Lokali

Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und in der Lokali-App ist:

Andres Emilio Morales Munoz-Rivero e.U.
Dr.-Karl-Renner-Str. 12c/1
3425 Tulln an der Donau, Österreich
E-Mail: [email protected]

Es besteht keine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten. Datenschutzanfragen richten Sie bitte an die oben genannte E-Mail-Adresse.

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website und unserer App-Dienste erforderlich ist oder Sie eingewilligt haben. Die Verarbeitung erfolgt gemäß der EU-Datenschutz-Grundverordnung (DSGVO), dem österreichischen Datenschutzgesetz (DSG) und dem Telekommunikationsgesetz (TKG 2021, ehemals TTDSG-aequivalente Regelungen zu Endgeraete-Zugriffen).

Lokali ist ein hyperlokaler Marktplatz zur Vermittlung von Hilfe, Dienstleistungen und Jobs zwischen Privatpersonen und Unternehmen. Wir sind reine Vermittlungsplattform; Verträge kommen direkt zwischen den Nutzern zustande.

3. Daten bei Registrierung und Konto

Bei der Nutzung eines Lokali-Kontos verarbeiten wir:

  • E-Mail-Adresse (Pflicht) - zur Kontoerstellung, Anmeldung und Kommunikation
  • Passwort (bei E-Mail-Registrierung) - ausschließlich als bcrypt-Hash gespeichert, niemals im Klartext
  • Name, Anzeigename, Profilbild, Bio (optional) - zur Personalisierung des Profils
  • Telefonnummer (optional) - nur wenn Sie sie angeben
  • Standortdaten (für die Hauptfunktion) - siehe Abschnitt 5
  • Lebenslauf-Daten (optional, für Bewerbungen) - Fähigkeiten, Berufserfahrung, Ausbildung, Zertifikate, Sprachen
  • Zwei-Faktor-Authentifizierung (2FA) (optional) - TOTP-Schlüssel und Wiederherstellungscodes werden verschlüsselt bzw. als Hash gespeichert
  • Anmeldung über Google oder Apple (optional) - siehe Abschnitt 8 und 9
  • Push-Token und Web-Push-Abonnements (optional) - zur Zustellung von Benachrichtigungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); bei optionalen Angaben und Benachrichtigungen Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

4. Nutzungsdaten

Im Rahmen der Nutzung verarbeiten wir die von Ihnen erzeugten Inhalte:

  • Inserate (Gesuch, Angebot, Dienstleistung, Ausschreibung, Stellenanzeige) und deren Inhalte
  • Bewerbungen, Anfragen und beigefügte Dokumente
  • Chat-Nachrichten zwischen Nutzern
  • Bewertungen und Rezensionen
  • Terminvereinbarungen
  • Firmenprofile und zugehörige Angaben
  • Transaktions- und Abonnementdaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. Standortdaten und Adress-Privatsphäre

Lokali verwendet Standortdaten, um Inserate in Ihrer Nähe anzuzeigen. Sie steuern selbst, wie genau Ihr Standort für andere Nutzer sichtbar ist:

  • Exakt: genaue Adresse wird angezeigt (nur wenn Sie dies aktiv wählen)
  • Stadt (Standard): nur Stadt / Bezirk wird angezeigt
  • Keine Anzeige: Standort wird anderen Nutzern nicht angezeigt

Für andere Nutzer wird die genaue Straßenadresse standardmäßig nicht ausgegeben und die Kartenkoordinate um etwa 1 km verrauscht, sofern Sie nicht ausdrücklich die exakte Anzeige gewählt haben. So lassen sich Pins auf der Karte keiner exakten Wohnadresse zuordnen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in den Standortzugriff) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. Geräte- und Verbindungsdaten

Beim Zugriff auf unsere Dienste verarbeiten wir technisch bedingt bestimmte Verbindungsdaten:

  • IP-Adresse und User-Agent: zur Auslieferung der Dienste, zur Abwehr von Missbrauch (Rate-Limiting), für Sicherheits-Audit-Logs und in Server-Zugriffsprotokollen.
  • Sitzungs- und Geräteinformationen: bei aktiven Anmelde-Sitzungen (z. B. zur Anzeige Ihrer aktiven Sitzungen und zum Widerruf).

IP-Adresse und User-Agent werden in Sicherheits-Audit-Logs und Sitzungs-Tokens für maximal 90 Tage gespeichert; in unserem Event-Tracking (Abschnitt 7) wird die IP-Adresse nicht gespeichert (nur transient zur Begrenzung der Anfragerate).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Betriebsfähigkeit).

7. Event-Tracking und Analyse

Lokali betreibt ein eigenes, internes Event-Tracking-System, um die App zu verbessern, Inserate sinnvoll zu sortieren und Angebotslücken zu erkennen. Es werden keine externen Analyse-Anbieter (z. B. Google Analytics, Meta Pixel, PostHog, Plausible) eingebunden. Die Ereignis-Daten werden in unserer eigenen Datenbank auf unserem Server in Deutschland gespeichert. Davon zu unterscheiden ist die Erfolgsmessung unserer Werbeanzeigen über Google Ads (nur mit Ihrer Einwilligung), siehe Abschnitt 8.7. Unabhängig davon erfassen wir bestimmte funktionale Nutzungsereignisse serverseitig, siehe Abschnitt 17.

7.1 Erfasste Ereignisse

Erfasst werden strukturierte Ereignisse zu Sitzung, Suche (inklusive Suchbegriff und Filter), Inserats-Aufrufen und Verweildauer, Bewerbungen, Profil- und Firmen-Aufrufen, Chat-Metadaten (Start, Anzahl, Antwortzeiten - nicht der Nachrichteninhalt), Bewertungen, Suchagenten, Onboarding und Zahlungsvorgängen (Beträge und Produkt, keine Zahlungsmittel-Details).

7.2 Technische Details und Identifikatoren

  • Speicherort: eigene MongoDB-Datenbank auf unserem Server in Deutschland (Hetzner).
  • Identifikatoren: eine im Browser/Gerät erzeugte Sitzungs-ID (zufällige UUID) und, sofern Sie angemeldet sind, Ihre Nutzer-ID. Hinweis zur Transparenz: nach dem Login wird die Sitzungs-ID mit Ihrer Nutzer-ID verknüpft und ist dann nicht mehr anonym.
  • Keine IP-Speicherung in den Events; Übertragung verschlüsselt (HTTPS/TLS), gebündelt in Batches.
  • Speicherdauer: 24 Monate, danach automatische Löschung. Bei Konto-Löschung werden Ihre Events anonymisiert (Nutzer-ID entfernt).

7.3 Rechtsgrundlage und Ihre Kontrolle

Analyse-Ereignisse werden nur mit Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) erfasst. Ohne Einwilligung über den Cookie-/Consent-Banner wird kein Analyse-Ereignis erzeugt. Vertragsbezogene Vorgänge (z. B. Bewerbung, Checkout) stützen sich auf Art. 6 Abs. 1 lit. b DSGVO, Sicherheits-Ereignisse (Login) auf Art. 6 Abs. 1 lit. f DSGVO. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen im Footer oder unter Profil > Einstellungen widerrufen und Ihren bisherigen Tracking-Verlauf anonymisieren lassen.

8. Empfänger und Auftragsverarbeiter

Zur Bereitstellung unserer Plattform setzen wir folgende Dienstleister ein. Soweit personenbezogene Daten in ein Drittland (insbesondere USA) übermittelt werden, erfolgt dies auf Grundlage von EU-Standardvertragsklauseln; siehe Abschnitt 9.

8.1 Hosting und Infrastruktur

  • Hetzner Online GmbH (Deutschland) - Hosting unserer Server und unserer Datenbank in einem Rechenzentrum in Deutschland. Die Datenbank betreiben wir selbst; ein externer Datenbank-Anbieter ist nicht mehr eingebunden.
  • Cloudflare - CDN, Schutz vor Angriffen, TLS (verarbeitet u. a. die Verbindungs-IP)
  • Cloudflare R2 (EU-Region) - Speicherung von Bildern und hochgeladenen Dokumenten (z. B. Bewerbungsunterlagen)

8.2 Anmeldung (OAuth)

  • Google Sign-In (Google LLC, USA) - bei Anmeldung über Google. Wir erhalten Ihre Google-Kennung, E-Mail-Adresse, Name und ggf. Profilbild.
  • Apple Sign-In (Apple Inc., USA) - bei Anmeldung über Apple. Wir erhalten Ihre Apple-Kennung und (bei der ersten Anmeldung) E-Mail und Name.

8.3 Kommunikation und Benachrichtigungen

  • Brevo (EU/Frankreich) - Transaktions-E-Mails und Benachrichtigungen
  • Expo / EAS (650 Industries, Inc., USA) - Push-Benachrichtigungen auf mobilen Geräten sowie App-Updates
  • Browser-Push-Dienste (z. B. Google FCM, Mozilla, Apple) - Zustellung von Web-Push-Nachrichten

8.4 Karten und Standort

  • Mapbox (Mapbox Inc., USA) - Kartenanzeige. Hinweis: beim Laden von Kartenkacheln wird Ihre IP-Adresse an Mapbox übermittelt. Die Adress-Autovervollständigung läuft hingegen über unseren Server (keine IP-Übermittlung an Mapbox).

8.5 Zahlungsabwicklung

  • Stripe - Kartenzahlungen und Abonnements im Web (erhält u. a. Name, E-Mail, Rechnungsadresse)
  • RevenueCat - Verwaltung von In-App-Abonnements (erhält Ihre interne Nutzer-ID und den Abo-Status)
  • Apple In-App-Kauf / Google Play Billing - Zahlungen über iOS- bzw. Android-Geräte

8.6 Sicherheit und Moderation

  • OpenAI Moderation (OpenAI, USA) - automatische Prüfung von Texten (z. B. Inserats-Titel und -Beschreibungen) auf unzulässige Inhalte. Hierbei wird der von Ihnen eingegebene Text an OpenAI übermittelt. Diese Prüfung erfolgt nur, sofern aktiviert.
  • Sentry - Fehler- und Stabilitäts-Überwachung (technische Fehlerberichte; ohne Klartext-Inhalte, mit reduzierten personenbezogenen Daten). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Eine automatische Bildmoderation durch externe Dienste ist derzeit nicht aktiv; gemeldete Inhalte werden manuell geprüft.

8.7 Werbung und Conversion-Tracking (Google Ads)

Wir nutzen Google Ads, einen Dienst der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland), um den Erfolg unserer Werbeanzeigen zu messen. Gelangen Sie über eine unserer Anzeigen zu Lokali, setzt Google ein Cookie und wir können nachvollziehen, ob eine relevante Aktion (z. B. eine Registrierung) erfolgt. Wir erhalten dabei nur aggregierte Statistiken, keine Daten, mit denen wir Sie persönlich identifizieren können.

  • Zweck: Messung und Optimierung unserer Werbekampagnen.
  • Rechtsgrundlage: Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Das Tag lädt nur, wenn Sie im Cookie-Banner der Kategorie "Marketing" zustimmen.
  • Empfänger / Drittland: Google; eine Datenübermittlung in die USA ist möglich. Google ist unter dem EU-US Data Privacy Framework zertifiziert, ergänzend gelten EU-Standardvertragsklauseln.
  • Speicherdauer: Conversion-Cookies laufen in der Regel nach 90 Tagen ab.
  • Widerruf: jederzeit über den Cookie-Einstellungen-Link im Footer (Kategorie "Marketing" deaktivieren).

Mit Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.

9. Datenübermittlung in Drittländer

Einige der in Abschnitt 8 genannten Dienste haben ihren Sitz in den USA bzw. verarbeiten Daten dort (insbesondere Google, Apple, Mapbox, Stripe, RevenueCat, OpenAI und Expo). Soweit hierbei personenbezogene Daten in die USA oder andere Drittländer übermittelt werden, stützen wir dies auf EU-Standardvertragsklauseln (Art. 46 DSGVO) bzw. - soweit zertifiziert - auf das EU-US Data Privacy Framework. Trotz dieser Garantien kann in Drittländern ein im Vergleich zur EU geringeres Datenschutzniveau bestehen.

10. Cookies und lokale Speicherung

Die Website verwendet folgende Cookies. Notwendige Cookies sind für den Betrieb erforderlich und setzen keine Einwilligung voraus.

NameZweckDauerKategorie
lokali_auth_tokenAnmeldung (Zugriffs-Token)1 Tagnotwendig
lokali_refresh_tokenErneuerung der Anmeldung90 Tagenotwendig
lokali_csrf_tokenSchutz vor Cross-Site-Request-Forgery1 Tagnotwendig
NEXT_LOCALEgewählte Sprache1 Jahrfunktional

Zusätzlich speichern wir Daten lokal im Browser (localStorage), u. a. Ihre Consent-Entscheidung, Anzeige-Einstellungen und Entwürfe. Für die Analyse (Abschnitt 7) wird - nur nach Ihrer Einwilligung - eine Sitzungs-ID im localStorage abgelegt. Diese Speicherung ist nach TKG 2021 / ePrivacy einwilligungsbedürftig und erfolgt erst nach Ihrer Zustimmung.

In der mobilen App werden Anmelde-Tokens verschlüsselt im sicheren Gerätespeicher (Secure Store / Keychain) abgelegt.

11. Speicherdauer

  • Kontodaten: bis zur Löschung des Kontos (siehe Abschnitt 12)
  • Inserate, Bewerbungen, Chats, Termine: bis zur Löschung durch Sie bzw. bis zur Konto-Löschung
  • Analyse-Ereignisse: 24 Monate
  • Sicherheits-Audit-Logs, Sitzungs-Tokens, Benachrichtigungen: 90 Tage
  • Rechnungs- und Zahlungsbelege: 7 Jahre (gesetzliche Aufbewahrungspflicht)

12. Konto-Löschung (Art. 17 DSGVO)

Sie können Ihr Konto jederzeit selbst löschen (in der App unter Profil > Einstellungen, im Web unter Mein Profil > Einstellungen, oder per Anfrage an [email protected]). Eine ausführliche Anleitung finden Sie unter Konto und Daten löschen.

Nach der Anfrage wird Ihr Konto sofort deaktiviert und nach einer Frist von 30 Tagen endgültig gelöscht; innerhalb dieser Frist können Sie die Löschung durch erneute Anmeldung rückgängig machen. Mit der endgültigen Löschung entfernen wir Ihre personenbezogenen Daten (Profil, Inserate, Nachrichten, Bewerbungen, Bewertungen, Suchagenten, Firmenprofil sowie hochgeladene Bilder und Dokumente). Analyse-Ereignisse werden anonymisiert. Daten, die wir gesetzlich aufbewahren müssen (insbesondere Rechnungsbelege, 7 Jahre), bleiben bis zum Ablauf der Frist gespeichert und werden danach gelöscht.

13. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO).

Selbstbedienung:Einen maschinenlesbaren Export Ihrer Daten (Art. 15/20), die Anonymisierung Ihres Tracking-Verlaufs und die Cookie-Einstellungen können Sie selbst unter Profil > Einstellungen vornehmen. Der Daten-Export umfasst insbesondere Ihr Profil, Inserate, Bewerbungen, Nachrichten, Konversationen, Bewertungen, Termine, Suchagenten, Transaktionen, Abonnements und Ihr Firmenprofil. Sehr große Bestände (Ereignisse, Nachrichten) werden begrenzt und im Export ausgewiesen; den vollständigen Bestand erhalten Sie auf Anfrage.

Auf Anfrage: Für weitere Anliegen wenden Sie sich an [email protected]. Wir antworten innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

14. Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren:

Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
E-Mail: [email protected] - Website: www.dsb.gv.at

15. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen zum Schutz Ihrer Daten, u. a.: TLS-Verschlüsselung aller Übertragungen, bcrypt-Hashing der Passwörter, gehashte Speicherung von Sitzungs-Tokens und 2FA-Wiederherstellungscodes, Rate-Limiting, Schutz vor NoSQL-Injection, automatische Kontosperrung nach fehlgeschlagenen Anmeldeversuchen sowie EXIF-/GPS-Entfernung bei Bild-Uploads.

16. Anonymisierte Inhalte für Marktanalysen

Aus den auf der Plattform vorhandenen Inhalten und Ereignissen können wir aggregierte, nicht personenbezogene Markt-Statistiken ableiten (z. B. Nachfrage je Kategorie und Region). Diese Auswertungen erfolgen ausschließlich auf aggregierter bzw. anonymisierter Ebene ohne Personenbezug. Profilbilder oder persönliche Informationen werden für Werbezwecke nur mit Ihrer ausdrücklichen, gesonderten Einwilligung genutzt.

17. Serverseitige Erfassung von Nutzungsereignissen

Zur Erbringung und Verbesserung unseres Dienstes erfassen wir serverseitig bestimmte Nutzungsereignisse als funktionale Service-Daten: Suchanfragen (inklusive Kategorie und Region), Aufrufe von Inseraten, Kontaktaufnahmen, Bewerbungen und Anfragen sowie Terminbestätigungen. Diese Erfassung erfolgt in unserem eigenen System auf unserem Server (siehe Abschnitt 7.2), ohne Einbindung externer Anbieter und ohne zusätzliche Cookies oder Zugriffe auf den Gerätespeicher.

  • Zweck: Betrieb des Dienstes und Zusammenführung von Angebot und Nachfrage (z. B. zu erkennen, welche Hilfe oder Dienstleistung in einer Region gesucht wird).
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Betrieb des Dienstes, Zusammenführung von Angebot und Nachfrage).
  • Speicherung: in unserer eigenen Datenbank in der EU (Deutschland), Speicherdauer 24 Monate, danach automatische Löschung.
  • Aggregierte Auswertung: Daten, die Unternehmen angezeigt werden, sind ausschließlich aggregiert und anonymisiert. Dabei gilt eine Mindestanzahl-Schwelle: Auswertungen erscheinen nur, wenn genügend Ereignisse zusammengefasst sind, sodass keine einzelne Person identifizierbar ist.
  • Ihre Rechte: die Rechte aus Abschnitt 13 (insbesondere Auskunft und Löschung) gelten auch für diese Daten; bei Konto-Löschung werden die Ereignisse anonymisiert. Sie können der Verarbeitung nach Art. 21 DSGVO widersprechen.

18. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage oder unser Dienst ändert. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite.

19. Kontakt

Bei Fragen zum Datenschutz erreichen Sie uns unter:

Andres Emilio Morales Munoz-Rivero e.U.
Dr.-Karl-Renner-Str. 12c/1
3425 Tulln an der Donau
E-Mail: [email protected]