WIR

Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie die WIR Plattform nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer nachfolgenden Datenschutzerklärung.

2. Verantwortliche Stelle

Die verantwortliche Stelle für die Datenverarbeitung auf dieser Plattform ist:

WIR Plattform
[Name einfügen]
[Adresse einfügen]
E-Mail: [E-Mail einfügen]
Telefon: [Telefon einfügen]

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, E-Mail-Adressen o.Ä.) entscheidet.

3. Welche Daten erfassen wir?

3.1 Registrierungsdaten

Bei der Registrierung auf der WIR Plattform erheben wir folgende Daten:

  • E-Mail-Adresse -- zur Identifikation Ihres Kontos und für systemrelevante Benachrichtigungen
  • Anzeigename (Display Name) -- wird anderen Nutzern angezeigt, wenn Sie abstimmen oder als Delegierter auftreten
  • Passwort -- wird ausschließlich als kryptographischer Hash gespeichert (Argon2id). Wir haben zu keinem Zeitpunkt Zugang zu Ihrem Klartext-Passwort

3.2 Zwei-Faktor-Authentifizierung (2FA)

Wenn Sie die optionale Zwei-Faktor-Authentifizierung aktivieren, speichern wir:

  • TOTP-Secret -- ein verschlüsseltes Geheimnis zur Generierung zeitbasierter Einmalpasswörter. Dieses wird serverseitig verschlüsselt gespeichert
  • Wiederherstellungscodes -- einmalig generierte Backup-Codes für den Notfallzugang, ebenfalls verschlüsselt gespeichert

3.3 Abstimmungs- und Delegationsdaten

Im Rahmen der Nutzung der Plattform verarbeiten wir:

  • Abstimmungen (Votes) -- Ihre Stimme (Ja, Nein, Enthaltung) zu einzelnen Vorschlägen. Abstimmungen werden mit Ihrem Benutzerkonto verknüpft gespeichert, um Doppelabstimmungen zu verhindern
  • Delegationen -- Informationen darüber, an welche Nutzer Sie Ihre Stimme delegiert haben, inklusive der jeweiligen Kategorie und des Zeitpunkts
  • Vorschläge (Proposals) -- von Ihnen erstellte Vorschläge inklusive Titel, Beschreibung, Kategorie und Abstimmungszeitraum

4. Technische Datenverarbeitung

4.1 JWT-Tokens und Sitzungsverwaltung

Zur Authentifizierung verwenden wir JSON Web Tokens (JWT). Nach erfolgreicher Anmeldung erhalten Sie:

  • Access Token -- ein kurzlebiges Token zur Autorisierung Ihrer Anfragen. Wird nicht in Cookies gespeichert, sondern ausschließlich im Arbeitsspeicher des Browsers (Memory)
  • Refresh Token -- ein langlebigeres Token zur automatischen Erneuerung Ihres Access Tokens. Wird als HttpOnly-Cookie übertragen und ist damit vor JavaScript-Zugriff geschützt

JWT-Tokens enthalten Ihre Benutzer-ID und Berechtigungen. Sie werden nicht zur Nachverfolgung (Tracking) eingesetzt.

4.2 Redis-Caching

Wir verwenden Redis als In-Memory-Datenbank zur Zwischenspeicherung (Caching) von Abstimmungsergebnissen und Sitzungsdaten. Dies dient ausschließlich der Performance-Optimierung. Folgende Daten werden temporär im Redis-Cache gespeichert:

  • Aggregierte Abstimmungsergebnisse (anonymisiert)
  • Sitzungsinformationen zur schnellen Validierung von Tokens
  • Temporäre Rate-Limiting-Daten zum Schutz vor Missbrauch

Cache-Daten werden automatisch nach kurzer Zeit (TTL) gelöscht und dienen nicht der dauerhaften Speicherung.

4.3 Cookies

Die WIR Plattform verwendet keine Tracking-Cookies und keine Analyse-Cookies. Wir setzen ausschließlich ein technisch notwendiges HttpOnly-Cookie für das Refresh Token ein. Dieses Cookie:

  • Dient ausschließlich der Authentifizierung
  • Ist nicht durch JavaScript auslesbar (HttpOnly-Flag)
  • Wird nur über verschlüsselte Verbindungen übertragen (Secure-Flag)
  • Wird beim Abmelden gelöscht

5. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer Daten erfolgt auf Basis folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) -- Sie willigen bei der Registrierung in die Verarbeitung Ihrer Daten ein
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) -- die Verarbeitung ist erforderlich zur Nutzung der Plattform (Abstimmen, Delegieren, Vorschläge erstellen)
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) -- für technisch notwendige Maßnahmen wie Caching, Rate Limiting und Sicherheitsprotokollierung

6. Weitergabe von Daten

Ihre personenbezogenen Daten werden nicht an Dritte verkauft, vermietet oder zu Marketingzwecken weitergegeben.

Eine Weitergabe erfolgt nur in folgenden Fällen:

  • Wenn eine gesetzliche Verpflichtung besteht (z.B. behördliche Anfrage)
  • An Auftragsverarbeiter, die in unserem Auftrag tätig sind (z.B. Hosting-Anbieter), jeweils unter Abschluss eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO

7. Speicherdauer und Löschung

Ihre Daten werden wie folgt gespeichert und gelöscht:

  • Kontodaten (E-Mail, Anzeigename, Passwort-Hash) -- werden gespeichert, solange Ihr Konto besteht. Bei Kontolöschung werden diese Daten unverzüglich gelöscht
  • Abstimmungen und Delegationen -- werden mit der Löschung Ihres Kontos anonymisiert oder gelöscht
  • 2FA-Daten (TOTP-Secrets, Wiederherstellungscodes) -- werden bei Deaktivierung der 2FA oder bei Kontolöschung sofort gelöscht
  • JWT-Tokens -- Access Tokens laufen automatisch nach kurzer Zeit ab. Refresh Tokens werden bei Abmeldung oder Kontolöschung invalidiert
  • Redis-Cache -- Cache-Daten werden automatisch nach Ablauf der TTL (Time-to-Live) gelöscht, spätestens innerhalb weniger Minuten

8. Ihre Rechte nach der DSGVO

Sie haben jederzeit folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Art. 15 DSGVO -- Recht auf Auskunft

Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen. Dies umfasst Informationen über den Zweck der Verarbeitung, die Kategorien der Daten und die Empfänger.

Art. 16 DSGVO -- Recht auf Berichtigung

Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Art. 17 DSGVO -- Recht auf Löschung

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen. Sie können Ihr Konto jederzeit selbstständig löschen. Alle zugehörigen Daten werden daraufhin entfernt.

Art. 18 DSGVO -- Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, z.B. wenn Sie die Richtigkeit der Daten bestreiten.

Art. 20 DSGVO -- Recht auf Datenübertragbarkeit

Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.

Art. 21 DSGVO -- Widerspruchsrecht

Sie haben das Recht, der Verarbeitung Ihrer personenbezogenen Daten jederzeit zu widersprechen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: [E-Mail einfügen]

9. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

  • Verschlüsselte Datenübertragung (TLS/HTTPS)
  • Passwort-Hashing mit Argon2id (aktueller BSI-Standard)
  • Optionale Zwei-Faktor-Authentifizierung (TOTP)
  • HttpOnly- und Secure-Cookies für Refresh Tokens
  • Rate Limiting zum Schutz vor Brute-Force-Angriffen
  • Regelmäßige Sicherheitsüberprüfungen

10. Beschwerderecht bei der Aufsichtsbehörde

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Die für Sie zuständige Aufsichtsbehörde richtet sich nach dem Bundesland Ihres Wohnsitzes, Ihres Arbeitsplatzes oder des Orts der mutmaßlichen Verletzung. Eine Liste der Aufsichtsbehörden finden Sie unter: www.bfdi.bund.de

11. Kontakt für Datenschutzanfragen

Für alle Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte erreichen Sie uns unter:

E-Mail: [E-Mail einfügen]
Telefon: [Telefon einfügen]

Datenschutzbeauftragter: [Name einfügen, falls vorhanden]

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte rechtliche Anforderungen oder Änderungen unserer Plattform anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite.

Stand: März 2026

Zurück zur Startseite