Zitare

Datenschutzerklärung

Stand: 2026-05-20 — Entwurf, Vorstand-Freigabe ausstehend. Bis dahin gilt diese Erklärung als unverbindlicher Hinweis. Vorlage: DATENSCHUTZ_TEMPLATE.md (V2).

1. Verantwortlicher

mana e.V. (Schweizer Verein in Gründung)
Postanschrift: wird nach Vereins-Gründung ergänzt
Kontakt: [email protected]

Datenschutzbeauftragte:r: derzeit nicht benannt. Datenschutz-Anfragen werden bis zur Benennung vom Vorstand bearbeitet. Anfragen bevorzugt an [email protected] (im Aufbau) oder hilfsweise an die oben genannte Adresse.

Vertreter in der EU (Art. 27 DSGVO): derzeit nicht benannt. Da der Verein seinen Sitz in der Schweiz hat und Dienste auch an Personen in der EU anbietet, ist die Benennung eines EU-Vertreters in Arbeit (siehe COMPLIANCE.md §1). Bis dahin wenden Sie sich direkt an den Verein.

Zuständige Aufsichtsbehörden:

  • Bei Verarbeitung nach Schweizer Datenschutzgesetz (FADP) — der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), edoeb.admin.ch.
  • Bei Verarbeitung nach DSGVO (Personen in der EU) — die Aufsichtsbehörde Ihres Wohnsitz-Mitgliedstaates. In Deutschland: die Landes-Aufsichtsbehörde oder der/die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI).

2. Welche Daten wir verarbeiten — Zwecke und Rechtsgrundlagen

Zitare ist ein öffentlicher Zitate-Korpus. Lesen geht ohne Konto und ohne Datenerhebung. Konten brauchst du nur, wenn du beitragen willst.

DatenkategorieZweckRechtsgrundlage
Konto-Daten via mana-auth (User-UUID, E-Mail, Tier-Stufe)Authentifizierung und Konto-VerwaltungArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Beiträge zum Korpus (Zitat-Text, Übersetzungen, Quellen-Angaben, Editier-Begründungen)Aufbau eines öffentlichen, frei nutzbaren Zitate-KorpusArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) + Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in Lizenz-Klausel beim Submit)
Editier-Verlauf (User-ID + Zeitstempel pro Revision)Audit-Trail, Moderation, NachvollziehbarkeitArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Integrität eines Korpus-Allmende-Werks)
Meldungen (Flags): reporterId, Grund, Lösungs-NotizModeration potenziell problematischer ZitateArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sauberen Korpus und an Persönlichkeits- rechts-Schutz Dritter)
Sicherheits- und Audit-Logs (IP, User-Agent, Zeitstempel auf der API)IT-Sicherheit, Missbrauch-ErkennungArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit)

Eine vollständige Auflistung pro Verarbeitungstätigkeit findet sich im Verarbeitungsverzeichnis (VVT.md) nach Art. 30 DSGVO.

3. KI-Analyse

Zitare nutzt keine KI im End-User-Pfad. Wenn du ein Zitat einreichst, läuft es durch eine menschliche Moderation — es wird nicht durch ein KI-Modell „bewertet" oder „klassifiziert".

Im redaktionellen Backend (Curator-Workflow für strukturierte Autor:innen-Profile aus Wikidata) verwenden wir mana-llm als Hilfsmittel. Diese Calls passieren nicht auf Basis von Daten einzelner Nutzer:innen, sondern auf Basis öffentlicher Quellen (Wikidata-IDs). Provider-Details und Modell-Spezifika sind in VVT.md dokumentiert.

4. Speicherdauer

Beiträge zum Korpus sind dauerhaft gedacht — ein öffentlicher Zitate-Korpus lebt von Stabilität. Editier-Verläufe werden bis zur Konto-Löschung gehalten; die Lizenz an veröffentlichten Beiträgen ist unwiderruflich (CC-BY-SA-4.0 ist irrevocable), Name/Identität des Beitragenden kann auf Wunsch anonymisiert werden (Pseudonym statt User-ID).

Konto-Daten bleiben gespeichert, solange dein Konto besteht. Bei Konto-Löschung über die DSGVO-Auskunft (siehe §7) werden alle zugeordneten Daten innerhalb von 30 Tagen entfernt. Sicherheits-Logs nach maximal 90 Tagen.

5. Empfänger und Auftragsverarbeiter

  • mana e.V. — interne Vereins-Dienste auf Vereins-Server (Standort Deutschland, perspektivisch Schweiz) — Authentifizierung (mana-auth), Datenbank (PostgreSQL für Korpus + mana-auth), Föderations-Routing über mana-share. Kein Drittland.
  • Cloudflare, Inc. (USA) — TLS-Termination und Tunnel-Routing für zitare.com, app.zitare.com und api.zitare.com. DPA via Cloudflare-Account akzeptiert. Cloudflare ist im EU-US Data Privacy Framework gelistet (Art. 45 DSGVO).

Den Status der Auftragsverarbeitungs-Verträge (DPA) pro Anbieter findest du in unserer DPA-Tabelle (COMPLIANCE.md §1).

6. Konten-Föderation und App-übergreifende Anmeldung

Dein Vereins-Konto funktioniert über alle mana-Apps hinweg (Single Sign-On). Technisch wird dafür ein 1st-Party-Cookie auf der Domain .mana.how gesetzt — von mana-auth, nicht von zitare. Wenn du dich auf app.zitare.com anmeldest, holt sich die App-Shell deinen Login-Status per Cross-Origin-Anfrage von auth.mana.how; dabei sendet dein Browser den .mana.how-Cookie an das Ziel. Zitare selbst setzt keinen Cookie. Es handelt sich um einen technisch notwendigen Cookie nach § 25 Abs. 2 Nr. 2 TTDSG — eine Einwilligung ist nicht erforderlich.

Wenn du aktiv Daten zwischen mana-Apps teilst (z.B. „dieses Zitat in Wordeck als Lernkarte"), wird der Vorgang in unserem Föderations-Audit-Log (mana-share) dokumentiert: Datum, beteiligte Apps, Daten-Typ sowie der geteilte Inhalt selbst (Envelope-Payload, optional eine User-Notiz und ein Quell-Link). Speicherdauer dort: bis zu 730 Tage; danach wird der Inhalt anonymisiert, Hash und Metadaten bleiben für statistische Zwecke erhalten. Bei Konto-Löschung wird die Anonymisierung sofort ausgeführt.

Lokal speichert Zitare im Browser-localStorage technisch notwendige Daten (Theme-Wahl light/dark, zwischengespeichertes Auth-Token). Keine Tracking-Cookies, kein Drittanbieter-Pixel, keine Werbe-Identifier.

7. Eigene Listen und Favoriten

Wenn du Zitate in Favoriten oder eigenen Listen sammelst, werden diese Daten zuerst ausschließlich lokal auf deinem Gerät gespeichert (im Browser, IndexedDB) — auch ganz ohne Anmeldung. Es verlässt nichts dein Gerät, solange du nicht angemeldet bist.

Meldest du dich an, werden deine Listen mit deinem Vereins-Konto synchronisiert (Server sync2.mana.how), damit sie auf anderen Geräten verfügbar sind. Gespeichert werden dabei nur die Listen-Titel und die Verweise auf die enthaltenen Zitate, verknüpft mit deiner Nutzer-Kennung. Inhalte, die nach der Anmeldung entstehen, werden vor der Übertragung Ende-zu-Ende-verschlüsselt (Schlüssel aus deinem Konto-Schlüsselbund). Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Bei Konto-Löschung werden die synchronisierten Listen mitgelöscht; die lokale Kopie entfernst du, indem du die Website-Daten im Browser löschst.

8. Deine Rechte

  • Auskunft (Art. 15 DSGVO) — alle gespeicherten Daten als JSON-Export.
  • Löschung (Art. 17 DSGVO) — vollständige Hard-Delete deines Kontos und der personenbezogenen Zuordnung deiner Beiträge. Bereits veröffentlichte Korpus-Inhalte selbst bleiben unter ihrer Lizenz erhalten (CC-BY-SA ist unwiderruflich), die User-ID daran wird auf ein Pseudonym ersetzt.
  • Berichtigung (Art. 16 DSGVO) — über die App selbst editierbar.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Datenübertragbarkeit (Art. 20 DSGVO) — JSON-Export ist DSGVO-konform.
  • Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf berechtigtes Interesse.
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft. Die unwiderrufliche Lizenz an bereits veröffentlichten Beiträgen ist davon unberührt.
  • Beschwerde bei einer der in §1 genannten Aufsichtsbehörden (Art. 77 DSGVO).

DSGVO-Anfragen werden zentral über admin.mana.how bearbeitet (mana-admin als Verein-Backoffice). Alternativ per E-Mail an [email protected].

9. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt. Moderation läuft durch Menschen, KI-Calls sind auf den redaktionellen Curator-Workflow beschränkt und betreffen keine einzelnen Nutzer:innen.

Diese Erklärung ist ein Code-Entwurf. Die finale Fassung wird vom Vorstand des Vereins mana e.V. nach Prüfung durch eine Datenschutz-Beauftragten-Stelle veröffentlicht.