Datenschutzerklaerung

1. Verantwortlicher und Rollenmodell

Verantwortlicher im Sinne der DSGVO fuer den Betrieb dieser Plattform ist Leon Braun, Albert-Einstein-Str. 1, 49074 Osnabrueck, E-Mail info@beeraftermission.com (nachfolgend "Betreiber").

Hinsichtlich der Mitgliederdaten der einzelnen Vereine handelt der Betreiber als Auftragsverarbeiter (Art. 28 DSGVO). Verantwortlicher fuer diese Daten ist der jeweilige Verein. Die Rechtsbeziehungen zwischen Verein und Betreiber sind im Auftragsverarbeitungsvertrag (AVV) geregelt.

2. Verarbeitete Daten und Zwecke

• Registrierung und Login: Vor- und Nachname, E-Mail, Passwort-Hash; ggf. eine vom Nutzer gesetzte PIN (verschluesselt gespeichert). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung).
• Bestellungen und Abrechnung: Produkt, Menge, Preis, Zeitpunkt, Bezug zum bestellenden und empfangenden Vereinsmitglied. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Aufbewahrungspflicht nach Handels- und Steuerrecht (Art. 6 Abs. 1 lit. c DSGVO).
• Plattform-Nutzung: Zeitstempel der letzten Aktivitaet, IP-Adresse und User-Agent in Sitzungs-Datensaetzen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilitaet und Missbrauchsschutz).
• Plug-in-Synchronisation: sofern vom Verein aktiviert, Abgleich von Mitgliederdaten und Produkten mit externen Vereinsverwaltungssystemen (z.B. Vereinsflieger). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO im Verhaeltnis zum Verein.
• Transaktionale E-Mails: Versand von Login-Links, Begruessungs- und Hinweismails ueber Amazon SES (eu-central-1). Es wird ein Versand-Log gefuehrt (Empfaenger, Betreff, Zeitpunkt, Zustellstatus). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
• Abrechnung des Vereinsbetreibers: Stripe Payments Europe verarbeitet Bestelldaten und Karteninformationen fuer die monatliche Plattformgebuehr des Vereins. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Der Betreiber selbst speichert keine Karten- oder Kontodaten.

3. Speicherdauer

• Bestellungen und Abrechnungsbelege: 10 Jahre gemaess Handelsrecht und Abgabenordnung; danach Anonymisierung.
• Mitglieder-Stammdaten: fuer die Dauer der Vereinsmitgliedschaft; bei Loeschung erfolgt eine sofortige Anonymisierung (siehe Abschnitt 6).
• Sitzungs-Datensaetze: bis zum Ablauf der Sitzung; danach so lange erforderlich zur Aufklaerung missbraeuchlicher Zugriffe.
• E-Mail-Versand-Logs: so lange erforderlich zum Nachweis ordnungsgemaesser Zustellung und zur Fehleranalyse.
• Plug-in-Synchronisations-Logs: so lange erforderlich zur Fehleranalyse.

Eine automatisierte zeitbasierte Loeschung dieser technischen Logs ist geplant, aber zum gegenwaertigen Zeitpunkt nicht implementiert.

4. Empfaenger / Unterauftragsverarbeiter

Eine vollstaendige Liste der eingesetzten Unterauftragsverarbeiter findet sich auf der Seite Unterauftragsverarbeiter.

5. Cookies

Diese Plattform verwendet ausschliesslich technisch notwendige Cookies zur Verwaltung der Benutzersitzung (Auth.js). Diese sind gemaess Paragraph 25 Abs. 2 Nr. 2 TTDSG einwilligungsfrei. Es findet keine Reichweitenmessung, kein Tracking und keine Werbenutzung statt.

6. Rechte der betroffenen Personen

Sie haben jederzeit das Recht auf:

• Auskunft ueber Ihre gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Loeschung Ihrer Daten (Art. 17 DSGVO)
• Einschraenkung der Verarbeitung (Art. 18 DSGVO)
• Datenuebertragbarkeit in maschinenlesbarem Format (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)

Auskunft und Loeschung koennen Sie nach dem Login direkt in Ihrem Profil unter "Datenschutz" ausloesen. Alternativ wenden Sie sich an Ihren Vereinsadministrator oder per E-Mail an info@beeraftermission.com.

Der Self-Service fuer Auskunft und Loeschung wird in einer kommenden Version der Plattform freigeschaltet.

7. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehoerde zu beschweren. Zustaendig fuer den Betreiber ist:

Die Landesbeauftragte fuer den Datenschutz Niedersachsen
Prinzenstrasse 5, 30159 Hannover
lfd.niedersachsen.de

8. Sicherheit der Verarbeitung

Es kommen Massnahmen gemaess Art. 32 DSGVO zum Einsatz: TLS-Verschluesselung der Datenuebertragung, AES-256-GCM Verschluesselung sensibler Felder (PIN), rollenbasiertes Berechtigungssystem, Hosting in der EU. Auth.js-Sitzungs- und OAuth-Token werden derzeit unverschluesselt in der Datenbank gespeichert; eine zusaetzliche Haertung ist geplant.

9. Aenderungen dieser Erklaerung

Diese Datenschutzerklaerung kann an geaenderte rechtliche oder technische Rahmenbedingungen angepasst werden. Die jeweils aktuelle Fassung ist unter dieser Adresse abrufbar.