Stand: 1. Juni 2026
Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:
Bastian Kalcher
Pasettistraße 77–79
1200 Wien
Österreich
Kontakt für Datenschutzanfragen:
E-Mail: datenschutz@together-active.at
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist.
Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.
Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages erforderlich sind, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage.
Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.
Bei jedem Aufruf unserer Website erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners. Folgende Daten können dabei erhoben werden:
Rechtsgrundlage für die vorübergehende Speicherung der Daten ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Auf unserer Website bieten wir Nutzern die Möglichkeit, sich unter Angabe personenbezogener Daten zu registrieren. Je nach Ausgestaltung des Benutzerprofils können folgende Daten erhoben und gespeichert werden:
Die Angabe der Stamm- und Adressdaten ist freiwillig. Innerhalb der angemeldeten Anwendung sind Name, zugeordnete Predigtdienstgruppe und Zuteilungen (siehe Abschnitt 4.6) für andere authentifizierte Nutzer sichtbar. Ohne diese Sichtbarkeit kann die App ihren Zweck (gemeinsame Planung) nicht erfüllen. E-Mail und Adressdaten werden nur Administratoren bzw. Ihnen selbst angezeigt.
Welche Daten werden gespeichert?
Bei jedem Login-Versuch (erfolgreich oder nicht erfolgreich) speichern wir automatisch folgende Informationen:
GeoIP-Verarbeitung lokal: Die Auflösung der IP-Adresse zu Ländercode/Stadt erfolgt ausschließlich serverseitig anhand einer lokal gespeicherten MaxMind GeoLite2-City-Datenbank. Eine Übermittlung Ihrer IP-Adresse an MaxMind oder andere Dritte zum Zwecke der Auflösung findet nicht statt. Lediglich die GeoIP-Datenbank selbst wird in regelmäßigen Abständen über HTTPS aktualisiert (kein personenbezogener Datentransfer).
Zweck der Speicherung:
Die Speicherung dieser Daten dient ausschließlich folgenden Sicherheitszwecken:
Automatische Schutzmaßnahmen:
Rechtsgrundlage:
Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)
Unser berechtigtes Interesse liegt im Schutz unserer IT-Systeme und der Sicherheit der Benutzerdaten vor Cyberangriffen, unbefugtem Zugriff und anderen Sicherheitsbedrohungen.
Speicherdauer:
Die Login-Daten werden automatisch nach 90 Tagen gelöscht. Eine längere Speicherung findet nicht statt.
Datenempfänger:
Die Daten werden ausschließlich intern auf unseren Servern gespeichert und nicht an Dritte weitergegeben, außer dies ist gesetzlich vorgeschrieben (z.B. bei konkretem Verdacht einer Straftat auf Anfrage von Strafverfolgungsbehörden).
Rechtsgrundlage für die Verarbeitung der Daten bei der Registrierung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Deaktivierung/Sperrung von Benutzerkonten:
Ihr Benutzerkonto kann vorübergehend gesperrt werden bei:
Bei einer Sperrung können Sie sich nicht mehr anmelden. Ihre Daten bleiben jedoch zunächst gespeichert. Sie werden über eine Sperrung per E-Mail informiert und können Widerspruch einlegen.
Vollständige Löschung Ihres Benutzerkontos:
Sie haben jederzeit das Recht auf vollständige Löschung Ihrer Daten gemäß Art. 17 DSGVO ("Recht auf Vergessenwerden").
Umfang der Löschung:
So löschen Sie Ihr Konto (Self-Service mit 14-Tage-Karenzzeit):
Sie können die Löschung Ihres Kontos selbstständig in Ihrem Profil unter „Datenschutz" → „Konto löschen" beantragen. Aus Sicherheitsgründen (Schutz vor versehentlicher oder unbefugter Löschung) wird die Löschung mit einer 14-tägigen Karenzzeit ausgeführt:
Alternativ per E-Mail: Falls der Self-Service nicht zugänglich ist, kontaktieren Sie uns an datenschutz@together-active.at mit dem Betreff „Löschung meines Benutzerkontos" und Angabe Ihres Benutzernamens. Wir bearbeiten manuelle Anfragen innerhalb von 30 Tagen.
Lösch-Audit-Log (anonymisiert): Zur Erfüllung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) protokollieren wir Lösch-Vorgänge nach Anonymisierung – nur Zeitstempel (Antrag/Abschluss/Storno), eine technische Kennung des ehemaligen Datensatzes und die Auslöser-Quelle (Nutzer / Automatik / Admin), keine personenbezogenen Daten.
Ausnahmen von der Löschpflicht:
In bestimmten Fällen können wir Daten länger speichern, wenn:
Zur Absicherung Ihres Kontos bieten wir mehrere optionale Authentifizierungsverfahren an. Die zugehörigen Geheimnisse werden in einer separaten Credential-Datenbank mit eigenen Zugriffsrechten gespeichert (getrennt von den übrigen Profildaten).
a) TOTP (zeitbasierte Einmal-Codes)
b) WebAuthn / FIDO2 / Passkeys (biometrische Authentifizierung)
c) Vertrauenswürdige Geräte (siehe auch Abschnitt 5.3) – speichert pro Gerät einen verschlüsselten Wiedererkennungs-Token, um 2FA für bis zu 30 Tage zu überspringen.
d) Auth-Tokens (Token-basierter Login als Alternative zum Passwort)
Rechtsgrundlage:
Löschung: TOTP-Secret, Recovery-Codes, Passkeys und Trusted-Device-Einträge werden gelöscht, sobald Sie die jeweilige Funktion deaktivieren, das entsprechende Gerät entfernen oder Ihr Konto insgesamt löschen.
Der Kern der Anwendung ist die gemeinsame Planung. Daher sind für alle angemeldeten Nutzer u.a. folgende Zuteilungen mit Ihrem Namen sichtbar:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Nutzungsvertrag) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an funktionsfähiger Planung innerhalb des geschlossenen Nutzerkreises). Zuteilungen sind stets nur nach Login sichtbar.
Welche Konten werden automatisch gelöscht?
Benutzerkonten werden automatisch gelöscht, wenn sie alle folgenden Kriterien erfüllen:
Wichtig: Aktive Benutzerkonten werden NIEMALS automatisch gelöscht! Die automatische Löschung betrifft nur bereits deaktivierte Accounts, die seit langer Zeit nicht mehr genutzt werden.
Zeitpunkt der automatischen Löschung:
Die automatische Überprüfung und Löschung erfolgt monatlich am 1. des Monats um 2:00 Uhr.
Benachrichtigung vor Löschung:
Wenn Ihr Konto von der automatischen Löschung betroffen wäre, bemühen wir uns, Sie mindestens 30 Tage vor der Löschung per E-Mail zu informieren (sofern eine aktuelle E-Mail-Adresse hinterlegt ist). Sie haben dann die Möglichkeit, die Reaktivierung Ihres Kontos zu beantragen.
Umfang der automatischen Löschung:
Die automatische Löschung erfolgt nach den gleichen Prinzipien wie bei der manuellen Löschung (siehe oben unter "Vollständige Löschung").
Rechtsgrundlage:
So verhindern Sie die automatische Löschung:
Nutzen Sie Ihr Konto aktiv oder kontaktieren Sie uns vor Ablauf der 24-Monatsfrist, wenn Sie Ihr Konto reaktivieren möchten.
Im Profil können Sie eigene Abwesenheits-Zeiträume eintragen, damit Sie bei Einteilungen (z.B. Zusammenkünfte, Trolley) automatisch berücksichtigt werden.
Im Profil unter „Datenschutz“ → „Überall abmelden“ können Sie alle aktiven Sitzungen Ihres Kontos (auf anderen Geräten/Browsern) sofort beenden. Technisch wird dazu eine interne Versionskennung Ihres Kontos erhöht, wodurch alle zuvor geöffneten Sitzungen ihre Gültigkeit verlieren.
Im Profil unter „Datenschutz" → „Meine Daten exportieren" können Sie jederzeit selbst eine maschinenlesbare Kopie aller zu Ihrem Konto gespeicherten personenbezogenen Daten als JSON-Datei herunterladen.
Im Export enthalten: Profildaten (ohne sicherheitsrelevante Geheimnisse), Login-Historie (inkl. GeoIP-Felder), Trolley-Buchungen, Gebietszuweisungen, Push-Abonnements (gekürzt), Benachrichtigungs-Einstellungen sowie Metadaten zu Ihren aktiven Authentifizierungsverfahren (2FA, Passkeys, Tokens, vertrauenswürdige Geräte).
Aus Sicherheitsgründen NICHT enthalten: Alle geheimen Authentifizierungsdaten wie Passwort, 2FA-Geheimnisse, Recovery-Codes, kryptographische Schlüssel und Token-Werte – diese wären weder lesbar noch übertragbar und würden ein Sicherheitsrisiko darstellen.
Rechtsgrundlage: Art. 20 DSGVO. Audit: Jeder Export wird zu Sicherheitszwecken protokolliert.
Sicherheitsrelevante Operationen von Administratoren (z.B. Anlegen/Sperren/Löschen von Benutzern, Rollen- und Rechteänderungen, Reset von 2FA, Ausstellen oder Widerrufen von Auth-Tokens, E2EE-Schlüssel-Operationen) werden lückenlos protokolliert.
Unsere Website verwendet Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Wir setzen ausschließlich technisch notwendige Cookies ein; es werden keine Tracking-, Marketing- oder Analyse-Cookies verwendet.
Diese Cookies sind für die Funktionalität der Anmeldung erforderlich und werden nach dem Schließen des Browsers oder nach 30 Minuten Inaktivität automatisch gelöscht.
Sie enthalten:
Eigenschaften: HttpOnly, Secure, SameSite=Strict.
Wenn Sie die Zwei-Faktor-Authentifizierung (2FA) nutzen, können Sie einzelne Geräte als „vertrauenswürdig" markieren. Dazu wird ein zusätzliches Cookie mit folgenden Eigenschaften gesetzt:
Zusätzlich zum Cookie speichert das System serverseitig einen verschlüsselten Vergleichswert, einen abgeleiteten Gerätenamen (z.B. „Firefox auf Windows“) sowie Zeitstempel der letzten Nutzung und Erstellung. Diese Daten werden gelöscht, sobald Sie das Gerät widerrufen oder die Gültigkeit abgelaufen ist.
Beim Login können Sie die Option „Auf diesem Gerät angemeldet bleiben" aktivieren. Dadurch wird ein dauerhaftes Cookie gesetzt, das eine erneute Anmeldung nach Session-Ablauf überflüssig macht. Die Option steht sowohl im normalen Browser als auch in der installierten Web-App (PWA) zur Verfügung.
Serverseitig gespeicherte Daten pro Token:
Die Token-Daten werden in der separaten Credential-Datenbank gespeichert (wie Trusted-Device-Einträge, siehe Abschnitt 5.3).
Verwaltung: In Ihrem Profil unter „Angemeldete Geräte" sehen Sie alle aktiven Remember-Me-Geräte und können einzelne oder alle gleichzeitig abmelden.
Löschung: Tokens werden gelöscht bei manueller Abmeldung, Ablauf der 90-Tage-Frist, Replay-Erkennung oder Konto-Löschung. Abgelaufene und widerrufene Tokens werden regelmäßig automatisch bereinigt.
Die Rechtsgrundlage für technisch notwendige Cookies ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionsfähigen und sicheren Website). Für das optionale Trusted-Device-Cookie (Abschnitt 5.3) ist zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) einschlägig, da dessen Nutzung ausdrücklich von Ihrer aktiven Zustimmung in den 2FA-Einstellungen abhängt. Für das optionale Remember-Me-Cookie (Abschnitt 5.4) gilt ebenfalls Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Anhaken der Option beim Login).
Der Betrieb der Website sowie die Speicherung aller personenbezogenen Daten erfolgt bei einem professionellen Web-Hoster innerhalb der EU bzw. der Schweiz.
Zur Darstellung von Karten und für statische Ressourcen (JavaScript-/CSS-Bibliotheken) binden wir externe Dienste ein. Beim Laden dieser Ressourcen wird Ihre IP-Adresse an die jeweiligen Anbieter übertragen. Eine Verknüpfung mit Ihrem Benutzerkonto bei uns findet nicht statt.
Auf einigen Seiten (z.B. Übersicht Treffpunkte) bieten wir eingebettete Karten von Google Maps an.
localStorage) und kann jederzeit zurückgenommen werden.Im Modul „E2EE-Gebiete" sowie bei Treffpunkten werden Kartenkacheln und die Adresssuche OpenStreetMap / Nominatim verwendet (über die JavaScript-Bibliothek Leaflet).
Die folgenden Bibliotheken werden lokal auf unserem Server gehostet – beim Laden dieser Ressourcen findet kein Drittlandtransfer statt:
Für einige weitere Bibliotheken nutzen wir noch externe CDN-Dienste. Beim Laden dieser Ressourcen wird Ihre IP-Adresse an die jeweiligen Anbieter übertragen:
cdn.jsdelivr.net) – Chart.js, SortableJS, QRCode.js. Betrieben von ProspectOne mit Infrastruktur von Fastly/Cloudflare. Datenschutz: jsdelivr.com/privacyDaten: IP-Adresse, angefragte Datei, Referrer. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger und performanter Bereitstellung der Website).
Hinweis: Wir arbeiten weiterhin daran, auch die verbliebenen externen Bibliotheken perspektivisch lokal auszuliefern, um Drittlandübertragungen weiter zu reduzieren.
Für digitale Zusammenkünfte verlinken wir auf den Videokonferenzdienst Zoom. Beim Klick auf einen Zoom-Link verlassen Sie unsere Website und werden auf zoom.us weitergeleitet; ab diesem Zeitpunkt gilt ausschließlich die Datenschutzerklärung von Zoom.
Für die Verwaltung von Predigtdienstgebieten bieten wir ein optionales Modul mit Ende-zu-Ende-Verschlüsselung an. Ziel ist, dass auch der Server-Betreiber (Verantwortlicher) keinen Klartext-Zugriff auf die inhaltlichen Gebietsdaten (z.B. Adressen, Karten, Zuteilungshistorie) erhält.
Entschlüsselung und Verschlüsselung erfolgen ausschließlich im Browser des Nutzers nach Eingabe des E2EE-Passworts. Der Server kann weder das E2EE-Passwort noch den privaten Schlüssel noch den Inhalt der Gebiete einsehen – auch ein Administrator mit Datenbank-Zugriff erhält nur die verschlüsselten Daten.
Zum Schutz gegen Brute-Force- und Storage-DoS-Angriffe werden zusätzlich folgende technische Protokolle geführt:
Diese technischen Protokolle werden regelmäßig automatisch gelöscht (typ. nach 1–7 Tagen).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung der Nutzungsvereinbarung für das Gebietsmodul) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, vor dem Betreiber selbst geschützten Verfahren).
Widerruf / Entzug: Der Zugriff auf ein Gebiet kann jederzeit durch einen Gebiets-Manager entzogen werden; anschließend erfolgt eine Schlüssel-Rotation. Ihr Schlüsselpaar wird gelöscht, sobald Sie Ihr Konto löschen lassen.
Unsere Website bietet optional Push-Benachrichtigungen (Web Push) an – etwa für Erinnerungen an Zusammenkünfte oder Einteilungen.
Push-Benachrichtigungen werden nur versendet, wenn Sie diese ausdrücklich aktivieren. Das Aktivieren erfolgt in zwei Stufen:
Erst wenn Sie beiden Schritten zustimmen, registriert Ihr Browser ein Push-Abonnement.
Für den Versand der Nachrichten speichern wir pro Abonnement:
Der Versand einer Push-Nachricht erfolgt technisch nicht direkt von unserem Server zu Ihrem Gerät, sondern über den Push-Dienst Ihres Browser-Herstellers. Dieser leitet die (verschlüsselte) Nachricht an Ihr Gerät weiter. Je nach Browser sind dies:
An diese Dienste wird die Endpoint-URL (enthält Ihre Geräte-Registrierung) sowie der verschlüsselte Nachrichten-Payload übertragen. Der Inhalt der Nachricht ist Ende-zu-Ende verschlüsselt und für den Push-Dienst nicht lesbar. Metadaten (u.a. IP-Adresse Ihres Geräts, Zeitpunkt der Zustellung) sind den Push-Diensten jedoch zugänglich. Für die Übermittlung in die USA beruft sich Google auf das EU-US Data Privacy Framework; Apple und Mozilla nutzen Standardvertragsklauseln.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung).
Widerruf: Sie können Push-Benachrichtigungen jederzeit deaktivieren:
Nach dem Widerruf werden das zugehörige Push-Abonnement und die oben genannten Daten umgehend in unserer Datenbank gelöscht. Abonnements, die vom Push-Dienst als ungültig gemeldet werden (z.B. nach App-Deinstallation), werden automatisch entfernt.
Wir treffen umfangreiche technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:
Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener im Sinne der DSGVO und es stehen Ihnen folgende Rechte gegenüber dem Verantwortlichen zu:
Sie können eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden. Sie haben ein Recht auf Auskunft über diese Daten sowie auf weitere Informationen.
Sie haben ein Recht auf Berichtigung und/oder Vervollständigung, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind.
Sie haben das Recht, die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der gesetzlichen Gründe vorliegt.
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen. Dies gilt insbesondere für Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen.
Für Verarbeitungen auf Grundlage einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO – z.B. Push-Benachrichtigungen, Google-Maps-Einbettung, Trusted-Device) können Sie die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Zuständig in Österreich ist die Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien (www.dsb.gv.at).
Zur Ausübung Ihrer oben genannten Rechte oder bei allgemeinen Fragen zum Datenschutz wenden Sie sich bitte an die im Abschnitt „Kontakt für Datenschutzanfragen" genannte E-Mail-Adresse.
Für Löschanfragen verwenden Sie bitte den Betreff „Löschung meines Benutzerkontos" und geben Sie Ihren Benutzernamen an.
Wir speichern Ihre personenbezogenen Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen.
| Datenart | Speicherdauer | Begründung |
|---|---|---|
| Aktive Benutzerkonten | Unbegrenzt während der Nutzung | Zur Bereitstellung der Dienste |
| Deaktivierte Benutzerkonten | 24 Monate, dann automatische Löschung | DSGVO-Datensparsamkeit |
| Login-Daten (IP-Adressen, Browser-Infos) | 90 Tage | Sicherheit & Cyberabwehr |
| Session-Cookies | Beim Schließen des Browsers oder nach 30 Min. Inaktivität | Technische Notwendigkeit |
| Trusted-Device-Cookie & Geräte-Einträge | Bis zu 30 Tage bzw. bis zum Widerruf | 2FA-Komfort (Einwilligung) |
| TOTP-Secret & Recovery-Codes | Bis zur Deaktivierung von 2FA oder Konto-Löschung | Sichere Authentifizierung (Einwilligung) |
| WebAuthn-/Passkey-Credentials | Bis zur Entfernung des jeweiligen Passkeys oder Konto-Löschung | Sichere Authentifizierung (Einwilligung) |
| Auth-Tokens | Bis zum Widerruf durch Admin, bis zum optionalen Ablaufdatum oder bis Konto-Löschung | Alternative zum Passwort-Login |
| E2EE-Schlüssel (Nutzer & Gebiete) | Bis zum Entzug des Zugriffs, Key-Rotation oder Konto-Löschung | Betrieb des E2EE-Gebiets-Moduls |
| Admin-Audit-Log | 12 Monate, dann automatische Bereinigung | Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) |
| Konto-Lösch-Audit (anonymisiert) | Unbegrenzt (rein technische, nicht personenbezogene Einträge) | Nachweis der Löschausführung |
| Abwesenheits-Einträge (Profil) | Bis zur eigenen Löschung; Anonymisierung bei Konto-Löschung | Selbst eingetragen, jederzeit löschbar |
| E2EE Unlock-/Aktions-Protokolle | 1–7 Tage (automatisch bereinigt) | Rate-Limiting & Missbrauchs-Schutz |
| Remember-Me-Tokens („Angemeldet bleiben") | Maximal 90 Tage; bei Rotation/Widerruf/Replay sofort gelöscht | Komfort-Login (Einwilligung) |
| Push-Abonnements | Bis zum Widerruf oder bis Push-Dienst Abo als ungültig meldet | Einwilligung des Nutzers |
| Push-Benachrichtigungs-Queue / Sent-Log | Bis zur Zustellung bzw. wenige Tage danach (Dedup-Schutz) | Vermeidung von Doppel-Versand |
| Zuteilungen (Zusammenkünfte, Trolley, Treffpunkte, Reinigung) | Solange das Konto besteht bzw. das Ereignis planerisch relevant ist; bei Konto-Löschung anonymisiert | Vertragserfüllung / berechtigtes Interesse an Planung |
| Anonymisierte Buchungen | 7-10 Jahre (nur anonymisiert) | Buchhalterische/rechtliche Aufbewahrungspflichten |
Manuelle Löschung auf Anfrage:
Automatische Löschung:
Datenschutzkonforme Anonymisierung:
Wo Daten aus rechtlichen Gründen (z.B. Handelsrecht, Steuerrecht) nicht gelöscht werden dürfen, erfolgt eine Anonymisierung, sodass kein Personenbezug mehr hergestellt werden kann.
Für alle Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder zur Löschung Ihres Benutzerkontos wenden Sie sich bitte an:
E-Mail für Datenschutzanfragen:
📧 datenschutz@together-active.at
Betreff für Löschanfragen: „Löschung meines Benutzerkontos"
Bearbeitungszeit:
Wir bearbeiten Ihre Anfrage schnellstmöglich und antworten Ihnen spätestens innerhalb von einem Monat (30 Tagen).
Diese Datenschutzerklärung ist aktuell gültig und hat den Stand 1. Juni 2026.
Letzte Aktualisierung (01.06.2026): Sprachliche Überarbeitung zur besseren Verständlichkeit (Art. 12 DSGVO) und Reduktion technischer Implementierungsdetails: konkrete Schwellenwerte der Brute-Force-Abwehr, interne Datenbank- und Feldbezeichnungen, Datei-/Cron-Pfade sowie einzelne kryptographische Verfahrensdetails wurden durch allgemein verständliche Formulierungen ersetzt. Die verarbeiteten Datenkategorien, Zwecke, Rechtsgrundlagen und Speicherfristen bleiben unverändert. Ergänzt wurde der Hinweis auf den Angemessenheitsbeschluss für das Vereinigte Königreich (OpenStreetMap/Nominatim).
Vorherige Aktualisierung (16.05.2026): Sicherheits-Hardening der Anmeldelogik sowie zusätzliche technische Härtung von WebAuthn und schnellere serverseitige Wirksamkeit von „Überall abmelden“ – ohne Auswirkung auf die verarbeiteten Datenkategorien.
Vorherige Aktualisierung (15.05.2026): Neuer Abschnitt 5.4 (Cookie „Angemeldet bleiben" / Remember-Me für persistente Anmeldung); Aktualisierung Abschnitt 6.3 (CDN) – Bootstrap, Bootstrap Icons und Leaflet werden jetzt lokal gehostet, nur noch jQuery, Chart.js, SortableJS und QRCode.js von externen CDN; Ergänzung der Speicherfristen-Tabelle um Remember-Me-Tokens.
Vorherige Aktualisierung (30.04.2026): Ergänzung GeoIP-Anreicherung der Login-Logs (lokale MaxMind GeoLite2-Datenbank, kein Drittland-Transfer); Self-Service Konto-Löschung mit 14-Tage-Karenzzeit (Abschnitt 4.4); neue Abschnitte 4.8 (Abwesenheitsverwaltung), 4.9 (Sitzungs-Versionierung „Überall abmelden"), 4.10 (Self-Service Datenexport gemäß Art. 20 DSGVO) und 4.11 (Admin-Audit-Log); Erweiterung der Speicherfristen-Tabelle.
Vorherige Aktualisierung (24.04.2026): Präzisierung der erhobenen Profildaten (Stammdaten, Adresse, Versammlungsämter, Rollen); neuer Abschnitt 4.5 zu 2FA/TOTP, Passkeys (WebAuthn/FIDO2) und Auth-Tokens inkl. Credential-Datenbank-Trennung; neuer Abschnitt 4.6 zur Sichtbarkeit von Zuteilungen innerhalb der Anwendung; neuer Abschnitt 7a zum Ende-zu-Ende verschlüsselten Gebiets-Modul (inkl. Rate-Limiting für Unlock- und Aktions-Versuche); Erweiterung der Speicherfristen-Tabelle um TOTP-/Passkey-/Auth-Token-/E2EE-Daten, Push-Queue und Zuteilungen; überarbeiteter Abschnitt 8 (Sicherheit). Zuvor bereits: Abschnitt 5a (Hosting und Auftragsverarbeitung: hosttech GmbH, Serverstandorte EU/Schweiz, AVV nach Art. 28 DSGVO), Angabe des Verantwortlichen mit vollständiger Anschrift (Art. 4 Nr. 7 DSGVO), Abschnitte zu externen Diensten (Google Maps mit 2-Klick-Lösung, OpenStreetMap/Nominatim, CDN jsDelivr/jQuery, Zoom), Push-Benachrichtigungen (inkl. Drittlandtransfer an FCM/Mozilla/APNs) und Trusted-Device-Cookie.
Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher oder behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf dieser Seite von Ihnen abgerufen und ausgedruckt werden.