Rechtliches

Datenschutzerklärung

1. Verantwortlicher

Bündnis OST – c/o Engagement Hub, Waldstraße 42, 10115 Berlin, Deutschland

E-Mail: datenschutz@buendnisost.de

2. Hosting & Auftragsverarbeitung

Die Plattform läuft auf einem STRATO VPS (Serverstandort EU). Die komplette Supabase-Instanz (Postgres, Auth, Storage, Realtime) wird dort ebenfalls selbst gehostet und ist damit physisch auf demselben Server untergebracht. Mit beiden Dienstleistern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Hosting erfolgt ausschließlich in deutschen Rechenzentren; alle Daten bleiben unter unserer Kontrolle, es existiert kein externer Cloud-Zugriff.

Mails werden über den im Impressum genannten SMTP-Dienst verschickt; auch hier erfolgt die Verarbeitung ausschließlich in der EU bzw. gemäß EU-Standardvertragsklauseln.

3. Zwecke & Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten, um Events/Stories zu veröffentlichen, Teilnahme-Anfragen zu ermöglichen, Moderationsentscheidungen zu protokollieren sowie Anfragen zu beantworten.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Teilnahme, z. B. Zusendung des Magic-Links), Art. 6 Abs. 1 lit. f DSGVO (Gewährleistung eines sicheren und störungsfreien Betriebs durch Missbrauchserkennung, Betrugsprävention und technische Stabilität) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligungen, z. B. Newsletter oder Standortfreigabe).

4. Verarbeitete Daten & Vorgänge

  • Accounts & Login: Name, E-Mail, Rolle, Sperrstatus, Verifizierungszeitpunkt
  • Events/Stories: Inhalte, Bilder/Audio (Supabase Storage), optionale Kontakt- & Social-Media-Links, Geodaten
  • Möglichmach-Anmeldungen: Name, E-Mail, freiwillige Nachricht, Status-Historie, Mail-Logs für Zusagen/Absagen
  • Admin-Bereich: Jede Moderationsaktion (z. B. Rollenwechsel, Event-Prüfung, Widget-Änderung) wird mit Benutzerkennung, Zeitpunkt und Kontext protokolliert, damit nachvollziehbar bleibt, wer welche Inhalte verändert hat
  • Support & Kommunikation: Inhalte eingehender E-Mails oder Kontaktanfragen

5. Authentifizierung & JWT

Login erfolgt ausschließlich über Magic-Link-Mails. Nach dem Klick wird serverseitig ein JSON Web Token (JWT) erzeugt, das nur technische Angaben (User-ID, Rolle, Ablaufdatum) enthält – Passwörter speichern wir nicht. Die Verarbeitung der E-Mail-Adresse erfolgt zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO.

  • Das JWT wird als HTTP-only Session-Cookie (`auth-token`) gespeichert. Es ist technisch notwendig, wird nach spätestens 7 Tagen erneuert oder beim Logout gelöscht und dient ausschließlich der Sitzungsverwaltung.
  • Es existieren keine Drittanbieter- oder Marketing-Cookies. Tracking über externe Dienste findet nicht statt; daher ist kein Cookie-Banner erforderlich, da nur technisch notwendige Cookies verwendet werden.
  • E-Mails mit Magic-Link enthalten einmalige Token, die nach 15 Minuten automatisch verfallen.

6. Cookies, lokale Speicherung & Standort

Neben dem oben genannten Session-Cookie nutzen wir lokale Speichertechniken des Browsers, um Komfortfunktionen anzubieten.

  • Sprache & UI-Präferenzen: Im Local Storage werden gewählte Sprache sowie zuletzt gesehene Hinweise abgelegt.
  • Standortoption: Bei aktivierter Entfernungssortierung speichern wir die freigegebene Position lokal, damit keine wiederholten Prompts nötig sind. Daten verlassen den Browser nicht ohne erneute Bestätigung.
  • Du kannst den Local Storage jederzeit im Browser löschen; dadurch gehen lediglich Komfortfunktionen verloren.

7. Speicherdauer & Löschung

Personenbezogene Daten werden gelöscht, sobald der Zweck entfällt (z. B. nach Event-Löschung oder Widerruf einer Teilnahme). Gesetzliche Aufbewahrungsfristen – etwa für steuerrelevante Abrechnungen oder Dokumentationspflichten – bleiben unberührt.

Server- und Audit-Logs werden regelmäßig rotierend gelöscht (aktuell nach 90 Tagen). Backups werden verschlüsselt aufbewahrt und nach 30 Tagen automatisiert überschrieben.

8. Weitergabe & Empfänger

Eine Weitergabe erfolgt nur, wenn dies zur Erfüllung der Plattformfunktionen nötig ist (z. B. an Veranstaltende bei Möglichmach-Anfragen) oder eine gesetzliche Pflicht besteht.

Eine Übermittlung außerhalb der EU findet nur statt, wenn dafür geeignete Garantien vorliegen (Standardvertragsklauseln). Es gibt keine Werbung oder Profilbildung durch Dritte.

9. Rechte der betroffenen Personen

  • Auskunft nach Art. 15 DSGVO über sämtliche gespeicherte Daten
  • Berichtigung oder Löschung (Art. 16/17 DSGVO)
  • Einschränkung der Verarbeitung und Widerspruch gegen berechtigte Interessen (Art. 18/21 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerruf von Einwilligungen mit Wirkung für die Zukunft; der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung
  • Beschwerde bei einer Aufsichtsbehörde, z. B. Berliner Beauftragte für Datenschutz und Informationsfreiheit

10. Sicherheit & Aktualisierung

Alle Verbindungen sind TLS-verschlüsselt. Zugriffe werden mit Rollenrechten sowie Audit-Logs abgesichert, Uploads laufen über virengeprüfte Pfade, und Service-Keys sind ausschließlich serverseitig hinterlegt. IP-Adressen in Server-Logs werden pseudonymisiert (z. B. Kürzung der letzten 16 Bits).

Wir passen diese Datenschutzerklärung an, sobald neue Funktionen oder gesetzliche Vorgaben dies erfordern. Die jeweils aktuelle Version ist jederzeit hier abrufbar.