Datenschutzerklärung

Diese Datenschutzerklärung erläutert, wie Tomasz Zylka, Einzelunternehmer handelnd unter Tomasz Zylka Veinito.com ("wir", "uns", "unser"), der Betreiber von ClassKasa, Ihre personenbezogenen Daten erhebt, verwendet und schützt, wenn Sie unseren Dienst nutzen. Wir verpflichten uns, Ihre Privatsphäre gemäß der Datenschutz-Grundverordnung (DSGVO) und den geltenden Datenschutzgesetzen zu schützen.

Der für Ihre personenbezogenen Daten Verantwortliche ist: Tomasz Zylka, Einzelunternehmer handelnd unter Tomasz Zylka Veinito.com, Bierzycka 8, 51-179 Wroclaw, Polen. NIP: PL6452337008, REGON: 521704806. Bei datenschutzbezogenen Anfragen kontaktieren Sie uns bitte unter tomek@classkasa.com.

Wir haben keinen Datenschutzbeauftragten (DSB) bestellt, da wir hierzu gemäß Art. 37 DSGVO nicht verpflichtet sind. Für alle Datenschutzangelegenheiten kontaktieren Sie bitte: tomek@classkasa.com.

Wir erheben die folgenden personenbezogenen Daten, um unseren Dienst bereitzustellen und zu verbessern:

• E-Mail-Adresse (für die Authentifizierung über Magic Links)
• Ihr Name (wird den Klassenmitgliedern angezeigt)
• Familienname (wird innerhalb der Klassengruppen verwendet)
• E-Mail-Adressen der Eltern (von Kassenwarten für die Klassenverwaltung hinzugefügt)
• Bankverbindung (IBAN, von Kassenwarten für die Zahlungseinziehung eingegeben)
• Zahlungsstatus (ob eine Familie eine Sammlung bezahlt hat)
• Chat-Nachrichten (wenn Sie den KI-Chatbot nutzen, Ihre Nachrichten und die Antworten des Chatbots — 2 Tage gespeichert, danach dauerhaft gelöscht)
• Cookies (streng notwendig und funktional, siehe Abschnitt Cookies unten)

If you use the Bank Statement Reconciliation feature (available to Treasurer Premium subscribers), you may upload bank statement files (PDF or images) for automated transaction extraction. The following describes how we process this data:

• Hochgeladene Dokumente: Kontoauszugs-Dateien (PDF- oder Bildformat) mit Transaktionsdetails, Kontoinhabernamen, IBANs, Kontonummern, Verwendungszwecken und Beträgen.
• Extrahierte Transaktionsdaten: Verwendungszwecke, Beträge, Daten sowie Absender-/Empfängernamen, die aus dem hochgeladenen Dokument per KI-Analyse ausgelesen wurden.
• Kontoauszüge können personenbezogene Daten (PII) enthalten, darunter Absendernamen, IBANs, Kontonummern und Verwendungszwecke, die Personen betreffen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO — die Verarbeitung ist zur Erfüllung des Vertrags (deines Treasurer-Premium-Abos) erforderlich. Du startest jeden Scan selbst, indem du ein Dokument hochlädst und die extrahierten Ergebnisse ausdrücklich bestätigst, bevor Zahlungsdatensätze aktualisiert werden.

KI-Unterauftragsverarbeiter: Hochgeladene Dokumente werden zur Transaktionsextraktion mit dem Sprachmodell Claude an Anthropic, PBC (San Francisco, USA) über dessen API gesendet. Anthropic verarbeitet die Daten ausschließlich, um Ergebnisse an ClassKasa zurückzugeben, und nutzt API-Eingaben nicht, um eigene Modelle zu trainieren. Übertragungsgrundlage: Standardvertragsklauseln (SCC). Details im Abschnitt Unterauftragsverarbeiter.

Temporare Dateispeicherung: Hochgeladene Dateien werden während der Verarbeitung vorübergehend in Netlify Blobs (EU-Region) gespeichert. Originaldateien werden unmittelbar nach Abschluss der KI-Analyse gelöscht. ClassKasa behält keine Kopien deiner Kontoauszüge.

Datenspeicherung: Originaldateien werden unmittelbar nach der Verarbeitung gelöscht. Extrahierte Transaktions-Metadaten (Beschreibungen, Beträge, Daten, zugeordnete Zahlungseinträge) werden als Teil des Prüfpfads deiner Klasse für die Dauer der Sammlung aufbewahrt. Die Löschung extrahierter Daten kannst du unter tomek@classkasa.com anfordern.

Ihre Rechte: Du hast das Recht auf Auskunft, Berichtigung oder Löschung der per KI extrahierten Transaktionsdaten gemäß Art. 15–17 DSGVO. Außerdem kannst du der KI-Verarbeitung nach Art. 21 DSGVO widersprechen. Da der Kassenwart alle KI-Vorschläge vor der Aktualisierung von Einträgen ausdrücklich bestätigen muss, findet keine automatisierte Entscheidung im Sinne des Art. 22 DSGVO statt.

Wir verarbeiten Ihre Daten zu folgenden Zwecken: (a) Bereitstellung des ClassKasa-Dienstes, einschließlich Kontoverwaltung, Klassenmitgliedschaft und Sammlungsverfolgung — Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung); (b) Versand transaktionsbezogener E-Mails (Magic Links, Benachrichtigungen, Erinnerungen) — Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO; (c) Verarbeitung von KI-Chatbot-Anfragen — Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Bestandteil des Premium-Dienstes); (d) Serviceverbesserung, Sicherheit und Betrugsprävention — Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse); (e) Erfüllung gesetzlicher Pflichten (Steuerunterlagen, Rechnungen) — Rechtsgrundlage: Art. 6 Abs. 1 lit. c) DSGVO.

Wenn ein Kassenwart Ihre E-Mail-Adresse zu einer ClassKasa-Klasse hinzugefügt hat, werden Ihre Daten (E-Mail, Name, Zahlungsstatus) gemeinsam vom Kassenwart und ClassKasa verarbeitet. Sie wurden nicht direkt gefragt — der Kassenwart hat Ihre Daten bereitgestellt. Sie haben dieselben Rechte wie jeder Nutzer (Auskunft, Berichtigung, Löschung etc.). Um diese auszuüben, wenden Sie sich an den Kassenwart oder an ClassKasa unter tomek@classkasa.com. Ihre Daten werden ausschließlich für die Verwaltung der Klassenkasse verwendet und innerhalb von 30 Tagen nach Löschung des Kontos oder der Klasse gelöscht.

Wenn ein Kassenwart eine Klasse erstellt und Elterndaten eingibt, handeln ClassKasa und der Kassenwart als gemeinsam Verantwortliche. Der Kassenwart entscheidet, welche Eltern hinzugefügt werden und zu welchem Klassenzweck. ClassKasa stellt die technische Infrastruktur bereit und verarbeitet die Daten entsprechend. Eltern können ihre DSGVO-Rechte ausüben, indem sie sich an eine der beiden Parteien wenden. ClassKasa ist die Kontaktstelle für Betroffene: tomek@classkasa.com.

Wir speichern Ihre personenbezogenen Daten für die Dauer Ihres Kontos. Wenn Sie Ihr Konto löschen, werden wir Ihre personenbezogenen Daten innerhalb von 30 Tagen nach der Löschung entfernen, es sei denn, wir sind gesetzlich verpflichtet, bestimmte Aufzeichnungen aufzubewahren.

• Rechnungen und Steuerunterlagen werden für 5 Jahre nach Ende des Steuerjahres, in dem die Transaktion stattfand, aufbewahrt, wie vom polnischen Steuerrecht und dem Rechnungslegungsgesetz vorgeschrieben.
• Sicherheitsprotokolle (anonymisierte IP-Adressen, Anmeldezeitstempel) werden bis zu 90 Tage zur Betrugsprävention und zu Sicherheitszwecken aufbewahrt.
• KI-Chatbot-Nachrichten werden nach 2 Tagen automatisch gelöscht.

Wir nutzen die folgenden Drittanbieterdienste für den Betrieb von ClassKasa:

• Neon (Datenbank-Hosting, Frankfurt, Deutschland) — speichert Ihre Konto- und Klassendaten innerhalb der EU.
• Netlify (Anwendungs-Hosting, EU) — stellt die ClassKasa-Webanwendung aus EU-Rechenzentren bereit.
• Resend (E-Mail-Zustellung, USA mit EU-Verarbeitung) — versendet Magic-Link-E-Mails und Benachrichtigungen in unserem Auftrag. Übermittlungsgrundlage: EU-US-Datenschutzrahmen (DPF) oder Standardvertragsklauseln (SVK).
• Stripe, Inc. (Zahlungsabwicklung, USA/EU) — wickelt ClassKasa Premium-Abonnementzahlungen ab. Stripe ist unter dem EU-US-Datenschutzrahmen zertifiziert. ClassKasa teilt Ihre E-Mail-Adresse und Klassenkennung mit Stripe zur Erstellung einer Checkout-Sitzung. Stripes Datenschutzerklärung: https://stripe.com/privacy.
• Anthropic, PBC (KI-Chatbot, San Francisco, USA) — verarbeitet KI-Chatbot-Nachrichten mittels des Sprachmodells Claude. Wenn Sie den Chatbot nutzen, werden Ihre Nachrichten und der relevante Klassenkontext an die API von Anthropic gesendet. Anthropic verwendet Ihre Daten nicht zum Trainieren seiner Modelle. Übermittlungsgrundlage: Standardvertragsklauseln (SVK).

Gemäß der DSGVO haben Sie die folgenden Rechte bezüglich Ihrer personenbezogenen Daten:

• Recht auf Auskunft — eine Kopie Ihrer personenbezogenen Daten anfordern.
• Recht auf Berichtigung — unrichtige oder unvollständige Daten korrigieren.
• Recht auf Löschung — Löschung Ihrer personenbezogenen Daten verlangen.
• Recht auf Datenübertragbarkeit — Ihre Daten in einem maschinenlesbaren Format erhalten.
• Recht auf Einschränkung — eingeschränkte Verarbeitung Ihrer Daten verlangen.
• Recht auf Widerspruch — der auf berechtigtem Interesse beruhenden Verarbeitung widersprechen.
• Recht auf Widerruf der Einwilligung — die Einwilligung jederzeit widerrufen, wenn die Verarbeitung auf einer Einwilligung beruht.
• Recht auf Beschwerde — eine Beschwerde bei Ihrer zuständigen Datenschutzbehörde einreichen (siehe Abschnitt Aufsichtsbehörde).

Um eines Ihrer Rechte auszuüben, senden Sie eine E-Mail an tomek@classkasa.com mit dem Betreff „DSGVO-Anfrage“. Bitte geben Sie Ihre registrierte E-Mail-Adresse an, damit wir Ihre Identität überprüfen können. Wir werden innerhalb eines Monats nach Erhalt Ihrer Anfrage antworten, wie in Art. 12 Abs. 3 DSGVO vorgeschrieben. Bei komplexen Anfragen können wir diese Frist um zwei weitere Monate verlängern und werden Sie über die Verlängerung informieren.

Die federführende Aufsichtsbehörde für ClassKasa ist der Präsident des Amtes für den Schutz personenbezogener Daten (PUODO), ul. Stawki 2, 00-193 Warschau, Polen (https://uodo.gov.pl). Ungeachtet Ihres Standorts haben Sie das Recht, eine Beschwerde bei der Aufsichtsbehörde in dem EU-/EWR-Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes einzureichen (Art. 77 DSGVO).

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die ein Risiko für Ihre Rechte darstellt, werden wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen (Art. 33 DSGVO). Wenn die Verletzung voraussichtlich ein hohes Risiko für Sie darstellt, werden wir Sie auch unverzüglich direkt benachrichtigen (Art. 34 DSGVO).

ClassKasa ist für erwachsene Nutzer (18+) konzipiert. Wenn ein Kassenwart den Namen eines Kindes im Rahmen einer Klassenliste eingibt (z. B. „Klasse 3b — Leo K.“), werden diese Daten unter der oben beschriebenen gemeinsamen Verantwortlichkeit verarbeitet. ClassKasa erhebt wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Wenn Sie glauben, dass Daten eines Minderjährigen ohne entsprechende Einwilligung verarbeitet wurden, kontaktieren Sie uns unter tomek@classkasa.com.

ClassKasa verwendet eine minimale Anzahl von Cookies, die alle für das Funktionieren des Dienstes unerlässlich sind:

• ck_token — Streng notwendig. Enthält Ihre verschlüsselte Authentifizierungssitzung. Verfällt beim Abmelden.
• ck_logged_in — Funktional. Ein nicht-sensibler Indikator, ob Sie angemeldet sind, der für die Anzeige der Benutzeroberfläche verwendet wird.
• ck_locale — Funktional. Speichert Ihre bevorzugte Sprache für ein einheitliches Erlebnis bei jedem Besuch.

Ihre Daten werden hauptsächlich innerhalb der Europäischen Union gespeichert und verarbeitet (Neon-Datenbank in Frankfurt, Netlify-Hosting in der EU). Bestimmte Auftragsverarbeiter (Resend, Stripe, Anthropic) können Daten in den Vereinigten Staaten verarbeiten. Diese Übermittlungen sind durch den EU-US-Datenschutzrahmen (DPF) geschützt, sofern der Anbieter zertifiziert ist, oder durch von der Europäischen Kommission genehmigte Standardvertragsklauseln (SVK). Einzelheiten finden Sie im Abschnitt Auftragsverarbeiter oben.

Bei datenschutzbezogenen Fragen oder zur Ausübung Ihrer Rechte kontaktieren Sie uns unter tomek@classkasa.com.

Wenn du auf „Alles akzeptieren" klickst, teilt ClassKasa ein paar Signale mit Meta (Facebook + Instagram), damit sie aufhören, dir Werbung für Sachen zu zeigen, die du nie willst, und stattdessen unsere App Eltern wie dir zeigen.

Was wir teilen

Gehashte E-Mail und IP, Browsertyp, die Seite auf der du gelandet bist, und die Namen von App-Ereignissen (Registrierung, Klasse erstellt, Zahlung). Die rohe E-Mail verlässt nie deinen Browser — wir hashen sie vorher mit SHA-256.

Du kannst es jederzeit auf unserer ändern.