Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher (Art. 13 Abs. 1 lit. a DSGVO)

Verantwortlich für die Datenverarbeitung auf dieser Plattform im Sinne der DSGVO ist:

Vin Mangelsdorf und Cornelius Golembiewski
(Privatpersonen, gemeinschaftlich; derzeit keine eingetragene Gesellschaft)
Kernbergstraße 20A
07749 Jena, Deutschland
E-Mail: kontakt@mandateos.de
Datenschutz-Anfragen: datenschutz@mandateos.de

Hinweis zur Rollenverteilung: Für die innerhalb einer Kampagne erhobenen Daten ist regelmäßig die jeweilige Partei/der jeweilige Wahlkampf (Kampagnen-Ersteller:in) (mit-)verantwortlich; MandateOS stellt die technische Plattform bereit. Die genaue Abgrenzung (Verantwortlicher / Auftragsverarbeiter / gemeinsame Verantwortlichkeit nach Art. 26 DSGVO) wird vertraglich festgelegt (Auftragsverarbeitungsvertrag bzw. Art.-26-Vereinbarung).

2. Datenschutzbeauftragte:r (Art. 13 Abs. 1 lit. b DSGVO)

Ein:e Datenschutzbeauftragte:r ist derzeit nicht bestellt. Die Bestellpflicht (Art. 37 Abs. 1 lit. c DSGVO / § 38 BDSG) wegen umfangreicher Verarbeitung politischer Daten (Art. 9 DSGVO) wird geprüft; sobald ein:e (in der Regel externe:r) Datenschutzbeauftragte:r bestellt ist, werden die Kontaktdaten hier veröffentlicht.

3. Verarbeitungszwecke und Rechtsgrundlagen (Art. 13 Abs. 1 lit. c/d DSGVO)

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

  • Konto & Authentifizierung (E-Mail, Name, Profilbild) – zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
  • Kampagnen-Organisation (Mitgliedschaften, Aufgaben, Teams, Gebiete) – Vertragserfüllung bzw. berechtigtes Interesse an der Wahlkampforganisation (Art. 6 Abs. 1 lit. b/f DSGVO).
  • Standort-/Routenerfassung beim Plakatieren und bei Tür-zu-Tür-Aktionen – nur auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), jederzeit widerrufbar.
  • Politische Stimmungserfassung & Engagement im Wahlkampf – besondere Kategorie nach Art. 9 DSGVO, nur auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO); siehe Abschnitt 9.
  • Spenden-/Finanzverwaltung (Spenderdaten, Finanzeinträge) – zur Erfüllung rechtlicher Pflichten nach dem Parteiengesetz (Art. 6 Abs. 1 lit. c DSGVO i. V. m. §§ 24 ff. PartG).
  • Push-Benachrichtigungen & Tagesnachricht – Einwilligung bzw. berechtigtes Interesse (Art. 6 Abs. 1 lit. a/f).

Soweit eine Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt wird, wird die zugrunde liegende Interessenabwägung (berechtigtes Interesse) dokumentiert.

4. Empfänger & Auftragsverarbeiter (Art. 13 Abs. 1 lit. e DSGVO)

Zur Bereitstellung der Plattform setzen wir sorgfältig ausgewählte Auftragsverarbeiter (Art. 28 DSGVO) ein:

  • Datenbank-, Authentifizierungs- und Speicher-Dienstleister – Betrieb der Plattform-Infrastruktur; Datenhaltung in der EU.
  • Hosting-/CDN-Dienstleister – Auslieferung der Web-Plattform.
  • E-Mail-Dienstleister – Versand transaktionaler E-Mails.
  • Anbieter für App-Distribution und Push-Benachrichtigungen – Zustellung von Push-Nachrichten über die Betriebssystem-Push-Dienste sowie einen Push-Vermittlungsdienst.
  • KI-Dienstleister – Generierung der „Tagesnachricht“; es werden ausschließlich anonymisierte, nicht identifizierende Inhalte übermittelt (keine direkten Identifikatoren, keine Art.-9-Inhalte).
  • Geokodierungs-Dienstleister – Umwandlung von Adresssuchen in Koordinaten (Übermittlung von Suchanfrage und IP-Adresse); alternativ ist eine manuelle Adresseingabe möglich.

Aus Gründen der Vertraulichkeit werden an dieser Stelle nur Kategorien von Empfängern genannt (Art. 13 Abs. 1 lit. e DSGVO). Die konkrete, jeweils aktuelle Liste der eingesetzten Auftragsverarbeiter und Unterauftragsverarbeiter wird auf Anfrage (Art. 15 DSGVO) mitgeteilt.

5. Übermittlung in Drittländer (Art. 13 Abs. 1 lit. f, Art. 44 ff. DSGVO)

Einzelne Dienstleister (u. a. der KI-Dienstleister sowie ggf. US-Muttergesellschaften eingesetzter Infrastruktur-Anbieter) können personenbezogene Daten in den USA verarbeiten. Soweit eine Übermittlung in ein Drittland erfolgt, stützen wir diese auf geeignete Garantien: EU-Standardvertragsklauseln (SCC), ergänzende Maßnahmen (Verschlüsselung, Datenminimierung, Pseudonymisierung) sowie – soweit zertifiziert – das EU-US Data Privacy Framework. Für die Tagesnachricht werden die an den KI-Dienstleister übermittelten Inhalte vorab anonymisiert; eine Transfer-Folgenabschätzung (TIA) wird geführt.

Der Zertifizierungsstatus der eingesetzten US-Dienstleister nach dem EU-US Data Privacy Framework wird laufend überprüft.

6. Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO)

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist. Automatisierte Löschroutinen (Retention-Policies) entfernen u. a. nicht mehr benötigte Aktivitäts- und Einladungsdaten. Spenden-/Finanzdaten werden zur Erfüllung gesetzlicher Aufbewahrungspflichten vorgehalten (in der Regel 10 Jahre, §§ 24 ff. PartG i. V. m. § 147 AO und § 257 HGB). Einwilligungsnachweise werden nach Art. 7 DSGVO auch nach Konto­löschung aufbewahrt. Details im Löschkonzept.

7. Ihre Rechte (Art. 15–21 DSGVO)

Sie haben jederzeit das Recht auf:

  • Auskunft (Art. 15) – Datenexport als JSON unter „Datenschutz-Einstellungen → Meine Daten herunterladen“.
  • Berichtigung (Art. 16) – Profilbearbeitung in den Einstellungen.
  • Löschung (Art. 17) – „Konto löschen“ entfernt Ihre personenbezogenen Daten plattformweit.
  • Einschränkung (Art. 18) und Datenübertragbarkeit (Art. 20).
  • Widerspruch (Art. 21) – u. a. Profiling-Opt-out (siehe Abschnitt 8).
  • Widerruf von Einwilligungen (Art. 7 Abs. 3) – jederzeit mit Wirkung für die Zukunft, in den Datenschutz-Einstellungen.

8. Automatisierte Auswertung / Profiling (Art. 13 Abs. 2 lit. f, Art. 22 DSGVO)

Zur Unterstützung der Kampagnenleitung wird ein Hinweis-Kennzeichen („is_at_risk“) berechnet, das auf Aktivitätsmustern beruht (z. B. Vergleich der Aktivität mit dem Kampagnen-Durchschnitt). Es kommt kein maschinelles Lernen zum Einsatz, und es erfolgt keine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung. Sie können dieser Auswertung jederzeit widersprechen (Profiling-Opt-out in den Datenschutz-Einstellungen); danach werden entsprechende Auswertungen für Sie nicht mehr vorgenommen.

9. Politische Daten (Art. 9 DSGVO)

Daten, die Ihre politische Meinung oder Beteiligung erkennen lassen (z. B. Mitarbeit in einer Kampagne, Tür-zu-Tür-Stimmungserfassung), sind besondere Kategorien personenbezogener Daten. Ihre Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO), die getrennt und granular eingeholt und protokolliert wird, sowie nur durch hierzu berechtigte Personen (Zugriff über Rollen-/Row-Level-Security auf Kampagnen­leitung bzw. -koordination beschränkt). Stimmungsdaten werden ausschließlich aggregiert (je Straßenabschnitt, ohne Personenbezug, ohne GPS-Spur einzelner Türen) gespeichert.

10. Cookies (§ 25 TDDDG)

Wir verwenden ausschließlich technisch notwendige Cookies (Sitzungs- und Authentifizierungs-Token). Diese sind für den Betrieb der Plattform erforderlich und bedürfen keiner Einwilligung. Es werden derzeit keine Analyse- oder Marketing-Cookies eingesetzt.

11. Beschwerderecht bei der Aufsichtsbehörde (Art. 13 Abs. 2 lit. d DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für den Verantwortlichen (Sitz in Jena, Thüringen) ist dies:

Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI)
Häßlerstraße 8, 99096 Erfurt
www.tlfdi.de

Unabhängig davon können Sie sich auch an die Datenschutz-Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts wenden.

12. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Datenverarbeitung oder die Rechtslage ändert. Die jeweils aktuelle Fassung ist unter dieser Adresse abrufbar.