Datenschutzerklärung

Stand: 21.11.2025

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Garske Systems – Inh. Patrick M. Garske
An der Bausenheide 55
40474 Düsseldorf
Deutschland
E-Mail: [email protected]

2. Begriffe, Rollenklärung und Verantwortlichkeiten

Die verwendeten Begriffe entsprechen den Definitionen der DSGVO, insbesondere den Begriffen „personenbezogene Daten“, „Verarbeitung“ und „betroffene Person“ (Art. 4 DSGVO) sowie „Verantwortlicher“ (Art. 4 Nr. 7 DSGVO) und „Auftragsverarbeiter“ (Art. 4 Nr. 8 DSGVO).

  • Garske Systems ist Verantwortlicher für sämtliche Verarbeitungstätigkeiten, die eigenen Geschäftsprozessen, der Produktentwicklung, Sicherheit und dem Marketing für die Anwendung „VereinJetzt Vereinsmanager“ dienen.
  • Im Rahmen der Nutzung durch Vereine verarbeitet Garske Systems personenbezogene Daten regelmäßig als Auftragsverarbeiter. Zwischen den Parteien werden hierzu Vereinbarungen zur Auftragsverarbeitung (Art. 28 DSGVO) geschlossen, in denen Zwecke, Umfang, technische und organisatorische Maßnahmen sowie Weisungsrechte präzise geregelt sind.
  • Treffen Garske Systems und ein Verein gemeinsam Entscheidungen über Zwecke und Mittel der Verarbeitung (z. B. bei gemeinsam konzipierten Portalen), erfolgt die Verarbeitung als gemeinsame Verantwortliche gemäß Art. 26 DSGVO mit transparenter Regelung der jeweiligen Pflichten, insbesondere hinsichtlich der Erfüllung von Auskunfts-, Berichtigungs- und Löschpflichten.
  • Vereine, die zusätzliche externe Dienstleister beauftragen oder Daten in eigene Systeme exportieren, agieren insoweit als eigenständige Verantwortliche und stellen sicher, dass die gesetzlichen Informations-, Einwilligungs- und Dokumentationspflichten eingehalten werden.

Weitere Begriffsbestimmungen finden sich in Art. 4 DSGVO und werden im Rahmen dieser Erklärung angewandt, ohne jeweils gesondert benannt zu werden.

3. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit den Grundsätzen der DSGVO (Art. 5 DSGVO). Dies umfasst die rechtmäßige, transparente und zweckgebundene Verarbeitung sowie Datenminimierung, Richtigkeit, Speicherbegrenzung und Integrität.

Die Bereitstellung der Anwendung erfolgt sowohl zur Erfüllung vertraglicher Pflichten gegenüber Vereinen und Nutzern als auch zur Wahrung berechtigter Interessen von Garske Systems. Werden im Auftrag von Vereinen Daten verarbeitet, erfolgt dies ausschließlich auf dokumentierte Weisung des jeweiligen Vereins. Wir stellen sicher, dass unsere Mitarbeitenden und Dienstleister zur Vertraulichkeit verpflichtet sind und regelmäßig datenschutzrechtlich geschult werden.

4. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt abhängig vom jeweiligen Zweck auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrags bzw. Durchführung vorvertraglicher Maßnahmen (z. B. Verwaltung von Mitglieds- und Kontaktdaten, Einrichtung von Nutzerkonten, Bereitstellung des Self-Service-Portals, Supportleistungen).
  • Art. 6 Abs. 1 lit. c DSGVO – Erfüllung rechtlicher Verpflichtungen (z. B. steuer- und handelsrechtliche Aufbewahrungspflichten, Nachweis- und Dokumentationspflichten, Meldepflichten nach Art. 33 DSGVO).
  • Art. 6 Abs. 1 lit. f DSGVO – Wahrung berechtigter Interessen. Dazu zählen insbesondere die Sicherheit und Verfügbarkeit der Systeme, Betrugsprävention, Missbrauchs- und Ausfallprävention, Weiterentwicklung und Optimierung der Plattform, interne Berichtswesenprozesse sowie Direktwerbung für eigene oder ähnliche Produkte, sofern kein überwiegendes entgegenstehendes Interesse der betroffenen Personen besteht. Eine Interessenabwägung wird dokumentiert und auf Anfrage zur Verfügung gestellt.
  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung, insbesondere bei optionalen Funktionen, personalisierten Auswertungen, Marketingkommunikation, Tracking-Technologien und der Verwendung nicht zwingend erforderlicher Cookies. Einwilligungen werden protokolliert und können jederzeit mit Wirkung für die Zukunft widerrufen werden, z. B. über die Kontoeinstellungen oder per E-Mail an [email protected].
  • Art. 6 Abs. 1 lit. e DSGVO i. V. m. spezialgesetzlichen Grundlagen – Soweit die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erfolgt (z. B. im Rahmen von gemeinnützigen Verpflichtungen einzelner Vereine).

Soweit besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO (z. B. Gesundheitsdaten, Angaben zur Gewerkschafts- oder Religionszugehörigkeit) verarbeitet werden, erfolgt dies auf Grundlage von Art. 9 Abs. 2 lit. a, d oder f DSGVO in Verbindung mit entsprechenden nationalen Rechtsgrundlagen sowie nur nach ausdrücklicher Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

5. Kategorien verarbeiteter Daten

Je nach Funktionsumfang der Plattform werden insbesondere folgende Datenkategorien verarbeitet:

  • Stammdaten: Vereinsname, Vereinsregisterinformationen, Mitgliedsnummern, Namen, Geschlecht, Geburtsdaten, Adress- und Kontaktdaten.
  • Vertrags- und Nutzungsdaten: Mitgliedschaftsdaten, gebuchte Leistungen, Beitragsinformationen, Status von Verträgen, Rollen- und Berechtigungsprofile.
  • Authentifizierungs- und Sicherheitsdaten: Benutzerkennungen, Passwort-Hashes, Zwei-Faktor-Authentifizierungstoken, Sitzungs- und Geräteinformationen.
  • Kommunikationsdaten: Supportanfragen, E-Mail-Verläufe, interne Nachrichten, Protokolle von Benachrichtigungen.
  • Abrechnungs- und Zahlungsdaten: Bankverbindungen, Rechnungen, Zahlungsstatus, Zahlungsreferenzen.
  • Log- und Telemetriedaten: IP-Adressen, Zeitpunkte von Logins, Browser- und Gerätedaten, Fehler- und Performance-Logs, Nutzungsstatistiken.
  • Bereichsspezifische Daten: Angaben zu Funktionen in Vereinsorganen, Ehrenämtern, Fortbildungen, Lizenzen sowie optional importierte Gesundheits- oder Behindertenstatusdaten, sofern dies für die Vereinstätigkeit erforderlich ist.
  • Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): Nur sofern von Vereinen für spezifische Zwecke (z. B. Sportgesundheitsdaten, Mitgliedschaft in Berufsverbänden) eingestellt und hierfür eine geeignete Rechtsgrundlage (insbesondere ausdrückliche Einwilligung) vorliegt.

6. Zwecke der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt insbesondere zu folgenden Zwecken:

  • Bereitstellung, Betrieb und Weiterentwicklung der Vereinsverwaltungsplattform sowie des Self-Service-Portals und zugehöriger Apps.
  • Administration von Benutzerkonten, Authentifizierung, Berechtigungsverwaltung und Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten.
  • Kommunikation mit Vereinsmitgliedern, Administratoren und sonstigen Nutzern (z. B. E-Mail-Benachrichtigungen, Newsletter, Support, Statusmeldungen).
  • Durchführung von Zahlungs- und Buchhaltungsprozessen, inkl. Rechnungsstellung, Mahnwesen und Reporting.
  • Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten sowie Erstellen von Nachweisen gegenüber Behörden, Verbänden und Fördermittelgebern.
  • Durchführung von Analyse- und Optimierungsmaßnahmen, einschließlich Profiling in Form der automatisierten Segmentierung von Nutzergruppen zur Verbesserung von Benutzerführung und Funktionsumfang, sofern dies auf gesetzlichen Grundlagen beruht und keine überwiegenden Interessen entgegenstehen.
  • Direktmarketing für eigene oder ähnliche Produkte sowie Information über Produktupdates auf Basis von Einwilligung oder berechtigtem Interesse.
  • Sicherstellung von Stabilität, Verfügbarkeit, IT-Sicherheit und Missbrauchsüberwachung sowie Durchführung von forensischen Auswertungen im Verdachtsfall.

7. Empfänger, Weitergabe und Auftragsverarbeitung

Personenbezogene Daten werden nur an Dritte übermittelt, soweit dies zur Vertragserfüllung erforderlich ist, wir gesetzlich oder durch behördliche Anordnung dazu verpflichtet sind oder eine Einwilligung vorliegt. Mögliche Empfänger sind insbesondere:

  • Beauftragte IT- und Cloud-Dienstleister (Hosting, Wartung, Bereitstellung von Infrastruktur, Monitoring) als Auftragsverarbeiter gemäß Art. 28 DSGVO.
  • E-Mail- und Kommunikationsdienstleister, Versanddienstleister, CRM- und Ticket-Systeme.
  • Zahlungsdienstleister, Banken, Buchhaltungs- und Steuerberatungsgesellschaften sowie Wirtschaftsprüfer.
  • Rechtsberater, Inkassodienstleister, Versicherungen und Schiedsstellen, soweit dies zur Durchsetzung oder Verteidigung von Rechtsansprüchen notwendig ist.
  • Analyse- und Trackingdienstleister, sofern eine Einwilligung vorliegt.
  • Öffentliche Stellen, Behörden, Gerichte oder Strafverfolgungsbehörden bei Vorliegen gesetzlicher Verpflichtungen.

Mit allen Auftragsverarbeitern bestehen datenschutzrechtliche Verträge nach Art. 28 DSGVO, die insbesondere Vertraulichkeit, technische und organisatorische Maßnahmen, Subunternehmerkontrolle und Weisungsrechte regeln. Eine aktuelle Übersicht der Subunternehmer kann unter [email protected] angefordert werden.

Erfolgt eine Weitergabe von Daten durch Vereine an von ihnen ausgewählte Dritte außerhalb unseres Weisungsbereichs, tragen diese Vereine die Verantwortung für die Rechtmäßigkeit, Sicherheit und Dokumentation der Übermittlung. Eine Haftung von Garske Systems für Schäden aus der Weitergabe an nicht ausreichend gesicherte oder nicht vertraglich abgesicherte Empfänger ist ausgeschlossen, soweit keine Pflichtverletzung unsererseits vorliegt.

8. Drittlandtransfer und Garantien

Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb der EU/des EWR) findet grundsätzlich nicht statt. Sollte in Einzelfällen eine Übermittlung erforderlich sein (z. B. an Subunternehmer mit Sitz in einem Drittland oder bei der Nutzung globaler Kommunikationsdienste), erfolgt diese ausschließlich unter Einhaltung der Art. 44 ff. DSGVO und auf Basis geeigneter Garantien wie Standardvertragsklauseln der EU-Kommission, Angemessenheitsbeschlüssen oder verbindlichen internen Datenschutzvorschriften. Zusätzlich setzen wir technische und organisatorische Schutzmaßnahmen wie Ende-zu-Ende-Verschlüsselung, Pseudonymisierung und strenge Zugriffsbeschränkungen um.

9. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die Erreichung der jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Nach Ablauf der jeweiligen Fristen werden die Daten gelöscht oder anonymisiert. Es gelten insbesondere folgende Richtwerte:

  • Vertrags-, Abrechnungs- und steuerrelevante Daten: bis zu 10 Jahre nach Ablauf des Kalenderjahres der letzten Buchung (§§ 147 AO, 257 HGB).
  • Nutzungs- und Kontodaten: 3 Jahre nach Beendigung der Vertragsbeziehung bzw. nach dem letzten Login, sofern keine längeren gesetzlichen oder vertraglichen Pflichten bestehen.
  • Support- und Kommunikationsprotokolle: 3 Jahre nach Erledigung der Anfrage zur Nachweisführung.
  • Technische Logs und Sicherheitsdaten: 12 Monate, bei sicherheitsrelevanten Vorfällen bis zum Abschluss der Untersuchungen oder länger, soweit gesetzlich zulässig.
  • Einwilligungsnachweise: 3 Jahre nach Widerruf zum Nachweis der Rechtmäßigkeit.

Betroffene Personen haben jederzeit das Recht auf Löschung, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Die Daten werden in regelmäßigen Löschläufen geprüft. Sofern eine sofortige Löschung nicht möglich ist, werden die Daten gesperrt und erst nach Ablauf der Frist gelöscht. Vereine sind verpflichtet, eigene Löschkonzepte anzuwenden und die Löschung gegenüber ihren Mitgliedern zu dokumentieren.

10. Rechte der betroffenen Personen

Betroffene Personen haben folgende Rechte:

  • Recht auf Auskunft über die verarbeiteten personenbezogenen Daten (Art. 15 DSGVO).
  • Recht auf Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO).
  • Recht auf Löschung („Recht auf Vergessenwerden“) unter den Voraussetzungen des Art. 17 DSGVO.
  • Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO.
  • Recht auf Datenübertragbarkeit nach Art. 20 DSGVO in einem strukturierten, gängigen und maschinenlesbaren Format.
  • Widerspruchsrecht nach Art. 21 DSGVO gegen die Verarbeitung personenbezogener Daten, insbesondere gegen Direktwerbung und das damit verbundene Profiling.
  • Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung (einschließlich Profiling) beruhenden Entscheidung unterworfen zu werden, die rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO).
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Zur Wahrnehmung dieser Rechte genügt eine formlose Mitteilung an [email protected] oder per Post an die oben genannte Anschrift. Anfragen werden unverzüglich, spätestens innerhalb eines Monats beantwortet. Bei komplexen Sachverhalten kann die Frist um zwei Monate verlängert werden; wir informieren Sie in diesem Fall über die Gründe der Verzögerung. Vereine unterstützen uns bei der Erfüllung der Betroffenenrechte, indem sie uns erforderliche Informationen bereitstellen und eigene Pflichten innerhalb ihrer Verantwortungsbereiche erfüllen.

11. Beschwerderecht bei einer Aufsichtsbehörde

Betroffene Personen haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen Datenschutzvorschriften verstößt. Zuständig ist insbesondere die Aufsichtsbehörde am Wohnsitz, Arbeitsplatz oder Ort des mutmaßlichen Verstoßes.

Für Garske Systems ist dies u. a. die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestraße 2-4, 40213 Düsseldorf, www.ldi.nrw.de.

12. Verpflichtungen der Vereine

Vereine, die den VereinJetzt Vereinsmanager nutzen, handeln in Bezug auf die von ihnen eingestellten oder importierten Daten als eigenständige Verantwortliche. Sie informieren ihre Mitglieder transparent über die Datenverarbeitung, holen erforderliche Einwilligungen ein, schließen mit Garske Systems einen Auftragsverarbeitungsvertrag und dokumentieren die Weisungen an Garske Systems. Vereine verpflichten sich, Daten nur für legitime Zwecke zu verarbeiten, Löschfristen einzuhalten, eigene technisch-organisatorische Maßnahmen umzusetzen, Anfragen betroffener Personen fristgerecht zu beantworten und uns über Datenschutzvorfälle unverzüglich zu informieren.

13. Technische und organisatorische Maßnahmen

Wir treffen geeignete technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu zählen insbesondere rollenbasierte Zugriffskontrollen, Verschlüsselung von Daten bei Übertragung und Speicherung, gesicherte Rechenzentren, Pseudonymisierungsmöglichkeiten, Backup- und Desaster-Recovery-Konzepte, Protokollierung und Monitoring, regelmäßige Sicherheits- und Penetrationstests, Schulung der Mitarbeitenden sowie etablierte Verfahren zur Bewertung und Evaluierung der Wirksamkeit dieser Maßnahmen. Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO werden durchgeführt, sofern Verarbeitungsvorgänge voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bergen.

14. Cookies, Tracking und Minderjährige

Unsere Plattform verwendet technisch notwendige Cookies zur Sicherstellung der Grundfunktionen. Optionale Cookies und Tracking-Technologien (z. B. zur Nutzungsanalyse oder Performanceoptimierung) werden ausschließlich nach Einwilligung über das Consent-Banner gesetzt. Informationen über die eingesetzten Tools, deren Anbieter, Speicherdauer, Drittlandtransfers und Widerrufsmöglichkeiten finden Sie im Cookie-Dialog sowie in den Kontoeinstellungen. Ein Widerruf ist jederzeit mit Wirkung für die Zukunft möglich.

Minderjährige dürfen den VereinJetzt Vereinsmanager nur mit Zustimmung der Erziehungsberechtigten nutzen. Vereine stellen sicher, dass entsprechende Einwilligungen vorliegen. Wir richten keine gezielten Marketingmaßnahmen an Minderjährige und verarbeiten deren Daten nur zur Erfüllung vereinsrechtlicher Pflichten.

15. Meldungen von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten bewerten wir unverzüglich das Risiko für die Rechte und Freiheiten betroffener Personen. Meldepflichtige Vorfälle werden innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde gemeldet (Art. 33 DSGVO). Betroffene Personen werden gemäß Art. 34 DSGVO informiert, wenn voraussichtlich ein hohes Risiko besteht. Vereine sind verpflichtet, uns unverzüglich über jede bekannt gewordene Verletzung zu informieren und bei der Bearbeitung mitzuwirken.

16. Änderungen und Benachrichtigungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder Änderungen unserer Leistungen abbildet. Über wesentliche Änderungen, die die Verarbeitung personenbezogener Daten betreffen, informieren wir registrierte Nutzer rechtzeitig und in aktiver Form (z. B. per E-Mail oder In-App-Benachrichtigung). Für erneute Besuche gilt die jeweils aktualisierte Fassung.

17. Kontakt

Bei Fragen zum Datenschutz oder zur Geltendmachung Ihrer Rechte erreichen Sie uns unter:
E-Mail: [email protected]
Postadresse: Garske Systems – Inh. Patrick M. Garske, An der Bausenheide 55, 40474 Düsseldorf