docs(datenschutz): Erst-Entwurf nach Vorlage V2
Some checks are pending
CI / validate (push) Waiting to run
Some checks are pending
CI / validate (push) Waiting to run
Spaced-Repetition-spezifisch + Marketplace: decks/cards/reviews/ studySessions/tags/imports privat (lit. b), Marketplace-Veröffent- lichung als Opt-in (lit. a, Widerruf möglich). Text-only-Architektur explizit (kein Bild/Audio nach Cards→Wordeck-Rebrand). Public-Tier also kein Beta-Hinweis. Doppel-Domain wordeck.com + cards.mana.how mit SSO-Hinweis. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
Till JS
parent
55bf722761
commit
7a0448c156
1 changed files with 254 additions and 0 deletions
254
apps/web/src/routes/datenschutz/+page.svelte
Normal file
254
apps/web/src/routes/datenschutz/+page.svelte
Normal file
|
|
@ -0,0 +1,254 @@
|
|||
<script lang="ts">
|
||||
// Datenschutzerklärung — Entwurf nach Vorlage V2 (2026-05-19).
|
||||
// **Vorstand-Freigabe nötig** vor Live-Verlinkung.
|
||||
// Vorlage: mana/docs/templates/DATENSCHUTZ_TEMPLATE.md
|
||||
</script>
|
||||
|
||||
<svelte:head>
|
||||
<title>Datenschutzerklärung — Wordeck</title>
|
||||
</svelte:head>
|
||||
|
||||
<article class="prose prose-neutral mx-auto max-w-3xl py-8 text-[hsl(var(--color-foreground))]">
|
||||
<h1 class="text-3xl font-semibold">Datenschutzerklärung</h1>
|
||||
<p class="text-sm text-[hsl(var(--color-muted-foreground))]">
|
||||
Stand: 2026-05-19 — <strong>Entwurf, Vorstand-Freigabe ausstehend.</strong>
|
||||
</p>
|
||||
|
||||
<h2 class="mt-8 text-xl font-semibold">1. Verantwortlicher</h2>
|
||||
<p>
|
||||
<strong>mana e.V.</strong> (Schweizer Verein in Gründung)<br />
|
||||
Postanschrift: bis zur Vereins-Gründung c/o Gründungs-Vorstand (Adresse auf Anfrage)<br />
|
||||
Kontakt: <a href="mailto:kontakt@memoro.ai">kontakt@memoro.ai</a>
|
||||
(Übergangs-Adresse bis <code>datenschutz@mana-ev.ch</code> aktiv ist)
|
||||
</p>
|
||||
<p>
|
||||
<strong>Datenschutzbeauftragte:r:</strong> derzeit nicht benannt.
|
||||
</p>
|
||||
<p>
|
||||
<strong>Vertreter in der EU (Art. 27 DSGVO):</strong> derzeit nicht benannt; siehe
|
||||
<a href="https://git.mana.how/mana/mana/src/branch/main/docs/COMPLIANCE.md">
|
||||
COMPLIANCE.md §1
|
||||
</a>.
|
||||
</p>
|
||||
<p><strong>Zuständige Aufsichtsbehörden:</strong></p>
|
||||
<ul class="list-disc pl-6">
|
||||
<li>FADP: EDÖB (Schweiz) — <a href="https://www.edoeb.admin.ch">edoeb.admin.ch</a>.</li>
|
||||
<li>DSGVO (EU): Aufsichtsbehörde Ihres Wohnsitz-Mitgliedstaates. In Deutschland: Landes-DSB oder BfDI.</li>
|
||||
</ul>
|
||||
|
||||
<h2 class="mt-6 text-xl font-semibold">2. Welche Daten wir verarbeiten — Zwecke und Rechtsgrundlagen</h2>
|
||||
|
||||
<p>
|
||||
Wordeck ist <strong>text-only</strong> (kein Bild, kein Audio,
|
||||
keine Image-Occlusion). Karten-Inhalte bleiben Text.
|
||||
</p>
|
||||
|
||||
<div class="overflow-x-auto">
|
||||
<table class="w-full text-sm">
|
||||
<thead>
|
||||
<tr>
|
||||
<th class="text-left">Datenkategorie</th>
|
||||
<th class="text-left">Zweck</th>
|
||||
<th class="text-left">Rechtsgrundlage</th>
|
||||
</tr>
|
||||
</thead>
|
||||
<tbody>
|
||||
<tr>
|
||||
<td>Konto-Daten (User-UUID, E-Mail, Tier-Stufe, Anzeigename)</td>
|
||||
<td>Authentifizierung und Konto-Verwaltung</td>
|
||||
<td>Art. 6 Abs. 1 lit. b DSGVO</td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>Decks (Name, Beschreibung, Tags, Sichtbarkeit)</td>
|
||||
<td>Speichern und Organisieren eigener Lerndecks</td>
|
||||
<td>Art. 6 Abs. 1 lit. b DSGVO</td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>Karten (Vorder-/Rückseite, Cloze, Type-In, Multiple-Choice — alles Text)</td>
|
||||
<td>Karten-Inhalt für Spaced Repetition</td>
|
||||
<td>Art. 6 Abs. 1 lit. b DSGVO</td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>Reviews + Study-Sessions (FSRS-Parameter, Wiederholungs-Historie)</td>
|
||||
<td>Spaced-Repetition-Algorithmus (FSRS)</td>
|
||||
<td>Art. 6 Abs. 1 lit. b DSGVO</td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>Tags (vom User definierte Karten-Kategorien)</td>
|
||||
<td>Organisation innerhalb von Decks</td>
|
||||
<td>Art. 6 Abs. 1 lit. b DSGVO</td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>Import-Jobs (Anki-Import: Datei-Name, Status, Karten-Anzahl)</td>
|
||||
<td>Bulk-Import bestehender Anki-Decks</td>
|
||||
<td>Art. 6 Abs. 1 lit. b DSGVO</td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>Marketplace-Veröffentlichungen (Deck-Metadaten, Autor-Pseudonym)</td>
|
||||
<td>Veröffentlichen eigener Decks im Marketplace (Opt-in)</td>
|
||||
<td>Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Sie wählen aktiv „Veröffentlichen")</td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>Marketplace-Diskussionen + Pull Requests (Kommentare, Vorschläge)</td>
|
||||
<td>Community-Pflege veröffentlichter Decks</td>
|
||||
<td>Art. 6 Abs. 1 lit. b DSGVO (öffentlich sichtbare Beiträge)</td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>Marketplace-Engagement (Reaktionen, Bookmarks, Moderations-Reports)</td>
|
||||
<td>Sichtbarkeit + Moderation veröffentlichter Decks</td>
|
||||
<td>Art. 6 Abs. 1 lit. b DSGVO</td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>Marketplace-Credits (Punkte für veröffentlichte Decks)</td>
|
||||
<td>Belohnungs-System für Deck-Autor:innen</td>
|
||||
<td>Art. 6 Abs. 1 lit. b DSGVO</td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>Sicherheits- und Audit-Logs (IP-Adresse, User-Agent, Zeitstempel)</td>
|
||||
<td>IT-Sicherheit, Missbrauchs-Erkennung, Rate-Limit</td>
|
||||
<td>Art. 6 Abs. 1 lit. f DSGVO</td>
|
||||
</tr>
|
||||
</tbody>
|
||||
</table>
|
||||
</div>
|
||||
|
||||
<p class="mt-4 text-sm">
|
||||
Eine vollständige Verarbeitungs-Liste findet sich im
|
||||
<a href="https://git.mana.how/mana/mana/src/branch/main/docs/VVT.md">
|
||||
Verarbeitungsverzeichnis (VVT.md)
|
||||
</a>, Wordeck-Sektion wird vor Live-Cut ergänzt.
|
||||
</p>
|
||||
|
||||
<h2 class="mt-6 text-xl font-semibold">3. Keine KI-Verarbeitung an externe Provider</h2>
|
||||
<p>
|
||||
Wordeck verarbeitet keine Karten-Inhalte an externe KI-Services.
|
||||
Die FSRS-Berechnung (Spaced Repetition) läuft ausschließlich auf
|
||||
Vereins-Infrastruktur.
|
||||
</p>
|
||||
<p class="text-sm text-[hsl(var(--color-muted-foreground))]">
|
||||
<strong>Historische Klarstellung:</strong> Vor dem Cards→Wordeck-
|
||||
Rebrand 2026-05-17 hatte die Vorgänger-App image-occlusion und
|
||||
audio-Karten. Diese sind vollständig entfernt (text-only-
|
||||
Architektur). Falls Sie ein Konto aus der alten Cards-Phase haben
|
||||
und nicht-text-Karten dort gespeichert hatten: diese werden mit dem
|
||||
Cutover gelöscht.
|
||||
</p>
|
||||
|
||||
<h2 class="mt-6 text-xl font-semibold">4. Marketplace-Sichtbarkeit</h2>
|
||||
<p>
|
||||
Wenn Sie ein Deck im Marketplace veröffentlichen, werden folgende
|
||||
Inhalte <strong>öffentlich</strong> sichtbar:
|
||||
</p>
|
||||
<ul class="list-disc pl-6">
|
||||
<li>Deck-Name + Beschreibung + Tags</li>
|
||||
<li>Alle enthaltenen Karten (Vorder-/Rückseite)</li>
|
||||
<li>Ihr gewählter Autor-Anzeigename (Pseudonym möglich)</li>
|
||||
<li>Diskussions-Beiträge mit Ihrem Anzeigenamen</li>
|
||||
</ul>
|
||||
<p>
|
||||
<strong>Rechtsgrundlage:</strong> Art. 6 Abs. 1 lit. a DSGVO
|
||||
(Einwilligung — Sie wählen aktiv „Veröffentlichen").
|
||||
<strong>Widerruf:</strong> Sie können ein Deck jederzeit wieder
|
||||
zurückziehen; bereits getätigte Reaktionen anderer User bleiben
|
||||
anonymisiert erhalten.
|
||||
</p>
|
||||
<p>
|
||||
<strong>E-Mail-Adresse bleibt privat:</strong> Im Marketplace
|
||||
erscheint nur der Anzeigename, nie die E-Mail oder User-UUID.
|
||||
</p>
|
||||
|
||||
<h2 class="mt-6 text-xl font-semibold">5. Speicherdauer</h2>
|
||||
<p>
|
||||
Konto-Daten werden gespeichert, solange Konto besteht. Bei Konto-
|
||||
Löschung über die DSGVO-Auskunft werden alle privaten Daten
|
||||
(Decks, Karten, Reviews, Study-Sessions, Tags) innerhalb von 30
|
||||
Tagen unwiderruflich entfernt; Sicherheits-Logs nach maximal 90
|
||||
Tagen.
|
||||
</p>
|
||||
<p>
|
||||
<strong>Marketplace-Inhalte (nach Konto-Löschung):</strong>
|
||||
Veröffentlichte Decks und Diskussions-Beiträge bleiben grundsätzlich
|
||||
zugänglich (öffentlicher Inhalt), werden aber auf einen anonymisierten
|
||||
Autor-Stub umgehängt. Wer auch dort eine Hard-Delete will, kann das
|
||||
im Löschungs-Antrag explizit verlangen — dann werden auch die
|
||||
Marketplace-Beiträge entfernt.
|
||||
</p>
|
||||
|
||||
<h2 class="mt-6 text-xl font-semibold">6. Empfänger und Auftragsverarbeiter</h2>
|
||||
<ul class="list-disc pl-6">
|
||||
<li>
|
||||
<strong>mana e.V. — interne Vereins-Dienste</strong> auf Vereins-
|
||||
Server (Standort Deutschland) — Authentifizierung
|
||||
(<code>mana-auth</code>), Datenbank (PostgreSQL, DB
|
||||
<code>wordeck</code>). Kein Drittland.
|
||||
</li>
|
||||
<li>
|
||||
<strong>Cloudflare, Inc.</strong> (USA) — TLS-Termination + DNS
|
||||
für <code>wordeck.com</code>. DPA via Cloudflare-Account
|
||||
akzeptiert. Cloudflare ist im EU-US Data Privacy Framework
|
||||
gelistet (Art. 45 DSGVO).
|
||||
</li>
|
||||
</ul>
|
||||
<p class="text-sm">
|
||||
Den Status der Auftragsverarbeitungs-Verträge findet sich in unserer
|
||||
<a href="https://git.mana.how/mana/mana/src/branch/main/docs/COMPLIANCE.md#1-to-do--dsgvo-und-vereins-belange">
|
||||
DPA-Tabelle
|
||||
</a>.
|
||||
</p>
|
||||
|
||||
<h2 class="mt-6 text-xl font-semibold">7. Konten-Föderation und App-übergreifende Anmeldung</h2>
|
||||
<p>
|
||||
Ihr Vereins-Konto funktioniert über alle mana-Apps hinweg via 1st-
|
||||
Party-Cookie auf <code>.mana.how</code> (technisch notwendig nach
|
||||
§ 25 Abs. 2 Nr. 2 TTDSG). Wordeck läuft sowohl unter
|
||||
<code>wordeck.com</code> als auch unter <code>cards.mana.how</code>
|
||||
— der SSO-Cookie ist auf <code>.mana.how</code> gesetzt, daher
|
||||
funktioniert die App-übergreifende Anmeldung nur unter dem
|
||||
<code>cards.mana.how</code>-Hostnamen automatisch; auf
|
||||
<code>wordeck.com</code> ist ein expliziter Login nötig.
|
||||
</p>
|
||||
<p>
|
||||
Wenn Sie aktiv Daten zwischen mana-Apps teilen (z.B. ein Zitat aus
|
||||
Zitare als Karte importieren), wird der Vorgang im Föderations-
|
||||
Audit-Log dokumentiert (Datum, beteiligte Apps, Daten-Typ, kein
|
||||
Inhalt).
|
||||
</p>
|
||||
<p>
|
||||
Lokal speichert die App im Browser-localStorage technisch notwendige
|
||||
Daten (Auth-Token, Spracheinstellung, sql-wasm-Cache für Offline-
|
||||
Study). Wir nutzen keine Tracking-Cookies.
|
||||
</p>
|
||||
|
||||
<h2 class="mt-6 text-xl font-semibold">8. Ihre Rechte</h2>
|
||||
<ul class="list-disc pl-6">
|
||||
<li>Auskunft (Art. 15 DSGVO) — JSON-Export aller privaten Daten.</li>
|
||||
<li>Löschung (Art. 17 DSGVO) — Hard-Delete inkl. Marketplace-Beiträge auf Wunsch.</li>
|
||||
<li>Berichtigung (Art. 16 DSGVO).</li>
|
||||
<li>Einschränkung (Art. 18 DSGVO).</li>
|
||||
<li>Datenübertragbarkeit (Art. 20 DSGVO) — JSON-Export Anki-kompatibel.</li>
|
||||
<li>Widerspruch (Art. 21 DSGVO).</li>
|
||||
<li>Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) — auch für Marketplace-Veröffentlichung.</li>
|
||||
<li>Beschwerde bei einer der in §1 genannten Aufsichtsbehörden (Art. 77 DSGVO).</li>
|
||||
</ul>
|
||||
<p>
|
||||
DSGVO-Anfragen über <a href="https://admin.mana.how">admin.mana.how</a>
|
||||
oder per E-Mail an die in §1 genannte Adresse.
|
||||
</p>
|
||||
|
||||
<h2 class="mt-6 text-xl font-semibold">9. Automatisierte Entscheidungsfindung</h2>
|
||||
<p>
|
||||
Findet <strong>nicht</strong> statt. Die FSRS-Berechnung legt nur die
|
||||
Reihenfolge der zu wiederholenden Karten fest — keine rechtliche oder
|
||||
ähnlich erhebliche Wirkung i.S.v. Art. 22 DSGVO.
|
||||
</p>
|
||||
|
||||
<hr class="my-8" />
|
||||
<p class="text-xs text-[hsl(var(--color-muted-foreground))]">
|
||||
Diese Erklärung ist ein Code-Entwurf. Die finale Fassung wird vom
|
||||
Vorstand nach Prüfung durch eine Datenschutz-Beauftragten-Stelle
|
||||
veröffentlicht. Vorlage V2:
|
||||
<a href="https://git.mana.how/mana/mana/src/branch/main/docs/templates/DATENSCHUTZ_TEMPLATE.md">
|
||||
DATENSCHUTZ_TEMPLATE.md
|
||||
</a>.
|
||||
</p>
|
||||
</article>
|
||||
Loading…
Add table
Add a link
Reference in a new issue