Stand: 28. Juni 2026
Verantwortlicher im Sinne der DSGVO ist:
Manuel Schneider, Mummenhofstr. 44, 29229 Celle, Deutschland
E-Mail: datenschutz@sora-assistant.com · Telefon: 0175 9576362
Die Anwendung und die Datenbank werden auf Servern in Deutschland betrieben. Karten- und Luftfahrtdienste Dritter werden ganz überwiegend serverseitig über unseren Server eingebunden, sodass Ihre IP-Adresse dabei nicht an die Drittanbieter übermittelt wird (Einzelheiten in Abschnitt 7). Eine Übermittlung personenbezogener Daten in ein Drittland außerhalb der EU/des EWR findet nur in den in Abschnitt 7 ausdrücklich benannten Ausnahmefällen und auf der dort genannten Rechtsgrundlage statt.
Beim Aufruf werden technisch erforderliche Daten verarbeitet (z. B. IP-Adresse, Zeitpunkt, aufgerufene Ressource, Browsertyp), um den Dienst sicher bereitzustellen und Angriffe abzuwehren. Rechtsgrundlage ist das berechtigte Interesse an einem sicheren Betrieb (Art. 6 Abs. 1 lit. f DSGVO).
Für die Nutzung ist ein Konto erforderlich. Verarbeitet werden u. a. E-Mail-Adresse, Name sowie Daten zur verpflichtenden Zwei-Faktor-Authentifizierung (TOTP). Bei freiwilliger Nutzung der Passkey-Anmeldung (WebAuthn) speichern wir den öffentlichen Schlüssel und eine Kennung Ihres Authenticators; biometrische Daten verbleiben ausschließlich auf Ihrem Gerät und werden uns nicht übermittelt. Fehlgeschlagene Anmeldeversuche werden zur Missbrauchsabwehr protokolliert. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bzw. das berechtigte Interesse an IT-Sicherheit (lit. f).
Im Rahmen der SORA-Risikobewertung können personenbezogene Daten erfasst werden, etwa Namen von Steuerer:innen/Pilot:innen, Lizenz-/Fernpiloten-Nummern, Anschriften, Organisations- und Einsatzdaten. Sensible Personenfelder werden vor der Speicherung verschlüsselt (AES-256-GCM). Hochgeladene Nachweisdokumente (z. B. Kenntnis-/Versicherungsnachweise) und erzeugte PDF-Berichte werden im Objektspeicher ebenfalls AES-256-GCM-verschlüsselt abgelegt und ausschließlich über eine authentifizierte, zugriffsgeprüfte Route ausgeliefert (kein öffentlicher Speicherlink). Der Zugriff erfolgt rollenbasiert und nur nach erfolgreicher Zwei-Faktor-Anmeldung. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); im behördlichen BOS-Kontext kommen je nach Konstellation weitere Grundlagen (Art. 6 Abs. 1 lit. c/e DSGVO, ggf. Auftragsverarbeitung nach Art. 28 DSGVO) in Betracht.
Es werden ausschließlich technisch notwendige Cookies eingesetzt (insbesondere ein Sitzungs-Cookie für die Anmeldung). Diese sind für den Betrieb erforderlich und nach § 25 Abs. 2 TDDDG (vormals TTDSG) einwilligungsfrei. Nicht notwendige Dienste werden nur nach Ihrer Einwilligung über den Cookie-Hinweis aktiviert. Eine getroffene Auswahl wird lokal in Ihrem Browser gespeichert.
Schriftarten: Alle Web-Schriftarten werden lokal von unserem eigenen Server ausgeliefert (Self-Hosting). Es findet keine Verbindung zu Google Fonts oder anderen Schriftarten-Anbietern und insoweit keine Übermittlung Ihrer IP-Adresse an Dritte statt.
Karten- und Luftfahrtdaten (nur im angemeldeten Bereich): Zur Lagedarstellung werden Daten Dritter genutzt. Diese werden ganz überwiegend serverseitig über unseren Server abgerufen — Ihre IP-Adresse wird dabei nicht an die Drittanbieter übermittelt. Serverseitig eingebunden sind: Kartenkacheln (CARTO, über unseren Kachel-Proxy), OpenStreetMap/Nominatim (Geokodierung) und Overpass, OpenAIP (Lufträume), notaminfo (NOTAM), Open-Meteo (Wetter) sowie der Weltraumwetter-Index (NOAA SWPC). Rechtsgrundlage ist die Vertragserfüllung bzw. unser berechtigtes Interesse an einer funktionsfähigen Lagedarstellung (Art. 6 Abs. 1 lit. b/f DSGVO).
Verbleibende Direktverbindung Ihres Geräts: Lediglich die amtlichen Drohnen-Geozonen (dipul-/DFS-WMS, uas-betrieb.de, Geobasisdaten DFS/BKG, Serverstandort Deutschland) werden technisch bedingt direkt von Ihrem Gerät geladen; dabei wird Ihre IP-Adresse an den amtlichen deutschen Anbieter übermittelt. Eine Übermittlung in ein Drittland ist damit nicht verbunden.
Drittlandbezug: Der serverseitige Abruf der Kartenkacheln (CARTO) und des Weltraumwetter-Index (NOAA, USA) kann eine Übermittlung technischer Abrufdaten in die USA beinhalten. Diese erfolgt durch unseren Server (nicht durch Ihr Gerät), ist auf das für die Funktion Erforderliche beschränkt und auf Art. 49 Abs. 1 lit. b DSGVO (Vertragserfüllung) gestützt; ein Personenbezug über die technische Abruf-IP unseres Servers hinaus besteht nicht. Bei den Kartenkacheln werden ausschließlich Gitter-Koordinaten (z/x/y) übertragen — weder Ihr Standort noch ein Personenbezug. Ein EU-/self-hosted Kachelserver ist konfigurierbar und vermeidet auch diese technische Übermittlung vollständig.
System-E-Mails (z. B. Bestätigung, Passwort-Zurücksetzen, Benachrichtigungen) werden über einen eigenen Mailserver versendet. Verarbeitet werden die hierfür erforderlichen Bestandsdaten (Art. 6 Abs. 1 lit. b DSGVO).
Personenbezogene Daten werden gelöscht, sobald der Zweck entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Konto- und Fachdaten werden auf Wunsch gelöscht; ein Datenexport und die Kontolöschung sind in der Anwendung verfügbar.
Sie haben nach der DSGVO insbesondere folgende Rechte:
Zur Ausübung Ihrer Rechte genügt eine Nachricht an datenschutz@sora-assistant.com.
Die Übertragung erfolgt verschlüsselt (TLS/HTTPS). Sensible Personendaten werden zusätzlich verschlüsselt gespeichert (AES-256-GCM); der Zugang ist durch rollenbasierte Rechte und verpflichtende Zwei-Faktor-Authentifizierung geschützt.