KitzPilotAnmelden

Datenschutzerklärung

Stand: 23. Mai 2026

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Plattform im Sinne von Art. 4 Nr. 7 DSGVO ist:

Jonas Preising IT-Dienstleistungen
Zum Upland 11a
34519 Diemelsee
Deutschland
E-Mail: jpreising@preising-it.de

KitzPilot ist eine Multi-Tenant-Plattform: Jede Rettungsorganisation (Verein, Jagdgenossenschaft o.ä.) bildet einen eigenen Mandanten. Innerhalb eines Mandanten ist die jeweilige Organisation Verantwortlicher für die durch sie eingegebenen Daten ihrer Mitglieder und Bewirtschafter. Der Plattformbetreiber agiert insoweit als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für:

  • die Webanwendung unter der Domain der Instanz (z.B. app.kitzpilot.de)
  • die mobile App „KitzPilot" für iOS und Android
  • alle damit verbundenen APIs und Hintergrunddienste

3. Erhobene Daten und Verarbeitungszwecke

3.1 Konto- und Anmeldedaten

  • E-Mail-Adresse, Name, Passwort (ausschließlich als nicht umkehrbarer Hash gespeichert, niemals im Klartext)
  • Rolle innerhalb der Organisation (Org-Admin, Einsatzleiter, Pilot, Helfer)
  • optional: Daten zur Zwei-Faktor-Authentifizierung
  • Zeitstempel von Registrierung, letzter Anmeldung und Aktivität

Zweck: Identifikation, Zugriffskontrolle, Vertragserfüllung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.2 Anwendungsdaten

  • Bewirtschafter-Daten (Name, Anschrift, E-Mail, Telefon, IBAN für Abrechnung)
  • Feld-Daten (Bezeichnung, GPS-Polygon, Fläche, Zuordnung zu Bewirtschaftern)
  • Flug- und Einsatzdaten (Datum, Uhrzeit, Dauer, Fläche, beteiligte Personen)
  • Zeiteinträge (Flug, Bodensuche, Fahrt, Sonstiges)
  • Kitz-Fundorte (GPS-Koordinaten, Status, Foto-Anlagen sofern hochgeladen)
  • Abrechnungsdaten (Stunden, Flächen, Beträge)

Zweck: Koordination und Dokumentation von Kitzrettungseinsätzen, Abrechnung gegenüber Landwirten, Nachweisführung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO (Vertragserfüllung, berechtigte Interessen — Tierschutz, Vereinszwecke).

3.3 Standortdaten (nur Mobile App)

Die App fragt den Standortzugriff „Bei Verwendung der App"ab. GPS-Koordinaten werden ausschließlich genutzt, um:

  • nahegelegene Felder auf der Karte anzuzeigen
  • Kitz-Fundorte zu erfassen, wenn Sie diese aktiv markieren
  • die optionale Flugspur-Aufzeichnung anzubieten (sofern aktiviert)

Es findet kein permanentes Hintergrund-Tracking statt. Standortdaten verlassen das Gerät nur, wenn Sie aktiv einen Eintrag (Kitz-Pin, Einsatz) speichern.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über System-Berechtigungsdialog).

3.4 Server-Protokolle

Beim Aufruf der Webanwendung und API werden technische Daten automatisch in Server-Logs gespeichert: IP-Adresse, Zeitstempel, aufgerufener Endpunkt, HTTP-Methode, Statuscode, User-Agent.

Zweck: Betriebssicherheit, Fehleranalyse, Abwehr von Missbrauch (Schutz vor automatisierten Angriffen).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Betrieb).
Speicherdauer: max. 30 Tage, anschließend automatische Löschung.

3.5 Audit-Log

Sicherheitsrelevante Aktionen (Anmeldungen, Rollenänderungen, Datenexporte, Löschungen) werden in einem internen Audit-Log mit Benutzer-ID, Zeitstempel und Aktionstyp protokolliert.

Zweck: Nachvollziehbarkeit, Sicherheitsanalysen, DSGVO-Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).
Speicherdauer: 12 Monate.

4. Eingesetzte Dienste und externe Abhängigkeiten

KitzPilot greift für den Betrieb auf externe Dienstleister zurück. Mit allen externen Dienstleistern, die in unserem Auftrag personenbezogene Daten verarbeiten, besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

4.1 Hosting und Datenbank (Hetzner)

Die Plattform wird auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland gehostet (Rechenzentrumsstandort innerhalb Deutschlands). Datenschutzerklärung von Hetzner.

Die Datenbank sowie sämtliche Anwendungs- und Hintergrunddienste laufen auf dieser Infrastruktur. Beim Aufruf der Plattform wird Ihre IP-Adresse technisch bedingt an Hetzner übermittelt. Verbindungen erfolgen ausschließlich verschlüsselt (TLS).

Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

4.2 Karten-Dienste

Beim Anzeigen von Karten werden Kartenkacheln von externen Diensten geladen. Dabei wird Ihre IP-Adresse technisch bedingt an den jeweiligen Anbieter übermittelt. Zum Einsatz kommen:

  • Esri ArcGIS World Imagery (Satellitenbilder bei hoher Zoomstufe) — Esri Inc., 380 New York Street, Redlands, CA 92373, USA. Datenschutzerklärung von Esri. Übermittlung in die USA auf Grundlage des EU-US Data Privacy Framework (Art. 45 DSGVO) bzw. EU-Standardvertragsklauseln (Art. 46 DSGVO).
  • CARTO Basemaps (Übersichtskarte und Beschriftungen bei niedriger Zoomstufe) — CARTO Inc., 201 Moore Street, Brooklyn, NY 11206, USA. Datenschutzerklärung von CARTO. Übermittlung in die USA auf Grundlage des EU-US Data Privacy Framework.
  • OpenStreetMap (zugrunde liegende Kartendaten der Basemap) — OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge CB4 0WS, Vereinigtes Königreich. Datenschutzerklärung von OSM. Vereinigtes Königreich: Angemessenheitsbeschluss gemäß Art. 45 DSGVO vorhanden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionsfähigen Kartenanzeige für die Einsatzplanung im Feld).

4.3 E-Mail-Versand (Brevo)

Transaktions-E-Mails (Registrierungs-Bestätigung, Passwort-Reset, Einladungen, Abrechnungen) werden über den Transaktions-Mail-Dienst Brevo versendet. Anbieter: Brevo SAS, 7 rue de Madrid, 75008 Paris, Frankreich. Datenschutzerklärung von Brevo.

Übermittelt werden: Empfänger-E-Mail-Adresse, Absenderadresse, Betreff, Inhalt der E-Mail sowie technische Metadaten (Zustellstatus, IP-Adresse des Mailservers). Die Verarbeitung erfolgt ausschließlich auf Servern innerhalb der EU.

Mit Brevo besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässigem E-Mail-Versand).

4.4 App-Stores

Der Bezug der mobilen App erfolgt über den Apple App Store (Apple Distribution International Ltd., Irland) bzw. Google Play Store (Google Ireland Limited). Beim Herunterladen, Installieren, Aktualisieren und Bewerten der App werden Daten an den jeweiligen Store-Betreiber übermittelt. Diese Verarbeitung erfolgt eigenverantwortlich durch Apple bzw. Google; KitzPilot hat darauf keinen Einfluss.

4.5 Backups (optional)

Datenbank-Backups werden verschlüsselt erstellt. Sofern der Betreiber dies konfiguriert hat, werden Backups zusätzlich in einem Objektspeicher innerhalb der EU abgelegt.

4.6 Adress- und Ortssuche

Zur Unterstützung bei der Eingabe von Adressen (z.B. von Bewirtschaftern) und beim Suchen von Orten auf der Karte werden Ihre Sucheingaben an externe Suchdienste übermittelt. Dabei wird technisch bedingt auch Ihre IP-Adresse übertragen. Zum Einsatz kommen:

  • Photon (Adress-Autovervollständigung bei der Eingabe von Anschriften) — betrieben von der komoot GmbH, Deutschland. Datenschutzerklärung von komoot. Verarbeitung innerhalb der EU.
  • Nominatim (Ortssuche auf der Karte) — OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge CB4 0WS, Vereinigtes Königreich. Datenschutzerklärung von OSM. Vereinigtes Königreich: Angemessenheitsbeschluss gemäß Art. 45 DSGVO vorhanden.

Übermittelt werden ausschließlich die von Ihnen eingegebenen Suchbegriffe.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer komfortablen und korrekten Adress- und Ortserfassung).

5. Cookies und lokale Speicherung

KitzPilot verwendet ausschließlich technisch notwendige Cookies bzw. Speichermechanismen:

  • Session-Cookie zur Authentifizierung (Anmeldung). Es hat eine begrenzte Gültigkeit und wird mit der Abmeldung ungültig.
  • Lokaler Browser-Speicher für Anwendungseinstellungen (z.B. Darstellung, Sortierung von Listen)
  • Mobile App – geschützter Gerätespeicher für Anmelde-Informationen (verschlüsselt im Sicherheitsspeicher des Betriebssystems)
  • Mobile App – lokale Offline-Daten (Felder, Bewirtschafter, ausstehende Einträge); ausschließlich auf dem Gerät gespeichert, nicht in der Cloud

Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Beim ersten Aufruf weisen wir lediglich mit einem kurzen Hinweis auf die Verwendung technisch notwendiger Cookies hin; eine darüber hinausgehende Einwilligung ist hierfür nicht erforderlich.

6. Mandantentrennung

KitzPilot ist als Multi-Mandanten-System konzipiert. Daten unterschiedlicher Organisationen sind durch eine strikte Mandantentrennung voneinander isoliert. Die Zuordnung zur jeweiligen Organisation wird ausschließlich aus der gesicherten Anmeldung abgeleitet, niemals aus Eingaben der Nutzer. Zusätzlich greift eine mehrstufige Zugriffskontrolle auf Datenbankebene als Sicherheitsnetz. Ein organisationsübergreifender Datenzugriff ist ausgeschlossen.

7. Datenweitergabe an Dritte

Eine Weitergabe Ihrer Daten an Dritte erfolgt nur in den oben beschriebenen Auftragsverarbeitungs-Konstellationen sowie:

  • wenn Sie ausdrücklich eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO)
  • wenn dies zur Vertragserfüllung erforderlich ist (z.B. Übergabe einer Abrechnung an einen Bewirtschafter; Art. 6 Abs. 1 lit. b DSGVO)
  • wenn eine rechtliche Verpflichtung besteht (z.B. behördliche Anordnung, Art. 6 Abs. 1 lit. c DSGVO)

Ein Verkauf oder eine Weitergabe zu Werbezwecken findet niemals statt.

8. Speicherdauer

  • Konto-Daten: bis zur Kündigung des Kontos
  • Anwendungsdaten: für die Dauer der Mitgliedschaft in der Organisation; bei Ausscheiden werden Klarnamen entweder gelöscht oder pseudonymisiert (je nach Aufbewahrungspflicht der Abrechnungsunterlagen)
  • Abrechnungsbelege: 10 Jahre gemäß § 147 AO (Aufbewahrungspflicht)
  • Server-Logs: max. 30 Tage
  • Audit-Log: 12 Monate
  • Backups: Retention nach Konfiguration (Standard 7 Tage)

Nach Beendigung des Vertragsverhältnisses oder auf Verlangen werden Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

9. Datenübermittlung in Drittländer

Die Hauptverarbeitung findet innerhalb der EU statt. Übermittlungen in Drittländer erfolgen ausschließlich an die unter Ziffer 4 genannten Dienstleister und nur auf einer der folgenden Rechtsgrundlagen:

  • Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO; z.B. Schweiz, Vereinigtes Königreich)
  • EU-US Data Privacy Framework (für zertifizierte US-Anbieter)
  • EU-Standardvertragsklauseln (Art. 46 DSGVO)

10. Ihre Rechte

Ihnen stehen folgende Rechte gegenüber dem Verantwortlichen zu:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — über die eingebaute Export-Funktion erhalten Sie Ihre Daten in einem strukturierten, maschinenlesbaren Format
  • Widerspruchsrecht gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
  • Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO). Zuständig für den Verantwortlichen ist:
    Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
    Postfach 3163, 65021 Wiesbaden
    datenschutz.hessen.de

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an die im Impressum genannte Kontaktadresse.

11. Sicherheit

Wir treffen technische und organisatorische Maßnahmen, um Ihre Daten gegen Verlust, Manipulation und unbefugten Zugriff zu schützen. Dazu gehören insbesondere:

  • Verschlüsselte Datenübertragung (TLS)
  • Sichere, nicht umkehrbare Speicherung von Passwörtern nach Stand der Technik
  • Abgleich neuer Passwörter mit öffentlich bekannten Datenlecks, ohne dass das Passwort selbst übertragen wird
  • Optionale Zwei-Faktor-Authentifizierung
  • Anmelde-Sitzungen mit begrenzter Gültigkeit
  • Strikte Mandantentrennung mit zusätzlicher Absicherung auf Datenbankebene
  • Schutzmaßnahmen gegen automatisierte Angriffe (z.B. auf Anmeldung und Passwort-Zurücksetzung)
  • Protokollierung sicherheitsrelevanter Aktionen
  • Verschlüsselte Backups
  • Regelmäßige Sicherheits-Audits und Abhängigkeits-Prüfungen

12. Automatisierte Entscheidungsfindung

Eine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung an geänderte Rechtslagen oder bei Änderungen unseres Dienstes anzupassen. Die jeweils aktuelle Fassung ist über diese Seite abrufbar. Über wesentliche Änderungen informieren wir registrierte Nutzer per E-Mail.

Impressum · Zur Startseite