Datenschutzerklärung

1. Verantwortlicher

Vertretungsberechtigt nach § 26 BGB: Yigit Emre Kilic

2. Welche Daten wir verarbeiten

2.1 Mitgliedsantrag

Beim Online-Mitgliedsantrag verarbeiten wir:

• Name, Anschrift, E-Mail, ggf. Telefon
• Bei SEPA-Einzug: IBAN für die Lastschrift
• Daten der Kinder (Vorname, Klasse) zur Zuordnung
• Bei Firmen-Mitgliedschaft: Firmenname, ggf. USt-IdNr

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Mitgliedschaftsverhältnis).

2.2 Spendenformular

Bei einer Spende verarbeiten wir Name, E-Mail und (auf Wunsch für die Spendenquittung) deine Anschrift. Bei Banküberweisung erscheint deine IBAN auf unserem Kontoauszug. Bei Zahlung per PayPal werden zusätzlich Transaktions-ID, Betrag und ggf. PayPal-Account-Name verarbeitet — die Zahlung selbst läuft über die PayPal (Europe) S.à r.l. et Cie, S.C.A. in Luxemburg (siehe Abschnitt 4).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche/vertragliche Verarbeitung), Art. 6 Abs. 1 lit. c (steuerrechtliche Aufbewahrungspflicht für Spendenquittungen).

2.3 Kündigungsformular

Bei der öffentlichen Kündigung verarbeiten wir Name, E-Mail und ggf. Begründung, um die Kündigung dem richtigen Mitgliedschafts-Datensatz zuordnen zu können.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.4 Kontaktformular

Wenn du das Kontaktformular nutzt, verarbeiten wir Name, E-Mail-Adresse, Betreff und den Inhalt deiner Nachricht. Die Daten werden ausschließlich zur Beantwortung deiner Anfrage verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Kommunikation mit Interessierten und Mitgliedern), bei Anbahnung einer Mitgliedschaft auch Art. 6 Abs. 1 lit. b.

2.5 Server-Logs & Spam-Schutz

Beim Aufruf der Website wird die anfragende IP-Adresse aus rechtlichem Schutz vor Missbrauch zeitnah SHA-256-gehasht und in dieser pseudonymisierten Form max. 30 Tage gespeichert (Rate-Limit gegen Spam und Botnet-Angriffe).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Schutz vor missbräuchlicher Nutzung).

3. Speicherdauer

• Beitrags- und Spendendaten — 10 Jahre (§ 257 HGB / § 147 AO, GoBD), danach Anonymisierung.
• Mitgliederakten — bis 10 Jahre nach Austritt; danach Personenstammdaten anonymisieren, Finanzhistorie aggregiert behalten.
• Kontaktformular-Nachrichten — bis zur Erledigung der Anfrage, längstens 6 Monate, danach gelöscht.
• Unverbuchte Gast-Spende-Absichtserklärungen (angekündigt, aber nicht überwiesen) — automatische Löschung nach 90 Tagen ohne Zahlungseingang.
• Server-Log-Hashes — max. 30 Tage.
• Bestätigungs-/Korrespondenz-E-Mails — bis zur Erledigung, längstens jedoch 6 Jahre (§ 257 HGB).

4. Auftragsverarbeiter und Empfänger der Daten

Eine Übermittlung deiner Daten in unsichere Drittländer findet nicht statt. Hosting-Infrastruktur und Backups stehen in Deutschland bzw. der EU. Im Rahmen unseres Betriebs nutzen wir folgende Auftragsverarbeiter (AVV / DPA nach Art. 28 DSGVO):

• Cloudflare Germany GmbH (Berlin / Cloudflare, Inc., 101 Townsend St, San Francisco — EU-Vertragspartner für DSGVO): DNS-Hosting, CDN-Edge, Cloudflare-Tunnel zum Vereins-Server, Cloudflare Access (Single Sign-On für interne App-Bereiche), R2-Objektspeicher für verschlüsselte Backups (EU-Region). Datenverarbeitungsvereinbarung gemäß CF Standard-DPA, Server der Web-Edge in Deutschland (Frankfurt).
• 1&1 IONOS SE, Montabaur — E-Mail-Versand und -Empfang für die Domain fv-gsew.de (Adressen wie vorstand@, kasse@, info@, noreply@). AVV vom Provider bereitgestellt.
• PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg — Zahlungsabwicklung bei Online-Spenden via PayPal-Checkout. Du wirst beim Klick auf den PayPal-Button mit den Datenschutzbedingungen von PayPal direkt konfrontiert. Datenfluss: Betrag, Vereinsname, Transaktions-Referenz zu PayPal; im Erfolgsfall zurück an uns: Capture-ID und Brutto-Betrag.

Hosting-Hardware steht auf einem privat betriebenen Server (Bad Salzuflen, Deutschland). Innerhalb des Vereins sehen deine Daten nur die berechtigten Vorstandsmitglieder (Vorsitzender, Stellv., Schatzmeister:in, Schriftführer:in, Kassenprüfer:innen) — über ein rollenbasiertes Berechtigungssystem.

5. Datensicherheit

• Alle Verbindungen verschlüsselt via HTTPS (TLS 1.3, HSTS, Strict-CSP)
• Login zur internen App nur per Zwei-Faktor-Authentifizierung (Cloudflare Access mit E-Mail-OTP oder Google)
• Tägliche, AES-256-verschlüsselte Off-Site-Backups (Cloudflare R2 EU-Region) mit unabhängigem Restore-Test
• Passwort-Hashes mit bcrypt (Cost 12)
• Audit-Log über sämtliche schreibende Aktionen (Wer hat wann was geändert)
• Automatische Lösch-Cronjobs für abgelaufene und nicht mehr benötigte Daten

6. Cookies

Wir setzen ausschließlich technisch notwendige Session-Cookies (für Login, CSRF-Schutz, Spracheinstellung). Es gibt keine Tracking-Cookies, kein Analyse-Tool, kein Drittland-Tracking, keine Werbe-Pixel. Cloudflare setzt zusätzlich ein technisch notwendiges Cookie (__cf_bm) zum Bot-Schutz (Lebensdauer 30 Min, kein Personenbezug).

7. Deine Rechte

• Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) — soweit die Verarbeitung auf Einwilligung beruht, kannst du diese jederzeit für die Zukunft widerrufen.
• Auskunft über die zu deiner Person gespeicherten Daten (Art. 15)
• Berichtigung unrichtiger Daten (Art. 16)
• Löschung, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 17)
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit (Art. 20)
• Widerspruch gegen Verarbeitung auf Basis berechtigten Interesses (Art. 21)
• Beschwerde bei der Aufsichtsbehörde (Art. 77). Für uns zuständig:
  Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestr. 2–4, 40213 Düsseldorf — www.ldi.nrw.de

Wende dich für die Wahrnehmung dieser Rechte formlos per E-Mail an vorstand@fv-gsew.de.

8. Newsletter / Vereinskommunikation

Mitglieder erhalten gelegentlich Vereinsnachrichten an die im Mitgliedsantrag angegebene E-Mail-Adresse (Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Mitgliedschafts-Information). Jede Mail enthält einen Abmelde-Link; du kannst dem Versand jederzeit per E-Mail widersprechen, ohne dass deine Mitgliedschaft davon berührt wird.

9. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.

10. Aktualität dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, falls sich die rechtliche Lage ändert oder wir neue Verarbeitungsprozesse einführen. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.