Lokali

Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und in der Lokali-App ist:

Andres Emilio Morales Munoz-Rivero e.U.
Dr.-Karl-Renner-Str. 12c/1
3425 Tulln an der Donau, Österreich
E-Mail: office@lokali.at

Es besteht keine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten. Datenschutzanfragen richten Sie bitte an die oben genannte E-Mail-Adresse.

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website und unserer App-Dienste erforderlich ist oder Sie eingewilligt haben. Die Verarbeitung erfolgt gemäß der EU-Datenschutz-Grundverordnung (DSGVO), dem österreichischen Datenschutzgesetz (DSG) und dem Telekommunikationsgesetz (TKG 2021, ehemals TTDSG-aequivalente Regelungen zu Endgeraete-Zugriffen).

Lokali ist ein hyperlokaler Marktplatz zur Vermittlung von Hilfe, Dienstleistungen und Jobs zwischen Privatpersonen und Unternehmen. Wir sind reine Vermittlungsplattform; Verträge kommen direkt zwischen den Nutzern zustande.

3. Daten bei Registrierung und Konto

Bei der Nutzung eines Lokali-Kontos verarbeiten wir:

  • E-Mail-Adresse (Pflicht) - zur Kontoerstellung, Anmeldung und Kommunikation
  • Passwort (bei E-Mail-Registrierung) - ausschließlich als bcrypt-Hash gespeichert, niemals im Klartext
  • Name, Anzeigename, Profilbild, Bio (optional) - zur Personalisierung des Profils
  • Telefonnummer (optional) - nur wenn Sie sie angeben
  • Standortdaten (für die Hauptfunktion) - siehe Abschnitt 5
  • Lebenslauf-Daten (optional, für Bewerbungen) - Fähigkeiten, Berufserfahrung, Ausbildung, Zertifikate, Sprachen
  • Zwei-Faktor-Authentifizierung (2FA) (optional) - TOTP-Schlüssel und Wiederherstellungscodes werden verschlüsselt bzw. als Hash gespeichert
  • Anmeldung über Google oder Apple (optional) - siehe Abschnitt 8 und 9
  • Push-Token und Web-Push-Abonnements (optional) - zur Zustellung von Benachrichtigungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); bei optionalen Angaben und Benachrichtigungen Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

4. Nutzungsdaten

Im Rahmen der Nutzung verarbeiten wir die von Ihnen erzeugten Inhalte:

  • Inserate (Gesuch, Angebot, Dienstleistung, Ausschreibung, Stellenanzeige) und deren Inhalte
  • Bewerbungen, Anfragen und beigefügte Dokumente
  • Chat-Nachrichten zwischen Nutzern
  • Bewertungen und Rezensionen
  • Terminvereinbarungen
  • Firmenprofile und zugehörige Angaben
  • Transaktions- und Abonnementdaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. Standortdaten und Adress-Privatsphäre

Lokali verwendet Standortdaten, um Inserate in Ihrer Nähe anzuzeigen. Sie steuern selbst, wie genau Ihr Standort für andere Nutzer sichtbar ist:

  • Exakt: genaue Adresse wird angezeigt (nur wenn Sie dies aktiv wählen)
  • Stadt (Standard): nur Stadt / Bezirk wird angezeigt
  • Keine Anzeige: Standort wird anderen Nutzern nicht angezeigt

Für andere Nutzer wird die genaue Straßenadresse standardmäßig nicht ausgegeben und die Kartenkoordinate um etwa 1 km verrauscht, sofern Sie nicht ausdrücklich die exakte Anzeige gewählt haben. So lassen sich Pins auf der Karte keiner exakten Wohnadresse zuordnen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in den Standortzugriff) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. Geräte- und Verbindungsdaten

Beim Zugriff auf unsere Dienste verarbeiten wir technisch bedingt bestimmte Verbindungsdaten:

  • IP-Adresse und User-Agent: zur Auslieferung der Dienste, zur Abwehr von Missbrauch (Rate-Limiting), für Sicherheits-Audit-Logs und in Server-Zugriffsprotokollen.
  • Sitzungs- und Geräteinformationen: bei aktiven Anmelde-Sitzungen (z. B. zur Anzeige Ihrer aktiven Sitzungen und zum Widerruf).

IP-Adresse und User-Agent werden in Sicherheits-Audit-Logs und Sitzungs-Tokens für maximal 90 Tage gespeichert; in unserem Event-Tracking (Abschnitt 7) wird die IP-Adresse nicht gespeichert (nur transient zur Begrenzung der Anfragerate).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Betriebsfähigkeit).

7. Event-Tracking und Analyse

Lokali betreibt ein eigenes, internes Event-Tracking-System, um die App zu verbessern, Inserate sinnvoll zu sortieren und Angebotslücken zu erkennen. Es werden keine externen Analyse-Anbieter (z. B. Google Analytics, Meta Pixel, PostHog, Plausible) eingebunden. Die Ereignis-Daten werden in unserer eigenen Datenbank in der EU-Region (Frankfurt) gespeichert.

7.1 Erfasste Ereignisse

Erfasst werden strukturierte Ereignisse zu Sitzung, Suche (inklusive Suchbegriff und Filter), Inserats-Aufrufen und Verweildauer, Bewerbungen, Profil- und Firmen-Aufrufen, Chat-Metadaten (Start, Anzahl, Antwortzeiten - nicht der Nachrichteninhalt), Bewertungen, Suchagenten, Onboarding und Zahlungsvorgängen (Beträge und Produkt, keine Zahlungsmittel-Details).

7.2 Technische Details und Identifikatoren

  • Speicherort: MongoDB Atlas, EU-Region (Frankfurt).
  • Identifikatoren: eine im Browser/Gerät erzeugte Sitzungs-ID (zufällige UUID) und, sofern Sie angemeldet sind, Ihre Nutzer-ID. Hinweis zur Transparenz: nach dem Login wird die Sitzungs-ID mit Ihrer Nutzer-ID verknüpft und ist dann nicht mehr anonym.
  • Keine IP-Speicherung in den Events; Übertragung verschlüsselt (HTTPS/TLS), gebündelt in Batches.
  • Speicherdauer: 24 Monate, danach automatische Löschung. Bei Konto-Löschung werden Ihre Events anonymisiert (Nutzer-ID entfernt).

7.3 Rechtsgrundlage und Ihre Kontrolle

Analyse-Ereignisse werden nur mit Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) erfasst. Ohne Einwilligung über den Cookie-/Consent-Banner wird kein Analyse-Ereignis erzeugt. Vertragsbezogene Vorgänge (z. B. Bewerbung, Checkout) stützen sich auf Art. 6 Abs. 1 lit. b DSGVO, Sicherheits-Ereignisse (Login) auf Art. 6 Abs. 1 lit. f DSGVO. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen im Footer oder unter Profil > Einstellungen widerrufen und Ihren bisherigen Tracking-Verlauf anonymisieren lassen.

8. Empfänger und Auftragsverarbeiter

Zur Bereitstellung unserer Plattform setzen wir folgende Dienstleister ein. Soweit personenbezogene Daten in ein Drittland (insbesondere USA) übermittelt werden, erfolgt dies auf Grundlage von EU-Standardvertragsklauseln; siehe Abschnitt 9.

8.1 Hosting und Infrastruktur

  • Render - Hosting der Server (Region Frankfurt; Anbieter mit Sitz USA)
  • MongoDB Atlas - Datenbank (EU-Region; Anbieter mit Sitz USA)
  • Cloudflare - CDN, Schutz vor Angriffen, TLS (verarbeitet u. a. die Verbindungs-IP)
  • Cloudflare R2 - Speicherung von Bildern und hochgeladenen Dokumenten (z. B. Bewerbungsunterlagen)

8.2 Anmeldung (OAuth)

  • Google Sign-In (Google LLC, USA) - bei Anmeldung über Google. Wir erhalten Ihre Google-Kennung, E-Mail-Adresse, Name und ggf. Profilbild.
  • Apple Sign-In (Apple Inc., USA) - bei Anmeldung über Apple. Wir erhalten Ihre Apple-Kennung und (bei der ersten Anmeldung) E-Mail und Name.

8.3 Kommunikation und Benachrichtigungen

  • Brevo (EU/Frankreich) - Transaktions-E-Mails und Benachrichtigungen
  • Expo / EAS (650 Industries, Inc., USA) - Push-Benachrichtigungen auf mobilen Geräten sowie App-Updates
  • Browser-Push-Dienste (z. B. Google FCM, Mozilla, Apple) - Zustellung von Web-Push-Nachrichten

8.4 Karten und Standort

  • Mapbox (Mapbox Inc., USA) - Kartenanzeige. Hinweis: beim Laden von Kartenkacheln wird Ihre IP-Adresse an Mapbox übermittelt. Die Adress-Autovervollständigung läuft hingegen über unseren Server (keine IP-Übermittlung an Mapbox).

8.5 Zahlungsabwicklung

  • Stripe - Kartenzahlungen und Abonnements im Web (erhält u. a. Name, E-Mail, Rechnungsadresse)
  • RevenueCat - Verwaltung von In-App-Abonnements (erhält Ihre interne Nutzer-ID und den Abo-Status)
  • Apple In-App-Kauf / Google Play Billing - Zahlungen über iOS- bzw. Android-Geräte

8.6 Sicherheit und Moderation

  • OpenAI Moderation (OpenAI, USA) - automatische Prüfung von Texten (z. B. Inserats-Titel und -Beschreibungen) auf unzulässige Inhalte. Hierbei wird der von Ihnen eingegebene Text an OpenAI übermittelt. Diese Prüfung erfolgt nur, sofern aktiviert.
  • Sentry - Fehler- und Stabilitäts-Überwachung (technische Fehlerberichte; ohne Klartext-Inhalte, mit reduzierten personenbezogenen Daten). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Eine automatische Bildmoderation durch externe Dienste ist derzeit nicht aktiv; gemeldete Inhalte werden manuell geprüft.

Mit Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.

9. Datenübermittlung in Drittländer

Einige der in Abschnitt 8 genannten Dienste haben ihren Sitz in den USA bzw. verarbeiten Daten dort (insbesondere Google, Apple, Mapbox, Stripe, RevenueCat, OpenAI, Expo, sowie die US-Muttergesellschaften von Render und MongoDB). Soweit hierbei personenbezogene Daten in die USA oder andere Drittländer übermittelt werden, stützen wir dies auf EU-Standardvertragsklauseln (Art. 46 DSGVO) bzw. - soweit zertifiziert - auf das EU-US Data Privacy Framework. Trotz dieser Garantien kann in Drittländern ein im Vergleich zur EU geringeres Datenschutzniveau bestehen.

10. Cookies und lokale Speicherung

Die Website verwendet folgende Cookies. Notwendige Cookies sind für den Betrieb erforderlich und setzen keine Einwilligung voraus.

NameZweckDauerKategorie
lokali_auth_tokenAnmeldung (Zugriffs-Token)1 Tagnotwendig
lokali_refresh_tokenErneuerung der Anmeldung90 Tagenotwendig
lokali_csrf_tokenSchutz vor Cross-Site-Request-Forgery1 Tagnotwendig
NEXT_LOCALEgewählte Sprache1 Jahrfunktional

Zusätzlich speichern wir Daten lokal im Browser (localStorage), u. a. Ihre Consent-Entscheidung, Anzeige-Einstellungen und Entwürfe. Für die Analyse (Abschnitt 7) wird - nur nach Ihrer Einwilligung - eine Sitzungs-ID im localStorage abgelegt. Diese Speicherung ist nach TKG 2021 / ePrivacy einwilligungsbedürftig und erfolgt erst nach Ihrer Zustimmung.

In der mobilen App werden Anmelde-Tokens verschlüsselt im sicheren Gerätespeicher (Secure Store / Keychain) abgelegt.

11. Speicherdauer

  • Kontodaten: bis zur Löschung des Kontos (siehe Abschnitt 12)
  • Inserate, Bewerbungen, Chats, Termine: bis zur Löschung durch Sie bzw. bis zur Konto-Löschung
  • Analyse-Ereignisse: 24 Monate
  • Sicherheits-Audit-Logs, Sitzungs-Tokens, Benachrichtigungen: 90 Tage
  • Rechnungs- und Zahlungsbelege: 7 Jahre (gesetzliche Aufbewahrungspflicht)

12. Konto-Löschung (Art. 17 DSGVO)

Sie können Ihr Konto jederzeit selbst löschen (in der App unter Profil > Einstellungen, im Web unter Mein Profil > Einstellungen, oder per Anfrage an office@lokali.at). Eine ausführliche Anleitung finden Sie unter Konto und Daten löschen.

Nach der Anfrage wird Ihr Konto sofort deaktiviert und nach einer Frist von 30 Tagen endgültig gelöscht; innerhalb dieser Frist können Sie die Löschung durch erneute Anmeldung rückgängig machen. Mit der endgültigen Löschung entfernen wir Ihre personenbezogenen Daten (Profil, Inserate, Nachrichten, Bewerbungen, Bewertungen, Suchagenten, Firmenprofil sowie hochgeladene Bilder und Dokumente). Analyse-Ereignisse werden anonymisiert. Daten, die wir gesetzlich aufbewahren müssen (insbesondere Rechnungsbelege, 7 Jahre), bleiben bis zum Ablauf der Frist gespeichert und werden danach gelöscht.

13. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO).

Selbstbedienung:Einen maschinenlesbaren Export Ihrer Daten (Art. 15/20), die Anonymisierung Ihres Tracking-Verlaufs und die Cookie-Einstellungen können Sie selbst unter Profil > Einstellungen vornehmen. Der Daten-Export umfasst insbesondere Ihr Profil, Inserate, Bewerbungen, Nachrichten, Konversationen, Bewertungen, Termine, Suchagenten, Transaktionen, Abonnements und Ihr Firmenprofil. Sehr große Bestände (Ereignisse, Nachrichten) werden begrenzt und im Export ausgewiesen; den vollständigen Bestand erhalten Sie auf Anfrage.

Auf Anfrage: Für weitere Anliegen wenden Sie sich an office@lokali.at. Wir antworten innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

14. Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren:

Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
E-Mail: dsb@dsb.gv.at - Website: www.dsb.gv.at

15. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen zum Schutz Ihrer Daten, u. a.: TLS-Verschlüsselung aller Übertragungen, bcrypt-Hashing der Passwörter, gehashte Speicherung von Sitzungs-Tokens und 2FA-Wiederherstellungscodes, Rate-Limiting, Schutz vor NoSQL-Injection, automatische Kontosperrung nach fehlgeschlagenen Anmeldeversuchen sowie EXIF-/GPS-Entfernung bei Bild-Uploads.

16. Anonymisierte Inhalte für Marktanalysen

Aus den auf der Plattform vorhandenen Inhalten und Ereignissen können wir aggregierte, nicht personenbezogene Markt-Statistiken ableiten (z. B. Nachfrage je Kategorie und Region). Diese Auswertungen erfolgen ausschließlich auf aggregierter bzw. anonymisierter Ebene ohne Personenbezug. Profilbilder oder persönliche Informationen werden für Werbezwecke nur mit Ihrer ausdrücklichen, gesonderten Einwilligung genutzt.

17. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage oder unser Dienst ändert. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite.

18. Kontakt

Bei Fragen zum Datenschutz erreichen Sie uns unter:

Andres Emilio Morales Munoz-Rivero e.U.
Dr.-Karl-Renner-Str. 12c/1
3425 Tulln an der Donau
E-Mail: office@lokali.at