Was fehlt? ein Werkzeug von mana e.V.

Datenschutzerklärung

Stand: 2026-05-25 — Entwurf, Vorstand-Freigabe ausstehend.

1. Verantwortlicher

mana e.V. (Schweizer Verein in Gründung)
Postanschrift: bis zur Vereins-Gründung c/o Gründungs-Vorstand (Adresse auf Anfrage)
Kontakt: [email protected] (Übergangs-Adresse bis [email protected] aktiv ist)

Datenschutzbeauftragte:r: derzeit nicht benannt. Datenschutz-Anfragen werden bis zur Benennung vom Vorstand selbst bearbeitet.

Vertreter in der EU (Art. 27 DSGVO): derzeit nicht benannt. Bis zur Benennung wenden Sie sich direkt an den Verein.

Zuständige Aufsichtsbehörden:

  • FADP (Schweiz): Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) — edoeb.admin.ch.
  • DSGVO (EU): Aufsichtsbehörde Ihres Wohnsitz- Mitgliedstaates.

2. Welche Daten wir verarbeiten — Zwecke und Rechtsgrundlagen

Pro Verarbeitungstätigkeit nennt die Tabelle Datenkategorie, Zweck und Rechtsgrundlage nach DSGVO Art. 6:

DatenkategorieZweckRechtsgrundlage
Konto-Daten (User-UUID, E-Mail aus mana-auth)Authentifizierung, Voting-Eindeutigkeit (eine Stimme pro Mensch)Art. 6 Abs. 1 lit. b DSGVO
Wunsch-Inhalt (Titel, Beschreibung, Region-Tag, optional Gast-Name)Veröffentlichung des Wunsches in der Wunsch-Liste, damit andere ihn unterstützen könnenArt. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Einreichen)
Voting-Daten (Verknüpfung User-UUID ↔ Wunsch-ID)Ein-Stimme-pro-Mensch-Garantie, Wunsch-SortierungArt. 6 Abs. 1 lit. b DSGVO
Gast-Submit: IP-Adresse und User-Agent (über Cloudflare- Server-Logs, max. 30 Tage)Spam- und Missbrauchs-Erkennung bei nicht-eingeloggten EinreichungenArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Memoro-Brücke: Titel + Transkript aus einer Memoro- Sprachnotiz, wenn Sie diese explizit als „öffentlichen Software-Wunsch" teilenÜbernahme des Wunsch-Inhalts aus der Memoro-AppArt. 6 Abs. 1 lit. a DSGVO (Einwilligung beim Teilen)

3. Keine KI-Verarbeitung

„Was fehlt?" verarbeitet keine personenbezogenen Daten an externe KI-Services. Wunsch-Inhalte werden ausschließlich auf Vereins- Infrastruktur gespeichert und unverändert wiedergegeben.

4. Speicherdauer

  • Eingereichte Wünsche bleiben so lange erhalten, wie sie für die Wunsch-Sammlung relevant sind — auch nach Realisierung („shipped") oder Ablehnung („wontfix"). Sie können eigene Wünsche jederzeit über DSGVO-Auskunft löschen lassen.
  • Spam-abgelehnte Einträge (status `rejected`) bleiben in der DB sichtbar nur für den Owner und den Vorstand — eine Hard-Delete-Frist von 90 Tagen ist in Phase 3 geplant.
  • Voting-Daten bleiben so lange erhalten, wie der zugehörige Wunsch existiert.
  • Cloudflare-Server-Logs (IP, User-Agent) werden gemäß Cloudflare-Voreinstellung nach max. 30 Tagen automatisch gelöscht.

5. Empfänger und Auftragsverarbeiter

  • mana e.V. — interne Vereins-Dienste auf Vereins-Server (Tägerwilen, Schweiz) — Authentifizierung (mana-auth), Datenbank (PostgreSQL). Kein Drittland.
  • Cloudflare, Inc. (USA) — TLS-Termination und Tunnel-Routing für die Subdomain. DPA via Cloudflare-Account akzeptiert. Cloudflare ist im EU-US Data Privacy Framework gelistet (Art. 45 DSGVO).

6. Konten-Föderation und Single Sign-On

Ihr Vereins-Konto funktioniert über alle mana-Apps hinweg. Technisch wird dafür ein 1st-Party-Cookie auf der Domain .mana.how gesetzt. Es handelt sich um einen technisch notwendigen Cookie nach § 25 Abs. 2 Nr. 2 TTDSG; eine Einwilligung ist nicht erforderlich.

Lokal speichert die App im Browser-localStorage technisch notwendige Daten (Auth-Token, UI-Status). Wir nutzen keine Tracking-Cookies, keine Drittanbieter-Pixel.

7. Cross-App-Brücke zu Memoro

Wenn Sie in der Memoro-App eine Sprachnotiz als „öffentlicher Software-Wunsch" teilen, sendet der Memoro-Server folgende Daten an „Was fehlt?":

  • Ihre User-UUID (für Voting-Eindeutigkeit),
  • den von Memoro generierten Titel (Headline oder Memo-Titel),
  • das Transkript Ihrer Sprachnotiz als Beschreibung.

Die Übertragung läuft Server-zu-Server innerhalb der Vereins- Infrastruktur (kein Drittland). Audio-Daten selbst bleiben in Memoro und werden nicht übertragen. Sie sehen den fertigen Wunsch sofort auf wunsch.mana.how und können ihn dort jederzeit löschen lassen.

8. Ihre Rechte

  • Auskunft (Art. 15 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer in §1 genannten Aufsichtsbehörde (Art. 77 DSGVO)

DSGVO-Anfragen über admin.mana.how oder per E-Mail an die in §1 genannte Adresse.

9. Automatisierte Entscheidungsfindung

Findet nicht statt. Welche Wünsche umgesetzt werden, entscheidet der Vereins-Vorstand manuell, gestützt auf User-Voting und Plausibilität.

10. Beta-Phase

„Was fehlt?" befindet sich in einer frühen Phase. Daten-Verlust- Risiko ist gegenüber einer ausgereiften Anwendung erhöht — Backups laufen, sind aber nicht extern georedundant gespiegelt.

Diese Erklärung ist ein Code-Entwurf. Die finale Fassung wird vom Vorstand nach Prüfung durch eine Datenschutz-Beauftragten-Stelle veröffentlicht. Vorlage V2: DATENSCHUTZ_TEMPLATE.md.