Datenschutzerklärung

Inhaltsverzeichnis
  1. Verantwortliche Stelle
  2. Datenverarbeitung auf unserer Webseite und weiteren Online-Angeboten
  3. Datenverarbeitung im Rahmen unserer Vereinsarbeit
  4. Betroffenenrechte
  5. Datenübermittlung an Dritte
  6. Technische und organisatorische Maßnahmen (TOM)

Datenschutzhinweise gemäß Art. 13 DSGVO

Verantwortliche Stelle

Dachverband der bayerischen Jugendvertretungen e.V.
Jahnstraße 25
85049 Ingolstadt
+49 841 93892461
info@dvbj.de

Bei Fragen zum Datenschutz stehen wir Ihnen unter info@dvbj.de oder unter der oben angegebenen postalischen Anschrift zur Verfügung.

Datenverarbeitung auf unserer Webseite und weiteren Online-Angeboten

Logfiles beim Aufruf unserer Webseite

Bei Aufruf unserer Webseite werden zur Analyse von Fehlern und Sicherheitsvorfällen Logfiles erstellt. Diese enthalten:

  • IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene Seite
  • User-Agent (Browser und Gerät)
  • Referrer-URL

Die Logfiles werden von unserem Hosting-Anbieter IONOS SE (Elgendorfer Str. 57, 56410 Montabaur, Deutschland) maximal 7 Tage gespeichert und anschließend automatisch gelöscht. Der Serverstandort ist Deutschland/EU.
Mit IONOS besteht ein Data Processing Agreement (DPA) gemäß Art. 28 DSGVO.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Funktionalität der Website). Die Logfiles dienen der Fehleranalyse, Sicherheitsüberwachung und statistischen Auswertung (ohne Personenbezug).

Webanalyse mit Statify

Zur statistischen Auswertung der Nutzung unserer Website verwenden wir das WordPress-Plugin „Statify“.

Statify erfasst ausschließlich aggregierte Zugriffsdaten (z. B. Anzahl der Seitenaufrufe und aufgerufene Inhalte). Es werden keine Cookies gesetzt und keine IP-Adressen oder sonstige personenbezogenen Daten gespeichert. Eine Zuordnung der erhobenen Daten zu einzelnen Personen ist nicht möglich.

Die Daten werden bis zu 30 Tage auf unserem Server (gehostet bei IONOS SE, Deutschland/EU) gespeichert und anschließend automatisch gelöscht.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Analyse und Optimierung unseres Webangebots.

Die erhobenen statistischen Daten werden nicht an Dritte übermittelt.

Hinweis:
Statify ist Open-Source-Software (Quellcode: Statify GitHub).

Content Delivery Network (CDN) – bunny.net

Zur schnellen und sicheren Auslieferung von Inhalten (z. B. Videos) unserer Website nutzen wir den Dienst bunny.net der BunnyWay, informacijske storitve d.o.o., Dunajska cesta 165, 1000 Ljubljana, Slowenien.
Dabei werden IP-Adresse, Ländercode, User-Agent und Referrer-URL kurzzeitig verarbeitet, um die Inhalte effizient bereitzustellen (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO).

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer schnellen und sicheren Auslieferung der Inhalte).

Kontaktformulare

Wenn Sie uns über das Kontaktformular auf unserer Website eine Nachricht zukommen lassen, werden Ihre Angaben (z. B. Name, E-Mail-Adresse, Telefonnummer, Nachricht, ggf. weitere von Ihnen bereitgestellte Informationen) an uns übermittelt.
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung – insb. bei Mitgliedschaftsanfragen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung Ihrer Anfrage).

Technische Umsetzung:

  • Die E-Mails werden über die Server von IONOS SE (Elgendorfer Str. 57, 56410 Montabaur, Deutschland) versendet.
  • Mit IONOS besteht ein Data Processing Agreement (DPA) gemäß Art. 28 DSGVO.
  • Die Daten werden nicht an Dritte weitergegeben.

Speicherdauer:

Ihre Daten werden nach Bearbeitung Ihrer Anfrage spätestens nach 6 Monaten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. für Vertragsanbahnung nach § 147 AO) bestehen.

Captcha-Dienst: mosparo

Zur Absicherung unserer Kontaktformulare, Anmeldeseiten und unseres Tickettools vor Missbrauch (z. B. Spam) nutzen wir den open-source Captcha-Dienst mosparo, den wir selbst auf unserem Server (gehostet bei IONOS SE, Deutschland/EU) betreiben. Es erfolgt keine Übermittlung von Daten an Dritte oder externe Server.

Verarbeitete Daten:

  • Adresse und Titel der Website, auf der das Formular ausgefüllt wurde
  • Alle vom Nutzer in den Formularfeldern eingegebenen Daten
  • IP-Adresse und User-Agent des Nutzers

Verschlüsselung und Speicherung:

  • Alle personenbezogenen Daten der Formulareinreichungen werden automatisch verschlüsselt gespeichert. Selbst bei unbefugtem Zugriff auf die mosparo-Datenbank sind die eingegebenen Nutzerdaten nicht lesbar.
  • Die IP-Adresse wird teilweise unverschlüsselt als Hash gespeichert, um Sicherheitsmaßnahmen zu ermöglichen, und ist nicht direkt lesbar.

Speicherdauer:

  • Alle Einreichungen werden nach 14 Tagen automatisch gelöscht.
  • Unbenutzte Submission-Tokens (inkl. IP-Adresse) werden nach 24 Stunden gelöscht.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit unserer Online-Angebote und dem Schutz vor Missbrauch).

Hinweis:
mosparo ist Open-Source-Software (Quellcode: mosparo GitHub). Da wir den Dienst selbst hosten, verlassen Ihre Daten zu keinem Zeitpunkt unseren Verantwortungsbereich.

Abonnement unseres Newsletter

Wenn Sie auf unserer Vereinswebseite den Newsletter abonniert haben, verwenden wir Ihre E-Mail-Adresse, um Ihnen regelmäßig den Newsletter zuzusenden und Sie mit Wissenswertem über den Verein zu versorgen. Die Rechtsgrundlage für den Versand ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Für den Versand nutzen wir das Plugin „The Newsletter Plugin“ der
Web Agile S.a.s. di Fietta Roberto
Steuernummer: P.I. 03809490240
Sitz: Veneto, Italien
Website: https://www.thenewsletterplugin.com

Technische Umsetzung:

  • Das Plugin läuft ausschließlich auf unserem Server (gehostet bei IONOS SE, Deutschland/EU).
  • Der Versand der E-Mails erfolgt über die Mailserver von IONOS SE.
  • Mit IONOS besteht ein Data Processing Agreement (DPA) gemäß Art. 28 DSGVO.

Verarbeitete Daten:

  • E-Mail-Adresse
  • Name (falls angegeben)
  • IP-Adresse (nur für das Double-Opt-in-Verfahren, danach gelöscht)

Speicherdauer:

  • Ihre E-Mail-Adresse wird sofort nach Widerruf Ihrer Einwilligung gelöscht, sofern sie nicht für andere Zwecke (z. B. Vereinskommunikation) benötigt wird.
  • Technische Logs (z. B. für Double-Opt-in) werden 7 Tage gespeichert und dann automatisch gelöscht.

Ihre Rechte:

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie auf den „Abbestellen“-Link in der Newsletter-E-Mail klicken oder uns unter info@dvbj.de kontaktieren.

SMTP-Plugin für E-Mail-Versand (SureMail)

Zur technischen Abwicklung des E-Mail-Versands (z. B. Kontaktformular, Newsletter) nutzen wir das Plugin „SureMail“ der Brainstorm Force US LLC (2093 Philadelphia Pike #3090, Claymont, DE 19703, USA).
Die versandten E-Mails (Inhalt, Absender, Empfänger, Betreff, Zeitstempel) werden ausschließlich lokal auf unserem Server bei IONOS SE (Deutschland/EU) für maximal 30 Tage protokolliert und anschließend automatisch gelöscht.
Es erfolgt keine Übermittlung der E-Mail-Inhalte oder Log-Daten an Brainstorm Force oder andere Dritte.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktionalität und Nachweisbarkeit des E-Mail-Versands).
Hinweis: Brainstorm Force sammelt bei Nutzung des Plugins technische Metadaten unserer Website (z. B. PHP-Version, WordPress-Version, Server-Software, Website-URL, aktive Plugins/Themes) zur Kompatibilitätsprüfung. Diese Daten sind nicht-personenbezogen und beziehen sich nicht auf Ihre Nutzerdaten.

Datenverarbeitung im Rahmen unserer Vereinsarbeit

Microsoft 365 (Interne Kommunikation & Verwaltung)

Für die interne Vereinsverwaltung, Kommunikation und Dokumentenablage nutzen wir Microsoft 365 (ehemals Office 365) der Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland.
Verarbeitete Daten:

  • E-Mails (Inhalt, Absender, Empfänger, Betreff, Anhänge)
  • Kontaktdaten (Name, E-Mail, Telefonnummer)
  • Kalendereinträge (Termine, Teilnehmer)
  • Dokumente & Dateien (in SharePoint/OneDrive gespeicherte Vereinsunterlagen)
  • Teams-Chats & Anrufdaten (Nachrichten, Teilnehmer, Zeitstempel)

Zweck:

  • Organisation von Vereinsaktivitäten (z. B. Termine, Protokolle)
  • Interne Kommunikation zwischen Vorstand, Mitarbeitern und Mitgliedern
  • Dokumentenmanagement (z. B. Satzungen, Protokolle, Finanzunterlagen)

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Erfüllung der Vereinsmitgliedschaft, z. B. für interne Abstimmungen)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Vereinsverwaltung)

Speicherdauer:

  • E-Mails & Dokumente: Für die Dauer der Mitgliedschaft + 10 Jahre (gemäß steuerrechtlicher Aufbewahrungspflichten, § 147 AO).
  • Teams-Chats: 30 Tage (Standard-Einstellung, kann angepasst werden).
  • Gelöschte Daten: Werden in Microsoft 365-Backups für bis zu 14 Tage aufbewahrt, bevor sie endgültig gelöscht werden.

Ort der Verarbeitung:

  • Primär: EU-Rechenzentren (Microsoft garantiert EU-Datenverarbeitung für Kunden mit Sitz in der EU).
  • Sub-Prozessoren: Microsoft nutzt Unterauftragsverarbeiter, die in der Liste der Microsoft-Subprozessoren aufgeführt sind.
  • Drittlandtransfer: Falls Daten außerhalb der EU verarbeitet werden, geschieht dies auf Basis der EU-Standardvertragsklauseln (SCC) und zusätzlicher technischer Maßnahmen (z. B. Verschlüsselung).

Vertragliche Absicherung:

  • Mit Microsoft besteht ein Data Processing Agreement (DPA) gemäß Art. 28 DSGVO.
  • DPA einsehen: Microsoft DPA

Sicherheitsmaßnahmen:

  • Verschlüsselung (Daten im Ruhezustand und während der Übertragung)
  • Zugangskontrollen (nur berechtigte Vereinsmitglieder haben Zugriff)

Mitgliederverwaltung

Mitgliedsdaten (Name, Geburtsdatum, Geburtsort, Adresse, Telefonnummer, E-Mailadresse, Jugendvertretung) werden von den jeweiligen Funktionsträger:innen unseres Vereins nur für die ihnen zugeordnete Aufgabenerfüllung verarbeitet. Im Einzelnen bedeutet dies:

  • Wenn der Vorstand Mitgliedsdaten benötigt, um seine Aufgaben zu erledigen, darf er auf alle hierfür erforderlichen Mitgliedsdaten zugreifen.
  • Der/die Kassenwart:in verarbeitet die Mitgliedsdaten, die für den Einzug der Mitgliedsbeiträge, der/die Kassenprüfer:in verarbeitet die Mitgliedsdaten, die für die Kassenprüfung relevant sind. Dies sind Vorname, Nachname, postalische Anschrift und Bankverbindung mit Zahlungsdaten sowie ggf. Zugriff auf die Lastschriftsverfahrensgenehmigung inklusive Unterschrift, sofern das Mitglied dem Verein ein Lastschriftmandat erteilt hat.
  • Die Vereinsgeschäftsstelle verarbeitet die Mitgliedsdaten zur Mitgliedsverwaltung und -betreuung.

Zweck für die Verarbeitung der Mitgliedsdaten ist die Verfolgung des Vereinszwecks und die -verwaltung. Rechtsgrundlage ist die Vereinsmitgliedschaft (Artikel 6 Abs. 1 lit. b DSGVO).

Die Mitgliedsdaten werden für die Dauer der Mitgliedschaft + 1 Monat gespeichert. Bankverbindungen und Lastschriftmandate werden zusätzlich 10 Jahre (gemäß § 257 HGB) aufbewahrt. Die Daten werden verschlüsselt und nur von berechtigten Personen eingesehen.

Fotos bei Veranstaltungen

Fotos über unser Vereinsgeschehen werden zum Zweck der Außendarstellung auf unserer Webseite veröffentlicht.
Für die Veröffentlichung folgender Fotos von Erwachsenen auf unserer Webseite ist die Rechtsgrundlage das nachfolgend beschriebene berechtigte Interesse unseres Vereins nach Artikel 6 Abs. 1 lit. f DSGVO:

  • Team-Fotos aufgrund unseres berechtigten Interesses, über das Vereinsgeschehen (hier: die Team-Aufstellung) zu informieren,
  • Fotos mit Bezug zum Spielgeschehen bzw. der Veranstaltung aufgrund unseres berechtigten Interesses, über das (sportliche) Geschehen zu berichten,
  • Fotos vom Publikum, das an der Veranstaltung teilgenommen hat oder Fotos, auf denen die Personen nur als Beiwerk erscheinen, aufgrund unseres berechtigten Interesses, über die Veranstaltung und deren Erfolg zu berichten.

Sie haben die Möglichkeit, der Verwendung eines solchen Fotos, auf dem Sie zu sehen sind, gemäß Artikel 21 Abs. 1 DSGVO zu widersprechen. Der Verein wird prüfen, ob es zwingende schutzwürdige Gründe für die Verarbeitung gibt, die Ihre Interessen, Rechte und Freiheiten überwiegen. Wenn nicht, wird das entsprechende Foto gelöscht.

Andere Fotos, auf denen eine erwachsene Person (Vereinsmitglied oder aus dem Publikum) im Mittelpunkt steht oder gezielt nur diese Person fotografiert wurde, veröffentlichen wir nur mit der Einwilligung dieser Person (Artikel 6 Abs. 1 lit. a DSGVO). Diese Einwilligung kann jederzeit für die Zukunft widerrufen werden.

Fotos von minderjährigen Vereinsmitgliedern oder Kindern aus dem Publikum veröffentlichen wir nur, wenn die Erziehungsberechtigten nach Artikel 6 Abs. 1 lit. a DSGVO eingewilligt haben. Diese Einwilligung kann jederzeit für die Zukunft widerrufen werden.

Falls Fotos auf Social-Media-Plattformen (z. B. Facebook, Instagram) geteilt werden, gelten deren eigene Datenschutzbestimmungen.

Ticketsystem

Zur Bearbeitung von IT-Anfragen und Supportanliegen betreiben wir das vereinsinterne Ticketsystem „DVBJ Ticketsystem“.

Verarbeitete Daten:

  • Name
  • E-Mail-Adresse
  • Benutzerrolle und Berechtigungen
  • Spracheinstellungen
  • Zeitstempel von Konto-, Ticket- und Kommunikationsvorgängen
  • Ticketinhalte, Kommentare und Kommunikationsverläufe
  • Angaben zu Bearbeitenden, Zuständigkeiten und Ticketzuweisung
  • Hochgeladene Anhänge und Dateien
  • Protokoll- und Sicherheitsdaten

Microsoft-365-Authentifizierung und Kontoverknüpfung

Die Anmeldung im Ticketsystem kann über Microsoft-365-/Entra-ID erfolgen. Im Rahmen der Anmeldung werden folgende Daten verarbeitet:

  • Microsoft-Entra-Objekt-ID
  • Name
  • E-Mail-Adresse
  • Gruppen- und Rolleninformationen innerhalb von Microsoft 365

Diese Daten werden mit bestehenden lokalen Benutzerkonten abgeglichen. Dabei kann ein bestehendes Benutzerkonto mit einer Microsoft-Identität verknüpft oder aktualisiert werden.

Wenn bereits ein lokales Endnutzerkonto mit derselben E-Mail-Adresse existiert und diesem noch keine Microsoft-Entra-Objekt-ID zugeordnet ist, kann dieses im Rahmen der Anmeldung übernommen, aktiviert und mit der Microsoft-Identität verbunden werden, sofern keine widersprechende Zuordnung besteht.

Ist eine E-Mail-Adresse bereits einem anderen Microsoft-Konto zugeordnet oder besteht eine sonstige widersprechende Zuordnung, wird die Anmeldung aus Sicherheitsgründen abgelehnt.

Nutzung ohne Microsoft-Konto:

Personen ohne Microsoft-Konto können Supportanfragen über das Ticketsystem oder per E-Mail einreichen. Hierfür werden Name und E-Mail-Adresse verarbeitet und ein Benutzerkonto zur Bearbeitung der Anfrage angelegt.

Benutzerverwaltung und zentrale Nutzeridentität

Im Ticketsystem wird eine zentrale Benutzerverwaltung eingesetzt. Dabei werden sämtliche Personen (z. B. Vereinsmitglieder, externe Anfragende, E-Mail-Absender sowie Administratoren und Bearbeitende) in einer einheitlichen Benutzerstruktur verarbeitet.

Ein Benutzerkonto kann insbesondere aus folgenden Quellen entstehen:

  • Microsoft-365-/Entra-ID-basierte Konten
  • manuell oder automatisch angelegte Portal-Konten für nicht angemeldete Anfragen
  • automatisch erzeugte Konten aus eingehenden E-Mails

Die Zuordnung erfolgt anhand der E-Mail-Adresse und, soweit vorhanden, anhand der Microsoft-Entra-Objekt-ID.

Innerhalb des Systems werden Benutzerkonten für verschiedene Rollen und Funktionen verwendet (z. B. Antragsteller, Bearbeitende, Administratoren oder technische Systemrollen). Diese Rollen werden im Rahmen der Benutzerverwaltung gespeichert und für die Zugriffskontrolle verwendet.

Automatisierte Erstellung von Benutzerkonten

Benutzerkonten können automatisch erstellt werden, insbesondere wenn Supportanfragen über das Ticketsystem oder per E-Mail eingehen. In diesen Fällen wird auf Basis der angegebenen E-Mail-Adresse ein Benutzerkonto angelegt, auch wenn keine vorherige Registrierung erfolgt ist.

Nicht angemeldete Portal-Nutzer erhalten einen eingeschränkten lokalen Benutzerstatus. Der per E-Mail versendete Magic-Link dient ausschließlich dem Zugriff auf den jeweiligen Ticketvorgang und stellt keine allgemeine Kontoaktivierung dar.

Die Verarbeitung erfolgt zum Zweck der Bearbeitung der jeweiligen Supportanfrage sowie zur eindeutigen Zuordnung von Kommunikation und Vorgängen. Ein Double-Opt-In vor der initialen Ticketanlage findet derzeit nicht statt; die Anfrage wird unmittelbar verarbeitet und anschließend wird eine Bestätigungsmail mit einem vorgangsbezogenen Direktlink versendet.

Verarbeitung von E-Mail-Absendern

Bei der Erstellung von Tickets aus eingehenden E-Mails wird automatisch ein Benutzerkonto auf Basis der Absenderadresse angelegt, sofern noch kein bestehendes Konto vorhanden ist.

Diese Datensätze enthalten mindestens Name und E-Mail-Adresse und dienen der Zuordnung der Anfrage sowie der weiteren Kommunikation im jeweiligen Vorgang. Sie können später mit einer Microsoft-Identität verknüpft werden, wenn eine Anmeldung mit derselben E-Mail-Adresse erfolgt und keine widersprechende Zuordnung besteht.

Synchronisation mit Microsoft 365 und Kontoverwaltung

Das System führt regelmäßig eine automatische Synchronisation mit Microsoft 365 durch. Dabei werden lokale Benutzerkonten mit Microsoft-Entra-Objekt-ID geprüft und deren Status aktualisiert.

Im Rahmen dieser Synchronisation kann:

  • ein lokales Benutzerkonto deaktiviert werden, wenn das zugehörige Microsoft-Konto deaktiviert ist
  • ein lokales Benutzerkonto einschließlich zugehöriger Requester-Tickets und lokal gespeicherter Anhänge gelöscht werden, wenn das Microsoft-Konto nicht mehr existiert und keine Aufbewahrungsgründe entgegenstehen

Eine Löschung unterbleibt insbesondere, wenn für zugehörige Vorgänge ein Legal Hold oder sonstiger Aufbewahrungsgrund besteht. Die Synchronisation dient der aktuellen und konsistenten Verwaltung von Benutzerrechten sowie der Systemsicherheit.

Zweck:

  • Bearbeitung und Dokumentation von Support- und Serviceanfragen
  • Kommunikation mit Anfragenden
  • Nachvollziehbarkeit von Bearbeitungsvorgängen
  • Verwaltung von Benutzerrechten und Zuständigkeiten
  • Gewährleistung der Sicherheit und Integrität des Systems

Zugriff auf Ticketdaten:

Zugriff auf Ticketinhalte, Kommunikationsverläufe und Anhänge haben die jeweils zuständigen Bearbeitenden sowie die für den Betrieb des Ticketsystems berechtigten Mitglieder der Stabsstelle IT.

Kommunikation und interne Bearbeitung:

Im Rahmen der Ticketbearbeitung werden Vorgänge wie neue Nachrichten, Kommentare, Zuständigkeitsänderungen oder Statusänderungen dokumentiert. Die anfragende Person wird hierüber in der Regel automatisch per E-Mail informiert.

Zusätzlich können interne Kommentare und Notizen erstellt werden, die ausschließlich den berechtigten Bearbeitenden sowie den Administratoren des Ticketsystems zugänglich sind und nicht an die anfragende Person übermittelt werden.

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Bearbeitung von Anfragen im Zusammenhang mit der Vereinsmitgliedschaft)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bearbeitung von Support- und Serviceanfragen sowie dem Schutz der eingesetzten IT-Systeme)

Löschung von Tickets und Profilbildern:

Abgeschlossene Tickets einschließlich zugehöriger Kommentare, Ereignisdaten und lokal gespeicherter Anhänge werden grundsätzlich 12 Monate nach Abschluss automatisch gelöscht.

Vorgänge können von der automatischen Löschung ausgenommen werden, wenn gesetzliche Aufbewahrungspflichten bestehen, rechtliche Gründe eine weitere Aufbewahrung erfordern oder die weitere Speicherung für die Verbesserung, Nachvollziehbarkeit und Qualitätssicherung des Supports erforderlich oder von berechtigtem Interesse ist. Eine solche Ausnahme erfolgt durch eine entsprechende administrative Kennzeichnung des Vorgangs, insbesondere durch Setzen eines Legal Hold oder einer vergleichbaren Aufbewahrungsmarkierung.

Zwischengespeicherte Profilbilder aus Microsoft 365 werden spätestens nach 180 Tagen ohne Nutzung entfernt.

Löschung und Deaktivierung von Benutzerkonten

Benutzerkonten werden gelöscht oder deaktiviert, wenn sie für die Zwecke des Ticketsystems nicht mehr erforderlich sind und keine gesetzlichen, vertraglichen oder sonstigen Aufbewahrungsgründe entgegenstehen.

Im Rahmen der Systemverwaltung kann es insbesondere zu folgenden Prozessen kommen:

  • Deaktivierung lokaler Konten, wenn ein zugehöriges Microsoft-Konto deaktiviert ist
  • Löschung lokaler Konten, wenn ein zugehöriges Microsoft-Konto nicht mehr existiert
  • Löschung einzelner Benutzerkonten durch Administratoren
  • Löschung deaktivierter Konten ohne zugehörige Ticketvorgänge
  • Einschränkung der Löschung bei bestehenden Aufbewahrungsgründen, insbesondere Legal Hold

Bei einer Löschung können abhängig vom Status des Benutzerkontos auch zugehörige Tickets, Kommentare und lokal gespeicherte Anhänge entfernt werden, sofern keine Aufbewahrungsgründe entgegenstehen.

Technische Umsetzung:

Das Ticketsystem wird von uns selbst betrieben. Die Verarbeitung und Speicherung der Ticketdaten erfolgt auf unserem Server (gehostet bei IONOS SE, Deutschland/EU). Eine Übermittlung der Ticketdaten an externe Ticket- oder Helpdesk-Anbieter findet nicht statt.

Protokollierung und Audit-Daten

Zur Sicherstellung der Systemintegrität und Nachvollziehbarkeit werden systemseitige Protokolle (Audit-Logs) erstellt. Diese enthalten unter anderem:

  • Benutzeraktionen
  • Änderungen an Tickets und Benutzerkonten
  • Zeitstempel von Vorgängen
  • teilweise Namen und E-Mail-Adressen im Rahmen von Änderungsprotokollen

Diese Protokolle dienen der Sicherheitsüberwachung, Fehleranalyse und Nachvollziehbarkeit administrativer Vorgänge.

Es ist möglich, dass einzelne personenbezogene Daten in Audit-Logs auch nach der Löschung eines Benutzerkontos weiterhin gespeichert bleiben, sofern diese im Zusammenhang mit bereits dokumentierten Systemvorgängen stehen. Eine gesonderte Anonymisierung oder Löschung erfolgt nur, wenn dies technisch vorgesehen oder rechtlich erforderlich ist.

Sicherheitsmaßnahmen:

Zur Absicherung des Systems werden technische und organisatorische Maßnahmen wie rollenbasierte Zugriffskontrollen, Maßnahmen zur Missbrauchsverhinderung sowie die Prüfung hochgeladener Dateien eingesetzt.

Hochgeladene Anhänge werden lokal gespeichert und vor der Annahme anhand von Dateityp, Dateiendung und Dateisignatur geprüft. Zusätzlich wird eine Prüfsumme gespeichert. Eine gesonderte feld- oder dateibasierte Anwendungsverschlüsselung der Ticketinhalte, E-Mail-Adressen oder Anhänge erfolgt derzeit nicht; der Schutz erfolgt über Zugriffsbeschränkungen, Server-/Speichersicherheit und die eingesetzten Systemmaßnahmen.

Zusätzlich werden im Rahmen der Nutzung Schutzmechanismen gegen automatisierte Anfragen eingesetzt. Es gelten ergänzend die Regelungen zum Captcha-Dienst mosparo in dieser Datenschutzerklärung.

Betroffenenrechte

Wenn wir personenbezogene Daten von Ihnen verarbeiten, haben Sie folgende Betroffenenrechte:

  • ein Recht auf Auskunft über die verarbeiteten Daten und auf Kopie,
  • ein Berichtigungsrecht, wenn wir falsche Daten über Sie verarbeiten,
  • ein Recht auf Löschung, es sei denn, dass noch Ausnahmen greifen, warum wir die Daten noch speichern, also zum Beispiel Aufbewahrungspflichten oder Verjährungsfristen
  • ein Recht auf Einschränkung der Verarbeitung,
  • ein jederzeitiges Recht, Einwilligungen in die Datenverarbeitung zu widerrufen,
  • ein Widerspruchsrecht gegen eine Verarbeitung im öffentlichen oder bei berechtigtem Interesse,
  • ein Recht auf Datenübertragbarkeit,
  • ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde, wenn Sie finden, dass wir Ihre Daten nicht ordnungsgemäß verarbeiten. Für unseren Verein ist das Bayerische Landesamt für Datenschutzaufsicht zuständig. Wenn Sie sich in einem anderen Bundesland oder nicht in Deutschland aufhalten, können Sie sich aber auch an die dortige Datenschutzbehörde wenden.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@dvbj.de oder postalisch an die oben genannte Adresse.

Datenübermittlung an Dritte

Eine Übermittlung Ihrer Daten an Dritte findet nur statt, wenn dies gesetzlich vorgeschrieben ist oder Sie eingewilligt haben. Ausnahmen: Auftragsverarbeiter (z. B. IONOS, bunny.net, Microsoft) gemäß Art. 28 DSGVO.

Technische und organisatorische Maßnahmen (TOM)

Wir treffen technische und organisatorische Maßnahmen zum Schutz Ihrer Daten, z. B. Verschlüsselung, Zugriffskontrollen und regelmäßige Backups.

Nach oben scrollen