Information nach Art. 13 DSGVO
Datenschutzerklärung
Diese Erklärung beschreibt, welche personenbezogenen Daten wir verarbeiten, auf welcher Rechtsgrundlage, wie lange und mit wem. Stand: 2026-05-09. Eine juristische Schlussprüfung folgt vor dem öffentlichen Beta-Start.
1. Verantwortlicher
Christian Fischer, Nibelungenstraße 10, 6850 Dornbirn, Österreich. Kontakt: mach@unsere.site.
Aufsichtsbehörde: Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien (dsb.gv.at).
2. Zwecke und Rechtsgrundlagen
- Konto und Anmeldung — Magic-Link-Login mit E-Mail, gehashte Tokens. Rechtsgrundlage: Art. 6 (1) (b) DSGVO (Vertrag).
- Inhalte Ihrer Initiative — Forderung, Story, Team-Daten, Impressum-Felder. Rechtsgrundlage: Art. 6 (1) (b) DSGVO.
- Audit-Log — IP, User-Agent, Action, Ziel-ID. Zweck: Missbrauchs-Erkennung, Nachvollziehbarkeit von Veröffentlichungen. Rechtsgrundlage: Art. 6 (1) (f) DSGVO (berechtigtes Interesse).
- KI-gestützter Inhaltsentwurf — Forderung, Ort, Aktion gehen an den konfigurierten KI-Anbieter. Rechtsgrundlage: Art. 6 (1) (b) DSGVO.
- Mailversand — Magic-Link, Plattform-Mitteilungen über Resend. Rechtsgrundlage: Art. 6 (1) (b) DSGVO.
3. Speicherdauer
- Konto und Inhalte: bis zur Löschung durch Sie.
- Audit-Log: sicherheitsrelevante Ereignisse 12 Monate, Moderationsentscheidungen 24 Monate. Danach werden personenbezogene Felder (E-Mail, IP, User-Agent) automatisch pseudonymisiert; die Aktionen bleiben anonymisiert für Statistik.
- Magic-Link-Tokens: gehasht in der DB, nach Verbrauch oder Ablauf gelöscht.
- Sitzungen: Standard 30 Tage, früher mit Logout.
4. Auftragsverarbeiter und Sub-Processors
Folgende Anbieter verarbeiten Daten in unserem Auftrag. AVV/DPA liegen vor bzw. werden vor produktiver Nutzung unterzeichnet:
- App-Hosting
- Vercel Inc. (US-Konzern, EU-Subprocessor in Frankfurt). DPF-zertifiziert; ergänzend EU-SCC.
- Datenbank
- Neon (Databricks Inc., US), Region
eu-central-1Frankfurt. Datenbank-Inhalt verlässt die EU nicht; AVV-fähig. - E-Mail-Versand
- Resend Inc. (US, AVV abgeschlossen). Magic-Link- und Service-Mails laufen über Resend.
- KI-Inhaltsentwurf
- Mistral AI SAS (Frankreich, EU-Hosting). Wird aktiviert, sobald Account und AVV finalisiert sind. Bis dahin lokaler Placeholder ohne externe Übertragung.
- DNS
- IONOS SE (Deutschland) — Domain-Verwaltung und DNS-Auflösung.
- GitHub-Repository
- GitHub Inc. (US-Konzern, DPF-zertifiziert) — Quellcode und Code-Audit-Trails. Keine Endnutzer-Inhalte.
Drittlandtransfer findet bezüglich Vercel-, Resend- und GitHub-Konzernzugriff statt; abgesichert über EU-Standardvertragsklauseln und DPF.
5. Technisch-organisatorische Maßnahmen
- HTTPS überall, HSTS auf der Plattform.
- Sessions sind host-spezifisch gepinnt (kein Cookie-Leak auf Tenant-Subdomains).
- Magic-Link-Tokens werden HMAC-SHA-256 gehasht in der Datenbank abgelegt.
- Strenge Content-Security-Policy pro Initiative-Subdomain.
- State-Machine-Trigger in Postgres verhindern inkonsistente Veröffentlichungen.
- Trigger-Suite läuft als CI-Job vor jedem Merge.
6. Was wir nicht tun
- Kein Marketing- oder Reichweiten-Tracking, keine Werbe-Cookies.
- Keine Cookie-Banner auf den erzeugten Initiative-Seiten.
- Keine Weitergabe Ihrer Inhalte an Werbenetzwerke.
Hinweis zur Sicherheits-Telemetrie: zur Missbrauchsabwehr loggen wir IP-Adresse und User-Agent zusammen mit relevanten Aktionen im Audit-Log. Das ist kein Marketing-Tracking, sondern dokumentierter Schutz nach Art. 6 (1) (f) DSGVO und unterliegt der oben genannten Pseudonymisierung.
7. Ihre Rechte
- Auskunft (Art. 15 DSGVO): Im Dashboard können Sie Ihre Audit-Spuren als CSV oder JSON herunterladen. Vollständige Konto-Auskunft auf Anfrage an mach@unsere.site.
- Berichtigung (Art. 16) — über Editor-Modus oder Mail.
- Löschung (Art. 17) — Self-Service-Konto-Löschung im Dashboard verfügbar; offene Sites werden vor der Löschung archiviert.
- Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21).
- Beschwerderecht bei der Aufsichtsbehörde (siehe oben).
8. Cookies
Wir setzen ausschließlich technisch erforderliche Cookies (Session-Cookie für Login, CSRF-Schutz). Diese sind nach § 165 (3) TKG (Österreich) bzw. § 25 (2) (2) TTDSG (Deutschland) zustimmungsfrei. Werbe-, Analyse- oder Drittanbieter-Cookies kommen nicht zum Einsatz.
9. Stand und Änderungen
Diese Erklärung wird gepflegt, wenn sich Verarbeitungen oder Anbieter ändern. Den aktuellen Stand finden Sie immer hier: /datenschutz. Letzte Änderung: 2026-05-09.