Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Ein gesetzlich vorgeschriebener Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen gemäß Art. 37 DSGVO i. V. m. § 38 BDSG nicht erfüllt sind. Bei datenschutzrechtlichen Fragen wenden Sie sich direkt an die oben genannte E-Mail-Adresse.

2. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen der DSGVO:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung der betroffenen Person
• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung oder vorvertragliche Maßnahmen
• Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung
• Art. 6 Abs. 1 lit. f DSGVO – Wahrung berechtigter Interessen

3. Datenerhebung bei Website-Besuch

3.1 Server-Logfiles

Bei jedem Aufruf unserer Website werden automatisch folgende technische Daten erfasst:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Ressource
• Referrer-URL (Seite, von der aus der Zugriff erfolgte)
• Verwendeter Browser und Betriebssystem
• HTTP-Statuscode

Diese Daten sind technisch notwendig für den Betrieb und die Sicherheit der Website. Eine Zusammenführung mit anderen Datenquellen findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb und Sicherheit)
Speicherdauer: 30 Tage, danach automatische Löschung

3.2 SSL/TLS-Verschlüsselung

Unsere Website nutzt durchgehend SSL/TLS-Verschlüsselung. Verschlüsselte Verbindungen erkennen Sie am https://-Präfix und dem Schlosssymbol in der Browseradresszeile.

3.3 Cloudflare Turnstile

Zum Schutz unserer Formulare vor Spam und automatisierten Zugriffen setzen wir Cloudflare Turnstile ein – eine datenschutzfreundliche CAPTCHA-Alternative von Cloudflare. Turnstile analysiert das Interaktionsverhalten im Formular, ohne ein Bildrätsel zu erfordern, und überträgt dabei technische Signale an Cloudflare-Server.

Anbieter: Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Missbrauch)
Datenschutzerklärung: cloudflare.com/privacypolicy

4. Warteliste und Newsletter

Sie können sich auf unserer Website für die Warteliste oder unseren Newsletter anmelden. Hierfür erheben wir ausschließlich Ihre E-Mail-Adresse.

Diese verwenden wir, um Sie über den Start unserer Plattform, neue Funktionen und relevante Informationen zu informieren. Der Versand erfolgt über Amazon Web Services SES (siehe Abschnitt 9).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre ausdrückliche Einwilligung)
Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie den Abmeldelink in jeder E-Mail nutzen oder uns direkt an [email protected] kontaktieren. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
Speicherdauer: Bis zum Widerruf der Einwilligung, danach umgehende Löschung

5. Registrierung und Nutzerkonto

5.1 Pflichtangaben

Für die Nutzung von NotenHeuschen ist eine Registrierung erforderlich. Dabei erheben wir folgende Daten:

• Name des Vereins oder der Organisation
• Vor- und Nachname des Ansprechpartners
• E-Mail-Adresse
• Rechnungsadresse (Straße, PLZ, Stadt, Land)
• Gewählter Tarif
• Passwort (verschlüsselt gespeichert, kein Klartextzugriff durch uns)

5.2 Optionale Angaben

• Telefonnummer

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen)
Speicherdauer: Für die Dauer der Vertragsbeziehung; nach Kündigung 30 Tage für Datenexport, danach Löschung – soweit keine gesetzlichen Aufbewahrungsfristen entgegenstehen

6. Verarbeitung im Rahmen der Plattformnutzung

Im Rahmen der aktiven Nutzung der Plattform verarbeiten wir folgende Daten, die Sie oder Ihre Mitglieder in das System eingeben:

• Hochgeladene Notenblätter und Dokumente
• Mitgliederdaten (Name, Instrument, Kontaktdaten)
• Proben- und Auftrittstermine
• Kommunikationsinhalte innerhalb der Plattform
• Nutzungsstatistiken (intern, anonymisiert)

Diese Daten werden ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Hinweis für B2B-Kunden:Soweit Sie als Verein oder Organisation Daten Ihrer Mitglieder in die Plattform eingeben, sind Sie selbst Verantwortlicher für diese Daten. Code & Coda UG verarbeitet diese Daten als Auftragsverarbeiter gemäß Art. 28 DSGVO. Ein Auftragsverarbeitungsvertrag (AVV) ist Bestandteil unserer Nutzungsbedingungen.

7. Cookies

Wir setzen ausschließlich technisch notwendige Cookies ein. Es werden keine Analyse-, Werbe- oder Tracking-Cookies verwendet.

7.1 Eigene Cookies

7.2 Cloudflare-Infrastruktur-Cookies

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und funktionsfähigen Betrieb)

8. Infrastruktur und Hosting

8.1 Hetzner (Hosting)

Unsere Server werden bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, betrieben. Der Standort unserer Server ist Nürnberg, Deutschland. Alle Daten verbleiben innerhalb der EU.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO
Datenschutzerklärung: hetzner.com/de/legal/privacy-policy

8.2 Cloudflare (CDN, DNS, Tunneling)

Wir nutzen Cloudflare als CDN, DNS-Dienst und zur sicheren Anbindung unserer Infrastruktur über Cloudflare Tunnel (cloudflared). Dabei werden Anfragen über das Cloudflare-Netzwerk geroutet und technische Zugriffsdaten verarbeitet. Dies dient der Erhöhung der Sicherheit, Verfügbarkeit und Performance.

Anbieter: Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Verfügbarkeit)
Drittlandübermittlung: USA, auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
Datenschutzerklärung: cloudflare.com/privacypolicy

9. E-Mail-Versand

9.1 Transaktionale E-Mails und Newsletter

Für den Versand von transaktionalen E-Mails (Registrierungsbestätigungen, Rechnungen, Systembenachrichtigungen) sowie von Newsletter- und Wartelisten-E-Mails nutzen wir Amazon Web Services Simple Email Service (AWS SES).

Dabei werden die Empfängeradresse sowie technische Metadaten des Versands (Zeitstempel, Zustellstatus) an AWS SES übermittelt. Inhalte der E-Mails werden zum Zweck der Zustellung über AWS-Infrastruktur verarbeitet.

Anbieter: Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg (für EU-Kunden)
Serverstandort: EU-Region (Frankfurt)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (transaktionale E-Mails) / Art. 6 Abs. 1 lit. a DSGVO (Newsletter)
Datenschutzerklärung: aws.amazon.com/de/privacy

Newsletter-Mails enthalten stets einen Abmeldelink. Der Versand erfolgt ohne Einsatz externer Tracking-Pixel oder Öffnungsraten-Messung.

10. Zahlungsabwicklung

Die Abwicklung von Abonnementzahlungen erfolgt über Stripe. Dabei werden folgende Daten an Stripe übermittelt:

• Rechnungsadresse
• Zahlungsmittelinformationen (Kreditkartendaten, SEPA-Lastschriftdaten)
• Rechnungsbetrag und -datum
• E-Mail-Adresse des Kunden

Kreditkartendaten werden direkt bei Stripe eingegeben und nicht auf unseren Servern gespeichert. Stripe ist PCI-DSS-zertifiziert.

Anbieter: Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Drittlandübermittlung: Daten können an Stripe, Inc. (USA) übermittelt werden; Grundlage: Standardvertragsklauseln
Datenschutzerklärung: stripe.com/de/privacy

11. Weitergabe an Dritte / Auftragsverarbeiter

Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur in folgenden Fällen:

• Auftragsverarbeiter: Technische Dienstleister, die Daten ausschließlich auf unsere Weisung verarbeiten (s. Tabelle unten)
• Rechtliche Verpflichtung: Behördenanfragen mit nachgewiesener Rechtsgrundlage
• Einwilligung: Ausdrückliche Zustimmung Ihrerseits im Einzelfall

11.1 Übersicht der Auftragsverarbeiter

Mit allen Auftragsverarbeitern bestehen schriftliche Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO, die sicherstellen, dass Daten nur auf unsere Weisung verarbeitet werden.

12. Datenübermittlung in Drittländer

Einige der von uns eingesetzten Dienstleister haben ihren Sitz in den USA (Cloudflare, AWS, Stripe). Die Übermittlung personenbezogener Daten in diese Drittländer erfolgt auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO, insbesondere auf Basis von Standardvertragsklauseln (SCCs) der Europäischen Kommission.

Eine Kopie dieser Garantien kann auf Anfrage an [email protected] angefordert werden.

13. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

Nach Ablauf der jeweiligen Frist werden Daten automatisch gelöscht oder anonymisiert, sofern keine weitergehenden gesetzlichen Aufbewahrungspflichten entgegenstehen.

14. Datensicherheit

Wir ergreifen geeignete technische und organisatorische Maßnahmen zum Schutz Ihrer Daten vor Verlust, Manipulation und unberechtigtem Zugriff:

• Transportverschlüsselung: TLS/HTTPS für alle Datenübertragungen
• Ruhende Daten: Verschlüsselte Datenspeicherung auf den Servern
• Zugriffskontrollen: Rollenbasierte Berechtigungen, Zwei-Faktor-Authentifizierung für administrative Zugänge
• Netzwerksicherheit: Cloudflare-Schutz vor DDoS-Angriffen und Bot-Traffic; Infrastrukturzugang ausschließlich über Cloudflare Tunnel (kein direkter Internetzugang)
• Backup: Regelmäßige, verschlüsselte Datensicherungen
• Monitoring: Kontinuierliche Überwachung auf Sicherheitsvorfälle und Anomalien

Unsere Server befinden sich in Hetzner-Rechenzentren in Deutschland.

15. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Auskunft (Art. 15 DSGVO)

Sie können verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten, sowie Auskunft über Zweck, Kategorien, Empfänger, Speicherdauer und Herkunft der Daten.

Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unrichtige oder unvollständige Daten unverzüglich berichtigen zu lassen.

Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten oder überwiegenden Interessen entgegenstehen.

Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung verlangen, z. B. wenn Sie die Richtigkeit der Daten bestreiten oder der Verarbeitung widersprochen haben.

Datenübertragbarkeit (Art. 20 DSGVO)

Sie können verlangen, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten, um sie zu einem anderen Anbieter zu übertragen.

Widerspruch (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten jederzeit widersprechen, soweit diese auf einem berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO) beruht. Wir verarbeiten Ihre Daten dann nicht mehr, es sei denn, wir haben zwingende schutzwürdige Gründe.

Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die bisherige Verarbeitung dadurch unrechtmäßig wird.

Kontakt zur Ausübung Ihrer Rechte:
E-Mail: [email protected]
Wir bearbeiten Ihre Anfrage innerhalb von 30 Tagen.

16. Automatisierte Entscheidungen und Profiling

Wir führen keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO durch. Es findet kein Profiling statt.

17. Zuständige Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für unseren Unternehmenssitz zuständige Behörde ist:

Eine Liste aller EU-Datenschutzaufsichtsbehörden finden Sie unter: edpb.europa.eu