Datenschutzerklärung

Informationen gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO).

⚠️ Entwurf — keine Rechtsberatung

Vor Veröffentlichung zwingend anwaltlich prüfen lassen. Platzhalter in [eckigen Klammern] müssen ausgefüllt werden.

Dieser Entwurf wurde ohne juristische Qualifikation erstellt und ersetzt keine Rechtsberatung. Er dient als strukturierte Arbeitsgrundlage für die anwaltliche Finalisierung. Insbesondere der Abschnitt zum Drittlandtransfer (Cloudflare/USA) muss fachlich geprüft und ggf. angepasst werden.

Stand des Entwurfs: [Datum einsetzen]

2.1 Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Andreas Mayer
Speakspeak.net
c/o MDC#1028
Welserstraße 3
87463 Dietmannsried
Deutschland

E-Mail für Datenschutzanfragen: contact@speakspeak.net

Ein Datenschutzbeauftragter ist nicht benannt. [Anwaltlich prüfen: Benennungspflicht nach Art. 37 DSGVO / § 38 BDSG — insbesondere abhängig von Mitarbeiterzahl und Umfang der Verarbeitung.]

2.2 Was ist SpeakSpeak?

SpeakSpeak ist eine Kommunikationsplattform für Text-, Sprach- und Videokommunikation (Communities/„Server", Kanäle, Direktnachrichten, Foren, Sprach- und Videokonferenzen, Bildschirmübertragung). Der Dienst wird ausschließlich von uns als Anbieter betrieben und gehostet; ein Betrieb durch Dritte („Self-Hosting") findet nicht statt. Der Dienst befindet sich derzeit in einer geschlossenen Beta-Phase; die Registrierung ist nur mit einer von uns ausgegebenen Seriennummer möglich.

2.3 Kategorien verarbeiteter Daten

a) Kontodaten

b) Inhaltsdaten

c) Technische Daten

d) Echtzeit-Medien (Voice / Video / Bildschirmübertragung)

e) Moderations- und Sicherheitsdaten

2.4 Zwecke und Rechtsgrundlagen der Verarbeitung

Verarbeitung Zweck Rechtsgrundlage
Kontodaten, Inhaltsdaten, Präsenzstatus, Sitzungstoken Bereitstellung des Dienstes und des Nutzerkontos, Erbringung der vertraglich vereinbarten Funktionen Art. 6 Abs. 1 lit. b DSGVO (Vertrag bzw. vorvertragliche Maßnahmen)
Echtzeit-Medienübertragung (Voice/Video/Screenshare) Durchführung der vom Nutzer initiierten Kommunikation Art. 6 Abs. 1 lit. b DSGVO
IP-Adressen, Server-/Zugriffslogs Betriebssicherheit, Fehleranalyse, Abwehr von Angriffen und Missbrauch (z. B. Begrenzung von Login-Versuchen) Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, stabilen Betrieb)
Automatische Prüfung hochgeladener Dateien (Virenscan, Entfernung von Metadaten) Schutz der Nutzer und der Plattform vor Schadsoftware; Schutz der Privatsphäre der Nutzer (Entfernung von EXIF-Metadaten wie GPS-Positionen) Art. 6 Abs. 1 lit. f DSGVO
Bearbeitung von Nutzer-Meldungen, Moderation, Sperrungen Durchsetzung der Nutzungsbedingungen, Schutz anderer Nutzer, Erfüllung gesetzlicher Pflichten (z. B. Digital Services Act) Art. 6 Abs. 1 lit. f DSGVO; soweit gesetzliche Pflichten bestehen: Art. 6 Abs. 1 lit. c DSGVO
Aufbewahrung „gelöschter"/bearbeiteter Inhalte (Soft-Delete, Versionierung, siehe 2.8) Moderation, Nachvollziehbarkeit bei Missbrauch, Erfüllung gesetzlicher Aufbewahrungs- und Mitwirkungspflichten Art. 6 Abs. 1 lit. f DSGVO; ggf. Art. 6 Abs. 1 lit. c DSGVO
Geplant: Erkennung von Darstellungen sexuellen Kindesmissbrauchs (CSAM) in hochgeladenen Dateien mit gesetzlicher Meldung an zuständige Stellen Erfüllung gesetzlicher Melde- und Mitwirkungspflichten, Schutz von Kindern Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung), hilfsweise Art. 6 Abs. 1 lit. f DSGVO — noch nicht aktiv; vor Aktivierung anwaltlich prüfen und diese Erklärung aktualisieren
Übersetzung von Nachrichten (durch den Nutzer ausgelöst) Anzeige einer Übersetzung einer Nachricht auf Wunsch des Nutzers; Verarbeitung erfolgt auf eigenen Servern in der EU (selbst gehostetes LibreTranslate), kein Abfluss an externe Übersetzungsdienste Art. 6 Abs. 1 lit. b DSGVO
Optionale Funktionen, die eine Einwilligung erfordern (z. B. freiwillige Übermittlung von Fehlerberichten aus der App) jeweils angegebener Zweck Art. 6 Abs. 1 lit. a DSGVO (Einwilligung; jederzeit widerruflich mit Wirkung für die Zukunft)
E-Mail-Versand (z. B. Verifizierung, Passwort-Zurücksetzen) Kontoverwaltung und -sicherheit Art. 6 Abs. 1 lit. b DSGVO

Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt wird, können Sie ihr unter den Voraussetzungen des Art. 21 DSGVO widersprechen (siehe Abschnitt 2.10).

2.5 Automatische Prüfung hochgeladener Dateien

Hochgeladene Dateien werden vor der Bereitstellung automatisch verarbeitet:

Geplant, derzeit nicht aktiv: eine automatisierte Erkennung von Darstellungen sexuellen Kindesmissbrauchs (CSAM) in hochgeladenen Dateien, verbunden mit einer gesetzlich vorgesehenen Meldung an die zuständigen Stellen sowie menschlicher Überprüfung. Vor Aktivierung dieser Funktion wird diese Datenschutzerklärung aktualisiert. [Anwaltlich prüfen: Rechtsgrundlage, einschlägige Melde-/Aufbewahrungspflichten, Verhältnis zur ePrivacy-/Interims-Verordnung.]

2.6 Empfänger und Auftragsverarbeiter

Wir setzen zur Erbringung des Dienstes folgende Dienstleister bzw. Infrastruktur ein:

Verarbeitung in der EU

Empfänger / Infrastruktur Zweck Ort
[Hosting-Anbieter einsetzen, z. B. Hetzner Online GmbH / OVH / netcup — je tatsächlichem Vertrag] Server-Hosting (Anwendung, Datenbanken, Medienserver) Rechenzentren in der EU
Impossible Cloud GmbH (S3-kompatibler Objektspeicher) Speicherung hochgeladener Dateien (Anhänge, Avatare, Emojis, Sounds) EU (Deutschland)
Selbst gehosteter Mailserver (mailcow, mail.speakspeak.net) auf einem EU-VPS Versand von System-E-Mails (Verifizierung, Passwort-Zurücksetzen) EU
Selbst gehostetes LibreTranslate Übersetzung von Nachrichten auf Nutzerwunsch EU
Selbst gehostetes ClamAV Virenprüfung hochgeladener Dateien EU

Mit Hosting-Dienstleistern bestehen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO. [Anwaltlich prüfen und AV-Verträge dokumentieren.]

Drittlandtransfer: Cloudflare (USA)

Wir setzen derzeit Cloudflare, Inc. (USA) als Content-Delivery-Network und Ingress-/Tunnel-Dienst ein. Der Web- und API-Verkehr des Dienstes (mit Ausnahme der Echtzeit-Sprach-/Videoübertragung, die direkt zu unseren Servern läuft) wird über die Infrastruktur von Cloudflare geleitet. Cloudflare terminiert dabei die TLS-Verschlüsselung, d. h. Cloudflare kann die übertragenen Inhalte (z. B. Nachrichten beim Senden/Abrufen) sowie Metadaten (IP-Adressen, aufgerufene Adressen) technisch im Klartext verarbeiten.

Dies stellt eine Datenübermittlung in ein Drittland (USA) dar. Rechtsgrundlage der Übermittlung sind die von der EU-Kommission erlassenen Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), die Bestandteil unseres Vertrags mit Cloudflare sind. [Prüfen/ergänzen: ggf. zusätzlich Zertifizierung von Cloudflare unter dem EU-U.S. Data Privacy Framework (Art. 45 DSGVO); tatsächliche Vertragsgrundlage dokumentieren.]

Hinweis auf Risiken: Nach der Rechtsprechung des Europäischen Gerichtshofs („Schrems II", C-311/18) besteht bei Übermittlungen in die USA das Risiko, dass US-Behörden auf Grundlage von US-Recht (insbesondere FISA 702, CLOUD Act) auf Daten zugreifen können, ohne dass Betroffenen in der EU gleichwertige Rechtsschutzmöglichkeiten zustehen. Standardvertragsklauseln können dieses Risiko vertraglich, aber nicht in jedem Fall tatsächlich ausschließen.

Interner Platzhalter-Hinweis (vor Veröffentlichung anpassen)

Die Ablösung von Cloudflare durch eine selbst betriebene, EU-eigene Ingress-Lösung (Reverse-Tunnel auf EU-VPS) ist geplant. Nach Umsetzung ist dieser Abschnitt zu entfernen bzw. zu aktualisieren.

Weitergabe an Dritte im Übrigen

Eine Weitergabe personenbezogener Daten an sonstige Dritte erfolgt nur, wenn wir gesetzlich dazu verpflichtet sind (z. B. Auskunftsersuchen berechtigter Behörden, künftig gesetzliche Meldepflichten bei Missbrauchsdarstellungen) oder Sie eingewilligt haben. Ein Verkauf von Daten oder eine Nutzung zu Werbezwecken Dritter findet nicht statt.

Sichtbarkeit innerhalb des Dienstes

SpeakSpeak ist eine Kommunikationsplattform: Inhalte, die Sie in Communities/Kanälen oder Foren veröffentlichen, sowie Ihr Benutzername, Avatar und Onlinestatus sind für die anderen Mitglieder der jeweiligen Community bzw. die Empfänger Ihrer Direktnachrichten sichtbar. Community-Administratoren und -Moderatoren können Inhalte ihrer Community im Rahmen der Moderation einsehen und verwalten.

2.7 Cookies und lokale Speicherung

Der Dienst ist trackerfrei: Wir setzen keine Analyse-, Werbe- oder Tracking-Dienste Dritter ein und erstellen keine Nutzungsprofile zu Werbezwecken.

Es werden ausschließlich technisch notwendige Speichermechanismen verwendet:

Für ausschließlich technisch notwendige Speicherung ist nach § 25 Abs. 2 Nr. 2 TDDDG keine Einwilligung erforderlich. Ein Cookie-Banner ist daher nicht vorgesehen. [Anwaltlich bestätigen, dass sämtliche eingesetzte Speicherung unter die Ausnahme fällt — auch etwaige durch Cloudflare gesetzte Cookies (z. B. Bot-Abwehr) prüfen und ggf. hier aufführen.]

2.8 Speicherdauer und Löschung („Soft-Delete")

2.9 Datensicherheit

Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO, u. a.: Transportverschlüsselung (TLS) für sämtliche Verbindungen; Speicherung von Passwörtern ausschließlich als Argon2-Hash; signierte, kurzlebige Authentifizierungstoken; Zugriffskontrollen und Berechtigungssystem; getrennte Systeme für Identitäts- und Community-Daten; Begrenzung von Anmeldeversuchen; Protokollierung sicherheitsrelevanter Ereignisse. Hochgeladene Dateien sind nicht öffentlich abrufbar; der Zugriff erfolgt nur über zugriffsgeprüfte, zeitlich begrenzte Abruflinks bzw. über den Server.

2.10 Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an: contact@speakspeak.net

Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Die für uns zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
https://www.lda.bayern.de/

2.11 Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt. Automatische Dateiprüfungen (Abschnitt 2.5) führen nicht zu Entscheidungen mit rechtlicher Wirkung ohne die Möglichkeit menschlicher Überprüfung. [Bei Aktivierung automatisierter CSAM-Erkennung erneut prüfen.]

2.12 Pflicht zur Bereitstellung von Daten

Die Angabe von E-Mail-Adresse, Benutzername und Passwort ist für die Registrierung und Nutzung des Dienstes erforderlich; ohne diese Angaben kann kein Konto erstellt werden. Alle weiteren Angaben (z. B. Avatar) sind freiwillig.

2.13 Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Verarbeitung oder die Rechtslage ändert (z. B. Ablösung von Cloudflare, Einführung von Bezahlfunktionen, Aktivierung der CSAM-Erkennung). Es gilt die jeweils auf der Website veröffentlichte Fassung.

Stand: [Datum einsetzen]