Rechtliches
Datenschutzerklärung
Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten innerhalb unserer Plattform VereinPlan.
1. Verantwortlicher
VereinPlan - Tim Burkert
c/o Online-Impressum #7370
Europaring 90
53757 Sankt Augustin
E-Mail: vereinplan@mail.online-impressum.de
2. Datenschutzbeauftragter
Es wurde kein Datenschutzbeauftragter bestellt. Für Datenschutzanfragen wenden Sie sich bitte direkt an den Verantwortlichen:
Tim Burkert
E-Mail: vereinplan@mail.online-impressum.de
3. Übersicht der Verarbeitungen
Im Rahmen der Nutzung von VereinPlan werden folgende Kategorien personenbezogener Daten verarbeitet:
- Bestandsdaten: Name, E-Mail-Adresse, Vereinszugehörigkeit
- Kontaktdaten: E-Mail-Adresse
- Nutzungsdaten: Login-Zeitstempel, Session-Daten, IP-Adresse, User-Agent
- Inhaltsdaten: Kalendereinträge, Organisationsdaten, hochgeladene Medien, Veranstaltungsinformationen
- Gerätedaten: Push-Notification-Token, Gerätetyp (bei Nutzung der mobilen App)
4. Rechtsgrundlagen der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen der DSGVO:
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Für Social Login (Google, Apple), Push-Benachrichtigungen und KI-gestützte Funktionen.
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Für die Bereitstellung der Plattform, Registrierung, Login, Session-Verwaltung, E-Mail-Versand und Vereinsverwaltung.
- Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Für technische Sicherheitsmaßnahmen, Fehlerdiagnose und die Speicherung von IP-Adresse und User-Agent zur Sicherung der Sitzungsverwaltung.
5. Sicherheitsmaßnahmen
Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:
- Verschlüsselte Übertragung aller Daten mittels TLS/HTTPS
- Verschlüsselte Session-Verwaltung mittels AES-Verschlüsselung (Schlüssel abgeleitet über Argon2id)
- Passwort-Hashing mit bcrypt
- HTTP-Only, Secure und SameSite-Cookies
- Rollenbasierte Zugriffskontrolle (Admin, Organizer, Member) auf Vereinsebene
6. Registrierung, Login und Session-Verwaltung
Bei der Registrierung werden Ihr Name und Ihre E-Mail-Adresse erhoben. Das Passwort wird ausschließlich als bcrypt-Hash gespeichert. Zusätzlich bieten wir passwortlose Anmeldung über Passkeys (WebAuthn/FIDO2) an — hierbei werden kryptographische Schlüssel lokal auf Ihrem Gerät erzeugt und keine biometrischen Daten an uns übermittelt.
Bei jedem Login wird eine Session erzeugt und in unserer Datenbank gespeichert. Erfasst werden dabei: Session-ID, Benutzer-ID, IP-Adresse, User-Agent, Erstellungszeitpunkt und Ablaufdatum. Sessions sind standardmäßig 30 Tage gültig und werden bei jeder authentifizierten Anfrage verlängert. Sie können einzelne Sessions oder alle Sessions jederzeit widerrufen.
Web-App: Die Session wird in einem verschlüsselten HTTP-Only-Cookie (vereinplan_session) mit Secure- und SameSite=Lax-Attributen gespeichert.
Mobile App: Der verschlüsselte Session-Token wird lokal auf dem Gerät gespeichert (iOS Keychain / Android EncryptedSharedPreferences) und als Bearer-Token übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
7. Social Login (Google und Apple)
Sie können sich optional über Ihren Google- oder Apple-Account anmelden. Dabei werden folgende Daten vom jeweiligen Anbieter an uns übermittelt:
- Google OAuth 2.0: E-Mail-Adresse, Name, Google-Benutzer-ID. Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. Datenschutzerklärung: https://policies.google.com/privacy. Google ist unter dem EU-US Data Privacy Framework zertifiziert.
- Apple Sign-In: E-Mail-Adresse, Name (nur beim erstmaligen Login), Apple-Benutzer-ID. Anbieter: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA. Datenschutzerklärung: https://www.apple.com/legal/privacy/. Die Datenübermittlung erfolgt auf Basis von EU-Standardvertragsklauseln (SCC).
Die Nutzung von Social Login ist freiwillig. Bei der erstmaligen Anmeldung wird ein Benutzerkonto erstellt oder — bei bereits vorhandener E-Mail-Adresse — mit einem bestehenden Konto verknüpft.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung des Social-Login-Buttons).
8. Push-Benachrichtigungen
Bei Nutzung der mobilen App können Sie Push-Benachrichtigungen aktivieren. Dafür wird ein gerätespezifisches Token erzeugt und in unserer Datenbank gespeichert. Die Zustellung erfolgt über:
- Apple Push Notification service (APNs): Für iOS-Geräte. Übermittelt werden das Device-Token und der Benachrichtigungsinhalt. Anbieter: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA.
- Firebase Cloud Messaging (FCM): Für Android-Geräte. Übermittelt werden das Device-Token und der Benachrichtigungsinhalt. Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (Google ist unter dem EU-US Data Privacy Framework zertifiziert).
Push-Benachrichtigungen können jederzeit in den Geräteeinstellungen deaktiviert werden. Dabei wird das gespeicherte Token gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Aktivierung der Push-Benachrichtigungen).
9. E-Mail-Versand
Für den Versand transaktionaler E-Mails (z. B. E-Mail-Bestätigungen, Einladungen, Benachrichtigungen) nutzen wir den Dienst Lettermint. Dabei werden Ihre E-Mail-Adresse sowie der E-Mail-Inhalt an Lettermint übermittelt. Die Verarbeitung erfolgt auf Servern innerhalb der Europäischen Union.
Anbieter: Lettermint (lettermint.co). Mit Lettermint wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — E-Mails sind für die Nutzung der Plattform erforderlich).
10. KI-gestützte Funktionen
VereinPlan nutzt KI-Modelle für folgende Funktionen:
- Planungsassistent: Ein KI-gestützter Chat-Assistent hilft bei der Erstellung von Veranstaltungen und Schichtplänen. An den KI-Anbieter werden der Vereinsname sowie die vom Benutzer eingegebenen Nachrichten und Veranstaltungsdaten übermittelt. Es werden keine personenbezogenen Daten wie Namen oder E-Mail-Adressen der Benutzer an den KI-Anbieter gesendet.
- Positionsanalyse: Zur Erstellung von Fähigkeitsprofilen für Positionen werden Positionsbezeichnungen und Veranstaltungsbeschreibungen analysiert. Es werden keine Mitgliederdaten übermittelt.
- Onboarding-Assistent: Beim Einrichten eines neuen Vereins kann die öffentliche Vereinswebsite analysiert werden, um Strukturen automatisch zu erkennen. Dabei werden ausschließlich öffentlich zugängliche Inhalte der angegebenen Website verarbeitet.
Die KI-Verarbeitung erfolgt über die API von Mistral AI (mistral.ai). Anbieter: Mistral AI, 15 rue des Halles, 75001 Paris, Frankreich. Mistral AI ist ein europäisches Unternehmen mit Sitz in Frankreich. Die Datenverarbeitung erfolgt ausschließlich auf Servern innerhalb der Europäischen Union. Ein Drittlandtransfer findet nicht statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung der KI-Funktionen).
11. Chat-Nachrichten
VereinPlan bietet eine Chat-Funktion, über die Vereinsmitglieder miteinander kommunizieren können. Dabei werden folgende Daten verarbeitet:
- Nachrichteninhalt: Gesendete Textnachrichten werden dauerhaft in der Datenbank gespeichert. Gelöschte Nachrichten werden inhaltlich geleert (Soft-Delete); der Datensatz bleibt zur Aufrechterhaltung der Konversationsstruktur erhalten.
- Absenderinformation: Jede Nachricht ist dem sendenden Mitglied (Name, Profilbild) zugeordnet.
- Zeitstempel: Erstellungszeitpunkt sowie ggf. Bearbeitungszeitpunkt bei nachträglicher Änderung.
- Anhänge: Hochgeladene Dateien und Bilder werden als Medienobjekte gespeichert (s. Abschnitt 12).
- Reaktionen: Emoji-Reaktionen auf Nachrichten werden gespeichert und dem reagierenden Mitglied zugeordnet.
Nachrichten sind ausschließlich für Mitglieder des jeweiligen Kanals (globaler Vereinskanal, Gruppen-Kanal oder Direktkanal) sichtbar. Der Zugriff ist über die rollenbasierte Zugriffskontrolle abgesichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung der Kommunikationsfunktion).
12. Medienspeicherung
Hochgeladene Medien (z. B. Vereinslogos, Profilbilder, Veranstaltungsbilder) werden in einem S3-kompatiblen Objektspeicher von Hetzner Object Storage gespeichert. Die Speicherung erfolgt auf Servern in Deutschland (Falkenstein, EU). Ein Drittlandtransfer findet nicht statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
13. Hosting und Infrastruktur
VereinPlan wird auf der Hetzner Cloud (hetzner.com) gehostet. Sämtliche Infrastrukturkomponenten — Anwendungsserver, PostgreSQL-Datenbank, Redis (Aufgabenwarteschlange) und Objektspeicher — werden auf Servern in Deutschland (Falkenstein, EU) betrieben. Ein Datentransfer in Drittländer findet für diese Komponenten nicht statt.
Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Mit Hetzner wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem zuverlässigen Hosting).
14. Cookies und technische Speicherung
VereinPlan verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Im Einzelnen:
vereinplan_session: Verschlüsselter Session-Cookie zur Aufrechterhaltung Ihrer Anmeldung. HTTP-Only, Secure, SameSite=Lax. Gültigkeit: 30 Tage (wird bei Nutzung verlängert).- OAuth-State-Cookies: Temporäre Cookies zur Absicherung des Social-Login-Prozesses gegen CSRF-Angriffe. Gültigkeit: 10 Minuten.
Da ausschließlich technisch notwendige Cookies verwendet werden, ist keine Einwilligung über ein Cookie-Banner erforderlich (§ 25 Abs. 2 TDDDG).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und § 25 Abs. 2 TDDDG.
15. Übermittlung in Drittländer
Bestimmte Dienste erfordern eine Datenübermittlung in die USA. Die Übermittlung erfolgt jeweils auf Basis geeigneter Garantien:
- Google (OAuth, FCM): Angemessenheitsbeschluss der EU-Kommission im Rahmen des EU-US Data Privacy Framework (Art. 45 DSGVO).
- Apple (Sign-In, APNs): EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
Hinweis: Die KI-Verarbeitung über Mistral AI erfolgt ausschließlich innerhalb der EU und stellt keinen Drittlandtransfer dar.
16. Speicherdauer und Löschung
Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist:
- Benutzerkonto: Daten werden gespeichert, solange Ihr Konto besteht, und nach Löschung des Kontos entfernt.
- Sessions: Laufen nach 30 Tagen Inaktivität ab und werden bei Widerruf sofort ungültig.
- E-Mail-Verifizierungstoken: Werden nach 24 Stunden gelöscht.
- Push-Token: Werden bei Deaktivierung der Push-Benachrichtigungen gelöscht.
- KI-Chatverläufe: Werden nicht serverseitig gespeichert und existieren nur während der aktiven Chat-Sitzung.
- Vereinsdaten und Inhalte: Werden gespeichert, solange der Verein die Plattform nutzt. Nach Kündigung erfolgt die Löschung gemäß den vereinbarten Fristen.
17. Ihre Rechte als betroffene Person
Sie haben nach der DSGVO folgende Rechte:
- Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
- Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
- Recht auf Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
- Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf Art. 6 Abs. 1 lit. f DSGVO beruht.
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die oben genannte verantwortliche Stelle.
18. Beschwerderecht bei einer Aufsichtsbehörde
Wenn Sie der Auffassung sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen (Art. 77 DSGVO). Sie können sich insbesondere an die Aufsichtsbehörde Ihres üblichen Aufenthaltsorts, Ihres Arbeitsplatzes oder unseres Unternehmenssitzes wenden.
19. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes sowie der Datenverarbeitung anzupassen. Es gilt die jeweils unter dieser URL veröffentlichte Fassung.
Stand: April 2026