Datenschutzerklärung

1. Allgemeines

Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Im Folgenden informieren wir Sie transparent darüber, welche Daten beim Besuch unserer Website verarbeitet werden – insbesondere im Rahmen von Nutzerkonten, Kursbuchungen, der Verwaltung mehrerer Teilnehmer:innen (z. B. durch Erziehungsberechtigte), Zahlungsabwicklung per SEPA-Lastschrift sowie bei Anfragen per E-Mail oder Telefon.

Zur Anmeldung nutzen wir sichere Cookies mit JSON Web Tokens (JWT), für E-Mail-Benachrichtigungen setzen wir auf eine EU-basierte Infrastruktur. Wir verwenden keine Analyse-, Tracking- oder Werbedienste, verzichten auf nicht notwendige Cookies und binden keine externen Ressourcen wie Google Fonts oder Content Delivery Networks (CDNs) ein.

2. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung ist:

VHS-Langquaid e.V.
Franz-Marc-Str. 21
84085 Langquaid
Telefon: +49(0) 9452 2817
E-Mail: datenverarbeitung@vhslq.de
Vertreten durch: Bernd Schmargendorf

Datenschutzbeauftragter gemäß Art. 37 DSGVO:

Roland Schäffer
Telefon: +49(0) 9452 2817
E-Mail: datenschutz@vhslq.de

Zuständige Aufsichtsbehörde für Datenschutzaufsicht:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Web: www.lda.bayern.de

3. Hosting

Unsere Website wird auf Servern der IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland, betrieben. Die Server befinden sich ausschließlich in Rechenzentren innerhalb der EU (Standorte: Deutschland und Spanien). Mit dem Anbieter wurde ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen.

Zusätzlich hosten wir einzelne Dokumente (z. B. PDF-Downloads) über Server von Scaleway S.A.S., 8 rue de la Ville l’Évêque, 75008 Paris, Frankreich. Beim Abruf solcher Dateien wird Ihre IP-Adresse an Scaleway übermittelt. Die Server befinden sich ausschließlich in der EU. Auch hier besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

4. Zugriffsdaten und Server-Logs

Beim Besuch unserer Website erheben wir automatisch folgende Daten:

  • IP-Adresse (wird nach 7 Tagen pseudonymisiert und nach 12 Monaten vollständig gelöscht)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL
  • Browsertyp/-version und Betriebssystem
  • HTTP-Statuscode
  • Session-ID (zur Sitzungsverwaltung, wird bei Sitzungsende gelöscht)
  • Bei eingeloggten Nutzer:innen: Benutzer-ID

Diese Daten werden ausschließlich zu folgenden Zwecken verarbeitet:

  • Technische Stabilität und Sicherheit (z. B. zur Abwehr von Angriffen)
  • Fehleranalyse und technische Verbesserung
  • Nachvollziehbarer Support bei Buchungen

Es erfolgt keine Profilbildung, kein Tracking und keine Weitergabe an Dritte. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Die Logs werden für maximal 12 Monate gespeichert und anschließend automatisiert gelöscht.

5. Authentifizierung mit JWT (HttpOnly-Cookie)

Zur Anmeldung verwenden wir JSON Web Tokens (JWT), die nach erfolgreichem Login als HttpOnly Secure Cookie im Browser gespeichert werden. Das bedeutet:

  • HttpOnly: Das Cookie kann nicht über JavaScript ausgelesen werden (Schutz vor XSS)
  • Secure: Übertragung nur über HTTPS
  • Maximale Lebensdauer: 7 Tage (danach erfolgt automatische Löschung)

Das Token enthält ausschließlich technische Sitzungsinformationen (verschlüsselte Sitzungs-ID und Benutzer-ID) und dient der Wiedererkennung bei weiteren Seitenaufrufen. Die Verarbeitung erfolgt auf Grundlage von:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. f DSGVO (benutzerfreundliche Anmeldung)
  • § 25 Abs. 2 Nr. 2 TTDSG (technisch erforderlich)

6. Verwendung von Cookies

Unsere Website verwendet ausschließlich technisch notwendige Cookies:

  • Ein Session-Cookie zur Verwaltung aktiver Sitzungen (Löschung bei Schließen des Browsers)
  • Ein Authentifizierungs-Cookie (siehe Punkt 5, Löschung nach spätestens 7 Tagen)

Diese Cookies enthalten keine personenbezogenen Daten, werden nicht zu Analysezwecken verwendet und sind nicht für Dritte zugänglich. Die Speicherung erfolgt auf Grundlage von § 25 Abs. 2 Nr. 2 TTDSG.

7. Nutzerkonto-Erstellung

Zur Verwaltung von Kursbuchungen ist die Erstellung eines Nutzerkontos erforderlich. Dabei erheben wir folgende personenbezogene Daten:

  • Vor- und Nachname
  • E-Mail-Adresse
  • Telefonnummer
  • Adresse
  • IBAN (für SEPA-Lastschrift, siehe Abschnitt 8)
  • Passwort (in verschlüsselter Form gespeichert)

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und dient der eindeutigen Zuordnung von Kursbuchungen sowie der Kommunikation im Rahmen der Vertragsabwicklung.

Das Nutzerkonto bleibt aktiv, solange es vom Nutzer nicht gelöscht wird oder noch offene Verpflichtungen (z. B. Zahlungen) bestehen. Nach Löschung oder Inaktivität werden die personenbezogenen Daten gemäß den gesetzlichen Aufbewahrungsfristen (siehe Abschnitt 8) aufbewahrt und anschließend gelöscht. Daten mit steuerlicher Relevanz (z. B. Zahlungsinformationen) werden unabhängig davon gemäß Abschnitt 8 aufbewahrt.

8. Kursbuchung und Zahlungsdaten (SEPA-Lastschrift)

Für die Teilnahme an kostenpflichtigen Kursen verwenden wir die im Nutzerkonto hinterlegten Daten. Dazu gehören insbesondere:

  • Name, Adresse, E-Mail-Adresse, ggf. Telefonnummer
  • IBAN für SEPA-Lastschrift (siehe Abschnitt 7)
  • Kurs- und Buchungsdaten

Zugriff auf Zahlungsdaten erhalten ausschließlich autorisierte Vereinsmitglieder mit Finanzverantwortung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Nach Kursende werden die Daten wie folgt aufbewahrt:

  • Zahlungs- und Buchhaltungsdaten: 10 Jahre (gemäß § 147 AO/HGB)
  • Kontaktdaten: für aktive Nutzer:innen so lange, wie das Nutzerkonto besteht; andernfalls 3 Jahre (für etwaige Rückfragen und zur Information über ähnliche Kurse, es sei denn, Sie widersprechen dieser Nutzung)

9. Teilnahme minderjähriger Personen

Die Anmeldung zu Kursen für minderjährige Personen erfolgt ausschließlich über ein Nutzerkonto, das von einer volljährigen, geschäftsfähigen Person erstellt werden muss (in der Regel ein Elternteil oder Erziehungsberechtigter). Voraussetzung für die Registrierung eines Nutzerkontos ist ein Mindestalter von 18 Jahren sowie die Angabe einer gültigen IBAN für das SEPA-Lastschriftverfahren.

Für die Teilnahme minderjähriger Personen an Kursen wird ein separates Teilnehmerprofil im Nutzerkonto angelegt. Hierbei verarbeiten wir folgende personenbezogene Daten:

  • Vor- und Nachname des Teilnehmers/der Teilnehmerin
  • Geburtsdatum (zur Prüfung etwaiger Altersgrenzen)
  • optional: Telefonnummer (z. B. für Notfälle)

Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen der Kursbuchung durch die Erziehungsberechtigten) sowie ggf. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer altersgerechten Kursdurchführung und Kommunikation im Notfall).

Einige Kurse sind an bestimmte Altersgruppen gebunden (z. B. Mindest- oder Maximalalter). Die Angaben zum Geburtsdatum dienen ausschließlich der Prüfung dieser Teilnahmevoraussetzungen und werden nicht veröffentlicht.

Auch volljährige Personen können über das Nutzerkonto einer anderen Person verwaltet und zu Kursen angemeldet werden, z. B. wenn sie selbst keine E-Mail-Adresse besitzen oder technische Unterstützung benötigen. In diesen Fällen gelten die oben genannten Grundsätze zur Datenverarbeitung entsprechend.

10. Weitergabe von Teilnehmerdaten an Kursleitungen

Zur Durchführung von Kursen stellen wir den jeweiligen Kursleitungen (Referent:innen) Teilnehmerlisten zur Verfügung. Diese enthalten die für die Kursdurchführung notwendigen Daten:

  • Vor- und Nachname
  • Geburtsdatum (soweit zur Prüfung von Teilnahmevoraussetzungen erforderlich)
  • ggf. Telefonnummer (z. B. für kurzfristige Rückfragen oder Notfälle)

Die Kursleitungen sind vertraglich an Vertraulichkeit und den Schutz dieser Daten gebunden. Eine Nutzung der Daten ist ausschließlich für die Vorbereitung und Durchführung des jeweiligen Kurses zulässig. Eine Weitergabe an Dritte oder Nutzung zu anderen Zwecken ist untersagt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen der Kursbuchung).

11. E-Mail-Kommunikation

Für den Versand transaktionaler E-Mails (z. B. Buchungsbestätigungen, Erinnerungen, Passwort-Reset) nutzen wir den Transaktionsmail-Dienst von Scaleway S.A.S., 8 rue de la Ville l'Évêque, 75008 Paris, Frankreich. Der Versand erfolgt über deren API-Dienst. Die Server befinden sich ausschließlich in der EU. Mit Scaleway wurde ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer stabilen E-Mail-Zustellung).

12. Online-Umfragen & Rückmeldungen

Für bestimmte qualitätssichernde Rückfragen nutzen wir Microsoft Forms, einen Dienst der Microsoft Ireland Operations Ltd.One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland. Die Verarbeitung erfolgt im Rahmen unseres berechtigten Interesses an der Optimierung unserer Abläufe und zur Klärung von Problemen mit externen Dienstleistern (z. B. Versandproblemen).

Dabei können wir Formulare so gestalten, dass bereits bekannte Daten (z. B. Name, Adresse) automatisch vorausgefüllt sind. Die übermittelten Informationen werden ausschließlich intern verarbeitet und nicht an Dritte weitergegeben. Die Nutzung des Formulars ist freiwillig. Microsoft Forms wird in der EU betrieben, Microsoft agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO. Ein entsprechender Vertrag zur Auftragsverarbeitung wurde abgeschlossen.

13. Kontaktaufnahme und Support-Anfragen

Wenn Sie mit uns Kontakt aufnehmen (per E-Mail, Telefon oder Kontaktformular), verarbeiten wir die von Ihnen mitgeteilten Daten zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Speicherdauer: Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Dies ist in der Regel der Fall, wenn die jeweilige Konversation mit Ihnen beendet ist, spätestens jedoch nach 3 Jahren.

14. Datensicherheit und Zugriffskontrolle

Wir setzen angemessene technische und organisatorische Maßnahmen ein, um Ihre Daten vor Verlust, Missbrauch oder unberechtigtem Zugriff zu schützen. Dazu zählen insbesondere:

  • Hosting auf Servern innerhalb der EU mit Zugriffsschutz
  • Zugriff auf personenbezogene Daten nur durch berechtigte Personen
  • Regelmäßige Datensicherungen
  • Verschlüsselte Datenübertragung (HTTPS)

Ein Zugriff auf produktive Systeme ist ausschließlich autorisierten Vereinsmitgliedern mit entsprechender Funktion möglich.

15. Rechte der betroffenen Personen

Gemäß der Datenschutz-Grundverordnung stehen Ihnen folgende Rechte zu:

  • Auskunft über Ihre bei uns gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger personenbezogener Daten (Art. 16 DSGVO)
  • Löschung Ihrer bei uns gespeicherten Daten (Art. 17 DSGVO)
  • Einschränkung der Datenverarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
  • Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, um sie an geänderte Rechtslagen oder bei Änderungen unseres Angebots anzupassen. Die aktuelle Version finden Sie jeweils auf unserer neuen Website.

Stand dieser Datenschutzerklärung: 24.08.2025

VHS-Langquaid e.V.
Schulstraße 11
84085 Langquaid
Kontakt
09452 2817
info@vhslq.de