Für öffentliche BZEW-Seiten und Plattformbetrieb; Mandantenprozesse können zusätzliche Verantwortlichkeiten erhalten.
Datenschutz
Datenschutzerklärung und Datenschutzhinweise
Diese Datenschutzerklärung und die ergänzenden Datenschutzhinweise erklären, wie BZEW personenbezogene Daten auf bzew.de, im Online-Nachhilfe-Register und in den ButPay-Portalen verarbeitet. Die Verarbeitung erfolgt rollenbezogen, zweckgebunden und mit getrennten öffentlichen und geschützten Bereichen.
Stand: 27. Juni 2026
Kontakt: info@bzew.de · Betreiber: Ingenieurbüro Wilmes
Verantwortlicher: Ingenieurbüro Wilmes, Dr. Dr.-Ing. Christopher Wilmes, Reinersstraße 6, 45665 Recklinghausen, E-Mail: info@bzew.de.
Daten werden rollenbezogen, zweckgebunden und mit möglichst geringer öffentlicher Sichtbarkeit verarbeitet.
Datenschutzanfragen, Berichtigungshinweise und Sicherheitsmeldungen werden darüber zentral eingeordnet.
Verantwortlicher und Kontakt
- Ingenieurbüro Wilmes
- Dr. Dr.-Ing. Christopher Wilmes
- Reinersstraße 6, 45665 Recklinghausen
- E-Mail für Datenschutzanfragen: info@bzew.de
- Falls für einen konkreten kommunalen Mandantenbetrieb ein Datenschutzbeauftragter oder behördlicher Datenschutzkontakt benannt ist, wird dieser im jeweiligen Vertrags-, Mandanten- oder Portalhinweis gesondert ausgewiesen.
- Zuständige Datenschutzaufsicht für den Sitz in Nordrhein-Westfalen: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.
- Bitte senden Sie keine sensiblen Sozialdaten, vollständigen Aktenzeichen oder Gesundheitsdaten über allgemeine E-Mail-Anfragen.
Zwecke der Verarbeitung
- Betrieb des öffentlichen Online-Nachhilfe-Registers.
- Bearbeitung anonymer Hinweise und moderierter Rezensionen.
- Anbieterregistrierung, Claim-Prüfung und Fragebogenbearbeitung.
- Behördenzugang, digitale BuT-Einzelfallprüfung, Prüfakte und Audit-Log.
- ButPay-Portale für Bildungskarte, Guthaben, Buchungen und Anbieterprozesse.
- Bereitstellung rechtlicher Pflichtinformationen, Sicherheitskontakte, Statushinweise und Dokumentationsseiten.
Datenkategorien
- Öffentliche Anbieterbasisdaten wie Name, Website, Sitz, Fächer, Formate und Preiszusammenfassung.
- Anbieter- und Behördenkontaktdaten bei Registrierung oder Zugangsanfrage.
- Rezensionstext, Sternebewertung und nicht öffentlich sichtbare E-Mail zur Bestätigung.
- Anonyme Hinweisangaben ohne Kontaktfelder; Anti-Spam-Fingerprint ohne dauerhaft gespeicherte IP im Formularablauf.
- Geschützte Prüfdaten, Nachweise, Auflagen, Wiedervorlagen und Audit-Einträge nur für berechtigte Rollen.
Besondere Schutzbereiche im BuT-Kontext
- Kinder-, Schüler-, Behörden- und Zahlungsdaten werden als besonders schutzbedürftige Datenbereiche behandelt, auch wenn sie je nach Verarbeitung nicht immer besondere Kategorien personenbezogener Daten im engeren Sinne sind.
- Öffentliche Anbieterprofile zeigen keine internen Behördenbewertungen, keine Prüfakten, keine Zahlungsdaten und keine Sozialdaten von Familien.
- ButPay-Falldaten, Guthaben, Karten, Buchungen und Abrechnungsstände gehören in geschützte, rollen- und mandantengebundene Bereiche.
- Für kommunale Echtdaten wird vor Produktivbetrieb festgelegt, welche Stelle Verantwortlicher, Auftragsverarbeiter oder gemeinsam Verantwortlicher ist.
Technische Bereitstellung, Protokolle und Cookies
- Beim Aufruf der Seiten können technisch notwendige Verbindungsdaten wie URL, Zeitpunkt, Browser-/Geräteinformationen, Referrer und sicherheitsrelevante Ereignisse verarbeitet werden.
- Geschützte Loginbereiche nutzen technisch notwendige Sitzungs- und Sicherheitsmechanismen, damit Rollen, Formularschutz und Zugriffsbeschränkungen zuverlässig funktionieren.
- Öffentliche Seiten sind auf Datenminimierung ausgerichtet; Marketing-Tracking ist nicht Voraussetzung für die Nutzung der Register- und Informationsseiten.
- Sicherheitsprotokolle dienen Missbrauchsschutz, Fehleranalyse, Angriffserkennung und Nachvollziehbarkeit kritischer Vorgänge.
Schulungs-, Test- und Produktivdaten
- Öffentliche Status- und Transparenzseiten zeigen keine echten Sozialdaten, keine vollständigen Behördenakten und keine echten Zahlungsgeheimnisse.
- Echte Mandanten-, Fall-, Guthaben-, Buchungs- und Abrechnungsdaten dürfen erst nach Datenschutzfreigabe, Rollenfreigabe und Mandantenabnahme verarbeitet werden.
- Testkonten, Beispieldaten und Produktivdaten werden organisatorisch und technisch getrennt, damit Schulung, Prüfung und Echtbetrieb nicht vermischt werden.
- Datenexporte, Supportzugriffe und Korrekturen in geschützten Bereichen werden als prüfpflichtige Vorgänge behandelt.
Formulare, E-Mail und Kommunikation
- Kontakt- und Zugangsanfragen werden nur mit den Angaben verarbeitet, die für Rückmeldung, Rollenklärung, Missbrauchsschutz und Bearbeitung erforderlich sind.
- Anonyme Hinweise zu Anbieterprofilen enthalten bewusst keine Felder für Name, E-Mail oder Telefonnummer.
- Öffentliche Rezensionen benötigen eine E-Mail-Adresse zur Bestätigung und Freischaltung; diese Adresse wird nicht veröffentlicht.
- E-Mail-Kommunikation kann transportverschlüsselt erfolgen, ist aber nicht für unnötige Sozialdaten, Gesundheitsdaten, Ausweiskopien, Zahlungsdaten oder Zugangsdaten vorgesehen.
- Formularinhalte können zur Moderation, Qualitätsprüfung, Sicherheitsprüfung und Nachvollziehbarkeit eines Vorgangs gespeichert werden.
Rechtsgrundlagen und Zugriff
- Je nach Verarbeitung kommen insbesondere Art. 6 Abs. 1 lit. a, b, c, e oder f DSGVO in Betracht; konkrete Mandanten- und Behördenverfahren werden gesondert dokumentiert.
- Die Datenschutzhinweise orientieren sich an den Transparenzanforderungen nach Art. 12 DSGVO sowie den Informationspflichten nach Art. 13 und Art. 14 DSGVO.
- Öffentliche Registerinformationen werden als Transparenzangebot auf Grundlage berechtigter Interessen und öffentlicher Informationsinteressen bereitgestellt.
- Kontakt-, Registrierungs-, Claim- und Supportangaben werden verarbeitet, um Anfragen, Zugänge, Nachweise und Missbrauchsschutz zu bearbeiten.
- Behördliche Prüfdaten werden nur für berechtigte kommunale Aufgaben, Einzelfallprüfung und Dokumentation verarbeitet.
- Anbieterangaben werden zur Identitätsklärung, Eintragsverwaltung, Kommunikation und Prüfung verarbeitet.
- Rezensionen werden auf Grundlage der Einwilligung zur Bestätigung und Moderation verarbeitet; die E-Mail wird nicht veröffentlicht.
- Pflichtangaben in Formularen sind nur dort erforderlich, wo ohne sie Registrierung, Zugangsanfrage, Claim oder Moderation nicht bearbeitet werden können.
Rollen im Datenschutz
- Für öffentliche BZEW-Seiten, Kontaktanfragen, öffentliche Registerinhalte und Plattformbetrieb ist der im Impressum genannte Diensteanbieter verantwortlich.
- Bei kommunalem Echtdatenbetrieb können je nach Vertrag, Mandant und konkretem Verfahren weitere Verantwortlichkeiten, gemeinsame Verantwortlichkeit oder Auftragsverarbeitung hinzukommen.
- Vor Verarbeitung echter Sozialdaten werden AVV/TOM, Rollenmodell, Zweckbindung, Löschkonzept und gegebenenfalls Datenschutz-Folgenabschätzung gesondert dokumentiert.
- Behördenentscheidungen, Einzelfallakten und Fachverfahren bleiben in der Verantwortung der jeweils zuständigen öffentlichen Stelle.
Empfänger und Auftragsverarbeitung
- Öffentliche Nutzer sehen nur freigegebene Basisdaten, Ampelstatus und freigeschaltete Rezensionen.
- Berechtigte Behörden sehen geschützte Prüfdetails, Hinweise, Nachweise und Entscheidungsunterlagen im Rahmen ihrer Rolle.
- Anbieter sehen nur eigene Einträge, Claims, Fragebögen und zugehörige Arbeitsstände.
- Technische Dienstleister, Hosting, E-Mail-Versand und Supportzugriffe werden vor Produktivbetrieb in AVV/TOM und Berechtigungskonzept dokumentiert.
- Eine Weitergabe an Dritte erfolgt nur, wenn sie für Betrieb, Prüfung, Support, gesetzliche Pflicht oder berechtigte Behördenaufgabe erforderlich ist.
Speicherdauer und Löschung
- Öffentliche Registerdaten bleiben sichtbar, solange der Eintrag veröffentlicht und fachlich relevant ist.
- Anonyme Hinweise werden moderiert, fachlich eingeordnet und nach Abschluss oder Fristablauf archiviert oder gelöscht.
- Rezensions-E-Mails werden nur für Bestätigung, Moderation und Missbrauchsschutz benötigt und nicht öffentlich angezeigt.
- Claim- und Nachweisdokumente werden nur solange gespeichert, wie Anspruch, Prüfstand, Aufbewahrung oder Streitklärung dies erfordern.
- Konkrete Löschfristen werden je Mandant und Produktivbetrieb im Löschkonzept final bestätigt.
Drittland, Sicherheit und Protokollierung
- Bei internationalen Anbietern werden Rechtsraum, Datenschutzraum und Drittlandbezug im öffentlichen Profil als Risikohinweis kenntlich gemacht.
- Produktivbetrieb mit technischen Dienstleistern außerhalb EU/EWR erfolgt nur nach gesonderter Prüfung und geeigneten Garantien.
- Geschützte Bereiche sind login- und rollenpflichtig; sensible Prüfdaten werden nicht öffentlich ausgeliefert.
- Änderungen, Prüfentscheidungen, Moderation und Supportzugriffe werden nachvollziehbar protokolliert.
- Backups, Verschlüsselung, Zugriffskontrollen und Notfallprozesse werden vor echtem Mandantenbetrieb in den TOM konkretisiert.
Betroffenenrechte und Kontakt
- Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit bestehen nach den gesetzlichen Voraussetzungen.
- Erteilte Einwilligungen können mit Wirkung für die Zukunft widerrufen werden; dies betrifft die Rechtmäßigkeit bereits erfolgter Verarbeitung nicht.
- Bei automatisierten Entscheidungen oder Profiling im Sinne der DSGVO ist vor Produktivbetrieb eine gesonderte rechtliche und fachliche Freigabe erforderlich.
- Datenschutzanfragen können an info@bzew.de gerichtet werden.
- Damit Anfragen zuverlässig zugeordnet werden können, sollten Betroffene die betroffene Seite, Rolle und den ungefähren Zeitpunkt nennen, aber keine unnötigen Sozial- oder Gesundheitsdaten mitsenden.
- Beschwerden können zusätzlich bei der zuständigen Datenschutzaufsicht eingereicht werden.
Datenschutz-Freigaben vor Echtdatenbetrieb
- Vor produktiver Verarbeitung echter Sozial-, Buchungs- oder Zahlungsdaten werden AVV/TOM, Löschkonzept, Berechtigungsmatrix und Supportwege mandantenspezifisch finalisiert.
- Bei voraussichtlich hohem Risiko wird vor Echtbetrieb geprüft, ob eine Datenschutz-Folgenabschätzung erforderlich ist.
- Datenimporte werden mit Quelle, Zweck, Umfang, Prüfschritt, Dublettenlogik und Lösch-/Korrekturweg dokumentiert.
- Support- und Administrationszugriffe erhalten nur den Umfang, der für den konkreten Vorgang erforderlich ist.
Transparenzhinweis
Die Plattform stellt Prüfhilfen und digitale Workflows bereit. Eine konkrete Bewilligung nach Bildung und Teilhabe bleibt immer Aufgabe der zuständigen Stelle und hängt vom Einzelfall ab.