Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich und aktuell nicht bestellt.

2. Zweck der Verarbeitung

PolitPlus ist eine Plattform für die interne kommunalpolitische Arbeit der CSU und ihrer Untergliederungen in Bayern. Die Verarbeitung dient der Nachrichten-Recherche, der Ratsinformationsarbeit, der Dokumentenverwaltung mit OCR, der Fraktionsarbeit (inklusive Haushalts- und Sitzungsmanagement), dem Wahlkampfmanagement sowie der Vernetzung zwischen Partei- und Fraktionsmitgliedern.

3. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — für die KI-Verarbeitung, die Übermittlung an Google (Gemini) und optionales Fehler-Tracking über Sentry.
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — für die Bereitstellung der kostenpflichtigen Plattform, die Nutzerverwaltung und die Abrechnung.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) — für die Aufbewahrung von Buchungsbelegen und Parteifinanz-Unterlagen (§ 257 HGB, § 147 AO, ParteienG).
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — für Logfiles zur Fehleranalyse, Audit-Trails zur Sicherheitsdokumentation und öffentliche Ratsinformationen.

4. Empfänger und Auftragsverarbeiter

Folgende Dienstleister verarbeiten Daten in unserem Auftrag auf Grundlage von Art. 28 DSGVO:

• Hetzner Online GmbH, Gunzenhausen — Hosting der Applikation und der Datenbank in Rechenzentren in Deutschland (EU).
• Google LLC, USA — Gemini-API für KI-Textgenerierung, Dokumentenanalyse und Sitzungstranskription. Transfer auf Grundlage des EU-US Data Privacy Framework (Google ist zertifiziert) sowie ergänzender Standardvertragsklauseln.
• Sentry (Functional Software, Inc.), DE — Fehler-Monitoring über Sentry-Rechenzentrum Frankfurt. Erfassung nur nach Opt-in (Status „Alle akzeptieren"). Session Replay ist deaktiviert, IP-Adressen werden nicht übertragen (sendDefaultPii: false).
• Novalnet AG, Ismaning — Zahlungsabwicklung für kostenpflichtige Pakete.
• Expo / EAS (für die mobile App) — Build- und Push-Notification-Infrastruktur. Push-Tokens werden pseudonymisiert gespeichert.
• Mailcow (Eigenbetrieb auf Hetzner-Server) — Versand transaktionaler E-Mails (Einladungen, Benachrichtigungen, Passwort-Rücksetzung). Keine externe Zustellung außerhalb des eigenen Servers.

5. Speicherdauer

• Buchungsbelege und Parteifinanz-Unterlagen: 10 Jahre (§ 257 HGB, § 147 AO). Eine automatische Löschung dieser Daten ist ausgeschlossen.
• Audit-Logs und Sicherheitsprotokolle: 90 Tage, danach automatische Rotation und Löschung.
• Profil- und Mitgliederdaten: bis zum Widerruf der Einwilligung beziehungsweise zum Austritt; spätestens 12 Monate nach letzter Aktivität wird das Konto anonymisiert.
• KI-Aufruf-Metadaten (Tabelle ki_aufrufe): 24 Monate, danach Partitionsrotation. Es werden keine Prompt- oder Antworttexte gespeichert, nur Zähler und Fehlercodes.
• Sitzungsprotokoll-Audio: unmittelbar nach erfolgreicher Transkription gelöscht.
• Sentry-Fehlerberichte: 30 Tage, danach automatische Löschung durch Sentry.

6. Rechte der Betroffenen

Jede betroffene Person hat die folgenden Rechte:

• Art. 15 DSGVO — Auskunft über die verarbeiteten Daten. In PolitPlus über „Einstellungen → Datenschutz → Export" abrufbar (maximal ein Export pro Tag).
• Art. 16 DSGVO — Berichtigung unrichtiger Daten.
• Art. 17 DSGVO — Löschung. Das Konto kann in den Einstellungen selbst gelöscht werden; PII-Spalten werden über die Datenbankfunktion anonymize_user() überschrieben, buchhalterisch notwendige Daten bleiben entsprechend HGB/AO erhalten.
• Art. 18 DSGVO — Einschränkung der Verarbeitung.
• Art. 20 DSGVO — Datenübertragbarkeit. Der Export aus Art. 15 erfolgt in maschinenlesbarer Form (JSON).
• Art. 21 DSGVO — Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen.
• Art. 7 Abs. 3 DSGVO — Widerruf erteilter Einwilligungen (insbesondere KI-Consent und Sentry-Tracking) jederzeit mit Wirkung für die Zukunft.

7. Cookies und Tracking

PolitPlus setzt zwei Arten von Cookies beziehungsweise lokalen Speichermechanismen ein:

• Technisch notwendige Cookies: Sitzungs-Token (Supabase Auth) und Consent-Speicher (localStorage-Schlüsselpolitplus_cookie_consent). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
• Optionales Fehler-Tracking: Sentry wird nur geladen, wenn im Consent-Banner „Alle akzeptieren" gewählt wurde. Session Replay ist deaktiviert, IP-Adressen werden nicht übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Der Consent kann jederzeit widerrufen werden, indem im Browser der entsprechende localStorage-Eintrag gelöscht wird; das Banner erscheint dann erneut.

8. KI-gestützte Verarbeitung und EU AI Act

PolitPlus setzt KI-Funktionen der Google Gemini 2.5 Flash-Familie ein, unter anderem für Nachrichtenanalyse, Dokumenten-OCR und Sitzungstranskription. Alle KI-Ausgaben werden im Interface als solche gekennzeichnet und dienen ausschließlich der Unterstützung, nicht der automatisierten Entscheidungsfindung im Sinne von Art. 22 DSGVO. Die Einordnung nach dem EU AI Act (Verordnung (EU) 2024/1689) ergibt in allen Einsatzbereichen ausschließlich die Risikoklasse „limitiertes Risiko" (Art. 50). Details enthält das interne Dokument zur EU-AI-Act-Compliance; es kann auf Anfrage bereitgestellt werden. Sitzungsprotokoll-Transkriptionen erfolgen nur, wenn eine separate, sitzungsbezogene Einwilligung erfasst wurde und die Teilnehmer informiert wurden.

9. Beschwerderecht

Unabhängig von sonstigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfen hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde. Zuständig ist: