Kostenlos beraten

Datenschutzerklärung der ChancenPilot GmbH

Stand: 16. Februar 2026

1. Verantwortlicher

ChancenPilot GmbH
Industriestraße 50b
69190 Walldorf
Telefon: +49 6227 8991530
E-Mail: info@chancen-pilot.de

2. Datenschutzbeauftragte/r

Dr. Sebastian Kraska
IITR Datenschutz GmbH
Marienplatz 2, 80331 München
E-Mail: email@iitr.de
Telefon: +49 89 18917360

3. Zwecke und Rechtsgrundlagen der Verarbeitung

3.1 Website-Betrieb, IT-Sicherheit und Server-Logs

Zwecke: Bereitstellung der Website, Funktionsfähigkeit, Fehleranalyse, Abwehr von Angriffen/IT-Sicherheit.

Daten: IP-Adresse, Datum/Uhrzeit, aufgerufene Seiten, Browser-/Device-Informationen, Referrer-URL, ggf. Fehlercodes.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und stabilem Betrieb).

3.2 Kontaktanfragen (E-Mail, Telefon, Formulare)

Zwecke: Bearbeitung von Anfragen, Erstberatung, Rückfragen, Terminabstimmung, Dokumentation der Kommunikation.

Daten: Name, Kontaktdaten, Anfrageinhalt, Kommunikationsdaten.

Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen/Vertragsanbahnung)
  • Art. 6 Abs. 1 lit. f DSGVO (Kommunikation/Organisation)

3.3 Leistungserbringung – Schule als Kunde (grundsätzlich keine Schüler-Personendaten)

Wenn eine Schule unser Vertragspartner ist, verarbeiten wir grundsätzlich keine personenbezogenen Daten von Schüler:innen.

Daten: organisatorische Schuldaten (z. B. Räume/Klassenräume, Termine), aggregierte Angaben (z. B. Anzahl Schüler:innen), Inhalte/Bedarfe, dienstliche Kontaktdaten von Lehrkräften/Ansprechpersonen (Name, Funktion, dienstliche E-Mail/Telefon), Kommunikationsinhalte.

Zwecke: Vertragsdurchführung, Organisation, Termin-/Einsatzplanung, Qualitätssicherung, Kommunikation.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.

Datensparsamkeit: Falls im Einzelfall irrtümlich Schüler-Personendaten übermittelt werden, verarbeiten wir diese nicht inhaltlich und löschen/anonymisieren sie, sobald dies möglich ist und keine Aufbewahrungspflichten entgegenstehen.

3.4 Leistungserbringung – Privatkund:innen (Eltern/Zahlungspflichtige als Kunde; Verarbeitung von Schülerdaten)

Wenn Eltern/Erziehungsberechtigte oder sonstige Zahlungspflichtige unser Vertragspartner sind, verarbeiten wir personenbezogene Daten der Zahlungspflichtigen sowie – soweit erforderlich – der Schüler:innen (häufig Minderjährige).

Erhebung: über das Registrierungsformular auf der Website sowie im Verlauf der Kommunikation/Organisation.

Daten (typisch):

  • Zahlungspflichtige/Eltern: Name, Kontaktdaten, ggf. Anschrift, Vertrags- und Abrechnungsdaten, Bankdaten (z. B. IBAN/Kontoinhaber:in), Kommunikationsinhalte
  • Schüler:innen: Name, Geburtsdatum, Klasse/Jahrgang, Schule, Fach/Bedarf, Termin-/Organisationsdaten, Kommunikationsinhalte
  • pädagogische Notizen/Lernstandsnotizen (soweit zur Durchführung/Qualität erforderlich; Speicherung zentral über SmartDirex)

Zwecke: Vertragsdurchführung, Organisation/Terminierung, Durchführung der Nachhilfe, Kommunikation, Abrechnung, Nachweisführung/Qualitätssicherung.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. c DSGVO (steuer-/handelsrechtliche Pflichten); Art. 6 Abs. 1 lit. f DSGVO (Organisation, Qualität, Rechtsverteidigung).

Dritter Zahlungspflichtiger: Sofern eine dritte Person die Zahlung übernimmt, verarbeiten wir deren Daten nur, soweit dies für die Zahlungsabwicklung/Vertragsdurchführung erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO). Soweit wir Daten nicht direkt bei der betroffenen Person erheben, informieren wir nach Maßgabe von Art. 14 DSGVO, sofern keine Ausnahme greift.

3.5 Kommunikation (E-Mail, Telefon, WhatsApp)

E-Mail/Telefon: Organisation und Durchführung; Rechtsgrundlagen Art. 6 Abs. 1 lit. b und/oder lit. f DSGVO.

WhatsApp Business (App auf dem Geschäftshandy):

  • Zweck: organisatorische Kommunikation mit Honorarkräften sowie – im Privatkundensetting – Kommunikation mit Eltern/Schüler:innen.
  • Rechtsgrundlagen: je nach Einzelfall Art. 6 Abs. 1 lit. b DSGVO (Kommunikation zur Vertragserfüllung) und/oder Art. 6 Abs. 1 lit. a DSGVO (freiwillige Nutzung eines zusätzlichen Kanals).
  • Adressbuch/Datensparsamkeit: Auf den Geschäftshandys sind ausschließlich die für die Leistungserbringung notwendigen Kontakte gespeichert; keine sonstigen Kontakte.

Hinweis: WhatsApp stellt für Business-Kontexte „Data Processing Terms" bereit, die (soweit anwendbar) eine Verarbeitung als Auftragsverarbeiter regeln; die Nutzung bleibt datenschutzrechtlich sensibel, u. a. wegen Metadaten/Endgeräte-Aspekten.

3.6 Bewerbungen und Onboarding von Honorarkräften (Selbständige)

Daten: Name, Kontaktdaten, Lebenslauf/Qualifikationsnachweise, Motivationsangaben, ggf. Immatrikulationsbescheinigung, Bankdaten (für spätere Abrechnung), Bewerbungsstatus/Notizen (z. B. in HubSpot).

Zwecke: Auswahl, Beauftragung, Vertragsabwicklung/Onboarding.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. f DSGVO (Dokumentation/Qualität/Schutz vor Rechtsansprüchen); nach Beauftragung Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten).

Talentpool: nur mit Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

3.7 Masernschutz und erweitertes Führungszeugnis (Upload → Sichtprüfung → automatisierte Löschung)

Masernschutz (Upload über Firebase): Upload eines Fotos/Abbilds ausschließlich zur Sichtprüfung; automatisierte Löschung nach Prüfung; gespeichert wird nur ein Prüfvermerk (z. B. „geprüft am …/i. O."). Soweit anwendbar erfolgt die Verarbeitung im Zusammenhang mit Pflichten aus § 20 IfSG.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b/c DSGVO; bei Gesundheitsdaten Art. 9 Abs. 2 DSGVO im zulässigen Rahmen (insb. öffentliche Gesundheit/gesetzliche Pflichten).

Erweitertes Führungszeugnis (Upload über PandaDoc): Upload eines Fotos/Abbilds ausschließlich zur Sichtprüfung; automatisierte Löschung nach Einsichtnahme; gespeichert wird nur ein Ergebnisvermerk, keine Kopie. PandaDoc stellt eine Data Processing Agreement (DPA) bereit.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b/c/f DSGVO; Art. 10 DSGVO nur im gesetzlich zulässigen Rahmen.

3.8 Vertrags- und Abrechnungsabwicklung (inkl. SEPA/Überweisung)

Zwecke: Vertragsverwaltung, Leistungserfassung, Abrechnung, Buchhaltung, Zahlungsverkehr (Überweisung/SEPA).

Daten: Stamm-/Vertragsdaten, Leistungs- und Abrechnungsdaten, Bankdaten (IBAN/Kontoinhaber:in), ggf. Umsatz-/Steuerdaten.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. c DSGVO (Aufbewahrungspflichten).

3.9 Marketing, Tracking, Reichweitenmessung (nur nach Einwilligung)

Nicht technisch notwendige Dienste werden erst nach Einwilligung über Cookiebot aktiviert (u. a. Meta Pixel/Lead Ads, Instagram Plugins, YouTube, Google Analytics, Google Maps, Google reCAPTCHA, Adobe Fonts, ImageKit).

Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG (Einwilligung).

Newsletter: Derzeit nicht aktiv. Bei Einführung erfolgt Versand (Double-Opt-In) mit separaten Informationen zu Versanddienst/Tracking.

3.10 Leistungserbringung – Schulbegleitung (Klient:innen, Sorgeberechtigte, Mitarbeitende)

Geltungsbereich: Dieser Abschnitt betrifft die Verarbeitung personenbezogener Daten im Geschäftsbereich Schulbegleitung (inkl. Einsatzplanung, Durchführung, Dokumentation, Kommunikation, Zeiterfassung und Abrechnung). Klient:innen sind häufig Minderjährige.

Betroffenengruppen:

  • Klient:innen (Kinder/Jugendliche),
  • Personensorgeberechtigte / Erziehungsberechtigte,
  • Ansprechpartner in Schule (z. B. Klassenleitung, Schulleitung, Inklusions-/Förderkoordination),
  • Ansprechpartner beim Kostenträger (z. B. Jugendamt),
  • Schulbegleiter:innen und interne Mitarbeitende.

Datenkategorien (typisch):

  • Stammdaten: Name, Kontaktdaten (Sorgeberechtigte), Schule/Klasse, zuständige Stellen/Ansprechpartner.
  • Leistungs-/Einsatzdaten: Bewilligungsumfang, Einsatzzeiten, Anwesenheiten, Vertretungen, Einsatzort, organisatorische Absprachen.
  • Dokumentations-/Verlaufsdaten: Beobachtungen im Schulalltag, Förder-/Unterstützungsziele, Verlauf, Zwischenstände, Ereignisdokumentation (soweit erforderlich).
  • Abrechnungs- und Nachweisdaten: Zeitnachweise, Abrechnungsdaten, Kostenträgerdaten, Rechnungsdaten.
  • Kommunikationsdaten: Inhalte aus E-Mail/Telefon/sonstigen Kommunikationswegen im Rahmen der Maßnahme.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) – medizinische/gesundheitsbezogene Daten:

Im Rahmen der Schulbegleitung können im Einzelfall Gesundheitsdaten betroffen sein (z. B. Diagnosen/Gutachten, Angaben zu Beeinträchtigungen und Unterstützungsbedarfen, Empfehlungen von Fachstellen, besondere Hinweise für Krisen-/Notfallsituationen), soweit dies für die Durchführung/Koordination der Maßnahme erforderlich ist.

Zwecke:

  • Anbahnung, Einrichtung und Durchführung der Schulbegleitung,
  • Koordination mit Sorgeberechtigten, Schule und Kostenträgern (z. B. Hilfeplan-/Fortschreibungsprozesse),
  • Einsatzplanung/Vertretungsmanagement,
  • Dokumentation und Nachweisführung,
  • Zeiterfassung und Abrechnung gegenüber Kostenträgern bzw. im Rahmen vertraglicher Regelungen,
  • Qualitätssicherung, fachliche Begleitung und interne Fallbesprechungen (im erforderlichen Umfang),
  • Erfüllung gesetzlicher Pflichten (z. B. Aufbewahrung, Nachweise) sowie Rechtsdurchsetzung/-verteidigung.

Rechtsgrundlagen (Art. 6 DSGVO):

  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag/vertragsähnliche Durchführung; Organisation, Einsatz, Abrechnung),
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen, insb. Aufbewahrung/Nachweise, Abrechnung/Buchhaltung),
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen, z. B. Organisation, Qualitätssicherung, IT-Sicherheit, Rechtsverteidigung), jeweils unter Beachtung überwiegender Interessen der Betroffenen.

Rechtsgrundlagen für Gesundheitsdaten (Art. 9 DSGVO):

Soweit Gesundheitsdaten verarbeitet werden, erfolgt dies auf Grundlage von Art. 9 Abs. 2 DSGVO in Verbindung mit den jeweils anwendbaren nationalen Vorschriften (insbesondere zur Erbringung sozialer Unterstützungsleistungen, zur Dokumentation und zur Wahrnehmung von Schutzaufgaben).

Soweit für einzelne Verarbeitungen/Übermittlungen eine Einwilligung erforderlich ist (z. B. Austausch mit externen Therapeut:innen außerhalb des erforderlichen Maßnahmebezugs, freiwillige Zusatzangaben), erfolgt dies auf Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung); die Einwilligung ist jederzeit mit Wirkung für die Zukunft widerrufbar.

Empfänger / Weitergabe (typisch):

  • Sorgeberechtigte,
  • Schule (soweit zur Durchführung/Koordination erforderlich),
  • Kostenträger (z. B. Jugendamt) für Bewilligungs-/Abrechnungs- und erforderliche Nachweise,
  • interne Schulbegleiter:innen und zuständige Fach-/Leitungskräfte (Need-to-know),
  • IT-Dienstleister als Auftragsverarbeiter (siehe Ziff. 4),
  • Behörden/Gerichte, sofern gesetzlich erforderlich.

Besondere Schutzanforderung: Gesundheitsdaten werden nur in dem Umfang verarbeitet/übermittelt, wie dies zur Durchführung/Koordination erforderlich ist oder eine gesetzliche Grundlage bzw. Einwilligung vorliegt.

4. Empfänger, Auftragsverarbeiter und eingesetzte Dienste

Wir setzen Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten (Auftragsverarbeiter, Art. 28 DSGVO). Zudem können Empfänger (z. B. Banken, Behörden, Steuerberatung) Daten als eigene Verantwortliche erhalten, soweit erforderlich.

4.1 Microsoft 365 (E-Mail, SharePoint/OneDrive, Teams)

Zweck: Kommunikation, Dateiablage, Kollaboration, Videokonferenzen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO.

Hinweis: Keine Aufzeichnung; keine Transkription mit Externen.

4.2 HubSpot (CRM, Formulare, Terminbuchung, Bewerbungsmanagement)

Zweck: Kontaktverwaltung, Formulare, Terminbuchung, Kommunikation/Bewerbungsprozess.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO; Marketing/Tracking nur mit Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

4.3 Firebase (Hosting/Performance; Masern-Uploadbereich)

Zweck: technische Bereitstellung und geschützter Uploadbereich für Masern-Sichtprüfung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Betrieb); ergänzend Art. 6 Abs. 1 lit. b/c DSGVO; bei Gesundheitsdaten Art. 9 DSGVO (siehe Ziff. 3.7).

4.4 Cookiebot (Consent-Management)

Zweck: Einholung, Verwaltung und Protokollierung von Einwilligungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Nachweis-/Compliance-Pflichten) und Art. 6 Abs. 1 lit. f DSGVO (Dokumentationsinteresse); Einwilligung nach § 25 TDDDG für Endgerätezugriff.

4.5 SmartDirex (Kernsystem: Verwaltung, Abrechnung, pädagogische Notizen)

Sitz/Hosting: Deutschland.

Zweck: Verarbeitung von Personenstammdaten, Abrechnung, pädagogischer Dokumentation.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b/c DSGVO; ggf. Art. 6 Abs. 1 lit. f DSGVO.

Auftragsverarbeitung: Es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

4.6 PandaDoc (EFZ-Upload/Sichtprüfung)

Zweck: geschützter Uploadprozess und Sichtprüfung EFZ; automatisierte Löschung nach Prüfung.

DPA: vorhanden.

4.7 WhatsApp Business

Zweck/Details: siehe Ziff. 3.5; Data Processing Terms sind verfügbar (soweit anwendbar).

4.8 Trello / Google Sheets (falls eingesetzt)

Zweck: interne Organisation/Listenführung mit minimalen personenbezogenen Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

4.9 Social-Media-Präsenzen

Wir betreiben Profile auf Instagram und Facebook. Beim Besuch gelten die Datenschutzbestimmungen der jeweiligen Anbieter.

4.10 Drittlandübermittlungen

Soweit einzelne Dienstleister Daten außerhalb des EWR verarbeiten, erfolgt dies nur unter Einhaltung der DSGVO, insbesondere unter Nutzung geeigneter Garantien (z. B. EU-Standardvertragsklauseln) oder eines Angemessenheitsbeschlusses, sofern anwendbar.

4.11 Kilanka

Verarbeitung von Personenstammdaten (Klient:innen/Sorgeberechtigte/Mitarbeitende) im Geschäftsbereich Schulbegleitung, Einsatz- und Leistungsdaten, Zeiterfassung, Abrechnung/Nachweise, fallbezogene Dokumentation im Rahmen der Schulbegleitung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b/c DSGVO; soweit erforderlich Art. 6 Abs. 1 lit. f DSGVO. Bei Gesundheitsdaten zusätzlich Art. 9 Abs. 2 DSGVO im zulässigen Rahmen (siehe Ziff. 3.10).

Auftragsverarbeitung: Soweit der Anbieter personenbezogene Daten in unserem Auftrag verarbeitet (Hosting/Support), besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Zugriffsschutz: Rollen-/Rechtekonzept und Need-to-know-Prinzip

4.12 Steuerberater

Steuerberater/Steuerkanzlei (insbesondere für Finanzbuchhaltung, steuerliche Beratung, Jahresabschluss und gesetzliche Meldungen), soweit hierfür die Übermittlung erforderlich ist.

5. Speicherdauer und Löschung

5.1 Bewerbungen/Honorarkräfte

  • Abgelehnte Bewerbungen: 6 Monate
  • Talentpool (Einwilligung): max. 24 Monate

5.2 Vertrags- und Abrechnungsdaten

  • Steuerlich relevante Unterlagen: 10 Jahre
  • Handelsbriefe: 6 Jahre

5.3 Kommunikation

Organisatorische Kommunikation: i. d. R. 3 Jahre (regelmäßige Verjährungsfrist), sofern keine längere Aufbewahrung zur Rechtsdurchsetzung erforderlich ist.

5.4 EFZ/Masern

Uploads werden nach Prüfung automatisiert gelöscht; gespeichert wird ausschließlich ein Ergebnis-/Prüfvermerk.

5.5 Schulbegleitung (Kilanka / Nachweise / Dokumentation)

  • Zeit- und Abrechnungsnachweise (Kilanka): Zeitnachweise, Abrechnungen, Rechnungen und sonstige buchhaltungsrelevante Unterlagen werden entsprechend den unter Ziff. 5.2 genannten Aufbewahrungsfristen gespeichert.
  • Fall-/Verlaufsdokumentation: Dokumentationsdaten aus der Schulbegleitung speichern wir grundsätzlich für die Dauer der Maßnahme und darüber hinaus nur, soweit dies zur Nachweisführung, Qualitätssicherung, Rechtsdurchsetzung/-verteidigung oder aufgrund gesetzlicher Pflichten erforderlich ist. Danach werden die Daten gelöscht oder anonymisiert, sofern keine Aufbewahrungspflichten entgegenstehen.

6. Betroffenenrechte

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO). Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

In Einzelfällen können gesetzliche Pflichten und überwiegende Schutzinteressen (insbesondere des Kindes/Jugendlichen) dazu führen, dass Betroffenenrechte nach Maßgabe der DSGVO und einschlägiger nationaler Vorschriften eingeschränkt ausübbar sind (z. B. wenn eine Löschung gesetzlichen Aufbewahrungspflichten entgegensteht).

Anfragen bitte an: info@chancen-pilot.de

Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für uns ist regelmäßig der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW), Heilbronner Straße 35, 70191 Stuttgart.

7. Pflicht zur Bereitstellung von Daten

Die Bereitstellung bestimmter personenbezogener Daten ist für die Bearbeitung Ihrer Anfrage bzw. die Durchführung eines Vertrags erforderlich. Ohne erforderliche Angaben können wir Anfragen ggf. nicht bearbeiten bzw. Leistungen nicht erbringen.

Ohne bestimmte Basisangaben (insbesondere Identifikations-, Kontakt- sowie Bewilligungs-/Einsatzdaten) ist die Durchführung, Koordination und Abrechnung der Schulbegleitung regelmäßig nicht möglich.

8. Automatisierte Entscheidungsfindung / Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt.

9. Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen ein, u. a.: Zwei-Faktor-Authentifizierung, Rollen-/Rechtekonzept, Endgeräteverschlüsselung, sichere Cloudspeicherung, Schulungen, Passwort- und Berechtigungsmanagement. Für Daten aus der Schulbegleitung (insbesondere bei möglichen Gesundheitsdaten) gelten verstärkte organisatorische Vorgaben (Need-to-know, restriktive Freigaben/Teilen, dokumentierte Berechtigungen, minimierte Datenweitergabe und zweckgebundene Dokumentation).

10. Aktualität

Diese Datenschutzerklärung wird regelmäßig aktualisiert. Die jeweils aktuelle Fassung ist unter www.chancen-pilot.de/datenschutz abrufbar.