Datenschutzerklärung für OrgNav
Stand: 25. Mai 2026 Version: Vorläufige Fassung / Entwurf Domain: https://orgnav.de API: https://api.orgnav.de App: OrgNav Android-App, Paketname de.nddev.orgnav
Hinweis: Diese Datenschutzerklärung ist ein technischer und organisatorischer Vorab-Entwurf für OrgNav. Sie ersetzt keine Rechtsberatung. Vor Veröffentlichung im Google Play Store oder auf einer produktiven Website sollte der Text rechtlich geprüft und an den tatsächlichen Betrieb, die echten Kontaktdaten, Auftragsverarbeitungsverträge und Löschfristen angepasst werden.
1. Verantwortlicher
Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung ist:
[Vollständiger Name / Betreiberangabe eintragen] [Straße, Hausnummer eintragen] [PLZ, Ort eintragen] Deutschland E-Mail: kontakt@nddev.de Website: https://orgnav.de
Falls für OrgNav ein Impressumsservice, eine ladungsfähige Geschäftsadresse oder eine andere zulässige Anschrift verwendet wird, muss diese hier vollständig und korrekt eingetragen werden.
2. Allgemeines zur Datenverarbeitung
OrgNav ist ein Multi-Organisation-Tool für Discord-Server mit Android-App, Discord-Bot, Eventverwaltung, Rollen-/Mitgliedersynchronisation, Chat, Push-Benachrichtigungen, RSI-News und Organisationsfunktionen.
Wir verarbeiten personenbezogene Daten nur, soweit dies erforderlich ist, um OrgNav bereitzustellen, den Login über Discord zu ermöglichen, Organisations- und Rollenfunktionen zu betreiben, Benachrichtigungen zuzustellen, Missbrauch zu verhindern und den sicheren Betrieb der Plattform zu gewährleisten.
Rechtsgrundlagen der Verarbeitung sind insbesondere:
- Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung der OrgNav-Funktionen erforderlich ist,
- Art. 6 Abs. 1 lit. f DSGVO, soweit die Verarbeitung zur Sicherheit, Fehleranalyse, Missbrauchsverhinderung und technischen Stabilität erforderlich ist,
- Art. 6 Abs. 1 lit. a DSGVO, soweit eine Einwilligung erforderlich ist, etwa für optionale Push-Benachrichtigungen,
- Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Aufbewahrungspflichten bestehen.
3. Aufruf der Website orgnav.de
Beim Aufruf von orgnav.de, app.orgnav.de, bot.orgnav.de, auth.orgnav.de, status.orgnav.de oder api.orgnav.de können technisch notwendige Zugriffsdaten verarbeitet werden. Dazu gehören insbesondere:
- IP-Adresse,
- Datum und Uhrzeit der Anfrage,
- aufgerufene URL,
- HTTP-Statuscode,
- übertragene Datenmenge,
- Referrer-URL, sofern übermittelt,
- Browsertyp und Browserversion,
- Betriebssystem,
- Server- und Sicherheitslogs.
Diese Verarbeitung ist technisch erforderlich, um die Website und API auszuliefern, Angriffe zu erkennen, Fehler zu analysieren und den Betrieb abzusichern. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
Serverlogs werden grundsätzlich nur so lange gespeichert, wie dies für Sicherheit, Fehleranalyse und Betrieb erforderlich ist. Vorgesehen ist eine regelmäßige Löschung oder Anonymisierung nach spätestens 30 Tagen, sofern keine längere Speicherung zur Aufklärung von Sicherheitsvorfällen, Missbrauch oder rechtlichen Ansprüchen erforderlich ist.
4. Nutzung der OrgNav Android-App
Die OrgNav Android-App verbindet sich mit der API unter https://api.orgnav.de. Bei der Nutzung der App können folgende Daten verarbeitet werden:
- Discord-Benutzerkennung,
- Discord-Benutzername und Anzeigename,
- Organisations-/Serverzuordnung,
- Rollen und Berechtigungen innerhalb einer Organisation,
- Event-Teilnahmen,
- Antworten auf Event-Fragen,
- Slot-Anmeldungen,
- Chatnachrichten,
- Push-Token,
- Benachrichtigungseinstellungen,
- technische Nutzungs- und Fehlerdaten,
- Session- und Login-Daten.
Die Verarbeitung erfolgt zur Bereitstellung der App-Funktionen, insbesondere Login, Organisationsauswahl, Rollenprüfung, Eventplanung, Chat, Push-Benachrichtigungen, News-Anzeige und Mitgliederübersicht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Sicherheits- und Fehlerdaten werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeitet.
5. Discord-Login und OAuth
OrgNav verwendet Discord OAuth, damit Nutzer sich mit ihrem Discord-Konto anmelden können. Der Login startet über:
https://api.orgnav.de/auth/discord/start?app=true
Nach erfolgreicher Anmeldung bei Discord erfolgt der Rücksprung an:
https://api.orgnav.de/auth/discord/callback
Von dort leitet OrgNav die Anmeldung an die Android-App weiter, z. B. über:
orgnav://auth/callback
Bei der Anmeldung können je nach Konfiguration insbesondere folgende Discord-Daten verarbeitet werden:
- Discord User ID,
- Discord-Benutzername,
- globaler Anzeigename,
- Avatar-Informationen,
- ggf. E-Mail-Adresse, falls dieser Scope aktiv genutzt wird,
- Zugehörigkeit zu Discord-Servern, soweit für die Organisationszuordnung erforderlich,
- OAuth-Statusdaten zur Absicherung des Login-Vorgangs.
OrgNav speichert keine Discord-Passwörter. Die Authentifizierung erfolgt direkt über Discord. OrgNav erhält nur die für den Login und die Organisationszuordnung notwendigen Daten.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, da der Login erforderlich ist, um OrgNav nutzerbezogen bereitzustellen. Soweit Sicherheitsprüfungen, State-Prüfungen, HMAC-Prüfungen oder Missbrauchsschutz stattfinden, erfolgt dies zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.
Discord verarbeitet Daten in eigener Verantwortung. Für die Verarbeitung durch Discord gelten die Datenschutzhinweise von Discord.
6. Discord-Bot, Server-Sync und Rollen
OrgNav nutzt einen Discord-Bot, der von Server-Administratoren auf einen Discord-Server eingeladen werden kann. Der Bot dient dazu, Organisationen in OrgNav anzulegen oder zu aktualisieren, Rollen und Mitglieder zu synchronisieren und Funktionen wie Events, Benachrichtigungen und Setup-Kommandos bereitzustellen.
Dabei können insbesondere folgende Daten verarbeitet werden:
- Discord Server ID,
- Servername,
- Rollen-IDs und Rollennamen,
- Kanal-IDs und Kanalnamen,
- Discord User IDs von Mitgliedern,
- Anzeigenamen, Benutzernamen und Server-Nicknames,
- Rollenmitgliedschaften,
- Status des Bot-Setups,
- Zeitpunkt der letzten Synchronisation.
Diese Daten werden verarbeitet, damit OrgNav erkennen kann, welche Nutzer zu welcher Organisation gehören und welche Berechtigungen sie innerhalb der App haben. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO für die Bereitstellung der Organisationsfunktionen sowie Art. 6 Abs. 1 lit. f DSGVO für die technische Integrität, Berechtigungsprüfung und Missbrauchsverhinderung.
OrgNav benötigt für den aktuellen Funktionsumfang keine Discord-Administratorrechte. Der Bot sollte nur mit den Berechtigungen eingeladen werden, die für den jeweiligen Funktionsumfang erforderlich sind, insbesondere Kanäle ansehen und Nachrichten senden.
7. Organisations- und Mitgliedsdaten
Für jede in OrgNav angebundene Organisation können Organisationsdaten gespeichert werden. Dazu gehören insbesondere:
- Organisationsname,
- Discord Guild ID,
- Bot-Installationsstatus,
- Setup-Status,
- Mitgliederanzahl,
- Rollen- und Berechtigungszuordnungen,
- Plugin- und Benachrichtigungseinstellungen,
- Zeitpunkte der Erstellung und Aktualisierung.
Für Mitglieder können insbesondere gespeichert werden:
- Discord User ID,
- Benutzername,
- Anzeigename,
- Server-Nickname,
- Rolleninformationen,
- interne Systemrolle in OrgNav, z. B. ADMIN, USER oder VIEWER,
- App-Zugriffsstatus,
- letzte Aktualisierung.
Diese Daten sind erforderlich, um die Organisation, Rollen und Zugriffsrechte innerhalb von OrgNav abzubilden.
8. Events, Teilnahmen, Fragen und Slots
OrgNav kann Organisations-Events verwalten. Dabei können insbesondere folgende Daten verarbeitet werden:
- Eventtitel,
- Eventbeschreibung,
- Start- und Endzeit,
- Ersteller des Events,
- Teilnehmerstatus, z. B. zugesagt, vielleicht oder abgesagt,
- Antworten auf Event-Fragen,
- Slot-Anmeldungen,
- Zeitpunkte der Erstellung und Änderung.
Diese Daten werden verarbeitet, um Events innerhalb einer Organisation zu planen, Teilnehmer zu verwalten und organisatorische Abläufe zu ermöglichen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
Eventdaten werden gelöscht, wenn ein Event gelöscht wird oder wenn die Organisation gelöscht wird. Zusätzlich kann eine automatische Bereinigung alter Events vorgesehen werden, z. B. nach 12 Monaten nach Eventende. Diese Frist muss technisch umgesetzt werden, bevor sie als verbindlich veröffentlicht wird.
9. Chatnachrichten
OrgNav kann einen organisationsbezogenen Chat bereitstellen. Dabei können verarbeitet werden:
- Inhalt der Chatnachricht,
- Discord User ID des Absenders,
- Organisationszuordnung,
- Zeitstempel,
- Löschstatus,
- technische Zustelldaten für Benachrichtigungen.
Chatnachrichten werden verarbeitet, um die Kommunikation innerhalb einer Organisation zu ermöglichen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
Nutzer können eigene Nachrichten löschen, sofern diese Funktion in der App verfügbar ist. Administratoren können je nach Rollenmodell weitere Moderationsrechte besitzen. Chatnachrichten werden gelöscht, wenn die Organisation gelöscht wird. Zusätzlich kann eine automatische Löschung alter Chatnachrichten vorgesehen werden, z. B. nach 180 Tagen. Diese Frist muss technisch umgesetzt werden, bevor sie als verbindlich veröffentlicht wird.
10. Push-Benachrichtigungen und Firebase Cloud Messaging
OrgNav nutzt Firebase Cloud Messaging, um Push-Benachrichtigungen an Android-Geräte zu senden. Dazu können folgende Daten verarbeitet werden:
- Firebase Push Token,
- Gerätezuordnung zur App-Installation,
- Discord User ID,
- Benachrichtigungseinstellungen,
- Inhalt und Typ der Benachrichtigung,
- Zustellstatus,
- Fehlerstatus bei fehlgeschlagener Zustellung.
Push-Benachrichtigungen können z. B. für Chatnachrichten, Events, Event-Erinnerungen, Admin-Mitteilungen oder Testbenachrichtigungen verwendet werden.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO, soweit eine Einwilligung des Nutzers oder eine Betriebssystem-Berechtigung erforderlich ist, sowie Art. 6 Abs. 1 lit. b DSGVO, soweit Benachrichtigungen für ausdrücklich genutzte App-Funktionen erforderlich sind.
Nutzer können Push-Benachrichtigungen in der App oder über die Android-Systemeinstellungen deaktivieren. Push-Token werden gelöscht oder deaktiviert, wenn der Nutzer sich abmeldet, die App-Berechtigung entzogen wird, der Token ungültig wird oder die Nutzer-/Organisationsdaten gelöscht werden.
Firebase wird von Google bereitgestellt. Google kann personenbezogene Daten im Rahmen der Auftragsverarbeitung verarbeiten. Es können dabei Daten außerhalb der Europäischen Union verarbeitet werden, soweit dies nach den jeweils geltenden Datenschutzvorgaben zulässig ist.
11. RSI-News und externe Inhalte
OrgNav kann RSI-News oder Patch Notes abrufen und in der App anzeigen. Dabei werden in der Regel keine personenbezogenen Nutzerdaten an RSI übertragen, wenn Inhalte serverseitig durch OrgNav abgerufen und gespeichert werden.
Beim Öffnen externer Links aus der App oder Website heraus gelten die Datenschutzbestimmungen des jeweiligen externen Anbieters.
12. Sessions, Tokens und lokale Speicherung
Nach erfolgreichem Login speichert die Android-App einen Zugriffstoken lokal auf dem Gerät, damit der Nutzer angemeldet bleiben kann. Auf dem Server können Session-Daten gespeichert werden, um Nutzer zu authentifizieren und Zugriffe zu prüfen.
Gespeichert werden können insbesondere:
- Session-ID oder Tokenkennung,
- Discord User ID,
- Ablaufzeitpunkt,
- Erstellungszeitpunkt,
- letzter Zugriff,
- technische Sicherheitsinformationen.
Die lokale Speicherung in der App dient ausschließlich dem Login-Zustand. Nutzer können sich in der App abmelden. Bei Abmeldung wird der lokale Token gelöscht. Serverseitige Sessions werden nach Ablauf, Logout oder Löschanforderung gelöscht oder ungültig gemacht.
Vorgesehene Speicherfrist für abgelaufene oder inaktive Sessions: maximal 30 Tage nach Ablauf oder letzter Nutzung, sofern keine Sicherheitsgründe eine längere Speicherung erfordern. Diese Frist muss technisch umgesetzt werden, bevor sie als verbindlich veröffentlicht wird.
13. Automatische Löschung und Datenbereinigung
OrgNav soll Daten nicht länger speichern, als es für den jeweiligen Zweck erforderlich ist. Vorgesehenes Löschkonzept:
| Datenart | Vorgesehene Löschung |
|---|---|
| Serverlogs | spätestens nach 30 Tagen, außer bei Sicherheitsvorfällen |
| Abgelaufene Sessions | spätestens nach 30 Tagen |
| Ungültige Push-Token | nach Erkennung der Ungültigkeit oder bei Logout |
| Benachrichtigungswarteschlange | nach Zustellung/Fehlerbereinigung, z. B. nach 30 bis 90 Tagen |
| Gelöschte Chatnachrichten | sofortige Entfernung oder technische Markierung mit späterer Bereinigung |
| Alte Chatnachrichten | optional automatisch nach 180 Tagen |
| Vergangene Events | optional automatisch nach 12 Monaten |
| Organisationsdaten | bei Entfernung des Bots oder Löschanforderung nach angemessener Frist |
| Mitgliedsdaten | bei Verlassen der Organisation, Entzug der Rolle, Organisationslöschung oder Löschanforderung |
Wenn der OrgNav-Bot von einem Discord-Server entfernt wird, kann die Organisation zunächst als entfernt oder inaktiv markiert werden, um versehentliche Datenverluste zu vermeiden. Vorgesehen ist anschließend eine automatische Löschung oder Anonymisierung nach 30 Tagen, sofern der Bot nicht erneut verbunden wird und keine rechtlichen Gründe entgegenstehen.
Wichtig: Diese Löschfristen müssen technisch im Backend, in Workern oder über geplante Wartungsroutinen umgesetzt werden. Solange eine Frist technisch noch nicht umgesetzt ist, darf sie nicht als verbindliche automatische Löschung veröffentlicht werden.
14. Empfänger und Auftragsverarbeiter
Personenbezogene Daten können an technische Dienstleister übermittelt werden, soweit dies für Betrieb, Hosting, Push-Benachrichtigungen, Fehleranalyse oder Sicherheit erforderlich ist.
Mögliche Empfänger oder Dienstleister:
- Hostinganbieter / Serveranbieter,
- DNS- und Domainanbieter,
- Google Firebase Cloud Messaging für Push-Benachrichtigungen,
- Discord im Rahmen von OAuth, Bot-Funktionen und Serverdaten,
- technische Wartungs- und Sicherheitsdienste, sofern eingesetzt.
Mit Auftragsverarbeitern werden, soweit erforderlich, Verträge zur Auftragsverarbeitung abgeschlossen.
15. Drittlandübermittlungen
Bei der Nutzung von Discord und Google Firebase können personenbezogene Daten auch außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeitet werden. Soweit eine solche Übermittlung stattfindet, erfolgt sie auf Grundlage geeigneter Garantien, z. B. Angemessenheitsbeschlüssen, Standardvertragsklauseln oder sonstigen gesetzlich vorgesehenen Mechanismen.
16. Keine Werbung und kein Verkauf personenbezogener Daten
OrgNav verkauft keine personenbezogenen Daten an Dritte. OrgNav nutzt die verarbeiteten Daten nicht für fremde Werbung. Eine Profilbildung zu Werbezwecken findet nicht statt.
17. Cookies und Tracking
Die Hauptdomain orgnav.de sollte nach aktuellem Konzept nur technisch notwendige Funktionen bereitstellen. Wenn keine Analyse-, Marketing- oder Trackingdienste eingesetzt werden, werden keine nicht notwendigen Cookies verwendet.
Sollten später Analyse-, Marketing-, Fehleranalyse- oder Trackingdienste eingebunden werden, wird diese Datenschutzerklärung entsprechend erweitert und, soweit erforderlich, ein Einwilligungsbanner eingerichtet.
18. Sicherheit
OrgNav setzt technische und organisatorische Maßnahmen ein, um personenbezogene Daten zu schützen. Dazu gehören insbesondere:
- HTTPS-Verschlüsselung,
- Betrieb der API hinter einem Reverse Proxy,
- interne Bindung des Node-Prozesses,
- beschränkter Zugriff auf Datenbank und Secrets,
- getrennte Speicherung geheimer Schlüssel,
- Rollen- und Berechtigungsprüfung,
- Protokollierung sicherheitsrelevanter Vorgänge,
- regelmäßige Backups und Wartung, sofern eingerichtet.
19. Rechte betroffener Personen
Betroffene Personen haben nach der DSGVO insbesondere folgende Rechte:
- Recht auf Auskunft,
- Recht auf Berichtigung,
- Recht auf Löschung,
- Recht auf Einschränkung der Verarbeitung,
- Recht auf Datenübertragbarkeit,
- Recht auf Widerspruch gegen bestimmte Verarbeitungen,
- Recht auf Widerruf einer Einwilligung mit Wirkung für die Zukunft,
- Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde.
Anfragen können per E-Mail an kontakt@nddev.de gestellt werden.
20. Löschanfragen und Organisationslöschung
Nutzer können die Löschung ihrer personenbezogenen Daten verlangen. Je nach Funktion kann dies dazu führen, dass OrgNav nicht mehr oder nur eingeschränkt genutzt werden kann.
Bei Löschanfragen prüfen wir:
- welche Nutzer- und Sessiondaten vorhanden sind,
- welchen Organisationen der Nutzer zugeordnet ist,
- ob Event-, Chat- oder Systemdaten betroffen sind,
- ob gesetzliche Aufbewahrungspflichten entgegenstehen,
- ob Daten anonymisiert statt gelöscht werden können, wenn sie für die Integrität von Organisationsabläufen erforderlich sind.
Organisationseigentümer oder berechtigte Administratoren können die Löschung einer Organisation verlangen. Dabei werden Organisationsdaten, Mitgliederzuordnungen, Events, Chatdaten, Push-Token und Einstellungen gelöscht oder anonymisiert, sofern keine rechtlichen Gründe entgegenstehen.
21. Automatisierte Entscheidungen
OrgNav verwendet keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO, die gegenüber Nutzern rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen.
Berechtigungen innerhalb der App können automatisiert anhand von Discord-Rollen ermittelt werden. Diese Rollenprüfung dient ausschließlich der technischen Zugriffskontrolle innerhalb von OrgNav.
22. Änderungen dieser Datenschutzerklärung
Diese Datenschutzerklärung kann angepasst werden, wenn neue Funktionen, neue Dienstleister, geänderte Rechtsgrundlagen oder geänderte technische Abläufe hinzukommen. Die jeweils aktuelle Fassung wird unter:
https://orgnav.de/datenschutz/
bereitgestellt.