OpenHospi ist der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung deiner personenbezogenen Daten. OpenHospi ist eine kostenlose, Open-Source-Plattform, auf der Studierende in den Niederlanden Zimmer finden und anbieten können. Für Datenschutzfragen kontaktiere uns unter privacy@openhospi.nl. OpenHospi hat keinen Datenschutzbeauftragten benannt, da dies auf Grundlage von Art. 37 DSGVO angesichts Art und Umfang unserer Verarbeitungstätigkeiten nicht erforderlich ist.
2. Datenschutzkontakt
Für alle Datenschutz- und Datenschutzanfragen kontaktiere privacy@openhospi.nl. Wir bearbeiten dein Anliegen unentgeltlich und antworten innerhalb eines Monats nach Eingang, gemäß Art. 12 Abs. 3 DSGVO. Bei komplexen oder zahlreichen Anfragen können wir diese Frist um weitere zwei Monate verlängern. Wir informieren dich in diesem Fall innerhalb eines Monats nach Eingang des Antrags über eine solche Verlängerung und die Gründe dafür.
3. Daten, die wir erheben
Wir erheben die folgenden Kategorien personenbezogener Daten, gemäß dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO):
Wohnungsdaten: Zimmeranzeigen mit Adressen, Koordinaten, Mietpreis, Zimmerdetails und Fotos
Kommunikationsdaten: Ende-zu-Ende verschlüsselte Chatnachrichten (Inhalt ist für OpenHospi nicht lesbar)
Bewerbungsdaten: persönliche Nachricht und Bewerbungsstatus
Sitzungsdaten: IP-Adresse und User Agent für Sicherheitszwecke
Push-Benachrichtigungstoken: für die Zustellung von Benachrichtigungen auf deinem Gerät
Kalenderabonnement-Token: ein einzigartiger, geheimer Link, der deiner Kalender-App Zugriff auf deinen Hospi-Veranstaltungsplan ermöglicht. Dieser Link erfordert keine Authentifizierung und kann jederzeit in deinen Einstellungen widerrufen werden
Einwilligungsdatensätze: deine Cookie- und Datenschutzeinstellungen, Zeitstempel und Datenschutzerklärungsversion
Wir erheben keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO (einschließlich Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheitsdaten oder Daten zur sexuellen Orientierung hervorgehen). Wenn du solche Daten freiwillig in deinem Profil oder in Nachrichten teilst, verarbeiten wir diese auf Grundlage von Art. 9 Abs. 2 lit. e DSGVO (personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat).
5. Wie wir deine Daten verwenden
Wir verwenden deine Daten ausschließlich zur Bereitstellung der OpenHospi-Plattform, gemäß dem Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Vermittlung von Studierenden und Zimmern, Erleichterung der Kommunikation zwischen Suchenden und Anbietern, Verwaltung des Bewerbungsprozesses und Kalendersynchronisation. Wenn du deinen Hospi-Kalender abonnierst, stellen wir deine Veranstaltungsdetails (Titel, Daten, Zeiten, Orte) über eine private URL bereit. Kalender-Apps (Google Calendar, Apple Calendar, Outlook) rufen diese URL regelmäßig ab, um deinen Kalender aktuell zu halten. Wir verkaufen deine Daten nicht, nutzen sie nicht für Werbung, erstellen kein Marketing-Profil und geben sie nicht an Dritte weiter, sofern nicht in dieser Erklärung beschrieben.
6. Pflicht zur Bereitstellung personenbezogener Daten
Profildaten (Name, E-Mail-Adresse, Studieninformationen) sind vertraglich erforderlich, um die Plattform nutzen zu können (Art. 13 Abs. 2 lit. e DSGVO). Ohne diese Daten kann kein Konto erstellt werden und die Plattform kann nicht genutzt werden. Die Bereitstellung dieser Daten ist eine vertragliche Anforderung, keine gesetzliche Verpflichtung. Du bist frei, kein Konto zu erstellen, wenn du diese Daten nicht bereitstellen möchtest.
7. Rechtsgrundlage
Wir verarbeiten deine Daten auf den folgenden Rechtsgrundlagen (Art. 6 DSGVO). Siehe unsere Seite Rechtsgrundlagenübersicht für eine vollständige Aufschlüsselung je Verarbeitungstätigkeit.
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Profil, Wohnungen, Bewerbungen, Chat; erforderlich für die Erfüllung des Vertrags
Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Sitzungssicherheit (IP-Protokollierung), Plattformsicherheit (Moderationsberichte). Wir haben diese Interessen gegen deine Rechte und Freiheiten abgewogen und festgestellt, dass die Verarbeitung notwendig und verhältnismäßig ist
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Einwilligungsdatensätze (Nachweis einer gültigen Einwilligung gemäß Art. 7 DSGVO)
Du kannst deine Einwilligung jederzeit über Einstellungen > Datenschutz widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt (Art. 7 Abs. 3 DSGVO).
8. Datenweitergabe & Auftragsverarbeiter
Wir geben deine Daten nur an die folgenden Parteien weiter, die alle innerhalb der EU/des EWR ansässig sind. Alle Auftragsverarbeiter arbeiten unter Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO. Siehe unsere Seite Auftragsverarbeiter für Details.
Supabase (Dublin, Irland): Datenbank und Dateispeicher (Auftragsverarbeiter)
Vercel (Dublin, Irland): Webhosting und Edge-Funktionen (Auftragsverarbeiter)
Upstash (Irland): Ratenbegrenzung über Redis (Auftragsverarbeiter)
Institutioneller SSO-Anbieter (GÉANT, Niederlande): Studierendenverifizierung (eigenständig Verantwortlicher, kein Auftragsverarbeiter im Sinne von Art. 28 DSGVO)
Sentry (Frankfurt, Deutschland): Crash-Reporting und Fehlerüberwachung (Auftragsverarbeiter). Keine personenbezogenen Daten erhoben
Expo/EAS (USA): Mobile App-Builds, Over-the-Air-Updates und Verteilung (Auftragsverarbeiter). Keine personenbezogenen Daten erhoben, nur App-Code und Bundles werden verarbeitet
9. Internationale Übermittlungen
Alle deine Daten werden innerhalb des Europäischen Wirtschaftsraums (EWR) gespeichert und verarbeitet. Wir übermitteln keine personenbezogenen Daten an Drittländer oder internationale Organisationen. Die Bestimmungen über Übermittlungen (Art. 44 bis 49 DSGVO) finden daher keine Anwendung. Alle unsere Infrastrukturanbieter sind in Irland, den Niederlanden oder Deutschland ansässig. Hinweis: Die internen organisatorischen Metadaten von Sentry (Entwicklerkonten, Projektkonfigurationen, keine Endnutzerdaten) können gemäß der Infrastruktur von Sentry in die USA repliziert werden. Dies hat keine Auswirkungen auf die Privatsphäre der Endnutzer, da keine Nutzerdaten betroffen sind.
10. Aufbewahrungsfristen
Wir bewahren deine Daten nicht länger auf als für die Zwecke, für die sie erhoben wurden, erforderlich, gemäß dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO):
Profildaten, Zimmeranzeigen und Chatnachrichten: aufbewahrt, solange dein Konto aktiv ist
Sitzungs-IP-Adressen: anonymisiert nach 30 Tagen
Abgelaufene Sitzungen: gelöscht nach 90 Tagen
Berichtsnachrichtentexte: entfernt 90 Tage nach Abschluss
Gelesene Benachrichtigungen: gelöscht nach 180 Tagen
IP-Adressen in Einwilligungsdatensätzen: anonymisiert nach 365 Tagen
Kontolöschung: alle Daten dauerhaft durch kaskadierende Löschungen entfernt
11. Deine Rechte
Gemäß der DSGVO hast du die folgenden Rechte in Bezug auf deine personenbezogenen Daten. Du kannst diese Rechte über Einstellungen > Datenschutz oder per E-Mail an privacy@openhospi.nl ausüben.
Auskunftsrecht (Art. 15 DSGVO): du hast das Recht auf eine Kopie deiner personenbezogenen Daten, über Einstellungen > Datenschutz > Datenexport
Recht auf Berichtigung (Art. 16 DSGVO): du kannst unrichtige oder unvollständige Daten berichtigen lassen, über dein Profil
Recht auf Löschung (Art. 17 DSGVO): du kannst die Löschung deiner Daten verlangen, über Einstellungen > Konto löschen
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): du kannst die Einschränkung der Verarbeitung unter Beibehaltung deiner Daten verlangen
Mitteilungspflicht (Art. 19 DSGVO): wir teilen jedem Empfänger, dem personenbezogene Daten offengelegt wurden, jede Berichtigung, Löschung oder Einschränkung mit, es sei denn, dies erweist sich als unmöglich oder ist mit unverhältnismäßigem Aufwand verbunden
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): du kannst deine Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten (JSON oder CSV), über Einstellungen > Datenschutz > Datenexport. Der Kalenderabonnement-Feed bietet zudem Datenportabilität für Hospi-Veranstaltungen im standardisierten iCalendar-Format (ICS)
Widerspruchsrecht (Art. 21 DSGVO): du kannst der Verarbeitung auf Grundlage berechtigter Interessen widersprechen
12. Beschwerderecht
Wenn du der Meinung bist, dass deine Datenschutzrechte verletzt wurden, hast du das Recht, eine Beschwerde bei der Autoriteit Persoonsgegevens (niederländische Datenschutzbehörde) einzureichen, gemäß Art. 77 DSGVO. Du kannst auch eine Beschwerde bei der Aufsichtsbehörde im EU-Mitgliedstaat deines gewöhnlichen Aufenthaltsorts einreichen.
Autoriteit Persoonsgegevens: Postbus 93374, 2509 AJ Den Haag
Wir verwenden eine minimale Anzahl von Cookies. Essenzielle Cookies (Sitzungsauthentifizierung) sind für das Funktionieren der Plattform unbedingt erforderlich und bedürfen keiner Einwilligung. Funktionale Cookies (Spracheinstellung, Seitenleistenstatus) erfordern deine Einwilligung nach Telecommunicatiewet Art. 11.7a. Wir verwenden keine Tracking-Cookies oder Werbe-Cookies von Drittanbietern. Siehe unsere Cookie-Richtlinie für vollständige Details.
14. Ende-zu-Ende-Verschlüsselung
Alle Chatnachrichten zwischen Studierenden und Zimmeranbietern sind Ende-zu-Ende verschlüsselt (E2EE) mit AES-256-GCM und ECDH-Schlüsselaustausch, als geeignete technische Maßnahme im Sinne von Art. 32 DSGVO und in Umsetzung von Datenschutz durch Technikgestaltung (Art. 25 DSGVO). Das bedeutet, dass OpenHospi den Inhalt deiner privaten Nachrichten nicht lesen kann. Verschlüsselungsschlüssel werden lokal auf deinem Gerät gespeichert und optional (verschlüsselt) auf unseren Servern gesichert.
15. Verletzung des Schutzes personenbezogener Daten
Bei einer Verletzung des Schutzes personenbezogener Daten meldet OpenHospi diese unverzüglich und möglichst binnen 72 Stunden der Autoriteit Persoonsgegevens, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für deine Rechte und Freiheiten (Art. 33 DSGVO). Wenn die Verletzung voraussichtlich ein hohes Risiko für deine Rechte und Freiheiten zur Folge hat, benachrichtigen wir dich unverzüglich und in klarer und einfacher Sprache (Art. 34 DSGVO). Die Ende-zu-Ende-Verschlüsselung von Chatnachrichten begrenzt die Auswirkungen einer möglichen Verletzung der Kommunikationsdaten, da die Verschlüsselung die Daten für Unbefugte unlesbar macht (Art. 34 Abs. 3 lit. a DSGVO).
16. Daten von Kindern
OpenHospi ist ausschließlich über institutionelle SSO zugänglich, was eine Einschreibung an einer akkreditierten niederländischen Bildungseinrichtung erfordert. Das bedeutet, dass alle Nutzer Studierende ab 16 Jahren sind, gemäß Art. 5 UAVG (in Umsetzung von Art. 8 Abs. 1 DSGVO, der den Mitgliedstaaten erlaubt, die Altersgrenze auf mindestens 16 Jahre festzulegen). Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren.
17. Automatisierte Entscheidungen im Einzelfall
OpenHospi verwendet keine automatisierten Entscheidungen im Einzelfall einschließlich Profiling im Sinne von Art. 22 DSGVO. Die Zimmervermittlung ist vollständig manuell: Nutzer durchsuchen Anzeigen und bewerben sich selbst. Hausmitglieder stimmen in einem manuellen Abstimmungsverfahren über Bewerber ab. Keine Algorithmen bestimmen, wer welche Zimmer sieht oder wer akzeptiert wird.
18. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Wesentliche Änderungen werden über eine In-App-Benachrichtigung mitgeteilt. Das Datum 'Zuletzt aktualisiert' oben zeigt die letzte Überarbeitung an.