Datenschutzerklärung
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Sebastian Maurer
Bahnhofstraße 15c
06184 Kabelsketal
Deutschland
E-Mail: kontakt@orgalo.app
2. Welche Daten wir erheben
Im Rahmen der Nutzung von Orgalo werden folgende personenbezogene Daten erhoben und verarbeitet:
- Profildaten: Name, Username, E-Mail-Adresse, Profilbild, Stadt, Bio
- Event-Daten: Titel, Beschreibung, Ort, Datum, Uhrzeit, Kategorie, Teilnehmerliste
- Standortdaten: Nur bei aktiver Nutzung der Freunde-Map oder Event-Erstellung mit GPS-Funktion
- Nutzungsdaten: Login-Zeitpunkte, Geräte-/Plattform-Informationen, IP-Adresse (technisch erforderlich)
- Soziale Daten: Freundeslisten, Follower, Organisationsmitgliedschaften, Reaktionen, Kommentare
- Kommunikationsdaten: Push-Tokens, Benachrichtigungs-Einstellungen
- Diagnose-Daten: Anonymisierte Crash-Reports, Performance-Metriken
- Moderations-Daten: Bei Verstößen gegen die Nutzungsbedingungen oder automatischer Erkennung von Missbrauchsmustern (z. B. übermäßige Event-Erstellung) können Flag-Status, Sperr-Zeitraum, Sperr-Grund sowie ein Moderations-Protokoll gespeichert werden
2.1 Sichtbarkeit deiner sozialen Daten in der App
Soziale Beziehungen in Orgalo sind bewusst für andere registrierte Nutzer:innen sichtbar — vergleichbar mit etablierten sozialen Netzwerken. Konkret bedeutet das:
- Wem du folgst (Organisationen und öffentliche Personen): auf deinem Profil für andere registrierte Nutzer:innen sichtbar.
- Follower-Anzahl einer Organisation oder öffentlichen Person: öffentlich auf dem jeweiligen Profil.
- Follower-Liste einer Organisation oder öffentlichen Person (also die Namen der Follower): für alle registrierten Nutzer:innen einsehbar.
- Offene Follow-Anfragen bei geschlossenen Organisationen: für andere eingeloggte Nutzer:innen einsehbar; Admins/Inhaber der jeweiligen Organisation können Anfragen zusätzlich bestätigen oder ablehnen.
- Freundschaften: deine bestätigten Freunde sind auf deinem Profil sichtbar. Freundschaftsanfragen (noch nicht angenommen) sind nur für Absender und Empfänger sichtbar.
- Event-Teilnahme: an welchem Event du teilnimmst, ist innerhalb der Sichtbarkeitsregeln des jeweiligen Events einsehbar (Offen, Nur Freunde, oder Privat/Eingeladene).
Du behältst jederzeit die Kontrolle: Du kannst Organisationen oder Personen entfolgen, Freundschaften auflösen, dein Profil per QR-Code teilen oder andere Nutzer:innen blockieren. Beziehungen werden in beide Richtungen sofort entfernt.
Wenn du bestimmte Beziehungen nicht öffentlich zeigen möchtest, kannst du auf das Folgen der jeweiligen Organisation oder Person verzichten — der Inhalt bleibt für dich über Suche, Event-Code oder Direktlink weiterhin auffindbar.
3. Zweck der Verarbeitung
- Bereitstellung und Betrieb der App-Funktionen (Events, Freunde, Organisationen, Kalender)
- Anzeige relevanter Events in deinem Feed
- Standort-basierte Suche und Entdecken-Funktion
- Freunde-Map — temporäre Standortfreigabe (1–5 Stunden, danach automatische Löschung)
- Push-Benachrichtigungen über Freundschaftsanfragen, Event-Einladungen und Organisationsupdates
- Schutz vor Missbrauch (App Check, Rate Limiting)
- Stabilität und Verbesserung der App (Crash-Reports, Performance)
4. Rechtsgrundlage
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — für die Bereitstellung der App-Dienste
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — insbesondere für Standortdaten, Push-Benachrichtigungen und optionale Profilinformationen
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — für Sicherheit, Stabilität und Missbrauchsschutz der App
5. Eingesetzte Drittanbieter-Dienste
5.1 Google Firebase (Hauptdienst)
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Datenschutzerklärung: policies.google.com/privacy
Auftragsverarbeitungsvertrag (AVV): firebase.google.com/terms/data-processing-terms
Server-Region: europe-west (EU)
Konkret eingesetzte Firebase-Dienste:
| Dienst | Verarbeitete Daten |
|---|---|
| Firebase Authentication | E-Mail-Adresse, Passwort-Hash, Anmelde-Token, IP-Adresse |
| Cloud Firestore | Profil-, Event-, Organisations- und Beziehungsdaten |
| Cloud Storage | Hochgeladene Bilder (Profil, Events) |
| Cloud Functions | Server-Logik (Anmeldung, Push-Versand, Account-Löschung, Daten-Export) |
| Cloud Messaging (FCM) | Push-Tokens, Push-Inhalte |
| Crashlytics | Anonymisierte Crash-Reports, Stack-Traces, Geräteinformationen |
| Performance Monitoring | Anonymisierte Performance-Metriken (Cold-Start, HTTP-Latenz) |
| App Check | IP-Adresse, Geräte-Integritäts-Token (Play Integrity / DeviceCheck / reCAPTCHA v3) |
| Firebase Hosting | IP-Adresse, User-Agent (Standard-Web-Logs) |
5.2 Google reCAPTCHA v3 (nur Web)
Im Rahmen von Firebase App Check wird auf der Web-Version reCAPTCHA v3 eingesetzt. Übermittelt werden IP-Adresse, Maus-/Tastatur-Interaktionen und Browser-Daten an Google. Datenschutzerklärung: policies.google.com/privacy.
5.3 OpenStreetMap / Nominatim (nur Web)
Für die Adress-Suche in der Web-Version setzen wir den Geocoding-Dienst Nominatim der OpenStreetMap Foundation ein.
Anbieter: OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich.
Datenschutzerklärung: wiki.osmfoundation.org/wiki/Privacy_Policy.
Übermittelt werden: IP-Adresse, eingegebene Adresse oder Koordinaten.
5.4 OpenStreetMap Karten-Kacheln
Auf der Karten-Ansicht (Discover, Events in der Nähe) werden Karten-Kacheln direkt vom Server der OpenStreetMap Foundation geladen.
Anbieter: OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich.
Datenschutzerklärung: wiki.osmfoundation.org/wiki/Privacy_Policy.
Übermittelt werden: IP-Adresse und angeforderter Kartenausschnitt (Zoom-Level, Koordinaten).
5.5 Photon (Komoot)
Für die Adress-Autovervollständigung beim Erstellen oder Bearbeiten von Events wird der Geocoding-Dienst Photon der Komoot GmbH eingesetzt.
Anbieter: Komoot GmbH, Karl-Liebknecht-Str. 1, 14482 Potsdam, Deutschland.
Datenschutzerklärung: komoot.com/privacy.
Übermittelt werden: IP-Adresse und Sucheingabe.
5.6 Native Geocoding (nur Mobile)
Auf iOS und Android werden die System-eigenen Geocoding-APIs verwendet:
- iOS: Apple CoreLocation — Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA
- Android: Google Location Services — Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
Die Übertragung erfolgt direkt vom Gerät an den jeweiligen Anbieter. Wir haben darauf keinen Einfluss.
5.7 App Stores
- Apple App Store: Apple Distribution International Ltd., Hollyhill Industrial Estate, Cork, Irland
- Google Play Store: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Bei Download, Installation und Updates fallen Daten beim jeweiligen Anbieter an, auf die der Betreiber keinen Einfluss hat.
6. Speicherdauer
| Datentyp | Dauer |
|---|---|
| Profil- und Account-Daten | bis zur Account-Löschung |
| Vergangene Events (Kalender-Verlauf) | bis zur Account-Löschung |
| Live-Standort (Freunde-Map) | 1–5 Stunden, danach automatische Löschung |
| Push-Tokens | bis Logout oder Token-Refresh |
| Crashlytics-Reports | 90 Tage |
| Performance-Metriken | 90 Tage |
| App-Check-Tokens | bis zu 7 Tage |
| Cloud-Function- und Hosting-Logs | 30 Tage |
| Moderations-Protokoll (Sperrungen, Flags) | bis zur Account-Löschung |
Bei Kontolöschung werden alle zugehörigen Profildaten innerhalb von 30 Tagen entfernt. Anonymisierte Diagnose-Daten können länger erhalten bleiben.
7. Weitergabe an Dritte
Deine Daten werden nicht an Dritte verkauft. Eine Weitergabe erfolgt ausschließlich:
- An die unter Ziffer 5 genannten Auftragsverarbeiter
- An andere Orgalo-Nutzer, soweit du Daten bewusst teilst (Profil, Events, temporärer Standort)
- Bei rechtlicher Verpflichtung an Behörden
8. Cookies und lokale Speicherung
Orgalo verwendet ausschließlich technisch notwendige Cookies bzw. lokale Speicherung für:
- Authentifizierung und Session-Management
- Firestore-Offline-Cache (bis zu 50 MB)
- App-Check-Tokens
Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Eine Einwilligung im Sinne von § 25 TTDSG / TDDDG ist daher nicht erforderlich.
9. Deine Rechte
- Auskunft (Art. 15 DSGVO) — welche Daten über dich gespeichert sind
- Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten
- Löschung (Art. 17 DSGVO) — über „Konto löschen" in den App-Einstellungen
- Einschränkung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO) — Export deiner Daten in maschinenlesbarem Format
- Widerspruch (Art. 21 DSGVO)
- Widerruf einer erteilten Einwilligung jederzeit mit Wirkung für die Zukunft
- Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde
10. Zuständige Aufsichtsbehörde
Landesbeauftragte für den Datenschutz Sachsen-Anhalt
Leiterstraße 9, 39104 Magdeburg
datenschutz.sachsen-anhalt.de
11. Datensicherheit
- Verschlüsselte Übertragung (HTTPS/TLS)
- Firebase Security Rules für granulare Zugriffskontrolle
- Firebase App Check zum Schutz vor Missbrauch
- E-Mail-Verifizierung bei der Registrierung
- Input-Sanitization gegen XSS und Injection-Angriffe
- Automatische Löschung temporärer Standortdaten
- Server-Standort EU (europe-west)
12. Datenübermittlung in Drittländer
Soweit Daten an Anbieter in Drittländer (z. B. USA) übertragen werden — insbesondere bei Crashlytics, Performance Monitoring, Native Geocoding (iOS/Android) und App Stores —, erfolgt dies auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und ergänzenden Schutzmaßnahmen sowie unter Einbeziehung des EU-US Data Privacy Framework, soweit der jeweilige Anbieter zertifiziert ist.
13. Minderjährige
Orgalo richtet sich an Personen ab 16 Jahren. Personen unter 16 Jahren dürfen die App nur mit Einwilligung eines Erziehungsberechtigten nutzen.
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Funktionsänderungen der App anzupassen. Die jeweils aktuelle Version ist unter dieser URL abrufbar.
15. Kontakt
Bei Fragen zum Datenschutz wende dich bitte an: kontakt@orgalo.app
Stand: Mai 2026