logoHestia

Datenschutzerklärung

Hinweise zur Verarbeitung personenbezogener Daten auf hestia-planner.com und in der SaaS-Anwendung Hestia Planner

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

3K STUDIOS UG (haftungsbeschränkt)

vertreten durch Maximilian Grabowski

E-Mail: contact@3k-studios.com

2. Datenschutzanfragen

Bei Fragen zum Datenschutz, zur Ausübung Ihrer Rechte als betroffene Person oder zum Abschluss eines Auftragsverarbeitungsvertrags wenden Sie sich bitte an:

E-Mail: contact@3k-studios.com

3. Besuch unserer Website

Beim Besuch unserer Website hestia-planner.com sendet der von Ihnen verwendete Browser automatisch Informationen an unseren Hosting-Anbieter. Diese werden temporär in einer Log-Datei gespeichert.

Folgende Informationen werden dabei erfasst:

  • IP-Adresse des anfragenden Endgeräts
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Datei
  • Referrer-URL (zuvor besuchte Seite)
  • Verwendeter Browser, Betriebssystem und ggf. Access-Provider

Die Verarbeitung erfolgt zur Sicherstellung eines reibungslosen Verbindungsaufbaus, zur Auswertung der Systemsicherheit und -stabilität sowie zu administrativen Zwecken auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO.

Logdateien werden spätestens nach 30 Tagen gelöscht oder anonymisiert.

4. Cookies und vergleichbare Technologien

Wir unterscheiden zwischen technisch notwendigen Cookies und Cookies/Speicher-Einträgen, die wir nur mit Ihrer ausdrücklichen Einwilligung setzen.

Technisch notwendige Cookies

Diese sind für den Betrieb der Website und der SaaS-Anwendung zwingend erforderlich. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG sowie Art. 6 Abs. 1 lit. b und f DSGVO.

NameZweckSpeicherdauer
sb-*Session-Cookie von Supabase zur Authentifizierung angemeldeter Nutzer:innenSitzungsdauer, automatisch erneuert
hestia_current_org_idSpeichert die zuletzt ausgewählte Organisation für den Wechsel zwischen mehreren Teams12 Monate
hestia_invite_tokenHttpOnly-Cookie zur Annahme einer Team-Einladung über einen per E-Mail versendeten Link24 Stunden
cookie_consentSpeichert Ihre Auswahl im Cookie-Banner (localStorage), damit der Banner nicht erneut erscheintBis zur Löschung durch Sie

Einwilligungspflichtige Analyse (PostHog) auf der Marketing-Website

Auf den öffentlichen Seiten unserer Website (hestia-planner.com außerhalb der eingeloggten Anwendung) laden wir das Analyse-Tool PostHog (siehe Ziffer 7) ausschließlich nach Ihrer aktiven Einwilligung über den Cookie-Banner. Erst nach Klick auf „Alle akzeptieren“ werden Analyse-Cookies und vergleichbare Identifier von PostHog gesetzt. Rechtsgrundlage: § 25 Abs. 1 TDDDG sowie Art. 6 Abs. 1 lit. a DSGVO.

Sie können Ihre Einwilligung jederzeit für die Zukunft widerrufen, indem Sie den Eintrag cookie_consent aus dem localStorage Ihres Browsers löschen und beim nächsten Besuch eine neue Auswahl treffen.

Produkt-Analyse in der eingeloggten SaaS-Anwendung

Innerhalb der eingeloggten SaaS-Anwendung verwenden wir PostHog zur pseudonymen Produkt-Analyse auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) sowie zur vertragsgemäßen Bereitstellung des Dienstes (Art. 6 Abs. 1 lit. b DSGVO). Sie können dieser Verarbeitung jederzeit widersprechen (siehe Ziffer 7).

5. Nutzerkonto und SaaS-Anwendung

Zur Nutzung der Anwendung Hestia Planner ist ein Nutzerkonto erforderlich. Bei der Registrierung verarbeiten wir folgende Daten:

  • Name
  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert) bzw. Authentifizierungsdaten Ihres OAuth-Anbieters (Google oder Microsoft) – wir erhalten dabei lediglich Name und E-Mail-Adresse
  • Berufsbezeichnung, Stadt und Startadresse zur Personalisierung der Routenplanung
  • Optional: zweiter Faktor (TOTP) zur Absicherung Ihres Kontos

Bei der Nutzung der Anwendung verarbeiten wir zusätzlich Inhalts- und Nutzungsdaten (z. B. angelegte Routen, Termine, Notizen, Organisationszugehörigkeit). Diese Verarbeitung erfolgt zur Erfüllung des Nutzungsvertrags gemäß Art. 6 Abs. 1 lit. b DSGVO.

6. Verarbeitung von Klient:innen-Daten (Auftragsverarbeitung)

Hestia Planner richtet sich an freiberuflich tätige Hebammen, Hebammenpraxen, ambulante Pflegekräfte und Pflegedienste sowie an weitere mobile Dienstleister:innen, deren Tätigkeit eine Routen- und Terminplanung zu Kund:innen oder Klient:innen erfordert. Die in der Anwendung erfassten Daten Ihrer Klient:innen bzw. Kund:innen werden ausschließlich in Ihrem Auftrag und nach Ihren Weisungen verarbeitet. Verantwortlicher für diese Daten im Sinne von Art. 4 Nr. 7 DSGVO sind Sie als Nutzer:in der Anwendung. 3K STUDIOS UG (haftungsbeschränkt) handelt insoweit als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

Im Rahmen der Auftragsverarbeitung werden insbesondere folgende Kategorien personenbezogener Daten verarbeitet:

  • Personenstammdaten: Vor- und Nachname, Anschrift, Telefonnummer, ggf. E-Mail-Adresse
  • Gesundheitsdaten (besondere Kategorie nach Art. 9 Abs. 1 DSGVO): Status der Betreuung („Schwanger“, „Wochenbett“, „Inaktiv“, „Archiviert“), errechneter Geburtstermin, Versicherungsart (gesetzlich/privat) sowie Krankenkasse
  • Bis zu drei benutzerdefinierte Felder (Custom Attributes), deren Inhalt von Ihnen als Verantwortliche:r festgelegt wird
  • Termine und Notizen zur Betreuung der jeweiligen Klient:innen
  • Geocodierte Adressdaten und daraus zusammengesetzte Routenverläufe

Da Sie als verantwortliche Stelle Daten Ihrer Klient:innen durch uns verarbeiten lassen, ist nach Art. 28 DSGVO der Abschluss eines Auftragsverarbeitungsvertrags (AVV) erforderlich. Der entsprechende Auftragsverarbeitungsvertrag ist als Anlage 1 Bestandteil unserer Nutzungsbedingungen und wird mit Vertragsschluss ohne gesonderte Unterzeichnung wirksam. Die Wahrung der zusätzlichen Anforderungen aus Art. 9 DSGVO an die Verarbeitung von Gesundheitsdaten obliegt Ihnen als Verantwortliche:r.

7. Eingesetzte Dienstleister

Zur Bereitstellung der Anwendung setzen wir die folgenden Dienstleister ein. Mit den als Auftragsverarbeiter tätigen Dienstleistern (Hetzner, Supabase, Resend, Mapbox, Upstash, PostHog) bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Stripe und Google sind hinsichtlich der von ihnen verarbeiteten Daten datenschutzrechtlich eigenständig Verantwortliche; insoweit gelten ergänzend deren eigene Datenschutzbestimmungen.

Hetzner Online GmbH (Hosting der Anwendung)

Industriestr. 25, 91710 Gunzenhausen, Deutschland. Auslieferung von Webseiten und Server-Funktionen aus dem Rechenzentrum Nürnberg, Deutschland. Im Rahmen des Hostings werden technische Verbindungsdaten (siehe Ziffer 3) verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.

Supabase Inc. (Datenbank und Authentifizierung)

970 Toa Payoh North, #07-04, Singapore 318992 (operativer Sitz); registriert in Delaware, USA. Speicherung sämtlicher Anwendungsdaten und Verwaltung der Nutzer-Authentifizierung. Datenverarbeitung in der EU-Region (Frankfurt, Deutschland) bei AWS. Ein Zugriff durch Mitarbeitende außerhalb der EU zu Support-Zwecken kann nicht ausgeschlossen werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; für etwaige Drittlandübermittlungen EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Stripe Payments Europe Ltd. (Zahlungsabwicklung)

1 Grand Canal Street Lower, Dublin 2, Irland. Abwicklung von Abonnements und Zahlungen. Übermittelt werden Name, E-Mail-Adresse, Rechnungs- und Zahlungsdaten. Stripe verarbeitet diese Daten als datenschutzrechtlich eigenständig Verantwortlicher nach eigenen Vorgaben (u. a. zur Erfüllung aufsichts- und geldwäscherechtlicher Pflichten); es gelten ergänzend die Datenschutzhinweise von Stripe. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Für etwaige Übermittlungen an die Konzernmutter Stripe, Inc. (USA) gelten EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Resend, Inc. (E-Mail-Versand)

2261 Market Street #5039, San Francisco, CA 94114, USA. Versand transaktionaler E-Mails (z. B. Bestätigungen, Einladungen, Passwort-Zurücksetzung, Hinweise zum Testzeitraum). Übermittelt werden Empfänger-E-Mail und Inhalt der jeweiligen E-Mail. Verarbeitung erfolgt in der EU-Region (Irland). Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO; für die Übermittlung an die US-amerikanische Gesellschaft EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Darüber hinaus versenden wir an registrierte Nutzer:innen produktbezogene Hinweis- und Lebenszyklus-E-Mails (z. B. Erinnerungen vor Ablauf der Testphase, Hinweise zu neuen Funktionen). Hierfür speichern wir Ihre E-Mail-Adresse und ausgewählte Status-Merkmale (z. B. Testphase, aktives Abonnement) als Kontakt bei Resend und ordnen Sie entsprechenden Empfängergruppen zu. Rechtsgrundlage ist unser berechtigtes Interesse an der Information unserer Bestandskund:innen über eigene, ähnliche Leistungen (Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 7 Abs. 3 UWG). Sie können diesen E-Mails jederzeit für die Zukunft widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen – entweder über den Abmeldelink am Ende jeder solchen E-Mail oder über die Einstellung „Marketing-E-Mails“ in Ihrem Konto („Einstellungen → Account“). Transaktionale und vertragsbezogene E-Mails bleiben hiervon unberührt.

Mapbox, Inc. (Karten)

1818 N Street NW, Suite 200, Washington, D.C. 20036, USA. Anzeige interaktiver Karten zur Routendarstellung. Beim Aufruf einer Karte werden IP-Adresse und Karten-Anfragen an Mapbox übermittelt. Mapbox ist unter dem EU-US Data Privacy Framework zertifiziert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO; Art. 45 Abs. 3 DSGVO (Angemessenheitsbeschluss EU-US DPF).

Google Maps Places API (Adress-Autovervollständigung)

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Vorschläge zur automatischen Vervollständigung von Adresseingaben. Bei jeder Eingabe werden der eingegebene Adresstext und die IP-Adresse an Google übermittelt. Google verarbeitet diese Daten hinsichtlich eigener Zwecke als datenschutzrechtlich eigenständig Verantwortlicher; es gelten ergänzend die Datenschutzhinweise von Google. Eine Verarbeitung in den USA durch Google LLC kann nicht ausgeschlossen werden; Google ist unter dem EU-US Data Privacy Framework zertifiziert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO; Art. 45 Abs. 3 DSGVO (Angemessenheitsbeschluss EU-US DPF).

Upstash, Inc. (Rate-Limiting / Missbrauchsschutz)

55 E 3rd Ave, San Mateo, CA 94401, USA. Wir nutzen Upstash (Serverless Redis), um die Häufigkeit sicherheitsrelevanter Anfragen zu begrenzen (Login-Versuche, OAuth-Initiierungen, Einladungs- und Zahlungsvorgänge sowie schreibende API-Aufrufe). Hierzu werden bei nicht-eingeloggten Anfragen die IP-Adresse, bei eingeloggten Anfragen die Nutzer-ID und jeweils ein Zeitstempel kurzzeitig gespeichert. Die Daten werden ausschließlich in der EU-Region (Frankfurt, Deutschland) verarbeitet und nach Ablauf des jeweiligen Zeitfensters (zwischen 60 Sekunden und 1 Stunde) automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit unserer Systeme, dem Schutz vor Brute-Force-Angriffen und dem ordnungsgemäßen Betrieb des Dienstes); für etwaige konzerninterne Übermittlungen an die US-Muttergesellschaft (z. B. Support-Zugriff) gelten EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

PostHog Inc. (Produkt-Analyse und Anwendungs-Logs)

2261 Market Street #4008, San Francisco, CA 94114, USA. Wir nutzen PostHog zu zwei Zwecken: erstens zur pseudonymen Analyse der Produktnutzung (z. B. aufgerufene Seiten, ausgeführte Aktionen, Geräte-/Browser-Informationen) und zweitens zur Erfassung technischer Anwendungs-Logs (Fehlermeldungen, Warnungen und Status-Ereignisse aus dem Server-Betrieb der Anwendung, einschließlich Ihrer Nutzer-ID zur Zuordnung des Vorgangs). Beides läuft über die EU-Instanz (eu.posthog.com) mit Servern in Frankfurt, Deutschland. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung sowie Sicherstellung des stabilen und fehlerfreien Betriebs); für die Übermittlung an die US-amerikanische Gesellschaft EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Widerspruchsrecht für die Produkt-Analyse: Sie können der Erfassung der Produkt-Nutzungsdaten jederzeit widersprechen, indem Sie in den Kontoeinstellungen unter „Einstellungen → Account“ die Option „Produkt-Analyse aktiv“ deaktivieren. Wir respektieren zudem den „Do-Not-Track“-Header Ihres Browsers. Die technischen Anwendungs-Logs sind hiervon ausgenommen, da sie für den sicheren und nachvollziehbaren Betrieb der Anwendung zwingend erforderlich sind.

8. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

  • Server-Logfiles: maximal 30 Tage
  • Nutzerkonto und Inhaltsdaten: bis zur Löschung des Kontos durch Sie oder bis zum Ablauf eines etwaigen Inaktivitätszeitraums
  • Rechnungs- und Zahlungsdaten: 10 Jahre gemäß § 147 AO und § 257 HGB
  • Pseudonyme Analyse-Daten in PostHog: maximal 180 Tage
  • Rate-Limit-Zähler (Upstash): zwischen 60 Sekunden und maximal 1 Stunde, danach automatische Löschung

9. Übermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) findet im Rahmen der in Ziffer 7 genannten Dienste statt. Wir stützen diese Übermittlungen auf folgende Garantien:

  • Mapbox, Inc. (USA) – Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 (EU-US Data Privacy Framework, Art. 45 Abs. 3 DSGVO). Mapbox ist unter dem DPF aktiv zertifiziert.
  • Google LLC (USA, soweit Anfragen an Google Maps Places API durch die US-Konzernmutter beantwortet werden) – EU-US Data Privacy Framework, Art. 45 Abs. 3 DSGVO.
  • Supabase Inc. (USA; Datenverarbeitung primär in der EU-Region Frankfurt, Support-Zugriff aus Drittländern möglich) – EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 der Kommission (Art. 46 Abs. 2 lit. c DSGVO).
  • Resend, Inc. (USA; Datenverarbeitung in der EU-Region) – EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
  • PostHog Inc. (USA; Datenverarbeitung in der EU-Region Frankfurt) – EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
  • Upstash, Inc. (USA; Datenverarbeitung in der EU-Region Frankfurt) – EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
  • Stripe Payments Europe Ltd. (Irland) – kein Drittland; für etwaige konzerninterne Übermittlungen an Stripe, Inc. (USA) gelten EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

10. Ihre Rechte

Sie haben jederzeit das Recht:

  • Auskunft über die zu Ihrer Person verarbeiteten Daten zu erhalten (Art. 15 DSGVO)
  • die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen (Art. 16 DSGVO)
  • die Löschung Ihrer Daten zu verlangen (Art. 17 DSGVO)
  • die Einschränkung der Verarbeitung zu verlangen (Art. 18 DSGVO)
  • Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder an einen anderen Verantwortlichen übermitteln zu lassen (Art. 20 DSGVO)
  • der Verarbeitung jederzeit zu widersprechen (Art. 21 DSGVO)
  • eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO)

Anfragen zur Ausübung dieser Rechte – insbesondere zur Datenauskunft und -portabilität – richten Sie bitte an contact@3k-studios.com. Wir bearbeiten Ihre Anfrage innerhalb der gesetzlichen Frist von einem Monat.

Die Löschung Ihres Kontos können Sie selbständig in den Kontoeinstellungen vornehmen. Bestehende Abonnements werden dabei automatisch gekündigt.

11. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO), insbesondere in dem Mitgliedstaat Ihres Aufenthaltsortes, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.

12. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen, um Ihre Daten gegen Manipulation, Verlust, Zerstörung und unberechtigten Zugriff zu schützen. Hierzu zählen insbesondere die TLS-verschlüsselte Übertragung aller Daten, eine zeilenbasierte Zugriffskontrolle (Row Level Security) auf Datenbankebene, regelmäßige Backups sowie die Möglichkeit zur Zwei-Faktor-Authentifizierung.

13. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung wurde zuletzt im Mai 2026 aktualisiert. Durch die Weiterentwicklung unserer Anwendung oder Änderungen gesetzlicher bzw. behördlicher Vorgaben kann eine Anpassung erforderlich werden. Die jeweils aktuelle Fassung ist unter hestia-planner.com/privacy-policy abrufbar.