Datenschutzerklärung

I. Einleitende Bestimmungen und Verantwortlichkeit

1. Präambel und Geltungsbereich

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als „Daten“ bezeichnet) wir zu welchen Zwecken und in welchem Umfang im Rahmen des Betriebs unseres Onlineangebots verarbeiten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Die Verarbeitung umfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten – wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art. 4 Nr. 2 DSGVO).

Diese Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, sowohl im Rahmen der Erbringung unserer Leistungen als auch insbesondere auf unserer Hauptwebseite https://obdachlosenwegweiser.org. Die Erklärung gilt ebenfalls für weitere externe Onlinepräsenzen, wie insbesondere unsere Social-Media-Profile (nachfolgend zusammenfassend bezeichnet als „Onlineangebot“).

Der Verantwortliche im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist die in Abschnitt I.2. genannte Stelle. Die in dieser Erklärung verwendeten Begriffe sind nicht geschlechtsspezifisch.

2. Name und Anschrift des Verantwortlichen

Der Verantwortliche für die Datenverarbeitung im Sinne der DSGVO ist:

Thorsten Neher
ehrenamtliches Projekt: Obdachlosenwegweiser – Gemeinsam Wege finden
Nazarethkirchstraße 39
13347 Berlin

  E-Mail: info@obdachlosenwegweiser.org
  Telefon: +49 (0) 30 940 505 16
  Impressum: https://obdachlosenwegweiser.org/impressum

3. Übersicht der Verarbeitungstätigkeiten

Um die Transparenz und Lesbarkeit dieser Erklärung zu erhöhen, wie es Art. 12 DSGVO fordert, folgt eine Übersicht der wesentlichen Verarbeitungstätigkeiten auf unserem Onlineangebot. Diese Tabelle dient als Wegweiser zu den detaillierten Erläuterungen in den nachfolgenden Abschnitten.

II. Allgemeine Hinweise zu Rechtsgrundlagen, Speicherdauer und Sicherheit

Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt stets auf einer gültigen Rechtsgrundlage. Die für unsere Verarbeitungstätigkeiten relevanten Rechtsgrundlagen der DSGVO sind:

• Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO): Sofern Sie uns eine Einwilligung zur Verarbeitung Ihrer Daten für einen oder mehrere bestimmte Zwecke erteilt haben (z. B. für Google Analytics, Speicherung über die Bearbeitung hinaus).
• Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b DSGVO): Wenn die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei Sie sind, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO): Soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir unterliegen (z. B. Dokumentation von Einwilligungen, Bearbeitung von DSGVO-Anfragen).
• Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO): Wenn die Verarbeitung zur Wahrung unserer berechtigten Interessen oder der eines Dritten erforderlich ist, sofern nicht Ihre Interessen oder Grundrechte und Grundfreiheiten überwiegen (z. B. Betrieb der Webseite, Hosting, allgemeine Kommunikation, Sicherheitsmaßnahmen).

Zusätzlich findet das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG), insbesondere § 25 Abs. 1 TDDDG, Anwendung für die Speicherung von Informationen in Ihrer Endeinrichtung oder den Zugriff auf bereits gespeicherte Informationen, wofür wir in der Regel Ihre Einwilligung einholen.

Speicherdauer und Löschung

Wir verarbeiten und speichern Ihre personenbezogenen Daten nur für den Zeitraum, der zur Erreichung des jeweiligen Speicherungszwecks erforderlich ist oder sofern dies durch gesetzliche Vorschriften vorgesehen wurde. Entfällt der Speicherungszweck oder läuft eine gesetzliche Speicherfrist ab, werden die personenbezogenen Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht. Die konkreten Speicherdauern sind jeweils in den einzelnen Verarbeitungsabschnitten dieser Erklärung angegeben und in unserem internen Löschkonzept dokumentiert.

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen (TOMs), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehört insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten. Eine wesentliche Maßnahme ist die durchgehende SSL/TLS-Verschlüsselung unseres Onlineangebots, erkennbar am „https://“ in der Adresszeile Ihres Browsers.

Unsere selbst betriebenen Server (physisch und virtuell) werden in den Räumlichkeiten des Verantwortlichen in Berlin betrieben. Der Zugang zu den Servern ist auf den Verantwortlichen und autorisierte Personen beschränkt. Es werden regelmäßige Sicherheitsupdates und Backups durchgeführt.

Übermittlung von Daten in Drittländer

Sofern wir Daten in einem Drittland (d. h. außerhalb der EU oder des EWR) verarbeiten oder die Verarbeitung im Rahmen der Inanspruchnahme von Diensten Dritter stattfindet, erfolgt dies nur im Einklang mit den gesetzlichen Vorgaben.

• Angemessenheitsbeschluss (Art. 45 DSGVO): Für Dienste von Anbietern aus den USA, die nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert sind, dient der entsprechende Angemessenheitsbeschluss der EU-Kommission als Rechtsgrundlage. Dies betrifft: Google LLC (für Google Analytics, YouTube, Gemini), Meta Platforms, Inc. (für Facebook, Instagram, WhatsApp), Adobe Inc. (für Firefly, Photoshop, Lightroom) sowie Microsoft Corp. (für Microsoft 365).
• Geeignete Garantien / Standardvertragsklauseln (Art. 46 DSGVO): Für Übermittlungen an Dienstleister in Drittländern, für die kein Angemessenheitsbeschluss vorliegt (insbesondere OpenAI für ChatGPT sowie Anthropic für Claude), stellen wir den Schutz Ihrer Daten durch den Abschluss von Standardvertragsklauseln (SVK) sicher. Diese von der EU-Kommission genehmigten Klauseln verpflichten den Empfänger zur Einhaltung eines Datenschutzniveaus, das dem der EU entspricht.
• Ausdrückliche Einwilligung (Art. 49 Abs. 1 lit. a DSGVO): Für unsere Präsenz bei Twitch (Anbieter: Twitch Interactive, Inc., USA) haben wir besondere Vorkehrungen getroffen, da der Anbieter nicht nach dem DPF zertifiziert ist und für die USA kein angemessenes Datenschutzniveau nach EU-Standards besteht. Anstatt direkt auf unser Twitch-Profil zu verlinken, führen Links auf unserer Webseite zunächst auf eine interne Hinweisseite. Auf dieser Seite klären wir Sie über die Risiken einer Datenübermittlung in die USA auf (z. B. möglicher Zugriff durch US-Behörden ohne wirksamen Rechtsschutz). Eine Weiterleitung zu Twitch und die damit verbundene Datenübermittlung finden erst statt, nachdem Sie durch einen aktiven Klick Ihre ausdrückliche und informierte Einwilligung erteilt haben.

III. Ihre Rechte als betroffene Person

Als von der Datenverarbeitung betroffene Person stehen Ihnen nach der DSGVO umfassende Rechte zu, die Ihnen die Kontrolle über Ihre personenbezogenen Daten ermöglichen sollen:

• Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende Daten verarbeitet werden. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Daten sowie auf weitere Informationen und eine Kopie der Daten entsprechend den gesetzlichen Vorgaben. Zur Erfüllung dieses Rechts stellen wir Ihnen auf Anfrage einen Auskunftsbericht als PDF-Dokument zur Verfügung.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
• Recht auf Löschung – „Recht auf Vergessenwerden“ (Art. 17 DSGVO): Sie haben nach Maßgabe der gesetzlichen Vorgaben das Recht, zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden. Bitte beachten Sie: Im Falle eines Löschantrags werden Ihre Daten umgehend aus unseren aktiven Systemen entfernt, jedoch nicht vollständig aus Sicherungsdateien, sofern dies technisch nicht sofort möglich ist. Wir werden Ihre Daten dann für keine weiteren Zwecke mehr verarbeiten und bei der nächsten Gelegenheit endgültig löschen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten gesetzlichen Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten verlangen. Dies bedeutet, dass die Daten zwar gespeichert, aber nur noch mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen verarbeitet werden dürfen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Sie betreffende Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu fordern.
• Widerspruchsrecht (Art. 21 DSGVO): Sofern die Verarbeitung Ihrer Daten auf unserem berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO) beruht, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Widerspruch einzulegen. Nach einem Widerspruch werden wir Ihre Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen (ausführlicher Hinweis oben).
• Widerrufsrecht bei Einwilligungen (Art. 7 Abs. 3 DSGVO): Haben Sie uns eine Einwilligung erteilt, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Zur Ausübung Ihrer Rechte können Sie sich jederzeit an den unter Abschnitt I.2. genannten Verantwortlichen wenden oder unser Formular für Betroffenenrechte nutzen.

IV. Datenverarbeitung im Detail: Allgemeiner Betrieb

1. Bereitstellung des Onlineangebots und Webhosting (Hetzner)

Für den sicheren, zuverlässigen und effizienten Betrieb unseres Onlineangebots nehmen wir Hosting-Leistungen der Hetzner Online GmbH in Anspruch. Von deren Servern wird unsere Webseite abgerufen und ausgeliefert. Dies stellt ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO dar, da wir so eine hohe Verfügbarkeit und professionelle Wartung gewährleisten können.

a) Erhebung von Zugriffsdaten und Server-Log-Dateien

Unser Hostinganbieter erhebt bei jedem Zugriff auf die Webseite automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser automatisch übermittelt:

• Browsertyp und Browserversion
• Verwendetes Betriebssystem
• Referrer-URL (die zuvor besuchte Seite)
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage
• IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht an der technisch fehlerfreien Darstellung, der Optimierung und der Sicherheit unserer Webseite. Eine Auswertung zu Marketingzwecken findet nicht statt.

b) Hosting bei der Hetzner Online GmbH

Unsere gesamte Webpräsenz wird bei der Hetzner Online GmbH gehostet. Auch der E-Mail-Versand und -Empfang erfolgt über die Mailserver von Hetzner.

• Dienstanbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
• Datenschutzerklärung: https://www.hetzner.com/de/legal/privacy-policy/
• Auftragsverarbeitung: Wir haben mit Hetzner einen Vertrag über Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen. Dieser Vertrag gewährleistet, dass die personenbezogenen Daten unserer Webseitenbesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet werden.
• Speicherdauer der Log-Dateien: Logfile-Informationen werden bei Hetzner aus Sicherheitsgründen für eine Dauer von maximal 14 Tagen gespeichert. Die IP-Adressen werden dabei anonymisiert, sodass ein direkter Personenbezug nicht mehr herstellbar ist.
• E-Mail-Versand und -Hosting: Die Hosting-Leistungen umfassen ebenfalls den Versand, den Empfang sowie die Speicherung von E-Mails über die Server der Hetzner GmbH. Zu diesen Zwecken werden die Adressen der Empfänger sowie Absender, weitere Informationen betreffend den E-Mail-Versand (z. B. die beteiligten Provider) sowie die Inhalte der jeweiligen E-Mails verarbeitet. Die Logdateien des Mailservers enthalten keine Inhalte der E-Mails, sondern nur Verbindungsdaten, und werden für 14 Tage aufbewahrt. Wir weisen darauf hin, dass E-Mails im Internet grundsätzlich nicht Ende-zu-Ende-verschlüsselt versendet werden. Im Regelfall werden E-Mails zwar auf dem Transportweg verschlüsselt, aber nicht auf den Servern, von denen sie abgesendet und empfangen werden.

2. Einsatz von Cookies und Einwilligungsmanagement mit Complianz

Unsere Webseite verwendet sogenannte „Cookies“. Cookies sind kleine Datenpakete, die auf Ihrem Endgerät gespeichert werden. Sie können entweder vorübergehend für die Dauer einer Sitzung (Session-Cookies) oder dauerhaft (permanente Cookies) gespeichert werden. Session-Cookies werden nach Ende Ihres Besuchs automatisch gelöscht, während permanente Cookies gespeichert bleiben, bis Sie diese selbst löschen oder eine automatische Löschung durch Ihren Webbrowser erfolgt. Cookies können von uns (First-Party-Cookies) oder von Drittunternehmen stammen (Third-Party-Cookies).

Einwilligungsmanagement mit Complianz: Um die gesetzlich vorgeschriebenen Einwilligungen für den Einsatz von Cookies und ähnlichen Technologien einzuholen und zu dokumentieren, nutzen wir die Consent-Technologie „Complianz | GDPR/CCPA Cookie Consent“. Anbieter ist die Complianz B.V., Atoomweg 6b, 9743 AK Groningen, Niederlande. Wenn Sie unsere Webseite betreten, wird über ein Cookie-Banner Ihre Einwilligung abgefragt. Complianz speichert dann ein technisch notwendiges Cookie in Ihrem Browser, um Ihre getroffenen Entscheidungen (Einwilligung oder Ablehnung) zu speichern. Speicherdauer des Einwilligungs-Cookies: 365 Tage. Nach Ablauf dieser Frist wird Ihre Einwilligung erneut abgefragt.

Rechtsgrundlagen: Die Speicherung und der Zugriff auf Informationen, die technisch nicht zwingend erforderlich sind, erfolgen ausschließlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Die Speicherung des Complianz-Cookies zur Dokumentation Ihrer Einwilligung erfolgt zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO.

Widerruf und Verwaltung: Sie können eine einmal erteilte Einwilligung jederzeit widerrufen. Ihre Cookie-Einstellungen können Sie jederzeit über den Link „Cookie-Richtlinie (EU)“ in der Fußzeile der Webseite einsehen und anpassen.

3. E-Mail-Versand über WP Mail SMTP

Zur zuverlässigen Zustellung von Formular-Bestätigungen und anderen automatisierten E-Mails (z. B. nach dem Absenden des Hilfe-Anfrageformulars oder des DSGVO-Formulars) nutzen wir das WordPress-Plugin WP Mail SMTP. Dieses Plugin leitet alle ausgehenden E-Mails über unseren bei Hetzner gehosteten SMTP-Server weiter, anstatt die PHP-Mail-Funktion von WordPress zu verwenden. Auf diese Weise wird eine zuverlässige Zustellung und eine korrekte Absenderauthentifizierung (SPF, DKIM) sichergestellt, um zu verhindern, dass E-Mails als Spam eingestuft werden.

Durch diese Konfiguration werden keine Daten an externe Drittanbieter übermittelt – der Versand erfolgt ausschließlich über unsere eigene Infrastruktur bei Hetzner. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger Kommunikation). Es werden keine zusätzlichen personenbezogenen Daten durch das Plugin selbst erhoben oder gespeichert.

V. Datenverarbeitung im Verwaltungs‑, Kommunikations‑ und Einwilligungssystem (CiviCRM)

Für die Verwaltung unserer Kontakte (z. B. Personen, die uns Anfragen senden, Unterstützung suchen oder ihre Betroffenenrechte geltend machen), die Organisation unserer Projektarbeit sowie für die technische Durchführung und rechtssichere Dokumentation des gesamten Kommunikations‑ und Einwilligungsprozesses nutzen wir das selbst gehostete Open-Source-System CiviCRM. Dieses System ist das zentrale Werkzeug unserer datenschutzkonformen Verwaltung. Die CiviCRM-Installation läuft auf einem eigenen physischen Server in den Räumlichkeiten des Verantwortlichen (Berlin). Der Zugriff auf die Daten ist ausschließlich dem Verantwortlichen und autorisierten ehrenamtlichen Mitarbeitern vorbehalten. Es findet keine Datenweitergabe an Dritte statt.

a) DSGVO-Anfrageformular (Auskunft, Berichtigung, Löschung, Widerspruch, Datenübertragbarkeit)

Über unser spezielles Formular für Betroffenenrechte (erreichbar unter https://obdachlosenwegweiser.org/datenschutz-anfrage) können Sie alle Ihnen nach der DSGVO zustehenden Rechte geltend machen: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Widerspruch (Art. 21) sowie Datenübertragbarkeit (Art. 20).

Die von Ihnen eingegebenen Daten (Name, E-Mail-Adresse, Art des Rechtsanspruchs, ggf. weitere Angaben sowie Ihre Pflichtbestätigungen) werden zunächst per E-Mail an info@obdachlosenwegweiser.org übermittelt und anschließend zur Bearbeitung und rechtssicheren Dokumentation in CiviCRM erfasst. Zur Erfüllung unserer Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO werden zudem technische Metadaten wie Ihre IP-Adresse und der Zeitpunkt der Übermittlung protokolliert. Das Formular ist durch einen CSRF-Sicherheitstoken (WordPress-Nonce) sowie einen Honeypot-Spamschutz abgesichert – beide Maßnahmen erheben keine zusätzlichen personenbezogenen Daten. Zur eindeutigen Identitätsfeststellung werden Ihr Name und Ihre E-Mail-Adresse mit dem in CiviCRM hinterlegten Datensatz abgeglichen; Auskünfte werden ausschließlich an die bereits bei uns verifizierte E-Mail-Adresse versandt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) und lit. f DSGVO (berechtigtes Interesse an der ordnungsgemäßen und nachweisbaren Bearbeitung von Betroffenenanfragen). Speicherdauer: Die Daten werden für die Dauer von 3 Jahren nach Abschluss der Bearbeitung aufbewahrt, um die ordnungsgemäße Erfüllung der rechtlichen Verpflichtung nachweisen zu können, und anschließend gelöscht.

b) Hilfe-Anfrageformular für individuelle Unterstützungssuche

Wenn Sie über unser Hilfe-Formular (erreichbar unter https://obdachlosenwegweiser.org/hilfsanfrage-stellen) Unterstützung suchen, erfassen wir Ihren Namen, Ihre E-Mail-Adresse, Ihren Ort und die Beschreibung Ihres Anliegens. Zusätzlich fragen wir Ihre Einwilligung zur Datenschutzerklärung ab und bieten Ihnen die Wahl, ob Ihre Daten (Name, E-Mail-Adresse und Verlauf der Anfragen) nach Abschluss der Bearbeitung in unserem CRM gespeichert bleiben dürfen (Option „Ja“) oder gelöscht werden sollen (Option „Nein“).

Die über das Formular übermittelten Daten werden zunächst per E-Mail an info@obdachlosenwegweiser.org gesandt und anschließend in CiviCRM als Fall („Hilfsanfrage“) gespeichert. Dabei werden auch IP-Adresse und Zeitstempel der Übermittlung zur internen Dokumentation protokolliert. Das Formular ist durch einen CSRF-Sicherheitstoken (WordPress-Nonce) sowie einen Honeypot-Spamschutz abgesichert. Die von Ihnen getroffene Wahl zur Datenspeicherung wird in einem benutzerdefinierten Feld in CiviCRM dokumentiert und entsprechend umgesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie lit. f DSGVO (berechtigtes Interesse an der Hilfeleistung). Speicherdauer: Bei Wahl „Nein“ werden die Daten unmittelbar nach Abschluss der Bearbeitung gelöscht. Bei Wahl „Ja“ verbleiben die Daten bis zu einem Widerruf Ihrer Einwilligung, maximal jedoch für 3 Jahre nach der letzten Kontaktaufnahme, und werden dann gelöscht.

c) Allgemeine Anfragen und Kommunikation

Wenn Sie uns per E-Mail (info@obdachlosenwegweiser.org) oder über WhatsApp kontaktieren, werden Ihre Nachrichten sowie die darin enthaltenen personenbezogenen Daten (insbesondere Name, E-Mail-Adresse, Telefonnummer und Inhalt der Nachricht) in CiviCRM gespeichert. Dies dient der Bearbeitung Ihrer Anfrage und der Dokumentation der Kommunikation. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effektiver Kommunikation und Projektverwaltung). Speicherdauer: Die Daten werden für die Dauer von 2 Jahren nach dem letzten Kontakt gespeichert und anschließend gelöscht, sofern kein anderer Löschgrund früher eintritt.

VI. Webanalyse mit Google Analytics

Auf unserer Webseite setzen wir Google Analytics ein, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“). Die Nutzung erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG, die Sie über unser Cookie-Banner erteilen können.

Google Analytics verwendet Cookies, die eine Analyse der Benutzung unserer Webseite ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Webseite werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Da Google LLC (Mutterkonzern von Google Ireland Limited) nach dem EU‑U.S. Data Privacy Framework (DPF) zertifiziert ist, besteht ein Angemessenheitsbeschluss der EU‑Kommission für die Datenübermittlung in die USA (Art. 45 DSGVO).

Wir haben auf unserer Webseite die IP‑Anonymisierung aktiviert, sodass Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA gekürzt wird. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Google wird diese Informationen in unserem Auftrag verwenden, um Ihre Nutzung der Webseite auszuwerten, um Reports über die Webseitenaktivitäten zusammenzustellen und um weitere mit der Webseitennutzung verbundene Dienstleistungen gegenüber uns zu erbringen. Speicherdauer: Die durch Google Analytics gesetzten Cookies werden nach 24 Monaten automatisch gelöscht. Die in Google Analytics gespeicherten Nutzungsdaten werden nach 14 Monaten automatisch gelöscht.

Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Cookie-Einstellungen über den Link „Cookie-Richtlinie (EU)“ in der Fußzeile der Webseite anpassen.

Weitere Informationen zum Datenschutz bei Google finden Sie unter: https://policies.google.com/privacy?hl=de

VII. Gemeinsame Dienste und externe Präsenzen

1. Einbindung von YouTube-Videos

Wir binden auf unseren Webseiten Videos der Plattform „YouTube“ des Anbieters Google Ireland Limited ein. Die Einbindung erfolgt im „erweiterten Datenschutzmodus“ (über die Domain youtube‑nocookie.com). Dies hat zur Folge, dass von YouTube keine Cookies über Sie gespeichert werden, solange Sie das Video nicht abspielen. Erst mit dem Klick auf das Video wird eine Verbindung zu den YouTube-Servern hergestellt und dabei Ihre IP-Adresse übermittelt. Wenn Sie bei YouTube eingeloggt sind, kann YouTube diese Information Ihrem Benutzerkonto zuordnen. Die Datenverarbeitung beim Abspielen des Videos erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die Sie über unser Cookie‑Banner erteilen.

2. Social-Media-Präsenzen

Wir unterhalten Onlinepräsenzen innerhalb sozialer Netzwerke und Plattformen, um mit den dort aktiven Nutzern zu kommunizieren und über unsere Angebote zu informieren. Wir betreiben Profile auf folgenden Plattformen:

• Facebook: Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland
• Instagram: Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland
• WhatsApp Business: WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland (Teil der Meta-Unternehmensgruppe)
• Twitch: Twitch Interactive, Inc., 350 Bush Street, 2nd Floor, San Francisco, CA 94104, USA
• YouTube: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Im Rahmen unseres Projekts „Die Stimme der Straße“ veröffentlichen wir auf diesen Kanälen Videoinhalte, wie z. B. Interviews mit Betroffenen oder Berichte von Veranstaltungen. Eine solche Veröffentlichung erfolgt ausnahmslos nur nach Einholung einer vorherigen, ausdrücklichen und dokumentierten Einwilligung der beteiligten Personen. Die Teilnehmenden werden dabei umfassend über den Zweck, die Veröffentlichungskanäle und ihre Rechte – insbesondere das Recht auf jederzeitigen Widerruf ihrer Einwilligung – aufgeklärt.

Umfang der Datenverarbeitung: Beim Aufruf der jeweiligen Netzwerke und Plattformen gelten die Geschäftsbedingungen und die Datenverarbeitungsrichtlinien deren jeweiligen Betreiber. Wir haben keinen Einfluss auf die Datenerhebung und deren weitere Verwendung durch die sozialen Netzwerke.

Gemeinsame Verantwortlichkeit: Für unsere Facebook- und Instagram-Seiten besteht eine gemeinsame Verantwortlichkeit mit Meta Platforms Ireland Limited gemäß Art. 26 DSGVO hinsichtlich der Erhebung von statistischen Daten („Insights-Daten“).

Rechtsgrundlage: Die Datenverarbeitung im Rahmen unserer Social-Media-Präsenzen erfolgt auf Grundlage unserer berechtigten Interessen an einer vielfältigen Außendarstellung und einer effektiven Informations- und Kommunikationsmöglichkeit gemäß Art. 6 Abs. 1 lit. f DSGVO. Die spezielle Vorgehensweise bei der Verlinkung zu Twitch ist unter Abschnitt II. erläutert.

Datenschutzinformationen der Anbieter:

• Facebook: https://www.facebook.com/privacy/policy/
• Instagram: https://help.instagram.com/155833707900388
• WhatsApp: https://www.whatsapp.com/legal/privacy-policy-eea
• Twitch: https://www.twitch.tv/p/de-de/legal/privacy-notice/
• YouTube: https://policies.google.com/privacy?hl=de

3. Kommunikation über WhatsApp Business

Wir bieten Ihnen die Möglichkeit, mit uns über unser WhatsApp-Business-Konto zu kommunizieren. Wenn Sie diesen Kommunikationsweg nutzen (z. B. über den auf unserer Webseite bereitgestellten WhatsApp-Link), verarbeiten wir die folgenden Daten:

• Ihre bei WhatsApp hinterlegte Mobilfunknummer und ggf. Ihren Profilnamen,
• Inhalte der Nachrichten, die Sie uns senden (einschließlich etwaiger Anhänge),
• technische Metadaten der Kommunikation (z. B. Datum und Uhrzeit der Nachrichten, Zustell- und Lesebestätigungen).

Zweck und Rechtsgrundlage: Die Verarbeitung erfolgt zum Zweck der Bearbeitung Ihrer Anfrage und der weiteren Kommunikation mit Ihnen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten und nutzerfreundlichen Kommunikation). Speicherdauer: Kommunikationsinhalte aus WhatsApp werden nach Abschluss der Bearbeitung für maximal 2 Jahre in CiviCRM gespeichert und danach gelöscht.

Verarbeitung durch WhatsApp: WhatsApp Ireland Limited verarbeitet bei Nutzung des Dienstes eigene Daten als Verantwortlicher, u. a. zu Sicherheits- und Servicezwecken. Hierbei kann es auch zu einer Übermittlung von Daten an Unternehmen der Meta-Gruppe in Drittländern (insbesondere die USA) kommen. Auf diese Verarbeitung haben wir keinen Einfluss. Maßgeblich sind insoweit die Nutzungs- und Datenschutzbestimmungen von WhatsApp.

Freiwilligkeit der Nutzung: Die Nutzung von WhatsApp ist vollständig freiwillig. Sie können uns jederzeit alternativ über Telefon, E-Mail oder unser Kontaktformular erreichen.

VIII. Einsatz von Künstlicher Intelligenz (KI)

Im Rahmen unserer Projektarbeit setzen wir zur Unterstützung bei der Erstellung und Überarbeitung von Inhalten sowie zur Effizienzsteigerung bei internen Prozessen Dienste der künstlichen Intelligenz (KI) ein. Wir verpflichten uns zu einem verantwortungsvollen und transparenten Umgang mit diesen Technologien im Einklang mit den datenschutzrechtlichen Vorgaben.

a) Genutzte Dienste und Zwecke

Wir nutzen die folgenden KI-basierten Modelle zur Unterstützung unserer redaktionellen und administrativen Arbeit:

• ChatGPT des Anbieters OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA.
• Gemini und Veo des Anbieters Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Mutterkonzern: Google LLC, USA).
• Claude (Claude Pro) des Anbieters Anthropic, PBC, 548 Market St., PMB 90375, San Francisco, CA 94104, USA.
• Adobe Firefly des Anbieters Adobe Systems Software Ireland Limited, 4‑6 Riverwalk, Citywest Business Campus, Dublin 24, Irland (Mutterkonzern: Adobe Inc., USA).

Diese Dienste werden beispielsweise genutzt, um Entwürfe für redaktionelle Beiträge zu erstellen, Texte zu formulieren oder zusammenzufassen, Bilder für unser Onlineangebot zu generieren (Adobe Firefly), Videos zu erstellen (Veo), HTML-Code für unsere Webseite zu entwickeln (Claude) und interne Dokumentationen zu unterstützen.

b) Grundsätze der Datenverarbeitung und Rechtsgrundlage

Unser oberster Grundsatz bei der Nutzung von KI ist, dass keine personenbezogenen Daten von Besuchern unserer Webseite, von Ansprechpartnern der Hilfseinrichtungen oder von anderen betroffenen Personen in diese Systeme eingegeben werden. Die Nutzung beschränkt sich auf die Verarbeitung allgemeiner, nicht-personenbezogener Informationen und projektspezifischer Anfragen zur Texterstellung und technischen Entwicklung.

Die Rechtsgrundlage für den Einsatz dieser unterstützenden Werkzeuge ist unser berechtigtes Interesse an einer effizienten und ressourcenschonenden Durchführung unserer ehrenamtlichen Projektarbeit gemäß Art. 6 Abs. 1 lit. f DSGVO. Da wir keine personenbezogenen Daten betroffener Personen eingeben, entsteht hieraus kein erhöhtes Datenschutzrisiko für Webseitenbesucher oder Anfragesteller.

c) Datenübermittlung in Drittländer

Die Nutzung dieser Dienste kann eine Übermittlung von Daten in die USA beinhalten. Um ein angemessenes Datenschutzniveau zu gewährleisten, stützen wir uns auf folgende Grundlagen:

• Google (Gemini, Veo) und Adobe (Firefly): Die Mutterkonzerne Google LLC und Adobe Inc. sind nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert, wodurch ein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO für die Datenübermittlung besteht.
• OpenAI (ChatGPT) und Anthropic (Claude): Weder OpenAI noch Anthropic sind nach dem DPF zertifiziert. Die Datenübermittlung in die USA wird daher jeweils durch den Abschluss von Standardvertragsklauseln (SVK) gemäß Art. 46 DSGVO abgesichert.

Weitere Informationen zum Datenschutz bei den jeweiligen Anbietern:

• OpenAI: https://openai.com/policies/privacy-policy
• Google: https://policies.google.com/privacy?hl=de
• Anthropic: https://www.anthropic.com/privacy
• Adobe: https://www.adobe.com/de/privacy/policy.html

IX. Technische Umsetzung und datenschutzfreundliche Konfiguration

1. Genutzte Software und Systeme

Unser Onlineangebot setzt sich aus verschiedenen technischen Systemen zusammen:

• obdachlosenwegweiser.org (WordPress): Diese Webseite wird mit dem Content-Management-System WordPress betrieben. Folgende Plugins sind installiert: Complianz (Cookie-Einwilligung), WP Mail SMTP (E-Mail-Versand), Yoast SEO (Suchmaschinenoptimierung), AyeCode Connect, BlockStrap Page Builder Blocks (Seitengestaltung), Disable Emojis (datenschutzfreundliche Konfiguration) sowie Really Simple Security (Sicherheit).
• CiviCRM (Standalone): Die CiviCRM-Installation wird auf einem eigenen physischen Server in den Räumlichkeiten des Verantwortlichen in Berlin betrieben. Auf diesem Server läuft Proxmox als Virtualisierungsumgebung, in der eine VM mit CloudPanel und CiviCRM Standalone betrieben wird. Der Zugriff ist auf den Verantwortlichen und autorisierte Personen beschränkt. Es werden regelmäßig Backups erstellt und die Systeme aktuell gehalten. Alle Daten verbleiben ausschließlich auf unseren eigenen Systemen und werden nicht an externe Cloud-Dienste weitergegeben.
• Google Search Console: Wir nutzen die Google Search Console zur Überwachung und Optimierung der Indexierung unserer Webseite in der Google-Suche. Dabei werden keine personenbezogenen Daten von Webseitenbesuchern an Google übermittelt; die Search Console verarbeitet aggregierte Suchdaten auf Seiten Googles.
• Adobe Photoshop und Lightroom (Adobe Inc., DPF-zertifiziert): Lokale Bildbearbeitungssoftware zur Aufbereitung von Medieninhalten. Eine Übermittlung personenbezogener Daten findet dabei nicht statt.
• DaVinci Resolve Studio (Blackmagic Design): Lokale Videoschnittsoftware für das Projekt „Die Stimme der Straße“. Keine Online-Datenübertragung personenbezogener Daten.
• Microsoft 365 Single (Microsoft Corp., DPF-zertifiziert): Genutzt für interne Dokumentenverwaltung und Projektorganisation. Angemessenheitsbeschluss gemäß Art. 45 DSGVO (DPF-Zertifizierung).

2. Sicherheitsmaßnahmen

Really Simple Security: Zum Schutz unserer Webseite vor unbefugten Zugriffen und Angriffen setzen wir das WordPress-Plugin „Really Simple Security“ ein, das unter anderem die IP-Adressen der Besucher prüft, um schädliche Aktivitäten zu erkennen und zu blockieren (z. B. Brute-Force-Angriffe). Diese Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO.

CSRF-Schutz (WordPress-Nonce)

Unsere Webformulare (Hilfe-Anfrageformular und DSGVO-Anfrageformular) sind mit einem einmaligen, serverseitig erzeugten und geprüften Sicherheitstoken (WordPress-Nonce) gegen Cross-Site-Request-Forgery-Angriffe (CSRF) abgesichert. Dieser Token wird bei jedem Seitenaufruf neu generiert und läuft nach spätestens 24 Stunden ab. Er erhöht die Sicherheit der Formulare, ohne dass dadurch zusätzliche personenbezogene Daten erhoben werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Spamschutz für Webformulare (Honeypot)

Zum Schutz unserer Webformulare vor automatisiertem Missbrauch und Spam setzen wir eine sogenannte „Honeypot“-Technik ein. Hierbei wird ein für menschliche Nutzer unsichtbares Feld in das Formular eingefügt. Automatisierte Bots füllen dieses Feld in der Regel aus, was uns ermöglicht, die Anfrage als Spam zu identifizieren und zu verwerfen, bevor eine weitere serverseitige Verarbeitung stattfindet. Diese Methode verarbeitet keine personenbezogenen Daten für den Spam-Schutz selbst – es werden z. B. keine Cookies gesetzt oder IP-Adressen analysiert. Die Rechtsgrundlage ist unser berechtigtes Interesse am Schutz unserer Systeme vor Spam gemäß Art. 6 Abs. 1 lit. f DSGVO.

3. Suchmaschinenoptimierung und Design

Yoast SEO: Wir nutzen das Plugin „Yoast SEO“, um unsere Webseite für Suchmaschinen zu optimieren. Dieses Plugin verarbeitet keine personenbezogenen Daten von Ihnen als Besucher. Alle Analysen und Optimierungen finden lokal auf unserem Server statt.

BlockStrap Page Builder Blocks: Für die Gestaltung unserer Seiten nutzen wir das WordPress-Plugin BlockStrap. Dieses Plugin lädt keine externen Ressourcen und überträgt keine Daten an Dritte.

Schriftarten (System-Fonts): Unsere Webseite verwendet ausschließlich systemseitig vorhandene Schriftarten (System-Font-Stack: -apple-system, BlinkMacSystemFont, Segoe UI, system-ui, sans-serif). Es werden keine Schriftarten von externen Anbietern wie Google Fonts nachgeladen; es findet daher keinerlei Verbindung zu externen Servern zu diesem Zweck statt.

Font Awesome (lokal gehostet): Auf unserer Webseite werden Icons der Bibliothek „Font Awesome“ eingesetzt. Die Bibliothek ist vollständig lokal auf unserem eigenen Server gehostet. Es findet keine Verbindung zu externen Font-Awesome-Servern (z. B. kit.fontawesome.com oder cdnjs.cloudflare.com) statt. Durch das lokale Hosting entstehen für Sie keinerlei Datenübertragungen an Dritte durch das Laden dieser Icons.

4. Deaktivierung von WordPress-Core-Funktionen zum Datenschutz

Um unnötige Datenübertragungen zu vermeiden und die Privatsphäre unserer Nutzer bestmöglich zu schützen, haben wir auf unserer WordPress-Installation folgende Standard-Funktionen bewusst deaktiviert:

• Gravatar deaktiviert: Die Anzeige von „Avataren“ ist global deaktiviert. Dadurch findet keine Verbindung zu den Servern des Dienstes Gravatar (USA) statt, um Profilbilder zu laden.
• Emojis deaktiviert (Plugin „Disable Emojis“): Das Nachladen von Emoji-Skripten von externen WordPress.org-Servern wurde unterbunden. Moderne Browser stellen Emojis ohne diese zusätzliche externe Anfrage dar.

X. Schlussbestimmungen

1. Zuständige Aufsichtsbehörde

Für uns zuständige Aufsichtsbehörde für den Datenschutz ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59–61
10555 Berlin
Telefon: 030 / 138 89-0
E-Mail: mailbox@datenschutz-berlin.de
Homepage: https://www.datenschutz-berlin.de

2. Änderung und Aktualisierung der Datenschutzerklärung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z. B. eine erneute Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.

XI. Kontakt für Betroffenenrechte