Träger-CRM

Rechtliches

Datenschutzerklärung

Stand: 2026-05-12 · Version 0.1 (Entwurf)

TODO — Anwalts-Review erforderlich: Bitte vor Live-Schaltung durch Fachjurist:in für Datenschutzrecht prüfen lassen.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:

[TODO: Verein-Name]
[TODO: Anschrift]
E-Mail: [TODO: Kontakt-Adresse]
Telefon: [TODO: Telefonnummer]

2. Datenschutzbeauftragte:r

Der/die Datenschutzbeauftragte ist unter folgender Adresse erreichbar:

E-Mail: [TODO: dsb@…]

TODO: DSB-Bestellung dokumentieren (Pflicht ab 20 Mitarbeitenden ODER besondere Datenkategorien).

3. Welche Daten werden verarbeitet

Wir verarbeiten personenbezogene Daten in folgenden Kategorien:

3.1 Stammdaten (Firmen + Kontakte)

  • Firmen-Name, Anschrift, Betriebsnummer, USt-IdNr.
  • Kontakt-Stammdaten (Name, Email, Telefon, Rolle in der Firma)

3.2 Teilnehmer:innen-Daten

  • Name, Geburtsdatum, Anschrift
  • Sozialversicherungsnummer (verschlüsselt at-rest)
  • Begründungs-Texte für Förder-Anträge (KI-generiert + redaktionell geprüft)
  • Maßnahmen-Teilnahme + Leistungsnachweise

3.3 Kommunikations-Daten

  • E-Mails (eingehend + ausgehend)
  • Anruf-Mitschnitte und -Transkripte (mit Einwilligung)
  • Meeting-Aufzeichnungen (mit Einwilligung)

3.4 Technische Daten

  • IP-Adresse, User-Agent (für Session-Security)
  • Login-Zeitpunkte, Session-Tokens
  • Audit-Logs zu sicherheitsrelevanten Aktionen

4. Rechtsgrundlage (Art. 6 DSGVO)

ZweckRechtsgrundlage
Erfüllung Förder-AnträgeArt. 6 Abs. 1 lit. b (Vertrag)
Kommunikation mit BehördenArt. 6 Abs. 1 lit. c (rechtliche Verpflichtung)
Anruf-/Meeting-AufzeichnungenArt. 6 Abs. 1 lit. a (Einwilligung)
Plattform-Sicherheit (Audit-Logs)Art. 6 Abs. 1 lit. f (berechtigtes Interesse)
Marketing-CookiesArt. 6 Abs. 1 lit. a (Einwilligung) + § 25 Abs. 1 TTDSG

5. Empfänger (Auftragsverarbeiter)

Die folgenden Dienstleister sind als Auftragsverarbeiter gemäß Art. 28 DSGVO eingebunden. Detaillierte Übersicht inkl. AVV-Status, Datenarten und Speicherort: AVV-Übersicht.

  • Hetzner Online GmbH (Hosting, Deutschland)
  • Anthropic PBC (KI-Inferenz für Begründungs-Generierung)
  • OpenAI, L.L.C. (Embeddings für die Ähnlichkeitssuche, USA — Datenübermittlung auf Basis der EU-Standardvertragsklauseln)
  • Resend (transaktionale E-Mails)
  • PandaDoc (e-Signatur)
  • Fillout (Form-Builder)
  • Memberspot (Lerninhalte-Auslieferung)
  • GitHub (Source-Code-Verwaltung)

6. Speicherdauer

  • Stammdaten + Antrags-Daten: Aufbewahrung gemäß § 257 HGB / § 147 AO (10 Jahre nach Vertragsende).
  • Audit-Logs (security_audit_events): 24 Monate, danach automatisch Lösch- bzw. Pseudonymisierungs-Routine.
  • Anruf-/Meeting-Aufzeichnungen: 90 Tage, danach automatische Löschung.
  • KI-Generierungs-Logs (ai_generations): 12 Monate, dann pseudonymisiert aggregiert.

TODO: Konkrete Aufbewahrungsfristen mit Fachjurist:in + Steuerberatung verifizieren.

7. Betroffenenrechte (Art. 15 – 22 DSGVO)

  • Auskunft (Art. 15) — über die verarbeiteten Daten.
  • Berichtigung (Art. 16) — bei unrichtigen Daten.
  • Löschung (Art. 17) — soweit keine gesetzlichen/vertraglichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung (Art. 18) der Verarbeitung.
  • Datenübertragbarkeit (Art. 20) — Export in maschinenlesbarem Format.
  • Widerspruch (Art. 21) gegen Verarbeitungen auf Grundlage berechtigter Interessen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3) — mit Wirkung für die Zukunft.
  • Beschwerde bei der Aufsichtsbehörde (Art. 77).

Anträge bitte an [TODO: dsb@…]. Antwortfrist: 1 Monat (verlängerbar um 2 Monate bei komplexen Anliegen).

8. Cookies & Tracking

Wir setzen ausschließlich technisch notwendige Cookies (Session, CSRF, Auth) ohne Einwilligungspflicht. Statistik- und Marketing-Cookies nur mit ausdrücklicher Einwilligung. Verwaltung unter Cookie-Einstellungen.

9. Sicherheit

  • TLS 1.3 für alle Verbindungen.
  • Hosting EU/Deutschland (Hetzner), keine Datenausleitung in Drittstaaten ohne geeignete Garantien (Standardvertragsklauseln nach EU-US Data Privacy Framework wo erforderlich).
  • Pseudonymisierung sensibler Daten (Begründungs-Texte werden vor KI-Verarbeitung pseudonymisiert).
  • Append-only Audit-Log für sicherheitsrelevante Operationen.

10. Änderungen dieser Erklärung

Diese Datenschutzerklärung wird regelmäßig überprüft und an geänderte Rechtslage oder Verarbeitungstätigkeiten angepasst. Bei wesentlichen Änderungen werden bestehende Nutzer:innen aktiv informiert.

Dieses Dokument ist druckbar (Browser → Datei → Drucken).