Datenschutzerklärung
Stand: 02.07.2026. Diese Datenschutzerklärung wird zurzeit überarbeitet — die juristische Schlussprüfung steht aus.
1. Verantwortlicher und Auftragsverarbeiter
Kurz erklärt: Wer hier verantwortlich ist und wen wir mit der Datenverarbeitung beauftragen.
Verantwortlicher im Sinne der DSGVO ist Wettenberg bleibt bunt e.V., Kontakt: kontakt@wettenberg-bleibt-bunt.de. Weitere Angaben siehe Impressum.
2. Zwecke und Rechtsgrundlagen
Kurz erklärt: Wir verarbeiten deine Daten nur, um die Plattform anzubieten, Hilfen zu vermitteln und gesetzliche Pflichten zu erfüllen — niemals für Werbung oder Profilbildung.
- Bereitstellung der Plattform und des Nutzerkontos: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung).
- Vermittlung und Koordination von Hilfsangeboten: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie ggf. lit. f (berechtigtes Interesse an Vereinsarbeit).
- Erfüllung gesetzlicher Pflichten und IT-Sicherheit: Art. 6 Abs. 1 lit. c und f DSGVO.
3. Verarbeitete Daten
Kurz erklärt: Wir speichern so wenig wie möglich — Konto-, Projekt-, Angebots- und Sicherheits-Logdaten. Keine Standortverläufe, keine Werbe-IDs.
- Konto: Name, E-Mail, Passwort-Hash, optional Telefonnummer und Ortsteil.
- Hilfsprojekte: Titel, Beschreibung, Status; Zuordnung zur einstellenden Person.
- Hilfsangebote: Beschreibung, Verfügbarkeit, optional Telefonnummer für Koordination.
- Einwilligungen: Zeitstempel, gehashte IP, gekürzter User-Agent, Versionshash der jeweiligen Texte.
- Sicherheits-/Audit-Logs: Aktion, Akteur, Zeit, gehashte IP – für Missbrauchserkennung.
4. Empfänger / Weitergabe
Kurz erklärt: Deine Kontaktdaten bleiben im Verein — nur berechtigte Koordinator:innen sehen sie, und nur wenn es für einen konkreten Hilfsfall nötig ist.
Kontaktdaten von Helfer:innen werden ausschließlich an berechtigte Koordinator:innen des Vereins weitergegeben, soweit erforderlich für die Abstimmung des konkreten Hilfsangebots. Eine Weitergabe an Dritte außerhalb des Vereins erfolgt nicht.
5. Hosting
6. E-Mail-Versand
An Helfer:innen werden Statusänderungs-Mails zu ihren eingereichten Hilfsangeboten nur dann versendet, wenn die zuständige Koordinator:in dies pro Vorgang ausdrücklich aktiviert. Der Mailtext wird im Einzelfall durch die Koordination redaktionell angepasst. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung — die Person hat ein Hilfsangebot eingereicht und kann Rückmeldung erwarten).
Bulk-Status-Mails an Helfer:innen eines Projekts: Koordinator:innen können allen Helfer:innen, die zu einem konkreten Projekt ein Hilfsangebot eingereicht haben, einen gemeinsamen Status-Text als personalisierte Einzel-Mail (kein CC/BCC — Empfänger sehen sich nicht gegenseitig) versenden. Zweck: Transparenz über Koordinationsstand und Wertschätzung der Hilfsbereitschaft. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung). Jede dieser Mails enthält einen Token-Link zum Abbestellen ohne Login (/helfer/abmelden?token=…), der diese Bulk-Status-Mails dauerhaft abschaltet. Die Abmeldung ist auch jederzeit über das Profil möglich. Der Versand wird intern protokolliert (Empfänger, Zeitpunkt, Versand-Status; E-Mail-Adresse nur als SHA-256-Hash, kein Klartext im Log).
Direkte Kommunikation mit Projekt-Eigentümer:innen: Koordinator:innen können dir, wenn du ein Projekt eingestellt hast, gezielte E-Mails senden (z. B. „Übersicht der eingegangenen Hilfsangebote", „Terminvorschlag", „Statusabfrage"). Diese Mails gehen ausschließlich an die im Konto hinterlegte E-Mail. Außerdem werden interne Gesprächsnotizen aus Telefonaten oder Treffen protokolliert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung — du hast über die Plattform Hilfe gesucht und erwartest Rückmeldung). Speicherung wie oben: Klartext-Inhalte nur für berechtigte Koordinator:innen und Admins sichtbar, E-Mail-Adresse als SHA-256-Hash im Audit. Du kannst jederzeit die Löschung deines Kontos und damit aller Kontakteinträge beantragen.
Antworten auf unsere Mails (IMAP-Ingest): Wenn du auf eine E-Mail der Koordination antwortest, ruft die Plattform diese Antwort automatisch aus ihrem Postfach ab und ordnet sie über den In-Reply-To-Header der ursprünglichen Mail zu. Die Antwort erscheint dann im Kontaktverlauf des entsprechenden Vorgangs — sichtbar nur für berechtigte Koordinator:innen und Admins. So gehen wichtige Rückmeldungen nicht im Mailpostfach verloren. Anhänge werden derzeit nicht eingelesen. Wenn du die automatische Verarbeitung deiner Antworten nicht möchtest, schreib uns kurz an kontakt@wettenberg-bleibt-bunt.de — wir markieren den Thread dann manuell als »kein Ingest« und führen die Kommunikation offline weiter. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: wie ausgehende Mails (siehe § 8).
Weiterleitung an Koordinator:innen: Eingehende Antworten zu einem konkreten Projekt werden zusätzlich automatisch per E-Mail (mit der Original-Antwort als .eml-Anhang) an die für das Projekt eingetragene Koordinatorin / den Koordinator und ihre/seine Stellvertretung weitergeleitet, damit sie ohne Login direkt im eigenen Mailprogramm reagieren können. Der Versand erfolgt nur an Vereinsmitglieder mit Koordinationsrolle. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).
7. Cookies / Sessions
Kurz erklärt: Nur technische Cookies, kein Tracking, keine Werbe-IDs, keine externen Schriften.
Es werden ausschließlich technisch notwendige Sitzungs-Cookies gesetzt. Es kommen keine Tracking- oder Marketing-Cookies und keine externen Trackingdienste zum Einsatz. Schriftarten werden vom eigenen Server bzw. als Systemfonts ausgeliefert.
8. Speicherdauer
- Nutzerkonto: bis zur Löschung/Anonymisierung durch die Person oder bei längerer Inaktivität nach Vereinsbeschluss (siehe Löschkonzept).
- Audit-Logs: max. 12 Monate, sofern nicht zur Aufklärung eines Sicherheitsvorfalls länger benötigt.
- Tokens (Verifikation, Passwort-Reset): bis Ablauf, max. 3 Tage.
9a. Helfer:innen-Profil und Kontaktaufnahme
Auf freiwilliger Basis kannst du im Profil Hilfekategorien auswählen, eine Verfügbarkeitsmatrix (Wochentag × Tageszeit) befüllen, einen Freitext hinterlegen und Bilder von Gegenständen anfügen, die du anbieten kannst. Mit einer separaten, ausdrücklichen Einwilligung („Outreach-Consent") dürfen Vereinskoordinator:innen dich bei passenden zukünftigen Projekten in den gewählten Kategorien persönlich kontaktieren (E-Mail/Telefon). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Der Widerruf ist jederzeit im Profil möglich; bestehende Profildaten bleiben erhalten, aber die Kontaktaufnahme wird gestoppt. Bilder im Profil und an Hilfsangeboten sind nicht öffentlich; sie werden ausschließlich Vereins-Admins/-Koordinator:innen angezeigt.
9b. Anonymisiertes öffentliches Helfer:innen-Verzeichnis
Mit einer weiteren, ausdrücklichen Einwilligung („Public-Profile-Consent") darf dein Profil anonymisiert auf der öffentlichen Seite /helfer-profile angezeigt werden. Sichtbar werden ausschließlich: ein Pseudonym (z.B. „Helfer:in #a1b2c3"), Ortsteil, ausgewählte Hilfekategorien, Verfügbarkeitsmatrix und (auf 280 Zeichen gekürzt) deine Beschreibung. Niemals sichtbar: Name, E-Mail, Telefonnummer, Bilder. Diese Einwilligung ist jederzeit ohne Begründung im Profil widerrufbar. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
9. Zwei-Faktor-Authentifizierung (2FA)
Bei Aktivierung wird ein TOTP-Geheimnis gespeichert (AES-256-GCM verschlüsselt). Backup-Codes werden ausschließlich als Hash gespeichert.
10. Betroffenenrechte
Kurz erklärt: Du kannst jederzeit Auskunft, Berichtigung, Löschung oder Datenübertragung verlangen. Schreib uns einfach eine E-Mail.
Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO; in Hessen: HBDI).
11. Datenexport / -löschung
Im Profil kann ein JSON-Export aller eigenen Daten erzeugt und das Konto anonymisiert werden.
12. Sicherheit
Passwörter werden mit Argon2id gespeichert. Verbindungen erfolgen ausschließlich über HTTPS. Es gelten Sicherheitsheader (CSP, HSTS, X-Content-Type-Options, Referrer-Policy, Permissions-Policy).
TODO vor Produktivgang: Behördenadresse Hessischer Beauftragter für Datenschutz und Informationsfreiheit einfügen, AVV mit Infomaniak verlinken/dokumentieren, Speicherfristen final festlegen, juristische Prüfung.
