamt 24 Monaten Inaktivität deaktiviert.
- Konto-Deaktivierung durch den Nutzer: Im Profil unter „Konto deaktivieren und Anonymisierung anfordern" kann der Nutzer jederzeit selbst die Deaktivierung auslösen.
- Was bei Deaktivierung passiert: Login wird gesperrt, Sitzungs-Token entfernt, Anzeigename und Avatar in Forum- und Quizduell-Ansichten anonymisiert („deaktivierter Nutzer"). E-Mail und Geburtsstatus bleiben in den Konto-Stammdaten, um doppelte Anmeldungen und ausbildungsrechtliche Nachweispflichten zu unterstützen.
- Hard-Deletion (vollständige physische Löschung): Erfolgt nach Ablauf der jeweiligen Aufbewahrungs- und Verjährungsfristen — oder vorzeitig auf ausdrückliche Anforderung des Betroffenen nach Art. 17 DSGVO, soweit keine entgegenstehende gesetzliche Aufbewahrungspflicht besteht. Die Hard-Deletion umfasst Konto-Stammdaten, Lernstände, Klausurnoten, Berichtshefte, Schwimm-Daten und alle eindeutig zuordenbaren Inhalte.
- Audit-Logs sicherheitsrelevanter Aktionen werden bis zu 3 Jahre aufbewahrt (berechtigtes Interesse: IT-Sicherheit, Nachweispflichten, Verjährungsfrist nach § 195 BGB). Sie werden in pseudonymisierter Form geführt (technische User-ID statt Klarname).
- Forum- und Chat-Beiträge: Bleiben für die Integrität der Diskussionsfäden erhalten, der Anzeigename des deaktivierten Nutzers wird jedoch durch „deaktivierter Nutzer" ersetzt. Auf Anforderung können einzelne Beiträge nach Art. 17 DSGVO gelöscht werden.
- Datenbank-Backups werden täglich erstellt und nach 14 Tagen automatisch überschrieben. Eine bereits erfolgte Hard-Deletion wirkt auch in den Backups innerhalb dieser Frist.
- LocalStorage und IndexedDB auf dem Gerät bleiben bis zur Löschung durch den Nutzer oder den Browser bestehen.
10. Cookies und lokale Speicherung
Die App verwendet ausschließlich technisch notwendige Cookies und
Speichermechanismen gemäß § 25 Abs. 2 Nr. 2 TDDDG. Es werden
keine Analyse-, Werbe- oder Tracking-Cookies eingesetzt.
Es findet kein Tracking durch Dritte statt.
- Refresh-Token-Cookie (HttpOnly, Secure): Verschlüsselter Token zur sicheren Sitzungsfortführung nach Anmeldung. Das Cookie wird nur an die API-Domain übermittelt und ist für JavaScript nicht auslesbar. Die SameSite-Konfiguration wird technisch so restriktiv wie für den jeweiligen Bereitstellungsweg möglich gewählt und regelmäßig überprüft. Speicherdauer ca. 7 Tage. Notwendig für die Anmeldung.
trusted_device-Cookie (HttpOnly, Secure): Wird nur gesetzt, wenn der Nutzer beim Login „Gerät vertrauen" auswählt, und erlaubt das Überspringen der Zwei-Faktor-Authentifizierung auf diesem Gerät. Konfiguration analog zum Refresh-Token-Cookie. Speicherdauer 30 Tage. Wird bei Logout, Passwortänderung, Geräte-Verwaltung im Profil oder nach Ablauf automatisch entfernt.- LocalStorage auf dem Gerät: Anzeigeeinstellungen (z. B. Dark Mode), lokale Berichtsheft-Entwürfe, Lernstände einzelner Module, Hinweis-Status (z. B. ausgeblendete Hinweise). Der Server hat keinen unmittelbaren Zugriff auf diesen Speicherbereich; die App selbst kann gespeicherte Werte jedoch verarbeiten und an den Server senden, soweit dies für die jeweilige Funktion erforderlich ist.
- IndexedDB / Service-Worker-Cache: Offline-Verfügbarkeit der App (Progressive Web App). Lehrinhalte, statische Assets und temporäre API-Antworten zur Beschleunigung. Gleicher Zugriffsstatus wie LocalStorage.
- Push-Subscription-Daten: Werden nur nach Einwilligung gesetzt und auf dem Server gespeichert (siehe Abschnitt 8).
11. Sicherheit der Verarbeitung
- Verschlüsselte Übertragung über TLS/HTTPS auf allen Endpunkten
- Passwörter ausschließlich in gehashter Form (Argon2id) gespeichert
- Rollen- und Berechtigungskonzept (RBAC) mit serverseitiger Default-Deny-Logik auf allen Endpunkten
- CSRF-Schutz (X-Requested-With-Header) auf allen state-changing Endpunkten
- Brute-Force-Schutz durch Rate-Limiting und persistenten Lockout auf Authentifizierungs-Endpunkten
- Zwei-Faktor-Authentifizierung (TOTP) für Administratoren-Konten verpflichtend
- Server-seitige Eingabevalidierung und Sanitization von Chat- und Forenbeiträgen
- SSRF-Schutz bei externen URL-Verarbeitungen
- Audit-Log für alle administrativen und sicherheitsrelevanten Aktionen
- Tägliche Datenbank-Backups mit dokumentiertem Restore-Verfahren
- Regelmäßige Aktualisierung der eingesetzten Bibliotheken (Dependabot)
- Datensparsamkeit: keine Erhebung von Daten, die nicht für die Funktion erforderlich sind
12. Minderjährige (Art. 8 DSGVO)
Die App richtet sich an Auszubildende und kann auch von Personen unter
16 Jahren genutzt werden. Im Datenschutzkonzept der App wird zwischen den
beiden Nutzungsszenarien unterschieden:
Direktnutzung (Szenario A): Bei der Registrierung wird
abgefragt, ob die nutzende Person das 16. Lebensjahr vollendet hat. Diese
Angabe dient als Voraussetzung für eine eigene Einwilligung nach Art. 8
DSGVO. Wird die Frage verneint, ist die Nutzung nur zulässig, wenn die
Einwilligung der Sorgeberechtigten dem Betreiber gegenüber schriftlich
oder elektronisch nachgewiesen wird (Art. 8 Abs. 1 Satz 1 DSGVO).
Geburtsdatum-Angabe (freiwillig): Im Profil kann
zusätzlich ein konkretes Geburtsdatum hinterlegt werden. Diese Angabe ist
freiwillig und wird zur Altersprüfung im Sinne von Art. 8
DSGVO sowie — sofern der Nutzer das Schwimm-Trainingsmodul aktiv verwendet
— zur Berechnung eines altersbedingten Zeitbonus (Handicap) bei
Schwimm-Auswertungen verarbeitet. Die übrige Nutzung der App ist ohne
Geburtsdatum-Angabe möglich.
Nutzung über einen Ausbildungsbetrieb (Szenario B): Im
Ausbildungskontext erfolgt die Verarbeitung personenbezogener Daten der
Auszubildenden primär auf Grundlage von § 26 BDSG
(Beschäftigtendatenschutz, der ausdrücklich auch Auszubildende erfasst)
bzw. ausbildungs- oder arbeitsrechtlicher Vorschriften — und damit
unabhängig von Art. 8 DSGVO. Eine Einwilligung der Sorgeberechtigten ist
in diesem Fall regelmäßig nicht die maßgebliche Rechtsgrundlage; der
Ausbildungsbetrieb prüft die einschlägige Rechtsgrundlage als
Verantwortlicher.
Der Status der Altersbestätigung bzw. der erforderlichen Zustimmung wird
im Konto dokumentiert. Sorgeberechtigte können eine erteilte Einwilligung
jederzeit widerrufen; das Konto wird dann deaktiviert.
13. Keine automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung im Sinne von
Art. 22 DSGVO statt. Lernfortschritte, Quizduell-Ergebnisse,
Klausurnoten und ähnliche Daten werden ausschließlich zur Information und
Selbsteinschätzung der Nutzer sowie zur pädagogischen Begleitung durch
Ausbilder verwendet. Es werden weder Profile mit Rechtswirkung gegenüber
Betroffenen erstellt, noch automatische Entscheidungen über
Ausbildungsverhältnisse, Prüfungszulassungen oder ähnliches getroffen.
14. Betroffenenrechte und Beschwerderecht
Betroffene haben nach der DSGVO insbesondere folgende Rechte:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung der Daten, soweit keine Aufbewahrungspflicht entgegensteht (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit in einem strukturierten, maschinenlesbaren Format (Art. 20 DSGVO) — direkt im Profil als Export verfügbar
- Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Anfragen richten Sie bitte an
kontakt@smartbaden.de.
Bei Nutzung der App durch einen Ausbildungsbetrieb wenden Sie sich
vorrangig an den eigenen Betrieb (siehe Abschnitt 1).
Beschwerderecht bei einer Aufsichtsbehörde: Unbeschadet
eines anderweitigen verwaltungsrechtlichen oder gerichtlichen
Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer
Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO). Für den Sitz des
Verantwortlichen zuständig ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit
Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2-4
40213 Düsseldorf
Telefon: 0211 / 38424-0
E-Mail:
poststelle@ldi.nrw.de
Web:
www.ldi.nrw.de
Diese Hinweise werden aktualisiert, wenn sich Architektur, Dienstleister
oder Datenflüsse wesentlich ändern. Letzte Aktualisierung: 14.06.2026
(rev. 6) — Fehler-Monitoring Sentry (EU-Datenregion, ohne personenbezogene
Daten) als Auftragsverarbeiter der App ergänzt; Aufbewahrungsfristen mit
dem zentralen Compliance-Register synchronisiert (Rechnungen 8 Jahre nach
§ 14b UStG). Frühere Fassung 10.05.2026
(rev. 4) — B2B-Rollenmodell mit zwei Szenarien getrennt; Datenschutzkontakt
mit Weiterbildung statt formeller DSB-Benennung, um Interessenkonflikt
nach Art. 38 Abs. 6 DSGVO zu vermeiden; Rechtsgrundlagen je Verarbeitung
als Matrix; Push-Verschlüsselung nach RFC 8291/8292 beschrieben,
Drittlandtransfer auf EU-U.S. DPF und SCC gestützt; Art. 9-Hinweis als
Disclaimer für Freitextfelder; Soft-Deletion klar von Anonymisierung und
Hard-Deletion abgegrenzt; Minderjährige-Regelung mit § 26 BDSG verzahnt;
betriebsübergreifende Sichtbarkeit auf Anzeigenamen, Avatar und
funktionsbezogene Statistiken begrenzt; betriebsinterne Ausbildungsdaten
und Betriebsrankings präzisiert.
1. Was ist das InfoCenter
Das smartbaden InfoCenter ist ein lokal arbeitender Kiosk-Chatbot
für den Eingangs- und Kassenbereich von Schwimmbädern. Gäste tippen Schlagwörter
(z. B. „Öffnungszeiten", „Sauna", „Parken") oder klicken sich durch
Themen-Tabs — das InfoCenter zeigt die hinterlegte Antwort an. Es ersetzt
klassische Schautafeln und Faltblätter durch eine durchsuchbare,
mehrsprachige Variante.
2. Datenschutzfreundliche Architektur
Das InfoCenter ist von der Architektur her datensparsam ausgelegt:
- Keine Anmeldung, keine Konten für Gäste — das InfoCenter ist anonym nutzbar.
- Keine Tracking-Cookies, kein Drittanbieter-Tracking, keine Werbung — auf dem Kiosk-Display und im Verwaltungs-Backend.
- Keine Audio- oder Kamera-Aufzeichnung am Kiosk-Gerät. Die Interaktion erfolgt ausschließlich per Touch.
- Inhalte werden lokal ausgeliefert — nach dem initialen Synchronisieren der Texte und Bilder funktioniert das InfoCenter auch ohne aktive Internetverbindung.
- Keine personenbezogenen Gäste-Daten werden erhoben, gespeichert oder an Dritte übermittelt.
3. Verantwortlicher
Für die InfoCenter-Software und das Verwaltungs-Backend
(Inhaltspflege, Updates, Standort-Konfiguration) ist Verantwortlicher:
smartbaden — Dennie Gulbinski
Zeitstraße 108
53721 Siegburg
E-Mail:
kontakt@smartbaden.de
Für das physische Kiosk-Gerät am Standort (Hausrecht, Standortwahl,
Stromversorgung, Aufstellung) ist der jeweilige
Bäderbetreiber verantwortlich. Soweit der Bäderbetreiber
das Verwaltungs-Backend selbst nutzt und dort eigene Inhalte einpflegt,
verarbeitet smartbaden diese Inhalte als
Auftragsverarbeiter nach Art. 28 DSGVO auf Grundlage eines
AVV.
4. Verarbeitete Daten
Da das InfoCenter keine Gäste-Daten erhebt, beschränkt sich die
Verarbeitung auf die für Betrieb und Wartung notwendigen Daten:
- Backend-Konten der Bäderbetreiber: Name, E-Mail, Rolle, Standort-Zuordnung — für Login und Inhaltspflege.
- Inhalte: vom Bäderbetreiber gepflegte Texte, Öffnungszeiten, Preise, Maskottchen-Avatare, Bildmaterial.
- Geräte-Telemetrie (technisch notwendig): Geräte-ID des Kiosks, Software-Version, Zeitpunkt des letzten Sync, Online-/Offline-Status — für Wartung und Update-Auslieferung.
- Aggregierte, anonymisierte Nutzungsstatistik (optional, abschaltbar): Welche Tabs werden häufig aufgerufen, welche Schlagwörter wurden gesucht. Keine Verknüpfung zu einzelnen Personen oder Sessions möglich. Dient der Optimierung von Inhaltspflege und Tab-Reihenfolge. Bäderbetreiber können diese Statistik im Backend deaktivieren.
- Server-Logs bei Backend-Logins: IP-Adresse, Zeitpunkt, User-Agent, Erfolgs-/Fehlerstatus — Speicherdauer max. 7 Tage.
5. Rechtsgrundlagen
- Backend-Konten und Inhaltspflege: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
- Geräte-Telemetrie und Update-Auslieferung: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Wartungs- und Betriebsfähigkeit) und Art. 6 Abs. 1 lit. b DSGVO.
- Anonymisierte Nutzungsstatistik: Art. 6 Abs. 1 lit. f DSGVO; mangels Personenbezug der ausgewerteten Daten faktisch außerhalb des DSGVO-Schutzbereichs.
- Server-Logs: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit).
6. Hosting, Auftragsverarbeiter und Speicherort
Das Verwaltungs-Backend wird in der Europäischen Union betrieben:
- Hosting (Backend, Datenbank, Update-Auslieferung): Hostinger International Ltd., Sitz Vilnius/Litauen. Server-Standort: Frankfurt am Main, Deutschland.
- E-Mail-Versand (Einladung Backend-Nutzer, Update-Hinweise): Hostinger SMTP, EU-Rechenzentren.
Keine Drittland-Übermittlungen. Die Inhalte der
InfoCenter-Tabs verbleiben innerhalb des EU-Rechtsraums.
Auf dem Kiosk-Gerät selbst liegen ausschließlich die vom
Bäderbetreiber gepflegten Inhalte sowie technische Sync-Daten — keine
personenbezogenen Gäste-Daten.
7. Speicherdauer
- Backend-Konten und Inhalte: für die Dauer des Nutzungsvertrags. Nach Vertragsende werden die Konten deaktiviert; Inhalte werden auf Anforderung des Bäderbetreibers exportiert oder gelöscht.
- Geräte-Telemetrie: rotierende Aufbewahrung bis maximal 90 Tage, ältere Datensätze werden überschrieben.
- Nutzungsstatistik (falls aktiviert): aggregiert und ohne Personenbezug, dauerhaft als Trend-Information verfügbar.
- Server-Logs: 7 Tage, dann automatische Löschung.
8. Betroffenenrechte und Beschwerderecht
Backend-Nutzer (Mitarbeitende des Bäderbetreibers) haben gegenüber
smartbaden die in Art. 15 bis 22 DSGVO genannten Rechte (Auskunft,
Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch,
Widerruf erteilter Einwilligungen). Anfragen richten Sie an
kontakt@smartbaden.de.
Da das InfoCenter keine Gäste-Daten erhebt, entstehen für Gäste am
Kiosk-Display keine eigenen Betroffenenrechte gegenüber smartbaden — es
gibt schlicht keine Verarbeitung personenbezogener Daten zu adressieren.
Beschwerderecht: Sie können sich bei der für smartbaden
zuständigen Aufsichtsbehörde beschweren (siehe Tab Webseite oder
Bäder-Azubi-App: Landesbeauftragte für Datenschutz und
Informationsfreiheit Nordrhein-Westfalen, Düsseldorf).
1. Geltungsbereich
Diese Datenschutzhinweise gelten für die Datenschutzberatung
durch smartbaden — insbesondere Beratung zur Videoüberwachung im Bad,
Erstellung von Datenschutz-Folgenabschätzungen (DSFA),
Verarbeitungsverzeichnissen (VVT), TOMs-Dokumenten, AVV-Vorlagen,
Mitarbeiter-Schulungen sowie Übernahme als externer
Datenschutzbeauftragter (Retainer).
Tätigkeit als ausgebildeter Datenschutzbeauftragter (DSB) — keine
Rechtsdienstleistung im Sinne des RDG. Rechtsverbindliche
Bewertungen einzelfallbezogener Rechtsfragen erfolgen ausschließlich
durch beauftragte Rechtsanwälte.
2. Verantwortlicher
smartbaden — Dennie Gulbinski
Zeitstraße 108
53721 Siegburg
E-Mail:
kontakt@smartbaden.de
(Betreff: „Datenschutz")
3. Was wir verarbeiten
Im Rahmen eines Beratungsmandats verarbeiten wir typischerweise:
- Stamm- und Kontaktdaten der Mandantenseite: Name, Funktion, dienstliche E-Mail, dienstliche Telefonnummer der Ansprechperson(en) sowie der Geschäftsführung bzw. Verwaltungsleitung.
- Vertrags- und Abrechnungsdaten: Auftrag, Leistungsbeschreibung, Stundennachweise, Reisekostenpositionen, Rechnungen.
- Beratungsinhalte: technische und organisatorische Beschreibungen des Bäderbetriebs (z. B. Kamerastandorte, Aufzeichnungsdauer, IT-Setup, Räumlichkeiten, Zutrittskonzepte) sowie Entwürfe und Endfassungen der erstellten Dokumente (DSFA, VVT, TOMs, AVV).
- Korrespondenz per E-Mail oder im Austauschsystem des Mandanten.
- Fotos und Skizzen von Standorten, soweit für ein Konzept (insbesondere Videoüberwachung) erforderlich und vom Mandanten bereitgestellt.
Wir bitten Sie, uns keine personenbezogenen Daten Dritter
(insbesondere von Gästen, Beschäftigten oder Auszubildenden des
Mandanten) zu übermitteln, soweit dies für die Beauftragung nicht zwingend
erforderlich ist. Erforderliche Übermittlungen erfolgen nur auf
dokumentierter Weisung und im Rahmen eines Auftragsverarbeitungsvertrags.
4. Rechtsgrundlagen
- Anbahnung und Erfüllung des Beratungsvertrags: Art. 6 Abs. 1 lit. b DSGVO.
- Beratung mit Bezug zu Beschäftigtendaten oder Aufzeichnungen Dritter: Verantwortlicher bleibt der jeweilige Mandant; smartbaden tritt insoweit als Auftragsverarbeiter nach Art. 28 DSGVO auf.
- Rechnungslegung, Buchhaltung und gesetzliche Aufbewahrung: Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 147 AO, § 257 HGB.
- Schutz vor Missbrauch, IT-Sicherheit, Geltendmachung und Verteidigung von Rechtsansprüchen: Art. 6 Abs. 1 lit. f DSGVO.
5. Vertraulichkeit, Verschwiegenheit und Datentrennung
smartbaden behandelt alle im Rahmen der Beratung übermittelten oder
gewonnenen Informationen strikt vertraulich. Inhalte
eines Mandats werden ohne ausdrückliche Zustimmung des Mandanten weder
Dritten zugänglich gemacht noch zu Schulungs-, Marketing- oder
Vergleichszwecken verwendet.
Mandate werden organisatorisch voneinander getrennt
(eigene Ordner-/Projektstruktur, eigene Dateiablagen). Eine Verknüpfung
oder ein Quervergleich von Daten unterschiedlicher Mandanten erfolgt
nicht.
Bei Tätigkeit als externer Datenschutzbeauftragter (Retainer)
gilt zusätzlich das Verschwiegenheitsgebot nach Art. 38 Abs. 5 DSGVO und
§ 6 Abs. 5 BDSG.
6. Empfänger und Weitergabe
Eine Weitergabe personenbezogener Daten an Dritte erfolgt nicht. Ausnahmen:
- Steuerberater und Buchhaltung für die Rechnungsabwicklung (gesetzliche Pflicht).
- Auf ausdrückliche Anweisung des Mandanten (z. B. Übergabe einer DSFA an die Aufsichtsbehörde).
- Hosting- und Mail-Auftragsverarbeiter (Hostinger International Ltd., EU-Rechenzentren) im Rahmen der technischen Bereitstellung.
- Soweit gesetzlich verpflichtet (z. B. Auskunftsersuchen einer Aufsichtsbehörde).
Eine Übermittlung in Drittländer außerhalb der EU oder des EWR findet
nicht statt.
7. Speicherdauer
- Erstgespräch-Notizen ohne Mandatsabschluss: Löschung nach spätestens 6 Monaten, sofern kein konkretes Folge-Mandat absehbar ist.
- Mandatsakten (DSFA, VVT, TOMs, AVV-Entwürfe, Korrespondenz): für die Dauer des Mandats sowie regelmäßig 10 Jahre nach Mandatsende — entspricht der berufsüblichen Aufbewahrungsfrist bei datenschutzrechtlicher Beratung sowie den Verjährungsfristen aus Vertrag und Schadensersatz.
- Rechnungen und Buchungsbelege: 8 bzw. 10 Jahre nach gesetzlicher Vorschrift (§ 147 AO, § 257 HGB).
- E-Mail-Korrespondenz: wird im Postfach aufbewahrt, soweit sie Mandatsbezug hat; ohne Mandatsbezug nach spätestens 24 Monaten gelöscht.
- Externe-DSB-Retainer-Tätigkeit: Audit-Logs der eigenen Tätigkeit (z. B. erteilte Stellungnahmen, Schulungsbelege, Meldungen) werden für die Dauer der Bestellung sowie 5 Jahre nach Bestellungsende vorgehalten.
8. Betroffenenrechte
Sie haben gegenüber smartbaden insbesondere folgende Rechte:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung, soweit keine gesetzliche oder vertragliche Aufbewahrungspflicht entgegensteht (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Anfragen richten Sie an
kontakt@smartbaden.de
(Betreff: „DSGVO-Anfrage Beratung"). Wir antworten innerhalb von
10 Werktagen.
9. Beschwerderecht
Unbeschadet eines anderweitigen Rechtsbehelfs steht Ihnen ein
Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO).
Für smartbaden zuständig ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit
Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2-4
40213 Düsseldorf
Telefon: 0211 / 38424-0
E-Mail:
poststelle@ldi.nrw.de
Web:
www.ldi.nrw.de 