Datenschutzerklärung
Stand: Mai 2026
1. Verantwortliche
Für die Verarbeitung personenbezogener Daten auf dieser Plattform sind gemeinsam verantwortlich im Sinne von Art. 26 DSGVO:
Plattformbetreiber
Esel und Wolf GrafikwerkstattVertreten durch: Sebastian Sehr
Lilienweg 38
40822 Mettmann
E-Mail: info@firmzeit.de
Jeweilige Pfarrei
Für die im Rahmen der Firmvorbereitung erhobenen Daten ist zusätzlich die jeweilige Pfarrei (z. B. Kath. Kirchengemeinde St. Lambertus Mettmann) als gemeinsam Verantwortliche tätig. Die Kontaktdaten der Pfarrei sind auf der Gemeinde-Seite der Plattform angegeben.
Hinweis: Katholische Pfarreien in Deutschland unterliegen als kirchliche Stellen nicht der DSGVO, sondern dem Kirchlichen Datenschutzgesetz (KDG) des Verbandes der Diözesen Deutschlands. Das KDG orientiert sich inhaltlich an der DSGVO und gewährt gleichwertige Betroffenenrechte. Ansprechpartner für datenschutzrechtliche Anliegen gegenüber der Pfarrei ist der jeweilige Pfarrdatenschutzbeauftragte des Bistums.
2. Welche Daten wir erheben
Wir verarbeiten folgende personenbezogene Daten. Bitte beachte: Da die Firmvorbereitung eine religiöse Aktivität ist, können die von dir angegebenen Daten mittelbar deine Religionszugehörigkeit offenbaren. Solche Daten gelten gemäß Art. 9 DSGVO als besondere Kategorie personenbezogener Daten (siehe Abschnitt 3).
- Bei der RegistrierungVorname, Nachname, E-Mail-Adresse, Telefonnummer, Passwort (verschlüsselt gespeichert), Straße, Wohnort, Geburtsdatum, Geburtsort, Taufdatum, Taufkirche, Taufort
- ElterndatenName, Geburtsname, Telefon, E-Mail und ggf. Adresse beider Elternteile sowie Angabe zur Sorgeberechtigung — nur für Minderjährige im Rahmen der gesetzlichen Anforderungen an die Einwilligung der Erziehungsberechtigten
- Bei der Wochenend-Anmeldung (freiwillig)Einwilligung zur Nutzung von Fotos und Videos in kirchlichen Medien (freiwillig, separat abgefragt, kann jederzeit im Portal widerrufen werden)
- Hochgeladene DokumenteTaufurkunde, Lichtbild, Elterneinverständnis, Firmpaten-Anmeldung — nur wenn du sie selbst hochlädst
- Verfügbare WochentageFalls deine Pfarrei Kleingruppen anbietet, fragen wir dich bei der Anmeldung nach deiner Wochentag-Verfügbarkeit für Gruppentreffen (freiwillig)
- Technische VerbindungsdatenIP-Adresse und Zugriffszeiten werden von unseren Hosting-Diensten kurzzeitig in Logs gespeichert. Zusätzlich wird deine IP-Adresse vorübergehend gespeichert, um automatisierte Angriffe auf Login, Passwort-Reset, Registrierung und E-Mail-Verfügbarkeitsprüfung zu verhindern (Rate Limiting). Die Speicherung erfolgt in Upstash Redis mit einer maximalen Gültigkeitsdauer von 1 Stunde, danach werden die Einträge automatisch gelöscht.
3. Zweck und Rechtsgrundlage
Da diese Plattform von kirchlichen Pfarreien betrieben wird, gilt das Kirchliche Datenschutzgesetz (KDG). Die nachfolgenden DSGVO-Artikel sind als inhaltlich gleichwertige KDG-Parallelvorschriften zu verstehen (§ 9 KDG entspricht Art. 6 DSGVO, § 11 KDG entspricht Art. 9 DSGVO).
- Anmeldedaten, Taufdaten, ElterndatenZweck: Durchführung des Firmkurses und Erfüllung kirchenrechtlicher Anforderungen (can. 890 CIC). Rechtsgrundlage: § 9 Abs. 1 lit. b KDG (Vertragserfüllung) sowie § 9 Abs. 1 lit. c KDG (rechtliche Verpflichtung). Elterndaten werden nur für Minderjährige erhoben und dienen der Sicherstellung der Erziehungsberechtigten-Einwilligung.
- Foto & Video (freiwillig)Die Einwilligung zur Verwendung von Fotos und Videos wird separat bei der Wochenend-Anmeldung eingeholt — nicht bei der Erstregistrierung. Rechtsgrundlage: § 9 Abs. 1 lit. a KDG (Einwilligung). Widerruf jederzeit im Portal möglich; Zeitpunkt des Widerrufs wird protokolliert.
- E-Mail-Benachrichtigungen (freiwillig)Terminerinnerungen und Hinweise werden nur mit ausdrücklicher Einwilligung verschickt. Rechtsgrundlage: § 9 Abs. 1 lit. a KDG (Einwilligung). Widerruf jederzeit im Portal möglich.
- Hochgeladene DokumenteZweck: Nachweis der Voraussetzungen für die Firmung (Taufurkunde, Patenzettel etc.). Rechtsgrundlage: § 9 Abs. 1 lit. b und lit. c KDG. Zugriffe werden protokolliert (wer hat wann welches Dokument eingesehen).
- Passwort zurücksetzenReset-Link per E-Mail auf Anfrage. Rechtsgrundlage: § 9 Abs. 1 lit. b KDG (Vertragserfüllung).
- Religionszugehörigkeit (§ 11 KDG / Art. 9 DSGVO)Die Teilnahme an der Firmvorbereitung offenbart die Zugehörigkeit zur katholischen Kirche. Rechtsgrundlage: § 11 Abs. 2 lit. d KDG (Verarbeitung durch eine Einrichtung mit religiöser Zielsetzung im Rahmen ihrer rechtmäßigen Tätigkeit). Eine darüber hinausgehende Verarbeitung von Konfessions- oder Glaubensdaten (z. B. Religionszugehörigkeit der Eltern) findet nicht statt.
- Minderjährige (Art. 8 DSGVO)Firmlinge sind häufig unter 16 Jahre alt. Die Registrierung auf dieser Plattform durch Minderjährige unter 16 Jahren setzt die Einwilligung oder Zustimmung eines Erziehungsberechtigten voraus. Durch Abschluss der Anmeldung bestätigen die Erziehungsberechtigten ihr Einverständnis mit dieser Datenschutzerklärung und der Datenverarbeitung des Kindes.
4. Datenweitergabe an Dritte
Deine Daten werden nicht an Dritte zu Werbe- oder kommerziellen Zwecken weitergegeben. Wir setzen folgende Dienstleister ein, die als Auftragsverarbeiter (Art. 28 DSGVO) tätig sind:
Das Portal enthält außerdem optionale Links zu Google Maps(Anzeige von Terminorten). Wenn du einen solchen Link öffnest, verlässt du diese Plattform; deine IP-Adresse und ggf. weitere Browserdaten werden dabei an Google LLC (USA) übermittelt. Für diese Verarbeitung ist Google verantwortlich; es gelten die Datenschutzbestimmungen von Google. Die Nutzung ist freiwillig — du kannst Adressen auch manuell in einer Karten-App deiner Wahl suchen.
5. Cookies
Diese Website verwendet ausschließlich technisch notwendige Cookies. Diese Cookies sind erforderlich, damit du dich einloggen und die passwortgeschützten Bereiche (Portal, Admin) nutzen kannst.
Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt. Es findet kein Profiling und kein Einsatz von Drittanbieter-Tracking (z. B. Google Analytics, Facebook Pixel) statt.
| Name / Schlüssel | Typ | Zweck | Speicherdauer |
|---|---|---|---|
| sb-*-auth-token | Cookie | Login-Session (Supabase) | Sitzung / 1 Woche |
| cookie-notice | localStorage | Speichert, ob du den Hinweisbanner bestätigt hast | Bis zur Löschung des Browser-Speichers |
| firmkurs_view_* | Cookie | Merkt sich, welcher Firmkurs im Admin-Bereich zuletzt angezeigt wurde (nur für eingeloggte Admins) | 90 Tage |
6. Speicherdauer
- Profildaten & DokumenteSpätestens 12 Monate nach dem Firmungsdatum des jeweiligen Firmkurses werden alle Profildaten und hochgeladenen Dokumente automatisch gelöscht — sofern du nicht vorher eine Löschung beantragst (siehe Abschnitt 8). Die Löschung erfolgt durch einen automatisierten monatlichen Prozess. Ca. 30 Tage vor der Löschung erhalten die verantwortlichen Pfarreien eine Vorankündigung per E-Mail; nach erfolgter Löschung eine Bestätigung als Nachweis gem. KDG § 15.
- ZugangslogsServer-Logs unserer Hosting-Dienstleister werden üblicherweise nach 7–30 Tagen automatisch gelöscht (abhängig vom jeweiligen Anbieter).
- Rate-Limiting-DatenIP-Adressen für den Schutz vor automatisierten Angriffen werden in Upstash Redis mit einer TTL von maximal 1 Stunde gespeichert und danach automatisch gelöscht.
- Session-CookiesLogin-Cookies (sb-*-auth-token) laufen nach maximal 1 Woche ab oder werden beim Ausloggen sofort gelöscht.
7. Datensicherheit (KDG § 15 / Art. 32 DSGVO)
Wir treffen angemessene technische und organisatorische Maßnahmen, um deine Daten zu schützen:
- VerschlüsselungAlle Verbindungen zur Plattform sind per TLS (HTTPS) verschlüsselt. Passwörter werden ausschließlich verschlüsselt gespeichert (bcrypt via Supabase Auth) — ein Klartext-Passwort ist für uns zu keinem Zeitpunkt einsehbar.
- ZugriffskontrolleDer Zugriff auf Firmlingsdaten ist strikt rollenbasiert: Firmlinge sehen nur ihre eigenen Daten, Katecheten nur ihre Gruppe, Pfarrbüro und Admin nur ihre Pfarrei. Technisch wird dies durch Row-Level-Security (RLS) in der Datenbank erzwungen.
- Verschlüsselung ruhender DatenAlle in Supabase gespeicherten Daten (Datenbank und Dateispeicher) sind at-rest mit AES-256 verschlüsselt. Hochgeladene Dokumente (Taufurkunden, Anmeldeformulare etc.) werden ausschließlich über signierte, zeitlich begrenzte URLs ausgeliefert — ein direkter, dauerhafter öffentlicher Zugriff ist nicht möglich.
- Datenhaltung in der EUDie Datenbank und Dateiablage werden ausschließlich in AWS eu-central-1 (Frankfurt, Deutschland) betrieben (via Supabase).
- Brute-Force-SchutzLogin und Passwort-Reset sind serverseitig gegen automatisierte Angriffe geschützt (Rate Limiting nach IP-Adresse).
8. Deine Rechte
Du hast folgende Rechte gegenüber uns als Verantwortliche:
- Auskunft (§ 16 KDG)Welche Daten wir über dich gespeichert haben
- Berichtigung (§ 17 KDG)Korrektur unrichtiger Daten
- Löschung (§ 18 KDG)Löschung deiner Daten
- Einschränkung (§ 19 KDG)Einschränkung der Verarbeitung
- Datenportabilität (§ 21 KDG)Daten in maschinenlesbarem Format erhalten
- Widerspruch (§ 23 KDG)Widerspruch gegen die Verarbeitung
- Widerruf der EinwilligungEinwilligungen (z. B. Foto/Video) können jederzeit ohne Angabe von Gründen widerrufen werden
So übst du deine Rechte aus:
- E-Mail an info@firmzeit.de mit Betreff „Datenschutz-Anfrage"
- Kurze Beschreibung deines Anliegens (Auskunft / Löschung / Widerruf etc.)
- Wir antworten innerhalb von 30 Tagen — bei Auskunft erhältst du deine Daten als strukturierte Aufstellung
Für Löschanfragen beachte: Daten werden spätestens 12 Monate nach der Firmung automatisch gelöscht (§ 6). Eine vorzeitige Löschung ist jederzeit auf Anfrage möglich.
9. Beschwerderecht
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Da die Pfarrei als Verantwortliche dem kirchlichen Datenschutzrecht unterliegt, ist primär das Kirchliche Datenschutzzentrum zuständig:
Katholisches Datenschutzzentrum (KDSZ)Brackeler Hellweg 133 · 44309 Dortmund
Tel.: 0231 1389 85-0
www.katholisches-datenschutzzentrum.de
Für Beschwerden gegenüber Firmzeit als Auftragsverarbeiter gilt:
Landesbeauftragte für Datenschutz und Informationsfreiheit NRWKavalleriestraße 2–4 · 40213 Düsseldorf
www.ldi.nrw.de