Datenschutzerklärung
Stand: 09.07.2026 (1.7)
1. Datenschutz auf einen Blick
Allgemeine Hinweise
Die folgenden Hinweise geben einen Überblick darüber, was mit deinen personenbezogenen Daten passiert, wenn du diese Website besuchst. Personenbezogene Daten sind alle Daten, mit denen du persönlich identifiziert werden kannst.
Datenerfassung auf dieser Website
Wer ist verantwortlich?
Die Datenverarbeitung erfolgt durch den Websitebetreiber (Peter Goroncy). Meine Kontaktdaten findest du im Impressum.
Wie erfasse ich deine Daten?
Deine Daten werden erhoben, wenn du sie mir mitteilst (z. B. Registrierung, Familienmitglieder anlegen, Termine eintragen oder Bücher scannen). Andere Daten werden automatisch beim Besuch der Website erfasst (Browser, Betriebssystem).
2. Hosting
STRATO
Ich hoste die Inhalte meiner Website bei der Strato AG, Otto-Ostrowski-Straße 7, 10249 Berlin. Strato verarbeitet deine Daten nur nach meinen Weisungen und unter Einhaltung der DSGVO (AVV liegt vor).
3. Allgemeine Hinweise
Verantwortliche Stelle
Peter Goroncy
Wittkampstr. 25B
44892 Bochum
E-Mail: kontakt@orgaheld.app
4. Datenerfassung auf dieser Website
Cookies
Meine Website verwendet technisch notwendige Cookies (z. B. für den Login). Diese werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gespeichert, damit die App fehlerfrei funktioniert.
Registrierung auf dieser Website
Du kannst dich auf zwei Wegen registrieren:
- E-Mail & Passwort: Die eingegebenen Daten (Name, E-Mail, Passwort-Hash, Adresse, Telefon) nutze ich nur für die Bereitstellung des Dienstes. Deine E-Mail-Adresse wird verschlüsselt (AES-256) gespeichert – kein Klartext in der Datenbank.
- Google-Login (OAuth 2.0): Siehe Abschnitt 5.
Alle Daten werden ausschließlich auf Servern in Deutschland (Strato) gespeichert.
Passkey (WebAuthn)
Richtet ein Nutzer einen Passkey ein, wird der dabei erzeugte öffentliche Schlüssel in der OrgaHeld-Datenbank gespeichert. Der private Schlüssel verbleibt ausschließlich auf dem Gerät des Nutzers (z. B. Secure Enclave, TPM oder Hardware-Key) und wird niemals an OrgaHeld übermittelt. Gespeichert werden außerdem eine gerätespezifische Credential-ID sowie der Zeitpunkt der Registrierung und der letzten Nutzung. Das Einrichten eines Passkeys ist freiwillig. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
Zwei-Faktor-Authentifizierung (TOTP)
Aktiviert ein Nutzer die Zwei-Faktor-Authentifizierung, wird ein TOTP-Secret (kryptografischer Schlüssel) erzeugt und in der Datenbank gespeichert. Dieses Secret wird ausschließlich zur Verifikation zeitbasierter Einmalcodes genutzt und niemals an Dritte übermittelt. Die Einrichtung ist freiwillig. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
Sicherheitsprotokoll (Brute-Force-Schutz)
Zum Schutz vor automatisierten Angriffen wird die Anzahl fehlgeschlagener Login-Versuche pro Konto in der Datenbank gespeichert. Bei Überschreiten des Schwellenwerts wird das Konto temporär gesperrt. Diese Daten dienen ausschließlich der Sicherheit und werden nach erfolgreicher Anmeldung zurückgesetzt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Systemsicherheit).
Datenverarbeitung in den Helden-Modulen
In den verschiedenen Modulen (FamilienHeld, MediaHeld, UmzugsHeld etc.) kannst du Daten von weiteren Personen (z. B. Familienmitglieder, Ausleiher) anlegen und verwalten. Gespeichert werden dabei:
- Namen von hinzugefügten Personen
- E-Mail-Adressen (für Einladungen oder Logins)
- Telefonnummern (optional)
- Inhaltliche Daten wie Termine, Aufgaben, Finanztransaktionen, Abwesenheiten oder Medien-Ausleihen
Diese Daten sind nur für dich und explizit autorisierte Nutzer deiner Gruppe/Familie sichtbar. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Hinweis zu Gesundheitsdaten: Das FamilienHeld-Modul ermöglicht die Erfassung von Gesundheitsinformationen (Medikamente, Arzttermine, Impfungen). Diese unterliegen als besondere Kategorie personenbezogener Daten dem erhöhten Schutz nach Art. 9 DSGVO – siehe Abschnitt 8.
5. Google-Login (OAuth 2.0)
OrgaHeld bietet die Möglichkeit, sich mit einem bestehenden Google-Konto zu registrieren und einzuloggen. Dabei wird der OAuth-2.0-Dienst von Google LLC genutzt (Google Cloud Platform, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA).
Ablauf und übermittelte Daten
Klickst du auf „Mit Google anmelden", wirst du zu einer Google-Seite weitergeleitet. Dort meldest du dich – wenn noch nicht geschehen – bei Google an und erteilst OrgaHeld die Erlaubnis, folgende Daten abzurufen:
- Vor- und Nachname
- E-Mail-Adresse des Google-Kontos
- Eindeutige Google-Nutzer-ID (zur Kontoverknüpfung)
OrgaHeld erhält kein Google-Passwort. Standardmäßig ist der Zugriff auf das o.g. Profil (Name, E-Mail, Google-Nutzer-ID) beschränkt und umfasst keine weiteren Google-Dienste (Gmail, Drive etc.).
Erweiterte Google-Dienste: ZeitHeld – Jahrestage & Kontakte-Sync (optional)
Der ZeitHeld enthält eine Jahrestage-Funktion, mit der du Geburtstage, Jubiläen und andere wiederkehrende Ereignisse verwalten kannst. Optional kann diese Funktion mit deinen Google-Kontakten verknüpft werden. In diesem Fall wird der bestehende Google-OAuth-Zugriff um den Scope https://www.googleapis.com/auth/contacts.readonly erweitert. OrgaHeld erhält dann die Berechtigung, Geburtstags- und Kontaktdaten lesend aus deinen Google-Kontakten abzurufen (via Google People API), um diese automatisch in die Jahrestage-Übersicht zu übernehmen.
Dabei werden verarbeitet:
- Kontaktname
- Geburtstags- oder Jahrestagsangaben aus dem Google-Kontakt
Diese Erweiterung wird nur aktiv, wenn du sie explizit in den ZeitHeld-Einstellungen aktivierst und Google im OAuth-Dialog zustimmst. Du kannst den Zugriff jederzeit unter myaccount.google.com/permissions widerrufen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Speicherung
Name und E-Mail werden – wie bei der normalen Registrierung – verschlüsselt in unserer Datenbank auf deutschen Servern gespeichert. Die Google-Nutzer-ID wird zur Wiedererkennung bei zukünftigen Logins gespeichert. Für die Kontakte-Sync werden OAuth-Refresh-Tokens verschlüsselt in der Datenbank gespeichert, um den Abruf auch ohne erneuten Login zu ermöglichen. Diese Tokens können jederzeit über die ZeitHeld-Einstellungen oder direkt bei Google widerrufen werden.
Verknüpfung bestehender Konten
Hat ein Nutzer bereits ein OrgaHeld-Konto mit E-Mail & Passwort, kann er dieses nachträglich mit seinem Google-Konto verknüpfen. Dabei wird lediglich die Google-Nutzer-ID dem bestehenden Konto zugeordnet.
Rechtsgrundlage & Datenpolitik von Google
Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Kontoeinrichtung). Informationen zur Datenverarbeitung durch Google findest du in der Google-Datenschutzerklärung.
6. Plugins, Tools und Externe Dienste
Tankerkönig API (FinanzHeld – Live-Spritpreise)
Im Modul FinanzHeld kann die Funktion „Live-Spritpreise" genutzt werden. Wenn du pro Fahrzeug eine Postleitzahl (PLZ) und eine Kraftstoffsorte hinterlegst, ruft unser Server (nicht dein Browser) über die Tankerkönig API aktuelle regionale Kraftstoffpreise ab.
Dabei werden an den Dienst Tankerkönig (tankerkoenig.de, CreativeCommons) folgende Daten übermittelt:
- Geografische Koordinaten (Breiten- und Längengrad), die aus deiner PLZ errechnet werden (kein Standortzugriff auf dein Gerät)
- Suchradius (fest: 10 km)
- Kraftstoffsorte (z. B. „e5", „diesel")
Es werden keine personenbezogenen Daten wie Name, E-Mail-Adresse, IP-Adresse des Nutzers oder Kontodaten an Tankerkönig übermittelt. Die Anfrage erfolgt ausschließlich durch den OrgaHeld-Server (serverseitiger Proxy).
Caching: Abgerufene Preise werden 1 Stunde in unserer Datenbank zwischengespeichert, um die Anzahl externer Anfragen zu minimieren. Die aus der PLZ ermittelten Koordinaten werden bis zu 30 Tage gecacht.
Die Nutzung dieser Funktion ist vollständig optional. Ohne hinterlegte PLZ findet kein API-Abruf statt; das System arbeitet dann mit dem von dir manuell gepflegten Fallback-Preis.
Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Bereitstellung der beantragten Funktion).
Nominatim / OpenStreetMap (Geokodierung)
Um aus der eingegebenen PLZ geografische Koordinaten zu ermitteln (Voraussetzung für den Tankerkönig-Abruf), nutzt unser Server den öffentlichen Geokodierungsdienst Nominatim der OpenStreetMap Foundation (nominatim.openstreetmap.org).
Dabei wird ausschließlich die Postleitzahl und das Land „DE" als Suchanfrage übermittelt. Personenbezogene Daten werden nicht übertragen. Die Anfrage erfolgt serverseitig; deine IP-Adresse bleibt gegenüber Nominatim anonym.
Weitere Informationen zum Datenschutz bei Nominatim: osmfoundation.org/wiki/Privacy_Policy
Schulferien-Daten (API)
Um Schulferien im Kalender anzuzeigen, ruft unser Server öffentlich verfügbare Feriendaten von einer externen Schnittstelle (ferien-api.de) ab. Hierbei werden keine personenbezogenen Daten von dir an den Anbieter übermittelt. Der Abruf erfolgt anonymisiert durch meinen Server.
Medien-Datenbanken (MediaHeld)
Im Modul MediaHeld werden beim Scannen von ISBN/EAN-Codes Medieninformationen (Titel, Autor, Cover-Bild) automatisch abgerufen. Unser Server sendet eine Suchanfrage an öffentliche Schnittstellen (z. B. Google Books API). Es werden dabei keine personenbezogenen Daten des Nutzers übermittelt.
CDNs (Content Delivery Networks)
Zur schnelleren Darstellung nutzen wir für einzelne Bereiche externe Server für Skripte (jsDelivr). Dabei wird technisch bedingt deine IP-Adresse an diese Anbieter übermittelt.
7. VertragsHeld
Das Modul VertragsHeld ermöglicht die Verwaltung von Verträgen und Abonnements. Dabei werden folgende Daten verarbeitet:
- Vertragsbezeichnung, Anbieter, Kategorie
- Laufzeit, Kosten, Zyklus, Buchungstag/-datum
- Kündigungsfristen und Kündigungsdatum
- Notizen zum Vertrag
Diese Daten werden ausschließlich lokal auf unseren Servern gespeichert und sind nur für dich und explizit autorisierte Nutzer deiner Gruppe sichtbar. Es findet kein Transfer an Drittanbieter statt.
Verknüpfung mit FinanzHeld: Optional können Verträge mit einem Dauerauftrag im FinanzHeld verknüpft werden. In diesem Fall werden Vertragsdaten (Betrag, Zyklus, Buchungstag) innerhalb der OrgaHeld-Datenbank zwischen beiden Modulen ausgetauscht. Keine externen Übertragungen.
Vertragsdokumente: Optional können Vertragsdokumente (z. B. PDFs oder Scans) direkt im VertragsHeld hochgeladen und dem jeweiligen Vertragseintrag zugeordnet werden. Hochgeladene Dokumente werden in einem zusätzlich abgesicherten Verzeichnis auf den OrgaHeld-Servern (Strato, Deutschland) gespeichert, das nicht direkt über das Web erreichbar ist. Der Zugriff erfolgt ausschließlich authentifiziert über die OrgaHeld-Anwendung. Es findet keine Weitergabe an Dritte statt.
Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
8. FamilienHeld – Gesundheitsdaten (Art. 9 DSGVO)
Das Modul FamilienHeld enthält einen integrierten Gesundheits-Manager, in dem du freiwillig Gesundheitsinformationen für dich und deine Familienmitglieder erfassen kannst. Diese Daten fallen unter die besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO und unterliegen daher einem erhöhten Schutz.
Welche Gesundheitsdaten werden verarbeitet?
- Medikamente: Name, Wirkstoff, Dosierung, Einnahmeschema (morgens/mittags/abends/nachts), Bestand und Nachkauf-Schwellenwert
- Arzttermine: Termintyp, Arztname/-einrichtung, Datum, Uhrzeit, Ort, Befund, Nachsorge-Datum
- Impfungen: Impfstoffname, Impfdatum, nächste Impfung, Chargennummer, Arzt
- Vorsorge-Untersuchungen: Typ, Bezeichnung, letztes und nächstes Datum, Intervall, Ergebnis
- Ärzte & Einrichtungen (Adressbuch): Name, Fachrichtung, Adresse, Telefon
Rechtsgrundlage
Die Verarbeitung dieser Gesundheitsdaten erfolgt ausschließlich auf Grundlage deiner ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Die Einwilligung ergibt sich daraus, dass du die Daten aktiv und freiwillig im System eingibst. Du kannst die Nutzung des Gesundheits-Managers jederzeit einstellen und die eingegebenen Daten löschen.
Datensicherheit und Zugriff
- Gesundheitsdaten werden ausschließlich auf deutschen Servern (Strato) gespeichert.
- Die Daten sind nur für den Inhaber des Accounts und explizit autorisierte Familienmitglieder sichtbar.
- Es findet keine Übermittlung an Dritte, Versicherungen, Arbeitgeber oder sonstige externe Stellen statt.
- Die Daten werden nicht für Werbung, Profiling oder sonstige Zwecke außerhalb der reinen Darstellung genutzt.
Löschung
Einzelne Einträge können jederzeit direkt im Modul gelöscht werden. Mit der Löschung des OrgaHeld-Kontos werden alle Gesundheitsdaten unwiderruflich entfernt.
9. Push-Benachrichtigungen
OrgaHeld bietet optional Web-Push-Benachrichtigungen an, um dich z. B. über anstehende Termine, Vertragsfristen oder Fälligkeiten zu informieren. Die Nutzung ist vollständig freiwillig.
Gespeicherte Daten
Wenn du Push-Benachrichtigungen aktivierst, werden folgende technische Daten in der OrgaHeld-Datenbank gespeichert:
- Endpoint-URL: Die vom Browser bereitgestellte Empfänger-Adresse des Push-Dienstes (z. B. fcm.googleapis.com für Chrome)
- Kryptografische Schlüssel: p256dh-Schlüssel und Auth-Secret zur verschlüsselten Übertragung der Benachrichtigung
- Geräte-Token: Ein gerätespezifischer Bezeichner (im Browser generiert), der doppelte Registrierungen beim Wechsel des Endpoints verhindert
- Zeitpunkt der Registrierung
Datenverarbeitung
Push-Nachrichten werden Ende-zu-Ende-verschlüsselt übertragen (Web Push Protocol, RFC 8291). Der Push-Dienst des jeweiligen Browser-Herstellers (z. B. Google FCM für Chrome, Mozilla Autopush für Firefox) agiert dabei als Relay und kann den Inhalt der Benachrichtigung nicht lesen. Technisch bedingt erhält der Push-Dienst jedoch die Tatsache, dass eine Benachrichtigung zugestellt wurde.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst Push-Benachrichtigungen jederzeit in den Browser-Einstellungen oder in deinen OrgaHeld-Kontoeinstellungen deaktivieren. Die gespeicherten Subscription-Daten werden bei der Abmeldung aus der Datenbank gelöscht.
10. Newsletter
Mit der Registrierung wird die angegebene E-Mail-Adresse für den OrgaHeld-Newsletter gespeichert. Der Newsletter informiert über Updates, neue Funktionen und Hinweise zur OrgaHeld-Suite.
Gespeicherte Daten
- E-Mail-Adresse (AES-256-verschlüsselt)
- Name
- Abonnement-Status (aktiv / abgemeldet)
- Datum der Registrierung
Weitergabe
Die E-Mail-Adresse wird ausschließlich für Mailings über den OrgaHeld-eigenen SMTP-Server (Strato) verwendet. Es findet keine Weitergabe an Drittanbieter-Dienste (z. B. Mailchimp, Brevo) statt.
Widerruf
Das Abonnement kann jederzeit ohne Angabe von Gründen widerrufen werden – per E-Mail an kontakt@orgaheld.app oder über den Abmelde-Link im Newsletter. Die Abmeldung löscht die E-Mail-Adresse nicht sofort aus der Datenbank, sondern setzt den Status auf „abgemeldet". Auf Wunsch erfolgt eine vollständige Löschung.
Rechtsgrundlage für die erstmalige Speicherung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Nutzerinformation). Für fortlaufende Mailings gilt Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 7 Abs. 3 UWG.
Quelle: Erstellt mit Unterstützung von e-recht24.de Vorlagen.