Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die
Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.
Arten der verarbeiteten Daten
Bestandsdaten.
Zahlungsdaten.
Kontaktdaten.
Inhaltsdaten.
Vertragsdaten.
Nutzungsdaten.
Meta-, Kommunikations- und Verfahrensdaten.
Bild- und Empfängeranschriftdaten (Postkartendienst).
Kategorien betroffener Personen
Interessenten.
Kommunikationspartner.
Nutzer.
Mitglieder.
Geschäfts- und Vertragspartner.
Postkartenempfänger (Dritte, deren Postanschrift von einer absendenden Person
eingegeben wird).
Zwecke der Verarbeitung
Kontaktanfragen und Kommunikation.
Sicherheitsmaßnahmen.
Direktmarketing.
Verwaltung und Beantwortung von Anfragen.
Feedback.
Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit.
Informationstechnische Infrastruktur.
Fehlerüberwachung und Stabilität unseres Onlineangebotes.
Herstellung und Versand physischer Postkarten im Auftrag von Spendern.
Maßgebliche Rechtsgrundlagen
Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf
deren Basis wir personenbezogene Daten verarbeiten. Bitte nehmen Sie zur
Kenntnis, dass neben den Regelungen der DSGVO nationale Datenschutzvorgaben in
Ihrem bzw. unserem Wohn- oder Sitzland gelten können. Sollten ferner im
Einzelfall speziellere Rechtsgrundlagen maßgeblich sein, teilen wir Ihnen diese
in der Datenschutzerklärung mit.
Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) - Die betroffene Person
hat ihre Einwilligung in die Verarbeitung der sie betreffenden
personenbezogenen Daten für einen spezifischen Zweck oder mehrere bestimmte
Zwecke gegeben.
Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b)
DSGVO) - Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen
Vertragspartei die betroffene Person ist, oder zur Durchführung
vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen
Person erfolgen.
Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) - Die
Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen
oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte
und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener
Daten erfordern, überwiegen.
Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO) - Die
Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich,
der wir unterliegen, insbesondere handels- und steuerrechtlicher
Aufbewahrungspflichten nach §§ 257 HGB und 147 AO.
Zusätzlich zu den Datenschutzregelungen der DSGVO gelten nationale Regelungen
zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Gesetz zum Schutz
vor Missbrauch personenbezogener Daten bei der Datenverarbeitung
(Bundesdatenschutzgesetz – BDSG). Das BDSG enthält insbesondere
Spezialregelungen zum Recht auf Auskunft, zum Recht auf Löschung, zum
Widerspruchsrecht, zur Verarbeitung besonderer Kategorien personenbezogener
Daten, zur Verarbeitung für andere Zwecke und zur Übermittlung sowie
automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling.
Ferner können Landesdatenschutzgesetze der einzelnen Bundesländer zur Anwendung
gelangen.
Sicherheitsmaßnahmen
Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des
Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der
Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und
Freiheiten natürlicher Personen geeignete technische und organisatorische
Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit,
Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen und
elektronischen Zugangs zu den Daten als auch des sie betreffenden Zugriffs, der
Eingabe, der Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des
Weiteren haben wir Verfahren eingerichtet, die eine Wahrnehmung von
Betroffenenrechten, die Löschung von Daten und Reaktionen auf die Gefährdung der
Daten gewährleisten. Ferner berücksichtigen wir den Schutz personenbezogener
Daten bereits bei der Entwicklung bzw. Auswahl von Hardware, Software sowie
Verfahren entsprechend dem Prinzip des Datenschutzes, durch Technikgestaltung
und durch datenschutzfreundliche Voreinstellungen.
TLS-Verschlüsselung (https): Um Ihre via unserem Online-Angebot übermittelten
Daten zu schützen, nutzen wir eine TLS-Verschlüsselung. Sie erkennen derart
verschlüsselte Verbindungen an dem Präfix https:// in der Adresszeile Ihres
Browsers.
Übermittlung von personenbezogenen Daten
Im Rahmen unserer Verarbeitung von personenbezogenen Daten kommt es vor, dass
die Daten an andere Stellen, Unternehmen, rechtlich selbstständige
Organisationseinheiten oder Personen übermittelt oder sie ihnen gegenüber
offengelegt werden. Zu den Empfängern dieser Daten können z.B. mit IT-Aufgaben
beauftragte Dienstleister oder Anbieter von Diensten und Inhalten, die in eine
Webseite eingebunden werden, gehören. In solchen Fällen beachten wir die
gesetzlichen Vorgaben und schließen insbesondere entsprechende Verträge bzw.
Vereinbarungen, die dem Schutz Ihrer Daten dienen, mit den Empfängern Ihrer
Daten ab.
Datenverarbeitung in Drittländern
Sofern wir Daten in einem Drittland (d.h., außerhalb der Europäischen Union
(EU), des Europäischen Wirtschaftsraums (EWR)) verarbeiten oder die Verarbeitung
im Rahmen der Inanspruchnahme von Diensten Dritter oder der Offenlegung bzw.
Übermittlung von Daten an andere Personen, Stellen oder Unternehmen stattfindet,
erfolgt dies nur im Einklang mit den gesetzlichen Vorgaben.
Vorbehaltlich ausdrücklicher Einwilligung oder vertraglich oder gesetzlich
erforderlicher Übermittlung verarbeiten oder lassen wir die Daten nur in
Drittländern mit einem anerkannten Datenschutzniveau, vertraglichen
Verpflichtung durch sogenannte Standardschutzklauseln der EU-Kommission, beim
Vorliegen von Zertifizierungen oder verbindlicher internen
Datenschutzvorschriften verarbeiten (Art. 44 bis 49 DSGVO, Informationsseite der
EU-Kommission:
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_de
).
Folgende Anbieter verarbeiten Daten in den USA auf Grundlage des EU-US Data
Privacy Framework und/oder der EU-Standardvertragsklauseln: Netlify Inc., Stripe
Inc., Cloudinary Ltd. (US-Betrieb), Functional Software Inc. (Sentry), Rocket
Science Group LLC (Mailchimp), PostHog Inc. (US-Gesellschaft; Verarbeitung
erfolgt auf dem EU-Cluster), Google LLC (Drive, Sheets,
YouTube-Fallback-Domains).
Löschung von Daten
Die von uns verarbeiteten Daten werden nach Maßgabe der gesetzlichen Vorgaben
gelöscht, sobald deren zur Verarbeitung erlaubten Einwilligungen widerrufen
werden oder sonstige Erlaubnisse entfallen (z.B. wenn der Zweck der Verarbeitung
dieser Daten entfallen ist oder sie für den Zweck nicht erforderlich sind).
Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich
zulässige Zwecke erforderlich sind, wird deren Verarbeitung auf diese Zwecke
beschränkt. D.h., die Daten werden gesperrt und nicht für andere Zwecke
verarbeitet. Das gilt z.B. für Daten, die aus handels- oder steuerrechtlichen
Gründen aufbewahrt werden müssen oder deren Speicherung zur Geltendmachung,
Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer
anderen natürlichen oder juristischen Person erforderlich ist.
Von uns angewandte Aufbewahrungsfristen:
Buchhaltungsunterlagen zu Spenden und Mitgliedschaften (inkl. Namen,
Anschriften, Beträgen, Bank-/Stripe-Zahlungsreferenzen): 10 Jahre ab Ende des
Kalenderjahres der Transaktion (§ 257 Abs. 4 HGB, § 147 Abs. 3 AO).
Server-Logfiles: max. 30 Tage, danach gelöscht oder anonymisiert.
Datensätze zu Newsletter-Abmeldungen (E-Mail + Zeitstempel): bis zu 3 Jahre
auf Grundlage unseres berechtigten Interesses am Nachweis ehemals erteilter
Einwilligungen.
Empfängerdaten Postkartendienst: spätestens 90 Tage nach Druck und Versand der
Postkarte aus unseren Systemen gelöscht. Print.one und Google Drive bewahren
Kopien nach deren eigenen Aufbewahrungsregeln auf.
Nachrichten aus Kontaktformularen: aufbewahrt, solange zur Beantwortung und
Klärung erforderlich, in der Regel innerhalb von 12 Monaten gelöscht, sofern
nicht weiterhin Kommunikation eine längere Aufbewahrung erfordert.
Sentry-Fehlerereignisse: 90 Tage (Plattform-Standardaufbewahrung).
PostHog-Analyseereignisse: 12 Monate.
Wahrnehmung von Aufgaben nach Satzung oder Geschäftsordnung
Wir verarbeiten die Daten unserer Mitglieder, Unterstützer, Interessenten,
Geschäftspartner oder sonstiger Personen (Zusammenfassend “Betroffene”), wenn
wir mit ihnen in einem Mitgliedschafts- oder sonstigem geschäftlichen Verhältnis
stehen und unsere Aufgaben wahrnehmen sowie Empfänger von Leistungen und
Zuwendungen sind. Im Übrigen verarbeiten wir die Daten Betroffener auf Grundlage
unserer berechtigten Interessen, z.B. wenn es sich um administrative Aufgaben
oder Öffentlichkeitsarbeit handelt.
Die hierbei verarbeiteten Daten, die Art, der Umfang und der Zweck und die
Erforderlichkeit ihrer Verarbeitung, bestimmen sich nach dem zugrundeliegenden
Mitgliedschafts- oder Vertragsverhältnis, aus dem sich auch die Erforderlichkeit
etwaiger Datenangaben ergeben (im Übrigen weisen wir auf erforderliche Daten
hin).
Wir löschen Daten, die zur Erbringung unserer satzungs- und geschäftsmäßigen
Zwecke nicht mehr erforderlich sind. Dies bestimmt sich entsprechend der
jeweiligen Aufgaben und vertraglichen Beziehungen. Wir bewahren die Daten so
lange auf, wie sie zur Geschäftsabwicklung, als auch im Hinblick auf etwaige
Gewährleistungs- oder Haftungspflichten auf Grundlage unserer berechtigten
Interesse an deren Regelung relevant sein können. Die Erforderlichkeit der
Aufbewahrung der Daten wird regelmäßig überprüft; im Übrigen gelten die
gesetzlichen Aufbewahrungspflichten.
Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von
Onlinediensten); Mitglieder; Geschäfts- und Vertragspartner.
Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen und
Kundenservice; Kontaktanfragen und Kommunikation; Verwaltung und Beantwortung
von Anfragen.
Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6
Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f)
DSGVO); Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO) für
buchhalterische Aufbewahrung.
Zahlungsverfahren
Im Rahmen von Vertrags- und sonstigen Rechtsbeziehungen, aufgrund gesetzlicher
Pflichten oder sonst auf Grundlage unserer berechtigten Interessen bieten wir
den betroffenen Personen effiziente und sichere Zahlungsmöglichkeiten an und
setzen hierzu neben Banken und Kreditinstituten weitere Dienstleister ein
(zusammenfassend “Zahlungsdienstleister”).
Zu den durch die Zahlungsdienstleister verarbeiteten Daten gehören
Bestandsdaten, wie z.B. der Name und die Adresse, Bankdaten, wie z.B.
Kontonummern oder Kreditkartennummern, Passwörter, TANs und Prüfsummen sowie die
Vertrags-, Summen- und empfängerbezogenen Angaben. Die Angaben sind
erforderlich, um die Transaktionen durchzuführen. Die eingegebenen Daten werden
jedoch nur durch die Zahlungsdienstleister verarbeitet und bei diesen
gespeichert. D.h., wir erhalten keine konto- oder kreditkartenbezogenen
Informationen, sondern lediglich Informationen mit Bestätigung oder
Negativbeauskunftung der Zahlung. Unter Umständen werden die Daten seitens der
Zahlungsdienstleister an Wirtschaftsauskunfteien übermittelt. Diese Übermittlung
bezweckt die Identitäts- und Bonitätsprüfung. Hierzu verweisen wir auf die AGB
und die Datenschutzhinweise der Zahlungsdienstleister.
Für die Zahlungsgeschäfte gelten die Geschäftsbedingungen und die
Datenschutzhinweise der jeweiligen Zahlungsdienstleister, welche innerhalb der
jeweiligen Webseiten bzw. Transaktionsapplikationen abrufbar sind. Wir verweisen
auf diese ebenfalls zwecks weiterer Informationen und Geltendmachung von
Widerrufs-, Auskunfts- und anderen Betroffenenrechten.
Verarbeitete Datenarten: Bestandsdaten (z.B. Namen, Adressen);
Zahlungsdaten (z.B. Bankverbindungen, Rechnungen, Zahlungshistorie);
Vertragsdaten (z.B. Vertragsgegenstand, Laufzeit, Kundenkategorie);
Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten,
Zugriffszeiten); Meta-, Kommunikations- und Verfahrensdaten (z. B.
IP-Adressen, Zeitangaben, Identifikationsnummern, Einwilligungsstatus).
Betroffene Personen: Kunden; Interessenten.
Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen und
Kundenservice.
Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6
Abs. 1 S. 1 lit. b) DSGVO).
Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:
Stripe: Zahlungsdienstleistungen (technische Anbindung von
Online-Bezahlmethoden); Dienstanbieter: Stripe Payments Europe, Ltd., 1
Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (Verantwortlicher
für EU-Kunden, mit Weiterleitung an Stripe, Inc., 510 Townsend Street, San
Francisco, CA 94103, USA); Rechtsgrundlagen: Vertragserfüllung und
vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Website:https://stripe.com
; Datenschutzerklärung:https://stripe.com/de/privacy
.
Bereitstellung des Onlineangebotes und Webhosting
Wir verarbeiten die Daten der Nutzer, um ihnen unsere Online-Dienste zur
Verfügung stellen zu können. Zu diesem Zweck verarbeiten wir die IP-Adresse des
Nutzers, die notwendig ist, um die Inhalte und Funktionen unserer Online-Dienste
an den Browser oder das Endgerät der Nutzer zu übermitteln.
Verarbeitete Datenarten: Nutzungsdaten (z.B. besuchte Webseiten, Interesse
an Inhalten, Zugriffszeiten); Meta-, Kommunikations- und Verfahrensdaten (z.
B. IP-Adressen, Zeitangaben, Identifikationsnummern, Einwilligungsstatus).
Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von
Onlinediensten).
Zwecke der Verarbeitung: Bereitstellung unseres Onlineangebotes und
Nutzerfreundlichkeit; Informationstechnische Infrastruktur (Betrieb und
Bereitstellung von Informationssystemen und technischen Geräten (Computer,
Server etc.).); Sicherheitsmaßnahmen.
Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:
Für die Bereitstellung unseres Onlineangebotes nutzen wir Speicherplatz,
Rechenkapazität, Serverless-Funktionen und
Formular-Übermittlungsinfrastruktur, die wir von einem Serveranbieter (auch
“Webhoster” genannt) mieten. Netlify: Dienstanbieter ist das amerikanische
Unternehmen Netlify Inc., 512 2nd Street, Fl. 2, San Francisco, CA 94107, USA.
Netlify hostet die statische Website, führt unsere Serverless-API-Funktionen
aus und nimmt Übermittlungen aus unserem Kontaktformular über Netlify Forms
entgegen. Datenschutzerklärung:https://www.netlify.com/privacy/Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f)
DSGVO).
Erhebung von Zugriffsdaten und Logfiles: Der Zugriff auf unser
Onlineangebot wird in Form von so genannten “Server-Logfiles” protokolliert.
Zu den Serverlogfiles können die Adresse und Name der abgerufenen Webseiten
und Dateien, Datum und Uhrzeit des Abrufs, übertragene Datenmengen, Meldung
über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des
Nutzers, Referrer URL (die zuvor besuchte Seite) und im Regelfall IP-Adressen
und der anfragende Provider gehören. Die Serverlogfiles können zum einen zu
Zwecken der Sicherheit eingesetzt werden, z.B., um eine Überlastung der Server
zu vermeiden (insbesondere im Fall von missbräuchlichen Angriffen, sogenannten
DDoS-Attacken) und zum anderen, um die Auslastung der Server und ihre
Stabilität sicherzustellen; Rechtsgrundlagen: Berechtigte Interessen (Art.
6 Abs. 1 S. 1 lit. f) DSGVO); Löschung von Daten: Logfile-Informationen
werden für die Dauer von maximal 30 Tagen gespeichert und danach gelöscht oder
anonymisiert. Daten, deren weitere Aufbewahrung zu Beweiszwecken erforderlich
ist, sind bis zur endgültigen Klärung des jeweiligen Vorfalls von der Löschung
ausgenommen.
Auslieferung von Bildern, Videos und Audiodateien (CDN)
Wir liefern Bilder, Videos und Audiodateien über ein Content Delivery Network
(CDN) aus. Beim Aufruf einer Seite unseres Onlineangebotes fordert Ihr Browser
die zugehörigen Mediendateien unmittelbar von den Servern des CDN an. Zur
Auslieferung verarbeitet das CDN Ihre IP-Adresse, die angeforderte URL, den
Zeitpunkt des Abrufs sowie technische Header, die Ihr Browser übermittelt
(User-Agent, Accept-Language usw.). Dies ist für die Darstellung unserer Seiten
technisch erforderlich.
Verarbeitete Datenarten: Nutzungsdaten; Meta-, Kommunikations- und
Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Request-Header).
Betroffene Personen: Nutzer (z. B. Webseitenbesucher).
Zwecke der Verarbeitung: Bereitstellung unseres Onlineangebotes;
Performance- und Bandbreitenoptimierung; Sicherheitsmaßnahmen.
Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:
Cloudinary: Bild- und Video-CDN, Optimierung und Transformation;
Dienstanbieter: Cloudinary Ltd., 3400 Central Expressway, Suite 110, Santa
Clara, CA 95051, USA, mit EU-Tochtergesellschaft Cloudinary Ltd., Tel Aviv,
Israel (Israel wird von der EU-Kommission als Drittland mit angemessenem
Datenschutzniveau anerkannt); Rechtsgrundlagen: Berechtigte Interessen
(Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Website:https://cloudinary.com
; Datenschutzerklärung:https://cloudinary.com/privacy
.
Fehlerüberwachung
In unseren Serverless-Backend-Funktionen (Spendenablauf, Newsletter-Anmeldung,
Postkartendienst, Kontaktformular) setzen wir einen Fehlerüberwachungsdienst
ein, um unerwartete Fehler, Stacktraces und den Anfragekontext (z. B.
Funktionsname, HTTP-Methode, gekürzter Request-Body) zu erfassen und Probleme
zügig identifizieren und beheben zu können. Bezieht sich ein Fehlerereignis auf
eine identifizierte Person (z. B. eine spendende Person, deren Checkout
fehlgeschlagen ist), kann dem Ereignis eine interne Kennung oder E-Mail-Adresse
zugeordnet werden, um den Vorgang nachzuverfolgen.
Verarbeitete Datenarten: Meta-, Kommunikations- und Verfahrensdaten (z. B.
IP-Adressen, Zeitangaben); Inhaltsdaten (Auszüge aus Request-Payloads);
vereinzelt Kontaktdaten (E-Mail) bei identifizierten Fehlern.
Betroffene Personen: Nutzer; Spender; Mitglieder.
Zwecke der Verarbeitung: Sicherheitsmaßnahmen; Stabilität unseres
Onlineangebotes; Fehleranalyse.
Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:
Sentry: Fehler- und Performance-Überwachung; Dienstanbieter:
Functional Software, Inc. dba Sentry, 45 Fremont Street, 8th Floor, San
Francisco, CA 94105, USA; Rechtsgrundlagen: Berechtigte Interessen (Art. 6
Abs. 1 S. 1 lit. f) DSGVO); Website:https://sentry.io
; Datenschutzerklärung:https://sentry.io/privacy/
;
Standardvertragsklauseln sind im Rahmen des Auftragsverarbeitungsvertrags
geschlossen.
Kontakt- und Anfragenverwaltung
Bei der Kontaktaufnahme mit uns (z.B. per Post, Kontaktformular, E-Mail, Telefon
oder via soziale Medien) sowie im Rahmen bestehender Nutzer- und
Geschäftsbeziehungen werden die Angaben der anfragenden Personen verarbeitet
soweit dies zur Beantwortung der Kontaktanfragen und etwaiger angefragter
Maßnahmen erforderlich ist.
Unser Kontaktformular wird über Netlify Forms bereitgestellt. Beim Absenden des
Formulars werden Ihre Eingaben (Name, E-Mail-Adresse, Nachricht sowie weitere
ggf. ausgefüllte Felder), Ihre IP-Adresse sowie der Zeitstempel der Übermittlung
an Netlify übertragen und uns im Netlify-Dashboard zur Verfügung gestellt. Wir
werden zu jeder Übermittlung per E-Mail benachrichtigt.
Verarbeitete Datenarten: Kontaktdaten (z.B. E-Mail, Telefonnummern);
Inhaltsdaten (z.B. Eingaben in Onlineformularen); Nutzungsdaten (z.B. besuchte
Webseiten, Interesse an Inhalten, Zugriffszeiten); Meta-, Kommunikations- und
Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern,
Einwilligungsstatus).
Betroffene Personen: Kommunikationspartner.
Zwecke der Verarbeitung: Kontaktanfragen und Kommunikation; Verwaltung und
Beantwortung von Anfragen; Feedback (z.B. Sammeln von Feedback via
Online-Formular); Bereitstellung unseres Onlineangebotes und
Nutzerfreundlichkeit.
Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f)
DSGVO); Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1
lit. b) DSGVO).
Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:
Netlify Forms: Backend für Formularübermittlungen; Dienstanbieter:
Netlify Inc., 512 2nd Street, Fl. 2, San Francisco, CA 94107, USA.
Datenschutzerklärung:https://www.netlify.com/privacy/Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6
Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f)
DSGVO).
Postkartendienst (Spendengeschenke)
In unserem Spendengeschenk-Ablauf können Sie uns beauftragen, eine physische
Postkarte an einen Dritten zu versenden (z. B. an die Person, der die Spende
gewidmet wird). Dazu geben Sie uns Namen und Postanschrift des Empfängers,
optional eine persönliche Nachricht sowie Ihren eigenen Namen als Absender. Wir
leiten diese Informationen an unseren Postkarten-Druckdienstleister weiter, der
die Postkarte druckt und über den regulären Postweg versendet. Sofern Sie ein
Foto hochladen, wird dieses bei unserem Cloud-Speicheranbieter abgelegt, damit
wir die Gestaltung prüfen und archivieren können.
Da der Empfänger typischerweise eine dritte Person ist, die selbst nicht mit uns
in Kontakt getreten ist, verlassen wir uns auf Ihre Zusicherung, dass Sie zur
Angabe der Empfängeradresse zu diesem Zweck berechtigt sind, und beschränken die
Verarbeitung der Empfängerdaten strikt auf die Herstellung und den Versand der
Postkarte.
Verarbeitete Datenarten: Bestandsdaten (Absendername, Empfängername);
Kontaktdaten (Postanschrift des Empfängers); Inhaltsdaten (persönliche
Nachricht, optional hochgeladenes Foto); Meta-, Kommunikations- und
Verfahrensdaten (IP-Adresse des Absendenden, Zeitstempel).
Zwecke der Verarbeitung: Herstellung und Versand physischer Postkarten im
Auftrag von Spendern; Verwaltung von Spendengeschenken.
Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6
Abs. 1 S. 1 lit. b) DSGVO) gegenüber dem Spender; Berechtigte Interessen (Art.
6 Abs. 1 S. 1 lit. f) DSGVO) gegenüber dem Empfänger, namentlich das
berechtigte Interesse des Spenders an der Zustellung einer personalisierten
Postkarte, abgewogen gegen den begrenzten und erwartbaren Charakter des
Datenflusses.
Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:
Print.one: Postkartendruck und -versand; Dienstanbieter: Print.one
B.V., De Witbogt 2, 5652 AG Eindhoven, Niederlande; Rechtsgrundlagen:
Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Website:https://print.one
; Datenschutzerklärung:https://www.print.one/en/privacy
.
Google Drive (für Foto-Uploads zum Postkartendienst): Cloud-Dateispeicher;
Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street,
Dublin 4, Irland (Verantwortlicher für den EWR), mit Weiterleitung an Google
LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA;
Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f)
DSGVO); Website:https://drive.google.com
;
Datenschutzerklärung:https://policies.google.com/privacy
.
Kampagnendaten
Die Liste unserer Spendenkampagnen und Kampagnenposten pflegen wir in einem
Google-Sheets-Dokument. Dieses Dokument enthält ausschließlich
Kampagnenbeschreibungen und Stückpreise – es enthält keinerlei personenbezogene
Daten von Besuchern oder Spendern. Beim Bau oder bei der Aktualisierung einer
Seite liest unser Backend dieses Sheet über die Google-Sheets-API aus. Wir
weisen darauf an dieser Stelle hin, um Transparenz über unsere
Drittlandverarbeitungsbeziehungen herzustellen.
Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street,
Dublin 4, Irland, mit Weiterleitung an Google LLC, USA; Rechtsgrundlagen:
Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO);
Datenschutzerklärung:https://policies.google.com/privacy
.
Newsletter und elektronische Benachrichtigungen
Wir versenden Newsletter, E-Mails und weitere elektronische Benachrichtigungen
(nachfolgend “Newsletter“) nur mit der Einwilligung der Empfänger oder einer
gesetzlichen Erlaubnis. Sofern im Rahmen einer Anmeldung zum Newsletter dessen
Inhalte konkret umschrieben werden, sind sie für die Einwilligung der Nutzer
maßgeblich. Im Übrigen enthalten unsere Newsletter Informationen zu unseren
Leistungen und uns.
Um sich zu unseren Newslettern anzumelden, reicht es grundsätzlich aus, wenn Sie
Ihre E-Mail-Adresse angeben. Wir können Sie jedoch bitten, einen Namen, zwecks
persönlicher Ansprache im Newsletter, oder weitere Angaben, sofern diese für die
Zwecke des Newsletters erforderlich sind, zu tätigen.
Double-Opt-In-Verfahren: Die Anmeldung zu unserem Newsletter erfolgt
grundsätzlich in einem sogenannte Double-Opt-In-Verfahren. D.h., Sie erhalten
nach der Anmeldung eine E-Mail, in der Sie um die Bestätigung Ihrer Anmeldung
gebeten werden. Diese Bestätigung ist notwendig, damit sich niemand mit fremden
E-Mail-Adressen anmelden kann. Die Anmeldungen zum Newsletter werden
protokolliert, um den Anmeldeprozess entsprechend den rechtlichen Anforderungen
nachweisen zu können. Hierzu gehört die Speicherung des Anmelde- und des
Bestätigungszeitpunkts als auch der IP-Adresse. Ebenso werden die Änderungen
Ihrer bei dem Versanddienstleister gespeicherten Daten protokolliert.
Löschung und Einschränkung der Verarbeitung: Wir können die ausgetragenen
E-Mail-Adressen bis zu drei Jahren auf Grundlage unserer berechtigten Interessen
speichern, bevor wir sie löschen, um eine ehemals gegebene Einwilligung
nachweisen zu können. Die Verarbeitung dieser Daten wird auf den Zweck einer
möglichen Abwehr von Ansprüchen beschränkt. Ein individueller Löschungsantrag
ist jederzeit möglich, sofern zugleich das ehemalige Bestehen einer Einwilligung
bestätigt wird. Im Fall von Pflichten zur dauerhaften Beachtung von
Widersprüchen behalten wir uns die Speicherung der E-Mail-Adresse alleine zu
diesem Zweck in einer Sperrliste (sogenannte “Blocklist”) vor.
Die Protokollierung des Anmeldeverfahrens erfolgt auf Grundlage unserer
berechtigten Interessen zu Zwecken des Nachweises seines ordnungsgemäßen
Ablaufs. Soweit wir einen Dienstleister mit dem Versand von E-Mails beauftragen,
erfolgt dies auf Grundlage unserer berechtigten Interessen an einem effizienten
und sicheren Versandsystem.
Inhalte:
Informationen zu uns, unseren Leistungen, Aktionen und Angeboten.
Verarbeitete Datenarten: Bestandsdaten (z.B. Namen, Adressen);
Kontaktdaten (z.B. E-Mail, Telefonnummern); Meta-, Kommunikations- und
Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern,
Einwilligungsstatus); Nutzungsdaten (z.B. besuchte Webseiten, Interesse an
Inhalten, Zugriffszeiten).
Betroffene Personen: Kommunikationspartner.
Zwecke der Verarbeitung: Direktmarketing (z.B. per E-Mail oder
postalisch).
Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO).
Widerspruchsmöglichkeit (Opt-Out): Sie können den Empfang unseres
Newsletters jederzeit kündigen, d.h. Ihre Einwilligungen widerrufen, bzw. dem
weiteren Empfang widersprechen. Einen Link zur Kündigung des Newsletters
finden Sie entweder am Ende eines jeden Newsletters oder können sonst eine der
oben angegebenen Kontaktmöglichkeiten, vorzugswürdig E-Mail, hierzu nutzen.
Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:
Messung von Öffnungs- und Klickraten: Die Newsletter enthalten einen
sogenannte “web-beacon“, d.h., eine pixelgroße Datei, die beim Öffnen des
Newsletters von unserem Server, bzw., sofern wir einen Versanddienstleister
einsetzen, von dessen Server abgerufen wird. Im Rahmen dieses Abrufs werden
zunächst technische Informationen, wie Informationen zum Browser und Ihrem
System, als auch Ihre IP-Adresse und der Zeitpunkt des Abrufs, erhoben. Diese
Informationen werden zur technischen Verbesserung unseres Newsletters anhand
der technischen Daten oder der Zielgruppen und ihres Leseverhaltens auf Basis
ihrer Abruforte (die mit Hilfe der IP-Adresse bestimmbar sind) oder der
Zugriffszeiten genutzt. Diese Analyse beinhaltet ebenfalls die Feststellung,
ob die Newsletter geöffnet werden, wann sie geöffnet werden und welche Links
geklickt werden. Diese Informationen werden den einzelnen Newsletterempfängern
zugeordnet und in deren Profilen bis zu deren Löschung gespeichert. Die
Auswertungen dienen uns dazu, die Lesegewohnheiten unserer Nutzer zu erkennen
und unsere Inhalte an sie anzupassen oder unterschiedliche Inhalte
entsprechend den Interessen unserer Nutzer zu versenden. Die Messung der
Öffnungsraten und der Klickraten sowie Speicherung der Messergebnisse in den
Profilen der Nutzer; Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1
lit. a) DSGVO).
Mailchimp: E-Mail-Versand- und E-Mail-Marketing-Plattform;
Dienstanbieter: Rocket Science Group, LLC, 675 Ponce De Leon Ave NE #5000,
Atlanta, GA 30308, USA; Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1
lit. a) DSGVO); Website:https://mailchimp.com
;
Datenschutzerklärung:https://mailchimp.com/legal/
;
Auftragsverarbeitungsvertrag:https://mailchimp.com/legal/
;
Standardvertragsklauseln (Gewährleistung Datenschutzniveau bei Verarbeitung
in Drittländern): Einbeziehung im Auftragsverarbeitungsvertrag; Weitere
Informationen: Besondere Sicherheitsmaßnahmen:
https://mailchimp.com/help/Mailchimp-european-data-transfers/
.
Plugins und eingebettete Funktionen sowie Inhalte
Wir binden in unser Onlineangebot Funktions- und Inhaltselemente ein, die von
den Servern ihrer jeweiligen Anbieter (nachfolgend bezeichnet als
“Drittanbieter”) bezogen werden. Dabei kann es sich zum Beispiel um Grafiken,
Videos oder Stadtpläne handeln (nachfolgend einheitlich bezeichnet als
“Inhalte”).
Die Einbindung setzt immer voraus, dass die Drittanbieter dieser Inhalte die
IP-Adresse der Nutzer verarbeiten, da sie ohne die IP-Adresse die Inhalte nicht
an deren Browser senden könnten. Die IP-Adresse ist damit für die Darstellung
dieser Inhalte oder Funktionen erforderlich. Wir bemühen uns, nur solche Inhalte
zu verwenden, deren jeweilige Anbieter die IP-Adresse lediglich zur Auslieferung
der Inhalte verwenden. Drittanbieter können ferner sogenannte Pixel-Tags
(unsichtbare Grafiken, auch als “Web Beacons” bezeichnet) für statistische oder
Marketingzwecke verwenden. Durch die “Pixel-Tags” können Informationen, wie der
Besucherverkehr auf den Seiten dieser Webseite, ausgewertet werden. Die
pseudonymen Informationen können ferner in Cookies auf dem Gerät der Nutzer
gespeichert werden und unter anderem technische Informationen zum Browser und
zum Betriebssystem, zu verweisenden Webseiten, zur Besuchszeit sowie weitere
Angaben zur Nutzung unseres Onlineangebotes enthalten als auch mit solchen
Informationen aus anderen Quellen verbunden werden.
Für eingebettete YouTube-Videos setzen wir eine Click-to-Play-Vorschau ein: Es
werden keine Daten an YouTube übermittelt, bis Sie aktiv auf das Vorschaubild
klicken. Die Einbettungen werden anschließend von der datenschutzfreundlichen
Domain youtube-nocookie.com ausgeliefert, die Cookies erst nach dem Abspielen
des Videos setzt.
Verarbeitete Datenarten: Nutzungsdaten (z.B. besuchte Webseiten, Interesse
an Inhalten, Zugriffszeiten); Meta-, Kommunikations- und Verfahrensdaten (z.
B. IP-Adressen, Zeitangaben, Identifikationsnummern, Einwilligungsstatus);
Bestandsdaten (z.B. Namen, Adressen); Kontaktdaten (z.B. E-Mail,
Telefonnummern); Inhaltsdaten (z.B. Eingaben in Onlineformularen).
Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von
Onlinediensten).
Zwecke der Verarbeitung: Bereitstellung unseres Onlineangebotes und
Nutzerfreundlichkeit.
Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) für das
Laden eingebetteter Drittanbieterinhalte.
Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:
YouTube-Videos (datenschutzfreundlicher Modus): Videoinhalte, ausgeliefert
von youtube-nocookie.com nach Click-to-Play; Dienstanbieter: Google
Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland;
Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO);
Website:https://www.youtube.com
;
Datenschutzerklärung:https://policies.google.com/privacy
;
Opt-Out:https://adssettings.google.com/authenticated
.
Analyse-Tools
Wir nutzen PostHog, um die Nutzung unserer Website nachzuvollziehen und sie zu
verbessern. PostHog wird angeboten von PostHog Inc., 2261 Market Street #4008,
San Francisco, CA 94114, USA. Obwohl die Gesellschaft ihren Sitz in den USA hat,
ist unsere Installation so konfiguriert, dass sämtliche Ereignisdaten
ausschließlich an den EU-Cluster von PostHog (eu.i.posthog.com, gehostet in
Frankfurt am Main) gesendet und dort gespeichert werden. Anfragen von unserer
Website werden über einen Reverse-Proxy auf unserer eigenen Domain (/g/...) an
PostHog weitergeleitet.
Unser PostHog-Setup arbeitet in einem von drei Zuständen:
Einwilligung erteilt: Wir erfassen pseudonyme Nutzungsereignisse
(Seitenaufrufe, Klicks, eigene Events) zusammen mit einer Session-Kennung, die
in einem First-Party-Cookie (ph_*) gespeichert wird. Sobald Sie sich durch
Abschluss einer Spende oder eine Newsletter-Anmeldung identifizieren, können
wir Ihre nachfolgenden Ereignisse mit dieser Kennung verknüpfen, um den
Spenderverlauf nachvollziehen zu können.
Cookieloser Modus (Einwilligung abgelehnt oder noch nicht erteilt):
Ereignisse werden ohne persistente Cookies übermittelt; PostHog leitet aus
Request-Signalen eine kurzlebige, rotierende Kennung ab. Ein
sitzungsübergreifendes Profil entsteht nicht.
Erfassung deaktiviert: Lehnen Sie die Analyse ab, werden überhaupt keine
Ereignisse übermittelt.
Sie können Ihre Wahl jederzeit über die Schaltfläche „Cookie-Einstellungen
zurücksetzen” am Anfang dieser Seite ändern.
Verarbeitete Datenarten: Nutzungsdaten (Seitenaufrufe, Ereignisse,
Klicks); Meta-, Kommunikations- und Verfahrensdaten (IP-Adresse – vor der
Speicherung im EU-Cluster gekürzt, User-Agent, Referrer, Bildschirmgröße,
Session-Kennung).
Betroffene Personen: Nutzer (Webseitenbesucher).
Zwecke der Verarbeitung: Analyse der Website-Nutzung; Produktverbesserung;
Feature-Flagging.
Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) für die
Analyse mit persistenter Kennung; Berechtigte Interessen (Art. 6 Abs. 1 S. 1
lit. f) DSGVO) für den cookielosen Aggregatmodus.
Dienstanbieter: PostHog Inc., USA, Verarbeitung auf EU-Infrastruktur
(Hetzner, Frankfurt); Datenschutzerklärung:https://posthog.com/privacy
;
Auftragsverarbeitungsvertrag und Standardvertragsklauseln sind
geschlossen.
Änderung und Aktualisierung der Datenschutzerklärung
Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu
informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der
von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir
informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits
(z.B. Einwilligung) oder eine sonstige individuelle Benachrichtigung
erforderlich wird.
Sofern wir in dieser Datenschutzerklärung Adressen und Kontaktinformationen von
Unternehmen und Organisationen angeben, bitten wir zu beachten, dass die
Adressen sich über die Zeit ändern können und bitten die Angaben vor
Kontaktaufnahme zu prüfen.
Rechte der betroffenen Personen
Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, die sich
insbesondere aus Art. 15 bis 21 DSGVO ergeben:
Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer
besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie
betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e
oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese
Bestimmungen gestütztes Profiling. Werden die Sie betreffenden
personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie
das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden
personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt
auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung
steht.
Widerrufsrecht bei Einwilligungen: Sie haben das Recht, erteilte
Einwilligungen jederzeit zu widerrufen.
Auskunftsrecht: Sie haben das Recht, eine Bestätigung darüber zu
verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese
Daten sowie auf weitere Informationen und Kopie der Daten entsprechend den
gesetzlichen Vorgaben.
Recht auf Berichtigung: Sie haben entsprechend den gesetzlichen Vorgaben
das Recht, die Vervollständigung der Sie betreffenden Daten oder die
Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
Recht auf Löschung und Einschränkung der Verarbeitung: Sie haben nach
Maßgabe der gesetzlichen Vorgaben das Recht, zu verlangen, dass Sie
betreffende Daten unverzüglich gelöscht werden, bzw. alternativ nach Maßgabe
der gesetzlichen Vorgaben eine Einschränkung der Verarbeitung der Daten zu
verlangen.
Recht auf Datenübertragbarkeit: Sie haben das Recht, Sie betreffende
Daten, die Sie uns bereitgestellt haben, nach Maßgabe der gesetzlichen
Vorgaben in einem strukturierten, gängigen und maschinenlesbaren Format zu
erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu fordern.
Beschwerde bei Aufsichtsbehörde: Sie haben unbeschadet eines anderweitigen
verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf
Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres
gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des
mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der
Sie betreffenden personenbezogenen Daten gegen die Vorgaben der DSGVO
verstößt. Für Pamoja Africa e. V. ist der Landesbeauftragte für den
Datenschutz und die Informationsfreiheit Baden-Württemberg zuständig
(https://www.baden-wuerttemberg.datenschutz.de
).