Datenschutzerklärun

1. Verantwortlicher

Social Impact gGmbH
Schiffbauergasse 7, 14467 Potsdam, Deutschland
E-Mail: meinhardt@socialimpact.eu

Datenschutzbeauftragter:
E-Mail: datenschutz@socialimpact.eu

2. Zweck der Anwendung

Die Web-App easy-sroi.eu unterstützt Sie dabei, aus einer kurzen Projektbeschreibung messbare Wirkungen (Outcomes) vorzuschlagen (kurz-/langfristig, Kostenvermeidung/Mehreinnahmen, inkl. Quelle) und daraus eine einfache SROI-Rechenformel zu erstellen.

Die App ist nicht zur Eingabe personenbezogener Daten gedacht. Bitte keine Namen, Adressen oder sensiblen Angaben eingeben.

3. Verarbeitete Daten

4. Rechtsgrundlagen (Art. 6 DSGVO)

• Bereitstellung der App & Kernfunktionen: Art. 6 Abs. 1 lit. b (Nutzung/Vertragsähnliches Verhältnis) bzw. lit. f (berechtigtes Interesse an sicherem, funktionsfähigem Betrieb).
• Login/Account (Auth0): Art. 6 Abs. 1 lit. b.
• Sicherheits-/Fehler-Logs: Art. 6 Abs. 1 lit. f.
• Analyse/Qualität (Metabase, self-hosted): Art. 6 Abs. 1 lit. f (nur aggregiert/ohne Tracking).
• Einwilligungen (falls abgefragt): Art. 6 Abs. 1 lit. a.

5. KI-Verarbeitung (LLM)

Eingegebene Inhalte werden zur Antwortgenerierung an den OpenAI API-Dienst übermittelt.

• Anbieter/Ort: OpenAI, L.L.C., USA.
• Konfiguration: "No-training" aktiviert (Ihre Inhalte werden nicht zum Modelltraining genutzt).
• Zweck: Sprachverarbeitung zur Vorschlags- und Formelgenerierung.
• Speicherung beim Anbieter: nur zweckgebunden/temporär gemäß Anbieter-DPA.

6. Eingesetzte Dienstleister (Auftragsverarbeitung, Art. 28 DSGVO)

• Hosting/Server: Hetzner Online GmbH (Deutschland/EU).
• KI-Dienst: OpenAI API (USA; Datenübermittlung in ein Drittland, s. Nr. 8).
• Login/SSO: Auth0 (Okta-Unternehmen, USA; s. Nr. 8).
• Dashboards/Monitoring: Metabase (self-hosted bei Hetzner) – ausschließlich interne, aggregierte Auswertungen ohne Nutzer-Tracking.

7. Speicherdauern

• Inhaltsdaten/Projekteingaben & Ergebnisse: Speicherung bis 31.12.2027 oder bis zur Löschung durch Nutzer*in
• Kontodaten (Auth0): bis Konto-Löschung oder spätestens 31.12.2027 (sofern keine gesetzlichen Pflichten entgegenstehen).
• Protokoll-/Fehler-Logs: i. d. R. 30 Tage.
• Kommunikation per E-Mail: nach gesetzlichen Aufbewahrungsfristen (regelmäßig 6 bzw. 10 Jahre, sofern anwendbar).

8. Datenübermittlungen in Drittländer

Bei Nutzung von OpenAI API und Auth0 werden Daten in die USA übermittelt. Wir stützen diese Übermittlungen auf Standardvertragsklauseln (SCC) nach Art. 46 DSGVO und ergänzende technische/organisatorische Maßnahmen (TLS, Zugriffsbeschränkungen, Datensparsamkeit).

Hinweis: Ein unionsweit gleichwertiges Datenschutzniveau kann trotz SCC nicht in jedem Einzelfall garantiert werden.

9. Cookies/Tracking

• Erforderliche Cookies: z. B. Session/CSRF, Auth0-Sitzungscookies.
• Analytics: keine nutzerbasierten Analytics/Tracking-Tools aktiv.
• Consent-Banner ist nur erforderlich, falls künftig optionale Cookies/Analysen eingesetzt werden.

10. Keine automatisierten Einzelentscheidungen

Es erfolgen keine Entscheidungen mit Rechtswirkung i. S. v. Art. 22 DSGVO. Die KI liefert Empfehlungen/Schätzwerte; Entscheidungen treffen Nutzer*innen.

11. Sicherheit

TLS-Verschlüsselung, Rollen-/Rechtekonzept (Least Privilege), Secret-Management, Härtung/Updates, Protokollierung sicherheitsrelevanter Ereignisse, Backups, Pseudonymisierung/Anonymisierung wo möglich.

12. Rechte der betroffenen Personen

Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit (Art. 15–20 DSGVO) sowie Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO). Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde (z. B. Land Brandenburg).

13. Minderjährige

Die App richtet sich nicht an Minderjährige.

14. Aktualisierungen

Diese Datenschutzerklärung wird bei Bedarf angepasst. Es gilt die jeweils in der App veröffentlichte Fassung.