Kostenlos beraten

Datenschutzerklärung der ChancenPilot GmbH

Stand: 20. Januar 2026

1. Verantwortlicher

ChancenPilot GmbH
Industriestraße 50b
69190 Walldorf
Telefon: +49 6227 8991530
E-Mail: info@chancen-pilot.de

2. Datenschutzbeauftragte/r

Dr. Sebastian Kraska
IITR Datenschutz GmbH
Marienplatz 2, 80331 München
E-Mail: email@iitr.de
Telefon: +49 89 18917360

3. Zwecke und Rechtsgrundlagen der Verarbeitung

3.1 Website-Betrieb, IT-Sicherheit und Server-Logs

Zwecke: Bereitstellung der Website, Funktionsfähigkeit, Fehleranalyse, Abwehr von Angriffen/IT-Sicherheit.

Daten: IP-Adresse, Datum/Uhrzeit, aufgerufene Seiten, Browser-/Device-Informationen, Referrer-URL, ggf. Fehlercodes.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und stabilem Betrieb).

3.2 Kontaktanfragen (E-Mail, Telefon, Formulare)

Zwecke: Bearbeitung von Anfragen, Erstberatung, Rückfragen, Terminabstimmung, Dokumentation der Kommunikation.

Daten: Name, Kontaktdaten, Anfrageinhalt, Kommunikationsdaten.

Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen/Vertragsanbahnung)
  • Art. 6 Abs. 1 lit. f DSGVO (Kommunikation/Organisation)

3.3 Leistungserbringung – Schule als Kunde (grundsätzlich keine Schüler-Personendaten)

Wenn eine Schule unser Vertragspartner ist, verarbeiten wir grundsätzlich keine personenbezogenen Daten von Schüler:innen.

Daten: organisatorische Schuldaten (z. B. Räume/Klassenräume, Termine), aggregierte Angaben (z. B. Anzahl Schüler:innen), Inhalte/Bedarfe, dienstliche Kontaktdaten von Lehrkräften/Ansprechpersonen (Name, Funktion, dienstliche E-Mail/Telefon), Kommunikationsinhalte.

Zwecke: Vertragsdurchführung, Organisation, Termin-/Einsatzplanung, Qualitätssicherung, Kommunikation.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.

Datensparsamkeit: Falls im Einzelfall irrtümlich Schüler-Personendaten übermittelt werden, verarbeiten wir diese nicht inhaltlich und löschen/anonymisieren sie, sobald dies möglich ist und keine Aufbewahrungspflichten entgegenstehen.

3.4 Leistungserbringung – Privatkund:innen (Eltern/Zahlungspflichtige als Kunde; Verarbeitung von Schülerdaten)

Wenn Eltern/Erziehungsberechtigte oder sonstige Zahlungspflichtige unser Vertragspartner sind, verarbeiten wir personenbezogene Daten der Zahlungspflichtigen sowie – soweit erforderlich – der Schüler:innen (häufig Minderjährige).

Erhebung: über das Registrierungsformular auf der Website sowie im Verlauf der Kommunikation/Organisation.

Daten (typisch):

  • Zahlungspflichtige/Eltern: Name, Kontaktdaten, ggf. Anschrift, Vertrags- und Abrechnungsdaten, Bankdaten (z. B. IBAN/Kontoinhaber:in), Kommunikationsinhalte
  • Schüler:innen: Name, Geburtsdatum, Klasse/Jahrgang, Schule, Fach/Bedarf, Termin-/Organisationsdaten, Kommunikationsinhalte
  • pädagogische Notizen/Lernstandsnotizen (soweit zur Durchführung/Qualität erforderlich; Speicherung zentral über SmartDirex)

Zwecke: Vertragsdurchführung, Organisation/Terminierung, Durchführung der Nachhilfe, Kommunikation, Abrechnung, Nachweisführung/Qualitätssicherung.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. c DSGVO (steuer-/handelsrechtliche Pflichten); Art. 6 Abs. 1 lit. f DSGVO (Organisation, Qualität, Rechtsverteidigung).

Dritter Zahlungspflichtiger: Sofern eine dritte Person die Zahlung übernimmt, verarbeiten wir deren Daten nur, soweit dies für die Zahlungsabwicklung/Vertragsdurchführung erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO). Soweit wir Daten nicht direkt bei der betroffenen Person erheben, informieren wir nach Maßgabe von Art. 14 DSGVO, sofern keine Ausnahme greift.

3.5 Kommunikation (E-Mail, Telefon, WhatsApp)

E-Mail/Telefon: Organisation und Durchführung; Rechtsgrundlagen Art. 6 Abs. 1 lit. b und/oder lit. f DSGVO.

WhatsApp Business (App auf dem Geschäftshandy):

  • Zweck: organisatorische Kommunikation mit Honorarkräften sowie – im Privatkundensetting – Kommunikation mit Eltern/Schüler:innen.
  • Rechtsgrundlagen: je nach Einzelfall Art. 6 Abs. 1 lit. b DSGVO (Kommunikation zur Vertragserfüllung) und/oder Art. 6 Abs. 1 lit. a DSGVO (freiwillige Nutzung eines zusätzlichen Kanals).
  • Adressbuch/Datensparsamkeit: Auf den Geschäftshandys sind ausschließlich die für die Leistungserbringung notwendigen Kontakte gespeichert; keine sonstigen Kontakte.

Hinweis: WhatsApp stellt für Business-Kontexte „Data Processing Terms" bereit, die (soweit anwendbar) eine Verarbeitung als Auftragsverarbeiter regeln; die Nutzung bleibt datenschutzrechtlich sensibel, u. a. wegen Metadaten/Endgeräte-Aspekten.

3.6 Bewerbungen und Onboarding von Honorarkräften (Selbständige)

Daten: Name, Kontaktdaten, Lebenslauf/Qualifikationsnachweise, Motivationsangaben, ggf. Immatrikulationsbescheinigung, Bankdaten (für spätere Abrechnung), Bewerbungsstatus/Notizen (z. B. in HubSpot).

Zwecke: Auswahl, Beauftragung, Vertragsabwicklung/Onboarding.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. f DSGVO (Dokumentation/Qualität/Schutz vor Rechtsansprüchen); nach Beauftragung Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten).

Talentpool: nur mit Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

3.7 Masernschutz und erweitertes Führungszeugnis (Upload → Sichtprüfung → automatisierte Löschung)

Masernschutz (Upload über Firebase): Upload eines Fotos/Abbilds ausschließlich zur Sichtprüfung; automatisierte Löschung nach Prüfung; gespeichert wird nur ein Prüfvermerk (z. B. „geprüft am …/i. O."). Soweit anwendbar erfolgt die Verarbeitung im Zusammenhang mit Pflichten aus § 20 IfSG.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b/c DSGVO; bei Gesundheitsdaten Art. 9 Abs. 2 DSGVO im zulässigen Rahmen (insb. öffentliche Gesundheit/gesetzliche Pflichten).

Erweitertes Führungszeugnis (Upload über PandaDoc): Upload eines Fotos/Abbilds ausschließlich zur Sichtprüfung; automatisierte Löschung nach Einsichtnahme; gespeichert wird nur ein Ergebnisvermerk, keine Kopie. PandaDoc stellt eine Data Processing Agreement (DPA) bereit.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b/c/f DSGVO; Art. 10 DSGVO nur im gesetzlich zulässigen Rahmen.

3.8 Vertrags- und Abrechnungsabwicklung (inkl. SEPA/Überweisung)

Zwecke: Vertragsverwaltung, Leistungserfassung, Abrechnung, Buchhaltung, Zahlungsverkehr (Überweisung/SEPA).

Daten: Stamm-/Vertragsdaten, Leistungs- und Abrechnungsdaten, Bankdaten (IBAN/Kontoinhaber:in), ggf. Umsatz-/Steuerdaten.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. c DSGVO (Aufbewahrungspflichten).

3.9 Marketing, Tracking, Reichweitenmessung (nur nach Einwilligung)

Nicht technisch notwendige Dienste werden erst nach Einwilligung über Cookiebot aktiviert (u. a. Meta Pixel/Lead Ads, Instagram Plugins, YouTube, Google Analytics, Google Maps, Google reCAPTCHA, Adobe Fonts, ImageKit).

Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG (Einwilligung).

Newsletter: Derzeit nicht aktiv. Bei Einführung erfolgt Versand (Double-Opt-In) mit separaten Informationen zu Versanddienst/Tracking.

4. Empfänger, Auftragsverarbeiter und eingesetzte Dienste

Wir setzen Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten (Auftragsverarbeiter, Art. 28 DSGVO). Zudem können Empfänger (z. B. Banken, Behörden, Steuerberatung) Daten als eigene Verantwortliche erhalten, soweit erforderlich.

4.1 Microsoft 365 (E-Mail, SharePoint/OneDrive, Teams)

Zweck: Kommunikation, Dateiablage, Kollaboration, Videokonferenzen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO.

Hinweis: Keine Aufzeichnung; keine Transkription mit Externen.

4.2 HubSpot (CRM, Formulare, Terminbuchung, Bewerbungsmanagement)

Zweck: Kontaktverwaltung, Formulare, Terminbuchung, Kommunikation/Bewerbungsprozess.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO; Marketing/Tracking nur mit Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

4.3 Firebase (Hosting/Performance; Masern-Uploadbereich)

Zweck: technische Bereitstellung und geschützter Uploadbereich für Masern-Sichtprüfung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Betrieb); ergänzend Art. 6 Abs. 1 lit. b/c DSGVO; bei Gesundheitsdaten Art. 9 DSGVO (siehe Ziff. 3.7).

4.4 Cookiebot (Consent-Management)

Zweck: Einholung, Verwaltung und Protokollierung von Einwilligungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Nachweis-/Compliance-Pflichten) und Art. 6 Abs. 1 lit. f DSGVO (Dokumentationsinteresse); Einwilligung nach § 25 TDDDG für Endgerätezugriff.

4.5 SmartDirex (Kernsystem: Verwaltung, Abrechnung, pädagogische Notizen)

Sitz/Hosting: Deutschland.

Zweck: Verarbeitung von Personenstammdaten, Abrechnung, pädagogischer Dokumentation.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b/c DSGVO; ggf. Art. 6 Abs. 1 lit. f DSGVO.

Auftragsverarbeitung: Es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

4.6 PandaDoc (EFZ-Upload/Sichtprüfung)

Zweck: geschützter Uploadprozess und Sichtprüfung EFZ; automatisierte Löschung nach Prüfung.

DPA: vorhanden.

4.7 WhatsApp Business

Zweck/Details: siehe Ziff. 3.5; Data Processing Terms sind verfügbar (soweit anwendbar).

4.8 Trello / Google Sheets (falls eingesetzt)

Zweck: interne Organisation/Listenführung mit minimalen personenbezogenen Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

4.9 Social-Media-Präsenzen

Wir betreiben Profile auf Instagram und Facebook. Beim Besuch gelten die Datenschutzbestimmungen der jeweiligen Anbieter.

4.10 Drittlandübermittlungen

Soweit einzelne Dienstleister Daten außerhalb des EWR verarbeiten, erfolgt dies nur unter Einhaltung der DSGVO, insbesondere unter Nutzung geeigneter Garantien (z. B. EU-Standardvertragsklauseln) oder eines Angemessenheitsbeschlusses, sofern anwendbar.

4.11 Steuerberater

Steuerberater/Steuerkanzlei (insbesondere für Finanzbuchhaltung, steuerliche Beratung, Jahresabschluss und gesetzliche Meldungen), soweit hierfür die Übermittlung erforderlich ist.

5. Speicherdauer und Löschung

5.1 Bewerbungen/Honorarkräfte

  • Abgelehnte Bewerbungen: 6 Monate
  • Talentpool (Einwilligung): max. 24 Monate

5.2 Vertrags- und Abrechnungsdaten

  • Steuerlich relevante Unterlagen: 10 Jahre
  • Handelsbriefe: 6 Jahre

5.3 Kommunikation

Organisatorische Kommunikation: i. d. R. 3 Jahre (regelmäßige Verjährungsfrist), sofern keine längere Aufbewahrung zur Rechtsdurchsetzung erforderlich ist.

5.4 EFZ/Masern

Uploads werden nach Prüfung automatisiert gelöscht; gespeichert wird ausschließlich ein Ergebnis-/Prüfvermerk.

6. Betroffenenrechte

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO). Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

Anfragen bitte an: info@chancen-pilot.de

Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für uns ist regelmäßig der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW), Heilbronner Straße 35, 70191 Stuttgart.

7. Pflicht zur Bereitstellung von Daten

Die Bereitstellung bestimmter personenbezogener Daten ist für die Bearbeitung Ihrer Anfrage bzw. die Durchführung eines Vertrags erforderlich. Ohne erforderliche Angaben können wir Anfragen ggf. nicht bearbeiten bzw. Leistungen nicht erbringen.

8. Automatisierte Entscheidungsfindung / Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt.

9. Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen ein, u. a.: Zwei-Faktor-Authentifizierung, Rollen-/Rechtekonzept, Endgeräteverschlüsselung, sichere Cloudspeicherung, Schulungen, Passwort- und Berechtigungsmanagement.

10. Aktualität

Diese Datenschutzerklärung wird regelmäßig aktualisiert. Die jeweils aktuelle Fassung ist unter www.chancen-pilot.de/datenschutz abrufbar.