Vertrauen durch Transparenz

Datenschutzerklärung der Verbands App

Wir informieren Sie umfassend darüber, welche personenbezogenen Daten im Rahmen der Verbands App verarbeitet werden, auf welchen Rechtsgrundlagen dies geschieht und welche Schutzmaßnahmen wir implementiert haben. Sämtliche produktiven Daten werden im Datenzentrum in Frankfurt am Main verarbeitet.

Verantwortlicher

radtke solutions GmbH

Bergedorfer Straße 92, 21029 Hamburg
Geschäftsführer: Arek Radtke
E-Mail: datenschutz@radtke-solutions.de

Datenschutzkoordination

Unser internes Datenschutzteam erreichen Sie über die oben genannte E-Mail-Adresse. Für Verbände mit Auftragsverarbeitungsvertrag steht zusätzlich eine dedizierte Ansprechpartnerin im Customer Success zur Verfügung.

Inhalt dieser Datenschutzerklärung

1. Allgemeine Grundlagen

Diese Datenschutzerklärung gilt für die mobile Verbands App (iOS, Android, Progressive Web App) sowie verbundene Verwaltungsoberflächen, Supportkanäle und Microsites. Sie ergänzt vertragliche Vereinbarungen zwischen radtke solutions GmbH („radtke solutions“) und dem jeweiligen Verband bzw. der Organisation.

Bei der Verbands App handelt es sich um eine Plattform zur Kommunikation, Verwaltung und Vernetzung von Verbänden, Vereinen und Organisationen. Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der gesetzlichen Vorgaben, insbesondere der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie sektorspezifischer Spezialnormen.

Sofern wir als Auftragsverarbeiter im Sinne von Art. 28 DSGVO handeln, erfolgt die Verarbeitung auf Grundlage eines Auftragsverarbeitungsvertrages mit dem jeweiligen Verband. Wir stellen hierfür Musterverträge, Sicherheitsnachweise sowie eine aktuelle Übersicht unserer Unterauftragsverarbeiter (Subprozessoren) bereit.

2. Kategorien personenbezogener Daten

Im Rahmen der Verbands App verarbeiten wir je nach Nutzungsumfang folgende Kategorien personenbezogener Daten:

Stamm- & Kontaktdaten

  • Name, Anrede, Titel
  • E-Mail-Adresse, Telefon- und Mobilnummer
  • Postanschrift, Firma/Organisation
  • Verbandszugehörigkeit, Rollen & Berechtigungen
  • Profilbild und optionale Freitextangaben

Kommunikations- & Inhaltsdaten

  • Nachrichten, Chat-Verläufe, Kommentare
  • Beiträge in Newsfeeds, Wikis & Umfragen
  • Medienanhänge (Bilder, Dokumente, Videos)
  • Kalendereinträge & Veranstaltungsdaten

Technische & Nutzungsdaten

  • IP-Adresse, Gerätetyp, Betriebssystem, Browserversion
  • App-Version, Bildschirmauflösung, Spracheinstellung
  • Pseudonyme Nutzungsereignisse & Fehlermeldungen
  • Push-Benachrichtigungs-Token

Geschäfts- & Finanzdaten (Mitgliederverwaltung)

  • Unternehmensdaten, Ansprechpartner & Adressen
  • Verträge, Vertragslaufzeiten & Konditionen
  • Rechnungen, Zahlungsstatus & Bankverbindungen (IBAN)
  • Korrespondenz & Aktivitätenprotokoll

3. Verarbeitungstätigkeiten & Rechtsgrundlagen

3.1 Registrierung & Nutzerkonten

Für die Nutzung der Verbands App wird ein personalisiertes Konto benötigt. Hierbei verarbeiten wir Stammdaten (z. B. Name, E-Mail-Adresse, Telefonnummer), Verbandszugehörigkeit, Rollen & Rechte sowie optional Profilinformationen. Die Authentifizierung erfolgt per E-Mail und Passwort oder per E-Mail-Link (Magic Link). Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) gegenüber dem Verband und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) zur Sicherstellung der Plattformfunktion.

3.2 Kommunikation & Push-Nachrichten

Innerhalb der App können Inhalte veröffentlicht, Chats geführt und Push-Benachrichtigungen versendet werden. Verarbeitet werden Nachrichteninhalte, Medienanhänge, Zielgruppen-Zuordnungen sowie Zustellstatus. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Push-Benachrichtigungen erfolgen auf Basis Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, die Sie jederzeit in den Systemeinstellungen Ihres Geräts widerrufen können.

3.3 Mitgliederverwaltung

Im Mitglieder-Modul werden Unternehmensdaten, Kontaktpersonen, Adressen, Verträge, Rechnungen sowie Zahlungsinformationen (z. B. IBAN) verarbeitet. Die Verarbeitung dient der Verwaltung von Mitgliedschaften, der Beitragsabrechnung und dem Vertragsmanagement. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für steuer- und handelsrechtliche Aufbewahrungspflichten.

3.4 Medien, Kamerazugriff & Datei-Uploads

Die App ermöglicht den Upload von Dateien (Bilder, PDFs, Office-Dokumente, E-Mails, CSV u. a.) sowie die Aufnahme von Fotos über die Gerätekamera. Der Zugriff auf Kamera und Fotobibliothek erfolgt ausschließlich nach Ihrer ausdrücklichen Einwilligung über die Berechtigungsabfrage Ihres Betriebssystems (Art. 6 Abs. 1 lit. a DSGVO). Hochgeladene Dateien werden verschlüsselt in EU-Rechenzentren gespeichert.

3.5 Analyse, Fehlerbehebung & Logging

Zur Qualitätssicherung und Fehlerbehebung setzen wir ein zentrales Protokollierungssystem sowie Analysedienste ein. In der mobilen App werden mit Ihrer Einwilligung pseudonyme Nutzungsereignisse (z. B. Seitenaufrufe, Feature-Nutzung, Fehlermeldungen), Gerätekennungen und technische Informationen erfasst. Die Rechtsgrundlage ist Ihre Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO. Ohne Einwilligung erfassen wir ausschließlich technisch erforderliche Protokolldaten (Art. 6 Abs. 1 lit. f DSGVO), um die Stabilität und Sicherheit des Systems zu gewährleisten. Analysedaten werden auf unserer eigenen Infrastruktur in Frankfurt am Main verarbeitet und gespeichert.

3.6 KI-gestützte Textverarbeitung

Für bestimmte Funktionen (z. B. Textzusammenfassungen, Korrekturen, Teaser-Erstellung) setzen wir KI-gestützte Sprachmodelle ein. Dabei werden die von Ihnen eingegebenen Texte an einen Cloud-Dienst unseres Infrastrukturanbieters (Google Ireland Limited) in der EU übermittelt. Die Texte werden ausschließlich zur Verarbeitung Ihrer Anfrage genutzt und nicht zum Training von KI-Modellen verwendet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der Funktion).

3.7 Support, Vertrieb & Vertragserfüllung

Anfragen per E-Mail, Telefon oder über unser Terminbuchungssystem werden zur Bearbeitung gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Wir speichern Korrespondenz für Nachweis- und Dokumentationspflichten gemäß Art. 6 Abs. 1 lit. c DSGVO i. V. m. handels- und steuerrechtlichen Vorschriften.

3.8 Transaktionale E-Mails

Im Rahmen der Plattformnutzung versenden wir transaktionale E-Mails (z. B. Einladungen, Benachrichtigungen, Rechnungsversand) über SMTP-Server. Die Verarbeitung der E-Mail-Adresse und des Nachrichteninhalts erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.9 Marketing & Produktinformationen

Informationen zu neuen Funktionen, Events oder Webinaren versenden wir ausschließlich nach ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Bestehende Kunden können wir im Rahmen von Art. 6 Abs. 1 lit. f DSGVO über vergleichbare Produkte informieren. In jedem Mailing finden Sie eine Abmeldemöglichkeit.

4. Hosting, Cloud-Infrastruktur & Empfänger

Die Verbands App wird auf einer Cloud-Infrastruktur betrieben, die von Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) bereitgestellt wird. Wir haben einen Auftragsverarbeitungsvertrag (Data Processing Agreement) inkl. EU-Standardvertragsklauseln abgeschlossen. Alle produktiven Daten werden im Rechenzentrum in Frankfurt am Main verarbeitet; redundante Backups werden innerhalb der EU vorgehalten.

Umfang der Cloud-Dienste

  • Authentifizierung: Verwaltung von Nutzerkonten, Anmeldeverfahren und Passwort-Zurücksetzung.
  • Datenbank: Speicherung von Verbandsdaten, Rollen, Beiträgen & Dokumenten mit granularen Zugriffsregeln.
  • Dateispeicher: Verschlüsselte Ablage von Dateien & Medien in EU-Rechenzentren.
  • Serverseitige Verarbeitung: Automatisierte Workflows (z. B. Benachrichtigungen, E-Mail-Versand, Datenverarbeitung).
  • Push-Dienst: Zustellung von Push-Benachrichtigungen an berechtigte Geräte.
  • Web-Hosting: Auslieferung der Progressive Web App über EU-basierte Serverstandorte.

Datensicherheit & Compliance

  • Alle Daten werden im Ruhezustand (AES-256) und bei der Übertragung (TLS 1.2+) verschlüsselt.
  • Die Zugriffe werden rollenbasiert gesteuert; Administrationsrechte unterliegen dem Vier-Augen-Prinzip.
  • Mehrstufige Schutzmaßnahmen gegen Missbrauch (Zugriffsregeln, Anwendungsvalidierung, Netzwerkschutz).
  • Unser Infrastrukturanbieter ist nach ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3 sowie nach dem EU Cloud Code of Conduct zertifiziert.
  • Datenzugriffe durch Mitarbeitende des Anbieters werden protokolliert; Auditberichte sind auf Anfrage verfügbar.

5. Weitere Dienstleister & Drittlandtransfer

Neben unserem Cloud-Infrastrukturanbieter setzen wir folgende Kategorien von Dienstleistern ein. Wir haben mit allen Partnern datenschutzrechtliche Vereinbarungen abgeschlossen und führen regelmäßige Sicherheitsprüfungen durch.

  • Microsoft Ireland Operations Limited – Bereitstellung von E-Mail, Kalender und Terminbuchung. Datenstandort EU, Auftragsverarbeitung gemäß DPA und EU-Standardvertragsklauseln.
  • App-Store-Betreiber (Apple Inc. & Google LLC) – Distribution der mobilen Apps über App Store und Google Play. Download-Statistiken werden anonym erhoben. Es gelten ergänzend die Datenschutzhinweise der jeweiligen Plattform.
  • Profilbild-Dienst (Gravatar / Automattic Inc.) – Zur Anzeige von Profilbildern wird ein nicht-rückführbarer Hash der E-Mail-Adresse an den Dienst Gravatar übermittelt. Sitz: USA; Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer personalisierten Darstellung). Drittlandtransfer auf Basis des EU-US Data Privacy Framework.
  • Firmenlogo-Dienst – Zur Anzeige von Firmenlogos wird die E-Mail-Domain an einen externen Dienst übermittelt. Es werden keine personenbezogenen Daten über die Domain hinaus übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
  • Geolokations-Dienst (nur Demo-Modus) – Im Rahmen unseres Demo-Zugangs wird die öffentliche IP-Adresse zur Ermittlung des ungefähren Standorts (Land, Region) an einen externen Geolokations-Dienst übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Auswertung von Demo-Anfragen). Außerhalb des Demo-Modus findet keine Standortermittlung statt.

Eine Übermittlung personenbezogener Daten an Drittländer außerhalb der EU bzw. des EWR erfolgt nur, wenn die Anforderungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss, EU-Standardvertragsklauseln, zusätzliche technische Maßnahmen). Eine aktuelle Liste unserer Unterauftragsverarbeiter stellen wir auf Anfrage bereit.

6. Website-Analyse, Cookies & eingebettete Inhalte

6.1 Eigenes cookie-loses Tracking

Wir erheben anonymisierte Nutzungsdaten (Seitenaufrufe, Referrer, UTM-Parameter, Gerätetyp, Land) über einen eigenen Tracking-Dienst auf unserer Infrastruktur in Frankfurt am Main. Es werden keine Cookies gesetzt. Zur Erkennung tagesbasierter Unique Visitors wird serverseitig ein nicht-rückführbarer Hash aus IP-Adresse, User-Agent und Datum erzeugt. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der statistischen Auswertung der Websitenutzung.

6.2 Webanalyse-Dienst (nur mit Einwilligung)

Nach Ihrer ausdrücklichen Einwilligung laden wir einen Webanalyse-Dienst von Google Ireland Limited. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen“ im Footer widerrufen.

6.3 Marketing- & CRM-Tracking (nur mit Einwilligung)

Nach Ihrer ausdrücklichen Einwilligung laden wir ein Tracking-Script unseres CRM-Anbieters (HubSpot Inc., EU-Rechenzentrum). Dabei werden Cookies zur Wiedererkennung von Besuchern und CRM-Zuordnung gesetzt. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

6.4 YouTube-Videos (2-Click-Lösung)

YouTube-Videos werden erst nach Ihrem expliziten Klick geladen. Vor dem Klick wird lediglich ein statisches Vorschaubild angezeigt, ohne dass eine Verbindung zu Google/YouTube hergestellt wird. Beim Abspielen wird die datenschutzfreundliche Domain youtube-nocookie.com verwendet.

6.5 Schriftarten & externe Ressourcen

Schriftarten werden lokal von unserem Server ausgeliefert. Es findet kein Datentransfer an externe Schriftarten-Dienste statt. Die Terminbuchung wird erst nach Ihrer Interaktion geladen.

7. Ihre Rechte als betroffene Person

Auskunft & Berichtigung

Sie haben das Recht auf Auskunft über die von uns verarbeiteten personenbezogenen Daten (Art. 15 DSGVO) sowie das Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO). Anfragen richten Sie bitte an datenschutz@radtke-solutions.de.

Löschung, Einschränkung & Datenübertragbarkeit

Sie können die Löschung Ihrer Daten (Art. 17 DSGVO), die Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie die Übertragung Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format (Art. 20 DSGVO) verlangen, soweit dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Löschung Ihres Kontos können Sie direkt in den Profileinstellungen der App veranlassen. Administratoren können Nutzerdaten zusätzlich als CSV-Datei exportieren.

Widerspruch & Widerruf von Einwilligungen

Soweit wir Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, können Sie jederzeit Widerspruch einlegen (Art. 21 DSGVO). Erteilte Einwilligungen (Art. 6 Abs. 1 lit. a DSGVO) können Sie jederzeit mit Wirkung für die Zukunft widerrufen – beispielsweise in den Systemeinstellungen Ihres Geräts (Push), in den App-Einstellungen oder per E-Mail an uns.

8. Speicher- und Löschfristen

Wir speichern personenbezogene Daten nur solange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorsehen. Nach Vertragsende werden Konten entsprechend der vertraglichen Vereinbarungen anonymisiert oder gelöscht. Backups werden rollierend überschrieben (maximal 35 Tage). Analysedaten speichern wir maximal 14 Monate, sofern keine kürzere Frist vereinbart wurde.

Bei Löschung eines Nutzerkontos werden die zugehörigen Authentifizierungsdaten, Profilinformationen und personenbezogenen Inhalte gelöscht. Daten, die gesetzlichen Aufbewahrungspflichten unterliegen (z. B. Rechnungen, Verträge), werden für die Dauer der gesetzlichen Frist gesperrt und anschließend gelöscht.

Für handels- und steuerrechtliche Dokumentationspflichten gelten Aufbewahrungsfristen von bis zu 10 Jahren (§ 257 HGB, § 147 AO). Nach Ablauf der Fristen löschen oder anonymisieren wir die Daten automatisch.

9. Sicherheit & organisatorische Maßnahmen

Technische Maßnahmen

  • TLS-Verschlüsselung aller Schnittstellen und Verwaltungsoberflächen.
  • Härtung der Infrastruktur über Netzwerkschutz, Rate Limiting & Web Application Firewall.
  • Mehrstufige Authentifizierung für interne Admin-Accounts, Just-in-time Zugriffskontrollen.
  • Regelmäßige Penetrationstests und Security Audits durch unabhängige Partner.

Organisatorische Maßnahmen

  • Schulung aller Mitarbeitenden zu Datenschutz, Informationssicherheit & Incident Response.
  • Verpflichtung auf Vertraulichkeit, Rollen- und Berechtigungskonzepte, Vier-Augen-Prinzip.
  • Dokumentierter Incident-Response-Plan inkl. Bereitschaft für kritische Vorfälle.
  • Regelmäßige Überprüfung der Unterauftragsverarbeiter und Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten.

10. Einwilligungen, Opt-in & Widerruf

Funktionen, die über die Vertragserfüllung hinausgehen (Push-Benachrichtigungen, optionale Analysen, Newsletter, Kamera- oder Speicherzugriff), aktivieren wir nur nach Ihrer ausdrücklichen Einwilligung (Opt-in). Diese Einwilligungen dokumentieren wir revisionssicher in unserem Protokollierungssystem. Sie können Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Push-Einstellungen lassen sich direkt in den Systemeinstellungen Ihres Endgeräts verwalten. Für In-App-Tracking finden Sie in den Profileinstellungen eine Opt-out-Option. Alternativ kontaktieren Sie uns jederzeit.

11. Automatisierte Entscheidungsfindung

Eine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt. Soweit wir KI-gestützte Funktionen einsetzen (z. B. Textzusammenfassungen), dienen diese ausschließlich der Unterstützung und erzeugen keine automatisierten Einzelentscheidungen.

12. Beschwerderecht bei einer Aufsichtsbehörde

Ihnen steht das Recht zu, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für die radtke solutions GmbH ist:

Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit

Ludwig-Erhard-Straße 22
20459 Hamburg
Telefon: +49 40 428 54 4040
E-Mail: mailbox@datenschutz.hamburg.de

13. Aktualisierung dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald neue Funktionen eingeführt werden, gesetzliche Vorgaben sich ändern oder zusätzliche Dienstleister eingesetzt werden. Die aktuelle Version ist unter https://verbands.app/datenschutz abrufbar. Stand: 30. März 2026.