Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich und aktuell nicht bestellt.

2. Zweck der Verarbeitung

PolitRIS ist ein Multi-Tenant-Ratsinformationssystem für bayerische Gemeinden. Die Verarbeitung dient der Veröffentlichung von Sitzungen, Gremien, Vorlagen, Beschlüssen und Mandaten, der internen CRUD-Pflege der Daten durch berechtigte Gemeindenutzer sowie der Bereitstellung einer öffentlichen REST-API für angeschlossene Informationsportale.

3. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — für optionales Fehler-Tracking über Sentry.
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — für die Bereitstellung der Plattform gegenüber den anschließenden Gemeinden sowie die zugehörige Nutzerverwaltung.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) — für Pflichtveröffentlichungen nach Gemeindeordnung und Kommunalverfassung.
• Art. 6 Abs. 1 lit. e DSGVO (öffentliches Interesse, Ausübung öffentlicher Gewalt) — für die Veröffentlichung ratsbezogener Dokumente durch die angeschlossenen Gemeinden.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — für Logfiles und Audit-Trails.

4. Empfänger und Auftragsverarbeiter

Folgende Dienstleister verarbeiten Daten in unserem Auftrag auf Grundlage von Art. 28 DSGVO:

• Hetzner Online GmbH, Gunzenhausen — Hosting der Applikation und der Datenbank in Rechenzentren in Deutschland (EU).
• Google LLC, USA — optionale KI-Funktionen (aktuell nicht aktiv im PolitRIS-Produktivbetrieb). Sollte ein Einsatz erfolgen, erfolgt der Transfer auf Grundlage des EU-US Data Privacy Framework sowie ergänzender Standardvertragsklauseln.
• Sentry (Functional Software, Inc.), DE — Fehler-Monitoring über Sentry-Rechenzentrum Frankfurt. Erfassung nur nach Opt-in (Status „Alle akzeptieren"). Session Replay ist deaktiviert, IP-Adressen werden nicht übertragen (sendDefaultPii: false).
• Novalnet AG, Ismaning — Zahlungsabwicklung für die Gemeinden-Lizenzierung.
• Expo / EAS (falls mobile App) — Build- und Push-Notification-Infrastruktur. Push-Tokens werden pseudonymisiert gespeichert.
• Mailcow (Eigenbetrieb auf Hetzner-Server) — Versand transaktionaler E-Mails.

5. Speicherdauer

• Buchungsbelege: 10 Jahre (§ 257 HGB, § 147 AO).
• Audit-Logs und Sicherheitsprotokolle: 90 Tage.
• Profil- und Mitgliederdaten: bis zum Austritt der Person aus der Gemeinde-Organisation beziehungsweise bis zum Widerruf; spätestens 12 Monate nach letzter Aktivität anonymisiert.
• Öffentliche Ratsinformationen: dauerhaft abrufbar, solange die Gemeinde die Veröffentlichungspflicht ableitet.
• Sentry-Fehlerberichte: 30 Tage.

6. Rechte der Betroffenen

Jede betroffene Person hat die folgenden Rechte:

• Art. 15 DSGVO — Auskunft über die verarbeiteten Daten.
• Art. 16 DSGVO — Berichtigung unrichtiger Daten.
• Art. 17 DSGVO — Löschung. PII-Spalten werden über die Datenbankfunktion anonymize_user() überschrieben, buchhalterische Pflichtdaten bleiben entsprechend HGB/AO erhalten.
• Art. 18 DSGVO — Einschränkung der Verarbeitung.
• Art. 20 DSGVO — Datenübertragbarkeit.
• Art. 21 DSGVO — Widerspruch.
• Art. 7 Abs. 3 DSGVO — Widerruf erteilter Einwilligungen jederzeit mit Wirkung für die Zukunft.

7. Cookies und Tracking

PolitRIS setzt zwei Arten von lokalen Speichermechanismen ein:

• Technisch notwendige Cookies: Sitzungs-Token (Supabase Auth) und Consent-Speicher (localStorage-Schlüsselpolitris_cookie_consent). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
• Optionales Fehler-Tracking: Sentry wird nur geladen, wenn im Consent-Banner „Alle akzeptieren" gewählt wurde. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Der Consent kann jederzeit widerrufen werden, indem der localStorage-Eintrag im Browser gelöscht wird.

8. KI-gestützte Verarbeitung und EU AI Act

PolitRIS bietet aktuell keine KI-Funktionen. Sollten zukünftig KI-Features (etwa über Google Gemini) eingeführt werden, erfolgt dies ausschließlich nach Aktualisierung dieser Datenschutzerklärung und mit entsprechender Einwilligung. Die Einordnung nach dem EU AI Act (Verordnung (EU) 2024/1689) würde zunächst in die Risikoklasse „limitiertes Risiko" (Art. 50) fallen. Details enthält das interne Dokument zur EU-AI-Act-Compliance; es kann auf Anfrage bereitgestellt werden.

9. Beschwerderecht

Unabhängig von sonstigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfen hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde. Zuständig ist: