Datenschutzerklärung
Stand: Juli 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Dorfly
Lukas Rosengrün
Goldregenweg 15
71139 Ehningen
Deutschland
E-Mail: lr@lukas-rosengruen.de
2. Allgemeines zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Leistungen erforderlich ist. Dorfly erhebt bewusst minimale Nutzerdaten und verzichtet vollständig auf Tracking, Nutzeranalyse und die Weitergabe von Daten zu Werbezwecken.
3. Erhobene Daten und Zwecke der Verarbeitung
3.1 Registrierung und Nutzerkonto
Zur Nutzung der Plattform ist ein Nutzerkonto erforderlich. Dabei werden folgende Daten erhoben:
- E-Mail-Adresse (Pflichtfeld – Authentifizierung und Kommunikation)
- Passwort (wird verschlüsselt gespeichert, nie im Klartext)
- Vorname und Nachname (freiwillig)
- Geburtsdatum (freiwillig)
- Adresse (freiwillig)
- Profilbild (freiwillig)
- Gemeinde-Zugehörigkeit
- Nutzerrolle (Bürger, Verein, Gewerbe, Gemeinderat, Verwaltung)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. a DSGVO für freiwillige Angaben.
3.2 Nutzergenerierte Inhalte
- Beiträge und Ankündigungen (Titel, Text, Bilder/Videos)
- Mängelberichte inkl. Beschreibung und Fotos
- Umfrage-Antworten
- Fragen an Bürgermeister oder Gemeinderatsmitglieder
- Feed-Einstellungen (persönliche Kanalauswahl)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
3.3 Standortdaten (Mängelmelder)
Beim Einreichen eines Mängelberichts kann der Nutzer seinen GPS-Standort freigeben. Die Standortabfrage erfolgt nur nach ausdrücklicher Browser-Zustimmung und ist nicht verpflichtend – die Adresse kann alternativ manuell eingegeben werden. Erfasste GPS-Koordinaten und die Adresse sind für andere Nutzer der Gemeinde einsehbar.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
3.4 Push-Benachrichtigungen
Mit Einwilligung über die Browser-/Geräteberechtigung können Push-Benachrichtigungen aktiviert werden. Dabei werden über OneSignal Nutzer-ID und Gemeinde-Slug verarbeitet. Die Einwilligung kann jederzeit in den Profileinstellungen widerrufen werden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
3.5 E-Mail-Verifizierung
Zur Verifizierung der E-Mail-Adresse wird bei der Registrierung ein Bestätigungslink per E-Mail versendet. Das Konto wird erst nach Bestätigung des Links aktiv.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
3.6 Transaktions-E-Mails
Registrierungsbestätigungen und Passwort-Reset-Links werden über Resend versendet. Dabei werden E-Mail-Adresse und Name übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
3.7 Demo-Anfragen (Marketing-Website)
Über das Kontaktformular der Marketing-Website können Gemeinden eine Demo anfragen. Dabei erhobene Daten (Name, E-Mail, Gemeinde, Nachricht (optional)) werden ausschließlich zur Beantwortung der Anfrage genutzt.
Die Anfrage wird per E-Mail über den Auftragsverarbeiter Resend an die interne Kontaktadresse übermittelt. Schlägt der Mailversand fehl, wird die Anfrage vorübergehend in der Datenbank gespeichert, um sicherzustellen, dass sie nicht verloren geht. Diese Speicherung wird nach abgeschlossener Bearbeitung, spätestens nach 6 Monaten, gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO bzw. Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) für die Kontaktaufnahme; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Ausfallsicherung) für die Datenbank-Speicherung im Fehlerfall.
4. Cookies und Sitzungsverwaltung
Dorfly verwendet ausschließlich technisch notwendige Cookies zur Sitzungsverwaltung. Es werden keine Marketing-, Tracking- oder Analyse-Cookies eingesetzt.
Nach der Anmeldung wird ein Authentifizierungstoken als HTTP-only-Cookie (Präfix: sb-*-auth-token) gespeichert. Dieses Cookie hält den Nutzer eingeloggt und wird bei der Abmeldung automatisch gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung der Plattform).
5. Auftragsverarbeiter und Drittdienste
Dorfly nutzt folgende externe Dienstleister, mit denen Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO geschlossen wurden bzw. die durch Standardvertragsklauseln (SCC) abgesichert sind:
| Anbieter | Zweck | Übermittelte Daten | Sitz / Grundlage |
|---|---|---|---|
| Supabase, Inc. | Datenbank, Authentifizierung, Dateispeicher, Demo-Anfragen (nur im Fehlerfall) | Alle Nutzerdaten, Inhalte, Medien | EU (Frankfurt) / AVV |
| OneSignal, Inc. | Push-Benachrichtigungen | Nutzer-ID, Gemeinde-Slug, Gerätedaten | USA / SCC (Art. 46 DSGVO) |
| Resend, Inc. | Transaktions-E-Mails, Demo-Anfragen | E-Mail-Adresse, Name | EU / AVV |
| Vercel Inc. | Hosting und Bereitstellung der Anwendung | Alle Nutzerdaten, Inhalte und Medien im Rahmen des technischen Hostings | USA / SCC (Art. 46 DSGVO) |
Bei Datenübermittlungen in die USA erfolgt die Absicherung durch Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Die betroffenen Anbieter sind in der Auftragsverarbeiter-Tabelle aufgeführt.
6. Datenweitergabe an Dritte
Eine Weitergabe personenbezogener Daten an Dritte findet nur statt:
- An die oben genannten Auftragsverarbeiter im Rahmen der Leistungserbringung
- An die jeweilige Gemeindeverwaltung zur Bearbeitung von Anliegenab (z. B. Mängelberichte)
- Wenn eine gesetzliche Verpflichtung besteht
- Mit ausdrücklicher Einwilligung des Nutzers
Eine Weitergabe zu Werbe- oder Analysezwecken findet nicht statt.
7. Speicherdauer und Datenlöschung
- Kontodaten: bis zur Löschung des Nutzerkontos
- Nutzergenerierte Inhalte: bis zur Kontolöschung oder auf Anfrage
- Session-Cookies: werden bei der Abmeldung gelöscht
- Demo-Anfragen: im Regelfall keine Speicherung (nur E-Mail-Versand); nur bei fehlgeschlagenem Mailversand wird die Anfrage in der Datenbank gespeichert und nach abgeschlossener Bearbeitung, spätestens nach 6 Monaten, gelöscht
Nutzer können ihr Konto und alle damit verbundenen Daten jederzeit vollständig löschen (Profileinstellungen → Konto löschen). Die Löschung umfasst Profil, Beiträge, Mängelberichte, Umfrage-Antworten, gestellte Fragen und alle weiteren nutzerbezogenen Daten.
8. Sicherheit der Datenverarbeitung
- SSL/TLS-Verschlüsselung aller Datenübertragungen
- Verschlüsselte Passwortspeicherung (bcrypt-Hash)
- Zeilenbasierte Zugriffskontrolle (Row-Level Security) auf Datenbankebene
- HTTP-only-Cookies für Authentifizierungstoken
- Eingabevalidierung aller API-Endpunkte
- Rollen- und rechtebasiertes Zugriffssystem
9. Rechte der betroffenen Personen
Nutzer haben gegenüber dem Verantwortlichen folgende Rechte:
Auskunft (Art. 15 DSGVO)
Recht auf Auskunft über die gespeicherten personenbezogenen Daten.
Berichtigung (Art. 16 DSGVO)
Recht auf Berichtigung unrichtiger oder unvollständiger Daten.
Löschung (Art. 17 DSGVO)
Recht auf Löschung der personenbezogenen Daten. Die Kontolöschung kann direkt in den Profileinstellungen vorgenommen werden.
Einschränkung (Art. 18 DSGVO)
Recht auf Einschränkung der Verarbeitung unter bestimmten Voraussetzungen.
Datenübertragbarkeit (Art. 20 DSGVO)
Recht, die bereitgestellten Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
Widerspruch (Art. 21 DSGVO)
Recht, der Verarbeitung personenbezogener Daten zu widersprechen.
Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)
Einwilligungen (z. B. Push-Benachrichtigungen, Standortfreigabe) können jederzeit widerrufen werden.
Zur Wahrnehmung dieser Rechte: lr@lukas-rosengruen.de
Zusätzlich besteht das Recht, bei der zuständigen Datenschutz-Aufsichtsbehörde des jeweiligen Bundeslandes Beschwerde einzulegen.
10. Progressive Web App (PWA)
Dorfly kann als PWA auf dem Homescreen von Smartphones installiert werden. Bei der Installation werden keine zusätzlichen personenbezogenen Daten erhoben. Die installierte App unterliegt denselben Datenschutzbestimmungen wie die Webanwendung.
11. Gemeinden als Verantwortliche
Die jeweilige Gemeinde agiert als eigenständiger Verantwortlicher im Sinne der DSGVO für die auf ihrer Instanz verarbeiteten Daten. Dorfly stellt die technische Infrastruktur als Auftragsverarbeiter gemäß Art. 28 DSGVO bereit. Für gemeindespezifische Datenschutzanfragen wenden Sie sich bitte direkt an Ihre Gemeindeverwaltung.
12. Aktualität und Änderungen
Diese Datenschutzerklärung hat den Stand Juli 2026. Bei Änderungen der Plattform oder der Rechtslage wird sie entsprechend aktualisiert. Die jeweils aktuelle Version ist unter dorfly.app/datenschutz abrufbar.
Kontakt bei Datenschutzfragen