datly
Anmelden Registrieren Anleitung Support DE EN
← Zurück zur Startseite

Datenschutzerklärung

Stand: Juli 2026 (aktualisiert) · Gilt für: datly (diese Webanwendung)
Letzte Änderung: E-Mail-Benachrichtigungen (§ 9) vervollständigt und externe Dienste (§ 8) präzisiert.

datly ist ein privates, nicht-kommerzielles Angebot einer Einzelperson. Es werden keine Daten zu Werbezwecken verarbeitet und keine Daten verkauft.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO (Art. 4 Nr. 7) ist:

David Hirsekorn
Schallemicher Str. 216, 51519 Odenthal

E-Mail: d@hirse.eu

2. Allgemeine Hinweise & Hosting

Hosting & Server-Logfiles

datly wird auf Shared-Hosting bei all-inkl.com (Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf) betrieben. Der Hoster erhebt automatisch Server-Logfiles: Browsertyp, Betriebssystem, Referrer-URL, Hostname, Uhrzeit und IP-Adresse. Diese Daten werden nicht mit anderen Quellen zusammengeführt und nach kurzer Zeit automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb). Informationen zur Datenverarbeitung durch all-inkl.com: all-inkl.com/datenschutzinformationen/

Technische Sicherheit

Die Anwendung verwendet sichere Session-Cookies (HttpOnly, SameSite=Lax) sowie CSRF-Token-Schutz bei allen Formularen. Passwörter werden ausschließlich als bcrypt-Hash gespeichert – kein Klartext-Passwort wird je gespeichert. Der HTTP-Header Strict-Transport-Security (HSTS) erzwingt ausschließlich HTTPS-Verbindungen (max-age=1 Jahr, inkl. Subdomains).

3. Cookies

Diese Anwendung verwendet ausschließlich technisch notwendige Session-Cookies. Diese Cookies speichern eine zufällige Session-ID und sind für den Betrieb der Anwendung (Login-Status, CSRF-Schutz) unbedingt erforderlich.

  • Kein Tracking, kein Profiling, keine Werbe-Cookies
  • Keine Weitergabe von Cookie-Daten an Dritte
  • Session-Cookie (PHPSESSID): wird beim Schließen des Browsers gelöscht; speichert Login-Status und CSRF-Token
  • Sprachpräferenz-Cookie (datly_lang): wird gesetzt, wenn du die Sprache (DE/EN) wechselst; speichert deine Sprachauswahl für 1 Jahr; rein funktional, kein Tracking

Da ausschließlich technisch notwendige Cookies verwendet werden, ist kein Cookie-Consent erforderlich. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Nutzung des Dienstes).

4. Registrierung & Benutzerkonto

Wenn du ein Konto erstellst, werden folgende Daten gespeichert:

  • Benutzername (Pflichtfeld)
  • E-Mail-Adresse (Pflichtfeld)
  • Vollständiger Name (optional)
  • Passwort-Hash (bcrypt, kein Klartext-Passwort)
  • Sprachpräferenz (DE/EN, optional, wird aus Browser-Einstellungen übernommen oder manuell gesetzt)
  • Erstellungsdatum des Kontos

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Nutzung des Dienstes). Die Daten werden gelöscht, wenn du dein Konto löschst (möglich über die Profileinstellungen).

5. Umfragen erstellen

Beim Erstellen einer Umfrage werden gespeichert:

  • Titel und optionale Beschreibung der Umfrage
  • Abstimmungsoptionen (Termine / freie Tage)
  • Optionale E-Mail-Adresse für Benachrichtigungen
  • Optionales Ablaufdatum
  • Erstellungszeitpunkt
  • Zuordnung zum Benutzerkonto (falls eingeloggt)
  • Bestätigter finaler Termin (sofern vom Ersteller festgelegt, als Verweis auf eine Terminoption)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Die Daten werden gelöscht, wenn du die Umfrage über die Administrationsfunktion löschst.

6. Abstimmung (Teilnahme)

Wenn jemand an einer Umfrage teilnimmt, werden gespeichert:

  • Anzeigename (selbst eingegeben; rein kosmetisch, kein Identitätsmerkmal)
  • Abgegebene Stimmen (Ja/Vielleicht/Nein je Option bei Terminumfragen; gewählte Tage bei freien Kalenderumfragen)
  • Abstimmungszeitpunkt (Zeitstempel der letzten Änderung)
  • E-Mail-Adresse (Pflichtfeld für anonyme, nicht eingeloggte Teilnehmer; dient als Identitätsanker – die E-Mail, nicht der Anzeigename, identifiziert den Teilnehmer eindeutig in einer Umfrage; ermöglicht außerdem E-Mail-Benachrichtigungen und den Erhalt des persönlichen Edit-Links; eingeloggte Nutzer haben ihre E-Mail bereits im Konto hinterlegt)
  • Opt-in für E-Mail-Benachrichtigungen (freiwillig; anonyme Teilnehmer können optional zustimmen, bei neuen Abstimmungen, beim Schließen der Umfrage und bei Bestätigung eines finalen Termins benachrichtigt zu werden)
  • Edit-Token (ein anonymer Link, über den der Teilnehmer seine Stimmabgabe nachträglich bearbeiten kann; wird dauerhaft gespeichert, solange die Umfrage existiert)
  • Zuordnung zum Benutzerkonto (falls der Teilnehmer eingeloggt ist; wird auch nachträglich gesetzt, wenn ein Gast-Teilnehmer sich mit derselben E-Mail-Adresse registriert oder einloggt)

Nicht eingeloggte Teilnehmer benötigen kein Konto. Die E-Mail-Adresse ist bei anonymen Teilnehmern der tatsächliche Identitätsanker – ein Namenswechsel erzeugt keinen neuen Datensatz, solange dieselbe E-Mail verwendet wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Nutzung des Abstimmungsdienstes). Alle Stimmabgaben werden bei Löschung der Umfrage mitgelöscht.

7. IP-Adressen & Rate-Limiting

Zum Schutz vor Missbrauch (mehrfaches Abstimmen) werden IP-Adressen für Rate-Limiting-Zwecke temporär gespeichert. Die IP-Adresse wird dabei anonymisiert gespeichert (IPv4: letztes Oktet wird auf 0 gesetzt; IPv6: nur die ersten 4 Gruppen werden gespeichert).

  • Speicherdauer: maximal 1 Stunde
  • Zweck: Schutz vor Abstimmungsmissbrauch (Rate-Limiting)
  • Kein Rückschluss auf einzelne Personen möglich

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem fairen und sicheren Abstimmungsprozess).

Darüber hinaus werden folgende sicherheitsbezogene Zähler ausschließlich sitzungsbasiert (in der PHP-Session) gespeichert und beim Session-Ende automatisch gelöscht – es werden keine personenbezogenen Datensätze angelegt:

  • Login-Versuche: Fehlgeschlagene Anmeldeversuche werden gezählt (max. 5 innerhalb von 15 Minuten). Bei Überschreitung wird der Login temporär gesperrt.
  • Passwort-Reset-Anfragen: Die Anzahl der angeforderten Passwort-Reset-E-Mails wird begrenzt (max. 3 pro Stunde).

7b. Aggregierte Aufrufstatistik

Zur Beurteilung der Reichweite und Auslastung der Anwendung werden aggregierte, nicht-personenbezogene Aufrufzahlen auf dem eigenen Server gespeichert. Es kommen keine Cookies, kein externes Analyse-Tool und kein Tracking-Pixel zum Einsatz.

Im Detail werden gespeichert:

  • Pro Tag und Seite (z. B. „index", „poll"): Anzahl der Aufrufe und Anzahl unterschiedlicher Besucher.
  • Zur einmaligen Zählung pro Tag wird ein Hash aus anonymisierter IP-Adresse, dem aktuellen Datum und dem User-Agent gebildet (SHA-256). Der Hash wird spätestens nach 7 Tagen automatisch gelöscht.
  • Da das Datum Bestandteil des Hashes ist, sind Hashes unterschiedlicher Tage nicht miteinander verknüpfbar – ein Wiedererkennen über Tage hinweg ist technisch ausgeschlossen.

Aus den gespeicherten Daten lassen sich keine Rückschlüsse auf einzelne Personen ziehen. Es werden keine IP-Adressen im Klartext gespeichert, keine Geräteinformationen, keine Standorte und keine Verläufe einzelner Sitzungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datenschutzkonformen Reichweitenmessung der eigenen Anwendung).

8. Externe Dienste (CDN)

Der überwiegende Teil der Anwendung (Start-, Umfrage-, Abstimmungs- und Erstellungsseiten sowie die Rechtsseiten) wird vollständig selbst gehostet – Schriftarten und Skripte liegen auf dem eigenen Server, es werden dort keine Daten an externe Anbieter übertragen. In folgenden Fällen werden jedoch weiterhin Ressourcen von externen Content-Delivery-Networks (CDN) geladen:

  • Auf allen Seiten wird per preconnect vorab eine Verbindung zu jsdelivr.net (jsDelivr, Rafal Freyman, Polen/USA) und cdnjs.cloudflare.com (Cloudflare Inc., USA) aufgebaut.
  • Auf den Datenexport-Seiten, im Administrations-/Superadmin-Bereich und bei der Ersteinrichtung werden zusätzlich Bootstrap (jsDelivr) und Font Awesome (Cloudflare) geladen; im Superadmin-Bereich außerdem Chart.js (jsDelivr) zur Anzeige von Diagrammen.

Beim Verbindungsaufbau bzw. beim Laden dieser Ressourcen wird deine IP-Adresse an die jeweiligen Anbieter übertragen. Beide Anbieter sind nach aktuellem Stand DSGVO-konform (Standardvertragsklauseln / Angemessenheitsbeschluss).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Bereitstellung der Anwendung).

Hinweis: Die genannten Bibliotheken sollen künftig auch auf den verbleibenden Seiten lokal gehostet werden. Dann werden keine Daten mehr an externe Anbieter übertragen.

9. E-Mail-Benachrichtigungen

datly versendet E-Mails in folgenden Situationen:

  • Kontoaktivierung: Nach der Registrierung wird eine E-Mail mit Aktivierungslink versandt. Das Token ist 24 Stunden gültig und wird danach gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Neuer Aktivierungslink: Auf Anfrage kann die Aktivierungs-E-Mail mit einem neuen Aktivierungslink erneut versandt werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Willkommens-E-Mail: Nach erfolgreicher Aktivierung des Kontos wird eine Begrüßungs-E-Mail versandt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Passwort-Reset: Auf Anfrage wird ein Passwort-Reset-Link versandt. Das Token ist 1 Stunde gültig und wird nach Verwendung oder Ablauf gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • E-Mail-Adresse ändern: Möchte ein registrierter Nutzer seine E-Mail-Adresse ändern, wird zunächst ein Bestätigungslink an die neue Adresse versandt. Die Adresse wird erst nach Klick auf diesen Link geändert. Das Token ist 24 Stunden gültig und wird nach Verwendung oder Ablauf gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Abstimmungs-Benachrichtigung (neue Stimme): Wenn in einer Umfrage eine neue Stimme abgegeben wird, werden der Ersteller der Umfrage (sofern eine E-Mail hinterlegt ist), alle registrierten Teilnehmer sowie alle anonymen Teilnehmer mit aktiviertem Benachrichtigungs-Opt-in per E-Mail informiert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Neue Terminmöglichkeit: Schlägt ein Teilnehmer in einer Umfrage neue Termine oder Zeiten vor, werden die übrigen Teilnehmer mit hinterlegter E-Mail-Adresse (registrierte Nutzer sowie anonyme Teilnehmer mit Benachrichtigungs-Opt-in) darüber informiert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Umfrage geschlossen: Wenn der Ersteller eine Umfrage manuell schließt, erhalten der Ersteller (mit Admin-Link), alle registrierten Teilnehmer (mit Teilnahme-Link) sowie alle anonymen Teilnehmer mit Benachrichtigungs-Opt-in (mit Teilnahme-Link) eine Zusammenfassungs-E-Mail. Jeder Empfänger erhält die E-Mail in seiner eingestellten Sprache (DE/EN). Der Admin-Link wird aus Sicherheitsgründen nur an den Ersteller versandt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Erinnerungsmail (manuell): Der Umfrage-Ersteller kann über die Administrations-Seite manuell Erinnerungs-E-Mails an eine selbst eingetragene Liste von E-Mail-Adressen versenden, um Teilnehmer zur Abstimmung aufzufordern. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Erstellers an der Durchführung seiner Umfrage).
  • Ablauf-Erinnerung: 24 Stunden vor Ablauf einer Umfrage wird der Ersteller per E-Mail erinnert (sofern eine E-Mail hinterlegt ist). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Passwortänderungs-Bestätigung: Nach einer Passwortänderung wird eine Bestätigungs-E-Mail versandt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Terminbestätigung: Wenn der Ersteller einer Umfrage einen finalen Termin festlegt, werden alle Teilnehmer mit hinterlegter E-Mail-Adresse automatisch benachrichtigt. Die E-Mail enthält den bestätigten Termin sowie einen Link zum Herunterladen einer Kalenderdatei (.ics). Die Benachrichtigung erfolgt in der jeweiligen Sprache des Empfängers (DE/EN). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Ablauf & automatische Terminauswahl: Wenn eine Umfrage abläuft, wird der Ersteller per E-Mail aufgefordert, einen Termin festzulegen. Gibt es nur eine Terminoption, wird diese automatisch bestätigt und alle Teilnehmer mit E-Mail-Adresse werden benachrichtigt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Datenexport (Auskunft & Datenportabilität): Forderst du über die Funktion „Datenexport per E-Mail" einen Export deiner Daten an, wird ein einmaliger, zeitlich begrenzter Download-Link an die angegebene E-Mail-Adresse versandt. Ist die Adresse einem registrierten Konto zugeordnet, erhältst du stattdessen den Hinweis, den Export über die eingeloggten Profileinstellungen zu nutzen. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung, Art. 15 & 20 DSGVO).
  • Support-Kopie (optional): Wenn du das Support-Formular verwendest und die entsprechende Checkbox aktivierst, erhältst du eine Bestätigungs-E-Mail mit einer Zusammenfassung deiner Anfrage. Diese Funktion ist freiwillig und du kannst sie bei jeder Anfrage neu entscheiden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

E-Mail-Adressen werden ausschließlich für die genannten Zwecke verwendet und nicht an Dritte weitergegeben. E-Mails werden über den Mailserver von all-inkl.com versandt (siehe Punkt 2).

10. Support-Kontaktformular

Über das Support-Formular kannst du uns Fragen stellen, Fehler melden oder Feature-Wünsche einreichen. Dabei werden folgende Daten verarbeitet:

  • Name (selbst eingegeben)
  • E-Mail-Adresse (für Rückmeldung, selbst eingegeben)
  • Kategorie der Anfrage (Allgemeine Frage / Bug / Feature-Wunsch)
  • Nachrichtentext
  • Sprache der Benutzeroberfläche (DE/EN)
  • Benutzer-ID (nur wenn eingeloggt)
  • Anonymisierte IP-Adresse (für Anti-Spam-Zwecke, letztes IPv4-Oktet auf 0 gesetzt)

Diese Daten werden per E-Mail an support@datly.eu übermittelt und ausschließlich zur Bearbeitung deiner Anfrage verwendet. Sie werden nicht anderweitig gespeichert oder weitergegeben.

Rate-Limiting: Zur Vermeidung von Spam ist die Anzahl der Anfragen auf 3 pro Stunde pro Session begrenzt. Dazu werden Zeitstempel temporär in deiner Session gespeichert (kein personenbezogener Datensatz).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Support-Anfragen und Schutz vor Missbrauch).

11. Deine Rechte als betroffene Person

Du hast gemäß DSGVO folgende Rechte gegenüber dem Verantwortlichen:

Auskunft (Art. 15 DSGVO)

Du kannst Auskunft über die zu deiner Person gespeicherten Daten verlangen. Eingeloggte Nutzer können ihre Daten jederzeit selbst über die Profileinstellungen als JSON-Datei herunterladen (Funktion „Daten exportieren"). Anonyme Voter können einen Datenexport ebenfalls selbstständig anfordern: über datenexport per E-Mail wird ein einmaliger Download-Link an die hinterlegte E-Mail-Adresse versendet.

Berichtigung (Art. 16 DSGVO)

Du kannst die Berichtigung unrichtiger oder unvollständiger Daten verlangen. Im eingeloggten Bereich kannst du Name und E-Mail-Adresse selbst in den Profileinstellungen ändern.

Löschung (Art. 17 DSGVO)

Du kannst die Löschung deiner Daten verlangen. Du kannst dein Konto jederzeit selbst über die Profileinstellungen dauerhaft löschen. Dabei werden alle gespeicherten Kontodaten entfernt.

Einschränkung der Verarbeitung (Art. 18 DSGVO)

Du kannst unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.

Datenportabilität (Art. 20 DSGVO)

Du kannst verlangen, die dich betreffenden Daten in einem strukturierten, maschinenlesbaren Format zu erhalten. Eingeloggte Nutzer können diesen Export jederzeit selbstständig über die Profileinstellungen im JSON-Format herunterladen. Anonyme Voter nutzen die Funktion Datenexport per E-Mail.

Widerspruch (Art. 21 DSGVO)

Du kannst der Verarbeitung deiner Daten widersprechen, soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) basiert.

Beschwerde bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde richtet sich nach deinem Wohnort oder dem Ort des mutmaßlichen Verstoßes.

12. Weitergabe an Dritte

Deine personenbezogenen Daten werden nicht verkauft oder zu Werbezwecken weitergegeben. Eine Übermittlung erfolgt ausschließlich an die unter Punkt 8 genannten CDN-Anbieter (technisch bedingt) sowie an staatliche Behörden, soweit ich gesetzlich dazu verpflichtet bin.

13. Konto löschen

Du kannst dein Benutzerkonto jederzeit über die Profileinstellungen dauerhaft löschen. Dabei werden dein Benutzername, deine E-Mail-Adresse und alle weiteren Kontodaten unwiderruflich gelöscht. Deine bereits erstellten Umfragen bleiben bestehen, verlieren aber den Bezug zu deinem Konto.

14. Kontakt für Datenschutzanfragen

Für alle Fragen zum Datenschutz sowie zur Ausübung deiner Rechte (Auskunft, Berichtigung, Löschung etc.) wende dich bitte direkt an mich:

David Hirsekorn  ·  d@hirse.eu

Nutzungsbedingungen· Impressum· Datenschutz
Weitere Projekte: hirse.eu · foldly.eu
datly – Termine gemeinsam finden