Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und sonstiger nationaler Datenschutzgesetze:

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich (Art. 37 DSGVO, § 38 BDSG).

2. Zwecke und Kategorien der Verarbeitung

2.1 Konto und Authentifizierung

Daten: E-Mail-Adresse, Passwort-Hash (bcrypt), TOTP-Secret (verschlüsselt), Zeitpunkt der Registrierung und letzten Anmeldung.
Zweck: Bereitstellung des Nutzerkontos, Zwei-Faktor-Authentifizierung, Wiederherstellung des Passworts.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.2 Profil- und Operatordaten

Daten: Operator- und Pilotenname, EU-Lizenznummer, Anschrift, Organisationszuordnung. Lizenznummer und Adresse werden mit AES-256-GCM verschlüsselt gespeichert (Verschlüsselung „at rest").
Zweck: Erstellung rechtskonformer SORA-2.5-Risikobewertungen für Drohnenflüge.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), für besonders sensible Felder ergänzend Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

2.3 Drohnen- und Bewertungsdaten

Daten: Drohnen-Stammdaten (Hersteller, Modell, Klasse, Gewicht, Seriennummer), Missionsbeschreibung, Flughöhe, Ort/Koordinaten, Luftraumklasse, Risikoklassifikation, hochgeladene Dokumente.
Zweck: Durchführung und Dokumentation der SORA-Bewertung, PDF-Berichterstellung, Selbstauskunft.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.4 Sicherheits-Audit-Log

Daten: IP-Adresse, User-Agent, Zeitstempel und Typ sicherheitsrelevanter Aktionen (Login, Login-Fehlversuche, Passwortänderung, 2FA-Aktivierung, Datenexport, Kontolöschung).
Zweck: Erkennung und Abwehr von Angriffen, Brute-Force-Schutz, Nachvollziehbarkeit nach KRITIS- und ISO-27001-Standards.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit), Art. 32 DSGVO.

2.5 Server-Logs

Beim Aufruf der Anwendung verarbeitet unser Hoster automatisch IP-Adresse, Datum/Uhrzeit und User-Agent. Die Daten werden zur Sicherstellung des Betriebs und zur Abwehr von Angriffen kurzfristig gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

3. Empfänger und Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Auftragsverarbeiter (Art. 28 DSGVO) ein:

• Lovable Cloud – Hosting der Anwendung sowie Bereitstellung von Datenbank, Authentifizierung und Dateispeicher. Verarbeitung innerhalb der EU.
• Cloudflare, Inc. – Edge-Auslieferung und Schutz vor Angriffen (Standardvertragsklauseln gemäß Art. 46 DSGVO).
• Resend / E-Mail-Versanddienst – Versand transaktionaler E-Mails (Verifizierung, Passwort-Reset). Verarbeitung der E-Mail-Adresse.
• Geocoding-Anbieter (OpenStreetMap/Nominatim) – Auflösung von Adressen zu Koordinaten ausschließlich auf Eingabe des Nutzers.

Eine Weitergabe personenbezogener Daten an Dritte zu eigenen Zwecken erfolgt nicht.

4. Drittlandübermittlung

Soweit Daten in ein Drittland (z. B. USA) übermittelt werden, erfolgt dies auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und ergänzenden technischen Schutzmaßnahmen (Verschlüsselung in transit und at rest).

5. Speicherdauer

• Konto- und Profildaten: bis zur Löschung des Kontos durch den Nutzer.
• SORA-Bewertungen und Berichte: bis zur manuellen Löschung durch den Nutzer.
• Sicherheits-Audit-Log: 24 Monate (KRITIS-/ISO-27001-konform).
• Login-Versuche (Brute-Force-Schutz): 7 Tage.
• Server-Logs des Hosters: max. 30 Tage.
• Gesetzliche Aufbewahrungspflichten (z. B. § 257 HGB, § 147 AO) bleiben unberührt.

6. Technische und organisatorische Maßnahmen

• TLS-Verschlüsselung sämtlicher Übertragungen.
• AES-256-GCM-Verschlüsselung sensibler Profildaten at rest.
• Verpflichtende Zwei-Faktor-Authentifizierung (TOTP).
• Passwort-Prüfung gegen die Have-I-Been-Pwned-Datenbank (k-Anonymity).
• Brute-Force-Schutz mit IP- und E-Mail-basierter Sperre.
• Row-Level-Security auf Datenbankebene (mandantengetrennt).
• Regelmäßige Sicherheits-Scans und Backups.

7. Cookies und lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Cookies bzw. Local-Storage-Einträge zur Aufrechterhaltung der Anmeldesitzung (Auth-Token). Es findet kein Tracking, keine Profilbildung und keine Nutzung von Drittanbieter-Analyse-Cookies statt. Eine Einwilligung nach § 25 Abs. 1 TDDDG ist daher nicht erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).

8. Automatisierte Entscheidungen

Die SORA-Risikoklassifikation erfolgt nach den deterministischen Regeln der EASA SORA 2.5. Eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO mit rechtlicher Wirkung gegenüber Dritten findet nicht statt; die Bewertung dient ausschließlich der eigenen Entscheidungsfindung des Nutzers gegenüber der Luftfahrtbehörde.

9. Ihre Rechte

Sie haben jederzeit das Recht auf:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO),
• Berichtigung unrichtiger Daten (Art. 16 DSGVO),
• Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO),
• Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Datenübertragbarkeit (Art. 20 DSGVO),
• Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21 DSGVO),
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Die Funktionen „Daten exportieren" (PDF/JSON) und „Konto löschen" stehen Ihnen im Profil-Bereich zur Selbstbedienung zur Verfügung. Anfragen können Sie auch formlos an die oben genannte E-Mail-Adresse richten.

10. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für uns zuständig ist:

11. Pflicht zur Bereitstellung

Die Bereitstellung Ihrer Konto- und Profildaten ist erforderlich, um die Anwendung nutzen und SORA-Bewertungen rechtskonform erstellen zu können. Ohne diese Daten ist ein Vertragsabschluss bzw. die Nutzung nicht möglich.

12. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, sobald Änderungen der Verarbeitung dies erforderlich machen. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar.