Datenschutzerklärung

Stand: März 2026

Diese Datenschutzerklärung gilt für die Nutzung der Plattform Action Network unter actionnetwork.world (nachfolgend „Plattform“). Sie erläutert, welche personenbezogenen Daten wir erheben, zu welchen Zwecken wir sie verarbeiten und welche Rechte Ihnen nach der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikation-Digitale-Dienste- Datenschutz-Gesetz (TDDDG) zustehen.

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:

Weltweit – Gesellschaft zur Förderung lokaler Initiativen e. V.
Talstr. 1
65812 Bad Soden
Deutschland

Eingetragen beim Amtsgericht Königstein im Taunus, VR 1327.
Vertretungsberechtigte Vorstandsmitglieder: Kajo Stelter, Frank Müller, Marie Wellenbeck.

Kontakt: Über unser Support-Formular.

2. Überblick

Action Network ist eine Plattform zur Bürgerbeteiligung und zivilgesellschaftlichen Vernetzung. Sie verbindet Einzelpersonen, Organisationen und lokale Initiativen, um gemeinsames Handeln zu ermöglichen. Zur Bereitstellung unserer Dienste verarbeiten wir personenbezogene Daten in folgenden Bereichen:

Kontoregistrierung und Authentifizierung
Verwaltung von Nutzer- und Organisationsprofilen
Netzwerkmitglieder-Entdeckung und tag-basiertes Matching
Workspace-Zusammenarbeit, einschließlich optionaler Google-Drive-Integration
Plattform-Nutzungsanalyse (ausschließlich First-Party, keine Drittanbieter-Tracker)
Kontakt- und Feedback-Formulare
Datei-Uploads (Profilbilder und Organisations-Logos)
Verwaltung von API-Zugriffstoken für programmatischen Plattformzugriff
Fehlerprotokollierung zur Gewährleistung der Plattformstabilität
Kartenbasierte Funktionen (Standortanzeige und Suche)

Wir verkaufen Ihre personenbezogenen Daten nicht an Dritte. Wir nutzen Ihre Daten nicht für Werbezwecke. Wir setzen keine Drittanbieter-Tracking-Technologien wie Google Analytics, Meta Pixel oder vergleichbare Dienste ein.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage einer der nachfolgend genannten Rechtsgrundlagen gemäß Art. 6 Abs. 1 DSGVO:

3.1 Einwilligung – Art. 6 Abs. 1 lit. a DSGVO

Soweit Sie eine ausdrückliche, informierte und freiwillige Einwilligung erteilt haben. Die Einwilligung kann jederzeit ohne Angabe von Gründen mit Wirkung für die Zukunft widerrufen werden, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird. Beispiele: Analyse-Cookies, optionale Standortdaten im Profil, Google-Drive-Integration.

3.2 Vertragserfüllung – Art. 6 Abs. 1 lit. b DSGVO

Soweit die Verarbeitung zur Erfüllung eines Vertrags, dessen Vertragspartei Sie sind, oder zur Durchführung vorvertraglicher Maßnahmen auf Ihren Wunsch hin erforderlich ist. Beispiele: Registrierung, Authentifizierung, Profilverwaltung, Datei-Uploads, Ausstellung von API-Zugriffstoken.

3.3 Berechtigte Interessen – Art. 6 Abs. 1 lit. f DSGVO

Soweit die Verarbeitung zur Wahrung unserer berechtigten Interessen oder der Interessen Dritter erforderlich ist und Ihre Interessen und Grundrechte nicht überwiegen. Wir haben für jede dieser Verarbeitungen eine Interessenabwägung vorgenommen. Beispiele: Fehlerprotokollierung zur Plattformstabilität, IP-basiertes Rate-Limiting zum Schutz vor Missbrauch, Feedback-Erhebung zur Plattformverbesserung.

3.4 Cookies und Browser-Speicher – § 25 TDDDG

Für das Speichern von Informationen auf oder den Zugriff auf Informationen aus Endgeräten der Nutzer (Cookies und Browser-Speicher) ist die Rechtsgrundlage entweder Ihre vorherige Einwilligung (§ 25 Abs. 1 TDDDG) oder technische Notwendigkeit (§ 25 Abs. 2 TDDDG), wenn die Speicherung zur Erbringung eines ausdrücklich von Ihnen angeforderten Dienstes unbedingt erforderlich ist.

4. Von uns erhobene Daten

4.1 Registrierung und Authentifizierung

Bei der Kontoerstellung verarbeiten wir folgende Daten, um Sie zu authentifizieren und Ihr Profil einzurichten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Vorname und Nachname
E-Mail-Adresse
Anmeldedaten (verwaltet von unserem selbst gehosteten Identitätsanbieter Keycloak; wir speichern niemals Klartextpasswörter – Keycloak speichert ausschließlich einen gesicherten Passwort-Hash)

Die Authentifizierung erfolgt über OAuth 2.0 mit PKCE (S256). JWT-Zugriffstoken und Refresh-Token werden in httpOnly-, Secure- und SameSite=Lax-Cookies gespeichert und sind damit für JavaScript nicht zugänglich. JWTs werden serverseitig bei jeder Anfrage über die Bibliothek jose validiert.

4.2 Nutzerprofil

Nach der Registrierung können Sie Ihr Profil optional anreichern. Wir verarbeiten folgende Profildaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für zur Plattformnutzung erforderliche Felder; Art. 6 Abs. 1 lit. a DSGVO für optionale Angaben wie Standortkoordinaten und Interessen.

Pflichtfelder: Vorname, Nachname, E-Mail-Adresse
Optionale Felder: Kurzbiographie, Fachgebiet, Interessen, Matching-Tags, geografische Koordinaten (Breitengrad / Längengrad), Profilbild
Einstellungen: Sprache, Zeitzone, Benachrichtigungspräferenzen (emailDigest, matchAlerts, connectionAlerts, opportunityAlerts, workspaceAlerts)
Datenschutzeinstellungen: profileVisible, showEmail, showLocation (steuern, welche Daten anderen Plattformmitgliedern sichtbar sind)

Standortdaten (Koordinaten) werden ausschließlich zur Anzeige Ihres ungefähren Standorts auf der Netzwerkkarte und für das näherungsbasierte Matching verwendet. Sie können Ihre Standortangabe jederzeit über die Profileinstellungen entfernen; die Daten werden dann unverzüglich gelöscht.

4.3 Organisationsprofil

Wenn Sie eine Organisation auf der Plattform anlegen oder verwalten, verarbeiten wir folgende Daten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Organisationsname und URL-Alias (Slug)
Organisationstyp und Beschreibung
Organisations-Logo
Matching-Tags

4.4 Einstellungen und Benachrichtigungspräferenzen

Nutzer können Sprache, Zeitzone sowie folgende Benachrichtigungsarten konfigurieren: E-Mail-Digest, Match-Benachrichtigungen, Verbindungs-Benachrichtigungen, Angebots-Benachrichtigungen und Workspace-Benachrichtigungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4.5 Datei-Uploads (Profilbild & Organisations-Logo)

Hochgeladene Bilddateien werden serverseitig verarbeitet: Auflösung wird angepasst, EXIF-Metadaten (die Geräteinformationen oder GPS-Koordinaten Ihrer Kamera enthalten können) werden entfernt, und die Datei wird in das WebP-Format konvertiert. SVG-Dateien für Logos werden vor der Speicherung bereinigt, um schädliche Skripte und externe Referenzen zu entfernen. Verarbeitete Dateien werden öffentlich auf DigitalOcean Spaces (Rechenzentrum Frankfurt, EU) gespeichert und über CDN ausgeliefert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4.6 Kontaktformular

Das Support-Formular unter /support übermittelt Ihre Anfrage per E-Mail an unser Support-Team. Dabei werden erhoben: Vorname, Nachname, E-Mail-Adresse, Betreff und Nachrichteninhalt. Die E-Mail wird über den Dienst Brevo (ehemals Sendinblue) als transaktionale E-Mail versendet. In unserer eigenen Datenbank werden diese Daten nach erfolgreicher Übermittlung nicht gespeichert.

Das Formular ist durch ein Honeypot-Feld und eine Mindest-Absendedauer (3 Sekunden) gegen automatisierte Bot-Einreichungen geschützt. Ihre IP-Adresse wird für das Rate-Limiting (maximal 5 Einreichungen pro IP-Adresse und Stunde) ausschließlich im Arbeitsspeicher des Servers vorgehalten und nicht auf Datenträgern gespeichert; sie wird automatisch innerhalb einer Stunde gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4.7 Feedback-System (GitHub)

Über die Feedback-Schaltfläche im Anmeldebereich können Nutzer Fehlerberichte, Funktionswünsche oder sonstige Rückmeldungen einreichen. Dabei werden erhoben: Typ (Fehler, Funktionswunsch, Frage, Sonstiges), Titel und Beschreibung, aktuelle Seiten-URL, Browser-Kennung (User-Agent) und optional Ihre E-Mail-Adresse, sofern Sie diese angeben.

Das Feedback wird als Issue im GitHub-Repository weltweit/anw-portal angelegt und damit an GitHub (Microsoft Corporation, USA) übertragen. Die Übertragung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Art. 45 DSGVO) sowie ergänzender Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Es gelten dieselben Schutzmechanismen gegen Missbrauch wie beim Kontaktformular (Honeypot, Timing-Prüfung, Rate-Limiting). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Plattformverbesserung).

4.8 Google-Drive-Integration (optional)

Workspace-Koordinatoren können optional einen Google-Drive-Account mit einem Workspace verbinden, um die gemeinsame Dateiverwaltung zu ermöglichen. Diese Funktion erfordert einen ausdrücklichen OAuth-2.0-Autorisierungsablauf mit Google. Nach Aktivierung speichern wir serverseitig: die Google-Konto- E-Mail-Adresse der Verbindung, die ID des ausgewählten Stammordners, Verbindungsfähigkeits-Flags sowie den Ablaufzeitpunkt des OAuth-Tokens. Access-Tokens werden ausschließlich auf unseren Servern gespeichert und niemals an den Browser übertragen. Sie können die Verbindung jederzeit in den Workspace-Einstellungen trennen; der Plattformzugriff auf Ihr Drive wird sofort widerrufen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Verbindung).
Übertragungsgrundlage für die USA: EU-US Data Privacy Framework (Art. 45 DSGVO) sowie Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO als ergänzende Schutzmaßnahme.

4.9 API-Zugriffstoken

Nutzer können persönliche API-Zugriffstoken erstellen, um autorisierten externen Diensten (z. B. KI-Agenten oder Automatisierungs-Tools) programmatischen Zugriff auf ihre Plattformdaten zu gewähren. Auf unseren Servern wird ausschließlich ein kryptografischer Hash des Tokens gespeichert; der vollständige Token wird einmalig bei der Erstellung angezeigt und danach weder gespeichert noch kann er wiederhergestellt werden. Token bleiben aktiv, bis sie vom Nutzer in den Kontoeinstellungen manuell widerrufen werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4.10 Plattform-Analyse

Wir betreiben ein First-Party-Analysesystem zur Verbesserung der Plattform. Wir setzen keine Drittanbieter-Analysedienste ein. Erhoben werden:

Seitenaufrufe und Navigationspfade (nur URL-Pfade, keine personenbezogenen Abfrageparameter)
Interner Referrer (ausschließlich plattformintern)
Anonyme Sitzungs-ID (zufällig generiert pro Browser-Sitzung, nicht mit Ihrem Nutzerkonto verknüpft)
UTM-Kampagnenparameter aus eingehenden URLs
Feature-Nutzungsereignisse (z. B. Formularabsendungen, Button-Klicks)

IP-Adressen werden für Analysezwecke nicht erhoben. Analysedaten werden niemals mit Ihrem persönlichen Nutzerkonto verknüpft. Rechtsgrundlage: § 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Opt-out-Modell). Sie können jederzeit über das Cookie-Einwilligungsbanner widersprechen.

4.11 Fehlerprotokollierung (Logtail / Better Stack)

Zur Gewährleistung der Stabilität und Sicherheit der Plattform protokollieren wir technische Fehler im Browser und auf dem Server. Protokolleinträge können enthalten: Fehlermeldung, Stack-Trace, aufgerufene Seiten-URL, Browser-Kennung (User-Agent), HTTP-Statuscode und Zeitstempel. Passwörter, Authentifizierungstoken und sonstige sensible Zugangsdaten werden zu keiner Zeit protokolliert. Dieser Dienst ist optional und nur aktiv, wenn ein entsprechender Konfigurationsschlüssel gesetzt ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Dienst).

4.12 Kartenfunktionen (Mapbox)

Für die Netzwerkkarte und die Standortauswahl in den Profileinstellungen verwenden wir Mapbox. Beim Einsatz dieser Funktion sendet Ihr Browser geografische Koordinaten und Standortsuchangaben direkt an Mapbox-Server. Es werden keine personenidentifizierenden Daten (Name, E-Mail-Adresse, Konto-ID) an Mapbox übermittelt. Mapbox verarbeitet Daten in den USA; die Übertragung stützt sich auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung geografischer Funktionen auf Nutzerwunsch).

4.13 IP-Adressen und Rate-Limiting

Ihre IP-Adresse wird serverseitig ausschließlich für das Rate-Limiting auf den Kontakt- und Feedback-Formularen verarbeitet (maximal 5 Einreichungen pro IP-Adresse und Stunde). IP-Adressen für diesen Zweck werden ausschließlich im Arbeitsspeicher des Servers vorgehalten. Sie werden weder auf Datenträgern gespeichert noch in Protokolldateien geschrieben und werden automatisch innerhalb einer Stunde gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Schutz der Plattform vor Missbrauch).

5. Cookies und lokaler Speicher

Wir setzen Cookies und Browser-Speichermechanismen ein, um die Plattform zu betreiben. Ihre Präferenzen können Sie über das Cookie-Einwilligungsbanner beim ersten Besuch oder jederzeit über den Cookie-Einstellungslink in der Fußzeile verwalten.

5.1 Cookies

Cookie-Name	Zweck	Lebensdauer	httpOnly	Kategorie	Rechtsgrundlage
`access_token`	Speichert Ihren JWT-Zugriffstoken zur serverseitigen Authentifizierung bei jedem Seitenaufruf. Nicht per JavaScript zugänglich.	24 Stunden	Ja	Notwendig	§ 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. b DSGVO
`refresh_token`	Speichert Ihren JWT-Refresh-Token zur Sitzungserneuerung ohne erneuten Login. Nicht per JavaScript zugänglich.	30 Tage	Ja	Notwendig	§ 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. b DSGVO
`cc_cookie`	Speichert Ihre Cookie-Einwilligungseinstellungen (vanilla-cookieconsent), damit diese bei Folgebesuchen berücksichtigt werden können.	365 Tage	Nein	Notwendig	§ 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. c DSGVO

Alle Cookies werden mit dem Flag Secure (nur über HTTPS übertragen) und SameSite=Lax gesetzt, um Cross-Site-Request- Forgery-Angriffe abzuwehren.

5.2 Browser-Speicher (localStorage und sessionStorage)

Schlüssel	Speicherart	Zweck	Lebensdauer	Kategorie	Rechtsgrundlage
`anw:analytics:sid`	sessionStorage	Anonyme Analyse-Sitzungs-ID. Ermöglicht die Zusammenfassung von Seitenaufrufen innerhalb einer Browser-Sitzung, ohne Sie persönlich zu identifizieren. Nicht mit Ihrem Nutzerkonto verknüpft.	Browser-Sitzung (wird beim Schließen des Tabs oder Browsers automatisch gelöscht)	Analyse	§ 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. a DSGVO
`anw:analytics:utm`	sessionStorage	Speichert UTM-Kampagnenparameter aus Ihrer eingehenden URL (z. B. aus einem Newsletter-Link). Dient dem Verständnis, über welche Kampagnen Nutzer zur Plattform gelangen.	Browser-Sitzung (wird beim Schließen des Tabs oder Browsers automatisch gelöscht)	Analyse	§ 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. a DSGVO
`anw:oid`	localStorage	Speichert den Bezeichner Ihrer zuletzt aktiven Organisation, damit die Plattform Ihren gewählten Kontext zwischen Seitenaufrufen und Sitzungen erinnert. Es werden keine personenbezogenen Daten gespeichert – nur eine Organisations-ID.	Bis zur Änderung oder Kontolöschung	Notwendig	§ 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. b DSGVO
`anw:signup_intent`	sessionStorage	Speichert Ihre bei der Registrierung angegebene Absicht (Einzelperson oder Organisation), um das Onboarding-Formular vorzubefüllen und Dateneingaben zu reduzieren. Wird nach Abschluss des Onboardings gelöscht.	Browser-Sitzung (wird beim Schließen des Tabs oder Browsers automatisch gelöscht)	Notwendig	§ 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. b DSGVO
`build_id`	localStorage	Speichert den Bezeichner der bereitgestellten Anwendungsversion. Dient der Erkennung neuer Plattform-Versionen, damit Sie über verfügbare Updates informiert werden können.	Bis zur manuellen Löschung durch den Browser oder Nutzer	Notwendig	§ 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. b DSGVO

5.3 Verwaltung Ihrer Präferenzen

Sie können der Analyse-Speicherung jederzeit widersprechen, indem Sie Ihre Einstellungen über das Cookie-Einwilligungsbanner oder den Cookie-Einstellungslink in der Fußzeile anpassen. Notwendige Cookies und Speichereinträge können nicht deaktiviert werden, da sie für den korrekten Betrieb der Plattform erforderlich sind. Der Widerruf der Analyse-Einwilligung berührt nicht die Rechtmäßigkeit einer vor dem Widerruf erfolgten Verarbeitung.

6. Drittanbieter und Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter auf Basis von Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO ein. Für Transfers in Drittländer außerhalb des EWR gelten die in der letzten Spalte genannten Schutzmaßnahmen:

Anbieter	Zweck	Übermittelte Daten	Serverstandort	Übertragungsgrundlage
Keycloak (selbst gehostet durch Weltweit e. V.)	Identitäts- und Zugriffsverwaltung, Authentifizierung	E-Mail-Adresse, Name, Passwort-Hash, Keycloak-Nutzer-ID und Rollen	EU (eigene Infrastruktur)	Intern – kein Drittlandtransfer
DigitalOcean, LLC	Cloud-Anwendungs-Hosting (App Platform) und Objektspeicher mit CDN (Spaces) für alle Plattformdaten und hochgeladene Dateien	Alle Plattformdaten; verarbeitete Profilbilder und Logos	EU (Frankfurt, Deutschland)	EU – kein Drittlandtransfer; AVV gem. Art. 28 DSGVO
Brevo (Sendinblue SAS)	Transaktionaler E-Mail-Versand für Kontaktformular-Nachrichten an unser Support-Team	Vorname, Nachname, E-Mail-Adresse, Betreff und Nachrichteninhalt	EU (Frankreich)	EU – kein Drittlandtransfer; AVV gem. Art. 28 DSGVO
Better Stack, Inc. (Logtail) (optional)	Fehlerprotokollierung und Überwachung zur Plattformstabilität	Fehlermeldungen, Stack-Traces, Seiten-URLs, Browser-Kennungen, HTTP-Statuscodes, Zeitstempel	EU	EU – AVV gem. Art. 28 DSGVO
GitHub, Inc. (Microsoft Corporation)	Fehler- und Feedback-Issue-Tracking über die GitHub-API	Feedback-Typ, Titel, Beschreibung, optionale E-Mail-Adresse, Seiten-URL, Browser-Kennung	USA	EU-US Data Privacy Framework (Art. 45 DSGVO) sowie SCCs gem. Art. 46 Abs. 2 lit. c DSGVO als ergänzende Schutzmaßnahme
Mapbox, Inc.	Interaktive Karten für die Netzwerkmitgliederkarte und die Standortauswahl in den Profileinstellungen	Geografische Koordinaten (Lat/Lng), Standortsuchangaben	USA	SCCs gem. Art. 46 Abs. 2 lit. c DSGVO
Google LLC (optional – nur bei aktivierter Drive-Integration)	Google-Drive-Integration für die Workspace-Dateiverwaltung	Google-Konto-E-Mail-Adresse, OAuth-Token (nur serverseitig), ausgewählte Drive-Ordner-IDs, Token-Ablaufzeitpunkt	USA	EU-US Data Privacy Framework (Art. 45 DSGVO) sowie SCCs gem. Art. 46 Abs. 2 lit. c DSGVO als ergänzende Schutzmaßnahme

6.1 Transfers in Drittländer (USA)

Drei unserer Dienstleister – GitHub (Microsoft), Mapbox und Google – verarbeiten Daten auf Servern in den Vereinigten Staaten. Für diese Transfers stützen wir uns auf folgende Schutzmaßnahmen:

EU-US Data Privacy Framework (DPF): Microsoft (Muttergesellschaft von GitHub) und Google sind unter dem DPF zertifiziert, für den die Europäische Kommission einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO erlassen hat.
Standardvertragsklauseln (SCCs): Als ergänzende Schutzmaßnahme haben wir mit diesen Anbietern SCCs gemäß dem Beschluss der Europäischen Kommission vom Juni 2021 (Art. 46 Abs. 2 lit. c DSGVO) abgeschlossen.

Den DPF-Zertifizierungsstatus können Sie unter dataprivacyframework.gov prüfen. Kopien der anwendbaren SCCs sind auf Anfrage über unser Support-Formular verfügbar.

7. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Nach Ablauf der Speicherfrist werden Daten sicher gelöscht oder anonymisiert.

Datenkategorie	Speicherdauer	Grundlage / Begründung
Nutzerkonto und Profildaten (Name, E-Mail, Bio, Interessen, Koordinaten, Einstellungen usw.)	Bis zur Kontolöschung; bis zu 30 Tage danach für Backup-Bereinigungszyklen	Art. 6 Abs. 1 lit. b DSGVO; Löschung auf Nutzeranfrage
Organisationsprofildaten (Name, Beschreibung, Logo usw.)	Bis zur Löschung der Organisation; bis zu 30 Tage danach für Backup-Bereinigungszyklen	Art. 6 Abs. 1 lit. b DSGVO; Löschung auf Administratoranfrage
Authentifizierungs-Cookies	Zugriffstoken: 24 Stunden; Refresh-Token: 30 Tage (automatisch ungültig bei Ablauf oder Abmeldung)	Art. 6 Abs. 1 lit. b DSGVO – Sitzungsverwaltung
Hochgeladene Dateien (Profilbilder und Logos)	Bis zur Ersetzung oder Löschung des zugehörigen Kontos oder der Organisation; bis zu 30 Tage danach	Art. 6 Abs. 1 lit. b DSGVO
Kontaktformulardaten	In unserer eigenen Datenbank nicht gespeichert nach Übermittlung an Brevo; danach gelten die Aufbewahrungsrichtlinien von Brevo	Art. 6 Abs. 1 lit. b DSGVO
Feedback-Daten (GitHub Issues)	Im GitHub-Repository bis zur manuellen Schließung oder Löschung; es gelten die Aufbewahrungsrichtlinien von GitHub	Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an Plattformverbesserung
Google-Drive-Verbindungsdaten (Konto-E-Mail, Ordner-IDs, Token)	Bis zur Trennung der Verbindung durch den Nutzer; sofortige Löschung bei Trennung	Art. 6 Abs. 1 lit. a DSGVO – Einwilligung; jederzeit widerruflich
API-Zugriffstoken (Hash)	Bis zum manuellen Widerruf durch den Nutzer in den Kontoeinstellungen	Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung
Fehlerprotokolle (Logtail / Better Stack)	Maximal 90 Tage, dann automatisch gelöscht durch den Protokollierungsdienst	Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an Plattformstabilität
Analyse-Sitzungsdaten	Browser-Sitzung (sessionStorage wird automatisch beim Schließen des Browsers oder Tabs gelöscht)	§ 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. a DSGVO
IP-Adressen (Rate-Limiting)	Ausschließlich im Arbeitsspeicher; automatisch innerhalb von 1 Stunde gelöscht; nie auf Datenträger geschrieben	Art. 6 Abs. 1 lit. f DSGVO – Missbrauchsschutz
Cookie-Einwilligungspräferenzen	365 Tage (erneuert bei jedem Besuch mit aktiver Einwilligung)	§ 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. c DSGVO – gesetzliche Pflicht zur Dokumentation der Einwilligung
Steuer- und Buchungsunterlagen (soweit vorhanden)	10 Jahre ab Ende des jeweiligen Geschäftsjahres	Art. 6 Abs. 1 lit. c DSGVO; § 147 AO; § 257 HGB

8. Ihre Rechte

Als betroffene Person stehen Ihnen nach der DSGVO folgende Rechte zu. Sie können diese Rechte kostenfrei ausüben, indem Sie uns über unser Support-Formular kontaktieren. Wir werden innerhalb eines Monats nach Eingang Ihrer Anfrage antworten (Art. 12 Abs. 3 DSGVO). Bei komplexen oder zahlreichen Anfragen kann diese Frist um bis zu zwei weitere Monate verlängert werden; wir werden Sie über die Verlängerung und deren Gründe innerhalb der ersten Monatsfrist informieren.

8.1 Auskunftsrecht – Art. 15 DSGVO

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten über Sie verarbeiten, und wenn ja, eine Kopie dieser Daten sowie Informationen über Verarbeitungszwecke, Datenkategorien, Empfänger, geplante Speicherdauer, Ihre Rechte und die Herkunft der Daten zu erhalten.

8.2 Recht auf Berichtigung – Art. 16 DSGVO

Sie haben das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten sowie die Vervollständigung unvollständiger Daten zu verlangen. Die meisten Profildaten können direkt in Ihren Kontoeinstellungen korrigiert werden.

8.3 Recht auf Löschung („Recht auf Vergessenwerden“) – Art. 17 DSGVO

Sie haben das Recht, die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt (z. B. Wegfall des Verarbeitungszwecks, Widerruf der Einwilligung, unrechtmäßige Verarbeitung). Die Kontolöschung kann direkt in den Kontoeinstellungen oder über unser Support-Formular beantragt werden. Bestimmte Daten können wir aufgrund gesetzlicher Aufbewahrungspflichten weiter vorhalten.

8.4 Recht auf Einschränkung der Verarbeitung – Art. 18 DSGVO

Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn Sie die Richtigkeit der Daten bestreiten, die Verarbeitung unrechtmäßig ist, wir die Daten nicht mehr benötigen, Sie sie jedoch für die Geltendmachung von Rechtsansprüchen benötigen, oder Sie Widerspruch gemäß Art. 21 DSGVO eingelegt haben und die Prüfung noch aussteht.

8.5 Recht auf Datenübertragbarkeit – Art. 20 DSGVO

Soweit die Verarbeitung auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder einem Vertrag (Art. 6 Abs. 1 lit. b DSGVO) beruht und automatisiert erfolgt, haben Sie das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON) zu erhalten und diese an einen anderen Verantwortlichen zu übermitteln. Einen Datenexport können Sie über unser Support-Formular beantragen.

8.6 Widerspruchsrecht – Art. 21 DSGVO

Sie haben das Recht, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) gestützt wird, Widerspruch einzulegen. Wir stellen die Verarbeitung ein, sofern wir keine zwingenden schutzwürdigen Gründe für die Verarbeitung nachweisen können, die Ihre Interessen, Rechte und Freiheiten überwiegen.

8.7 Widerruf der Einwilligung – Art. 7 Abs. 3 DSGVO

Soweit wir Ihre personenbezogenen Daten auf Basis Ihrer Einwilligung verarbeiten, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Sie können:

Die Einwilligung für Analyse-Cookies und -Speicher über das Cookie-Einwilligungsbanner oder den Cookie-Einstellungslink in der Fußzeile widerrufen
Optionale Profildaten (z. B. Standortkoordinaten, Interessen) durch Entfernen dieser Felder in den Kontoeinstellungen widerrufen
Die Einwilligung für die Google-Drive-Integration durch Trennung der Verbindung in den Workspace-Einstellungen widerrufen
Alle Verarbeitungen durch Löschung Ihres Kontos beenden

Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

8.8 Beschwerderecht – Art. 77 DSGVO

Unbeschadet anderer Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem EU-Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Die für unsere Organisation zuständige Aufsichtsbehörde ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden
Deutschland
E-Mail: [email protected]
Website: datenschutz.hessen.de

9. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um Ihre personenbezogenen Daten gegen zufällige oder rechtswidrige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugriff zu schützen:

Verschlüsselung der Übertragung: Alle Daten zwischen Ihrem Browser und unseren Servern werden über TLS 1.2 oder höher (HTTPS) übertragen. In Produktionsumgebungen erzwingen wir HSTS mit langer max-age.
Verschlüsselung im Ruhezustand: Auf der DigitalOcean-Infrastruktur gespeicherte Daten werden durch den Hosting-Anbieter im Ruhezustand verschlüsselt.
Sichere Authentifizierung: OAuth 2.0 mit PKCE (S256); JWTs werden serverseitig bei jeder Anfrage validiert; Token werden ausschließlich in httpOnly-, Secure- und SameSite=Lax-Cookies gespeichert, die für JavaScript nicht zugänglich sind.
Zugangskontrollen: Der Plattformzugriff ist durch rollenbasierte Zugriffskontrolle (RBAC) eingeschränkt. Nur autorisiertes Personal mit einem legitimen Bedarf hat Zugang zu Produktionssystemen und -daten.
Eingabevalidierung und -bereinigung: Alle Nutzereingaben werden serverseitig validiert und bereinigt. SVG-Logo-Uploads werden bereinigt, um Skripte und externe Referenzen zu entfernen. Bild-Uploads werden vor der Speicherung von EXIF-Metadaten befreit.
Token-Hashing: Persönliche API-Zugriffstoken werden ausschließlich als nicht umkehrbarer kryptografischer Hash gespeichert. Der vollständige Token wird weder protokolliert noch kann er nach der Erstellung wiederhergestellt werden.
Rate-Limiting und Bot-Schutz: Kontakt- und Feedback-Formulare sind durch IP-basiertes Rate-Limiting, Mindest-Absendedauer und Honeypot-Felder geschützt.
Sicherheits-Response-Header: Wir setzen Content-Security-Policy, X-Frame-Options, X-Content-Type-Options und Referrer-Policy über den Reverse-Proxy auf alle Antworten.
Minimale Datenhaltung: Wir speichern Daten nur so lange wie nötig und löschen kurzlebige Daten automatisch (z. B. Rate-Limit- Einträge innerhalb einer Stunde).

Keine Methode der Datenübertragung über das Internet und keine Methode der elektronischen Speicherung ist zu 100 % sicher. Im Falle einer Datenpannene, die voraussichtlich zu einem Risiko für Ihre Rechte und Freiheiten führt, werden wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen (Art. 33 DSGVO) und bei hohem Risiko auch die betroffenen Personen unverzüglich informieren (Art. 34 DSGVO).

10. Automatisierte Entscheidungsfindung und Profiling

Wir führen keine automatisierten Einzelentscheidungen einschließlich Profiling im Sinne des Art. 22 Abs. 1 DSGVO durch, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.

Die Matching-Funktionen der Plattform – die potenzielle Mitarbeiter, Netzwerkmitglieder oder Angebote auf Basis Ihrer ausgewählten Interessen- und Matching-Tags vorschlagen – sind reine algorithmische Empfehlungen und stellen keine automatisierten Entscheidungen im Sinne des Art. 22 DSGVO dar. Es werden keine Entscheidungen über den Zugang zu Diensten, Rechten oder Rechtsstatus automatisiert getroffen. Sie behalten die volle Kontrolle darüber, ob und wie Sie sich mit einem vorgeschlagenen Match befassen, und können Ihre Interessen und Tags jederzeit in den Profileinstellungen ändern oder entfernen.

11. Daten Minderjähriger

Die Plattform richtet sich nicht an Kinder oder Jugendliche unter 16 Jahren. Gemäß Art. 8 DSGVO erheben wir wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren. Mit der Kontoerstellung bestätigen Sie, mindestens 16 Jahre alt zu sein. Wo eine Einwilligung erforderlich ist und der Nutzer unter 16 Jahren ist, muss die Einwilligung durch einen Träger der elterlichen Verantwortung erteilt oder genehmigt werden.

Sollten wir Kenntnis erlangen, dass personenbezogene Daten einer Person unter 16 Jahren ohne entsprechende Einwilligung erhoben wurden, werden wir diese Daten unverzüglich löschen. Wenn Sie Elternteil oder Erziehungsberechtigter sind und glauben, dass Ihr Kind uns personenbezogene Daten bereitgestellt hat, wenden Sie sich bitte über unser Support-Formular an uns.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung von Zeit zu Zeit zu aktualisieren, um Änderungen unserer Datenverarbeitungspraktiken, der Plattformfunktionen, des geltenden Rechts oder der Leitlinien von Aufsichtsbehörden widerzuspiegeln. Bei wesentlichen Änderungen werden wir:

Das Datum „Stand“ am Anfang dieser Erklärung aktualisieren
Einen deutlichen Hinweis auf der Plattform über die Art der Änderungen anzeigen
Soweit nach anwendbarem Recht erforderlich oder bei neuen Verarbeitungszwecken eine neue Einwilligung einholen, bevor die Verarbeitung beginnt

Wir empfehlen Ihnen, diese Erklärung regelmäßig zu überprüfen. Frühere Versionen sind auf Anfrage über unser Support-Formular erhältlich.

13. Kontakt

Bei Fragen, Anliegen oder Anfragen zu dieser Datenschutzerklärung oder zur Verarbeitung Ihrer personenbezogenen Daten – einschließlich der Ausübung Ihrer Betroffenenrechte – wenden Sie sich bitte über unser Support-Formular an uns.

Unser Support-Team bemüht sich, innerhalb von 5 Werktagen zu antworten. Für formelle Anfragen zur Ausübung Ihrer Betroffenenrechte gemäß Art. 15–22 DSGVO werden wir innerhalb eines Monats antworten, wie es Art. 12 Abs. 3 DSGVO vorschreibt. Bei komplexen Anfragen oder mehreren Anfragen gleichzeitig kann diese Frist um bis zu zwei weitere Monate verlängert werden; wir informieren Sie darüber innerhalb der ersten Monatsfrist.