Lokali

Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und in der Lokali-App ist:

Andres Emilio Morales Munoz-Rivero e.U.
Dr. Karl-Renner Str. 12c/1
3425 Tulln an der Donau, Österreich
E-Mail: office@aemmrah.com

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website und unserer App-Dienste erforderlich ist. Die Verarbeitung erfolgt gemäß der EU-Datenschutz-Grundverordnung (DSGVO) und dem österreichischen Datenschutzgesetz (DSG).

3. Erhobene Daten bei der Registrierung

Bei der Registrierung in der Lokali-App werden folgende Daten erhoben:

  • E-Mail-Adresse (Pflichtangabe) - zur Kontoerstellung und Kommunikation
  • Passwort (Pflichtangabe) - verschlüsselt gespeichert (bcrypt-Hash)
  • Name (optional) - zur Personalisierung des Profils
  • Profilbild (optional) - zur visuellen Identifikation
  • Telefonnummer (optional) - für direkte Kontaktaufnahme
  • Standortdaten (erforderlich für Hauptfunktion) - zur Vermittlung lokaler Aufgaben
  • Biographische Angaben (optional) - zur Profilbeschreibung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

4. Nutzungsdaten

Im Rahmen der App-Nutzung werden folgende Daten verarbeitet:

  • Erstellte Aufgaben und deren Inhalte
  • Bewerbungen auf Aufgaben
  • Chat-Nachrichten zwischen Nutzern
  • Bewertungen und Rezensionen
  • Terminvereinbarungen
  • Transaktions- und Zahlungsdaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

5. Standortdaten

Lokali verwendet Standortdaten, um lokale Aufgaben in Ihrer Nähe anzuzeigen. Sie können Ihre Standort-Privatsphäre in den Einstellungen anpassen:

  • Exakt: Standort wird innerhalb von ca. 500m angezeigt
  • Stadt: Standort wird nur auf Stadtebene angezeigt (ca. 1km)
  • Keine Anzeige: Standort wird anderen Nutzern nicht angezeigt

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

6. Event-Tracking und Analytics

Lokali betreibt ein eigenes, internes Event-Tracking-System um die App zu verbessern, Inserate sinnvoll zu sortieren und Angebotslücken im Markt zu erkennen. Es werden keine externen Analytics-Anbieter (Google Analytics, Facebook Pixel, etc.) eingebunden. Alle Daten bleiben in unserer eigenen Infrastruktur in der EU.

6.1 Welche Ereignisse werden erfasst?

Wir speichern strukturierte Ereignisse (Events) zu folgenden Kategorien, jeweils nur wenn du dem Tracking zugestimmt hast:

  • Sitzung: Start und Ende einer App-Sitzung, Plattform (Web/iOS/Android), optional UTM-Parameter falls du über einen Marketing-Link gekommen bist
  • Suche: Suchanfragen, gesetzte Filter, Anzahl Treffer, erfolglose Suchen (zur Erkennung von Angebotslücken)
  • Inserate: Aufruf eines Inserats, Verweildauer, gemerkte Inserate, geteilte Inserate, gemeldete Inserate, Erstellungs-Schritte beim Inserieren
  • Bewerbungen: Start, Absendung und Rückzug einer Bewerbung
  • Profile und Firmen: Profil- und Firmenprofil-Aufrufe, Klicks auf Kontakt-Buttons
  • Chat: Start einer Konversation, Anzahl gesendeter Nachrichten, Antwort-Zeiten (für Qualitäts-Score, NICHT der Inhalt der Nachrichten)
  • Bewertungen, Suchagenten, Onboarding: Erstellung und Klick-Aktionen
  • Zahlungen: Checkout-Start, Abschluss und Abbruch (Beträge, Produkt, Abrechnungsintervall, jedoch nicht Zahlungsmittel-Details)
  • Authentifizierung: Registrierung, Login und Logout (für Sicherheits-Auditing)

6.2 Technische Details

  • Speicherort: MongoDB Atlas EU (Frankfurt). Keine Datenübertragung außerhalb der EU
  • Identifikation: Anonyme Sitzungs-ID (UUID, lokal im Browser/Gerät erzeugt) + UserID falls eingeloggt. Anonyme Sitzungs-IDs sind nicht mit deiner Identität verknüpft.
  • Technologie: MongoDB Time-Series Collection, optimiert für chronologische Daten und automatisch komprimiert. Keine Cookies notwendig.
  • Übertragung: Verschlüsselt via HTTPS/TLS, gepuffert in Batches von max. 50 Events alle 5 Sekunden (kein Echtzeit-Streaming)
  • Speicherdauer: 24 Monate, danach automatisch gelöscht. Bei Account-Löschung werden alle Events sofort anonymisiert (UserID auf null gesetzt) und nicht mit dir verknüpfbar.
  • Consent-Version: Jedes Event wird mit der Version deiner Einwilligung gespeichert. Aktuelle Version: 2026-04-v1.

6.3 Rechtsgrundlagen

  • Analytics-Events (Suche, Inserate-Aufrufe, Such-Ergebnisse, etc.): Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über den Cookie-Banner)
  • Vertrags-relevante Events (Bewerbungen, Chat-Start, Checkout): Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Auth-Events (Login, Registrierung): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Sicherheit, Missbrauchserkennung)

6.4 Deine Kontrolle

  • Einwilligung verweigern: Wähle „Nur notwendig" im Cookie-Banner. Es werden dann keine Analytics-Events erfasst
  • Einwilligung widerrufen: Klicke jederzeit auf „Cookie-Einstellungen" im Footer oder unter Profil > Einstellungen > Daten & Privatsphäre
  • Tracking-Verlauf löschen: Unter Profil > Einstellungen > Daten & Privatsphäre kannst du alle bereits gespeicherten Events sofort anonymisieren lassen
  • Daten exportieren: An derselben Stelle kannst du eine maschinenlesbare JSON-Datei aller über dich gespeicherten Daten herunterladen (Art. 20 DSGVO)

7. Drittanbieter und Auftragsverarbeiter

Wir nutzen folgende Drittanbieter-Dienste zur Bereitstellung unserer Plattform:

7.1 Hosting und Infrastruktur

  • Render (render.com) - Backend-Hosting, USA mit EU-Datenverarbeitung
  • MongoDB Atlas - Datenbank-Hosting (MongoDB Inc., USA) mit EU-Serverstandort
  • Redis (Upstash) - Echtzeit-Kommunikation und Caching

7.2 Kommunikation

  • Brevo - E-Mail-Versand für Transaktionsmails und Benachrichtigungen
  • Expo Push Notifications - Push-Benachrichtigungen auf mobilen Geräten

7.3 Medien und Inhalte

  • Cloudflare R2 - Speicherung und Verarbeitung von Profilbildern und Aufgabenfotos (Speicherung in der EU-Region)

7.4 Karten und Standort

  • Mapbox - Kartenansicht und Adresssuche (Mapbox Inc.)

7.5 Zahlungsabwicklung

  • Stripe - Zahlungsabwicklung für Abonnements und Käufe (Stripe Inc.)
  • RevenueCat - Verwaltung von In-App-Abonnements und Käufen
  • Apple In-App Purchase - Zahlungen über iOS-Geräte (Apple Inc.)
  • Google Play Billing - Zahlungen über Android-Geräte (Google LLC)

7.6 Sicherheit und Moderation

  • Sightengine - Automatische Bildmoderation zur Erkennung unangemessener Inhalte
  • OpenAI Moderation API - Textmoderation zur Erkennung unangemessener Inhalte

7.7 Analytics

Lokali nutzt keine externen Analytics-Anbieter wie Google Analytics, PostHog, Plausible o.ä. Stattdessen betreiben wir ein eigenes Event-Tracking-System (siehe Abschnitt 6). Alle Daten bleiben in unserer eigenen Infrastruktur in der EU.

7.8 Monitoring und Fehlererkennung

  • Sentry - Fehlerüberwachung und Performance-Monitoring (Sentry Inc., EU-Region). Erfasst automatisch technische Fehler-Stacktraces und Performance-Metriken zur Behebung von App-Bugs. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: App-Stabilität).

Mit allen genannten Anbietern bestehen entsprechende Auftragsverarbeitungsverträge bzw. Standardvertragsklauseln für Datentransfers in Drittländer.

8. Cookies und lokale Speicherung

Die Lokali-App verwendet:

  • Secure Storage - Verschlüsselte Speicherung von Anmeldedaten auf dem Gerät
  • JWT-Token - Authentifizierung (30 Tage gültig)

Die Website verwendet technisch notwendige Cookies für die Funktion der Seite.

9. Speicherdauer

Ihre personenbezogenen Daten werden wie folgt gespeichert:

  • Kontodaten: Bis zur Löschung des Kontos
  • Aufgaben und Bewerbungen: 2 Jahre nach Abschluss/Löschung
  • Chat-Nachrichten: Bis zur Löschung durch den Nutzer oder 2 Jahre nach letzter Aktivität
  • Bewertungen: Dauerhaft (anonymisiert nach Kontolöschung)
  • Transaktionsdaten: 7 Jahre (gesetzliche Aufbewahrungspflicht)

10. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Information über gespeicherte Daten
  • Berichtigungsrecht (Art. 16 DSGVO): Korrektur unrichtiger Daten
  • Löschungsrecht (Art. 17 DSGVO): Löschung Ihrer Daten ("Recht auf Vergessenwerden")
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Einschränkung der Datennutzung
  • Datenübertragbarkeit (Art. 20 DSGVO): Export Ihrer Daten in maschinenlesbarem Format
  • Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen bestimmte Verarbeitungen
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeit ohne Angabe von Gründen

Selbstbedienung über die App: Daten-Export, Anonymisierung deines Tracking-Verlaufs und Cookie-Einstellungen kannst du selbst vornehmen unter: Profil > Einstellungen > Daten & Privatsphäre. Konto-Löschung findest du unter „Konto löschen" am Ende derselben Seite.

Auf Anfrage: Für alle anderen Anliegen wie Berichtigung, Einschränkung oder Widerspruch wenden Sie sich bitte an: office@aemmrah.com. Wir antworten innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).

11. Beschwerderecht

Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren:

Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
E-Mail: dsb@dsb.gv.at
Website: www.dsb.gv.at

12. Datensicherheit

Wir setzen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:

  • SSL/TLS-Verschlüsselung für alle Datenübertragungen
  • Verschlüsselte Passwort-Speicherung (bcrypt)
  • Sichere Token-basierte Authentifizierung (JWT)
  • Rate-Limiting zum Schutz vor Brute-Force-Angriffen
  • NoSQL-Injection-Prävention
  • Automatische Kontosperrung nach fehlgeschlagenen Anmeldeversuchen
  • Regelmäßige Sicherheitsupdates

13. Inhalte für Marketingzwecke

Mit der Nutzung von Lokali stimmen Sie zu, dass von Ihnen erstellte Inhalte (Aufgaben, Profilbeschreibungen, Bewertungen - ohne personenbezogene Daten) anonymisiert für Marketingzwecke verwendet werden dürfen. Profilbilder oder persönliche Informationen werden nur mit ausdrücklicher, gesonderter Einwilligung für Marketingzwecke genutzt.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite.

15. Kontakt

Bei Fragen zum Datenschutz wenden Sie sich bitte an:

Andres Emilio Morales Munoz-Rivero e.U.
Dr. Karl-Renner Str. 12c/1
3425 Tulln an der Donau
E-Mail: office@aemmrah.com