Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Julian Müller – DeSourCeDev
Eisenbahnstraße 42, 79423 Heitersheim
E-Mail: info@desourcedev.de

2. Zweck der Datenverarbeitung

Die über diese Plattform erhobenen personenbezogenen Daten werden für folgende Zwecke verarbeitet:

  • Freizeitverwaltung: Organisation und Durchführung von Jugendfreizeiten und Ferienlagern.
  • Teilnehmerverwaltung: Registrierung, Verwaltung und Betreuung von Teilnehmern inkl. An-/Abreise, Ausgehvorgänge, Anwesenheitskontrolle und Kursplanung.
  • Betreuer-Konten: Registrierung und Verwaltung von Betreuern, Rollen- und Rechteverwaltung, Juleica-Verwaltung.
  • Krisenmanagement: Dokumentation und Bearbeitung von Krisenvorgängen gemäß § 8a SGB VIII inkl. Handlungsleitfäden und Eskalationsstufen.
  • Gästeregistrierung: Erfassung von Gästen auf Freizeiten für Sicherheits- und Organisationszwecke.
  • Gesichtserkennung: Optionale biometrische Verarbeitung zur Zuordnung von Teilnehmerfotos (nur mit ausdrücklicher Einwilligung).
  • Abrechnungen: Erstellung und Verwaltung von Betreuer- und Fahrdienstverträgen.
  • Quiz & Aktivitäten: Durchführung von interaktiven Quizzen und Aktivitäten während der Freizeit.
  • Küchendienst: Planung und Verwaltung von Küchendiensten.
  • Rückmeldungen: Erfassung von Feedback der Teilnehmer und Betreuer.

3. Rechtsgrundlage

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Verarbeitung ist erforderlich für die Erfüllung des Vertrags über die Teilnahme an einer Jugendfreizeit bzw. die Betreuertätigkeit.
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich, insbesondere zur Gewährleistung der Sicherheit der Teilnehmer, für die Nachtwachen- und Strandwachendokumentation sowie für die Ausleihe von Gegenständen.
  • Art. 9 Abs. 2 lit. a DSGVO (Ausdrückliche Einwilligung): Die Verarbeitung biometrischer Daten (Gesichtserkennung) erfolgt ausschließlich auf Grundlage einer ausdrücklichen Einwilligung des Betroffenen bzw. des gesetzlichen Vertreters bei Minderjährigen.
  • Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Die Verarbeitung im Rahmen des Krisenmanagements erfolgt zur Erfüllung rechtlicher Verpflichtungen, insbesondere gemäß § 8a SGB VIII (Schutzauftrag bei Kindeswohlgefährdung).

4. Kategorien personenbezogener Daten

4.1 Teilnehmer

Name, Geburtsdatum, Geschlecht, Adresse, Kontaktdaten, Notfallkontakte, Gesundheitsinformationen (Allergien, Medikamente, Besonderheiten), Foto, Ausgehberechtigungen, Anwesenheitsdaten, Kurszuordnungen, Küchendiensteinteilungen.

4.2 Betreuer

Name, E-Mail-Adresse, Telefonnummer, Profilbild, Juleica-Daten (Nummer, Ablaufdatum), Organisationszugehörigkeit, Rollen und Berechtigungen, Abrechnungsdaten.

4.3 Kontaktpersonen

Name, Telefonnummer, Beziehung zum Teilnehmer (Notfallkontakte und Erziehungsberechtigte).

4.4 Gäste

Name, Besuchsgrund, Besuchsdatum, zugehörige Freizeit.

4.5 Biometrische Daten

Gesichtserkennungsdaten (Face Embeddings) zur Zuordnung von Fotos zu Teilnehmern. Diese Daten werden nur mit ausdrücklicher Einwilligung erhoben, ausschließlich lokal und verschlüsselt verarbeitet und nach der Zuordnung der Bilder unverzüglich wieder gelöscht. Es findet keine dauerhafte Speicherung biometrischer Daten statt.

5. Empfänger der Daten

  • Hosting-Anbieter: Die Plattform wird bei einem professionellen Hosting-Anbieter betrieben. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO liegt vor.
  • Zahlungsdienstleister (Stripe): Für die Zahlungsabwicklung nutzen wir den Dienst Stripe (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland). Bei der Durchführung von Zahlungen werden die hierfür erforderlichen Daten (Rechnungsnummer, Betrag, E-Mail-Adresse der Organisation) an Stripe übermittelt. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe verarbeitet Zahlungsdaten (Kreditkarten- bzw. SEPA-Daten) eigenverantwortlich. Es gelten die Datenschutzbestimmungen von Stripe. Stripe ist unter dem EU-U.S. Data Privacy Framework zertifiziert und gewährleistet ein angemessenes Datenschutzniveau gemäß Art. 45 DSGVO.
  • Bot-Schutz (Cloudflare Turnstile): Zum Schutz vor automatisierten Zugriffen setzen wir Cloudflare Turnstile ein. Dabei können technische Daten (IP-Adresse, Browserinformationen) an Cloudflare, Inc. (USA) übermittelt werden. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Plattform). Cloudflare ist unter dem EU-U.S. Data Privacy Framework zertifiziert.
  • E-Mail-Versand: Für den Versand von E-Mails (Registrierung, Benachrichtigungen) nutzen wir einen SMTP-Dienst. Ein Auftragsverarbeitungsvertrag (AVV) liegt vor.
  • Gesichtserkennung: Die optionale Gesichtserkennung erfolgt ausschließlich lokal auf dem eigenen Server. Es werden keine Bilddaten an externe Dienste übermittelt. Es findet kein Zugriff von außerhalb statt.

Eine Weitergabe an sonstige Dritte erfolgt nicht, es sei denn, es besteht eine gesetzliche Verpflichtung (z. B. auf Anordnung von Behörden).

Die bei der Gesichtserkennung erzeugten Gesichtsvektoren werden als Dateien auf dem Server gespeichert und nach Verarbeitung gemäß dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Löschverfahren sicher entfernt. Die Dateien werden dabei mehrfach mit Zufallsdaten überschrieben, sodass eine Wiederherstellung ausgeschlossen ist.

6. Speicherdauer

  • Teilnehmerdaten: Gemäß der organisationsspezifischen Aufbewahrungsfrist (mindestens 10 Jahre nach Ende der Freizeit). Danach werden die Daten automatisch anonymisiert.
  • Betreuerdaten: Bis zur Löschung des Betreuer-Kontos durch den Nutzer oder die Organisation.
  • Gästedaten: 10 Jahre nach dem Besuchsdatum.
  • Krisenvorgänge: Unbegrenzte Aufbewahrung aufgrund gesetzlicher Dokumentationspflichten (§ 8a SGB VIII). Die Daten können bei berechtigtem Interesse auf Antrag eingeschränkt werden.
  • Biometrische Daten: Werden nach der Zuordnung der Fotos unverzüglich gelöscht. Es findet keine dauerhafte Speicherung biometrischer Daten statt.

7. Rechte der Betroffenen

Betroffene Personen haben folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über Ihre gespeicherten personenbezogenen Daten zu erhalten.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie haben das Recht, unrichtige Daten berichtigen zu lassen.
  • Löschungsrecht (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, der Verarbeitung Ihrer Daten zu widersprechen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO basiert.
  • Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an den oben genannten Verantwortlichen.

8. Cookies

Diese Plattform verwendet ausschließlich technisch notwendige Session-Cookies für die Aufrechterhaltung der Sitzung und die Authentifizierung. Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt.

Eine Einwilligung für diese Cookies ist gemäß § 25 Abs. 2 TDDDG nicht erforderlich, da sie für die Bereitstellung des Dienstes unbedingt erforderlich sind.

9. Gesichtserkennung

9.1 Zweck

Die optionale Gesichtserkennungsfunktion ermöglicht die automatische Zuordnung von Fotos zu Teilnehmern. Dies erleichtert die Organisation und Verteilung von Freizeitfotos.

9.2 Verarbeitung

Bei der Verarbeitung werden biometrische Merkmale (Face Embeddings) aus dem Teilnehmerfoto extrahiert und zur Zuordnung von Freizeitfotos verwendet. Die gesamte Verarbeitung erfolgt ausschließlich lokal und verschlüsselt auf dem eigenen Server. Nach der Zuordnung der Bilder werden die biometrischen Daten (Face Embeddings) unverzüglich wieder gelöscht. Es findet kein Zugriff von außerhalb statt und es werden keine Daten an externe Dienste übermittelt. Ports für externen Zugriff sind gesperrt — der Dienst akzeptiert ausschließlich lokale Anfragen. Die Benutzerverzeichnisse auf dem Server sind gehärtet.

9.3 Rechtsgrundlage und Einwilligung

Die Verarbeitung biometrischer Daten erfolgt ausschließlich auf Grundlage einer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Bei Widerruf werden die biometrischen Daten unverzüglich gelöscht.

9.4 Minderjährige

Bei minderjährigen Teilnehmern muss die Einwilligung zur Gesichtserkennung durch den gesetzlichen Vertreter erteilt werden. Die Einwilligung wird pro Teilnehmer und Freizeit dokumentiert.

10. Datensicherheit

Zum Schutz Ihrer personenbezogenen Daten setzen wir folgende technische und organisatorische Maßnahmen ein:

  • Verschlüsselung: Sensible personenbezogene Daten (PII) werden mittels AES-256-GCM verschlüsselt in der Datenbank gespeichert.
  • Transportverschlüsselung: Sämtliche Datenübertragungen erfolgen über HTTPS/TLS.
  • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem mit Organisations- und Freizeitbindung. Zugriff nur auf Daten der eigenen Organisation.
  • Audit-Logging: Sicherheitsrelevante Zugriffe auf personenbezogene Daten werden protokolliert und sind nachvollziehbar.
  • Automatische Anonymisierung: Teilnehmerdaten werden nach Ablauf der Aufbewahrungsfrist automatisch anonymisiert.
  • Archiv-Schreibschutz: Abgelaufene Freizeiten werden automatisch in einen Schreibschutzmodus versetzt.

Stand: März 2026