1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
Sebastian Lesaar
c/o Online-Impressum #475
Europaring 90
53757 Sankt Augustin
Deutschland
E-Mail: s.lesaar@nuviux.com
Datenschutzbeauftragter: Es besteht keine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten (§ 38 BDSG), da weniger als 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.
2. Was ist KommIS?
KommIS ist eine kommunale Informationsplattform, über die Bürgerinnen und Bürger Meldungen einreichen, kommunale Beschlüsse einsehen und an Beteiligungsformaten teilnehmen können. Die Plattform ist unter nuviux.com/app erreichbar.
Diese Datenschutzerklärung beschreibt, welche personenbezogenen Daten beim Besuch und bei der Nutzung von KommIS verarbeitet werden.
3. Server-Logfiles
Beim Aufruf der Plattform werden technisch notwendige Daten in Server-Logfiles gespeichert:
- IP-Adresse (anonymisiert nach 30 Tagen)
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL und HTTP-Status
- Browser-Typ, Betriebssystem, Referer
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit).
Speicherdauer: 30 Tage, danach automatische Löschung.
4. Registrierung und Nutzerkonto
Für die Registrierung verarbeiten wir folgende Pflichtangaben:
- Benutzername (Anzeigename)
- E-Mail-Adresse
- Passwort (gespeichert ausschließlich als kryptografischer Hash — niemals im Klartext)
Zusätzliche Profilangaben (Vor- und Nachname, Adresse, Telefon) sind freiwillig und können im Profil ergänzt oder jederzeit gelöscht werden.
Zweck: Zugang zur Plattform, personalisierte Inhalte, E-Mail-Verifizierung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung).
Speicherdauer: Bis zur Löschung des Kontos. Personenbezogene Daten werden innerhalb von 30 Tagen nach Kontoschließung gelöscht.
5. Sitzungsverwaltung (Session-Cookie)
Nach dem Einloggen wird ein technisch notwendiges Session-Cookie gesetzt. Es enthält ausschließlich eine verschlüsselte Sitzungskennung — keine personenbezogenen Daten im Klartext.
- Typ: http-only, secure, sameSite=lax
- Laufzeit: 30 Tage (aktiv), beim Logout sofort gelöscht
- Zugriff: Kein JavaScript-Zugriff möglich (http-only)
Weitere Tracking-Cookies oder lokale Speicherungen werden nicht gesetzt. Ein Cookie-Banner ist nicht erforderlich.
Rechtsgrundlage: § 25 Abs. 2 TTDSG (technisch notwendig).
6. Mängelmelder
Beim Einreichen einer Meldung (Schaden, Hinweis im öffentlichen Raum) verarbeiten wir:
- Titel und Beschreibung
- Kategorie und optionale Standortangabe (Adresse oder GPS-Koordinaten)
- Optionales Foto (gespeichert verschlüsselt auf Hetzner-Infrastruktur in Deutschland)
- Optionale Kontakt-E-Mail (für Rückmeldung durch die Kommune)
- Gemeindeschlüssel (AGS) der betreffenden Kommune
- Einreichezeitpunkt und Bearbeitungsstatus
Mängelmeldungen können anonym (ohne Konto) eingereicht werden. In diesem Fall werden keine Nutzer-IDs gespeichert.
Zweck: Weiterleitung der Meldung an die zuständige kommunale Stelle per E-Mail, Statusverfolgung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. lit. f (berechtigtes Interesse an der Meldedurchleitung).
Speicherdauer: Dauerhaft gespeichert zur Nachvollziehbarkeit des Bearbeitungsstatus. Löschung auf Anfrage möglich.
7. Anmeldung über Google (OAuth)
Optional kann die Anmeldung über Google erfolgen. Dabei werden folgende Daten von Google an KommIS übermittelt:
- E-Mail-Adresse
- Anzeigename
Bei Nutzung von Google OAuth gilt zusätzlich die Datenschutzerklärung von Google. Google Ireland Limited ist in der EU ansässig und DSGVO-konform.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auswahl).
8. E-Mail-Kommunikation
KommIS versendet E-Mails für folgende Zwecke:
- E-Mail-Verifizierung nach der Registrierung
- Passwort-Reset auf Anfrage
- Mängelmeldungen werden an die zuständige kommunale Stelle weitergeleitet
Der E-Mail-Versand erfolgt über Server-Infrastruktur in Deutschland. Es werden keine Newsletter-Anbieter oder E-Mail-Marketing-Dienste eingesetzt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung) bzw. lit. f (berechtigtes Interesse an der Meldedurchleitung).
9. Hosting und Drittanbieter
| Dienstleister | Zweck | Sitz | Grundlage |
|---|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Datenbank, Dateispeicher, Backups | Gunzenhausen, DE | Art. 28 DSGVO (AVV) |
| goneo Internet GmbH | E-Mail-Versand (SMTP) | Marktredwitz, DE | Art. 28 DSGVO (AVV) |
| Google Ireland Limited | Optionaler OAuth-Login (nur bei aktiver Nutzung) | Dublin, IE | Art. 6 Abs. 1 lit. a DSGVO |
Keine weiteren Drittanbieter: Kein Google Analytics, kein Facebook Pixel, keine Tracking-Cookies, keine externen CDN-Ressourcen. Eine Weitergabe Ihrer Daten an Dritte erfolgt nicht, außer bei gesetzlicher Verpflichtung.
10. Sicherheit
- SSL/TLS-Verschlüsselung aller Verbindungen (HTTPS)
- Passwörter nur als kryptografische Hashes (bcrypt)
- Session-Cookies: http-only, secure, kein JavaScript-Zugriff
- Rate-Limiting und Brute-Force-Schutz auf Login-Endpunkten
- Sicherheits-Header (HSTS, X-Frame-Options, X-Content-Type-Options)
- Server-Standort Deutschland (Hetzner)
- Tägliche verschlüsselte Backups
11. Ihre Rechte (DSGVO)
Sie haben gegenüber uns folgende Rechte:
- Auskunft über Ihre gespeicherten Daten (Art. 15)
- Berichtigung unrichtiger Daten (Art. 16)
- Löschung Ihrer Daten (Art. 17)
- Einschränkung der Verarbeitung (Art. 18)
- Datenübertragbarkeit in maschinenlesbarem Format (Art. 20)
- Widerspruch gegen die Verarbeitung (Art. 21)
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3)
Zur Ausübung Ihrer Rechte genügt eine E-Mail an s.lesaar@nuviux.com. Wir bearbeiten Anfragen in der Regel innerhalb von 14 Tagen.
12. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für uns:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2–4, 40213 Düsseldorf
www.ldi.nrw.de
13. Änderungen
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich gesetzliche Anforderungen oder unsere Datenverarbeitung ändern. Die jeweils aktuelle Version ist auf dieser Seite abrufbar.