Datenschutzerklärung
Stand: 13.05.2026. Hinweis: Dieser Text ist eine Vorlage für das MVP und vor Produktivgang juristisch zu prüfen.
1. Verantwortlicher und Auftragsverarbeiter
Verantwortlicher im Sinne der DSGVO ist Wettenberg bleibt bunt e.V., Kontakt: info@wettenberg-bleibt-bunt.de. Weitere Angaben siehe Impressum.
2. Zwecke und Rechtsgrundlagen
- Bereitstellung der Plattform und des Nutzerkontos: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung).
- Vermittlung und Koordination von Hilfsangeboten: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie ggf. lit. f (berechtigtes Interesse an Vereinsarbeit).
- Erfüllung gesetzlicher Pflichten und IT-Sicherheit: Art. 6 Abs. 1 lit. c und f DSGVO.
3. Verarbeitete Daten
- Konto: Name, E-Mail, Passwort-Hash, optional Telefonnummer und Ortsteil.
- Hilfsprojekte: Titel, Beschreibung, Status; Zuordnung zur einstellenden Person.
- Hilfsangebote: Beschreibung, Verfügbarkeit, optional Telefonnummer für Koordination.
- Einwilligungen: Zeitstempel, gehashte IP, gekürzter User-Agent, Versionshash der jeweiligen Texte.
- Sicherheits-/Audit-Logs: Aktion, Akteur, Zeit, gehashte IP – für Missbrauchserkennung.
4. Empfänger / Weitergabe
Kontaktdaten von Helfer:innen werden ausschließlich an berechtigte Koordinator:innen des Vereins weitergegeben, soweit erforderlich für die Abstimmung des konkreten Hilfsangebots. Eine Weitergabe an Dritte außerhalb des Vereins erfolgt nicht.
5. Hosting
6. E-Mail-Versand
An Helfer:innen werden Statusänderungs-Mails zu ihren eingereichten Hilfsangeboten nur dann versendet, wenn die zuständige Koordinator:in dies pro Vorgang ausdrücklich aktiviert. Der Mailtext wird im Einzelfall durch die Koordination redaktionell angepasst. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung — die Person hat ein Hilfsangebot eingereicht und kann Rückmeldung erwarten). Es findet kein automatischer Massenversand statt.
7. Cookies / Sessions
Es werden ausschließlich technisch notwendige Sitzungs-Cookies gesetzt. Es kommen keine Tracking- oder Marketing-Cookies und keine externen Trackingdienste zum Einsatz. Schriftarten werden vom eigenen Server bzw. als Systemfonts ausgeliefert.
8. Speicherdauer
- Nutzerkonto: bis zur Löschung/Anonymisierung durch die Person oder bei längerer Inaktivität nach Vereinsbeschluss (siehe Löschkonzept).
- Audit-Logs: max. 12 Monate, sofern nicht zur Aufklärung eines Sicherheitsvorfalls länger benötigt.
- Tokens (Verifikation, Passwort-Reset): bis Ablauf, max. 3 Tage.
9a. Helfer:innen-Profil und Kontaktaufnahme
Auf freiwilliger Basis kannst du im Profil Hilfekategorien auswählen, eine Verfügbarkeitsmatrix (Wochentag × Tageszeit) befüllen, einen Freitext hinterlegen und Bilder von Gegenständen anfügen, die du anbieten kannst. Mit einer separaten, ausdrücklichen Einwilligung („Outreach-Consent") dürfen Vereinskoordinator:innen dich bei passenden zukünftigen Projekten in den gewählten Kategorien persönlich kontaktieren (E-Mail/Telefon). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Der Widerruf ist jederzeit im Profil möglich; bestehende Profildaten bleiben erhalten, aber die Kontaktaufnahme wird gestoppt. Bilder im Profil und an Hilfsangeboten sind nicht öffentlich; sie werden ausschließlich Vereins-Admins/-Koordinator:innen angezeigt.
9b. Anonymisiertes öffentliches Helfer:innen-Verzeichnis
Mit einer weiteren, ausdrücklichen Einwilligung („Public-Profile-Consent") darf dein Profil anonymisiert auf der öffentlichen Seite /helfer-profile angezeigt werden. Sichtbar werden ausschließlich: ein Pseudonym (z.B. „Helfer:in #a1b2c3"), Ortsteil, ausgewählte Hilfekategorien, Verfügbarkeitsmatrix und (auf 280 Zeichen gekürzt) deine Beschreibung. Niemals sichtbar: Name, E-Mail, Telefonnummer, Bilder. Diese Einwilligung ist jederzeit ohne Begründung im Profil widerrufbar. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
9. Zwei-Faktor-Authentifizierung (2FA)
Bei Aktivierung wird ein TOTP-Geheimnis gespeichert (AES-256-GCM verschlüsselt). Backup-Codes werden ausschließlich als Hash gespeichert.
10. Betroffenenrechte
Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO; in Hessen: HBDI).
11. Datenexport / -löschung
Im Profil kann ein JSON-Export aller eigenen Daten erzeugt und das Konto anonymisiert werden.
12. Sicherheit
Passwörter werden mit Argon2id gespeichert. Verbindungen erfolgen ausschließlich über HTTPS. Es gelten Sicherheitsheader (CSP, HSTS, X-Content-Type-Options, Referrer-Policy, Permissions-Policy).
TODO vor Produktivgang: Behördenadresse Hessischer Beauftragter für Datenschutz und Informationsfreiheit einfügen, AVV mit IONOS verlinken/dokumentieren, Speicherfristen final festlegen, juristische Prüfung.