Raving Bears e. V.← Startseite

Rechtliches

Datenschutzerklärung

Stand: 03.05.2026 · Information nach Art. 13 DSGVO und § 25 TDDDG

§ 1Verantwortlicher

Raving Bears e. V. gemeinnütziger Kulturverein
Jakob-Hecht-Straße 7
63322 Rödermark
Vereinsregister Amtsgericht Offenbach am Main, VR 6182

Vertretungsberechtigt: Andreas Schmidt (Vorsitzender, einzelvertretungsberechtigt).

Kontakt für Anfragen zum Datenschutz: vorstand@ravingbears.de

Der Verein hat keinen Datenschutzbeauftragten bestellt, da die gesetzlichen Schwellenwerte (§ 38 BDSG) nicht erreicht werden.

§ 2Verarbeitete Daten und Zwecke

Wir verarbeiten personenbezogene Daten ausschließlich in dem für den Vereinszweck und den Betrieb dieser Webseite erforderlichen Umfang. Die einzelnen Verarbeitungen sind:

2.1 Aufruf der öffentlichen Webseite (Server-Logs)

Beim Aufruf von ravingbears.de erfasst unser Reverse-Proxy (Caddy) automatisch:

  • IP-Adresse des aufrufenden Geräts
  • Datum und Uhrzeit der Anfrage
  • aufgerufene URL
  • HTTP-Status und übertragene Datenmenge
  • Referrer-URL und User-Agent (Browser-/Geräte-Kennung)

Zweck: technischer Betrieb, Stabilität und Sicherheit (Erkennung und Abwehr von Angriffen).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).
Speicherdauer: 7 Tage rollend, danach automatische Löschung.

2.2 Mitgliederbereich (Login)

Für den Zugang zum Mitgliederbereich erfassen wir bei jeder Anmeldung:

  • E-Mail-Adresse (zur Identifikation und für den Magic-Link-Versand)
  • Anmelde-Token (24 Stunden gültig, danach automatisch gelöscht)
  • Session-Cookie (HttpOnly, Secure, SameSite Lax) – ausschließlich technisch notwendig, kein Tracking

Zweck: Authentifizierung im Mitgliederbereich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Mitgliedschaftsverhältnisses).
Speicherdauer: Token 24 Stunden, Session-Cookie 30 Tage oder bis Logout.

2.3 Mitgliedsdaten

Im Mitgliederverzeichnis verarbeiten wir je Mitglied:

  • Vor- und Nachname, Nickname (optional)
  • E-Mail-Adresse, Telefonnummer (optional)
  • Postanschrift (Straße, PLZ, Ort)
  • Geburtsdatum (für Volljährigkeitsprüfung gemäß Satzung)
  • Mitgliedstyp (aktiv/passiv), Rolle, Eintritts- und ggf. Austrittsdatum
  • Bankverbindung (IBAN, BIC, Kontoinhaber) — sofern für Beitragseinzug erforderlich
  • Hochgeladene Dokumente (Mitgliedsantrag, Datenschutz-Einwilligung, SEPA-Mandat, sonstige Vereinsunterlagen)
  • Vom Vorstand erfasste interne Notizen
  • Arbeitsstunden-Aufzeichnungen aktiver Mitglieder

Zweck: Verwaltung der Mitgliedschaft, Kommunikation, Beitragseinzug, Erfüllung satzungsmäßiger Pflichten (z. B. Nachweis der 10 jährlichen Arbeitsstunden für aktive Mitglieder gemäß § 7.6 der Satzung).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Mitgliedschaftsverhältnis), § 28 Abs. 1 BDSG (Vereinsmitglied), für die Bankverbindung Art. 6 Abs. 1 lit. b DSGVO und § 7c BGB.
Speicherdauer: Während der Mitgliedschaft. Nach Austritt: Löschung bzw. Anonymisierung, soweit keine steuer- oder handelsrechtlichen Aufbewahrungsfristen entgegenstehen (i. d. R. 10 Jahre für rechnungsrelevante Unterlagen, § 147 AO).

2.4 Termine, Aufgaben, Veranstaltungen

Im Mitgliederbereich werden Termine, Aufgaben­zuweisungen und Teilnahme-Rückmeldungen verarbeitet, jeweils unter Angabe des Mitglieds.

Zweck: Organisation des Vereinslebens.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: für die Dauer der Mitgliedschaft, danach Anonymisierung in Statistiken.

§ 3Empfänger und Auftragsverarbeiter

Personenbezogene Daten werden an folgende Auftragsverarbeiter weitergegeben (jeweils auf Grundlage eines Vertrags zur Auftrags­verarbeitung gemäß Art. 28 DSGVO):

  • Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen — Hosting des Servers in Nürnberg, Deutschland
  • 1&1 IONOS SE, Elgendorfer Straße 57, 56410 Montabaur — E-Mail-Versand (Magic-Link, Benachrichtigungen) und Postfach-Hosting

Eine Übermittlung in Drittländer (außerhalb EU/EWR) findet nicht statt.

§ 4Cookies und lokale Speicherung

Diese Webseite verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb des Mitgliederbereichs erforderlich sind:

  • Session-Cookie (Auth.js): erhält die Anmeldung aufrecht. HttpOnly, Secure, SameSite=Lax. Lebensdauer max. 30 Tage.
  • CSRF-Token-Cookie: schützt Formulare gegen Cross-Site-Request-Forgery.

Es werden keine Tracking-, Analyse- oder Werbecookies eingesetzt. Eine Einwilligung ist nicht erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).

§ 5Datensicherheit

Die Übertragung erfolgt ausschließlich verschlüsselt (TLS 1.3 via Let's Encrypt). Der Server steht in einem EU-Rechenzentrum, tägliche Backups, automatische Sicherheits-Updates, Brute-Force-Schutz für administrative Zugänge.

Zugriffe auf Mitgliedsdaten sind durch ein rollenbasiertes Berechtigungssystem geschützt. Pro Rolle und ggf. einzelnem Mitglied wird festgelegt, welche Bereiche eingesehen oder bearbeitet werden dürfen.

Bankdaten (IBAN, BIC und Kontoinhaber) werden zusätzlich auf Spalten-Ebene mit AES-256-GCM verschlüsselt in der Datenbank gespeichert. Der Master-Schlüssel liegt nicht auf der Festplatte, sondern ausschließlich im Arbeitsspeicher des Portal-Prozesses und muss nach jedem Server-Neustart manuell durch den Vorstand entsperrt werden. Backups und etwaige Festplatten-Abbilder enthalten somit nur Chiffrate, keine lesbaren Bankdaten.

§ 6Deine Rechte als betroffene Person

Du hast jederzeit Anspruch auf folgende Rechte uns gegenüber:

  • Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO) — viele Felder kannst du im Mitgliederbereich selbst ändern
  • Löschung deiner Daten, soweit keine gesetzliche Aufbewahrungs­pflicht entgegensteht (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit in einem strukturierten, gängigen Format (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen, die auf berechtigtem Interesse beruhen (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Bitte richte entsprechende Anfragen an vorstand@ravingbears.de. Wir antworten innerhalb der gesetzlichen Frist von einem Monat.

§ 7Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderer Rechtsbehelfe kannst du dich bei der für uns zuständigen Datenschutz-Aufsichtsbehörde beschweren:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 31 63
65021 Wiesbaden
datenschutz.hessen.de

§ 8Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich Verarbeitungs­vorgänge ändern oder Aufsichts­behörden entsprechende Vorgaben machen. Die jeweils aktuelle Fassung ist unter ravingbears.de/datenschutz abrufbar.