oroski

Legal

Datenschutz

Informationen zur Verarbeitung personenbezogener Daten gemäß DSGVO. Stand: 2026-05-05. Geschlossene Pre-Launch-Beta.

1. Verantwortlicher

Tom Böttcher · E-Mail tom.bottcher@outlook.com. Postanschrift und vollständige Anbieterkennzeichnung siehe Impressum.

2. Verarbeitete Daten

Beim Anlegen und Nutzen eines Accounts verarbeiten wir:

  • Registrierung: E-Mail, Benutzername, Passwort-Hash (argon2id), Zeitpunkt der E-Mail-Verifikation.
  • Sitzungen: signiertes HttpOnly-Cookie (Name: oros_session), Ablaufzeit, User-Agent-String, gehashte IP-Adresse (sha256 mit Server-Pepper — keine Roh-IPs).
  • Audit-Events: Signup, Login, Logout, Verifikation, Reset, Export, Delete — jeweils mit Zeitpunkt und gehashter IP. Zweck: Sicherheit und Forensik bei Missbrauch.
  • Profilpräferenzen: bevorzugte Region, Sprache, UI-Einstellungen.
  • Standortabfragen: werden ausschließlich clientseitig verarbeitet, um die nächstgelegene Region zu wählen. Standortdaten werden nicht an den Server übertragen oder gespeichert.

3. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — Account, E-Mail-Verifikation, Login, Passwort-Reset.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — Rate-Limiting, Audit-Events, Abwehr von Missbrauch.
  • Art. 6 Abs. 1 lit. c DSGVO — gesetzliche Aufbewahrungspflichten.

4. Speicherdauer

  • Sitzungen: 30 Tage nach letzter Aktivität, dann automatisch revoked.
  • Audit-Events: 365 Tage.
  • Nach Accountlöschung: Soft-Delete sofort (Account + aktive Sitzungen werden deaktiviert). Harter Delete spätestens nach 30 Tagen durch automatisierten Cleanup-Job.
  • Wetter-Snapshots werden nach 30 Tagen, Lawinenbulletins nach 365 Tagen gelöscht.

5. Empfänger / Auftragsverarbeiter

Wir setzen folgende Dienstleister ein. Mit allen Auftragsverarbeitern besteht ein Vertrag nach Art. 28 DSGVO (AVV):

  • IONOS SE (DE) — Hosting des Servers. AVV: Standard-AVV des Anbieters; Original-Exemplar auf Anfrage.
  • Resend (EU-Region) — Versand transaktionaler E-Mails (Verifikation, Passwort-Reset). AVV: Standard-AVV des Anbieters; Original-Exemplar auf Anfrage.
  • OpenTopoMap (DE, gemeinnützig) — topografische Kartenkacheln. Übermittlung der IP-Adresse beim Tile-Abruf; keine weiteren personenbezogenen Daten. Attribution: Map data © OpenStreetMap contributors, SRTM | © OpenTopoMap (CC-BY-SA).
  • Sentry (EU-Region) — Fehlerüberwachung. AVV: Standard-AVV des Anbieters; Original-Exemplar auf Anfrage.

Quellen wie Open-Meteo, EAWS/ALBINA, SLF und LAWIS sind Datenquellen, keine Auftragsverarbeiter — wir übermitteln keine personenbezogenen Daten an diese Dienste.

6. Ihre Rechte

Sie haben jederzeit das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Zur Ausübung:

  • Unter /me können Sie Ihre Daten als Markdown herunterladen (Art. 20) und Ihren Account löschen (Art. 17).
  • Für alle anderen Anliegen schreiben Sie an tom.bottcher@outlook.com.
  • Beschwerderecht bei der zuständigen Aufsichtsbehörde, z. B. BfDI (DE) oder Datenschutzbehörde (AT).

7. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies für den Betrieb des Accounts (oros_session). Keine Tracking- oder Analyse-Cookies. Es ist daher keine Einwilligung erforderlich.

8. Änderungen dieser Erklärung

Bei wesentlichen Änderungen informieren wir registrierte Nutzer:innen per E-Mail. Die jeweils aktuelle Version ist unter /datenschutz abrufbar.

Oroski ist ein informatives Hilfsmittel und ersetzt keine professionelle Lawinenbeurteilung, keine Ausbildung und keine Bergführer:in. Das Fehlen einer Markierung im Bulletin bedeutet nicht, dass ein Hang sicher ist. Jede Entscheidung im Gelände trifft die Nutzer:in eigenverantwortlich.

Datenschutz — Oroski