Datenschutzerklärung
Stand: 2026-05-19 — Entwurf, Vorstand-Freigabe ausstehend.
1. Verantwortlicher
mana e.V. (Schweizer Verein in Gründung)
Postanschrift: bis zur Vereins-Gründung c/o Gründungs-Vorstand (Adresse auf Anfrage)
Kontakt: [email protected] (Übergangs-Adresse bis [email protected] aktiv ist)
Datenschutzbeauftragte:r: derzeit nicht benannt.
Vertreter in der EU (Art. 27 DSGVO): derzeit nicht benannt; siehe COMPLIANCE.md §1.
Zuständige Aufsichtsbehörden:
- FADP: EDÖB (Schweiz) — edoeb.admin.ch.
- DSGVO (EU): Aufsichtsbehörde Ihres Wohnsitz-Mitgliedstaates. In Deutschland: Landes-DSB oder BfDI.
2. Welche Daten wir verarbeiten — Zwecke und Rechtsgrundlagen
ManaMeme ist eine bild-only Meme-Community (JPEG/PNG/WebP/AVIF, max 12 MB, kein Video, kein Audio). Posts und Kommentare sind öffentlich sichtbar nach Veröffentlichung — das ist die Kern-Eigenschaft des Dienstes.
| Datenkategorie | Zweck | Rechtsgrundlage |
|---|---|---|
| Konto-Daten (User-UUID, E-Mail, Tier-Stufe, Anzeigename) | Authentifizierung und Konto-Verwaltung | Art. 6 Abs. 1 lit. b DSGVO |
| Posts (Bild-Pointer auf mana-media, Titel, Themen-Slug, AI-Label, content_hash) | Veröffentlichung des Memes in der Community | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Sie posten aktiv) |
| Lineage (content_hash-basierte Repost-Erkennung, Original-Quelle) | Attribution-First: Reposts werden sichtbar gemacht | Art. 6 Abs. 1 lit. b DSGVO |
| Comments (Text-Kommentare zu Posts) | Community-Interaktion | Art. 6 Abs. 1 lit. a DSGVO (Sie schreiben aktiv) |
| Votes (+/-Signal pro Post, ohne Nennung des Voting-Users) | Community-Reihenfolge des chronologisch+themen-gefilterten Feeds | Art. 6 Abs. 1 lit. a DSGVO |
| Reports (Moderations-Meldungen, Begründungstexte) | Moderations-Workflow nach Hausordnung | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Plattform-Pflege) |
| Blocks (User-Block-Listen pro User) | Persönliche Filterung des Feeds | Art. 6 Abs. 1 lit. b DSGVO |
| Themes (Themen-Slugs für Filter, von Mods verwaltet) | Themen-Gewichtung des Feeds (Default-Toggle „kein AI-Slop") | Art. 6 Abs. 1 lit. b DSGVO |
| Sicherheits- und Audit-Logs (IP-Adresse, User-Agent, Zeitstempel) | IT-Sicherheit, Missbrauchs-Erkennung, Rate-Limit | Art. 6 Abs. 1 lit. f DSGVO |
EXIF-Strip-Pflicht: Beim Upload entfernen wir alle EXIF-Felder (insbesondere GPS, Kamera-Modell,
Aufnahme-Zeitpunkt) — siehe Architektur-Invariante 7 in manameme/CLAUDE.md. Das Re-uploaded EXIF-stripped Bild
ist der kanonische Speicher; das Original wird verworfen.
Eine vollständige Verarbeitungs-Liste findet sich im Verarbeitungsverzeichnis (VVT.md).
3. Öffentliche Sichtbarkeit von Posts
Posts und Kommentare sind nach Veröffentlichung öffentlich sichtbar — sowohl für andere ManaMeme-User als auch für nicht angemeldete Besucher:innen der Seite. Im Post erscheinen:
- Das hochgeladene Bild (nach EXIF-Strip)
- Ihr Anzeigename (Pseudonym möglich, E-Mail bleibt privat)
- Datum und Themen-Slug
- AI-Label (`none` / `suspected` / `declared`) und Lineage-Hinweis bei Repost
- Kommentare anderer User
Widerruf: Sie können einen Post jederzeit löschen (siehe §4). Bereits geteilte Lineage-Beziehungen anderer Reposts bleiben bestehen, aber zeigen Ihren Original-Post als „gelöscht".
4. Speicherdauer
Konto-Daten werden gespeichert, solange Konto besteht. Bei Konto- Löschung über die DSGVO-Auskunft werden private Daten innerhalb von 30 Tagen unwiderruflich entfernt; Sicherheits-Logs nach maximal 90 Tagen.
Posts und Kommentare nach Konto-Löschung: Veröffentlichte Posts und Kommentare bleiben grundsätzlich zugänglich (öffentlicher Inhalt), werden aber auf einen anonymisierten Autor-Stub umgehängt. Wer auch dort eine Hard-Delete will, kann das im Löschungs-Antrag explizit verlangen — dann werden Posts/Kommentare entfernt.
Einzelne Posts oder Kommentare können Sie jederzeit über die App-UI
löschen — Bilder werden zunächst markiert (Soft-Delete) und nach 30 Tagen aus mana-media entfernt.
5. Empfänger und Auftragsverarbeiter
- mana e.V. — interne Vereins-Dienste auf Vereins-
Server (Standort Deutschland) — Authentifizierung
(
mana-auth), Datei-Speicher (mana-mediaauf MinIO), Datenbank (PostgreSQL, DBmanameme). Kein Drittland. - Cloudflare, Inc. (USA) — TLS-Termination und Tunnel-Routing für die Subdomain. DPA via Cloudflare-Account akzeptiert. Cloudflare ist im EU-US Data Privacy Framework gelistet (Art. 45 DSGVO).
Den Status der Auftragsverarbeitungs-Verträge findet sich in unserer DPA-Tabelle.
6. Werbefrei, kein Algorithmus-Feed, keine Tracking-Tools
Architektur-Invarianten von ManaMeme (siehe manameme/CLAUDE.md):
- Werbefrei. Kein Werbungs-SDK, kein 3rd-Party- Tracker. Finanzierung über mana-Verein-Mitgliedschaft.
- Kein Algorithmus-Feed. Default ist chronologisch + themen-gefiltert. „Empfohlen für dich" gibt es nicht als Pflicht-Surface.
- Kein Tracking-Cookie, kein Tracking-Pixel, keine Werbe-Identifier.
7. Konten-Föderation und App-übergreifende Anmeldung
Ihr Vereins-Konto funktioniert über alle mana-Apps hinweg via 1st-
Party-Cookie auf .mana.how (technisch notwendig nach
§ 25 Abs. 2 Nr. 2 TTDSG).
Wenn Sie aktiv Daten zwischen mana-Apps teilen (über mana-share), wird der Vorgang im Föderations-Audit-Log
dokumentiert: Datum, beteiligte Apps, Daten-Typ und der geteilte
Inhalt selbst (Envelope-Payload inkl. optional User-Notiz und
Quell-Link). Speicherdauer dort: bis zu 730 Tage;
danach Anonymisierung. Bei Konto-Löschung über die DSGVO-Auskunft
wird die Anonymisierung sofort ausgeführt.
Lokal speichert die App im Browser-localStorage nur technisch notwendige Daten (Auth-Token, Spracheinstellung).
8. Ihre Rechte
- Auskunft (Art. 15 DSGVO) — JSON-Export aller privaten Daten.
- Löschung (Art. 17 DSGVO) — Hard-Delete inkl. Posts/Kommentare auf Wunsch.
- Berichtigung (Art. 16 DSGVO).
- Einschränkung (Art. 18 DSGVO).
- Datenübertragbarkeit (Art. 20 DSGVO).
- Widerspruch (Art. 21 DSGVO).
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) — auch für veröffentlichte Posts.
- Beschwerde bei einer der in §1 genannten Aufsichtsbehörden (Art. 77 DSGVO).
DSGVO-Anfragen über admin.mana.how oder per E-Mail an die in §1 genannte Adresse.
9. Automatisierte Entscheidungsfindung
Findet nicht statt. Das AI-Label (`suspected`/ `declared`) ist eine Kennzeichnung, keine Entscheidung mit rechtlicher Wirkung; Moderations-Entscheidungen treffen Menschen.
10. Beta-Phase
ManaMeme ist derzeit in einer Beta-Phase. Daten-Verlust-Risiko ist erhöht. Wir empfehlen Ihnen, regelmäßig den DSGVO-JSON-Export zu nutzen.
Diese Erklärung ist ein Code-Entwurf. Die finale Fassung wird vom Vorstand nach Prüfung durch eine Datenschutz-Beauftragten-Stelle veröffentlicht. Vorlage V2: DATENSCHUTZ_TEMPLATE.md.