policy DSGVO · Art. 13 DSGVO

Datenschutzerklärung

Zuletzt aktualisiert: Mai 2026 (Supabase als primäre Datenbank) · Gilt für digga.social und die Digga-Web-App.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Rahul Rajput
Nieder Ramstädter Str. 191 A, 1.09 Zi02
64285 Darmstadt, Deutschland
E-Mail: rahul@digga.social

2. Welche Daten wir erheben

2.1 Bei der Registrierung

  • Universitäts-E-Mail-Adresse (zur Verifikation)
  • Selbst gewähltes Pseudonym (kein Klarname)
  • Verschlüsseltes Passwort (wir speichern niemals Klartext-Passwörter)
  • Hochschule / Universität (aus der E-Mail-Domain erkannt)

2.2 Bei der Nutzung

  • Verfasste Posts, Kommentare und Votes
  • Direktnachrichten (Ende-zu-Ende zwischen Nutzer-IDs)
  • Zeitstempel von Aktionen (für Streak-System und Moderation)
  • Technische Log-Daten (IP-Adresse anonymisiert, Browser-Typ, Fehler-Logs) — max. 7 Tage gespeichert

2.3 Was wir ausdrücklich NICHT erheben

  • Echte Namen
  • Telefonnummern
  • Standortdaten
  • Gesichtserkennung oder biometrische Daten
  • Kaufverhalten oder Kreditkartendaten

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten deine Daten auf Basis folgender Rechtsgrundlagen gemäß DSGVO:

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Bereitstellung der Plattform nach Registrierung
  • Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Impressumspflicht, Aufbewahrungsfristen
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen: Sicherheit der Plattform, Missbrauchsprävention, technische Fehleranalyse
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: z. B. für optionale Features wie Push-Benachrichtigungen (sofern angeboten)

4. Weitergabe an Dritte

Wir verkaufen keine personenbezogenen Daten. Wir setzen folgende Drittanbieter ein:

Google Firebase (Auth, Hosting)

Authentifizierung (Login, Passwort-Hashing, Sitzungsverwaltung) und statisches Hosting der Web-App. Firebase wird nicht mehr als primäre Datenbank genutzt — diese Funktion wurde vollständig auf die selbst betriebene Supabase-Infrastruktur (HDA) migriert. Betrieben von Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA, USA. EU-Serverstandort (Frankfurt, europe-west1). Weitere Infos: firebase.google.com/support/privacy

Google Fonts

Schriftarten werden von Google-Servern geladen. Dabei wird deine IP-Adresse an Google übermittelt. Alternativ können Fonts lokal bereitgestellt werden — kontaktiere uns, wenn du das bevorzugst.

Perspective API (Google Jigsaw)

Zur automatischen Inhaltsmoderation werden Posts vor Veröffentlichung auf toxische Inhalte geprüft. Dabei wird nur der Text — kein Nutzername — übermittelt.

Supabase — Primäre Datenbank (Self-Hosted, HDA-Infrastruktur)

Seit Mai 2026 ist Supabase (PostgreSQL) die primäre Datenbank von Digga. Alle Lese- und Schreibvorgänge der App laufen über einen selbst betriebenen PostgreSQL-Server der Hochschule Darmstadt (h-da), Darmstadt, Deutschland. Gespeicherte Datenkategorien: Nutzerprofile (Pseudonym, Schule, Punkte), Posts, Kommentare, Stimmen (Votes), Direktnachrichten, Meldungen, Abzeichen, Benachrichtigungen und Job-Einträge.

Der Zugriff ist durch Row Level Security (RLS) auf PostgreSQL-Ebene abgesichert — jeder Nutzer kann ausschließlich eigene Daten lesen und schreiben. Authentifizierung erfolgt über Firebase ID-Tokens, die als JWT zur Identifikation gegenüber der Datenbank dienen. Keine Datenübermittlung in Drittländer — Server steht in Darmstadt, Deutschland (EU). Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

Serverbetreiber: Rahul Rajput auf HDA-Infrastruktur · Standort: 64295 Darmstadt, Deutschland · Endpunkt: db.digga.social

Resend (E-Mail-Versand)

Willkommens-E-Mails werden über den Dienst Resend (Resend Inc., USA) versendet. Dabei werden deine E-Mail-Adresse und dein Pseudonym für den Versand der Willkommens-E-Mail übermittelt. Die E-Mail wird einmalig bei Registrierung verschickt und danach nicht weiterverarbeitet. Resend ist gemäß EU-US Data Privacy Framework zertifiziert. Weitere Infos: resend.com/privacy. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung).

5. Speicherdauer

  • Account-Daten: Bis zur Löschung des Accounts oder auf Anfrage
  • Posts und Kommentare: Bis zur Löschung durch den Nutzer oder durch Moderation
  • Technische Logs (IP, Fehler): Max. 7 Tage, danach anonymisiert oder gelöscht
  • Direktnachrichten: Bis zur Löschung durch den Nutzer
  • Verifikations-E-Mail: Nach erfolgreicher Verifikation sofort gelöscht
  • Supabase-Datenbank (HDA) — Primärsystem: Daten werden für dieselbe Dauer gespeichert wie oben beschrieben. Eine Accountlöschung entfernt Daten aus Supabase (primär) sowie aus Firebase Auth gleichzeitig. Anfragen per E-Mail genügen.
  • Willkommens-E-Mail (Resend): E-Mail-Adresse wird für den einmaligen Versand übermittelt und danach bei Resend nicht weitergespeichert.

6. Deine Rechte (Art. 15–22 DSGVO)

Du hast folgende Rechte bezüglich deiner personenbezogenen Daten:

  • Auskunft (Art. 15) — Welche Daten haben wir von dir?
  • Berichtigung (Art. 16) — Korrekte Unrichtigkeiten
  • Löschung (Art. 17) — „Recht auf Vergessenwerden"
  • Einschränkung (Art. 18) — Verarbeitung beschränken
  • Datenübertragbarkeit (Art. 20) — Export deiner Daten
  • Widerspruch (Art. 21) — Verarbeitung auf Basis berechtigter Interessen widersprechen

Anfragen an: rahul@digga.social — Wir antworten innerhalb von 30 Tagen (gesetzliche Frist).

Du hast außerdem das Recht, Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen: HBDI — Hessischer Beauftragter für Datenschutz und Informationsfreiheit, datenschutz.hessen.de

7. Cookies & Lokaler Speicher

Wir setzen keine Tracking-Cookies von Drittanbietern ein. Wir verwenden:

  • localStorage — Speicherung deiner Spracheinstellung und Datenbankpräferenz (lokal in deinem Browser, nicht auf unseren Servern)
  • sessionStorage — Kurzzeit-Cache für den Feed (max. 5 Min.) und Auth-Session (max. 55 Min.) zur Eliminierung von Ladezeiten beim Seitenwechsel. Wird beim Schließen des Browser-Tabs automatisch gelöscht.
  • Firebase Auth Session Cookie — Notwendig für den Login. Technisch erforderlich, keine Werbecookies.

8. Datensicherheit

  • Alle Verbindungen über HTTPS / TLS verschlüsselt
  • Passwörter werden mit bcrypt gehasht (Firebase Auth)
  • Row Level Security (RLS) auf PostgreSQL-Ebene — primäre Datensicherheitsschicht. Jeder Nutzer kann ausschließlich auf eigene Daten zugreifen, erzwungen durch die Datenbank selbst
  • Keine öffentlich zugänglichen API-Endpunkte ohne Authentifizierung — alle Supabase-Endpunkte prüfen Firebase ID-Token (JWT)
  • HDA-Serverstandort: Physischer Server im Rechenzentrum der Hochschule Darmstadt. Keine Datenübermittlung außerhalb der EU
  • Firebase wird ausschließlich für Authentifizierung genutzt — keine Nutzerdaten mehr in Firestore gespeichert
  • Regelmäßige Sicherheitsüberprüfungen der Firebase- und Supabase-Konfiguration

9. Kinder und Minderjährige

Digga ist ausschließlich für Personen ab 18 Jahren zugänglich. Die Registrierung erfordert eine gültige Universitäts-E-Mail-Adresse. Wir erheben wissentlich keine Daten von Personen unter 18 Jahren. Sollte uns ein solcher Fall bekannt werden, löschen wir den Account umgehend.

10. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung aktualisieren, wenn sich rechtliche Anforderungen oder unsere Dienste ändern. Wesentliche Änderungen kommunizieren wir über die App oder per E-Mail (sofern du registriert bist). Das Datum der letzten Aktualisierung steht oben auf dieser Seite.

Stand: Mai 2026 · digga.social