Datenschutzerklärung

1. Verantwortlicher

Student Capital Club e.V.

Friedrich-Ebert-Straße 30, 78054 Villingen-Schwenningen

E‑Mail: info@studentcapitalclub.de

Vertretungsberechtigter Vorstand: Moritz Altenberger (Vorstandsvorsitzender), Philemon Brandl (stellv. Vorstandsvorsitzender), Mehmet Arslan (Vorstand für Finanzen)

Datenschutzbeauftragter: nicht bestellt

2. Hosting und Server‑Logfiles

Unsere Website wird bei Widder-Consulting (Florian Widder, Hardenbergstr. 110, 47799 Krefeld) gehostet. Beim Aufruf der Website verarbeitet der Hoster automatisch Zugriffsdaten (z. B. IP‑Adresse, Datum/Uhrzeit, URL, Referrer, User‑Agent) in Server‑Logfiles, um die Stabilität und Sicherheit des Betriebs zu gewährleisten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und störungsfreiem Betrieb).

Speicherdauer: Logfiles werden 14 Tage gespeichert und danach gelöscht.

2.1 DNS und CDN-Dienste

Cloudflare DNS mit Proxy: Wir nutzen Cloudflare als DNS-Provider mit aktiviertem Proxy-Service. Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107, USA verarbeitet dabei folgende Daten:

• IP-Adressen der Website-Besucher (temporär für Routing)
• HTTP-Header und Metadaten
• Geografische Standortdaten (auf Länderebene)
• Browser- und Geräteinformationen

Zweck: Beschleunigung der Website, DDoS-Schutz, SSL/TLS-Terminierung und globale Content-Verteilung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer und schneller Website-Bereitstellung).

Datentransfer: Cloudflare verarbeitet Daten in Drittländern. Grundlage sind die EU-Standardvertragsklauseln (SCC) und zusätzliche Datenschutzmaßnahmen. Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO.

Speicherdauer: Cloudflare speichert Logdaten für maximal 24 Stunden, analytische Daten für bis zu 30 Tage.

2.2 Server PaaS Provider

Strato als Server PaaS Provider: Wir nutzen Strato AG, Pascalstraße 10, 10587 Berlin als Platform-as-a-Service Provider für unsere Server-Infrastruktur. Strato verarbeitet folgende Daten:

• Server-Zugriffsdaten und Logfiles
• System-Metriken und Performance-Daten
• Backup-Daten unserer Anwendungen
• Administrative Zugriffe und Wartungsdaten

Zweck: Bereitstellung und Wartung der Server-Infrastruktur, Datensicherung und technischer Support.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger Server-Infrastruktur).

Datentransfer: Strato verarbeitet Daten ausschließlich in Deutschland. Mit Strato besteht ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO.

Speicherdauer: Server-Logs werden 30 Tage gespeichert, Backup-Daten entsprechend unserer Backup-Strategie.

3. Cookies, lokale Speicher und Einwilligungen

Wir verwenden technisch notwendige Cookies/Storage‑Einträge zur Bereitstellung unserer Website. Nicht notwendige Cookies (z. B. für Reichweitenmessung/Marketing) setzen wir nur mit Ihrer Einwilligung. Diese Einwilligung können Sie jederzeit in unserem Consent‑Tool widerrufen.

Rechtsgrundlagen:

• Für den Zugriff auf Informationen in Ihrer Endeinrichtung: § 25 Abs. 1 TDDDG (Einwilligung) bzw. § 25 Abs. 2 TDDDG (technisch notwendig).
• Für anschließende Datenverarbeitung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), jeweils wie im Consent‑Tool ausgewiesen.

Consent‑Management‑Tool: Wir verwenden ein eigenes Consent-Management-System zur Verwaltung von Einwilligungen. Dieses System wird auf unseren eigenen Servern gehostet und verarbeitet keine Daten an Drittanbieter.

4. Kontaktaufnahme (E‑Mail/Formular)

Bei Kontaktaufnahme per E‑Mail oder Kontaktformular verarbeiten wir Ihre Angaben (Name, E‑Mail, Nachricht, ggf. weitere Felder) zur Bearbeitung Ihres Anliegens.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche/vertragliche Kommunikation) oder lit. f DSGVO (Vereinskommunikation).

Speicherdauer: Wir löschen Anfragen, sobald sie erledigt sind, spätestens nach 12 Monaten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5. Veranstaltungen, Mitgliedschaft und interne Verwaltung

Formulare/Prozesse: Kontaktformular, Mitgliedsantrag, Event‑Anmeldung, Warteliste sowie Bewerbungen (z. B. für interne Rollen). Dabei verarbeiten wir die jeweils erforderlichen Angaben (z. B. Name, Kontaktdaten, Studiengang, Zahlungsdaten bei Beiträgen).

Cloud‑Dienst / interne Ablage: Wir nutzen Google Drive innerhalb von Google Workspace, Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, USA). Es kann ein Datentransfer in Drittländer (insb. USA) erfolgen; Grundlage sind die EU‑Standardvertragsklauseln (SCC) und ggf. zusätzliche Maßnahmen. Mit Google besteht ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO.

Microsoft Teams: Für interne Kommunikation, Videokonferenzen und Datenspeicherung nutzen wir Microsoft Teams. Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland (Muttergesellschaft: Microsoft Corporation, USA). In Teams werden Chatverläufe, geteilte Dateien, Besprechungsaufzeichnungen und andere Kommunikationsdaten gespeichert. Es kann ein Datentransfer in Drittländer (insb. USA) erfolgen; Grundlage sind die EU‑Standardvertragsklauseln (SCC) und ggf. zusätzliche Maßnahmen. Mit Microsoft besteht ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO.

Wir verarbeiten Daten von Mitgliedern, Interessenten und Veranstaltungsteilnehmern (z. B. Name, Kontakt‑ und Zahlungsdaten) zur Durchführung der Mitgliedschaft, Organisation von Events (inkl. Anmeldungen, Wartelisten), Einzug von Beiträgen sowie zur internen Vereinsverwaltung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung der Satzung/Mitgliedschaft) und lit. f DSGVO (organisationale Interessen).

Speicherdauer: Nach Austritt/Teilnahme Beendigung löschen wir Daten, sobald keine Ansprüche mehr zu erwarten sind; gesetzliche Aufbewahrungsfristen bleiben unberührt.

6. Newsletter

Mit Ihrer Einwilligung senden wir Ihnen unseren Newsletter zu. Wir verwenden das Double‑Opt‑In‑Verfahren. Der Newsletter wird über unser eigenes E‑Mail‑System versendet, das auf unseren Servern gehostet wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO; § 7 UWG.

Widerruf: Jederzeit per Abmeldelink im Newsletter.

7. Webanalyse mit Matomo (Self-Hosted)

Wir verwenden Matomo zur Analyse der Nutzung unserer Website. Matomo wird von uns selbst gehostet und betrieben, wodurch alle Daten auf unseren eigenen Servern verbleiben.

7.1 Technische Details

Anbieter: Matomo (ehemals Piwik) - Open Source Webanalyse-Software

Hosting: Self-hosted auf unseren eigenen Servern

Serverstandort: Deutschland

Datenübertragung: Keine Übertragung an Drittanbieter

7.2 Erhobene Daten

Matomo erhebt folgende anonymisierte Daten:

• Besuchte Seiten und Verweildauer
• Verweisende Websites (Referrer)
• Browser und Betriebssystem
• Gekürzte IP-Adresse (letzte 2 Oktette werden entfernt)
• Ungefähre geografische Lage (auf Basis der gekürzten IP)
• Geräteinformationen (Desktop/Mobile)

7.3 Datenschutz-Features

Wir haben folgende datenschutzfreundliche Einstellungen aktiviert:

• IP-Anonymisierung: IP-Adressen werden automatisch gekürzt
• Keine Cookies: Matomo läuft im Cookie-freien Modus
• Opt-out verfügbar: Sie können der Datenerhebung widersprechen
• Lokale Speicherung: Alle Daten verbleiben auf unseren Servern

7.4 Rechtsgrundlage

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Website-Nutzung zur Verbesserung unseres Angebots)

Da wir Matomo ohne Cookies einsetzen und IP-Adressen anonymisieren, ist keine Einwilligung nach TDDDG erforderlich.

7.5 Speicherdauer

Die anonymisierten Daten werden für maximal 25 Monate gespeichert und danach automatisch gelöscht.

7.6 Widerspruchsmöglichkeit

Sie können der Datenerhebung durch Matomo jederzeit widersprechen. Nutzen Sie dafür den folgenden Opt-out-Link:

Matomo Opt-out:Hier klicken um Opt-out zu aktivieren

Alternativ können Sie uns unter datenschutz@studentcapitalclub.de kontaktieren.

8. Google Search Console

Wir nutzen Google Search Console zur Analyse der Suchmaschinen-Performance unserer Website. Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, USA).

8.1 Technische Details

Anbieter: Google Ireland Limited / Google LLC

Zweck: Analyse der Suchmaschinen-Performance und SEO-Optimierung

Datenübertragung: Übertragung an Google-Server in Drittländern (insbesondere USA) möglich

8.2 Erhobene Daten

Google Search Console erhebt folgende Daten:

• Suchanfragen, die zu unserer Website führen
• Klickraten und Impressionen in den Suchergebnissen
• Durchschnittliche Position in den Suchergebnissen
• Indexierungsstatus unserer Seiten
• Technische SEO-Probleme und Verbesserungsvorschläge
• Backlink-Informationen

8.3 Datenschutz-Features

Google Search Console arbeitet mit aggregierten, anonymisierten Daten:

• Keine personenbezogenen Daten: Es werden keine IP-Adressen oder persönlichen Informationen erfasst
• Aggregierte Daten: Nur zusammengefasste Statistiken werden angezeigt
• Website-spezifisch: Daten sind nur für unsere Domain verfügbar

8.4 Rechtsgrundlage

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung der Website-Performance in Suchmaschinen)

Da Google Search Console keine personenbezogenen Daten erhebt, ist keine Einwilligung nach TDDDG erforderlich.

8.5 Datentransfer und Speicherdauer

Datentransfer: Google verarbeitet Daten in Drittländern. Grundlage sind die EU-Standardvertragsklauseln (SCC) und zusätzliche Datenschutzmaßnahmen. Mit Google besteht ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO.

Speicherdauer: Google Search Console speichert Daten für maximal 16 Monate.

8.6 Widerspruchsmöglichkeit

Sie können der Nutzung von Google Search Console widersprechen, indem Sie uns unter datenschutz@studentcapitalclub.de kontaktieren. Wir werden dann die Verknüpfung mit Google Search Console entfernen.

9. Eingebettete Inhalte (YouTube, Karten, Social‑Plugins)

Wir binden externe Inhalte nur nach Ihrer Einwilligung (zwei‑Klick‑Lösung oder über das Consent‑Tool) ein. Beim Aktivieren können personenbezogene Daten (z. B. IP‑Adresse) an den jeweiligen Anbieter übertragen werden.

Beispiele:

• YouTube (Google Ireland Limited)
• OpenStreetMap Foundation
• Instagram / Meta Platforms Ireland Ltd.
• Google Maps Platform (Google Ireland Limited)

Rechtsgrundlage: § 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO.

10. Schriften und CDN

Externe Schriften/CDN: Bei Abruf von z. B. Google Fonts über CDN kann Ihre IP‑Adresse an den Anbieter übermittelt werden.

Rechtsgrundlage: Einwilligung über das Consent‑Tool oder berechtigtes Interesse (nur bei technischer Erforderlichkeit), je nach Implementierung.

11. Fotos und Videoaufnahmen bei Veranstaltungen

Wir fertigen bei Veranstaltungen ggf. Foto‑/Videoaufnahmen zur Berichterstattung über unsere Vereinsarbeit an (Website, Social Media). Vor Ort informieren wir hierüber gesondert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Öffentlichkeitsarbeit), ggf. Art. 6 Abs. 1 lit. a DSGVO bei Einzelfotos/Portraits.

Widerspruch: Sie können der Veröffentlichung widersprechen; nutzen Sie dafür die angegebenen Kontaktmöglichkeiten.

12. Empfänger, Auftragsverarbeitung, Drittlandübermittlungen

Zu unseren Dienstleistern zählen u. a.:

• Google Ireland Limited (Google Drive/Workspace, Google Search Console)
• Microsoft Ireland Operations Limited (Microsoft Teams)
• Cloudflare Inc. (DNS und CDN-Dienste)
• Strato AG (Server PaaS Provider)
• Widder-Consulting (Hosting)

Wir setzen Dienstleister (z. B. Hosting, DNS, CDN, E‑Mail‑Versand, Newsletter, Webanalyse) im Rahmen von Auftragsverarbeitungen gemäß Art. 28 DSGVO ein. Eine Übermittlung in Drittländer erfolgt nur bei Vorliegen der Art. 44 ff. DSGVO‑Voraussetzungen (z. B. Angemessenheitsbeschluss, Standardvertragsklauseln, ergänzende Maßnahmen). Konkrete Dienstleister und Rechtsgrundlagen sind im Consent‑Tool bzw. in dieser Erklärung benannt.

13. Speicherdauer

Sofern in dieser Erklärung nicht anders angegeben, verarbeiten wir personenbezogene Daten nur so lange, wie es zur jeweiligen Zweckerfüllung erforderlich ist bzw. gesetzliche Pflichten bestehen.

14. Ihre Rechte

Sie haben – im Rahmen der gesetzlichen Voraussetzungen – folgende Rechte: Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), Widerruf erteilter Einwilligungen (Art. 7 Abs. 3).

Zudem besteht ein Beschwerderecht bei einer Datenschutz‑Aufsichtsbehörde. Zuständig für uns ist in der Regel:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden‑Württemberg (LfDI BW)

Lautenschlagerstraße 20, 70173 Stuttgart

E‑Mail: poststelle@lfdi.bwl.de

15. Datensicherheit

Wir verwenden TLS‑Verschlüsselung (HTTPS) und treffen technische und organisatorische Maßnahmen, um Ihre Daten vor Verlust, Manipulation oder unbefugtem Zugriff zu schützen.

16. Änderungen dieser Datenschutzerklärung

Wir passen diese Erklärung an, wenn sich technische oder rechtliche Änderungen ergeben. Gültig ist die jeweils hier veröffentlichte Fassung.

Stand: 29.09.2025