Privacy Policy / Datenschutzerklärung

Last updated / Zuletzt aktualisiert: 20 October 2025

English

1. Controller

The controller within the meaning of Art. 4(7) GDPR for this open-source project website and its services is:
VoteSecure (open-source project) — see the project repository for maintainer details: github.com/psawyerberlin/votesecure.

2. Purposes, Legal Bases, and Storage

• Website delivery & server security (creating server logs, preventing abuse, load balancing).
  Legal basis: Art. 6(1)(f) GDPR (legitimate interests).
  Data & duration: technical identifiers (e.g., IP address, timestamp, user-agent, referrer) stored in server logs and automatically deleted or anonymized after a maximum of 90 days unless needed longer to investigate security incidents.
• Essential cookies / local storage strictly necessary for core functions (e.g., session state, wallet connection, CSRF).
  Legal basis: § 25(2) no. 2 TTDSG (strictly necessary) and Art. 6(1)(f) GDPR.
  Note: We do not use non-essential cookies, analytics, advertising, or cross-site tracking.
• Authentication via JoyID wallet to create elections and cast votes (processing public wallet address and verifying signatures; no access to private keys).
  Legal basis: Art. 6(1)(b) GDPR (performance of a contract / service provision).
• On-chain storage on Nervos CKB for election parameters and encrypted ballots (pseudonymous, linked to wallet addresses).
  Legal basis: Art. 6(1)(b) GDPR and, for features you actively trigger, Art. 6(1)(a) GDPR (consent).
  Important: Due to blockchain immutability, deletion or rectification on-chain is not technically possible after publication. We minimize personal data by design; do not include personal data in election texts.
• Content Delivery Networks (CDN) for libraries/assets (e.g., cdnjs by Cloudflare). This may technically transmit your IP address and request metadata to the CDN.
  Legal basis: Art. 6(1)(f) GDPR (efficient and secure content delivery).

3. Recipients and Third-Country Transfers

Technical service providers may receive data as processors or independent providers (e.g., hosting, CDN). When providers are located outside the EU/EEA, appropriate safeguards (in particular the EU Commission’s Standard Contractual Clauses) are used where required. Public blockchain participation involves global, decentralized nodes beyond our control.

4. No Analytics, No Advertising

We do not use analytics, advertising technologies, or profiling.

5. Your Rights

You have the rights of access (Art. 15), rectification (Art. 16), erasure (Art. 17; subject to blockchain limitations), restriction (Art. 18), data portability (Art. 20), and objection (Art. 21). You may withdraw consent at any time with effect for the future (Art. 7(3)). You also have the right to lodge a complaint with a supervisory authority, in particular in the Member State of your habitual residence, place of work, or place of the alleged infringement (Art. 77).

6. Exercising Your Rights / Project Contact

For requests regarding this project (including data-protection requests), please use the repository linked above (e.g., by opening an issue or consulting the maintainer information). Do not submit personal data in public issues; use private channels if offered there.

7. Children

This project is not directed at persons under 18. We do not knowingly collect data from children.

8. Automated Decisions

No automated individual decision-making or profiling in the sense of Art. 22 GDPR takes place.

9. Third-Party Information

• JoyID wallet: Please see the wallet provider’s own privacy policy.
• Nervos CKB blockchain: Public, decentralized network processing on-chain transactions.
• CDN (e.g., Cloudflare’s cdnjs): Processes technical data necessary to deliver assets efficiently and securely.

10. Updates

We may update this notice to reflect changes in technology or legal requirements. The current version is shown at the top of this page.

---

Deutsch

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für diese Open-Source-Projekt-Website und ihre Dienste ist:
VoteSecure (Open-Source-Projekt) — Angaben zu Maintainer:innen finden Sie im Repository: github.com/psawyerberlin/votesecure.

2. Zwecke, Rechtsgrundlagen und Speicherdauer

• Bereitstellung der Website & Serversicherheit (Server-Logs, Missbrauchsvermeidung, Lastverteilung).
  Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).
  Daten & Dauer: technische Kennungen (z. B. IP-Adresse, Zeitstempel, User-Agent, Referrer), automatische Löschung bzw. Anonymisierung spätestens nach 90 Tagen, länger nur zur Aufklärung von Sicherheitsvorfällen.
• Unbedingt erforderliche Cookies / Local Storage für Kernfunktionen (z. B. Sitzungszustand, Wallet-Verbindung, CSRF).
  Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich) und Art. 6 Abs. 1 lit. f DSGVO.
  Hinweis: Keine nicht notwendige Cookies, kein Tracking, keine Werbung.
• Authentifizierung über JoyID-Wallet zur Erstellung von Wahlen und zur Stimmabgabe (Verarbeitung öffentlicher Wallet-Adressen und Signaturprüfung; kein Zugriff auf private Schlüssel).
  Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Diensterbringung).
• On-Chain-Speicherung auf Nervos CKB für Wahlparameter und verschlüsselte Stimmzettel (pseudonym, an Wallet-Adressen gebunden).
  Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und, für von Ihnen aktiv ausgelöste Funktionen, Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
  Wichtig: Aufgrund der Unveränderlichkeit von Blockchains sind Löschung oder Berichtigung nach Veröffentlichung technisch nicht möglich. Bitte fügen Sie keine personenbezogenen Daten in Wahltexte ein.
• Content Delivery Networks (CDN) für Bibliotheken/Assets (z. B. cdnjs von Cloudflare). Dabei können IP-Adresse und Anfragemetadaten technisch an den CDN-Anbieter übermittelt werden.
  Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (effiziente und sichere Auslieferung).

3. Empfänger und Drittlandübermittlungen

Technische Dienstleister erhalten Daten als Auftragsverarbeiter oder selbständige Anbieter (z. B. Hosting, CDN). Bei Anbietern außerhalb der EU/EWR werden — sofern erforderlich — geeignete Garantien (insb. EU-Standardvertragsklauseln) eingesetzt. Die Teilnahme an öffentlichen Blockchains erfolgt global über dezentrale Nodes außerhalb unseres Einflussbereichs.

4. Keine Analyse, Keine Werbung

Es erfolgt kein Einsatz von Analysediensten, Werbetechnologien oder Profiling.

5. Ihre Rechte

Sie haben die Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17; unter Beachtung der technischen Grenzen bei Blockchains), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21). Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3). Zudem haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77).

6. Wahrnehmung Ihrer Rechte / Projektkontakt

Für Anfragen zu diesem Projekt (einschließlich datenschutzrechtlicher Anfragen) nutzen Sie bitte das oben verlinkte Repository (z. B. durch Eröffnung eines Issues oder Einsicht in Maintainer-Angaben). Veröffentlichen Sie keine personenbezogenen Daten in öffentlichen Issues; verwenden Sie ggf. dort angebotene private Kanäle.

7. Kinder

Das Projekt richtet sich nicht an Personen unter 18 Jahren. Es erfolgt keine wissentliche Erhebung von Daten von Kindern.

8. Automatisierte Entscheidungen

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.

9. Informationen zu Dritten

• JoyID-Wallet: Es gilt die Datenschutzerklärung des jeweiligen Wallet-Anbieters.
• Nervos CKB-Blockchain: Öffentliches, dezentrales Netzwerk zur Verarbeitung von On-Chain-Transaktionen.
• CDN (z. B. cdnjs von Cloudflare): Verarbeitung technischer Daten zur effizienten und sicheren Auslieferung.

10. Änderungen

Diese Hinweise können angepasst werden, wenn sich Technik oder Rechtslage ändern. Die aktuelle Fassung ist oben datiert.