Datenschutzerklärung
1. Verantwortlicher
Alan Murphy
BeitragsKlar — Vereinsverwaltung
Manheimer Ring 28
50171 Kerpen
E-Mail: kontakt@beitragsklar.de
2. Überblick der Datenverarbeitung
BeitragsKlar ist ein Abrechnungsportal für Sportvereine. Wir verarbeiten personenbezogene Daten ausschließlich, soweit dies zur Bereitstellung unseres Dienstes erforderlich ist. Es findet kein Verkauf von Daten an Dritte statt und kein Tracking zu Werbezwecken.
3. Rechtsgrundlagen
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Verarbeitung zur Bereitstellung des BeitragsKlar-Dienstes (Mitgliederverwaltung, Rechnungserstellung, Zahlungsabgleich).
- Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Aufbewahrung von Rechnungen, Belegen und Buchungsunterlagen gemäß § 147 Abs. 1 AO und § 257 HGB (Bücher und Aufzeichnungen: 10 Jahre; Buchungsbelege: 8 Jahre seit dem 01.01.2025).
- Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Sicherheit des Dienstes (z.B. Rate-Limiting, Authentifizierung).
4. Erhobene Daten
Wir verarbeiten folgende Datenkategorien:
4.1 Kassenwarte (Vereinsadministratoren)
- E-Mail-Adresse (zur Authentifizierung per Magic Link)
- Vereinsname und Vereinsdaten (Anschrift, Steuernummer)
- IBAN und BIC des Vereins (verschlüsselt mit AES-256, siehe Abschnitt 6)
4.2 Vereinsmitglieder
- Name, Adresse, E-Mail-Adresse, Telefonnummer
- Geburtsdatum (falls vom Verein erfasst)
- Mitgliedsstatus und Beitragsklasse
- Rechnungs- und Zahlungsdaten
- IBAN und BIC (verschlüsselt mit AES-256, Mitglieder sehen nur die letzten 4 Stellen)
- SEPA-Lastschriftmandat-Daten (falls vorhanden)
4.3 Audit-Protokoll (Änderungshistorie)
Zur Erfüllung der handels- und steuerrechtlichen Aufbewahrungspflichten (§ 257 Abs. 1 HGB, § 147 Abs. 1 Nr. 1 AO) werden sicherheitsrelevante Änderungen (z.B. Bankdaten, SEPA-Mandate) in einem unveränderlichen Audit-Protokoll gespeichert. Dabei werden neben der Änderung selbst auch der Name des betroffenen Mitglieds, die IP-Adresse und der Zeitstempel festgehalten. Diese Daten dienen ausschließlich der Nachvollziehbarkeit gemäß GoBD und werden nicht für andere Zwecke verwendet.
4.4 Kassenwart-Übergabe (Übergabeprotokoll)
Bei der Übergabe der Kassenwart-Rolle an einen Nachfolger wird ein Übergabeprotokoll erstellt, das folgende Daten enthält:
- E-Mail-Adressen des übergebenden und übernehmenden Kassenwarts
- Finanzübersicht zum Stichtag (Anzahl und Betrag offener, überfälliger und bezahlter Rechnungen, Mitgliederanzahl)
- Datum und Uhrzeit der Übergabe
Dieses Dokument wird gemäß § 147 Abs. 1 AO für 10 Jahre archiviert. Der übergebende Kassenwart erhält eine Kopie per E-Mail als Nachweis des Finanzstands zum Übergabezeitpunkt. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflicht) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Vereins an der Dokumentation der ordnungsgemäßen Übergabe).
4.5 Technische Daten
- IP-Adresse (temporär, in Server-Logs für max. 30 Tage)
- Authentifizierungs-Cookies (technisch notwendig)
4.6 Webanalyse (Umami)
Zur Verbesserung unseres Angebots setzen wir Umami Cloud ein, eine datenschutzfreundliche Webanalyse-Software. Umami verwendet keine Cookies und erhebt keine personenbezogenen Daten. Es werden ausschließlich anonymisierte, aggregierte Nutzungsdaten erfasst (z. B. Seitenaufrufe, Verweildauer, Herkunftsland auf Länderebene, Gerätetyp, Browser). Eine Zuordnung zu einzelnen Personen ist nicht möglich. Es findet kein Browser-Fingerprinting statt.
Umami Cloud wird von Umami Software, Inc. betrieben. Die Daten werden in der Europäischen Union verarbeitet und gespeichert. Es findet keine Datenübertragung in Drittländer statt. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Dienstes). Das Analyse-Skript wird über unsere eigene Domain ausgeliefert (First-Party-Proxy), sodass keine Drittanbieter-Verbindungen im Browser des Nutzers entstehen.
5. Hosting und Infrastruktur
Alle Daten werden ausschließlich in der Europäischen Union verarbeitet und gespeichert. Es findet keine Übertragung personenbezogener Daten in Drittländer statt.
Auftragsverarbeiter
Vercel Inc. — Webhosting
Standort: Frankfurt, Deutschland (EU-Region)
Auftragsverarbeitungsvertrag (DPA) abgeschlossen.
Vercel verarbeitet HTTP-Anfragen und liefert die Web-Anwendung aus. Server-seitige Funktionen laufen in Frankfurt.
Supabase Inc. — Datenbank und Authentifizierung
Standort: Frankfurt, Deutschland (AWS eu-central-1)
Auftragsverarbeitungsvertrag (DPA) abgeschlossen.
Supabase speichert alle Anwendungsdaten (Mitglieder, Rechnungen, Dokumente) und verwaltet die Authentifizierung.
Resend Inc. — E-Mail-Versand
Auftragsverarbeitungsvertrag (DPA) abgeschlossen.
Resend versendet ausschließlich transaktionale E-Mails (Anmeldelinks, Rechnungsbenachrichtigungen, Zahlungserinnerungen). Es werden keine Marketing-E-Mails versendet.
Stripe Inc. — Zahlungsabwicklung
Standort: EU (Irland)
Auftragsverarbeitungsvertrag (DPA) abgeschlossen.
Stripe verarbeitet die Abonnement-Abrechnung des Vereins. Es werden nur die E-Mail-Adresse des Kassenwarts und Zahlungsdaten verarbeitet — keine Mitgliederdaten.
Upstash Inc. — Rate-Limiting
Standort: Frankfurt, Deutschland (EU-Region)
Auftragsverarbeitungsvertrag (DPA) abgeschlossen.
Upstash speichert ausschließlich gehashte Benutzer-IDs und IP-Adressen zur Zugriffsbegrenzung. Es werden keine personenbezogenen Klardaten gespeichert.
Functional Software Inc. (Sentry) — Fehlerüberwachung
Standort: Frankfurt, Deutschland (EU-Region)
Auftragsverarbeitungsvertrag (DPA) abgeschlossen.
Sentry erfasst technische Fehlermeldungen zur Qualitätssicherung. IP-Adressen werden anonymisiert. Session-Replay maskiert alle Texte und blockiert alle Medien (DSGVO-konform). Es werden keine Mitgliederdaten an Sentry übermittelt.
Umami Software, Inc. — Webanalyse
Standort: Europäische Union
Auftragsverarbeitungsvertrag (DPA) abgeschlossen.
Umami erfasst anonymisierte, aggregierte Nutzungsdaten (Seitenaufrufe, Gerätetyp, Browser). Es werden keine Cookies gesetzt und keine personenbezogenen Daten erhoben. Kein Browser-Fingerprinting.
Backblaze Inc. — Offsite-Backup
Standort: Amsterdam, Niederlande (EU Central)
Auftragsverarbeitungsvertrag (DPA) abgeschlossen.
Backblaze B2 speichert tägliche Sicherungskopien aller archivierten Dokumente (Rechnungen, Mahnungen, SEPA-Exporte) zur Erfüllung der Aufbewahrungspflicht und geografischen Redundanz. Es werden keine Mitgliederstammdaten direkt an Backblaze übermittelt — nur die archivierten PDF-Dokumente.
Die vollständige Liste der Unterauftragsverarbeiter mit DPA-Links finden Sie im Auftragsverarbeitungsvertrag (AVV), § 7.
6. Verschlüsselung und Datensicherheit
- Transport: Alle Datenübertragungen erfolgen über TLS-verschlüsselte Verbindungen (HTTPS). HSTS ist aktiviert.
- IBAN-Verschlüsselung: Bankverbindungen (IBAN, BIC) werden mit AES-256 über Supabase Vault verschlüsselt gespeichert. Der Verschlüsselungsschlüssel ist vom Datenbankzugang getrennt.
- Zugriffskontrolle: Row-Level Security (RLS) stellt sicher, dass jeder Verein nur seine eigenen Daten einsehen kann. 51 RLS-Richtlinien erzwingen die Mandantentrennung auf Datenbankebene.
- Authentifizierung: Anmeldung erfolgt über Magic Links (zeitlich begrenzte, einmalige Links per E-Mail). Es werden keine Passwörter gespeichert.
- Sicherheitsheader: Content Security Policy (CSP), X-Frame-Options, Referrer-Policy und weitere HTTP-Sicherheitsheader sind konfiguriert.
7. Cookies
BeitragsKlar verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung (Session-Verwaltung). Diese Cookies sind für den Betrieb des Dienstes zwingend erforderlich und können nicht deaktiviert werden.
Es werden keine Tracking-Cookies, Analyse-Cookies oder Cookies Dritter eingesetzt. Es findet kein Browser-Fingerprinting statt.
| Cookie | Zweck | Dauer |
|---|---|---|
| sb-*-auth-token | Supabase Authentifizierung (Session) | Session / 1 Stunde |
8. Speicherdauer
| Datenkategorie | Speicherdauer | Grundlage |
|---|---|---|
| Bücher und Aufzeichnungen | 10 Jahre | § 147 Abs. 1 Nr. 1 AO, § 257 Abs. 4 HGB |
| Rechnungen und Buchungsbelege | 8 Jahre | § 147 Abs. 1 Nr. 4 AO, § 257 Abs. 4 HGB (seit 01.01.2025) |
| Mitgliederdaten | Bis zur Löschung durch den Verein | Vertragserfüllung |
| E-Mail-Adressen (Auth) | Bis zur Kontolöschung | Vertragserfüllung |
| Server-Logs (IP-Adressen) | Max. 30 Tage | Berechtigtes Interesse |
| Audit-Protokoll (Änderungshistorie) | 10 Jahre | § 147 Abs. 1 Nr. 1 AO, § 257 Abs. 1 HGB (GoBD) |
| SEPA-Mandate | 14 Monate nach letztem Einzug | SEPA-Regelwerk |
| Übergabeprotokoll (Kassenwart-Wechsel) | 10 Jahre | § 147 Abs. 1 AO, Art. 6 Abs. 1 lit. c/f DSGVO |
9. Ihre Rechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO): Sie können jederzeit Auskunft über Ihre gespeicherten Daten verlangen. Vereinsmitglieder können ihre Daten im Mitglieder-Portal einsehen.
- Berichtigung (Art. 16 DSGVO): Sie können die Korrektur unrichtiger Daten verlangen. Mitglieder können ihre Kontaktdaten selbst im Portal aktualisieren.
- Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten bestehen. Gemäß Art. 17 Abs. 3 lit. b DSGVO ist die Löschung ausgeschlossen, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Dies betrifft insbesondere Rechnungen und Buchungsbelege (§ 147 AO, § 257 HGB) sowie das Audit-Protokoll (§ 146 AO, GoBD), die auch nach Mitgliederlöschung für die gesetzliche Aufbewahrungsfrist gespeichert bleiben.
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Datenverarbeitung verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen Format zu erhalten. Rechnungen können als PDF heruntergeladen werden.
- Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf berechtigtem Interesse basiert.
Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: kontakt@beitragsklar.de
10. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten rechtswidrig erfolgt.
Die für den Sitz des Verantwortlichen zuständige Aufsichtsbehörde ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Postfach 20 04 44, 40102 Düsseldorf
11. Datenpannen
Im Falle einer Verletzung des Schutzes personenbezogener Daten werden wir die zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO unverzüglich (innerhalb von 72 Stunden) benachrichtigen, sofern die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Betroffene Personen werden gemäß Art. 34 DSGVO informiert, wenn ein hohes Risiko besteht.
12. Weitergabe an Dritte
Personenbezogene Daten werden nur an die unter Abschnitt 5 genannten Auftragsverarbeiter weitergegeben. Eine Weitergabe an sonstige Dritte erfolgt nicht, es sei denn:
- Sie haben ausdrücklich eingewilligt (Art. 6 Abs. 1 lit. a DSGVO).
- Es besteht eine gesetzliche Verpflichtung (z.B. Auskunft an Steuerbehörden nach § 147 AO).
- Die Weitergabe ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
13. Minderjährige
BeitragsKlar richtet sich an Kassenwarte und Vereinsverwalter (volljährige Personen). Daten von Minderjährigen (z.B. Kinder als Vereinsmitglieder) werden nur über den Kassenwart des Vereins verarbeitet, der hierfür verantwortlich ist.
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Fassung ist stets auf dieser Seite abrufbar.
Stand: 21. Februar 2026.