Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

JUSTONE SOCIAL LTD
71-75 Shelton Street
Covent Garden
London, WC2H 9JQ
United Kingdom

2. Grundsätze der Datenverarbeitung

Wir erheben und verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Erhebung und Verwendung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

3. Welche Daten wir erheben

3.1 Registrierung & Konto

Bei der Registrierung erheben wir: Name (Pflichtfeld), E-Mail-Adresse (Pflichtfeld) sowie ein Passwort (wird verschlüsselt gespeichert, niemals im Klartext). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung).

3.2 Profilangaben (freiwillig)

Nutzer können freiwillig einen Anzeigenamen (Display Name), ein „Über mich"-Textfeld sowie ein Profilbild hinterlegen. Diese Angaben werden anderen angemeldeten Nutzern auf dem öffentlichen Profil angezeigt. Der vollständige Registrierungsname wird auf öffentlichen Profilen nicht angezeigt — stattdessen wird ein abgekürzter Name (Vorname + Nachnamens-Initial) verwendet. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

3.3 Standortdaten

Zur Anzeige ortsnaher Aufgaben wird einmalig dein ungefährer Standort gespeichert (Postleitzahl oder GPS-Koordinaten, die auf einen Umkreis gerundet werden). Genaue Adressen werden nicht gespeichert. Zusätzlich wird ein menschenlesbares Standort-Label (z. B. „80331 München") gespeichert. Die Angabe des Standorts ist freiwillig, jedoch für die Kernfunktion der Plattform erforderlich. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

3.4 Aufgaben & Bewerbungen

Inhalte, die du auf der Plattform einstellst (Aufgabenbeschreibungen, Kategorien, Vergütungsangaben) oder eingibst (Bewerbungsnachrichten), werden zur Erbringung der Vermittlungsleistung gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.5 Zahlungs- und Buchführungsdaten

Bei vergüteten Aufgaben werden zur Zahlungsabwicklung folgende Daten verarbeitet: Transaktionsbetrag, Plattformbeitrag, Helfer-Anteil, Stripe-Zahlungsgebühren, Referenz-IDs des Zahlungsdienstleisters Stripe (Checkout-Session-ID, Payment-Intent-ID, Transfer-ID, ggf. Refund-ID, Dispute-ID) sowie der Zahlungsstatus. Die Zahlungsabwicklung erfolgt nach dem Handelsvertretermodell (Commercial Agent Model): Der Betreiber nimmt als Handelsvertreter der Helfenden den Gesamtbetrag vom Auftraggeber entgegen und leitet den Helfer-Anteil zeitnah per Stripe-Überweisung an das Express-Konto des Helfenden weiter. Der Betreiber hält die Gelder dabei vorübergehend auf dem Plattformkonto, bis die Überweisung ausgeführt wurde. Sensible Zahlungsmittel-Daten (Kartennummer, IBAN) werden ausschließlich von Stripe verarbeitet und gelangen nicht zu uns. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen des Handelsvertreterverhältnisses).

Zur Abwicklung der Überweisung an Helfende wird deren Stripe-Connect-Konto-ID (eine pseudonyme Kennung, z. B. acct_…) in den Metadaten der Stripe-Transaktion gespeichert. Diese Kennung dient ausschließlich der technischen Ausführung der Überweisung.

Zur Umsetzung der in den Nutzungsbedingungen (Ziffer 5.5) geregelten 72-Stunden-Auszahlungsfrist sowie der gestuften Erinnerungen bei nicht eingerichtetem Auszahlungskonto (Ziffer 5.6) speichern wir zu jedem Zahlungsvorgang zusätzlich folgende Metadaten: den geplanten Auto-Payout-Zeitpunkt (auto_payout_at), das Ende des Spendenfensters (donation_window_end), den Zeitpunkt einer versendeten 48-Stunden-Erinnerung (reminder_sent_at), die Anzahl bereits verschickter Eskalations-Erinnerungen (reminder_count, 0–3) sowie den Zeitstempel der letzten Eskalation (last_reminder_at). Diese Metadaten dienen ausschließlich der technisch-rechtlichen Umsetzung der Zahlungsabwicklung und dem Nachweis der Fristwahrung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Nachweispflicht gegenüber Aufsichtsbehörden im Rahmen des Handelsvertretermodells).

Zur buchhalterischen Trennung von Plattformeinnahmen und Spendeneinnahmen führen wir ein internes Buchungsjournal (Ledger). Darin wird für jede Transaktion gespeichert: Betrag, Art des Geldstroms (Plattformeinnahme oder Spendeneinnahme), Quell-Referenz sowie optionale Regionalzuordnung. Das Journal ist append-only und dient ausschließlich der internen Buchhaltung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. c DSGVO (Vertragserfüllung und gesetzliche Buchführungspflicht).

Helfende, die sich auf vergütete Aufgaben bewerben möchten, müssen vorab direkt mit Stripe Inc. einen Nutzungsvertrag für ein Stripe Express-Konto abschließen. Dieses Konto ist technische Voraussetzung für den Empfang von Überweisungen vom Plattformkonto. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.6 Mobiltelefonnummer (optional)

Nutzer können freiwillig ihre Mobiltelefonnummer zur Identitätsverifizierung hinterlegen. Die Nummer wird nach erfolgreicher Verifizierung gespeichert. Zur Verifizierung wird ein Einmalcode per SMS über Twilio (siehe Ziffer 5) übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

3.7 Bewertungen

Nach Abschluss einer Aufgabe können Nutzer Bewertungen (Sternrating, optionaler Kommentar) abgeben. Diese werden dem Profil des Bewerteten zugeordnet und sind für andere angemeldete Nutzer sichtbar. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.8 Server-Logdaten

Beim Aufruf der Plattform werden automatisch Informationen in Server-Logfiles gespeichert: IP-Adresse (anonymisiert), Datum und Uhrzeit, aufgerufene Seite, Browser-Typ. Diese Daten lassen keine Zuordnung zu bestimmten Personen zu und werden nicht mit anderen Datenquellen zusammengeführt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb und Sicherheit).

Zur Abwehr automatisierter Massen-Anmeldungen prüfen wir bei der Registrierung ein für Menschen unsichtbares Form-Feld („Honeypot"). Auffällige Anfragen werden ohne Anlage eines Nutzerkontos abgewiesen; IP-Adresse, abgeschickter Wert und User-Agent werden zur Analyse kurzzeitig in unseren Server-Logs erfasst. Außerdem wird die Anzahl der Registrierungs-Versuche pro IP-Adresse für maximal 60 Minuten arbeitsspeicher-basiert mitgezählt, um eine Begrenzung gegen Bot- Wellen durchzusetzen. Eine dauerhafte Speicherung dieser Daten findet nicht statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Plattform-Sicherheit) sowie Art. 32 DSGVO (technische Schutzmaßnahmen).

3.9 Benachrichtigungs-Einstellungen

Helfende können in ihren Benachrichtigungs-Einstellungen den Empfang der optionalen 48-Stunden-Auszahlungserinnerung abbestellen (payout_reminder_opt_out). Diese Einstellung wird als Wahrheitswert im Nutzerprofil gespeichert; Änderungszeitpunkt und neue Einstellung werden im Änderungsprotokoll erfasst. Transaktionsmails (Zahlungseingang, Auszahlungsbestätigung, vertraglich erforderliche Hinweise wie die gestuften Erinnerungen nach Ziffer 5.6 AGB) werden unabhängig von dieser Einstellung versendet. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung zur optionalen Erinnerung) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung für Transaktionsmails).

3.10 Einwilligungen & Kenntnisnahmen

Zum Nachweis erteilter Einwilligungen nach Art. 7 DSGVO speichern wir den Zeitpunkt und die Fassung der jeweils zugestimmten Erklärungen:

• Zustimmung zu AGB und Datenschutzerklärung: agreed_to_terms_at (Zeitstempel der Zustimmung) und terms_version (Versionskennung der Fassung, z. B. 2026-06). Bei einer wesentlichen Änderung (vgl. Ziffer 9 AGB) bitten wir beim nächsten Login erneut um ausdrückliche Zustimmung; die alten Werte werden überschrieben, die historische Zustimmung bleibt nur noch über die Git-Historie des Textes nachvollziehbar.
• Altersbestätigung: Mit der Registrierung bestätigst du gemäß Ziffer 1a der AGB, mindestens 18 Jahre alt zu sein. Diese Bestätigung wird nicht separat als Datum gespeichert, sondern gilt als Bestandteil deiner AGB-Zustimmung — das zugeordnete agreed_to_terms_at dient gleichzeitig als Nachweis.
• Kenntnisnahme der Sicherheitshinweise: safety_notice_acknowledged_at (Zeitstempel der Bestätigung auf der Seite /welcome/safety). Diese einmalige Kenntnisnahme dokumentiert, dass wir dich vor der ersten Nutzung der Vermittlungs-Funktion auf die Eigenverantwortung beim Treffen mit fremden Personen hingewiesen haben. Der Zeitstempel wird nur beim ersten Aufruf gesetzt und danach nicht überschrieben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zur Dokumentation erteilter Einwilligungen) in Verbindung mit Art. 7 Abs. 1 DSGVO.

3.11 Einladungen durch bestehende Nutzer

JustHelp.one bietet registrierten Nutzern die Möglichkeit, einen persönlichen Einladungs-Link zu teilen (z. B. über WhatsApp, E-Mail, SMS). Hierzu verarbeiten wir folgende Daten:

• invite_code: Eine zufällig erzeugte, 10-stellige Zeichenkette, die als Alias in geteilten Links erscheint. Der Code wird erst beim ersten Aufruf der Einladungs-Seite erzeugt; wer die Funktion nie nutzt, hat keinen Code.
• invited_by_user_id: Wenn du dich über den Einladungs-Link einer bestehenden Person registrierst, speichern wir dessen Nutzer-ID als Verweis in deinem Profil. Zweck: Community-Aufbau und interne Statistik. Wir zeigen dir oder anderen Nutzern nicht, wer wen eingeladen hat; dem Einladenden wird nur die anonymisierte Anzahl („N Personen sind dank dir bei JustHelp.one") angezeigt.

Wir versenden keine E-Mails in deinem Namen an nicht registrierte Dritte. Einladungen werden ausschließlich dadurch weitergegeben, dass du den Link selbst kopierst und über deinen eigenen Kanal teilst. Eine Speicherung fremder E-Mail-Adressen, Telefonnummern oder Kontaktlisten findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Plattform-Wachstum über Empfehlungen registrierter Nutzer) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung der Einladungs-Funktion). Die Zuordnung kannst du jederzeit widerrufen, indem du uns schriftlich zur Löschung von invited_by_user_id aufforderst.

4. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies:

Es werden keine Tracking-, Werbe- oder Analyse-Cookies eingesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

5. Eingesetzte Dienste & Auftragsverarbeiter

Da JUSTONE SOCIAL LTD im Vereinigten Königreich ansässig ist, gilt für Datenübertragungen aus der EU in das UK der Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO. Das UK gilt damit als sicheres Drittland; ein gesonderter Übertragungsmechanismus ist nicht erforderlich. Für Übertragungen in weitere Drittländer (USA) gelten die jeweils angegebenen Rechtsgrundlagen.

5.1 Netlify (Hosting & geplante Aufgaben)

Die Plattform wird über Netlify, Inc. (2325 3rd Street, Suite 215, San Francisco, CA 94107, USA) gehostet. Netlify verarbeitet Server-Logdaten. Zusätzlich nutzen wir Netlify „Scheduled Functions" zur stündlichen Ausführung wiederkehrender technischer Aufgaben — insbesondere zur Umsetzung der 72-Stunden-Auszahlungsfrist, zum Versand der 48-Stunden-Erinnerung sowie der gestuften Eskalations-Erinnerungen gemäß Ziffer 5.5/5.6 AGB. Dabei greift Netlify ausschließlich auf die für diesen Zweck erforderlichen Datenbank-Inhalte zu; personenbezogene Daten werden nicht zusätzlich bei Netlify gespeichert. Es besteht ein Auftragsverarbeitungsvertrag. Datenübertragungen in die USA erfolgen auf Grundlage der EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: netlify.com/privacy.

5.2 Supabase (Datenbank & Dateispeicher)

Zur Speicherung von Nutzerdaten, Authentifizierung und Dateispeicherung (Profilbilder) nutzen wir Supabase (Supabase Inc., 970 Toa Payoh North, Singapur). Die Daten werden in einem Rechenzentrum im Vereinigten Königreich (AWS eu-west-2, London) gespeichert. Datenübertragungen aus der EU in das UK erfolgen auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission gemäß Art. 45 DSGVO; ein gesonderter Übertragungsmechanismus ist nicht erforderlich. Es besteht ein Auftragsverarbeitungsvertrag. Weitere Informationen: supabase.com/privacy.

5.3 Stripe (Zahlungsabwicklung)

Für die Abwicklung von Zahlungen bei vergüteten Aufgaben nutzen wir Stripe (Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA; in der EU: Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland). Stripe verarbeitet Zahlungsdaten als eigenständiger Verantwortlicher im Rahmen seiner eigenen Datenschutzrichtlinie. Wir erhalten von Stripe lediglich Referenz-IDs und Statusmeldungen, keine sensiblen Zahlungsmitteldaten. Für Helfende, die ein Stripe Express-Konto einrichten, gilt zusätzlich die Datenschutzrichtlinie von Stripe in Bezug auf das Connect-Konto. Datenübertragungen in die USA erfolgen auf Grundlage der EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: stripe.com/de/privacy.

5.4 Twilio (SMS-Verifizierung)

Zur optionalen Mobiltelefon-Verifizierung nutzen wir Twilio (Twilio Inc., 375 Beale Street, Suite 300, San Francisco, CA 94105, USA). Twilio verarbeitet die Mobiltelefonnummer des Nutzers zur Zustellung des Verifizierungscodes. Datenübertragungen in die USA erfolgen auf Grundlage der EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: twilio.com/legal/privacy.

5.5 Resend (E-Mail-Versand)

Für den Versand von Transaktions-E-Mails nutzen wir Resend (Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA). Resend verarbeitet als Auftragsverarbeiter im Sinne von Art. 28 DSGVO die E-Mail-Adresse des Empfängers, den Betreff und den HTML-Inhalt zum Zweck der Zustellung. Über Resend werden insbesondere folgende Nachrichten versendet: Registrierungs- und E-Mail-Bestätigungen, Passwort-Zurücksetzung, Benachrichtigungen zu Aufgaben und Bewerbungen, Chat-Nachrichten-Benachrichtigungen, Zahlungseingangs-Bestätigungen, die 48-Stunden-Auszahlungserinnerung (sofern nicht abbestellt, vgl. 3.9), Auszahlungs-Bestätigungen sowie die gestuften Eskalations- und Zuwendungs-Informationen gemäß Ziffer 5.6 AGB.

Es besteht ein Auftragsverarbeitungsvertrag. Datenübertragungen in die USA erfolgen auf Grundlage der EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: resend.com/legal/privacy-policy.

6. Datenweitergabe an Dritte

Eine Übermittlung deiner personenbezogenen Daten an Dritte findet nicht statt, mit Ausnahme der unter Ziffer 5 genannten Dienstleister sowie in Fällen, in denen wir gesetzlich dazu verpflichtet sind (z. B. Auskunft an Strafverfolgungsbehörden). Eine Weitergabe zu Werbezwecken findet nicht statt. Bei der Zahlungsabwicklung übermitteln wir die zur Durchführung der Zahlung erforderlichen Daten an Stripe.

7. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

• Kontodaten: bis zur Kontolöschung durch den Nutzer
• Aufgaben & Bewerbungen: bis zu 12 Monate nach Abschluss
• Zahlungsdaten & Buchungsjournal: 10 Jahre gemäß § 147 AO (steuerrechtliche Aufbewahrungspflicht)
• Auszahlungs-Metadaten (auto_payout_at, reminder_sent_at, reminder_count, last_reminder_at): als Bestandteil der Zahlungsdaten ebenfalls 10 Jahre, ausschließlich zur Nachweispflicht der Fristwahrung gegenüber Aufsichtsbehörden
• Benachrichtigungs-Einstellung payout_reminder_opt_out: bis zur Kontolöschung (ist Teil des Nutzerprofils)
• Einwilligungs-Nachweise (agreed_to_terms_at, terms_version, safety_notice_acknowledged_at): bis zur Kontolöschung; danach 3 Jahre zur Verteidigung möglicher Ansprüche (§ 195 BGB, Regelverjährung)
• Einladungs-Code invite_code und Zuordnung invited_by_user_id: bis zur Kontolöschung. Bei Löschung des Einladenden wird die Zuordnung automatisch auf NULL gesetzt; die Existenz des eingeladenen Kontos bleibt unberührt.
• Server-Logdaten: maximal 90 Tage
• SMS-Verifizierungscodes: sofortige Löschung nach Verwendung, spätestens nach 10 Minuten
• Profilbilder: bis zur Löschung durch den Nutzer oder Kontolöschung

8. Deine Rechte

Du hast gegenüber uns folgende Rechte hinsichtlich deiner personenbezogenen Daten:

• Auskunft – Art. 15 DSGVO: Du kannst Auskunft über die von uns gespeicherten Daten verlangen.
• Berichtigung – Art. 16 DSGVO: Du kannst die Berichtigung unrichtiger Daten fordern.
• Löschung – Art. 17 DSGVO: Du kannst dein gesamtes Konto jederzeit eigenständig über die Funktion „Konto löschen" in deinem Profil entfernen lassen (Self-Service mit Bestätigungs-Mail). Profil-PII (Name, E-Mail, Adresse, Foto, Bio, Telefonnummer) werden bei Löschung aus unseren Systemen entfernt. Datensätze mit berechtigten Interessen Dritter (Bewertungen anderer Nutzer über dich, Nachrichten- Verläufe, abgeschlossene Aufträge) werden gemäß Art. 17 Abs. 3 lit. b und e DSGVO pseudonymisiert beibehalten — du erscheinst dort als „Gelöschter Nutzer", ohne Personenbezug. Buchungsbelege (Zahlungs-/Auszahlungsdatensätze) unterliegen einer 10-jährigen gesetzlichen Aufbewahrungspflicht (§ 147 AO) und werden anonymisiert aufbewahrt.
• Einschränkung – Art. 18 DSGVO: Du kannst die Einschränkung der Verarbeitung fordern.
• Datenübertragbarkeit – Art. 20 DSGVO: Du kannst eine maschinenlesbare Kopie deiner Daten verlangen.
• Widerspruch – Art. 21 DSGVO: Du kannst der Verarbeitung auf Basis berechtigter Interessen widersprechen.
• Widerruf der Einwilligung – Art. 7 Abs. 3 DSGVO: Einwilligungen (z. B. zur Standorterfassung, Mobiltelefonnummer, Profilbild) kannst du jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird.

Zur Ausübung deiner Rechte wende dich schriftlich an die im Impressum angegebene Adresse der JUSTONE SOCIAL LTD oder an den unter im Impressum angegebene Adresse der JUSTONE SOCIAL LTD.

9. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren.

Für Nutzer in der EU gilt die EU-DSGVO. Du kannst dich an die Aufsichtsbehörde deines Wohnsitzlandes wenden, z. B. in Deutschland an das zuständige Landesamt für Datenschutzaufsicht (bfdi.bund.de).

Für den Verantwortlichen (JUSTONE SOCIAL LTD, UK) ist die zuständige Aufsichtsbehörde das Information Commissioner's Office (ICO):

Information Commissioner's Office
Wycliffe House, Water Lane
Wilmslow, Cheshire, SK9 5AF
United Kingdom
ico.org.uk