Datenschutzerklärung
1. Verantwortlicher
Alan Murphy
BeitragsKlar — Vereinsverwaltung
E-Mail: kontakt@beitragsklar.de
Die postalische Anschrift wird ergänzt, sobald die Gewerbeanmeldung abgeschlossen ist.
2. Überblick der Datenverarbeitung
BeitragsKlar ist ein Abrechnungsportal für Sportvereine. Wir verarbeiten personenbezogene Daten ausschließlich, soweit dies zur Bereitstellung unseres Dienstes erforderlich ist. Es findet kein Verkauf von Daten an Dritte statt und kein Tracking zu Werbezwecken.
3. Rechtsgrundlagen
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Verarbeitung zur Bereitstellung des BeitragsKlar-Dienstes (Mitgliederverwaltung, Rechnungserstellung, Zahlungsabgleich).
- Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Aufbewahrung von Rechnungen und Belegen gemäß § 147 AO (10 Jahre Aufbewahrungspflicht).
- Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Sicherheit des Dienstes (z.B. Rate-Limiting, Authentifizierung).
4. Erhobene Daten
Wir verarbeiten folgende Datenkategorien:
4.1 Kassenwarte (Vereinsadministratoren)
- E-Mail-Adresse (zur Authentifizierung per Magic Link)
- Vereinsname und Vereinsdaten (Anschrift, Steuernummer)
- IBAN und BIC des Vereins (verschlüsselt mit AES-256, siehe Abschnitt 6)
4.2 Vereinsmitglieder
- Name, Adresse, E-Mail-Adresse, Telefonnummer
- Geburtsdatum (falls vom Verein erfasst)
- Mitgliedsstatus und Beitragsklasse
- Rechnungs- und Zahlungsdaten
- IBAN und BIC (verschlüsselt mit AES-256, Mitglieder sehen nur die letzten 4 Stellen)
- SEPA-Lastschriftmandat-Daten (falls vorhanden)
4.3 Technische Daten
- IP-Adresse (temporär, in Server-Logs für max. 30 Tage)
- Authentifizierungs-Cookies (technisch notwendig)
5. Hosting und Infrastruktur
Alle Daten werden ausschließlich in der Europäischen Union verarbeitet und gespeichert. Es findet keine Übertragung personenbezogener Daten in Drittländer statt.
Auftragsverarbeiter
Vercel Inc. — Webhosting
Standort: Frankfurt, Deutschland (EU-Region)
Auftragsverarbeitungsvertrag (DPA) abgeschlossen.
Vercel verarbeitet HTTP-Anfragen und liefert die Web-Anwendung aus. Server-seitige Funktionen laufen in Frankfurt.
Supabase Inc. — Datenbank und Authentifizierung
Standort: Frankfurt, Deutschland (AWS eu-central-1)
Auftragsverarbeitungsvertrag (DPA) abgeschlossen.
Supabase speichert alle Anwendungsdaten (Mitglieder, Rechnungen, Dokumente) und verwaltet die Authentifizierung.
Resend Inc. — E-Mail-Versand
Auftragsverarbeitungsvertrag (DPA) abgeschlossen.
Resend versendet ausschließlich transaktionale E-Mails (Anmeldelinks, Rechnungsbenachrichtigungen, Zahlungserinnerungen). Es werden keine Marketing-E-Mails versendet.
6. Verschlüsselung und Datensicherheit
- Transport: Alle Datenübertragungen erfolgen über TLS-verschlüsselte Verbindungen (HTTPS). HSTS ist aktiviert.
- IBAN-Verschlüsselung: Bankverbindungen (IBAN, BIC) werden mit AES-256 über Supabase Vault verschlüsselt gespeichert. Der Verschlüsselungsschlüssel ist vom Datenbankzugang getrennt.
- Zugriffskontrolle: Row-Level Security (RLS) stellt sicher, dass jeder Verein nur seine eigenen Daten einsehen kann. 22 RLS-Richtlinien erzwingen die Mandantentrennung auf Datenbankebene.
- Authentifizierung: Anmeldung erfolgt über Magic Links (zeitlich begrenzte, einmalige Links per E-Mail). Es werden keine Passwörter gespeichert.
- Sicherheitsheader: Content Security Policy (CSP), X-Frame-Options, Referrer-Policy und weitere HTTP-Sicherheitsheader sind konfiguriert.
7. Cookies
BeitragsKlar verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung (Session-Verwaltung). Diese Cookies sind für den Betrieb des Dienstes zwingend erforderlich und können nicht deaktiviert werden.
Es werden keine Tracking-Cookies, Analyse-Cookies oder Cookies Dritter eingesetzt. Es findet kein Browser-Fingerprinting statt.
| Cookie | Zweck | Dauer |
|---|---|---|
| sb-*-auth-token | Supabase Authentifizierung (Session) | Session / 1 Stunde |
8. Speicherdauer
| Datenkategorie | Speicherdauer | Grundlage |
|---|---|---|
| Rechnungen und Belege | 10 Jahre | § 147 AO (Aufbewahrungspflicht) |
| Mitgliederdaten | Bis zur Löschung durch den Verein | Vertragserfüllung |
| E-Mail-Adressen (Auth) | Bis zur Kontolöschung | Vertragserfüllung |
| Server-Logs (IP-Adressen) | Max. 30 Tage | Berechtigtes Interesse |
| SEPA-Mandate | 14 Monate nach letzter Einzug | SEPA-Regelwerk |
9. Ihre Rechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO): Sie können jederzeit Auskunft über Ihre gespeicherten Daten verlangen. Vereinsmitglieder können ihre Daten im Mitglieder-Portal einsehen.
- Berichtigung (Art. 16 DSGVO): Sie können die Korrektur unrichtiger Daten verlangen. Mitglieder können ihre Kontaktdaten selbst im Portal aktualisieren.
- Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten bestehen (z.B. 10 Jahre für Rechnungen).
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Datenverarbeitung verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen Format zu erhalten. Rechnungen können als PDF heruntergeladen werden.
- Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf berechtigtem Interesse basiert.
Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: kontakt@beitragsklar.de
10. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten rechtswidrig erfolgt. Die zuständige Aufsichtsbehörde richtet sich nach Ihrem Wohnsitz bzw. dem Sitz des Verantwortlichen.
11. Datenpannen
Im Falle einer Verletzung des Schutzes personenbezogener Daten werden wir die zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO unverzüglich (innerhalb von 72 Stunden) benachrichtigen, sofern die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Betroffene Personen werden gemäß Art. 34 DSGVO informiert, wenn ein hohes Risiko besteht.
12. Weitergabe an Dritte
Personenbezogene Daten werden nur an die unter Abschnitt 5 genannten Auftragsverarbeiter weitergegeben. Eine Weitergabe an sonstige Dritte erfolgt nicht, es sei denn:
- Sie haben ausdrücklich eingewilligt (Art. 6 Abs. 1 lit. a DSGVO).
- Es besteht eine gesetzliche Verpflichtung (z.B. Auskunft an Steuerbehörden nach § 147 AO).
- Die Weitergabe ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
13. Minderjährige
BeitragsKlar richtet sich an Kassenwarte und Vereinsverwalter (volljährige Personen). Daten von Minderjährigen (z.B. Kinder als Vereinsmitglieder) werden nur über den Kassenwart des Vereins verarbeitet, der hierfür verantwortlich ist.
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Fassung ist stets auf dieser Seite abrufbar.
Stand: Februar 2026.