Gebete der Gemeinschaft
Rechtliches

Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Institut des Blutes Christi gemeinnützige GmbH
Hofmark 6, D-93089 Aufhausen
Telefon: +49 9454 949053-0
E-Mail: institut@blut-christi.de

Datenschutzbeauftragte (Schwesterngemeinschaft SAS): Sr. M. Ancilla Holzer SAS

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Inhaltsverwaltung („CMS") sowie für die mobile Gebets-App „Gebete der Gemeinschaft" (Android und iOS) der Geistlichen Familie vom Heiligen Blut.

3. Welche Daten wir verarbeiten

Inhaltsverwaltung (CMS, Web)

  • Anmeldedaten: Name und E-Mail-Adresse der berechtigten Person sowie ein gehashtes Passwort (bcrypt). Konten werden ausschließlich durch einen Administrator auf Einladung angelegt.
  • Einladungstoken: Wird nur als SHA-256-Hash gespeichert, ist 48 Stunden einmalig gültig.
  • Session-Cookie: Eine signierte Session-Cookie hält den Login (technisch notwendig).
  • Server-Logs: IP-Adresse, Datum/Uhrzeit, aufgerufene Ressource. Werden nur kurzzeitig zur Sicherheit und Fehleranalyse vorgehalten und automatisch rotiert (in der Regel innerhalb weniger Tage, spätestens nach Erreichen der Größengrenze des Log-Volumens).

Gebetsanliegen (Web)

  • Anliegen-Text: Der von Ihnen formulierte Text wird gespeichert. Er wird vor der Veröffentlichung durch eine Schwester oder einen Bruder in Aufhausen redaktionell gesichtet.
  • Name (optional): Wenn angegeben, wird er der Gemeinschaft im internen Bereich angezeigt – nicht öffentlich.
  • E-Mail-Adresse (optional): Nur, falls Sie eine persönliche Antwort wünschen. Nicht öffentlich, nicht für Newsletter o.ä. verwendet.
  • Rechtsgrundlage: Einwilligung (§ 6 Abs. 1 lit. a KDG) durch das Absenden des Formulars.
  • Speicherdauer: Bis zur Erledigung des Anliegens, längstens 12 Monate. Auf Wunsch jederzeit Löschung möglich (E-Mail an institut@blut-christi.de).

Mobile App

  • Keine personenbezogenen Daten werden bei der Nutzung der App erhoben oder übertragen. Die App ist anonym nutzbar.
  • Lokale Einstellungen (Schriftgröße, Schriftart, Hell/Pergament-Modus, Favoriten, gesetzte Erinnerungen) werden ausschließlich auf dem Gerät gespeichert.
  • Inhalte: Die App ruft Gebets-Texte über eine Schnittstelle (API) ab. Dabei wird nur die IP-Adresse zur technischen Auslieferung kurzzeitig verarbeitet und nicht gespeichert.
  • Push-Benachrichtigungen (optional): Wenn die Funktion in den App-Einstellungen aktiviert wird, übermittelt das Gerät einen anonymen Push-Token (Expo / Apple APNs / Google FCM). Dieser kann jederzeit durch Deaktivierung in den App-Einstellungen widerrufen werden.

4. Zwecke und Rechtsgrundlagen

  • Vertragserfüllung (§ 6 Abs. 1 lit. b KDG): Anmeldung und Inhaltspflege durch berechtigte Personen.
  • Berechtigtes Interesse (§ 6 Abs. 1 lit. f KDG): Server-Logs zur Sicherheit und Missbrauchs­prävention sowie redaktionelle Sichtung von Anliegen.
  • Einwilligung (§ 6 Abs. 1 lit. a KDG): Einreichung von Anliegen sowie Push-Benachrichtigungen werden jeweils nur nach ausdrücklicher Zustimmung verarbeitet.

Da es sich um eine kirchliche Einrichtung handelt, gilt das Kirchliche Datenschutzgesetz (KDG) – nicht primär die staatliche DSGVO. Aufsicht ist das Katholisches Datenschutzzentrum (KDSZ) (Aufsichtsbehörde der süddeutschen (Erz-)Diözesen), siehe Abschnitt 9.

5. Hosting

Server und Datenbank werden in Deutschland betrieben (Hetzner Online GmbH, Gunzenhausen). Die Verbindung erfolgt verschlüsselt über HTTPS (TLS). Es findet keine Übertragung in Drittländer statt. Mit Hetzner besteht ein Auftragsverarbeitungs­vertrag (Art. 28 DSGVO / § 29 KDG).

6. Cookies und lokale Speicherung

Wir setzen ausschließlich technisch notwendige Cookies und lokale Speicherung. Es findet kein Tracking statt, keine Profilbildung, keine Werbung. Eine Einwilligung ist nach § 25 Abs. 2 Nr. 2 TDDDG (vormals TTDSG) nicht erforderlich.

NameArtZweckDauer
sessionCookieAnmeldung im Admin-Bereich (CMS)Bis zum Logout / max. 7 Tage
gfhb-splash-shownsessionStorageVerhindert wiederholtes Begrüßungs-BildBis Tab geschlossen wird
gfhb-leseeinstellungenlocalStorageSchriftgröße, Schriftart, Hell-/Pergament-ModusBis manueller Cache-Löschung

7. Empfänger / Auftragsverarbeitung

  • Hetzner Online GmbH (DE) – Hosting der Server und Datenbank. Auftragsverarbeitungs­vertrag nach Art. 28 DSGVO / § 29 KDG.
  • Brevo (Sendinblue GmbH) (DE/FR) – Versand der Einladungs-E-Mails. Übermittelt wird ausschließlich die E-Mail-Adresse. Mit Brevo besteht ein Auftragsverarbeitungs­vertrag.
  • Apple Inc. (USA) – Auslieferung von Push-Benachrichtigungen über Apple Push Notification Service (APNs), nur wenn Push in der App aktiviert wird. Übertragung erfolgt auf Grundlage der Standardvertragsklauseln (SCC, Art. 46 DSGVO).
  • Google Ireland Ltd. (IE/USA) – Auslieferung von Push-Benachrichtigungen über Firebase Cloud Messaging (FCM), nur wenn Push in der App aktiviert wird (gleiche Rechtsgrundlage wie Apple).
  • Expo (USA) – Vermittler-Dienst für die Push-Token, nur wenn Push in der App aktiviert wird.
  • MH Software (Max Halbritter) (DE) – Technische Wartung im Rahmen eines Auftragsverarbeitungs­vertrages.

8. Speicherdauer

  • Anmeldedaten: bis zur Löschung des Kontos durch den Admin.
  • Server-Logs: kurzfristig (in der Regel innerhalb weniger Tage rotiert).
  • Einladungstoken: nach Annahme oder Ablauf (48 h) gelöscht.
  • Anliegen: bis zur Erledigung, längstens 12 Monate.

9. Ihre Rechte

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Daten­übertragbarkeit und Widerspruch (entsprechend §§ 17–20 KDG bzw. Art. 15–21 DSGVO). Bei Beschwerden können Sie sich an die zuständige kirchliche Datenschutz­aufsicht wenden:

Katholisches Datenschutzzentrum (KDSZ)
Aufsichtsbehörde der süddeutschen (Erz-)Diözesen
Kapellenstraße 4, 80333 München
Telefon: +49 89 2137-1796
E-Mail: poststelle@kdsz-bayern.de
Web: www.kdsz-bayern.de

10. Kontakt

Anfragen zum Datenschutz richten Sie bitte an: institut@blut-christi.de.