Stand: 14. Juli 2026

Datenschutzerklärung

Diese Datenschutzerklärung informiert darüber, wie personenbezogene Daten auf bluca.de, in BLuCaTeamHub unter app.bluca.de und im BLuCa DigiPass unter apppass.bluca.de verarbeitet werden. Sie gilt auch für die dazugehörigen öffentlich erreichbaren Prüfseiten.

Hinweis: Diese Erklärung beschreibt den aktuellen Betrieb von BLuCa. Ändern sich Funktionen, eingesetzte Dienstleister oder Speicherfristen, wird sie vor der Änderung entsprechend aktualisiert.

1. Verantwortlicher

Marco Gerstner
Heinrich-Heine-Str. 20
29640 Schneverdingen
Deutschland

E-Mail: info@bluca.de
Telefon: +49 176 64177820

Datenschutzkontakt

Datenschutzanfragen können an info@bluca.de gerichtet werden. Sollte künftig eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter bestellt werden, werden die Kontaktdaten an dieser Stelle veröffentlicht und der zuständigen Aufsichtsbehörde mitgeteilt.

Setzt ein Verein BLuCa in eigener Verantwortung ein und bestimmt dabei Zwecke und Mittel der Verarbeitung seiner Mitglieder, ist dieser Verein für diese Verarbeitung Verantwortlicher. Die Kontaktdaten des jeweiligen Vereins werden innerhalb des Vereinsbereichs beziehungsweise bei der Datenerhebung angezeigt. BLuCa verarbeitet solche Daten – soweit vertraglich so vereinbart – als Auftragsverarbeiter nach Art. 28 DSGVO.

2. Hosting und Serverprotokolle

Die Dienste werden auf einem virtuellen Server der IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, in einem deutschen Rechenzentrum betrieben. Mit IONOS besteht eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO.

Bei jedem Abruf verarbeitet der Webserver technisch erforderliche Verbindungsdaten: IP-Adresse, Datum und Uhrzeit, aufgerufene Adresse, übertragene Datenmenge, Referrer (sofern übermittelt), Browser, Betriebssystem sowie HTTP-Status. Dies dient der sicheren Auslieferung, Fehleranalyse sowie Erkennung und Abwehr von Angriffen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse liegt im sicheren und störungsfreien Betrieb.

Serverprotokolle werden grundsätzlich nach 14 Tagen gelöscht. Eine längere Speicherung erfolgt nur, wenn ein konkreter Sicherheitsvorfall aufgeklärt, ein Missbrauch untersucht oder ein Rechtsanspruch verfolgt werden muss. In diesem Fall werden die betroffenen Protokolldaten nach Abschluss des jeweiligen Vorgangs gelöscht, sofern keine gesetzlichen Pflichten entgegenstehen.

3. Öffentliche Website bluca.de

Die Startseite informiert über BLuCa und verlinkt die Anwendungen. Sie verwendet nach aktuellem Stand keine Reichweitenanalyse, keine Werbenetzwerke und keine extern geladenen Schriftarten. Beim reinen Besuch werden außer den beschriebenen Serverprotokollen keine Nutzungsprofile erstellt.

Falls später Kontaktformulare, Newsletter, Analysewerkzeuge, eingebettete Videos, Karten oder externe Schriften ergänzt werden, muss diese Erklärung vor der Aktivierung entsprechend erweitert und – soweit erforderlich – eine Einwilligung eingeholt werden.

4. Benutzerkonten und Anmeldung

Für registrierte Bereiche verarbeiten wir insbesondere E-Mail-Adresse, Anzeigename, Rollen und Berechtigungen, Passwort-Hash, Anmeldezeitpunkte und sicherheitsrelevante Ereignisse. Passwörter werden nicht im Klartext gespeichert. Die Verarbeitung ist zur Bereitstellung des Kontos und Erfüllung des Nutzungsvertrags erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Sicherheitsprotokolle beruhen zusätzlich auf Art. 6 Abs. 1 lit. f DSGVO.

Bei Demo-Zugängen dürfen keine echten personenbezogenen Daten oder echten Nachweisdokumente eingegeben werden.

5. BLuCaTeamHub – Vereinsverwaltung

BLuCaTeamHub unterstützt Sportvereine bei der Verwaltung. Abhängig von den aktivierten Funktionen können folgende Daten verarbeitet werden:

Zweck ist die Organisation des Vereinsbetriebs und die Erfüllung der Mitgliedschafts- beziehungsweise Nutzungsvereinbarung (Art. 6 Abs. 1 lit. b DSGVO). Gesetzlich erforderliche Verarbeitungen beruhen auf Art. 6 Abs. 1 lit. c DSGVO. Freiwillige Veröffentlichungen, Profilbilder oder optionale Funktionen beruhen – soweit keine andere Rechtsgrundlage greift – auf einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.

Soweit Angaben Rückschlüsse auf die körperliche oder geistige Gesundheit ermöglichen, werden sie nur mit einer tragfähigen Ausnahme nach Art. 9 Abs. 2 DSGVO verarbeitet, regelmäßig aufgrund ausdrücklicher Einwilligung. Solche Angaben sind auf das notwendige Maß zu begrenzen.

6. BLuCa DigiPass – digitaler Schwimmpass

Der DigiPass verwaltet digitale Schwimmnachweise. Hierfür können Name beziehungsweise maskierter Name, Geburtsjahr, optionale Mitgliedsnummer, Profilbild, Zuordnung zu einer sorgeberechtigten Person, Abzeichenart, Prüfungsdatum und -ort, ausstellende Organisation, Prüfername und Prüferkennung verarbeitet werden.

Bei manuellen Nachweisen werden außerdem Einreichungen, geschützte Bild- oder PDF-Dateien, Prüfchecklisten, Entscheidungen, Verifizierungsstufe, Status, interne Prüfnotizen sowie unveränderbare Audit-Ereignisse verarbeitet. Zweck ist die Einreichung, unabhängige Prüfung, Ausstellung, Verwaltung, der Widerruf und die überprüfbare Darstellung von Schwimmnachweisen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Nutzung des DigiPass erforderlich ist. Freiwillige Angaben und Veröffentlichungen beruhen auf Art. 6 Abs. 1 lit. a DSGVO. Die Gewährleistung von Integrität, Missbrauchsschutz und Nachvollziehbarkeit beruht auf Art. 6 Abs. 1 lit. f DSGVO.

Ein hochgeladener Nachweis wird nicht automatisch gültig. Einreicher dürfen eigene Nachweise nicht selbst freigeben. Der aktuelle Workflow sieht eine menschliche Prüfung vor. Es findet keine ausschließlich automatisierte Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO statt. Eine etwaige künftige KI-Unterstützung darf erst nach gesonderter Datenschutzprüfung und aktualisierter Information aktiviert werden.

7. Daten von Kindern und Jugendlichen

Ein Kinderprofil wird durch eine sorgeberechtigte oder anderweitig berechtigte Person verwaltet. Diese muss sicherstellen, dass sie die erforderliche Befugnis zur Eingabe und Verwaltung der Daten besitzt. Kinder werden altersgerecht über die Verarbeitung informiert und entsprechend ihrem Alter und Entwicklungsstand einbezogen.

Wir verwenden keine Kinderdaten für Werbung oder Profiling. Öffentlich sichtbare Angaben werden standardmäßig datensparsam dargestellt. Eine Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden; die Rechtmäßigkeit der vorherigen Verarbeitung bleibt unberührt.

8. QR-Code, PDF und öffentliche Online-Verifizierung

Freigegebene Nachweise können über einen zufälligen Verifizierungstoken in einem normalen Browser geprüft und als PDF-Bescheinigung dargestellt werden. Dabei können der maskierte Name, das Geburtsjahr, Abzeichen, Prüfungsdatum, ausstellende Organisation, Prüfername und -kennung, Verifizierungsstufe, Status sowie Zeitpunkt der Onlineprüfung sichtbar sein.

Originalnachweise, Speicherpfade, interne Kennungen und interne Prüfnotizen werden nicht öffentlich ausgegeben. Jede Person, die den QR-Code oder Verifizierungslink besitzt, kann die freigegebenen Angaben abrufen. Deshalb soll der Code nur gezielt vorgezeigt und nicht öffentlich veröffentlicht werden. Bei Verlust oder ungewollter Weitergabe kann der Token erneuert werden.

9. Nachweisdateien und Profilbilder

Uploads werden ausschließlich für den jeweiligen Zweck verwendet. Nachweisdateien sind nicht über öffentliche Speicherpfade erreichbar; der Zugriff erfolgt nach Anmeldung und serverseitiger Berechtigungsprüfung. Freigegebene Nachweise werden zum Schutz der Nachvollziehbarkeit nicht überschrieben. Korrekturen erfolgen durch Widerruf und einen ersetzenden Nachweis.

Bitte laden Sie nur erforderliche Inhalte hoch und schwärzen Sie nicht benötigte Angaben. Für Profilbilder ist eine freiwillige Einwilligung erforderlich, sofern ihre Verarbeitung nicht anderweitig zur Vertragserfüllung notwendig ist. Profilbilder werden nicht zur biometrischen Identifikation ausgewertet.

10. Cookies und lokale Speicherung

Die Anwendungen setzen technisch notwendige, verschlüsselte Anmelde-Cookies ein. Sie halten eine Sitzung aufrecht und schützen geschützte Bereiche. Das dauerhafte Anmelde-Cookie kann bei Auswahl von „angemeldet bleiben“ bis zu 30 Tage gültig sein; bei Nutzung kann sich die Laufzeit verlängern. Ohne diese Cookies ist eine Anmeldung nicht möglich. Rechtsgrundlage ist § 25 Abs. 2 Nr. 2 TDDDG; die anschließende Datenverarbeitung beruht auf Art. 6 Abs. 1 lit. b und f DSGVO.

Analyse-, Tracking- oder Marketing-Cookies werden nach aktuellem Stand nicht eingesetzt. Daher ist derzeit kein Einwilligungsbanner erforderlich. Ändert sich dies, wird vor dem Setzen nicht erforderlicher Cookies eine Einwilligung abgefragt.

11. Empfänger und Übermittlung

Zugriff erhalten nur Personen, die ihn für ihre Aufgabe benötigen, etwa Erziehungsberechtigte, berechtigte Vereinsrollen, Prüferinnen und Prüfer sowie Administratoren. IONOS verarbeitet Hostingdaten als Auftragsverarbeiter. Eine Übermittlung an weitere Empfänger erfolgt nur, wenn dies erforderlich und rechtlich zulässig ist, eine Einwilligung vorliegt oder eine gesetzliche Pflicht besteht.

Eine Übermittlung in Staaten außerhalb der EU beziehungsweise des EWR ist nach aktuellem Stand nicht vorgesehen. Externe KI-, Analyse- oder Kommunikationsanbieter sind nicht Bestandteil dieser Erklärung und dürfen nicht ohne vorherige Prüfung, Vertragsgrundlage und Aktualisierung dieser Information aktiviert werden.

12. Speicherdauer und Löschung

Personenbezogene Daten werden nur so lange gespeichert, wie sie für den jeweiligen Zweck benötigt werden. Danach werden sie gelöscht oder anonymisiert, sofern gesetzliche Aufbewahrungspflichten oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen keine weitere Speicherung erfordern.

Ist eine sofortige Löschung aus technischen Sicherungskopien nicht möglich, werden die betroffenen Daten für die weitere Verarbeitung gesperrt und mit dem nächsten turnusmäßigen Überschreiben der Sicherung gelöscht.

13. Rechte betroffener Personen

Betroffene Personen haben – soweit die gesetzlichen Voraussetzungen vorliegen – das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Erteilte Einwilligungen können nach Art. 7 Abs. 3 jederzeit für die Zukunft widerrufen werden.

Widerspruch: Beruht eine Verarbeitung auf Art. 6 Abs. 1 lit. e oder f DSGVO, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen. Gegen Direktwerbung kann jederzeit ohne Begründung widersprochen werden; Direktwerbung findet derzeit nicht statt.

Zur Ausübung der Rechte genügt eine Nachricht an die oben genannte Datenschutzadresse. Zum Schutz der Daten kann ein Identitätsnachweis erforderlich sein.

Beschwerderecht

Sie können sich bei einer Datenschutzaufsichtsbehörde beschweren, insbesondere bei der Behörde Ihres Aufenthaltsorts, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Für den Verantwortlichen zuständig ist:

Der Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon: 0511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
Internet: www.lfd.niedersachsen.de

14. Sicherheit und Aktualisierung

Die Übertragung erfolgt verschlüsselt per HTTPS. Weitere Schutzmaßnahmen sind rollenbasierte Zugriffe, serverseitige Mandanten- und Teilnehmerprüfung, geschützte Uploads, sichere Passwort-Hashes, Protokollierung sicherheitsrelevanter Änderungen, Integritätssignaturen sowie datensparsame öffentliche Ansichten.

Diese Erklärung wird angepasst, wenn sich Funktionen, Empfänger, Rechtsgrundlagen oder gesetzliche Anforderungen ändern. Die jeweils aktuelle Fassung ist unter https://bluca.de/datenschutz.html abrufbar.