Vertrauen durch Transparenz

Datenschutzerklärung der Verbands App

Wir informieren Sie umfassend darüber, welche personenbezogenen Daten im Rahmen der Verbands App verarbeitet werden, auf welchen Rechtsgrundlagen dies geschieht und welche Schutzmaßnahmen wir implementiert haben. Sämtliche produktiven Daten werden im Datenzentrum in Frankfurt am Main verarbeitet.

Verantwortlicher

radtke solutions GmbH

Bergedorfer Straße 92, 21029 Hamburg
Geschäftsführer: Arek Radtke
E-Mail: datenschutz@radtke-solutions.de

Datenschutzkoordination

Unser internes Datenschutzteam erreichen Sie über die oben genannte E-Mail-Adresse. Für Verbände mit Auftragsverarbeitungsvertrag steht zusätzlich eine dedizierte Ansprechpartnerin im Customer Success zur Verfügung.

Inhalt dieser Datenschutzerklärung

1. Allgemeine Grundlagen

Diese Datenschutzerklärung gilt für die mobile Verbands App (iOS, Android, Progressive Web App) sowie verbundene Verwaltungsoberflächen, Supportkanäle und Microsites. Sie ergänzt vertragliche Vereinbarungen zwischen radtke solutions GmbH („radtke solutions“) und dem jeweiligen Verband bzw. der Organisation.

Bei der Verbands App handelt es sich um eine Plattform zur Kommunikation, Verwaltung und Vernetzung von Verbänden, Vereinen und Organisationen. Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der gesetzlichen Vorgaben, insbesondere der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie sektorspezifischer Spezialnormen.

Sofern wir als Auftragsverarbeiter im Sinne von Art. 28 DSGVO handeln, erfolgt die Verarbeitung auf Grundlage eines Auftragsverarbeitungsvertrages mit dem jeweiligen Verband. Wir stellen hierfür Musterverträge, Sicherheitsnachweise sowie eine Übersicht unserer Subprozessoren bereit.

2. Verarbeitungstätigkeiten & Rechtsgrundlagen

2.1 Registrierung & Nutzerkonten

Für die Nutzung der Verbands App wird ein personalisiertes Konto benötigt. Hierbei verarbeiten wir Stammdaten (z. B. Name, E-Mail-Adresse, Telefonnummer), Verbandszugehörigkeit, Rollen & Rechte sowie optional Profilinformationen. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) gegenüber dem Verband und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) zur Sicherstellung der Plattformfunktion.

2.2 Kommunikation & Push-Nachrichten

Innerhalb der App können Inhalte veröffentlicht, Chats geführt und Push-Benachrichtigungen versendet werden. Verarbeitet werden Nachrichteninhalte, Medienanhänge, Zielgruppen-Zuordnungen sowie Zustellstatus. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Push-Benachrichtigungen erfolgen auf Basis Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, die Sie jederzeit in den App-Einstellungen Ihres Geräts widerrufen können.

2.3 Analyse, Crash-Reports & Logging

Zur Qualitätssicherung nutzen wir ein zentrales LoggingService, Firebase Analytics, Firebase Crashlytics sowie Firebase Performance Monitoring. Dabei werden pseudonyme Nutzungsdaten, Gerätekennungen, technische Ereignisse und Fehlermeldungen verarbeitet. Die Rechtsgrundlage ist Ihre Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO. Ohne Einwilligung erfassen wir ausschließlich technisch erforderliche Logs (Art. 6 Abs. 1 lit. f DSGVO), um die Stabilität des Systems zu gewährleisten.

2.4 Support, Vertrieb & Vertragserfüllung

Anfragen per E-Mail, Telefon oder über unser Terminbuchungssystem (Microsoft 365 Bookings) werden zur Bearbeitung gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Wir speichern Korrespondenz für Nachweis- und Dokumentationspflichten gemäß Art. 6 Abs. 1 lit. c DSGVO i.V.m. handels- und steuerrechtlichen Vorschriften.

2.5 Marketing & Produktinformationen

Informationen zu neuen Funktionen, Events oder Webinaren versenden wir ausschließlich nach ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Bestehende Kunden können wir im Rahmen von Art. 6 Abs. 1 lit. f DSGVO über vergleichbare Produkte informieren. In jedem Mailing finden Sie eine Abmeldemöglichkeit.

3. Google Firebase & Google Cloud Platform

Die Verbands App basiert auf der Google Cloud Platform (GCP) sowie Google Firebase, bereitgestellt von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Wir haben einen Auftragsverarbeitungsvertrag (Data Processing Agreement) inkl. Standardvertragsklauseln (2021) abgeschlossen. Alle produktiven Daten werden in der Region europe-west3 (Frankfurt) verarbeitet; redundante Backups werden innerhalb der EU vorgehalten.

Eingesetzte Firebase-Dienste

  • Firebase Authentication: Verwaltung von Logins, Single Sign-on, Multi-Faktor-Optionen.
  • Cloud Firestore: Speicherung von Verbandsdaten, Rollen, Beiträgen & Dokumenten mit granularen Security Rules.
  • Firebase Storage: DSGVO-konforme Ablage von Dateien & Medien in EU-Rechenzentren.
  • Cloud Functions: Serverseitige Logik (z. B. Benachrichtigungen, Workflows) mit Transaktionen.
  • Cloud Messaging: Versand von Push-Benachrichtigungen an berechtigte Gerätekontexte.
  • Crashlytics & Performance Monitoring: Stabilitäts- und Performanceanalyse (nur mit Einwilligung).
  • Firebase Hosting: Auslieferung der Progressive Web App über EU-basierte CDN-Knoten.

Datensicherheit & Compliance

  • Alle Daten werden im Ruhezustand (AES-256) und bei der Übertragung (TLS 1.2+) verschlüsselt.
  • Die Zugriffe werden rollenbasiert gesteuert; Administrationsrechte unterliegen dem Vier-Augen-Prinzip.
  • Wir nutzen Firebase Security Rules, Firebase App Check und Cloud Armor zum Schutz vor Missbrauch.
  • Google ist nach ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3 sowie nach dem EU Cloud Code of Conduct zertifiziert.
  • Datenzugriffe durch Google-Mitarbeitende werden protokolliert; Auditberichte sind auf Anfrage verfügbar.

Weiterführende Informationen: https://firebase.google.com/support/privacy

4. Weitere Dienstleister & Empfänger

Zusätzlich zu Google Firebase setzen wir folgende Dienstleister ein. Wir haben mit allen Partnern datenschutzrechtliche Vereinbarungen abgeschlossen und führen regelmäßige Sicherheitsprüfungen durch.

  • Microsoft Ireland Operations Limited – Bereitstellung von Microsoft 365 (Exchange, Bookings, Teams). Datenstandort EU, Auftragsverarbeitung gemäß DPA und EU Standardvertragsklauseln.
  • Apple Inc. & Google LLC – Distribution der mobilen Apps über App Store und Google Play. Download-Statistiken werden anonym erhoben. Es gelten ergänzend die Datenschutzhinweise der Plattformen.
  • SendGrid/Twilio (optional) – Versand transaktionaler E-Mails aus Firestore-Workflows. Einsatz nur bei entsprechender Konfiguration und mit AV-Vertrag.
  • Stripe Technology Europe (optional) – Zahlungsabwicklung für Verbandsbeiträge oder Eventtickets. Verarbeitung auf Basis separater Auftragsverarbeitung und PCI-DSS-Zertifizierung.

Eine Übermittlung personenbezogener Daten an Drittländer außerhalb der EU bzw. des EWR erfolgt nur, wenn die Anforderungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss, EU-Standardvertragsklauseln, zusätzliche technische Maßnahmen).

5. Ihre Rechte als betroffene Person

Auskunft & Berichtigung

Sie haben das Recht auf Auskunft über die von uns verarbeiteten personenbezogenen Daten (Art. 15 DSGVO) sowie das Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO). Anfragen richten Sie bitte an datenschutz@radtke-solutions.de.

Löschung, Einschränkung & Datenübertragbarkeit

Sie können die Löschung Ihrer Daten (Art. 17 DSGVO), die Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie die Übertragung Ihrer Daten (Art. 20 DSGVO) verlangen, soweit dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Widerspruch & Widerruf von Einwilligungen

Soweit wir Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, können Sie jederzeit Widerspruch einlegen (Art. 21 DSGVO). Erteilte Einwilligungen (Art. 6 Abs. 1 lit. a DSGVO) können Sie jederzeit mit Wirkung für die Zukunft widerrufen – beispielsweise in den Systemeinstellungen Ihres Geräts (Push), in den App-Einstellungen oder per E-Mail an uns.

6. Speicher- und Löschfristen

Wir speichern personenbezogene Daten nur solange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorsehen. Nach Vertragsende werden Konten entsprechend der vertraglichen Vereinbarungen anonymisiert oder gelöscht. Backups werden rollierend überschrieben (maximal 35 Tage). Analyse- und Crashdaten speichern wir maximal 14 Monate, sofern keine kürzere Frist in der Einwilligung vereinbart wurde.

Für Handels- und steuerrechtliche Dokumentationspflichten gelten Aufbewahrungsfristen von bis zu 10 Jahren (§ 257 HGB, § 147 AO). Nach Ablauf der Fristen löschen oder anonymisieren wir die Daten automatisch.

7. Sicherheit & organisatorische Maßnahmen

Technische Maßnahmen

  • Ende-zu-Ende TLS-Verschlüsselung aller Schnittstellen und Admin-Oberflächen.
  • Härtung der Infrastruktur über Google Cloud Armor, Rate Limiting & WAF-Regeln.
  • Mehrstufige Authentifizierung für interne Admin-Accounts, Just-in-time Zugriffskontrollen.
  • Regelmäßige Penetrationstests und Security Audits durch unabhängige Partner.

Organisatorische Maßnahmen

  • Schulung aller Mitarbeitenden zu Datenschutz, Informationssicherheit & Incident Response.
  • Verpflichtung auf Vertraulichkeit, Rollen- und Berechtigungskonzepte, Vier-Augen-Prinzip.
  • Dokumentierter Incident-Response-Plan inkl. 24/7-Bereitschaft für kritische Vorfälle.
  • Regelmäßige Überprüfung der Subprozessoren und Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten.

8. Einwilligungen, Opt-in & Widerruf

Funktionen, die über die Vertragserfüllung hinausgehen (Push-Benachrichtigungen, optionale Analysen, Newsletter, Kamera- oder Speicherzugriff), aktivieren wir nur nach Ihrer ausdrücklichen Einwilligung (Opt-in). Diese Einwilligungen dokumentieren wir revisionssicher in unserem LoggingService. Sie können Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Push-Einstellungen lassen sich direkt in den System-Einstellungen Ihres Endgeräts verwalten. Für In-App Tracking finden Sie in den Profileinstellungen eine Opt-out-Option. Alternativ kontaktieren Sie uns jederzeit.

9. Beschwerderecht bei einer Aufsichtsbehörde

Ihnen steht das Recht zu, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für die radtke solutions GmbH ist:

Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit

Ludwig-Erhard-Straße 22
20459 Hamburg
Telefon: +49 40 428 54 4040
E-Mail: mailbox@datenschutz.hamburg.de

10. Aktualisierung dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald neue Funktionen eingeführt werden, gesetzliche Vorgaben sich ändern oder zusätzliche Dienstleister eingesetzt werden. Die aktuelle Version ist unter https://verbands.app/datenschutz abrufbar. Stand: 13. November 2025.