Datenschutzerklärung

Präambel

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als „Daten" bezeichnet) wir zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, sowohl im Rahmen der Erbringung unserer Leistungen als auch insbesondere auf unseren Webseiten, in mobilen Applikationen sowie innerhalb externer Onlinepräsenzen, wie z. B. unserer Social-Media-Profile (nachfolgend zusammenfassend bezeichnet als „Onlineangebot").

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Verantwortlicher

Stefan Hösle
Krautgartenweg 2
86874 Tussenhausen

E-Mail-Adresse: voluntario.io@gmx.de

Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

• Bestandsdaten.
• Kontaktdaten.
• Inhaltsdaten.
• Nutzungsdaten.
• Meta-, Kommunikations- und Verfahrensdaten.
• Protokolldaten.

Kategorien betroffener Personen

• Kommunikationspartner.
• Nutzer (Organisatoren).
• Helfer (Personen, die sich in Schichten eintragen).

Zwecke der Verarbeitung

• Kommunikation.
• Sicherheitsmaßnahmen.
• Organisations- und Verwaltungsverfahren.
• Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit.
• Informationstechnische Infrastruktur.

Maßgebliche Rechtsgrundlagen

Maßgebliche Rechtsgrundlagen nach der DSGVO: Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten. Bitte nehmen Sie zur Kenntnis, dass neben den Regelungen der DSGVO nationale Datenschutzvorgaben in Ihrem bzw. unserem Wohn- oder Sitzland gelten können.

• Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) – Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
• Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) – Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten notwendig, vorausgesetzt, dass die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.

Nationale Datenschutzregelungen in Deutschland: Zusätzlich zu den Datenschutzregelungen der DSGVO gelten nationale Regelungen zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Bundesdatenschutzgesetz (BDSG), welches Spezialregelungen zum Recht auf Auskunft, zum Recht auf Löschung, zum Widerspruchsrecht sowie zur Verarbeitung besonderer Kategorien personenbezogener Daten enthält.

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen und elektronischen Zugangs zu den Daten sowie der Einsatz von TLS-/SSL-Verschlüsselungstechnologie (HTTPS) für alle Datenübertragungen.

Übermittlung von personenbezogenen Daten

Im Rahmen unserer Verarbeitung von personenbezogenen Daten werden diese teilweise an externe Dienstleister übermittelt. Zu den Empfängern gehören insbesondere mit IT-Aufgaben beauftragte Anbieter (Hosting, Datenbank, E-Mail-Versand). Wir beachten dabei die gesetzlichen Vorgaben; mit Auftragsverarbeitern werden Verträge gemäß Art. 28 DSGVO geschlossen, soweit dies erforderlich ist.

Internationale Datentransfers

Sofern wir Daten in ein Drittland (d. h. außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums) übermitteln, erfolgt dies stets im Einklang mit den gesetzlichen Vorgaben. Je nach Anbieter stützen wir uns auf das Data Privacy Framework (DPF, Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) oder auf Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO — die jeweils geltende Grundlage ist bei den einzelnen Dienstleistern ausgewiesen.

Weitere Informationen zum DPF und eine Liste der zertifizierten Unternehmen finden Sie auf der Website des US-Handelsministeriums unter dataprivacyframework.gov.

Allgemeine Informationen zur Datenspeicherung und Löschung

Wir löschen personenbezogene Daten, die wir verarbeiten, gemäß den gesetzlichen Bestimmungen, sobald keine rechtlichen Grundlagen für die Verarbeitung mehr bestehen. Ausnahmen bestehen, wenn gesetzliche Pflichten eine längere Aufbewahrung erfordern.

Konkrete Speicherfristen für voluntario:

• Registrierte Nutzerkonten: bis zur Löschung durch den Nutzer (über die Funktion „Konto löschen") oder auf schriftliche Anfrage. Mit dem Konto werden alle zugehörigen Events, Schichten und Helfer-Einträge kaskadierend gelöscht.
• Helfer-Einträge (Name, ggf. E-Mail/Notiz bei Schichteintragung): bis zur Löschung der jeweiligen Schicht oder des Events durch den Organisator, spätestens mit Löschung des Organisator-Kontos.
• Serverlogfiles (Vercel, Supabase): maximal 30 Tage.

Rechte der betroffenen Personen

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 21 DSGVO ergeben:

• Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
• Auskunftsrecht: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend den gesetzlichen Vorgaben.
• Recht auf Berichtigung: Sie haben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
• Recht auf Löschung und Einschränkung der Verarbeitung: Sie haben das Recht, zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, bzw. alternativ eine Einschränkung der Verarbeitung zu verlangen.
• Recht auf Datenübertragbarkeit: Sie haben das Recht, Sie betreffende Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu fordern.
• Beschwerde bei Aufsichtsbehörde: Sie haben das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Bereitstellung des Onlineangebots und Webhosting

Wir verarbeiten die Daten der Nutzer, um ihnen unsere Online-Dienste zur Verfügung stellen zu können. Zu diesem Zweck verarbeiten wir die IP-Adresse des Nutzers, die notwendig ist, um die Inhalte und Funktionen unserer Online-Dienste an den Browser oder das Endgerät der Nutzer zu übermitteln.

Logfiles: Serverlogfiles werden für die Dauer von maximal 30 Tagen gespeichert und danach gelöscht oder anonymisiert. Daten, deren weitere Aufbewahrung zu Beweiszwecken erforderlich ist, sind bis zur endgültigen Klärung des jeweiligen Vorfalls von der Löschung ausgenommen.

Auftragsverarbeitung

Wir setzen externe Dienstleister (Auftragsverarbeiter) ein, die in unserem Auftrag personenbezogene Daten verarbeiten. Soweit dies gesetzlich vorgeschrieben ist, haben wir mit diesen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen.

Supabase (Datenbank und Authentifizierung): Für die Speicherung von Nutzerdaten und Veranstaltungsinhalten sowie für die Benutzerauthentifizierung setzen wir den Dienst Supabase ein. Dabei werden Bestandsdaten (z. B. Name, E-Mail-Adresse), Authentifizierungsdaten sowie alle im Rahmen der Dienstnutzung anfallenden Inhalts- und Protokolldaten in einer von Supabase betriebenen PostgreSQL-Datenbank gespeichert. Die Speicherung erfolgt in einer von Supabase betriebenen Cloud-Infrastruktur in der EU-Region (Irland). Mit Supabase besteht ein Auftragsverarbeitungsvertrag (AVV); ein möglicher Zugriff aus Drittländern, insbesondere den USA (Unternehmenssitz), erfolgt auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Resend (E-Mail-Versand): Für den Versand von transaktionalen E-Mails (z. B. Registrierungsbestätigung, Passwort-Zurücksetzen) nutzen wir den Dienst Resend. Resend verarbeitet dabei die E-Mail-Adresse der Empfänger sowie den Inhalt der jeweiligen E-Mail in unserem Auftrag. Mit dem Anbieter wurde ein Auftragsverarbeitungsvertrag (Data Processing Addendum, DPA) abgeschlossen. Dabei können personenbezogene Daten auf Servern in den USA verarbeitet werden; die Datenübermittlung erfolgt auf Grundlage der Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO.

Vercel (Webhosting und Auslieferung): Unsere Webanwendung wird auf der Infrastruktur von Vercel gehostet und ausgeliefert. Bei jedem Seitenaufruf verarbeitet Vercel automatisch die IP-Adresse der Nutzer sowie Protokolldaten zur Auslieferung der Inhalte. Vercel ist im Data Privacy Framework (DPF) zertifiziert.

Helfer-Eintragungen (Schichtanmeldungen)

Wenn sich eine Person als Helfer in eine Schicht einträgt, wird der eingegebene Name als personenbezogenes Datum in unserer Datenbank gespeichert. Die Eintragung erfolgt freiwillig durch die betroffene Person selbst.

Sichtbarkeit: Der Name ist auf der öffentlichen Eventseite für alle Personen sichtbar, die den Event-Link kennen, sofern nicht die Option „Anonym eintragen" gewählt wurde. Bei anonymer Eintragung ist der Name ausschließlich für den Organisator sichtbar.

Löschung: Helfer-Einträge werden gelöscht, sobald der Organisator die jeweilige Schicht oder das gesamte Event löscht, oder wenn der Organisator sein Konto löscht. Eine Löschung eines einzelnen Eintrags kann jederzeit beim Organisator oder direkt beim Verantwortlichen beantragt werden.

Einsatz von Cookies

Unter dem Begriff „Cookies" werden Funktionen verstanden, die Informationen auf Endgeräten der Nutzer speichern und aus ihnen auslesen. Wir verwenden ausschließlich technisch notwendige Cookies für die Authentifizierung. Es werden keine Tracking- oder Werbe-Cookies eingesetzt.

Speicherdauer: Temporäre Cookies (Session-Cookies) werden spätestens gelöscht, nachdem ein Nutzer das Onlineangebot verlassen und seinen Browser geschlossen hat. Permanente Cookies bleiben auch nach dem Schließen des Browsers gespeichert, bis zu zwei Jahre.

Kontakt- und Anfrageverwaltung

Bei der Kontaktaufnahme mit uns (z. B. per E-Mail) werden die Angaben der anfragenden Personen verarbeitet, soweit dies zur Beantwortung der Kontaktanfragen und etwaiger angefragter Maßnahmen erforderlich ist.

Änderung und Aktualisierung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits oder eine sonstige individuelle Benachrichtigung erforderlich wird.

Begriffsdefinitionen

Bestandsdaten

Wesentliche Informationen, die für die Identifikation und Verwaltung von Vertragspartnern, Benutzerkonten, Profilen und ähnlichen Zuordnungen notwendig sind, z. B. Namen, Kontaktinformationen (Adressen, Telefonnummern, E-Mail-Adressen), Geburtsdaten und spezifische Identifikatoren.

Inhaltsdaten

Informationen, die im Zuge der Erstellung, Bearbeitung und Veröffentlichung von Inhalten aller Art generiert werden (Texte, Bilder, Videos, Audiodateien etc.) sowie zugehörige Metadaten.

Kontaktdaten

Essentielle Informationen für die Kommunikation mit Personen oder Organisationen: Telefonnummern, Adressen, E-Mail-Adressen sowie Kommunikationsmittel wie soziale Medien-Handles.

Meta-, Kommunikations- und Verfahrensdaten

Informationen über die Art und Weise, wie Daten verarbeitet, übermittelt und verwaltet werden, z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, Audit-Logs.

Nutzungsdaten

Informationen, die erfassen, wie Nutzer mit digitalen Produkten, Dienstleistungen oder Plattformen interagieren: Seitenaufrufe, Verweildauer, Klickpfade, IP-Adressen, Geräteinformationen.

Personenbezogene Daten

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Protokolldaten

Informationen über Ereignisse oder Aktivitäten, die in einem System oder Netzwerk protokolliert wurden (Zeitstempel, IP-Adressen, Benutzeraktionen, Fehlermeldungen).

Verantwortlicher

Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Verarbeitung

Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (Erheben, Auswerten, Speichern, Übermitteln oder Löschen).