Datenschutzerklärung — allerleih.org
Stand: 27. April 2026 · Version 2.5
Wir freuen uns über dein Interesse an AllerLeih. Der Schutz deiner personenbezogenen Daten ist uns wichtig. Diese Datenschutzerklärung erläutert, welche personenbezogenen Daten wir im Rahmen des Betriebs der Plattform allerleih.org verarbeiten, zu welchen Zwecken und auf welcher Rechtsgrundlage das geschieht, an wen sie gegebenenfalls weitergegeben werden und welche Rechte dir zustehen.
AllerLeih ist derzeit als offener Beta-Test für Menschen in Lüneburg verfügbar. Solange wir uns in dieser frühen Phase befinden, kommen regelmäßig neue Funktionen hinzu. Wesentliche Änderungen an der Datenverarbeitung pflegen wir hier ein und informieren angemeldete Nutzer:innen zusätzlich direkt in der Anwendung oder per Mail.
Diese Erklärung gilt ausschließlich für die Plattform allerleih.org. Für Leihläden, die AllerLeih als Infrastruktur nutzen (zum Beispiel den Leihladen im Commons Zentrum Lüneburg), ist datenschutzrechtlich die jeweilige Trägerorganisation vor Ort verantwortlich. Deren Datenschutzinformationen erhältst du beim Leihladen selbst.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung auf allerleih.org im Sinne der Datenschutz-Grundverordnung (DSGVO) ist derzeit:
Matteo RaminLüner Weg 17
21337 Lüneburg
Deutschland
E-Mail (allgemein): kontakt@allerleih.org
E-Mail für Datenschutzanfragen: kontakt@allerleih.org
Nach der geplanten Gründung der AllerLeih gUG (haftungsbeschränkt) im Jahr 2026 wird die datenschutzrechtliche Verantwortung auf die gUG übergehen. Wir informieren dich rechtzeitig vor dem Übergang in der Anwendung, aktualisieren diese Erklärung entsprechend und holen, soweit rechtlich erforderlich, deine erneute Einwilligung ein.
Einen gesetzlich vorgeschriebenen Datenschutzbeauftragten haben wir nicht bestellt. Die Voraussetzungen nach Art. 37 DSGVO und § 38 BDSG liegen nicht vor.
2. Grundsätze unserer Datenverarbeitung
AllerLeih ist ein nicht-kommerzielles, quelloffenes Projekt. Unsere Datenverarbeitung folgt vier Grundsätzen:
- Datensparsamkeit: Wir erheben nur die Daten, die für den Betrieb der Plattform, die Evaluation ihrer Wirkung oder für ausdrücklich von dir gewünschte Funktionen erforderlich sind.
- Keine Vermarktung: Wir verkaufen keine Daten, schalten keine personalisierte Werbung und betreiben kein Profiling für kommerzielle Zwecke.
- Keine Drittübermittlung außerhalb dieser Erklärung: Wir geben personenbezogene Daten nur an die in dieser Erklärung transparent aufgeführten Auftragsverarbeiter weiter, die ausschließlich nach unserer Weisung handeln.
- Vorrang EU-Verarbeitung: Wir wählen unsere Auftragsverarbeiter und externen Dienstleister so, dass ihr Sitz und ihre primäre Verarbeitungsinfrastruktur in der Europäischen Union liegen. Soweit wir oder unsere Dienstleister im Einzelfall Daten in Drittländer übermitteln, geschieht dies ausschließlich auf Grundlage eines Angemessenheitsbeschlusses (Art. 45 DSGVO) oder geeigneter Garantien wie Standardvertragsklauseln (Art. 46 DSGVO).
3. Bereitstellung der Plattform und Server-Logs
Beim Aufruf von allerleih.org verarbeitet unser Hosting-Anbieter Uberspace technisch unvermeidbare Verbindungsdaten in sogenannten Server-Logs. Diese umfassen typischerweise:
- IP-Adresse des aufrufenden Geräts
- Datum und Uhrzeit der Anfrage
- aufgerufene URL und HTTP-Methode
- HTTP-Statuscode und übertragene Datenmenge
- übermittelte Browserkennung (User-Agent)
- übermittelte Referrer-URL (sofern vom Browser gesendet)
Rechtsgrundlage ist unser berechtigtes Interesse am sicheren und funktionsfähigen Betrieb der Plattform (Art. 6 Abs. 1 lit. f DSGVO). Server-Logs werden spätestens nach 14 Tagen automatisch gelöscht oder anonymisiert.
4. Cookies und lokale Speicherung
AllerLeih setzt ausschließlich technisch notwendige Cookies und Speichermechanismen.
| Mechanismus | Zweck | Speicherdauer |
|---|---|---|
| Authentifizierungs-Cookie (PocketBase) | Hält deine Anmeldesitzung aufrecht | Bis zur Abmeldung oder zum Ablauf der Sitzung |
| Service-Worker-Cache (PWA) | Ermöglicht Offline-Nutzung; speichert ausschließlich öffentliche Anwendungsdateien, keine personenbezogenen Daten | Bis du den Browser-Cache leerst oder die Anwendung deinstallierst |
Wir setzen keine Tracking-Cookies, keine Analyse-Cookies, keine Cookies von Drittanbietern und keine Cookies zu Werbezwecken.
5. Registrierung und Account
Zur aktiven Nutzung von allerleih.org ist eine Registrierung erforderlich. Dabei verarbeiten wir folgende Daten:
| Datenkategorie | Zweck | Rechtsgrundlage |
|---|---|---|
| E-Mail-Adresse | Anmeldung, Verifizierung, Passwort-Zurücksetzung, Kontaktaufnahme | Art. 6 Abs. 1 lit. b DSGVO |
| Selbstgewählter Nutzername | Identifikation gegenüber anderen Nutzenden (kein Klarnamenzwang) | Art. 6 Abs. 1 lit. b DSGVO |
| Passwort | Authentifizierung. Passwörter werden ausschließlich als kryptografischer Hash gespeichert, niemals im Klartext. | Art. 6 Abs. 1 lit. b DSGVO |
| Verifizierungsstatus der E-Mail-Adresse | Schutz vor Missbrauch | Art. 6 Abs. 1 lit. f DSGVO |
Diese Daten speichern wir, solange dein Account aktiv ist. Spätestens 12 Monate nach deiner letzten Aktivität oder unverzüglich auf Löschanforderung werden sie gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
6. Freiwillige Profilangaben
Folgende Angaben kannst du freiwillig in deinem Profil hinterlegen. Sie sind keine Voraussetzung für die Nutzung der Plattform und können von dir jederzeit selbst geändert oder gelöscht werden:
| Datenkategorie | Zweck | Rechtsgrundlage |
|---|---|---|
| Genaue Geokoordinaten | Berechnung von Entfernungen und Fahrzeiten zu Angeboten in deiner Nähe | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Telegram-Nutzername | Direkter Kontakt mit anderen Nutzenden außerhalb der Plattform | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Signal-Link | Direkter Kontakt mit anderen Nutzenden außerhalb der Plattform | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Sichtbarkeitseinstellungen für Telegram/Signal | Selbstbestimmung über die Reichweite deiner Kontaktdaten | Art. 6 Abs. 1 lit. a DSGVO |
| Bevorzugter Transportmodus | Berechnung der Fahrzeit zu Angeboten | Art. 6 Abs. 1 lit. a DSGVO |
Hinweis zu Telegram und Signal: Wenn du diese Kontaktdaten freiwillig hinterlegst, werden sie für die in deiner Sichtbarkeitseinstellung definierte Personengruppe innerhalb der Plattform sichtbar. Eine erteilte Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen, indem du die Angabe in deinem Profil entfernst (Art. 7 Abs. 3 DSGVO).
7. Inhalte der Plattform
7.1 Eingestellte Gegenstände
Wenn du einen Gegenstand auf AllerLeih anbietest, speichern wir Name, Beschreibung, Foto (sofern hochgeladen), Kategorien, Verfügbarkeitsstatus und — falls von dir aktiviert — die Beschränkung auf Vertrauenspersonen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Gegenstands-Einträge werden gespeichert, bis du sie selbst löschst oder dein Account gelöscht wird.
7.2 Leihanfragen, Gespräche und Nachrichten
Leihanfragen und die zugehörigen Nachrichten speichern wir in unserem System. Gesprächsinhalte sind ausschließlich für die jeweils beteiligten Personen sichtbar. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Nachrichten und Gesprächsverläufe werden gelöscht, wenn du deinen Account löschst, spätestens jedoch 24 Monate nach der letzten Aktivität im jeweiligen Gespräch.
7.3 Vertrauensnetzwerk
Du kannst andere Nutzende als „vertrauenswürdig" markieren. Vertrauensbeziehungen werden als interne Verknüpfung in deinem Account-Datensatz gespeichert und sind nicht öffentlich sichtbar. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Du kannst Vertrauensbeziehungen in deinem Profil jederzeit lösen.
8. Benachrichtigungen und Push-Mitteilungen
8.1 In-App-Benachrichtigungen
Bei bestimmten Ereignissen erstellen wir automatisch eine Benachrichtigung in deinem Account. Diese Benachrichtigungen sind nur für dich sichtbar. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. In-App-Benachrichtigungen werden spätestens nach 90 Tagen automatisch gelöscht.
8.2 Browser-Push-Benachrichtigungen
Du kannst optional zustimmen, Push-Benachrichtigungen über deinen Browser zu erhalten. Beim Versand einer Push-Nachricht verschlüsseln wir den Nachrichteninhalt mit deinem öffentlichen Schlüssel und übergeben das verschlüsselte Paket an den Push-Dienst des jeweiligen Browserherstellers (Google für Chrome, Mozilla für Firefox, Apple für Safari, Microsoft für Edge).
Rechtsgrundlage ist deine ausdrückliche Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG. Du kannst Push-Benachrichtigungen jederzeit widerrufen, indem du sie in den Browser- oder App-Einstellungen deaktivierst.
9. Hosting (Uberspace)
allerleih.org wird auf Servern der Uberspace.de — Jonas Pasche, Kaiserstr. 15, 55116 Mainz, Deutschland betrieben. Die Server stehen ausschließlich in Deutschland; nach den Vertragsbedingungen erfolgt eine Verarbeitung ausschließlich in Deutschland, einem anderen EU-Mitgliedstaat oder einem Vertragsstaat des EWR.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO in Verbindung mit Art. 28 DSGVO. Mit Uberspace besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, abgeschlossen am 27. April 2026.
10. KI-gestützte Bilderkennung (Mistral)
Wenn du beim Einstellen eines Gegenstands ein Foto hochlädst, kannst du die optionale Funktion „automatische Erkennung" nutzen. Dabei übermitteln wir das Bild an Mistral AI SAS, 15 rue des Halles, 75001 Paris, Frankreich zur automatischen Vorbefüllung von Name, Beschreibung und Kategorien. Die Verarbeitung findet auf Servern in der Europäischen Union statt.
Eine Nutzung der übermittelten Daten zum Training der Mistral-KI-Modelle ist bei der von uns genutzten kommerziellen API standardmäßig ausgeschlossen. Rechtsgrundlage ist deine Einwilligung durch die ausdrückliche Auswahl der Funktion (Art. 6 Abs. 1 lit. a DSGVO).
11. Bilder von Gegenständen (Speicherung)
Bilder, die du beim Einstellen eines Gegenstands hochlädst, werden auf unserem Server (Uberspace, Deutschland) gespeichert. Sie werden gemeinsam mit dem zugehörigen Gegenstandseintrag gelöscht, wenn du den Eintrag oder deinen Account löschst.
Bitte achte darauf, beim Fotografieren keine personenbezogenen Daten Dritter (zum Beispiel Gesichter, Kfz-Kennzeichen, Adressen) sichtbar werden zu lassen.
12. Standortdienst (OpenRouteService / HeiGIT)
Für die Adress-Autovervollständigung sowie die Berechnung von Entfernungen und Fahrzeiten nutzen wir den öffentlichen Dienst OpenRouteService (ORS), betrieben durch die HeiGIT gGmbH, Schloss-Wolfsbrunnenweg 33, 69118 Heidelberg, Deutschland.
Anfragen an ORS werden ausschließlich von unserem Server gestellt; dein Browser kommuniziert nicht direkt mit ORS. HeiGIT positioniert sich als eigenständig Verantwortliche im Sinne der DSGVO und kann die übermittelten Anfragen auch für eigene Zwecke nutzen (Verbesserung des Dienstes, Erkennung missbräuchlicher Nutzung, anonyme Statistiken). Die vollständigen Datenschutzhinweise von HeiGIT findest du unter heigit.org/privacy-policy.
13. Standortabfrage im Browser
Wir bieten dir an, deinen aktuellen Standort über die Standortfunktion deines Browsers freizugeben (Geolocation API). Diese Abfrage wird ausschließlich lokal in deinem Browser durchgeführt; eine Übermittlung der Koordinaten an unseren Server erfolgt nur, wenn du sie anschließend ausdrücklich speicherst. Du kannst die Standortabfrage in jedem Schritt überspringen oder ablehnen.
14. Newsletter (Keila)
Auf unserer Newsletter-Seite kannst du dich freiwillig für den AllerLeih-Newsletter anmelden. Die Anmeldung erfolgt über ein Formular, das deine Eingaben (E-Mail-Adresse und Vorname) direkt an die Keila GmbH, Hauptstraße 10, 95517 Seybothenreuth, Germany übermittelt.
Rechtsgrundlage ist deine Einwilligung durch das Absenden des Anmeldeformulars (Art. 6 Abs. 1 lit. a DSGVO). Die Einwilligung kannst du jederzeit widerrufen (Abmeldelink in jeder E-Mail oder Nachricht an kontakt@allerleih.org). Weitere Informationen: keila.io/legal/privacy.
15. Feedback-Formular
Die Plattform enthält ein Feedback-Formular. Neben deinem Freitext speichern wir technische Kontextdaten (aufgerufene Seite, Gerätetyp, Viewport-Größe, Browser und Browserversion). Eine direkte Verknüpfung mit deinem Account findet nicht statt. Feedback-Einträge werden spätestens 12 Monate nach Eingang gelöscht.
15a. Eingebettete Inhalte von Drittanbietern
Auf einigen Seiten binden wir technische Inhalte von Drittanbietern ein:
| Inhalt | Anbieter | Verarbeitungsort | Zweck |
|---|---|---|---|
| Schriftart „Work Sans" | Google LLC (Google Fonts), USA | USA (DPF-zertifiziert) | Einheitliche Typografie |
| Generierte Profil-Avatare (Initialen) | ui-avatars.com, Niederlande | EU | Standardbild für Nutzende ohne eigenes Profilbild |
Stand 27. April 2026: Wir prüfen, Google Fonts durch lokal ausgelieferte Schriften zu ersetzen und ui-avatars.com durch eine eigene Avatar-Generierung abzulösen.
16. Empfänger und Auftragsverarbeiter im Überblick
Außer den im Folgenden genannten Auftragsverarbeitern erhalten keine Dritten Zugriff auf personenbezogene Daten:
| Empfänger | Funktion | Sitz / Verarbeitungsort | Rechtsgrundlage |
|---|---|---|---|
| Uberspace.de, Mainz | Hosting, Datenbank, E-Mail-Versand | Deutschland (DE/EU/EWR) | Art. 6 Abs. 1 lit. b, Art. 28 DSGVO |
| HeiGIT gGmbH, Heidelberg | Geocoding, Fahrzeitberechnung | Deutschland; ggf. Drittländer | Art. 6 Abs. 1 lit. b DSGVO |
| Mistral AI SAS, Paris | KI-Bilderkennung (nur bei aktiver Nutzung) | Frankreich (EU) | Art. 6 Abs. 1 lit. a, Art. 28 DSGVO |
| Keila GmbH, Seybothenreuth | Newsletter-Versand (nur bei Anmeldung) | Deutschland (EU) | Art. 6 Abs. 1 lit. a, Art. 28 DSGVO |
| Browserhersteller (Google, Mozilla, Apple, Microsoft) | Push-Zustellung (nur bei aktivem Push-Abo) | EU/USA, Ende-zu-Ende verschlüsselt | Art. 6 Abs. 1 lit. a DSGVO |
| Google LLC, USA (Google Fonts) | Auslieferung der Schriftart „Work Sans" | USA (DPF-zertifiziert) | Art. 6 Abs. 1 lit. f DSGVO |
| UI Avatars, Niederlande | Standard-Avatare für Profile ohne Bild | EU | Art. 6 Abs. 1 lit. f DSGVO |
Wir nutzen keine Webanalyse-Dienste (kein Google Analytics, kein Matomo o. ä.), keine Social-Media-Plugins, keine Werbenetzwerke und keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO.
17. Speicherfristen im Überblick
| Datenkategorie | Löschfrist |
|---|---|
| Server-Logs (Uberspace) | 14 Tage |
| Account- und Pflichtdaten | 12 Monate nach letzter Aktivität, früher auf Anfrage |
| Freiwillige Profilangaben | Bis zur Löschung durch dich; spätestens mit Account-Löschung |
| Gegenstands-Einträge inkl. Bilder | Bis zur Löschung durch dich; spätestens mit Account-Löschung |
| Nachrichten / Gesprächsverläufe | 24 Monate nach letzter Aktivität oder mit Account-Löschung |
| In-App-Benachrichtigungen | 90 Tage |
| Push-Abonnements | Bei Widerruf oder Account-Löschung sofort |
| Bilder bei KI-Bilderkennung (Mistral) | Keine dauerhafte Speicherung durch Mistral |
| Newsletter-Daten (Keila) | Bis zur Abmeldung |
| Feedback-Einträge | 12 Monate |
18. Deine Rechte
Du hast uns gegenüber folgende Rechte:
- Auskunft (Art. 15 DSGVO): Du kannst Auskunft darüber verlangen, welche personenbezogenen Daten wir über dich verarbeiten.
- Berichtigung (Art. 16 DSGVO): Du kannst die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
- Löschung (Art. 17 DSGVO): Du kannst die Löschung deiner Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Du kannst unter den dort genannten Voraussetzungen verlangen, dass wir die Verarbeitung deiner Daten einschränken.
- Datenübertragbarkeit (Art. 20 DSGVO): Du kannst verlangen, deine Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
- Widerspruch (Art. 21 DSGVO): Du kannst der Verarbeitung deiner Daten, die auf unserem berechtigten Interesse beruht, widersprechen.
- Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Du kannst erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.
Zur Ausübung deiner Rechte genügt eine formlose Nachricht an: kontakt@allerleih.org
19. Beschwerderecht
Unbeschadet anderer Rechtsbehelfe hast du das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für uns zuständig ist:
Der Landesbeauftragte für den Datenschutz NiedersachsenPrinzenstraße 5
30159 Hannover
poststelle@lfd.niedersachsen.de
lfd.niedersachsen.de
20. Sicherheit der Datenverarbeitung
Wir treffen angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Dazu zählen insbesondere:
- ausschließliche Übertragung über verschlüsselte Verbindungen (HTTPS/TLS)
- gehashte Speicherung von Passwörtern
- restriktive Zugriffsrechte auf Server und Datenbanken
- regelmäßige Sicherheitsupdates der eingesetzten Software
- Einsatz quelloffener, prüfbarer Komponenten (PocketBase, SvelteKit, web-push)
21. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Plattform weiterentwickelt oder sich rechtliche Anforderungen ändern. Bei wesentlichen Änderungen informieren wir Nutzer:innen der Anwendung. Das Datum der jeweils aktuellen Fassung steht oben auf dieser Seite.