Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO (Art. 4 Nr. 7) ist:

David Hirsekorn

Schallemicher Str. 216, 51519 Odenthal

2. Allgemeine Hinweise & Hosting

Hosting & Server-Logfiles

datly wird auf Shared-Hosting bei all-inkl.com (Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf) betrieben. Der Hoster erhebt automatisch Server-Logfiles: Browsertyp, Betriebssystem, Referrer-URL, Hostname, Uhrzeit und IP-Adresse. Diese Daten werden nicht mit anderen Quellen zusammengeführt und nach kurzer Zeit automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb). Informationen zur Datenverarbeitung durch all-inkl.com: all-inkl.com/datenschutzinformationen/

Technische Sicherheit

Die Anwendung verwendet sichere Session-Cookies (HttpOnly, SameSite=Lax) sowie CSRF-Token-Schutz bei allen Formularen. Passwörter werden ausschließlich als bcrypt-Hash gespeichert – kein Klartext-Passwort wird je gespeichert. Der HTTP-Header Strict-Transport-Security (HSTS) erzwingt ausschließlich HTTPS-Verbindungen (max-age=1 Jahr, inkl. Subdomains).

3. Cookies

Diese Anwendung verwendet ausschließlich technisch notwendige Session-Cookies. Diese Cookies speichern eine zufällige Session-ID und sind für den Betrieb der Anwendung (Login-Status, CSRF-Schutz) unbedingt erforderlich.

Kein Tracking, kein Profiling, keine Werbe-Cookies
Keine Weitergabe von Cookie-Daten an Dritte
Session-Cookie (PHPSESSID): wird beim Schließen des Browsers gelöscht; speichert Login-Status und CSRF-Token
Sprachpräferenz-Cookie (datly_lang): wird gesetzt, wenn du die Sprache (DE/EN) wechselst; speichert deine Sprachauswahl für 1 Jahr; rein funktional, kein Tracking

Da ausschließlich technisch notwendige Cookies verwendet werden, ist kein Cookie-Consent erforderlich. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Nutzung des Dienstes).

4. Registrierung & Benutzerkonto

Wenn du ein Konto erstellst, werden folgende Daten gespeichert:

Benutzername (Pflichtfeld)
E-Mail-Adresse (Pflichtfeld)
Vollständiger Name (optional)
Passwort-Hash (bcrypt, kein Klartext-Passwort)
Sprachpräferenz (DE/EN, optional, wird aus Browser-Einstellungen übernommen oder manuell gesetzt)
Erstellungsdatum des Kontos

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Nutzung des Dienstes). Die Daten werden gelöscht, wenn du dein Konto löschst (möglich über die Profileinstellungen).

5. Umfragen erstellen

Beim Erstellen einer Umfrage werden gespeichert:

Titel und optionale Beschreibung der Umfrage
Abstimmungsoptionen (Termine / freie Tage)
Optionale E-Mail-Adresse für Benachrichtigungen
Optionales Ablaufdatum
Erstellungszeitpunkt
Zuordnung zum Benutzerkonto (falls eingeloggt)
Bestätigter finaler Termin (sofern vom Ersteller festgelegt, als Verweis auf eine Terminoption)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Die Daten werden gelöscht, wenn du die Umfrage über die Administrationsfunktion löschst.

6. Abstimmung (Teilnahme)

Wenn jemand an einer Umfrage teilnimmt, werden gespeichert:

Anzeigename (selbst eingegeben; rein kosmetisch, kein Identitätsmerkmal)
Abgegebene Stimmen (Ja/Vielleicht/Nein je Option bei Terminumfragen; gewählte Tage bei freien Kalenderumfragen)
Abstimmungszeitpunkt (Zeitstempel der letzten Änderung)
E-Mail-Adresse (Pflichtfeld für anonyme, nicht eingeloggte Teilnehmer; dient als Identitätsanker – die E-Mail, nicht der Anzeigename, identifiziert den Teilnehmer eindeutig in einer Umfrage; ermöglicht außerdem E-Mail-Benachrichtigungen und den Erhalt des persönlichen Edit-Links; eingeloggte Nutzer haben ihre E-Mail bereits im Konto hinterlegt)
Opt-in für E-Mail-Benachrichtigungen (freiwillig; anonyme Teilnehmer können optional zustimmen, bei neuen Abstimmungen, beim Schließen der Umfrage und bei Bestätigung eines finalen Termins benachrichtigt zu werden)
Edit-Token (ein anonymer Link, über den der Teilnehmer seine Stimmabgabe nachträglich bearbeiten kann; wird dauerhaft gespeichert, solange die Umfrage existiert)
Zuordnung zum Benutzerkonto (falls der Teilnehmer eingeloggt ist; wird auch nachträglich gesetzt, wenn ein Gast-Teilnehmer sich mit derselben E-Mail-Adresse registriert oder einloggt)

Nicht eingeloggte Teilnehmer benötigen kein Konto. Die E-Mail-Adresse ist bei anonymen Teilnehmern der tatsächliche Identitätsanker – ein Namenswechsel erzeugt keinen neuen Datensatz, solange dieselbe E-Mail verwendet wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Nutzung des Abstimmungsdienstes). Alle Stimmabgaben werden bei Löschung der Umfrage mitgelöscht.

7. IP-Adressen & Rate-Limiting

Zum Schutz vor Missbrauch (mehrfaches Abstimmen) werden IP-Adressen für Rate-Limiting-Zwecke temporär gespeichert. Die IP-Adresse wird dabei anonymisiert gespeichert (IPv4: letztes Oktet wird auf 0 gesetzt; IPv6: nur die ersten 4 Gruppen werden gespeichert).

Speicherdauer: maximal 1 Stunde
Zweck: Schutz vor Abstimmungsmissbrauch (Rate-Limiting)
Kein Rückschluss auf einzelne Personen möglich

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem fairen und sicheren Abstimmungsprozess).

Darüber hinaus werden folgende sicherheitsbezogene Zähler ausschließlich sitzungsbasiert (in der PHP-Session) gespeichert und beim Session-Ende automatisch gelöscht – es werden keine personenbezogenen Datensätze angelegt:

Login-Versuche: Fehlgeschlagene Anmeldeversuche werden gezählt (max. 5 innerhalb von 15 Minuten). Bei Überschreitung wird der Login temporär gesperrt.
Passwort-Reset-Anfragen: Die Anzahl der angeforderten Passwort-Reset-E-Mails wird begrenzt (max. 3 pro Stunde).

8. Externe Dienste (CDN)

Diese Anwendung lädt aktuell folgende Ressourcen von externen Anbietern:

Bootstrap CSS/JS von jsdelivr.net (jsDelivr, Rafal Freyman, Polen/USA)
Font Awesome CSS von cdnjs.cloudflare.com (Cloudflare Inc., USA)

Beim Laden dieser Ressourcen wird deine IP-Adresse an die jeweiligen Anbieter übertragen. Dies lässt sich technisch nicht vermeiden, solange externe CDNs genutzt werden. Beide Anbieter sind nach aktuellem Stand DSGVO-konform (Standardvertragsklauseln / Angemessenheitsbeschluss).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Bereitstellung der Anwendung).

Hinweis: Für maximalen Datenschutz ist geplant, diese Bibliotheken lokal zu hosten. Dann werden keine Daten an externe Anbieter übertragen.

9. E-Mail-Benachrichtigungen

datly versendet E-Mails in folgenden Situationen:

Kontoaktivierung: Nach der Registrierung wird eine E-Mail mit Aktivierungslink versandt. Das Token ist 24 Stunden gültig und wird danach gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Passwort-Reset: Auf Anfrage wird ein Passwort-Reset-Link versandt. Das Token ist 1 Stunde gültig und wird nach Verwendung oder Ablauf gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
E-Mail-Adresse ändern: Möchte ein registrierter Nutzer seine E-Mail-Adresse ändern, wird zunächst ein Bestätigungslink an die neue Adresse versandt. Die Adresse wird erst nach Klick auf diesen Link geändert. Das Token ist 24 Stunden gültig und wird nach Verwendung oder Ablauf gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Abstimmungs-Benachrichtigung (neue Stimme): Wenn in einer Umfrage eine neue Stimme abgegeben wird, werden der Ersteller der Umfrage (sofern eine E-Mail hinterlegt ist), alle registrierten Teilnehmer sowie alle anonymen Teilnehmer mit aktiviertem Benachrichtigungs-Opt-in per E-Mail informiert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Umfrage geschlossen: Wenn der Ersteller eine Umfrage manuell schließt, erhalten der Ersteller (mit Admin-Link), alle registrierten Teilnehmer (mit Teilnahme-Link) sowie alle anonymen Teilnehmer mit Benachrichtigungs-Opt-in (mit Teilnahme-Link) eine Zusammenfassungs-E-Mail. Jeder Empfänger erhält die E-Mail in seiner eingestellten Sprache (DE/EN). Der Admin-Link wird aus Sicherheitsgründen nur an den Ersteller versandt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Erinnerungsmail (manuell): Der Umfrage-Ersteller kann über die Administrations-Seite manuell Erinnerungs-E-Mails an eine selbst eingetragene Liste von E-Mail-Adressen versenden, um Teilnehmer zur Abstimmung aufzufordern. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Erstellers an der Durchführung seiner Umfrage).
Ablauf-Erinnerung: 24 Stunden vor Ablauf einer Umfrage wird der Ersteller per E-Mail erinnert (sofern eine E-Mail hinterlegt ist). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Passwortänderungs-Bestätigung: Nach einer Passwortänderung wird eine Bestätigungs-E-Mail versandt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Terminbestätigung: Wenn der Ersteller einer Umfrage einen finalen Termin festlegt, werden alle Teilnehmer mit hinterlegter E-Mail-Adresse automatisch benachrichtigt. Die E-Mail enthält den bestätigten Termin sowie einen Link zum Herunterladen einer Kalenderdatei (.ics). Die Benachrichtigung erfolgt in der jeweiligen Sprache des Empfängers (DE/EN). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Ablauf & automatische Terminauswahl: Wenn eine Umfrage abläuft, wird der Ersteller per E-Mail aufgefordert, einen Termin festzulegen. Gibt es nur eine Terminoption, wird diese automatisch bestätigt und alle Teilnehmer mit E-Mail-Adresse werden benachrichtigt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Support-Kopie (optional): Wenn du das Support-Formular verwendest und die entsprechende Checkbox aktivierst, erhältst du eine Bestätigungs-E-Mail mit einer Zusammenfassung deiner Anfrage. Diese Funktion ist freiwillig und du kannst sie bei jeder Anfrage neu entscheiden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

E-Mail-Adressen werden ausschließlich für die genannten Zwecke verwendet und nicht an Dritte weitergegeben. E-Mails werden über den Mailserver von all-inkl.com versandt (siehe Punkt 2).

10. Support-Kontaktformular

Über das Support-Formular kannst du uns Fragen stellen, Fehler melden oder Feature-Wünsche einreichen. Dabei werden folgende Daten verarbeitet:

Name (selbst eingegeben)
E-Mail-Adresse (für Rückmeldung, selbst eingegeben)
Kategorie der Anfrage (Allgemeine Frage / Bug / Feature-Wunsch)
Nachrichtentext
Sprache der Benutzeroberfläche (DE/EN)
Benutzer-ID (nur wenn eingeloggt)
Anonymisierte IP-Adresse (für Anti-Spam-Zwecke, letztes IPv4-Oktet auf 0 gesetzt)

Diese Daten werden per E-Mail an support@datly.eu übermittelt und ausschließlich zur Bearbeitung deiner Anfrage verwendet. Sie werden nicht anderweitig gespeichert oder weitergegeben.

Rate-Limiting: Zur Vermeidung von Spam ist die Anzahl der Anfragen auf 3 pro Stunde pro Session begrenzt. Dazu werden Zeitstempel temporär in deiner Session gespeichert (kein personenbezogener Datensatz).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Support-Anfragen und Schutz vor Missbrauch).

11. Deine Rechte als betroffene Person

Du hast gemäß DSGVO folgende Rechte gegenüber dem Verantwortlichen:

Auskunft (Art. 15 DSGVO)

Du kannst Auskunft über die zu deiner Person gespeicherten Daten verlangen.

Berichtigung (Art. 16 DSGVO)

Du kannst die Berichtigung unrichtiger oder unvollständiger Daten verlangen. Im eingeloggten Bereich kannst du Name und E-Mail-Adresse selbst in den Profileinstellungen ändern.

Löschung (Art. 17 DSGVO)

Du kannst die Löschung deiner Daten verlangen. Du kannst dein Konto jederzeit selbst über die Profileinstellungen dauerhaft löschen. Dabei werden alle gespeicherten Kontodaten entfernt.

Einschränkung der Verarbeitung (Art. 18 DSGVO)

Du kannst unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.

Datenportabilität (Art. 20 DSGVO)

Du kannst verlangen, die dich betreffenden Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.

Widerspruch (Art. 21 DSGVO)

Du kannst der Verarbeitung deiner Daten widersprechen, soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) basiert.

Beschwerde bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde richtet sich nach deinem Wohnort oder dem Ort des mutmaßlichen Verstoßes.

12. Weitergabe an Dritte

Deine personenbezogenen Daten werden nicht verkauft oder zu Werbezwecken weitergegeben. Eine Übermittlung erfolgt ausschließlich an die unter Punkt 8 genannten CDN-Anbieter (technisch bedingt) sowie an staatliche Behörden, soweit ich gesetzlich dazu verpflichtet bin.

13. Konto löschen

Du kannst dein Benutzerkonto jederzeit über die Profileinstellungen dauerhaft löschen. Dabei werden dein Benutzername, deine E-Mail-Adresse und alle weiteren Kontodaten unwiderruflich gelöscht. Deine bereits erstellten Umfragen bleiben bestehen, verlieren aber den Bezug zu deinem Konto.

14. Kontakt für Datenschutzanfragen

Für alle Fragen zum Datenschutz sowie zur Ausübung deiner Rechte (Auskunft, Berichtigung, Löschung etc.) wende dich bitte direkt an mich:

David Hirsekorn · d@hirse.eu