Datenschutzerklärung (Align)

2.1 Konto- und Identitätsdaten

• Name / Anzeigename (erforderlich; kann ein Spitzname sein und muss nicht Ihr rechtlicher Name sein)
• E-Mail-Adresse (optional, wenn Sie Ihr Konto erweitern)

2.2 Veranstaltungs- und Verfügbarkeitsdaten (Kerndienst)

• Veranstaltungstitel
• Erwarteter Datums-/Zeitraum
• Veranstaltungsdauer in Tagen
• Optionale erwartete Teilnehmerzahl
• Teilnehmerlisten und Einladungs-/Teilnahmestatus
• Von Teilnehmern eingereichte Verfügbarkeitszeiträume (einschließlich Ihrer Zeitzone sowie, falls verwendet, Präferenzstufen und Notizen)

2.3 Kalenderdaten (optional, nur Mobile App)

Wenn Sie auf iOS/Android den Kalenderzugriff aktivieren, liest die Mobile App Kalenderinformationen lokal auf Ihrem Gerät, um belegte Tage zu identifizieren. Es wird ausschließlich ein tagesbezogener Belegt-/Frei-Status auf unseren Server übertragen — Veranstaltungstitel, Zeiten, Kalendernamen oder andere Details werden niemals an unsere Server übermittelt. Alle detaillierten Kalenderinformationen verbleiben ausschließlich lokal auf Ihrem Gerät gespeichert.

Wir schreiben keine Gerätekalendereinträge und ändern oder löschen diese nicht. Der Kalenderzugriff ist optional; Sie können Align ohne Gewährung von Kalenderberechtigungen nutzen.

2.4 Benachrichtigungen und Gerätedaten

• Push-Benachrichtigungstoken für Mobilgeräte und Web (nur gespeichert, wenn Sie die Benachrichtigungsberechtigung erteilen; nur zum Senden von Dienstbenachrichtigungen verwendet)
• Grundlegende technische Protokolldaten, die für Sicherheit und Betrieb erforderlich sind (z. B. IP-Adresse und Zeitstempel in Serverprotokollen)

2.5 E-Mail-Verifizierung und Magic-Link-Authentifizierung

Wir nutzen Brevo (Transaktions-E-Mail), um einmalige Magic-Link-Token an Ihre E-Mail-Adresse zu senden. Diese Token werden für die E-Mail-Verifizierung und für die passwortlose Anmeldung verwendet (z. B. beim Einloggen in einem anderen Browser oder auf einem anderen Gerät). Token sind temporär und verfallen nach der Nutzung.

3.1 Notwendige Cookies

Die Web-App verwendet ausschließlich notwendige Cookies, wie:

• Sitzungs-/Authentifizierungs-Cookies (z. B. JWT in einem httpOnly-Cookie)
• Sicherheitsschutz (z. B. CSRF-Schutz, sofern anwendbar)

Diese Cookies sind erforderlich, um den Dienst bereitzustellen. Wir verwenden keine Analyse- oder Marketing-Cookies und keine Tracking-Pixel.

Weitere Informationen zu den von uns verwendeten Cookies finden Sie unter /cookie-preferences.

4.1 Bereitstellung des Dienstes (Art. 6 Abs. 1 lit. b – Vertrag)

• Erstellen und Verwalten von Konten
• Erstellen/Beitreten von Veranstaltungen, Einladungen, Teilnehmerverwaltung
• Verarbeitung von Verfügbarkeitseingaben und Berechnung vorgeschlagener Daten/Zeiträume
• Synchronisierung und Speicherung von für den Dienst erforderlichen Daten

4.2 Sicherheit und Dienstintegrität (Art. 6 Abs. 1 lit. f – berechtigte Interessen)

• Missbrauchsprävention (z. B. Ratenbegrenzung)
• Aufrechterhaltung der Zuverlässigkeit, Fehlerbehebung und Schutz des Dienstes

4.3 Einwilligung für optionale Funktionen (Art. 6 Abs. 1 lit. a – Einwilligung)

• Kalenderzugriff (Geräteberechtigung; Mobile App)
• Push-Benachrichtigungen (Geräteberechtigung; Mobile App/Web, sofern anwendbar)

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Berechtigungen in Ihren Geräte-/Browsereinstellungen deaktivieren.

5.1 Weitergabe an andere Nutzer (Ihre Wahl)

Ihr Name (Anzeigename) und die von Ihnen für eine Veranstaltung eingereichte Verfügbarkeit werden nur mit Teilnehmern dieser spezifischen Veranstaltung geteilt.

5.2 Dienstleister (Auftragsverarbeiter)

Wir nutzen die folgenden Auftragsverarbeiter für den Betrieb von Align:

• Hosting (Serverinfrastruktur): STRATO GmbH (Berlin, Deutschland) für das Server-Hosting, auf dem Coolify läuft.
• Datenbank und Dateispeicher: Selbst gehostetes Supabase (PostgreSQL), von uns betrieben und auf STRATO-Infrastruktur gehostet.
• Transaktions-E-Mail: Brevo (für E-Mail-Verifizierung, Magic-Link-Authentifizierung und Einladungen).
• Push-Benachrichtigungen (Mobile App): Expo Push Services (die an Apple Push Notification Service (APNs) und/oder Firebase Cloud Messaging (FCM) je nach Plattform weiterleiten).
• Öffentliche Feiertagsabfrage: Nager.at API – erhält nur einen Ländercode.

Wir verwenden keine Analyseanbieter, Werbenetzwerke, Marketing-Pixel oder Fehlerüberwachungstools.

7.1 Konten und personenbezogene Daten: automatische Löschung nach 2 Jahren Inaktivität

Wir löschen bestimmte kontobezogene personenbezogene Daten automatisch nach 2 Jahren Inaktivität.

• Inaktivität bedeutet: keine Anfragen von Ihrem Konto an unsere Backend-API („letzte API-Anfrage“). Jede Interaktion, die zu einer authentifizierten API-Anfrage führt, gilt als Aktivität.
• Vor der Löschung benachrichtigen wir Sie ggf. (wenn wir eine verifizierte E-Mail-Adresse haben und Sie E-Mails empfangen können) mit einem Doppelwarnungsplan: 30 Tage vor der Löschung und 7 Tage vor der Löschung.

7.2 Was wird gelöscht bzw. aufbewahrt

Gelöscht (endgültige Löschung): Kontokennungen und damit verbundene personenbezogene Daten, die zur Identifizierung als Nutzer erforderlich sind, wie:

• Kontodatensatz (E-Mail)
• Profildaten (Anzeigename)
• Mit dem Konto verbundene Push-Token
• Mit dem Konto verbundene Kalender-Belegtzeit-Snapshots
• Verfügbarkeitseinreichungen, die ausschließlich dem Konto zugeordnet werden können

Aufbewahrt: Veranstaltungsdaten werden bis zu 5 Jahre nach der letzten Aktivität zu der jeweiligen Veranstaltung aufbewahrt, um den Gruppenplanungskontext und die Veranstaltungshistorie zu erhalten. Soweit möglich, werden aufbewahrte Veranstaltungsdatensätze nach der Kontolöschung von Ihrem Konto getrennt (z. B. Entfernung direkter Kontokennungen), während die Veranstaltung selbst und der nicht identifizierende Kontext erhalten bleiben.

7.3 Betriebsprotokolle

Wir führen strukturierte Betriebsprotokolle zum Schutz und Betrieb des Dienstes (z. B. Sicherheit, Fehlerbehebung). Wir verwenden strukturiertes Logging (z. B. winston/pino) mit Log-Rotation.

Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzureichen, insbesondere in dem EU-Mitgliedstaat Ihres gewöhnlichen Aufenthaltsortes, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes. Die für unsere Anschrift zuständige Aufsichtsbehörde ist:

Hessischer Beauftragter für Datenschutz und Informationsfreiheit
Postfach 3163, 65021 Wiesbaden
https://www.datenschutz.hessen.de

Ausübung Ihrer Rechte

Senden Sie eine E-Mail an privacy@elch.cc mit dem Betreff „Datenschutzanfrage – Align“. Wir müssen Ihre Identität möglicherweise verifizieren. Wir bemühen uns, innerhalb von 30 Tagen (oder wie gesetzlich vorgeschrieben) zu antworten.

Löschungsanfragen

Wir führen eine endgültige Löschung (dauerhafte Entfernung aus der Datenbank) für Daten durch, die zur Löschung berechtigt sind, im Einklang mit dem Recht auf Vergessenwerden, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben oder zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.