Skip to main content

Verarbeitungsverzeichnis (Art. 30 DSGVO)

Zuletzt aktualisiert: 1. März 2026

Gemäß Art. 30 Abs. 1 DSGVO führt OpenHospi als Verantwortlicher dieses Verzeichnis aller Verarbeitungstätigkeiten personenbezogener Daten.

Auf dieser Seite

  1. 1. Nutzerprofile
  2. 2. Profilfotos
  3. 3. Zimmeranzeigen
  4. 4. Bewerbungen
  5. 5. Chatnachrichten
  6. 6. Sitzungsdaten
  7. 7. Moderationsdaten
  8. 8. Einwilligungsdatensätze
  9. 9. Push-Benachrichtigungs-Abonnements
  10. 10. Kalenderabonnement-Feed
  11. 11. Fehlerberichterstattung & Crash-Monitoring

1. Nutzerprofile

ZweckBereitstellung der Studentenzimmerplattform
Kategorien betroffener PersonenRegistrierte Studierende
DatenkategorienName, E-Mail-Adresse, Geburtsdatum, Geschlecht, Studiengang, Bildungseinrichtung, Bio, Lebensstil-Tags, bevorzugte Stadt, verfügbar ab, maximale Miete
RechtsgrundlageVertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
EmpfängerAndere Plattformnutzer (eingeschränkte Profilansicht)
Übermittlungen außerhalb des EWRNein, alle Verarbeitung innerhalb der EU/des EWR
AufbewahrungBis zur Kontolöschung
SicherheitRow-Level Security (RLS), verschlüsselter Transport (TLS), rollenbasierte Zugriffskontrolle

2. Profilfotos

ZweckProfilidentifikation und visuelle Wiedererkennung
Kategorien betroffener PersonenRegistrierte Studierende
Datenkategorienbis zu 5 Fotos pro Nutzer
RechtsgrundlageVertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
EmpfängerAndere Plattformnutzer (authentifiziert)
Übermittlungen außerhalb des EWRNein, alle Verarbeitung innerhalb der EU/des EWR
AufbewahrungBis zur Löschung durch den Nutzer oder Kontolöschung
SicherheitSupabase Storage mit Zugriffsrichtlinien, verschlüsselte Speicherung

3. Zimmeranzeigen

ZweckWohnungsmarktplatz-Funktionalität und geografische Suche
Kategorien betroffener PersonenRegistrierte Studierende (Zimmeranbieter)
DatenkategorienAdresse, Stadt, Koordinaten, Mietpreis, Zimmerdetails, Fotos, Verfügbarkeit
RechtsgrundlageVertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
EmpfängerAlle authentifizierten Nutzer
Übermittlungen außerhalb des EWRNein, alle Verarbeitung innerhalb der EU/des EWR
AufbewahrungBis zur Löschung durch den Eigentümer oder Kontolöschung
SicherheitRLS-Richtlinien (nur Eigentümer kann bearbeiten), verschlüsselter Transport

4. Bewerbungen

ZweckVermittlung von Suchenden und Zimmern sowie Verwaltung des Hospiteerprozesses
Kategorien betroffener PersonenRegistrierte Studierende (Zimmersuchende)
Datenkategorienpersönliche Nachricht, Bewerbungsstatus
RechtsgrundlageVertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
EmpfängerZimmereigentümer und Hausmitglieder der betreffenden Wohnung
Übermittlungen außerhalb des EWRNein, alle Verarbeitung innerhalb der EU/des EWR
AufbewahrungBis zum Zurückziehen durch den Suchenden oder Kontolöschung
SicherheitRLS-Richtlinien beschränkt auf beteiligte Parteien

5. Chatnachrichten

ZweckKommunikation zwischen Suchenden und Hausmitgliedern
Kategorien betroffener PersonenRegistrierte Studierende (Gesprächsteilnehmer)
DatenkategorienEnde-zu-Ende verschlüsselter Nachrichteninhalt, Zeitstempel, verschlüsselte Sitzungsschlüssel
RechtsgrundlageVertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
EmpfängerNur Gesprächsteilnehmer (Inhalt für OpenHospi nicht lesbar)
Übermittlungen außerhalb des EWRNein, alle Verarbeitung innerhalb der EU/des EWR
AufbewahrungBis zur Kontolöschung
SicherheitEnde-zu-Ende-Verschlüsselung (AES-256-GCM mit ECDH-Schlüsselaustausch), nur Teilnehmer können entschlüsseln

6. Sitzungsdaten

ZweckAuthentifizierung und Sicherheitsüberwachung
Kategorien betroffener PersonenRegistrierte Studierende
DatenkategorienIP-Adresse, User Agent, Sitzungstoken
RechtsgrundlageBerechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
EmpfängerKeine (ausschließlich interne Verwendung)
Übermittlungen außerhalb des EWRNein, alle Verarbeitung innerhalb der EU/des EWR
AufbewahrungIP-Adresse anonymisiert 30 Tage nach Sitzungsablauf; Sitzungsdatensatz gelöscht nach 90 Tagen
SicherheitAusschließlich serverseitige Verarbeitung, verschlüsselte Speicherung

7. Moderationsdaten

ZweckPlattformsicherheit und Missbrauchsprävention
Kategorien betroffener PersonenRegistrierte Studierende (Melder und gemeldete Nutzer)
DatenkategorienMeldungen, Sperrungen, temporär entschlüsselter Nachrichtentext (durch den Melder bereitgestellt)
RechtsgrundlageBerechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
EmpfängerAusschließlich das Admin-Team
Übermittlungen außerhalb des EWRNein, alle Verarbeitung innerhalb der EU/des EWR
AufbewahrungEntschlüsselter Nachrichtentext automatisch gelöscht 90 Tage nach Abschluss
SicherheitAusschließlich Admin-Zugriff, vollständige Audit-Protokollierung

8. Einwilligungsdatensätze

ZweckNachweis einer gültigen Einwilligung (Art. 7 DSGVO)
Kategorien betroffener PersonenRegistrierte Studierende und Websitebesucher
DatenkategorienEinwilligungszweck, erteilt/widerrufen Status, IP-Adresse, User Agent, Datenschutzerklärungsversion, Zeitstempel
RechtsgrundlageRechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
EmpfängerKeine (ausschließlich interne Auditzwecke)
Übermittlungen außerhalb des EWRNein, alle Verarbeitung innerhalb der EU/des EWR
AufbewahrungIP-Adresse anonymisiert nach 365 Tagen; Einwilligungsdatensätze aufbewahrt, solange für Nachweiszwecke erforderlich
SicherheitUnveränderliches Auditprotokoll, verschlüsselte Speicherung

9. Push-Benachrichtigungs-Abonnements

ZweckZustellung von Push-Benachrichtigungen an Nutzer
Kategorien betroffener PersonenRegistrierte Studierende, die Push-Benachrichtigungen aktiviert haben
DatenkategorienEndpunkt-URL, Verschlüsselungsschlüssel für Push-Dienst
RechtsgrundlageEinwilligung (Art. 6 Abs. 1 lit. a DSGVO)
EmpfängerBrowser-Push-Dienst (technisch für die Zustellung erforderlich)
Übermittlungen außerhalb des EWRNein, alle Verarbeitung innerhalb der EU/des EWR
AufbewahrungBis zur Abmeldung durch den Nutzer oder Kontolöschung
SicherheitWeb-Push-Protokoll mit Ende-zu-Ende-Verschlüsselung

10. Kalenderabonnement-Feed

ZweckSynchronisation von Hospi-Veranstaltungen mit der Kalender-App des Nutzers
Kategorien betroffener PersonenRegistrierte Studierende, die das Kalenderabonnement aktiviert haben
DatenkategorienKalender-Token (UUID), Hospi-Veranstaltungstitel, Daten, Zeiten, Orte
RechtsgrundlageVertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Nutzer aktiviert das Abonnement selbst
EmpfängerKalender-App-Anbieter des Nutzers (Google, Apple, Microsoft usw.)
Übermittlungen außerhalb des EWRNein, alle Verarbeitung innerhalb der EU/des EWR
AufbewahrungToken besteht, solange das Konto aktiv ist; wird bei Kontolöschung gelöscht
SicherheitNicht erratbares UUID-Token, nur HTTPS, durch Nutzer widerrufbar

11. Fehlerberichterstattung & Crash-Monitoring

ZweckSicherstellung der App-Stabilität, Identifizierung und Behebung technischer Fehler
Kategorien betroffener PersonenAlle App-Nutzer (anonymisiert, keine Nutzeridentifizierung möglich)
DatenkategorienStack-Traces, Gerätemodell, Betriebssystemversion, App-Version, Fehlerkontext
RechtsgrundlageBerechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
EmpfängerSentry (Functional Software Inc.): Auftragsverarbeitungsvertrag mit SCCs abgeschlossen
Übermittlungen außerhalb des EWRKeine Endnutzerdaten übermittelt. Interne organisatorische Metadaten von Sentry können in die USA repliziert werden
Aufbewahrung90 Tage
SicherheitKeine personenbezogenen Daten erhoben, Daten durch Design anonymisiert, EU-Speicherung (Frankfurt)