Datenschutzerklärung

1. Einleitung & Geltungsbereich

Diese Datenschutzerklärung informiert über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Website unsere-vereinsapp.de sowie aller darüber bereitgestellten Subdomains, über die die jeweiligen Vereinsapps betrieben werden.

Sie gilt sowohl für Besucher der Website als auch für Nutzer der Plattform und der darüber betriebenen Vereinsapps.

Die Verarbeitung personenbezogener Daten erfolgt unter Beachtung der Datenschutz-Grundverordnung (DSGVO) sowie der einschlägigen nationalen Datenschutzgesetze.

2. Verantwortlicher

Verantwortlicher im Sinne der DSGVO:

Moritz Karls
Hildtstraße 3
74189 Weinsberg
Deutschland

E-Mail: unsere-vereinsapp@mkarls.de

Ein Datenschutzbeauftragter ist nicht bestellt, da keine gesetzliche Pflicht besteht (Einzelunternehmer, unter 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, § 38 BDSG). Datenschutz-Anfragen richten sich direkt an den Verantwortlichen unter der oben genannten E-Mail-Adresse.

3. Begriffsdefinitionen

  • Personenbezogene Daten:
    Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • Verarbeitung:
    Jeder Vorgang im Zusammenhang mit personenbezogenen Daten (z. B. Erheben, Speichern, Übermitteln, Löschen).
  • Verantwortlicher:
    Die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet.
  • Auftragsverarbeiter:
    Eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

4. Plattformbetrieb

Der Verantwortliche betreibt eine Plattform zur Bereitstellung von Vereinsapps. Er ist verantwortlich für:

  • den technischen Betrieb der Infrastruktur
  • die Sicherheit der Systeme
  • die Benutzerverwaltung
  • den E-Mail-Versand technischer Systemnachrichten
  • die Speicherung und Verarbeitung der Plattformdaten
  • die Abrechnung und Zahlungsabwicklung

Zugriffe des Plattformbetreibers auf personenbezogene Daten erfolgen ausschließlich zur Fehleranalyse und zum Support.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (Sicherstellung eines stabilen und sicheren Betriebs).

5. Rollenverteilung und Verantwortlichkeiten

Für den Betrieb der Plattform (Website, Benutzerkonten, Hosting, Sicherheit, System-E-Mails, Support, technische Administration und Abrechnung) ist der Plattformbetreiber eigener Verantwortlicher im Sinne der DSGVO.

Für alle Datenverarbeitungen, die innerhalb der einzelnen Vereinsapps erfolgen, handelt der Plattformbetreiber ausschließlich als Auftragsverarbeiter im Auftrag des jeweiligen Vereins gemäß Art. 28 DSGVO.

Dazu zählen insbesondere:

  • Verwaltung von Vereinsmitgliedern
  • Buchungssysteme
  • Dokumente
  • Events
  • Mitteilungen
  • Tickets mit Vereinszuordnung
  • sämtliche vereinsbezogenen Inhalte

Mit jedem Verein wird ein Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen. Die Verarbeitung dieser Daten erfolgt ausschließlich auf dokumentierte Weisung des jeweiligen Vereins.

6. Nutzung der Vereinsapps

Die Vereinsapps dienen der internen Organisation von Vereinen, insbesondere für:

  • Mitgliederverwaltung
  • Buchungssysteme von Objekten der Vereine
  • Dokumentenverwaltung
  • Eventplanung
  • Kommunikation innerhalb des Vereins

Jede Vereinsapp wird durch den jeweiligen Verein als eigenständigen Verantwortlichen im Sinne der DSGVO betrieben.

Für jede Vereinsapp existiert eine eigene Datenschutzerklärung des jeweiligen Vereins, die innerhalb der Vereinsapp abrufbar ist.

Die vorliegende Datenschutzerklärung bezieht sich ausschließlich auf den Betrieb der Plattform durch den Plattformbetreiber und nicht auf die inhaltliche Datenverarbeitung der einzelnen Vereinsapps.

7. Rolle der Vereine

Die jeweiligen Vereine sind für sämtliche personenbezogenen Daten, die innerhalb ihrer Vereinsapps verarbeitet werden, selbst Verantwortliche im Sinne der DSGVO.

Der Plattformbetreiber verarbeitet diese Daten ausschließlich als Auftragsverarbeiter nach Art. 28 DSGVO und nur auf dokumentierte Weisung des jeweiligen Vereins.

Der jeweilige Verein ist insbesondere verantwortlich für:

  • die Rechtmäßigkeit der Datenverarbeitung
  • die Information seiner Mitglieder
  • die Wahrnehmung von Betroffenenrechten
  • die Festlegung der Speicherfristen innerhalb der Vereinsapps

Der Verantwortliche stellt lediglich die technische Plattform bereit und handelt insoweit als Auftragsverarbeiter nach Art. 28 DSGVO.

8. Vertragliche Erforderlichkeit der Daten

Die Bereitstellung bestimmter personenbezogener Daten ist für den Abschluss und die Durchführung des Nutzungsvertrages erforderlich.

Für Endnutzer: Ohne Angabe einer gültigen E-Mail-Adresse, eines Vornamens und Nachnamens ist eine Nutzung der Plattform nicht möglich.

Für Vereine: Vereine müssen zudem einen Vereinsnamen sowie eine postalische Anschrift (Straße, Hausnummer, PLZ, Ort, Land) angeben.

9. Verarbeitungsvorgänge

Da uns Datenschutz wichtig ist, möchten wir, dass die Verarbeitung von Daten maximal verständlich ist. Daher informieren wir transparent über die relevanten Vorgänge innerhalb unserer Plattform.

9.1 Benutzerkonten (Accounts)

Jedes Vereinsmitglied, welches unsere Plattform nutzen möchte, braucht einen Account.

Daten:

  • E-Mail-Adresse (verschlüsselt gespeichert)
  • Vorname & Nachname
  • Selbstgewählter Anzeigename (wird bei Registrierung automatisch auf Standardwert gesetzt, z. B. „Max M." für Max Mustermann)
  • Passwort (nur als kryptografischer Hash gespeichert, nicht im Klartext)
  • Profilbild (optional; ohne Upload wird ein anonymes Standardbild angezeigt)
  • Maskierte E-Mail-Adresse (z. B. m***@e***.de) für die Anzeige gegenüber Dritten
  • Status-Flag bei Kontodeaktivierung inkl. Zeitpunkt

Zweck:

Bereitstellung und Verwaltung eines Benutzerkontos, Authentifizierung, Personalisierung, Empfang von System-E-Mails.

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem Betrieb und Missbrauchsverhinderung)

9.2 Einladungen

Um einem Verein in der Vereinsapp beitreten zu können, muss eine Einladung durch den Verein erfolgen.

Daten:

  • E-Mail-Adresse (verschlüsselt)
  • Vorname & Nachname
  • Rolle (zur Berechtigungsverwaltung innerhalb des Vereins)
  • Eindeutiger Einladungs-Token
  • Zeitstempel der Erstellung
  • User-ID des Einladenden
  • Status und Versandzeitpunkt
  • Ablaufdatum (30 Tage nach Erstellung)

Zusätzlich können Sammeleinladungen (optional mit QR-Code) erstellt werden, die einen Token, eine zugeordnete Rolle, einen Nutzungszähler und ein optionales Ablaufdatum umfassen.

Zweck:

Einladung neuer Mitglieder in einen Verein.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO

9.3 Vereine & Mitgliedschaften

Daten:

  • Vereinsname, Subdomain
  • Logo, Hintergrundbild, Primärfarbe
  • Postalische Anschrift (Straße, Hausnummer, PLZ, Stadt, Land)
  • E-Mail-Adresse (verschlüsselt)
  • Konfiguration aktiver Funktionsmodule
  • Rollen und Berechtigungen
  • Zuordnung von User zu Vereinen (Mitgliedschaft) inkl. Erstellungsdatum und Status
  • Status-Flags (aktiv / Demo / deaktiviert inkl. Zeitpunkt)

Zweck:

Abbildung der Vereinsstruktur, Berechtigungssteuerung, Multi-Tenant-Isolation.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO

9.4 Dokumente

Daten:

  • Vereinszuordnung
  • Original-Dateiname
  • Interner Systemname (zufällige ID; die Datei wird nicht unter dem Originalnamen gespeichert)
  • Dateigröße
  • Hochladezeitpunkt

Zweck:

Bereitstellung vereinsinterner Informationen.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO

9.5 Buchungssystem

Daten:

  • Zuordnung von buchbaren Objekten zu Vereinen
  • Bezeichnung und Verfügbarkeitszeiten (Wochentag-Slots)
  • Erstellende Mitgliedschaft (verknüpft mit User)
  • Datum, Startzeit, Dauer
  • Wiederholung (keine / täglich / wöchentlich) und ggf. Enddatum
  • Ggf. Stornierungsstatus: Zeitpunkt und stornierungauslösender User

Zweck:

Organisation und Nachvollziehbarkeit von Buchungen.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO

9.6 Events

Daten:

  • Zuordnung von Events zu Vereinen
  • Eventname, Ort, Beschreibung
  • Start- und Endzeitpunkt
  • Hervorhebungs-Flag

Zweck:

Vereinsinterne Eventplanung.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO

9.7 Mitteilungen

Daten:

  • Vereinszuordnung (kann bei systemweiten Mitteilungen leer sein)
  • User des Senders und des Empfängers
  • Titel & Text
  • Flag: automatisch generiert (System) vs. manuell
  • Gelesen-Status
  • Zeitstempel (erstellt, versendet, E-Mail-Benachrichtigung versandt)

Zweck:

Vereinsinterne Kommunikation, automatische Benachrichtigungen (z. B. bei Stornierungen).

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO

Speicherdauer:

Mitteilungen werden automatisch nach 183 Tagen (ca. 6 Monaten) gelöscht.

9.8 Ticketsystem (Support / Kontaktanfragen)

Das Ticketsystem dient dem Support innerhalb eines Vereins sowie dem Kontakt zum Plattformbetreiber.

Daten:

  • Titel, Beschreibung
  • Status und Priorität
  • Erstellender User (sofern eingeloggt) oder E-Mail-Adresse des anonymen Erstellers (verschlüsselt)
  • Zugewiesener Empfängerverein (wenn leer: Plattformbetreiber)
  • Zeitstempel (erstellt, aktualisiert, gelöst)
  • Ticket-Kommentare: Autor, Text, Zeitstempel
  • Audit-Log bei Änderungen an Status, Priorität oder Zuweisung

Anonyme Ticketerstellung: Bei nicht eingeloggten Nutzern wird zusätzlich eine E-Mail-Adresse abgefragt. Bot-Schutz erfolgt über ein signiertes Form-Token und weitere technische Maßnahmen, die nicht in der Datenbank gespeichert werden. IP-Adresse und User-Agent werden dabei nicht gespeichert.

Zweck:

Support, technische Hilfe, Bearbeitung von Anfragen.

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche und vertragliche Maßnahmen)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Beantwortung)

Speicherdauer:

Tickets werden 90 Tage nach letzter Aktivität automatisch gelöscht; abgeschlossene Tickets bereits nach 30 Tagen. Audit-Einträge werden mit dem zugehörigen Ticket gelöscht.

9.9 Bezahlung / Abrechnung

Die Plattform bietet kostenpflichtige Abonnements für Vereine an. Die Zahlungsabwicklung erfolgt über Stripe (siehe Abschnitt 14).

Lokal gespeicherte Daten:

  • Subscription-Plan und Status
  • Beginn und Ende des Testzeitraums, Beginn der Abrechnung, Stornierungszeitpunkt
  • Stripe-Referenz-IDs (Customer-ID, PaymentMethod-ID, SEPA-Mandats-Referenz)
  • Rechnungen: Rechnungsnummer, Betrag, Netto-/Steueranteil, USt-Satz, Abrechnungszeitraum, Status, Abbuchungsdatum, PDF-Datei
  • Snapshot der Vereinsstammdaten zum Rechnungszeitpunkt (Name, Anschrift)
  • Zahlungen: Betrag, Methode (SEPA / Überweisung / Kartenzahlung), Status, Zeitstempel

Nicht lokal gespeichert: Die eigentlichen Zahlungsmittel (IBAN, Kontodaten, Kreditkartennummer) werden ausschließlich über das clientseitige Stripe-Element direkt an Stripe übertragen. Die Plattform speichert nur Referenz-IDs.

Zweck:

Abwicklung wiederkehrender Abonnementzahlungen, Rechnungsstellung, Forderungsmanagement, Erfüllung von Buchhaltungspflichten.

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten)

Speicherdauer:

Rechnungen, Zahlungen und zugehörige Stammdaten unterliegen handels- und steuerrechtlichen Aufbewahrungspflichten von 10 Jahren (§ 147 AO, § 257 HGB).

9.10 E-Mail-Bestätigung und Passwort-Reset

Daten:

  • E-Mail-Bestätigungs-Token: zugehöriger User, Token, Versandstatus, Zeitstempel. Gültigkeit: 7 Tage.
  • Passwort-Reset-Token: zugehöriger User, Token, Versandstatus, Zeitstempel. Gültigkeit: 2 Stunden. Wird nach Verwendung 30 Tage zur Nachvollziehbarkeit aufbewahrt.

Zweck:

Verifizierung der E-Mail-Adresse, sichere Passwortwiederherstellung.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO

9.11 E-Mail-Zustellbarkeitsmanagement

Zum Schutz der Versandreputation der Domain werden Bounce-, Spam- und Reject-Ereignisse pro Verein erfasst.

Daten:

  • Vereinszuordnung
  • Pseudonymisierter Identifikator (HMAC) der Empfänger-E-Mail (kein Klartext)
  • Art der Sendung (Einladung / private Mitteilung)
  • Bounce-Grund und Detail-Information
  • Zeitstempel

E-Mail-Einstellungen pro Empfänger:

  • Eigener Token für den Abmelde-/Einstellungslink
  • Flag „E-Mails erlaubt" inkl. Zeitstempel
  • Flag „blockiert" inkl. Zeitstempel

Über einen Ein-Klick-Abmeldelink (RFC 8058 List-Unsubscribe) in jeder Vereinsmail können Empfänger den weiteren E-Mail-Empfang untersagen.

Zweck:

Schutz der Versandreputation, Umsetzung von Abmeldewünschen.

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
  • Art. 6 Abs. 1 lit. c i. V. m. Art. 21 DSGVO (Widerspruchsrecht)

Speicherdauer:

Versand- und Bounce-Protokolle werden nach 37 Tagen automatisch gelöscht.

10. Hosting

Die Plattform wird auf Servern der:

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland

betrieben.

Serverstandort ist Nürnberg, Deutschland. Es findet keine Übermittlung von Plattformdaten in ein Drittland statt.

Hetzner verarbeitet personenbezogene Daten als Auftragsverarbeiter gemäß Art. 28 DSGVO. Ein Auftragsverarbeitungsvertrag liegt vor (Stand: 01.02.2026).

Informationen zu den technischen und organisatorischen Maßnahmen von Hetzner finden sich unter: docs.hetzner.com — TOMs

11. E-Mail-Dienstleister

Wir verwenden zwei unterschiedliche Dienstleister für die E-Mail-Kommunikation:

11.1 Versand von E-Mails (System- und Vereinsmails)

Der Versand sämtlicher ausgehender E-Mails erfolgt über:

Sand Dune Mail Limited (SMTP2GO)
96-106 Manchester Street
Christchurch 8011
Neuseeland

Genutzte Instanz: app-eu.smtp2go.com (EU-Region).

SMTP2GO ist Auftragsverarbeiter für den E-Mail-Versand gemäß Art. 28 DSGVO (DPA v1.4 vom 15.07.2025). Für die Verwaltung der eigenen Kundenbeziehung (Buchhaltung, Sicherheit, Service-Verbesserung) handelt SMTP2GO als eigenständiger Verantwortlicher.

Drittlandübermittlung: Neuseeland verfügt über einen Angemessenheitsbeschluss der EU-Kommission (Beschluss 2013/65/EU, Art. 45 DSGVO). Ergänzend wurden EU-Standardvertragsklauseln (Modul 2) gemäß Art. 46 DSGVO als zusätzliche vertragliche Garantie vereinbart.

Aktuelle Subunternehmer-Liste: SMTP2GO Sub-Processor List

Der Versand technischer System-E-Mails erfolgt als eigener Verantwortlicher. System-E-Mails werden verwendet für:

  • E-Mail-Bestätigungen
  • Passwortwiederherstellungen
  • Systembenachrichtigungen

Der Versand vereinsbezogener Mitteilungen erfolgt ausschließlich als Auftragsverarbeiter im Auftrag des jeweiligen Vereins. Vereinsbezogene Mitteilungen umfassen:

  • Einladungen
  • Vereinsmitteilungen und -kommunikation
  • Eventbenachrichtigungen
  • Buchungsinformationen

11.2 Support & Vorvertragliche Kommunikation

Bei Kontaktaufnahme über unsere-vereinsapp@mkarls.de oder abuse@mkarls.de werden personenbezogene Daten (E-Mail-Adresse, Inhalt der Nachricht) verarbeitet.

Der Maildienst wird betrieben über:

Hostinger International Ltd.
61 Lordou Vironos str.
6023 Larnaca
Zypern (EU-Mitgliedstaat)

Verarbeitungsort der E-Mail-Server: Europa (Niederlande).

Hostinger verarbeitet personenbezogene Daten als Auftragsverarbeiter gemäß Art. 28 DSGVO (DPA-Stand: 2026-04-15). Hostinger International Ltd. ist eine EU-Gesellschaft. Soweit Hostinger Subunternehmer außerhalb des EWR einsetzt (u. a. Cloudflare, MailChannels), erfolgt die Übermittlung auf Grundlage von EU-Standardvertragsklauseln (Modul 2/3) gemäß Art. 46 DSGVO.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen)

12. Cookies

Es werden ausschließlich technisch notwendige Cookies verwendet:

  • sessionid_v2: Sitzungs-Identifikation für Login (Lebensdauer: 2 Wochen)
  • csrftoken_v2: CSRF-Schutz beim Absenden von Formularen (Lebensdauer: 1 Jahr)
  • Stripe-Cookies: Nur auf der Seite zur Hinterlegung einer Zahlungsmethode aktiv (durch Stripe.js gesetzt)

Die Plattform-Cookies sind als HttpOnly und Secure markiert. Diese sind erforderlich für:

  • Login-Funktionen
  • Sicherheit (CSRF-Schutz)
  • Sitzungsverwaltung

Rechtsgrundlage:

Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TTDSG

Ein Cookie-Consent-Banner ist nicht erforderlich, da ausschließlich technisch notwendige Cookies eingesetzt werden.

13. Externe Inhalte

Die Plattform lädt grundsätzlich keine externen Skripte, Tracker, CDN-Ressourcen, Social-Media-Plugins oder Werbenetzwerke.

Ausnahme: Auf der Seite zur Hinterlegung einer Zahlungsmethode wird das Stripe-JavaScript-Element (js.stripe.com/v3/) geladen, um Zahlungsdaten direkt und sicher an Stripe zu übermitteln, ohne dass diese die Plattform passieren. Es gelten hierfür die Datenschutzhinweise von Stripe (stripe.com/de/privacy).

14. Empfänger von personenbezogenen Daten

Personenbezogene Daten werden an folgende Empfänger übermittelt:

  • Hetzner Online GmbH

    Sitz: Gunzenhausen, Deutschland
    Zweck: Hosting der Plattform
    Rolle: Auftragsverarbeiter (Art. 28 DSGVO)
    Verarbeitungsort: Nürnberg, Deutschland
    Drittlandübermittlung: Keine

  • Sand Dune Mail Limited (SMTP2GO)

    Sitz: Christchurch, Neuseeland
    Zweck: Versand sämtlicher ausgehender E-Mails, Bounce-/Spam-Webhooks
    Rolle: Auftragsverarbeiter (Art. 28 DSGVO); für eigene Zwecke eigenständiger Verantwortlicher
    Drittlandübermittlung: Angemessenheitsbeschluss der EU-Kommission für Neuseeland (Art. 45 DSGVO) + EU-Standardvertragsklauseln Modul 2 (Art. 46 DSGVO)

  • Hostinger International Ltd.

    Sitz: Larnaca, Zypern (EU)
    Zweck: Hosting der E-Mail-Postfächer für vorvertragliche Kommunikation und Support
    Rolle: Auftragsverarbeiter (Art. 28 DSGVO)
    Verarbeitungsort: Europa (Niederlande)
    Drittlandübermittlung: Soweit Subunternehmer außerhalb des EWR involviert: EU-Standardvertragsklauseln Modul 2/3 (Art. 46 DSGVO)

  • Stripe Payments Europe, Limited (SPEL)

    Sitz: 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland (EU)
    Zweck: Zahlungsabwicklung, Mandatsverwaltung, Rechnungsstellung

    Doppelrolle:
    Als Auftragsverarbeiter (Art. 28 DSGVO): Ausführung der Zahlungsdienste auf Weisung des Plattformbetreibers.
    Als eigenständiger Verantwortlicher: Betrugsprävention, Geldwäschebekämpfung (AML), Know-Your-Customer (KYC), Erfüllung gesetzlicher/aufsichtsrechtlicher Pflichten, Buchhaltung und Verbesserung der eigenen Dienste.

    Drittlandübermittlung: Konzerninterne Übermittlung an Stripe, LLC (USA) und weitere Stripe-Gesellschaften. Schutzmechanismen: EU-US Data Privacy Framework (Art. 45 DSGVO) sowie EU-Standardvertragsklauseln Modul 1/2 (Art. 46 DSGVO).

    Subunternehmer-Liste: stripe.com/de/service-providers/legal
    Datenschutzerklärung: stripe.com/de/privacy

15. Sicherheitsmaßnahmen

Zur Gewährleistung der Sicherheit Ihrer Daten werden umfangreiche technische Maßnahmen eingesetzt:

  • TLS-Verschlüsselung für sämtlichen Datenverkehr
  • Storage-Level-Verschlüsselung der Server
  • Zusätzliche anwendungsseitige Verschlüsselung von E-Mail-Adressen (AES-128-CBC + HMAC-SHA256)
  • Hashing von Passwörtern (PBKDF2)
  • Maskierung von E-Mail-Adressen im Frontend (nur eigene E-Mail vollständig sichtbar)
  • Striktes Need-to-Know-Prinzip
  • Rollen- und Rechtekonzept
  • Login-Schutz: Temporäre Sperre nach wiederholten Fehlversuchen
  • Rate-Limiting auf Anwendungs- und Webserver-Ebene

15.1 Sicherheitsmaßnahmen mit flüchtiger Datenverarbeitung

Die folgenden Schutzmaßnahmen verarbeiten personenbezogene Daten ausschließlich flüchtig im Cache (nicht dauerhaft in der Datenbank):

  • Login-Throttling: Bei fehlgeschlagenen Login-Versuchen wird die IP-Adresse mit einem Zähler flüchtig gespeichert; nach 5 Fehlversuchen erfolgt eine 10-minütige Sperre.
  • Rate-Limiting: Bei zu vielen Anfragen wird je nach Authentifizierungsstatus die User-ID oder IP-Adresse als Sperrschlüssel flüchtig verwendet.
  • Throttle für Passwort-Reset und E-Mail-Änderung: Flüchtig im Cache, pseudonymisiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz der Konten und der Systemstabilität).

16. Löschfristen

Personenbezogene Daten werden automatisiert über nächtliche Hintergrundprozesse gelöscht. Die wichtigsten Fristen:

  • Accountdaten nach Deaktivierung des Kontos: 45 Tage
  • Inaktive Konten (ohne Login): 2 Jahre
  • Mitgliedschaft nach Deaktivierung: 45 Tage
  • Vereinsdaten nach Deaktivierung des Vereins: 90 Tage
  • Einladungen: 30 Tage ab Erstellung
  • E-Mail-Bestätigungs-Tokens: 7 Tage
  • Passwort-Reset-Tokens (Gültigkeit): 2 Stunden (nach Verwendung 30 Tage Aufbewahrung)
  • Mitteilungen: 183 Tage (ca. 6 Monate)
  • Tickets (offen/in Bearbeitung): 90 Tage ab letzter Aktivität
  • Tickets (abgeschlossen): 30 Tage
  • Buchungen/Buchungsobjekte (deaktiviert): 60 Tage
  • Bounce-/Versandprotokoll: 37 Tage
  • Support-E-Mails (Posteingang): spätestens nach 6 Monaten
  • Rechnungen und Zahlungsbelege: 10 Jahre (handels- und steuerrechtliche Aufbewahrungspflicht, § 147 AO, § 257 HGB)

Während gesetzlicher Aufbewahrungsfristen wird die Verarbeitung auf das erforderliche Minimum eingeschränkt (Art. 18 DSGVO).

17. Backups

Es werden regelmäßig Backups der gesamten Plattform als Server-Snapshots erstellt, um Datenverlust zu begrenzen. Diese Backups werden nach spätestens 7 Tagen überschrieben.

Speicherort: Hetzner-Infrastruktur, Nürnberg, Deutschland (unter dem bestehenden Hetzner-AVV abgedeckt).

Daten können sich in technischen Backups befinden. Eine sofortige Löschung aus Backups ist technisch nicht möglich. Die vollständige Entfernung erfolgt mit dem regulären Backup-Zyklus (max. 7 Tage).

18. Betroffenenrechte

Betroffene haben das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO) — insbesondere gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Für personenbezogene Daten, die durch den Plattformbetreiber als eigener Verantwortlicher verarbeitet werden, können Betroffenenrechte unter unsere-vereinsapp@mkarls.de geltend gemacht werden.
Dies umfasst insbesondere die Accountdaten (E-Mail, Vorname, Nachname, Anzeigename, Profilbild) sowie Abrechnungsdaten und Support-/Ticketkommunikation mit dem Plattformbetreiber.

Für personenbezogene Daten, die innerhalb einer Vereinsapp verarbeitet werden, ist der jeweilige Verein als Verantwortlicher zuständig. Anfragen sind direkt an den entsprechenden Verein zu richten.

Sofern Anfragen irrtümlich beim Plattformbetreiber eingehen, die die Datenverarbeitung eines Vereins betreffen, werden diese an den jeweiligen Verein weitergeleitet.

19. Beschwerderecht

Betroffene haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist insbesondere:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
baden-wuerttemberg.datenschutz.de

20. Automatisierte Entscheidungen

Eine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO findet nicht statt.