Datenschutzerklärung
Diese Datenschutzerklärung informiert darüber, wie personenbezogene Daten auf bluca.de, in BLuCaTeamHub unter app.bluca.de und im BLuCa DigiPass unter apppass.bluca.de verarbeitet werden. Sie gilt auch für die dazugehörigen öffentlich erreichbaren Prüfseiten.
1. Verantwortlicher
Marco GerstnerHeinrich-Heine-Str. 20
29640 Schneverdingen
Deutschland
E-Mail: info@bluca.de
Telefon: +49 176 64177820
Datenschutzkontakt
Datenschutzanfragen können an info@bluca.de gerichtet werden. Sollte künftig eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter bestellt werden, werden die Kontaktdaten an dieser Stelle veröffentlicht und der zuständigen Aufsichtsbehörde mitgeteilt.
Setzt ein Verein BLuCa in eigener Verantwortung ein und bestimmt dabei Zwecke und Mittel der Verarbeitung seiner Mitglieder, ist dieser Verein für diese Verarbeitung Verantwortlicher. Die Kontaktdaten des jeweiligen Vereins werden innerhalb des Vereinsbereichs beziehungsweise bei der Datenerhebung angezeigt. BLuCa verarbeitet solche Daten – soweit vertraglich so vereinbart – als Auftragsverarbeiter nach Art. 28 DSGVO.
2. Hosting und Serverprotokolle
Die Dienste werden auf einem virtuellen Server der IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, in einem deutschen Rechenzentrum betrieben. Mit IONOS besteht eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO.
Bei jedem Abruf verarbeitet der Webserver technisch erforderliche Verbindungsdaten: IP-Adresse, Datum und Uhrzeit, aufgerufene Adresse, übertragene Datenmenge, Referrer (sofern übermittelt), Browser, Betriebssystem sowie HTTP-Status. Dies dient der sicheren Auslieferung, Fehleranalyse sowie Erkennung und Abwehr von Angriffen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse liegt im sicheren und störungsfreien Betrieb.
Serverprotokolle werden grundsätzlich nach 14 Tagen gelöscht. Eine längere Speicherung erfolgt nur, wenn ein konkreter Sicherheitsvorfall aufgeklärt, ein Missbrauch untersucht oder ein Rechtsanspruch verfolgt werden muss. In diesem Fall werden die betroffenen Protokolldaten nach Abschluss des jeweiligen Vorgangs gelöscht, sofern keine gesetzlichen Pflichten entgegenstehen.
3. Öffentliche Website bluca.de
Die Startseite informiert über BLuCa und verlinkt die Anwendungen. Sie verwendet nach aktuellem Stand keine Reichweitenanalyse, keine Werbenetzwerke und keine extern geladenen Schriftarten. Beim reinen Besuch werden außer den beschriebenen Serverprotokollen keine Nutzungsprofile erstellt.
Falls später Kontaktformulare, Newsletter, Analysewerkzeuge, eingebettete Videos, Karten oder externe Schriften ergänzt werden, muss diese Erklärung vor der Aktivierung entsprechend erweitert und – soweit erforderlich – eine Einwilligung eingeholt werden.
4. Benutzerkonten und Anmeldung
Für registrierte Bereiche verarbeiten wir insbesondere E-Mail-Adresse, Anzeigename, Rollen und Berechtigungen, Passwort-Hash, Anmeldezeitpunkte und sicherheitsrelevante Ereignisse. Passwörter werden nicht im Klartext gespeichert. Die Verarbeitung ist zur Bereitstellung des Kontos und Erfüllung des Nutzungsvertrags erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Sicherheitsprotokolle beruhen zusätzlich auf Art. 6 Abs. 1 lit. f DSGVO.
Bei Demo-Zugängen dürfen keine echten personenbezogenen Daten oder echten Nachweisdokumente eingegeben werden.
5. BLuCaTeamHub – Vereinsverwaltung
BLuCaTeamHub unterstützt Sportvereine bei der Verwaltung. Abhängig von den aktivierten Funktionen können folgende Daten verarbeitet werden:
- Stamm- und Kontaktdaten von Mitgliedern, Erziehungsberechtigten, Beschäftigten und ehrenamtlich Tätigen;
- Vereins-, Mannschafts-, Gruppen-, Rollen- und Berechtigungszuordnungen;
- Termine, Training, Anwesenheiten, Wettbewerbe, Leistungen und vereinsbezogene Kommunikation;
- Profilbilder, Dokumente, Importe, Exporte und nachvollziehbare Änderungsvorgänge.
Zweck ist die Organisation des Vereinsbetriebs und die Erfüllung der Mitgliedschafts- beziehungsweise Nutzungsvereinbarung (Art. 6 Abs. 1 lit. b DSGVO). Gesetzlich erforderliche Verarbeitungen beruhen auf Art. 6 Abs. 1 lit. c DSGVO. Freiwillige Veröffentlichungen, Profilbilder oder optionale Funktionen beruhen – soweit keine andere Rechtsgrundlage greift – auf einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.
Soweit Angaben Rückschlüsse auf die körperliche oder geistige Gesundheit ermöglichen, werden sie nur mit einer tragfähigen Ausnahme nach Art. 9 Abs. 2 DSGVO verarbeitet, regelmäßig aufgrund ausdrücklicher Einwilligung. Solche Angaben sind auf das notwendige Maß zu begrenzen.
6. BLuCa DigiPass – digitaler Schwimmpass
Der DigiPass verwaltet digitale Schwimmnachweise. Hierfür können Name beziehungsweise maskierter Name, Geburtsjahr, optionale Mitgliedsnummer, Profilbild, Zuordnung zu einer sorgeberechtigten Person, Abzeichenart, Prüfungsdatum und -ort, ausstellende Organisation, Prüfername und Prüferkennung verarbeitet werden.
Bei manuellen Nachweisen werden außerdem Einreichungen, geschützte Bild- oder PDF-Dateien, Prüfchecklisten, Entscheidungen, Verifizierungsstufe, Status, interne Prüfnotizen sowie unveränderbare Audit-Ereignisse verarbeitet. Zweck ist die Einreichung, unabhängige Prüfung, Ausstellung, Verwaltung, der Widerruf und die überprüfbare Darstellung von Schwimmnachweisen.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Nutzung des DigiPass erforderlich ist. Freiwillige Angaben und Veröffentlichungen beruhen auf Art. 6 Abs. 1 lit. a DSGVO. Die Gewährleistung von Integrität, Missbrauchsschutz und Nachvollziehbarkeit beruht auf Art. 6 Abs. 1 lit. f DSGVO.
Ein hochgeladener Nachweis wird nicht automatisch gültig. Einreicher dürfen eigene Nachweise nicht selbst freigeben. Der aktuelle Workflow sieht eine menschliche Prüfung vor. Es findet keine ausschließlich automatisierte Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO statt. Eine etwaige künftige KI-Unterstützung darf erst nach gesonderter Datenschutzprüfung und aktualisierter Information aktiviert werden.
7. Daten von Kindern und Jugendlichen
Ein Kinderprofil wird durch eine sorgeberechtigte oder anderweitig berechtigte Person verwaltet. Diese muss sicherstellen, dass sie die erforderliche Befugnis zur Eingabe und Verwaltung der Daten besitzt. Kinder werden altersgerecht über die Verarbeitung informiert und entsprechend ihrem Alter und Entwicklungsstand einbezogen.
Wir verwenden keine Kinderdaten für Werbung oder Profiling. Öffentlich sichtbare Angaben werden standardmäßig datensparsam dargestellt. Eine Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden; die Rechtmäßigkeit der vorherigen Verarbeitung bleibt unberührt.
8. QR-Code, PDF und öffentliche Online-Verifizierung
Freigegebene Nachweise können über einen zufälligen Verifizierungstoken in einem normalen Browser geprüft und als PDF-Bescheinigung dargestellt werden. Dabei können der maskierte Name, das Geburtsjahr, Abzeichen, Prüfungsdatum, ausstellende Organisation, Prüfername und -kennung, Verifizierungsstufe, Status sowie Zeitpunkt der Onlineprüfung sichtbar sein.
Originalnachweise, Speicherpfade, interne Kennungen und interne Prüfnotizen werden nicht öffentlich ausgegeben. Jede Person, die den QR-Code oder Verifizierungslink besitzt, kann die freigegebenen Angaben abrufen. Deshalb soll der Code nur gezielt vorgezeigt und nicht öffentlich veröffentlicht werden. Bei Verlust oder ungewollter Weitergabe kann der Token erneuert werden.
9. Nachweisdateien und Profilbilder
Uploads werden ausschließlich für den jeweiligen Zweck verwendet. Nachweisdateien sind nicht über öffentliche Speicherpfade erreichbar; der Zugriff erfolgt nach Anmeldung und serverseitiger Berechtigungsprüfung. Freigegebene Nachweise werden zum Schutz der Nachvollziehbarkeit nicht überschrieben. Korrekturen erfolgen durch Widerruf und einen ersetzenden Nachweis.
Bitte laden Sie nur erforderliche Inhalte hoch und schwärzen Sie nicht benötigte Angaben. Für Profilbilder ist eine freiwillige Einwilligung erforderlich, sofern ihre Verarbeitung nicht anderweitig zur Vertragserfüllung notwendig ist. Profilbilder werden nicht zur biometrischen Identifikation ausgewertet.
11. Empfänger und Übermittlung
Zugriff erhalten nur Personen, die ihn für ihre Aufgabe benötigen, etwa Erziehungsberechtigte, berechtigte Vereinsrollen, Prüferinnen und Prüfer sowie Administratoren. IONOS verarbeitet Hostingdaten als Auftragsverarbeiter. Eine Übermittlung an weitere Empfänger erfolgt nur, wenn dies erforderlich und rechtlich zulässig ist, eine Einwilligung vorliegt oder eine gesetzliche Pflicht besteht.
Eine Übermittlung in Staaten außerhalb der EU beziehungsweise des EWR ist nach aktuellem Stand nicht vorgesehen. Externe KI-, Analyse- oder Kommunikationsanbieter sind nicht Bestandteil dieser Erklärung und dürfen nicht ohne vorherige Prüfung, Vertragsgrundlage und Aktualisierung dieser Information aktiviert werden.
12. Speicherdauer und Löschung
Personenbezogene Daten werden nur so lange gespeichert, wie sie für den jeweiligen Zweck benötigt werden. Danach werden sie gelöscht oder anonymisiert, sofern gesetzliche Aufbewahrungspflichten oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen keine weitere Speicherung erfordern.
- Kontodaten: bis zur Löschung des Kontos beziehungsweise Beendigung des Vertrags, anschließend höchstens für offene Ansprüche;
- Vereinsdaten: nach den Löschfristen und Weisungen des verantwortlichen Vereins;
- nicht eingereichte Nachweisentwürfe und zugehörige Uploads: nach 90 Tagen ohne Aktivität;
- Nachweise im Status „weitere Belege erforderlich“ und zugehörige Uploads: nach sechs Monaten ohne Reaktion;
- abgelehnte oder zurückgezogene Nachweise und zugehörige Dateien: sechs Monate nach Abschluss des Prüfverfahrens;
- freigegebene Nachweise und ihre Prüfunterlagen: solange das Abzeichen beziehungsweise der Schwimmpass geführt und überprüfbar gehalten wird;
- Originaldateien freigegebener Nachweise: drei Jahre nach Widerruf, Ersetzung oder Löschung des zugehörigen Kontos beziehungsweise Passes;
- Audit- und Prüfereignisse: drei Jahre nach Abschluss, Widerruf oder Ersetzung des Nachweises, soweit keine längere Speicherung zur Rechtsverteidigung erforderlich ist;
- öffentliche QR-Verifizierung: bei Löschung oder Widerruf unverzüglich deaktiviert; notwendige Statusangaben können während der genannten Auditfrist nichtöffentlich beziehungsweise datensparsam erhalten bleiben;
- Profilbilder: bei Entfernung, Widerruf oder Löschung des Profils aus dem aktiven System gelöscht;
- Serverprotokolle: grundsätzlich nach 14 Tagen;
- Sicherungskopien: nach dem festgelegten Sicherungszyklus überschrieben oder gelöscht, spätestens nach zwölf Monaten, sofern keine gesetzliche Pflicht oder dokumentierte Sicherheitsmaßnahme eine kürzere beziehungsweise ausnahmsweise längere Frist erfordert;
- gesetzlich aufbewahrungspflichtige Geschäftsunterlagen: regelmäßig sechs oder zehn Jahre, abhängig von der Dokumentart.
Ist eine sofortige Löschung aus technischen Sicherungskopien nicht möglich, werden die betroffenen Daten für die weitere Verarbeitung gesperrt und mit dem nächsten turnusmäßigen Überschreiben der Sicherung gelöscht.
13. Rechte betroffener Personen
Betroffene Personen haben – soweit die gesetzlichen Voraussetzungen vorliegen – das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Erteilte Einwilligungen können nach Art. 7 Abs. 3 jederzeit für die Zukunft widerrufen werden.
Widerspruch: Beruht eine Verarbeitung auf Art. 6 Abs. 1 lit. e oder f DSGVO, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen. Gegen Direktwerbung kann jederzeit ohne Begründung widersprochen werden; Direktwerbung findet derzeit nicht statt.
Zur Ausübung der Rechte genügt eine Nachricht an die oben genannte Datenschutzadresse. Zum Schutz der Daten kann ein Identitätsnachweis erforderlich sein.
Beschwerderecht
Sie können sich bei einer Datenschutzaufsichtsbehörde beschweren, insbesondere bei der Behörde Ihres Aufenthaltsorts, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Für den Verantwortlichen zuständig ist:
Der Landesbeauftragte für den Datenschutz NiedersachsenPrinzenstraße 5
30159 Hannover
Telefon: 0511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
Internet: www.lfd.niedersachsen.de
14. Sicherheit und Aktualisierung
Die Übertragung erfolgt verschlüsselt per HTTPS. Weitere Schutzmaßnahmen sind rollenbasierte Zugriffe, serverseitige Mandanten- und Teilnehmerprüfung, geschützte Uploads, sichere Passwort-Hashes, Protokollierung sicherheitsrelevanter Änderungen, Integritätssignaturen sowie datensparsame öffentliche Ansichten.
Diese Erklärung wird angepasst, wenn sich Funktionen, Empfänger, Rechtsgrundlagen oder gesetzliche Anforderungen ändern. Die jeweils aktuelle Fassung ist unter https://bluca.de/datenschutz.html abrufbar.