Startseite Impressum Datenschutz Briefkasten Login

Rechtliches

Datenschutzerklärung

Admin Installation

Zur Startseite

# Datenschutzerklärung

**Stand:** 20. März 2026

Diese Datenschutzerklärung beschreibt den aktuellen technischen Stand der öffentlich erreichbaren und geschützten Bereiche von VereinsGarten.

## 1. Verantwortlicher

**VereinsGarten GmbH**
[Adresse eintragen]
[Telefon eintragen]
[E-Mail eintragen]

**Datenschutzkontakt**
dsgvo@vereinsgarten.de

Falls ein gesetzlicher Datenschutzbeauftragter benannt ist, ergänzen Sie hier bitte dessen Kontaktdaten.

## 2. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten insbesondere zu folgenden Zwecken:

- Bereitstellung der Website und der Plattformfunktionen
- Verwaltung von Nutzerkonten und Anmeldungen
- Absicherung von Zugängen, Formularen und Administrationsfunktionen
- Bearbeitung von Anfragen
- Nachvollziehbarkeit sicherheitsrelevanter Vorgänge und administrativer Aktionen

Die Verarbeitung erfolgt je nach Einzelfall insbesondere auf Grundlage von:

- Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung für die Nutzung der Plattform oder zur Durchführung vorvertraglicher bzw. vertraglicher Maßnahmen erforderlich ist
- Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Aufbewahrungs- oder Nachweispflichten bestehen
- Art. 6 Abs. 1 lit. f DSGVO, soweit die Verarbeitung zur IT-Sicherheit, Missbrauchserkennung, Systemstabilität oder zur Verteidigung gegen Angriffe erforderlich ist

## 3. Welche Daten verarbeitet werden

Je nach Nutzungskontext können insbesondere folgende Daten verarbeitet werden:

### Stammdaten und Kontaktdaten

Zum Beispiel Name, E-Mail-Adresse, ggf. weitere vom jeweiligen Verein oder Portal abgefragte Profildaten.

### Authentifizierungs- und Sicherheitsdaten

Bei Anmeldung und Nutzung geschützter Bereiche verarbeiten wir insbesondere:

- Benutzerkennung bzw. E-Mail-Adresse
- Passwort-Hash, nicht das Klartext-Passwort
- Session-Informationen
- Zeitpunkte von Logins, 2FA-Ereignissen und sicherheitsrelevanten Aktionen
- IP-Adresse und User-Agent, soweit dies für Sicherheit, Missbrauchserkennung oder Protokollierung erforderlich ist

### Inhalts- und Nutzungsdaten

Wenn autorisierte Nutzer Inhalte in der Plattform pflegen, verarbeiten wir die jeweils eingegebenen oder hochgeladenen Inhalte, zum Beispiel Seiteninhalte, Regeltexte, Bilder oder Konfigurationen.

### Audit- und Protokolldaten

In administrativen und sicherheitsrelevanten Bereichen können Aktionen protokolliert werden. Dazu gehören insbesondere Angaben dazu, wer wann welche Aktion ausgelöst hat und ob diese erfolgreich war.

## 4. Cookies, ähnliche Technologien und Einwilligung

### Technisch notwendige Cookies

Die Anwendung verwendet derzeit technisch notwendige Cookies bzw. vergleichbare Speichermechanismen, insbesondere für:

- Sitzungsverwaltung und Anmeldung
- CSRF-Schutz bei Formularen
- optionale Wiedererkennung eines ausdrücklich vom Nutzer ausgewählten vertrauenswürdigen Geräts für die 2FA-Funktion

Diese Verarbeitungen sind für den sicheren Betrieb der Anwendung erforderlich oder werden nur nach einer aktiven Auswahl des Nutzers ausgelöst.

### Optionales 2FA-"Vertrauenswürdiges Gerät"

Wenn ein Nutzer bei der 2FA-Verifizierung ausdrücklich auswählt, dass ein privates Gerät für 30 Tage gemerkt werden soll, wird ein entsprechendes Sicherheits-Cookie gesetzt. Diese Funktion ist optional und dient dem Komfort bei späteren 2FA-Prüfungen auf demselben Gerät.

### Kein aktuelles Marketing- oder Analyse-Tracking

Nach dem aktuellen technischen Stand werden auf den öffentlich erreichbaren Seiten keine Analyse- oder Marketing-Cookies wie etwa Matomo, Google Analytics, Meta Pixel, Hotjar oder vergleichbare Tracking-Dienste eingebunden.

Es gibt derzeit deshalb keinen allgemeinen Consent-Banner für Statistik- oder Marketingzwecke. Sollte künftig nicht notwendiges Tracking eingeführt werden, ist die Datenschutzerklärung entsprechend zu aktualisieren und gegebenenfalls vorab eine Einwilligung einzuholen.

### Bot-Schutz (Cloudflare Turnstile)

Zum Schutz vor automatisierten Angriffen und Missbrauch kann auf öffentlichen Formularen ein CAPTCHA-Dienst eingesetzt werden (Cloudflare Turnstile).

Dabei können insbesondere verarbeitet werden:

- technische Verbindungsdaten wie IP-Adresse und User-Agent
- Browser- und Request-Merkmale zur Bot-Erkennung
- Zeitpunkt und Ergebnis der Sicherheitsprüfung

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit, Missbrauchsabwehr und Verfügbarkeit der Dienste).

Cloudflare kann hierbei als Auftragsverarbeiter eingebunden sein. Soweit eine Verarbeitung außerhalb der EU/des EWR stattfindet, erfolgt diese nur unter den gesetzlichen Voraussetzungen (z. B. EU-Standardvertragsklauseln).

### Local Storage und ähnliche Browser-Speicher

In einzelnen geschützten Bereichen können Browser-Speicher wie Local Storage für Komfortfunktionen verwendet werden, zum Beispiel für Editor-Hilfen oder Oberflächeneinstellungen im Administrationsbereich. Diese Speicherungen dienen nach dem aktuellen Stand internen Funktions- oder Komfortzwecken innerhalb geschützter Bereiche und nicht Werbe- oder Profilingzwecken.

## 5. Sicherheitsmaßnahmen

Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Dazu gehören nach dem aktuellen Systemstand insbesondere:

- verschlüsselte Übertragung per HTTPS
- Session-Cookies mit Sicherheitsattributen
- CSRF-Schutz für Formulare
- rollen- und berechtigungsbasierte Zugriffskontrollen
- Zwei-Faktor-Authentifizierung für dafür vorgesehene Konten und Bereiche
- Passkey-Unterstützung in dafür vorgesehenen Funktionen
- Protokollierung sicherheitsrelevanter Vorgänge in geeigneten Bereichen

## 6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Pflichten dies verlangen.

Nach aktuellem Stand gelten insbesondere folgende Grundsätze:

- Sitzungsdaten werden grundsätzlich nur für die Dauer der Sitzung bzw. nach technischer Session-Retention vorgehalten
- das optionale 2FA-"Vertrauenswürdiges Gerät"-Cookie wird für bis zu 30 Tage gesetzt
- Audit- und Sicherheitsprotokolle können nach aktueller Systemlogik für einen begrenzten Zeitraum, derzeit typischerweise bis zu 90 Tage, gespeichert werden
- gesetzlich aufbewahrungspflichtige Daten, etwa abrechnungs- oder steuerrelevante Unterlagen, werden entsprechend den einschlägigen gesetzlichen Fristen gespeichert

Die konkrete Speicherdauer kann je nach Mandant, Datenkategorie und gesetzlicher Pflicht abweichen.

## 7. Empfänger und Auftragsverarbeitung

Zugriff auf personenbezogene Daten erhalten nur Stellen, die diese Daten zur Erfüllung ihrer Aufgaben benötigen.

Dazu können insbesondere gehören:

- der jeweils zuständige Verein oder Mandant innerhalb der Plattform
- interne Administratoren mit entsprechender Berechtigung
- technische Dienstleister für Hosting, Betrieb, Wartung und E-Mail-Versand, soweit diese als Auftragsverarbeiter eingebunden sind

Soweit externe Dienstleister eingesetzt werden, erfolgt dies auf Grundlage eines Vertrags zur Auftragsverarbeitung nach Art. 28 DSGVO, sofern erforderlich.

## 8. Drittlandübermittlungen

Nach dem aktuell dokumentierten Zielbetrieb sollen Daten grundsätzlich in Deutschland bzw. innerhalb der EU verarbeitet werden. Soweit im Einzelfall Dienstleister außerhalb der EU bzw. des EWR eingesetzt werden, dürfen solche Übermittlungen nur unter Beachtung der gesetzlichen Voraussetzungen erfolgen.

Bitte ergänzen Sie diesen Abschnitt mandanten- oder dienstleisterbezogen, falls tatsächlich Drittlandtransfers stattfinden.

## 9. Ihre Rechte

Sie haben nach der DSGVO insbesondere folgende Rechte:

- Recht auf Auskunft nach Art. 15 DSGVO
- Recht auf Berichtigung nach Art. 16 DSGVO
- Recht auf Löschung nach Art. 17 DSGVO
- Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO
- Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
- Recht auf Widerspruch nach Art. 21 DSGVO
- Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde nach Art. 77 DSGVO

## 10. Ausübung Ihrer Rechte

Datenschutzanfragen werden nach aktuellem Stand nicht allgemein als automatischer Self-Service in den Kontoeinstellungen bereitgestellt.

Bitte richten Sie Anfragen zu Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch oder Datenübertragbarkeit an:

**dsgvo@vereinsgarten.de**

Falls Sie die Plattform über einen konkreten Verein oder Mandanten nutzen, kann zusätzlich der dort benannte Ansprechpartner zuständig sein.

## 11. Keine automatisierte Entscheidungsfindung

Nach dem aktuellen Stand findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die rechtliche Wirkung entfaltet oder Sie in vergleichbarer Weise erheblich beeinträchtigt.

## 12. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung wird angepasst, wenn sich Funktionen, eingesetzte Dienste oder rechtliche Anforderungen ändern.

Vor einer Veröffentlichung sollte diese Fassung noch um die fehlenden Stammdaten des Verantwortlichen sowie um ggf. mandanten- oder dienstleisterspezifische Angaben ergänzt werden.