Einleitung, Begriffe und Gültigkeitsbereich
1. Einleitung
Mit dem Betrieb unserer Nextcloud hinter der Domain cloud.kgv578.de (im Folgenden „Cloud“ genannt) verarbeiten wir personenbezogene Daten. Diese werden von uns vertraulich behandelt und nach den geltenden Gesetzen – insbesondere der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG-neu) – verarbeitet. Mit unseren Datenschutzbestimmungen wollen wir Sie informieren, welche personenbezogenen Daten wir von Ihnen erheben, zu welchen Zwecken und auf welcher Rechtsgrundlage wir sie verwenden und gegebenenfalls wem wir sie offenlegen.
Darüber hinaus werden wir Ihnen erklären, welche Rechte Ihnen zur Wahrung und Durchsetzung Ihres Datenschutzes zustehen.
2. Begriffe
Unsere Datenschutzbestimmungen enthalten Fachbegriffe, die in der DSGVO und dem BDSG-neu stehen. Zu Ihrem besseren Verständnis wollen wir diese Begriffe in einfachen Worten vorab erklären:
2.1 Personenbezogene Daten
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (Art. 4 Nr. 1 DSGVO). Angaben einer identifizierten Person können z.B. der Name oder die E-Mail-Adresse sein. Personenbezogen sind aber auch Daten, bei denen die Identität nicht unmittelbar ersichtlich ist, sich aber ermitteln lässt, indem man eigene oder fremde Informationen kombiniert und so erfährt, um wen es sich handelt. Eine Person wird z.B. über die Angabe ihrer Anschrift oder Bankverbindung, ihres Geburtsdatums oder Benutzernamens, ihrer IP-Adressen und/oder Standortdaten identifizierbar. Relevant sind hier alle Informationen, die in irgendeiner Weise einen Rückschluss auf eine Person zulassen.
2.2 Verarbeitung
Unter einer „Verarbeitung“ versteht Art. 4 Nr. 2 DSGVO jeden Vorgang im Zusammenhang mit personenbezogenen Daten. Dies betrifft insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung, Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.
3. Gültigkeitsbereich
Diese Datenschutzerklärung gilt ausschließlich für die Cloud, welche hinter der Domain cloud.kgv578.de angeboten wird.
A. Kontaktdaten des Verantwortlichen und Datenschutzbeauftragter
1. Kontaktdaten des Verantwortlichen
Verantwortlich im Sinne der Datenschutzgrundverordnung und anderer nationaler Datenschutzgesetze der EU-Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist der:
Kleingartenverein Baben de Heid e. V. - Nr. 578
Gesetzlicher Vertreter (1. Vorsitzende/r): Norbert Bieber
Anschrift: Schwarzenbeker Ring 43, 22149 Hamburg
Telefon: +49 (0)40 / 67378508
E-Mail:
2. Datenschutzbeauftragter
Unser Dachverband, der LGH, hat einen externen Datenschutzbeauftragten bestellt. Sie erreichen ihn unter:
Name: Arne Platzbecker
Anschrift: HABEWI GmbH & Co. KG, Palmaille 96, 22767 Hamburg
Telefon: +49 (0)40 / 18189800
Fax: +49 (0)40 / 181898099
B. Datenverarbeitung
1. Bereitstellung der Cloud und Erstellung von Logfiles
Bei jedem Aufruf und jeder Nutzung unserer Cloud werden Daten und Informationen erfasst. Diese Daten und Informationen werden in Logfiles auf dem Cloud-Server gespeichert. Erfasst werden können:
-
-
-
-
- IP-Adresse
- Informationen über den Browsertyp und die verwendete Version
- Datum und Uhrzeit des Zugriffs
- Internet-Service-Provider der Nutzer:in
- Betriebssystem der Nutzer:in
- Websites, von denen das System der Nutzer:in auf unsere Internetseite gelangt
- Websites, die vom System der Nutzer:in über unsere Website aufgerufen wird
-
-
-
Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO.
Die vorübergehende Speicherung der IP-Adresse durch das System ist erforderlich, um eine Auslieferung der Cloud an den Rechner der Nutzer:in zu ermöglichen. Hierfür muss die IP-Adresse der Nutzer:in für die Dauer der Sitzung gespeichert bleiben.
Die Speicherung in Logfiles erfolgt zur Sicherstellung der Funktionsfähigkeit der Cloud, zur Optimierung der Inhalte der Cloud sowie zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme.
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der Cloud ist dies der Fall, wenn die jeweilige Sitzung beendet ist.
Im Fall der Speicherung der Daten in Logfiles ist dies nach spätestens sieben Tagen der Fall. Eine darüber hinausgehende Speicherung ist möglich. In diesem Fall werden die IP-Adressen der Nutzer:innen gelöscht oder verfremdet, so dass eine Zuordnung des aufrufenden Clients nicht mehr möglich ist.
2. Verwendung von Cookies
Unsere Cloud verwendet Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computer der Nutzer:in gespeichert werden. Ruft eine Nutzer:in eine Webseite auf, so kann ein Cookie auf dem Betriebssystem der Nutzer:in gespeichert werden. Dieser Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Webseite ermöglicht.
Wir setzen Cookies ein, um unsere Cloud nutzerfreundlicher zu gestalten. Alle Cookies kommen direkt von dem von uns betriebenen Cloud-Server, es werden keine Cookies von Drittanbietern an Ihr System gesendet. Durch die Cloud gespeicherte Cookies:
-
-
-
-
- Session-Cookies: Sitzungs-ID, Secret Token (wird zur Entschlüsselung der Sitzung auf dem Server verwendet)
- Remember-me-Cookies: Benutzerkennung (user-ID), ursprüngliche Sitzungs-ID, Erinnerungs-Token
- SameSite-Cookies: Es werden keine nutzerbezogenen Daten gespeichert, alle SameSite-Cookies sind für alle Nutzer auf allen Instanzen gleich.
-
-
-
SameSite-Cookies werden verwendet, um festzustellen, wie eine Anfrage den Cloud-Server erreicht. Sie werden verwendet, um CSRF-Angriffe zu verhindern. In diesen Cookies werden keine identifizierbaren Informationen gespeichert.
Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung von Cookies ist Art. 6 Abs. 1 lit. f DSGVO.
Der Zweck der Verwendung technisch notwendiger Cookies ist, die Nutzung von Webseiten für die Nutzer:innen zu vereinfachen.
Cookies werden auf dem Rechner der Nutzer:in gespeichert und von diesem an uns übermittelt. Daher haben Sie als Nutzer:in auch die volle Kontrolle über die Verwendung von Cookies. Durch eine Änderung in Ihrem Internetbrowser können Sie die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Cookies können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für unsere Cloud deaktiviert, können möglicherweise nicht mehr alle Funktionen der Cloud vollumfänglich genutzt werden.
3. Anmeldung
An unserer Cloud können sich Nutzer:innen unter Angabe personenbezogener Daten anmelden. Es werden folgende personenbezogenen Daten dabei übermittelt:
-
-
-
-
- Lokaler Benutzername des Kleingartenvereins Baben de Heid e. V. oder
- E-Mail Adresse
- Passwort
- Zeitpunkt der letzten Anmeldung
- IP-Adresse
-
-
-
Die IP-Adresse von erfolgreichen Anmeldevorgängen wird zusammen mit der internen Benutzer-ID abgespeichert. Diese Daten werden zur automatisierten Erkennung von unberechtigten Zugriffen benötigt, welches die Sicherheit unserer Konten erhöht.
Rechtsgrundlage für die Verarbeitung der Daten ist bei Vorliegen einer Einwilligung der Nutzer:in Art. 6 Abs. 1 lit. a DSGVO.
Eine Anmeldung der Nutzer:in ist für das Bereithalten bestimmter Inhalte und Leistungen auf unserer Cloud erforderlich, dazu zählen, je nach erhaltener Berechtigung, u.a. das Erstellen und Verwalten von Benutzerkonten, Dateien, Kontakten, Kalendern, Terminen und Aufgaben, Teilnahme an Umfragen, das Versenden von Emails, sowie die Administration.
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind.
4. E-Mail-Kontakt
In unserer Cloud können Nutzer:innen, die die nötige Berechtigung erhalten haben, über ein E-Mail-Programm und den bereitgestellten Kontaktdaten mit anderen Vereinsmitgliedern im Rahmen einer bestehenden Vereinsmitgliedschaft in Kontakt treten. In diesem Fall werden die an uns übermittelten personenbezogenen Daten der Nutzer:in gespeichert und verarbeitet. Eine Weitergabe der Daten an Dritte findet nicht statt.
Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit § 4 HmbDSG, wenn die Verarbeitung der von Ihnen angegebenen personenbezogenen Daten zur Bearbeitung Ihres Anliegens im Rahmen der Erfüllung unserer Aufgaben erforderlich ist. Die Mitteilung darüber hinaus gehender Angaben durch Sie erfolgt freiwillig aufgrund einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.
Die Daten werden ausschließlich für die Verarbeitung der Konversation verwendet. Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für die personenbezogenen Daten die per E-Mail übersandt wurden, ist dies dann der Fall, wenn die jeweilige Konversation mit der Nutzer:in beendet ist.
5. Freigabe von Inhalten
In unserer Cloud können Nutzer:innen, die die nötige Berechtigung erhalten haben, Inhalte an andere Nutzer:innen oder externe Personen freigeben. Es können unter anderem Dateien, Ordner, Kalender, Termine und Aufgaben freigegeben werden. Hierfür wird jeder Nutzer:in in einer globalen Liste gespeichert, die von jeder Nutzer:in durchsuchbar ist. Diese Liste wird mit anderen Cloud Instanzen geteilt. Es werden folgende personenbezogenen Daten dabei übermittelt:
-
-
-
-
- Lokaler Benutzername des Kleingartenvereins Baben de Heid e. V.
- Name der Nutzer:in
- Freigegebener Inhalt
-
-
-
Rechtsgrundlage für die Verarbeitung der Daten ist bei Vorliegen einer Einwilligung der Nutzer:in Art. 6 Abs. 1 lit. a DSGVO.
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind.
6. Aktivitäten
In unserer Cloud werden die Änderungen der Nutzer:innen an jeglichen Inhalten gespeichert. Dadurch ist eine Nachverfolgung, wer eine Änderung erwirkt hat, möglich. Diese können von anderen Nutzer:innen, welche Zugriff auf die jeweiligen Inhalte haben, eingesehen werden. Es werden folgende personenbezogenen Daten dabei übermittelt:
-
-
-
-
- Lokaler Benutzername des Kleingartenvereins Baben de Heid e. V.
- Name der Nutzer:in
- Betroffener Inhalt
- Art der Änderung
- Zeitpunkt der Änderung
-
-
-
Rechtsgrundlage für die Verarbeitung der Daten ist bei Vorliegen einer Einwilligung der Nutzer:in Art. 6 Abs. 1 lit. a DSGVO.
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind.
7. Dateienverwaltung
In unserer Cloud können Nutzer:innen, die die nötige Berechtigung erhalten haben, Dateien hochladen, bearbeiten und löschen. Es werden folgende personenbezogenen Daten dabei übermittelt:
-
-
-
-
- Lokaler Benutzername des Kleingartenvereins Baben de Heid e. V.
- Name der Nutzer:in
- Inhalte der Datei und alle dazugehörigen Attribute
- Zeitpunkt der letzten Änderung
-
-
-
Rechtsgrundlage für die Verarbeitung der Daten ist bei Vorliegen einer Einwilligung der Nutzer:in Art. 6 Abs. 1 lit. a DSGVO.
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind.
8. Kalender, Termine und Aufgaben
In unserer Cloud können Nutzer:innen Kalender erstellen, bearbeiten und löschen. Dadurch ist es möglich, Termine und Aufgaben zu verwalten. Es werden folgende personenbezogenen Daten dabei übermittelt:
-
-
-
-
- Lokaler Benutzername des Kleingartenvereins Baben de Heid e. V.
- Name der Nutzer:in
- Kontaktdaten mit allen dazugehörigen Attributen, darunter fallen unter anderem:
- Titel
- Ort
- Beschreibung
- Datum und Uhrzeit
- Status
- Teilnehmer:innen
- Aufgaben mit allen dazugehörigen Attributen, darunter fallen:
- Titel
- Beschreibung
- Status
- Zeitpunkt der letzten Änderung
-
-
-
Rechtsgrundlage für die Verarbeitung der Daten ist bei Vorliegen einer Einwilligung der Nutzer:in Art. 6 Abs. 1 lit. a DSGVO.
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind.
9. Umfragen und Formulare
In unserer Cloud können Nutzer:innen, die die nötige Berechtigung erhalten haben, Umfragen und Formulare erstellen, bearbeiten und löschen. Dadurch ist es möglich, anonyme oder personenbezogene Daten zu erheben und auszuwerten. Es werden folgende personenbezogenen Daten dabei übermittelt:
-
-
-
-
- Lokaler Benutzername des Kleingartenvereins Baben de Heid e. V. (falls die Daten nicht anonym erhoben werden)
- Name der Nutzer:in (falls die Daten nicht anonym erhoben werden)
- Antworten der Nutzer:in auf die Formularfelder
- Zeitpunkt der Übermittlung
-
-
-
Rechtsgrundlage für die Verarbeitung der Daten ist bei Vorliegen einer Einwilligung der Nutzer:in Art. 6 Abs. 1 lit. a DSGVO.
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind.
10. Einbindung von Collabora
In unserer Cloud können Nutzer:innen, die die nötige Berechtigung erhalten haben, Dokumente erstellen und bearbeiten. Hierfür kann der Dienst Collabora genutzt werden. Der Collabora Online Server läuft unter der Domain collaboraonline.com und wird von uns zur Nutzung implementiert. Es werden folgende personenbezogenen Daten dabei übermittelt:
-
-
-
-
- Lokaler Benutzername des Kleingartenvereins Baben de Heid e. V.
- Name der Nutzer:in
- Inhalte der Datei und alle dazugehörigen Attribute
-
-
-
Rechtsgrundlage für die Verarbeitung der Daten ist bei Vorliegen einer Einwilligung der Nutzer:in Art. 6 Abs. 1 lit. a DSGVO.
Die Dokumente werden beim Starten des Bearbeitungsvorgangs an den Collabora Dienst übertragen. Jede Änderung wird in der Cloud wieder gespeichert.
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind.
Adresse und Link zu den Datenschutzhinweisen des Drittanbieters:
Collabora Productivity, The Platinum Building, St John’s Innovation Park, Cowley Rd, Cambridge, CB4 0DS, United Kingdom
Informationen zum Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung von Collabora unter https://www.collaboraonline.com/privacy-notice/
11. Einbindung von OpenStreetMap
Wir nutzen den Open-Source-Karten-Dienst "OpenStreetMap" (im Folgenden "OSM" genannt) zur Darstellung von Geo-Daten. Anbieter ist die Firma OpenStreetMap Foundation. OSM dient dazu, eine interaktive Karte auf unserer Cloud anzubieten, die Ihnen zeigt, wo sich beispielsweise unser Kleingartenverein befindet. Zur Nutzung von OSM ist die Speicherung der IP-Adresse Ihres Endgerätes notwendig, außerdem wird das Kartenmaterial von einem externen Server geladen.
Die Nutzung von OSM erfolgt im Interesse einer ansprechenden Darstellung unserer Online-Angebote und an einer leichten Auffindbarkeit der von uns auf der Website angegebenen Orte; dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar (Berechtigtes Interesse an der Datenverarbeitung).
Adresse und Link zu den Datenschutzhinweisen des Drittanbieters:
OpenStreetMap Foundation CLG, 132 Maney Hill Road, Sutton Coldfield, West Midlands, B72 1JU, United Kingdom
Informationen zum Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung von OSM unter https://wiki.osmfoundation.org/wiki/Privacy_Policy
12. Sicherheitsmaßnahmen
Um Ihre persönlichen Daten vor fremdem Zugriff zu schützen, haben wir unsere Cloud mit einem SSL- bzw. TLS-Zertifikat versehen. SSL steht für „Secure-Sockets-Layer“ und TLS für „Transport Layer Security“ und verschlüsselt die Kommunikation von Daten zwischen der Cloud und dem Endgerät des Nutzers. Sie erkennen die aktive SSL- bzw. TLS-Verschlüsselung an einem kleinen Schloss-Logo, das ganz links in der Adresszeile des Browsers angezeigt wird und an dem Protokoll „https://“.
13. Server-Standort
Der Kleingartenverein Baben de Heid e. V. nutzt ausschließlich einen selbstgehosteten Cloud-Server in Deutschland.
C. Rechte der betroffenen Person
Im Hinblick auf die oben beschriebene Datenverarbeitung durch unseren Verein stehen Ihnen die folgenden Betroffenenrechte zu:
1. Auskunft (Art. 15 DSGVO)
Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten. Ist dies der Fall, steht Ihnen unter den in Art. 15 DSGVO genannten Voraussetzungen ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 DSGVO aufgeführten weiteren Informationen zu.
2. Berichtigung (Art. 16 DSGVO)
Sie haben das Recht, von uns unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten und ggf. die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
3. Löschung (Art. 17 DSGVO)
Sie haben das Recht, von uns zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der in Art. 17 DSGVO im einzelnen aufgeführten Gründe zutrifft, z. B. wenn Ihre Daten für die von uns verfolgten Zwecke nicht mehr benötigt werden.
4. Einschränkung der Datenverarbeitung (Art. 18 DSGVO)
Sie haben das Recht, von uns die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO aufgeführten Voraussetzungen gegeben ist, z. B. wenn Sie die Richtigkeit Ihrer personenbezogenen Daten bestreiten, wird die Datenverarbeitung für die Dauer eingeschränkt, die uns die Überprüfung der Richtigkeit Ihrer Daten ermöglicht.
5. Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, unter den in Art. 20 DSGVO aufgeführten Voraussetzungen, die Herausgabe der Sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu verlangen.
6. Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)
Sie haben das Recht, bei einer Verarbeitung, die auf einer Einwilligung beruht, Ihre Einwilligung jederzeit zu widerrufen. Der Widerruf gilt ab dem Zeitpunkt seiner Geltendmachung. Er wirkt mit anderen Worten für die Zukunft. Die Verarbeitung wird durch den Widerruf der Einwilligung also nicht rückwirkend rechtswidrig.
7. Beschwerde (Art. 77 DSGVO)
Wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde. Sie können dieses Recht bei einer Aufsichtsbehörde in dem EU-Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend machen.
8. Verbot automatisierter Entscheidungen/ Profiling (Art. 22 DSGVO)
Entscheidungen, die für Sie rechtliche Folge nach sich ziehen oder Sie erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten – einschließlich eines Profiling – gestützt werden. Wir teilen Ihnen mit, dass wir im Hinblick auf Ihre personenbezogenen Daten keine automatisierte Entscheidungsfindung einschließlich Profiling einsetzen.
9. Widerspruch (Art. 21 DSGVO)
Wenn wir personenbezogene Daten von Ihnen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (zur Wahrung überwiegender berechtigten Interessen) verarbeiten, haben Sie das Recht, unter den in Art. 21 DSGVO aufgeführten Voraussetzungen dagegen Widerspruch einzulegen. Dies gilt jedoch nur, soweit Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben. Nach einem Widerspruch verarbeiten wir Ihre personenbezogenen Daten nicht mehr, es sei denn wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen. Wir müssen die Verarbeitung ebenfalls nicht einstellen, wenn sie der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient. In jedem Fall – auch unabhängig von einer besonderen Situation – haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten für Direktwerbung einzulegen.