Diese Datenschutzerklärung gilt für registrierte Nutzer des Portals (https://app.lehrerkarten.de/platform/* oder https://app.lehrerkarten.de/projektplan/*).

Andere Bereiche:

• Datenschutzerklärung Homepage (https://lehrerkarten.de/*)
• Datenschutzerklärung Kartenformular (https://app.lehrerkarten.de/kartenformular/*)

1. Verantwortlicher

WeCards GmbH Seelhorster Allee 10 30559 Hannover Deutschland

Vertreten durch den Geschäftsführer: Aiko Zimmermann Handelsregister: Amtsgericht Hannover, HRB 230299

Kontakt für Datenschutzanfragen: E-Mail: hallo@lehrerkarten.de Website: https://www.lehrerkarten.de

2. Überblick der Datenverarbeitung

2.1 Rollen im Portalbetrieb

Das Portal von Lehrerkarten.de dient der Planung, Verwaltung und Durchführung von Kartenprojekten.

Registrierte Nutzer handeln typischerweise als Organisatoren eines Kartenprojekts, z.B. Klassensprecher, Lehrkräfte, Elternvertretungen oder Projektverantwortliche.

WeCards GmbH stellt die technische Plattform bereit, einschliesslich Benutzerverwaltung, Projektlogik, Speicherung, Sicherheit, Protokollierung und Support.

Organisatoren können:

• Projekte anlegen und verwalten
• Zugriffsrechte vergeben
• Kartendaten einsehen, bearbeiten, korrigieren oder löschen
• Inhalte für Druck und Produktion freigeben
• Bestellungen aufgeben

Änderungen an Projekten und Inhalten werden systemseitig protokolliert (Änderungshistorie).

Rollenverteilung nach DSGVO:

• WeCards GmbH ist Verantwortlicher für den technischen Betrieb des Portals (Hosting, Sicherheit, Protokollierung, Lösch-Routinen, Support, Zahlungsabwicklung).
• Organisatoren sind Verantwortliche für die inhaltliche Ausgestaltung und Nutzung der Kartendaten innerhalb ihrer Projekte (Auswahl von Personen, Inhalten, Fotos).

Soweit externe Dienstleister personenbezogene Daten in unserem Auftrag verarbeiten, bestehen mit diesen Vereinbarungen zur Auftragsverarbeitung gemäss Art. 28 DSGVO.

2.2 Verarbeitete Daten

2.3 Speicherdauer und Löschung

Wir speichern personenbezogene Daten so lange, wie sie für die Vertragserfüllung oder gesetzliche Zwecke erforderlich sind.

Konten und zugehörige Daten werden auf Anfrage per E-Mail an hallo@lehrerkarten.de gelöscht. Die Löschung erfolgt spätestens 30 Tage nach Eingang der Anfrage, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Buchhaltungsrelevante Daten (Rechnungen, Bestellinformationen, Vertragsdaten) werden gemäss § 257 HGB und § 147 AO 8 Jahre aufbewahrt. Die übrigen Inhaltsdaten werden auf Anfrage gelöscht.

3. Eingesetzte Dienste

3.1 Übersicht

3.2 Hetzner (Hosting und Datenspeicherung)

Anbieter: Hetzner Online GmbH Industriestr. 25 91710 Gunzenhausen Deutschland

Website: https://www.hetzner.com Datenschutzerklärung: https://www.hetzner.com/de/rechtliches/datenschutz

Verarbeitete Daten: Kontodaten, Projektdaten, Dateien, technische Nutzungsdaten

Zweck: Bereitstellung, Betrieb und Sicherung der Plattform Auftragsverarbeitung: Mit Hetzner besteht ein Vertrag zur Auftragsverarbeitung gemäss Art. 28 DSGVO. Sicherheit: ISO 27001, verschlüsselte Speicherung, regelmässige Backups

3.3 Clerk (Authentifizierung)

Anbieter: Clerk, Inc., 660 King Street, Unit 345, San Francisco, CA 94107, USA

Website: https://clerk.com Datenschutzerklärung: https://clerk.com/legal/privacy

Verarbeitete Daten:

• E-Mail-Adresse, Name
• Authentifizierungsdaten (Passwort verschlüsselt, Session-Tokens)

Zweck: Sichere Anmeldung und Kontoverwaltung Auftragsverarbeitung: Mit Clerk besteht ein Vertrag zur Auftragsverarbeitung gemäss Art. 28 DSGVO. Drittlandtransfer: USA, abgesichert durch EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 sowie Selbstzertifizierung von Clerk unter dem EU-U.S. Data Privacy Framework.

3.4 PostHog (Nutzungsanalyse)

Anbieter: PostHog Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA EU-Hosting: PostHog EU-Cloud, Frankfurt am Main, Deutschland

Website: https://posthog.com Datenschutzerklärung: https://posthog.com/privacy

Verarbeitete Daten: Anonymisierte Interaktionsdaten, Feature-Nutzung, technische Ereignisdaten

Speicherung: PostHog wird ohne persistente Cookies und ohne lokale Speicherung im Browser betrieben (Memory-only-Modus). Es findet kein geräteübergreifendes Tracking statt. IP-Adressen werden vor der Speicherung anonymisiert.

Speicherort: EU-Server (Frankfurt am Main) Speicherdauer: 12 Monate Auftragsverarbeitung: Mit PostHog besteht ein Vertrag zur Auftragsverarbeitung gemäss Art. 28 DSGVO.

3.5 DocuSeal (Vertragsunterzeichnung)

Anbieter: DocuSeal LLC, 332 S Michigan Ave, Suite 121 #5896, Chicago IL 60604, USA EU-Hosting: docuseal.eu, Server in Irland

Website: https://www.docuseal.com Datenschutzerklärung: https://www.docuseal.com/privacy

Verarbeitete Daten:

• Name, E-Mail-Adresse
• IP-Adresse, Zeitstempel der Unterzeichnung
• Inhalt des Bestellvertrags

Zweck: Elektronische Unterzeichnung des Bestellvertrags zwischen Kunden und WeCards GmbH

Speicherort: Irland (EU) Auftragsverarbeitung: Mit DocuSeal besteht ein Vertrag zur Auftragsverarbeitung gemäss Art. 28 DSGVO. Subprozessoren: DocuSeal setzt Subprozessoren ein (u.a. AWS Ireland für Hosting, Google für E-Mail-Versand). Eine vollständige Liste findet sich unter https://www.docuseal.com/privacy/gdpr.

3.6 Loops (Transaktionale E-Mails)

Anbieter: Loops So Good, Inc., Delaware, USA

Website: https://loops.so Datenschutzerklärung: https://loops.so/privacy

Verarbeitete Daten:

• E-Mail-Adresse, Name

Zweck:

• System-E-Mails (Registrierung, Passwort-Reset)
• Wichtige Service-Informationen

Auftragsverarbeitung: Mit Loops besteht ein Vertrag zur Auftragsverarbeitung gemäss Art. 28 DSGVO. Drittlandtransfer: USA, abgesichert durch EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914.

3.7 OpenAI (KI-gestützte Rechtschreibprüfung)

Anbieter: OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA

Website: https://www.openai.com Datenschutzerklärung: https://openai.com/policies/privacy-policy

Verarbeitete Daten:

• Texteingaben des Nutzers zur Prüfung auf Rechtschreibung und Grammatik

Zweck: Optionale Überprüfung von Texteingaben

Wichtig: Es werden keine personenbezogenen Daten von Lehrkräften oder anderen Dritten an OpenAI übermittelt. Die Verarbeitung beschränkt sich auf vom Nutzer eingegebene Textbausteine.

Auftragsverarbeitung: Mit OpenAI besteht ein Vertrag zur Auftragsverarbeitung gemäss Art. 28 DSGVO. Drittlandtransfer: USA, abgesichert durch EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914. Speicherung: Die Inhalte werden nur zur Verarbeitung übermittelt und nicht dauerhaft durch WeCards GmbH gespeichert.

3.8 Replicate (KI-gestützte Grafik-Generierung)

Anbieter: Replicate, Inc., 539 Bryant Street, San Francisco, CA 94107, USA

Website: https://replicate.com Datenschutzerklärung: https://replicate.com/privacy

Verarbeitete Daten:

• Hochgeladene Schullogos zur grafischen Weiterverarbeitung

Zweck: Generierung von gestalteten Grafiken auf Basis des Schullogos

Wichtig: Es werden ausschliesslich Schullogos übermittelt. Personenbezogene Daten (z.B. Fotos von Personen, Namen) werden nicht an Replicate übermittelt.

Auftragsverarbeitung: Mit Replicate besteht ein Vertrag zur Auftragsverarbeitung gemäss Art. 28 DSGVO. Drittlandtransfer: USA, abgesichert durch EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914.

3.9 Druckdienstleister

Zur Herstellung der Sammelkarten übermitteln wir die für den Druck erforderlichen Kartendaten (Inhalte und ggf. Fotos) sowie die für den Versand erforderlichen Empfängerdaten an einen von uns beauftragten Druck- und Produktionsdienstleister in Deutschland (Empfängerkategorie: Druckerei/Produktion).

Verarbeitete Daten:

• Karteninhalte und Fotos
• Versandadresse, Empfängername

Zweck: Herstellung und Versand der Karten

Auftragsverarbeitung: Mit dem Druckdienstleister besteht ein Vertrag zur Auftragsverarbeitung gemäss Art. 28 DSGVO. Standort: Deutschland

3.10 Versand über DHL

Der Versand der Karten erfolgt durch den Druckdienstleister über DHL (Deutsche Post DHL Group, Charles-de-Gaulle-Strasse 20, 53113 Bonn).

Verarbeitete Daten:

• Empfängername, Versandadresse, ggf. Telefonnummer

Rolle: DHL ist im Rahmen des Postversands eigener Verantwortlicher.

4. Zahlungsabwicklung

Zahlungen erfolgen ausschliesslich per Banküberweisung. Im Rahmen der Zahlungsabwicklung verarbeiten wir die im Verwendungszweck und auf dem Kontoauszug ausgewiesenen Daten (insbesondere Name, IBAN, BIC, Bankverbindung, Verwendungszweck, Zahlbetrag).

Diese Daten werden über unsere Hausbank (Qonto, Qonto Payments S.A.S., Frankreich) als eigenverantwortliche Stelle abgewickelt. Qonto verarbeitet die Daten nicht in unserem Auftrag, sondern als eigener Verantwortlicher gemäss seiner eigenen Datenschutzerklärung und auf Grundlage gesetzlicher Pflichten.

Datenschutzerklärung Qonto: https://qonto.com/de/legal-documents/privacy-notice

5. Kontaktaufnahme

Während der Nutzung des Portals haben Sie verschiedene Möglichkeiten, mit uns in Kontakt zu treten (z.B. zu Fragen rund um Ihr Projekt, Ihre Bestellung oder den Support). Erst durch Ihre aktive Kontaktaufnahme werden Ihre Daten bei uns verarbeitet.

5.1 E-Mail-Kontakt (hallo@lehrerkarten.de)

Verarbeitete Daten: Name, E-Mail-Adresse, Inhalt der Nachricht, Metadaten (Zeitstempel, Anhänge), ggf. Projekt-Bezug.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation).

Eingesetzte Dienste:

Google Workspace (E-Mail-Empfang) Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Mutterunternehmen: Google LLC, USA) Auftragsverarbeitung: Mit Google besteht das Cloud Data Processing Addendum gemäss Art. 28 DSGVO. Drittlandtransfer: Die Verarbeitung kann auch auf Servern in den USA erfolgen. Grundlage sind die EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 sowie die Zertifizierung von Google unter dem EU-U.S. Data Privacy Framework.

Front (Bearbeitung) Anbieter: FrontApp, Inc., 300 Montgomery Street, 5th Floor, San Francisco, CA 94104, USA Zweck: Bündelung und Bearbeitung von Kundenanfragen aus E-Mail und WhatsApp in einer zentralen Oberfläche. Auftragsverarbeitung: Mit Front besteht ein Vertrag zur Auftragsverarbeitung gemäss Art. 28 DSGVO. Drittlandtransfer: USA, abgesichert durch EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914.

5.2 Telefon-Kontakt (0511 93678545)

Verarbeitete Daten: Telefonnummer, Name (sofern angegeben), Inhalt des Gesprächs, Metadaten (Zeitpunkt, Dauer, Anrufstatus). Eingehende und ausgehende Anrufe werden mit den Kommunikations-Metadaten protokolliert. Eine Aufzeichnung der Gesprächsinhalte erfolgt nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation).

Eingesetzte Dienste:

Google Voice (Telefonie über Google Workspace) Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Mutterunternehmen: Google LLC, USA) Zweck: Bereitstellung der Geschäftstelefonnummer, Anrufweiterleitung, Sprachnachrichten, Anrufprotokolle. Auftragsverarbeitung: Mit Google besteht das Cloud Data Processing Addendum gemäss Art. 28 DSGVO. Drittlandtransfer: Die Verarbeitung erfolgt auch auf Servern in den USA. Grundlage sind die EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 sowie die Zertifizierung von Google unter dem EU-U.S. Data Privacy Framework.

5.3 WhatsApp-Kontakt

Verarbeitete Daten: Telefonnummer, Profilname, Inhalt der Nachricht, Metadaten (Zeitstempel, Lese- und Empfangsbestätigungen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Mit dem aktiven Versand einer Nachricht über WhatsApp an uns erteilen Sie Ihre Einwilligung in die Verarbeitung.

Eingesetzte Dienste:

WhatsApp Business API Anbieter: WhatsApp Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland (Mutterunternehmen: Meta Platforms, Inc., USA) Verarbeitung: Bei Nutzung von WhatsApp werden Ihre Daten an Meta in den USA übermittelt. Meta verarbeitet auch Metadaten zu eigenen Zwecken (z.B. Servicebereitstellung, Sicherheit). Drittlandtransfer: USA, abgesichert durch EU-Standardvertragsklauseln und Selbstzertifizierung von Meta unter dem EU-U.S. Data Privacy Framework.

Front (Bearbeitung): siehe Abschnitt 5.1

5.4 Externe Bearbeitung von Anfragen

Bei der Bearbeitung von Anfragen unterstützen uns gegebenenfalls externe freiberufliche Dienstleister, mit denen ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO besteht. Diese sind zur Vertraulichkeit verpflichtet.

5.5 Hinweis und Alternativen

Wir möchten Sie ausdrücklich darauf hinweisen, dass bei Kontaktaufnahme via WhatsApp Ihre Daten an Meta Platforms in den USA übermittelt werden. Auch bei der Telefonie über Google Voice und beim E-Mail-Empfang über Google Workspace erfolgt eine Verarbeitung in den USA. Diese Drittland-Übermittlungen sind durch EU-Standardvertragsklauseln und gegebenenfalls die Zertifizierung der Anbieter unter dem EU-U.S. Data Privacy Framework abgesichert.

Sofern Sie eine Übermittlung in die USA vermeiden möchten, können Sie uns alternativ per Brief erreichen:

WeCards GmbH Seelhorster Allee 10 30559 Hannover

6. Cookies und ähnliche Technologien

Wir setzen ausschliesslich technisch notwendige Cookies ein, die für den Betrieb des Portals unerlässlich sind. Eine Einwilligung ist hierfür nicht erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).

Es werden keine Analyse-, Tracking- oder Marketing-Cookies eingesetzt. PostHog wird im Memory-only-Modus betrieben und benötigt daher keine Einwilligung.

7. Ihre Rechte (Art. 15-21, 77 DSGVO)

Hinweis: Bei Datenverarbeitungen, die zur Vertragserfüllung erforderlich sind (Art. 6 Abs. 1 lit. b DSGVO), ist kein Widerspruch möglich. Eine Beendigung der Nutzung führt zur Löschung der Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Bearbeitungsfrist: max. 30 Tage

Kontakt: hallo@lehrerkarten.de

7.1 Aufsichtsbehörde

Landesbeauftragte für den Datenschutz Niedersachsen Prinzenstrasse 5 30159 Hannover Telefon: 0511 120-4500 E-Mail: poststelle@lfd.niedersachsen.de

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO).

8. Datensicherheit

8.1 Technische Massnahmen

• SSL/TLS-Verschlüsselung
• Serverstandort Deutschland (Hetzner)
• Zugriffsbeschränkungen
• Firewall und Rate Limiting
• Regelmässige Backups
• Monitoring

8.2 Organisatorische Massnahmen

• Auftragsverarbeitungsverträge mit allen externen Dienstleistern
• Incident-Response-Verfahren
• Datenschutz by Design und by Default

9. Internationale Datenübermittlung

Hauptverarbeitung: Deutschland (Hetzner, Druckdienstleister) und EU (DocuSeal, PostHog).

Drittlandtransfers:

Hinweis: Es besteht das Risiko, dass US-Behörden auf personenbezogene Daten zugreifen können, ohne dass EU-Rechtsschutz in gleichem Umfang besteht.

10. Besondere Kategorien personenbezogener Daten

10.1 Fotos von Personen

Fotos auf Karten können personenbezogene Daten enthalten.

Verarbeitung durch uns:

• Keine biometrische Analyse
• Ausschliesslich zur Kartenerstellung, Druckvorbereitung und Produktion für den Organisator
• Keine Weitergabe zu anderen Zwecken
• Löschung der Inhalte auf Anfrage

Rechtliche Einordnung: WeCards GmbH ist Verantwortlicher für den technischen Betrieb der Plattform. Der Organisator des Kartenprojekts ist Verantwortlicher für die inhaltliche Auswahl und Nutzung der Fotos innerhalb seines Projekts.

Verpflichtung des Organisators: Organisatoren sind verpflichtet, die abgebildeten Personen DSGVO-konform zu informieren und gegebenenfalls Einwilligungen einzuholen, bevor sie Fotos hochladen.

11. Weitere Hinweise

11.1 Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung oder Profiling findet nicht statt.

11.2 Pflicht zur Datenbereitstellung

Die Bereitstellung von Konto-, Projekt- und Bestelldaten ist für die Nutzung der Plattform und die Vertragserfüllung erforderlich. Ohne diese Daten kann der Service nicht erbracht werden.

11.3 Geschäftskontinuität

• Bei Einstellung des Dienstes: mindestens 90 Tage Vorlauf
• Möglichkeit zum Datenexport
• Information über die Website

11.4 Änderungen dieser Datenschutzerklärung

Wesentliche Änderungen werden deutlich auf der Plattform bekannt gegeben.

11.5 Externe Links

Für verlinkte externe Websites gelten deren eigene Datenschutzbestimmungen.

Stand: 29. April 2026