Datenschutzerklärung

I. Einleitende Bestimmungen und Verantwortlichkeit

1. Präambel und Geltungsbereich

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als „Daten“ bezeichnet) wir zu welchen Zwecken und in welchem Umfang im Rahmen des Betriebs unseres Onlineangebots verarbeiten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Die Verarbeitung umfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art. 4 Nr. 2 DSGVO).

Diese Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, sowohl im Rahmen der Erbringung unserer Leistungen als auch insbesondere auf den folgenden Webseiten, die zu unserem Onlineangebot gehören:

• Hauptwebseite: https://obdachlosenwegweiser.org

Die Erklärung gilt ebenfalls für weitere externe Onlinepräsenzen, wie z. B. unsere Social-Media-Profile (nachfolgend zusammenfassend bezeichnet als „Onlineangebot“).

Der Verantwortliche im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist die in Abschnitt I.2. genannte Stelle. Die in dieser Erklärung verwendeten Begriffe sind nicht geschlechtsspezifisch.

Stand: 13. März 2026

Version der Datenschutzerklärung: v1.0-2026

2. Name und Anschrift des Verantwortlichen

Der Verantwortliche für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Thorsten Neher
ehrenamtliches Projekt: Obdachlosenwegweiser – Gemeinsam Wege finden
Nazarethkirchstraße 39
13347 Berlin
E-Mail: info@obdachlosenwegweiser.org
Telefon: +49 (0) 30 940 505 16
Impressum: https://obdachlosenwegweiser.org/impressum

3. Übersicht der Verarbeitungstätigkeiten

Um die Transparenz und Lesbarkeit dieser Erklärung zu erhöhen, wie es Art. 12 DSGVO fordert, folgt eine Übersicht der wesentlichen Verarbeitungstätigkeiten auf unserem Onlineangebot. Diese Tabelle dient als Wegweiser zu den detaillierten Erläuterungen in den nachfolgenden Abschnitten.

Verarbeitungstätigkeit	Datenkategorien	Zweck der Verarbeitung	Rechtsgrundlage (DSGVO)
Allgemeiner Betrieb (Hauptdomain)
Bereitstellung der Webseite (Hosting)	Nutzungsdaten (IP-Adresse), Meta-/Kommunikationsdaten, Server-Logfiles	Systemsicherheit, fehlerfreie Darstellung und Auslieferung der Webseite	Art. 6 Abs. 1 lit. f
E-Mail-Versand	Kontaktdaten, Inhaltsdaten, Meta-/Kommunikationsdaten	Sichere und zuverlässige Kommunikation per E-Mail	Art. 6 Abs. 1 lit. f
Einwilligungsmanagement (Complianz)	Nutzungsdaten (Einwilligungsstatus)	Einholung und Dokumentation gesetzlich erforderlicher Einwilligungen	Art. 6 Abs. 1 lit. c
Interne Verwaltung & Projektmanagement (CiviCRM)
DSGVO-Anfrageformular (Auskunft, Berichtigung, Löschung)	Name, E-Mail, Art des Anspruchs, Nachricht, Bestätigungen, IP-Adresse, Zeitstempel	Bearbeitung von Betroffenenanfragen gemäß DSGVO	Art. 6 Abs. 1 lit. c, lit. f
Hilfe-Anfrageformular für individuelle Unterstützung	Name, E-Mail, Ort, Anliegen, Datenschutzeinwilligung, Wahl zur Datenspeicherung (ja/nein), IP-Adresse, Zeitstempel	Individuelle Recherche und Vermittlung von Hilfsangeboten	Art. 6 Abs. 1 lit. a, lit. f
Allgemeine Anfragen und Kommunikation (E-Mail, WhatsApp)	Kontaktdaten, Inhaltsdaten, ggf. Kommunikationsinhalte	Beantwortung von Anfragen, Dokumentation der Projektarbeit	Art. 6 Abs. 1 lit. f
Interne Projektkoordination (HumHub)
Internes Intranet für ehrenamtliche Mitarbeiter	Bestandsdaten (Name, Profilbild), Kontaktdaten, Inhaltsdaten (Beiträge, Kommentare)	Kommunikation und Organisation im Team	Art. 6 Abs. 1 lit. f
Webanalyse
Google Analytics	anonymisierte IP, Cookie-Daten, Gerätedaten, Nutzungsverhalten	Statistische Analyse zur Verbesserung und Reichweitenmessung	Art. 6 Abs. 1 lit. a
Externe Dienste & Social Media
YouTube (erweiterter Datenschutzmodus)	IP-Adresse bei Videowiedergabe	Bereitstellung von Videoinhalten	Art. 6 Abs. 1 lit. a
Social-Media-Präsenzen (Facebook, Instagram, WhatsApp, Twitch, YouTube)	Nutzungsdaten, Kommunikationsdaten, ggf. Profilbild	Öffentlichkeitsarbeit, Kommunikation	Art. 6 Abs. 1 lit. f, Art. 49 Abs. 1 lit. a (Twitch)

II. Allgemeine Hinweise zu Rechtsgrundlagen, Speicherdauer und Sicherheit

Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt stets auf einer gültigen Rechtsgrundlage. Die für unsere Verarbeitungstätigkeiten relevanten Rechtsgrundlagen der Datenschutz-Grundverordnung (DSGVO) sind:

• Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO): Sofern Sie uns eine Einwilligung zur Verarbeitung Ihrer Daten für einen oder mehrere bestimmte Zwecke erteilt haben (z.B. für Google Analytics, Speicherung über die Bearbeitung hinaus).
• Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b DSGVO): Wenn die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei Sie sind, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO): Soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir unterliegen (z.B. Dokumentation von Einwilligungen, Bearbeitung von DSGVO-Anfragen).
• Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO): Wenn die Verarbeitung zur Wahrung unserer berechtigten Interessen oder der eines Dritten erforderlich ist, sofern nicht Ihre Interessen oder Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, überwiegen (z.B. Betrieb der Webseite, Hosting, allgemeine Kommunikation).

Zusätzlich findet das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG), insbesondere § 25 Abs. 1 TDDDG, Anwendung für die Speicherung von Informationen in Ihrer Endeinrichtung oder den Zugriff auf bereits gespeicherte Informationen, wofür wir in der Regel Ihre Einwilligung einholen.

Speicherdauer und Löschung

Wir verarbeiten und speichern Ihre personenbezogenen Daten nur für den Zeitraum, der zur Erreichung des jeweiligen Speicherungszwecks erforderlich ist oder sofern dies durch gesetzliche Vorschriften, denen unser Projekt unterliegt, vorgesehen wurde. Entfällt der Speicherungszweck oder läuft eine gesetzliche Speicherfrist ab, werden die personenbezogenen Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht.

Die Kriterien für die Festlegung der konkreten Speicherdauer sind dabei der jeweilige Verarbeitungszweck, die Art der Daten sowie etwaige gesetzliche Aufbewahrungspflichten (z. B. aus dem Handels- oder Steuerrecht). So werden beispielsweise Server-Logfiles aus Sicherheitsgründen für eine Dauer von 14 Tagen gespeichert. Daten, die im Rahmen von Hilfe-Anfragen verarbeitet werden, bleiben – je nach Ihrer Einwilligung – über die Bearbeitung hinaus gespeichert oder werden nach Abschluss gelöscht. Die genauen Fristen sind in unserem internen Löschkonzept dokumentiert.

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehört insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten. Eine wesentliche Maßnahme ist die durchgehende SSL/TLS-Verschlüsselung unseres Onlineangebots, erkennbar am „https://“ in der Adresszeile Ihres Browsers, um die Übertragung Ihrer Daten vor dem Zugriff Dritter zu schützen.

Unsere Server (physisch und virtuell) werden in den Räumlichkeiten des Verantwortlichen in Berlin betrieben. Der Zugang zu den Servern ist auf den Verantwortlichen und autorisierte Personen beschränkt. Es werden regelmäßige Sicherheitsupdates und Backups durchgeführt.

Übermittlung von Daten in Drittländer

Sofern wir Daten in einem Drittland (d. h., außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)) verarbeiten oder die Verarbeitung im Rahmen der Inanspruchnahme von Diensten Dritter stattfindet, erfolgt dies nur im Einklang mit den gesetzlichen Vorgaben.

• Angemessenheitsbeschluss (Art. 45 DSGVO): Für Dienste von Anbietern aus den USA, die nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert sind, dient der entsprechende Angemessenheitsbeschluss der EU-Kommission als Rechtsgrundlage für die Übermittlung. Dies betrifft folgende von uns genutzte Dienste bzw. deren Mutterkonzerne:
  • Google LLC (für Google Analytics, YouTube, Gemini)
  • Meta Platforms, Inc. (für Facebook, Instagram, WhatsApp)
  • Adobe Inc. (für Adobe Firefly)
• Geeignete Garantien (Art. 46 DSGVO): Für Übermittlungen an Dienstleister in Drittländern, für die kein Angemessenheitsbeschluss vorliegt (z. B. an nicht DPF-zertifizierte US-Unternehmen wie OpenAI), stellen wir den Schutz Ihrer Daten durch den Abschluss von Standardvertragsklauseln (SVK) sicher. Diese von der EU-Kommission genehmigten Klauseln verpflichten den Empfänger zur Einhaltung eines Datenschutzniveaus, das dem der EU entspricht.
• Ausdrückliche Einwilligung (Art. 49 Abs. 1 lit. a DSGVO): Für unsere Präsenz bei Twitch (Anbieter: Twitch Interactive, Inc., USA) haben wir besondere Vorkehrungen getroffen, da der Anbieter nicht nach dem DPF zertifiziert ist und für die USA kein angemessenes Datenschutzniveau nach EU-Standards besteht. Anstatt direkt auf unser Twitch-Profil zu verlinken, führen Links auf unserer Webseite zunächst auf eine interne Hinweisseite. Auf dieser Seite klären wir Sie transparent über die Risiken einer Datenübermittlung in die USA auf (z. B. möglicher Zugriff durch US-Behörden ohne wirksamen Rechtsschutz). Eine Weiterleitung zu Twitch und die damit verbundene Datenübermittlung finden erst statt, nachdem Sie durch einen aktiven Klick auf den Bestätigungslink Ihre ausdrückliche und informierte Einwilligung erteilt haben.

III. Ihre Rechte als betroffene Person

Als von der Datenverarbeitung betroffene Person stehen Ihnen nach der DSGVO umfassende Rechte zu, die Ihnen die Kontrolle über Ihre personenbezogenen Daten ermöglichen sollen. Nachfolgend erläutern wir diese Rechte im Detail:

• Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende Daten verarbeitet werden. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese Daten sowie auf weitere Informationen und eine Kopie der Daten entsprechend den gesetzlichen Vorgaben. Zur Erfüllung dieses Rechts stellen wir Ihnen auf Anfrage einen Auskunftsbericht als PDF-Dokument zur Verfügung.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
• Recht auf Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO): Sie haben nach Maßgabe der gesetzlichen Vorgaben das Recht, zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden. Bitte beachten Sie: Im Falle eines Löschantrags, eines Widerspruchs oder eines Widerrufs werden Ihre Daten zwar umgehend aus unseren aktiven Systemen entfernt, jedoch nicht vollständig aus unseren Sicherungsdateien gelöscht, sofern dies technisch nicht möglich ist. Wir werden Ihre Daten dann für keine weiteren Zwecke mehr verarbeiten und bei der nächsten Gelegenheit endgültig löschen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten gesetzlichen Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten verlangen. Dies bedeutet, dass die Daten zwar gespeichert, aber nur noch mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen verarbeitet werden dürfen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Sie betreffende Daten, die Sie uns bereitgestellt haben, nach Maßgabe der gesetzlichen Vorgaben in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu fordern.
• Widerspruchsrecht (Art. 21 DSGVO): Sofern die Verarbeitung Ihrer Daten auf unserem berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO) beruht, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Widerspruch einzulegen. Nach einem Widerspruch werden wir Ihre Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen.
• Widerrufsrecht bei Einwilligungen (Art. 7 Abs. 3 DSGVO): Haben Sie uns eine Einwilligung erteilt, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird davon nicht berührt.
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Zur Ausübung Ihrer Rechte können Sie sich jederzeit an den unter Abschnitt I.2. genannten Verantwortlichen wenden.

IV. Datenverarbeitung im Detail: Allgemeiner Betrieb

1. Bereitstellung des Onlineangebots und Webhosting (Hetzner)

Für den sicheren, zuverlässigen und effizienten Betrieb unseres Onlineangebots nehmen wir Hosting-Leistungen der Hetzner Online GmbH in Anspruch. Von deren Servern wird unsere Webseite abgerufen und ausgeliefert. Dies stellt ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO dar, da wir so eine hohe Verfügbarkeit und professionelle Wartung gewährleisten können, ohne eine eigene Serverinfrastruktur betreiben zu müssen.

Im Rahmen des Hostings werden im Auftrag für uns Nutzungs-, Meta- und Kommunikationsdaten der Besucher unseres Onlineangebots verarbeitet. Hierzu gehört insbesondere die IP-Adresse, die zur Auslieferung der Inhalte an den Browser des Nutzers technisch erforderlich ist, sowie alle vom Nutzer innerhalb unseres Angebots getätigten Eingaben.

a) Erhebung von Zugriffsdaten und Server-Log-Dateien

Unser Hostinganbieter erhebt bei jedem Zugriff auf die Webseite automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser automatisch übermittelt. Dies sind:

• Browsertyp und Browserversion
• verwendetes Betriebssystem
• Referrer URL (die zuvor besuchte Seite)
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage
• IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht an der technisch fehlerfreien Darstellung, der Optimierung und der Sicherheit unserer Webseite. Die Erfassung in Log-Dateien ist zwingend erforderlich, um die Systemsicherheit zu gewährleisten und uns vor Angriffen zu schützen. Eine Auswertung dieser Daten zu Marketingzwecken findet nicht statt.

b) Hosting bei der Hetzner Online GmbH

Unsere gesamte Webpräsenz wird bei der Hetzner Online GmbH gehostet. Auch der E-Mail-Versand und -Empfang erfolgt über die Mailserver von Hetzner.

• Dienstanbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
• Datenschutzerklärung: https://www.hetzner.com/de/legal/privacy-policy/
• Auftragsverarbeitung: Wir haben mit Hetzner einen Vertrag über Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen. Dieser Vertrag gewährleistet, dass die personenbezogenen Daten unserer Webseitenbesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet werden.
• Speicherdauer der Log-Dateien: Logfile-Informationen werden bei Hetzner aus Sicherheitsgründen (z. B. zur Aufklärung von Missbrauchs- oder Betrugshandlungen) für eine Dauer von maximal 14 Tagen gespeichert. Die IP-Adressen werden dabei anonymisiert, sodass ein direkter Personenbezug nicht mehr herstellbar ist.
• E-Mail-Versand und -Hosting: Die Hosting-Leistungen umfassen ebenfalls den Versand, den Empfang sowie die Speicherung von E-Mails über die Server der Hetzner GmbH. Zu diesen Zwecken werden die Adressen der Empfänger sowie Absender als auch weitere Informationen betreffend den E-Mail-Versand (z. B. die beteiligten Provider) sowie die Inhalte der jeweiligen E-Mails verarbeitet. Die Logdateien des Mailservers enthalten keine Inhalte der E-Mails, sondern nur Verbindungsdaten und werden für 14 Tage aufbewahrt. Wir weisen darauf hin, dass E-Mails im Internet grundsätzlich nicht Ende-zu-Ende-verschlüsselt versendet werden. Im Regelfall werden E-Mails zwar auf dem Transportweg verschlüsselt, aber nicht auf den Servern, von denen sie abgesendet und empfangen werden. Wir können daher für den Übertragungsweg der E-Mails zwischen dem Absender und dem Empfang auf unserem Server keine Verantwortung übernehmen.

2. Einsatz von Cookies und Einwilligungsmanagement mit Complianz

Unsere Webseite verwendet sogenannte „Cookies“. Cookies sind kleine Datenpakete, die auf Ihrem Endgerät gespeichert werden. Sie können entweder vorübergehend für die Dauer einer Sitzung (Session-Cookies) oder dauerhaft (permanente Cookies) auf Ihrem Endgerät gespeichert werden. Session-Cookies werden nach Ende Ihres Besuchs automatisch gelöscht, während permanente Cookies gespeichert bleiben, bis Sie diese selbst löschen oder eine automatische Löschung durch Ihren Webbrowser erfolgt. Cookies können von uns (First-Party-Cookies) oder von Drittunternehmen stammen (Third-Party-Cookies).

Einwilligungsmanagement mit Complianz: Um die gesetzlich vorgeschriebenen Einwilligungen für den Einsatz von Cookies und ähnlichen Technologien einzuholen und zu dokumentieren, nutzen wir die Consent-Technologie „Complianz | GDPR/CCPA Cookie Consent“. Anbieter ist die Complianz B.V., Atoomweg 6b, 9743 AK Groningen, Niederlande. Wenn Sie unsere Webseite betreten, wird über ein Cookie-Banner Ihre Einwilligung abgefragt. Complianz speichert dann ein technisch notwendiges Cookie in Ihrem Browser, um Ihre getroffenen Entscheidungen (Einwilligung oder Ablehnung) zu speichern.

Rechtsgrundlagen: Die Speicherung und der Zugriff auf Informationen, die technisch nicht zwingend erforderlich sind, erfolgen ausschließlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Die Speicherung des Complianz-Cookies zur Dokumentation Ihrer Einwilligung erfolgt zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO.

Widerruf und Verwaltung: Sie können eine einmal erteilte Einwilligung jederzeit widerrufen. Ihre Cookie-Einstellungen können Sie jederzeit über den Link „Cookie-Richtlinie (EU)“ in der Fußzeile der Webseite einsehen und anpassen.

V. Datenverarbeitung im Verwaltungs‑, Kommunikations‑ und Einwilligungssystem (CiviCRM)

Für die Verwaltung unserer Kontakte (z. B. Personen, die uns Anfragen senden, Unterstützung suchen oder ihre Betroffenenrechte geltend machen), die Organisation unserer Projektarbeit sowie für die technische Durchführung und rechtssichere Dokumentation des gesamten Kommunikations‑ und Einwilligungsprozesses nutzen wir das selbst gehostete Open‑Source‑System CiviCRM. Dieses System ist das zentrale Werkzeug unserer datenschutzkonformen Verwaltung. Die CiviCRM-Installation läuft auf einem eigenen physischen Server in den Räumlichkeiten des Verantwortlichen (Berlin). Der Zugriff auf die Daten ist ausschließlich dem Verantwortlichen und autorisierten ehrenamtlichen Mitarbeitern vorbehalten. Es findet keine Datenweitergabe an Dritte statt.

a) DSGVO-Anfrageformular (Auskunft, Berichtigung, Löschung)

Über unser spezielles Formular für Betroffenenrechte (erreichbar unter https://obdachlosenwegweiser.org/datenschutz-anfrage) können Sie Auskunft über Ihre gespeicherten Daten verlangen oder deren Berichtigung bzw. Löschung beantragen. Die von Ihnen eingegebenen Daten (Name, E-Mail-Adresse, Art des Anspruchs, ggf. weitere Angaben) werden in CiviCRM erfasst und zur Bearbeitung Ihrer Anfrage genutzt. Zudem werden zur rechtssicheren Dokumentation technische Metadaten wie Ihre IP-Adresse und der Zeitpunkt der Übermittlung protokolliert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung) und lit. f (berechtigtes Interesse an der ordnungsgemäßen Bearbeitung von Betroffenenanfragen).

b) Hilfe-Anfrageformular für individuelle Unterstützungssuche

Wenn Sie über unser Hilfe-Formular (erreichbar unter https://obdachlosenwegweiser.org/hilfsanfrage-stellen) Unterstützung suchen, erfassen wir Ihren Namen, Ihre E-Mail-Adresse, Ihren Ort und die Beschreibung Ihres Anliegens. Zusätzlich fragen wir Ihre Einwilligung zur Datenschutzerklärung ab und bieten Ihnen die Wahl, ob Ihre Daten (Name, E-Mail-Adresse, Verlauf der Anfragen) nach Abschluss der Bearbeitung in unserem CRM gespeichert bleiben dürfen (Option „Ja, meine Daten dürfen für zukünftige Anfragen gespeichert bleiben“) oder gelöscht werden sollen (Option „Nein, meine Daten sollen nach Abschluss der Bearbeitung gelöscht werden“). Diese Wahl wird im CRM festgehalten und entsprechend umgesetzt. Die Verarbeitung dient der individuellen Recherche und Vermittlung von Hilfsangeboten und erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a) sowie unseres berechtigten Interesses an der Hilfeleistung (Art. 6 Abs. 1 lit. f).

Alle über das Formular übermittelten Daten werden in CiviCRM als Fall („Hilfsanfrage“) gespeichert. Die von Ihnen getroffene Wahl zur Datenspeicherung wird in einem benutzerdefinierten Feld dokumentiert. Nach Abschluss der Bearbeitung wird die Entscheidung entsprechend umgesetzt: Bei „Ja“ verbleiben die Daten für zukünftige Anfragen, bei „Nein“ werden sie nach Abschluss gelöscht.

c) Allgemeine Anfragen und Kommunikation

Wenn Sie uns per E-Mail (info@obdachlosenwegweiser.org) oder über WhatsApp kontaktieren, werden Ihre Nachrichten sowie die darin enthaltenen personenbezogenen Daten (insbesondere Name, E-Mail-Adresse, Telefonnummer und Inhalt der Nachricht) in CiviCRM gespeichert. Dies dient der Bearbeitung Ihrer Anfrage und der Dokumentation der Kommunikation. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effektiver Kommunikation und Projektverwaltung).

VI. Projektkoordination und interne Kommunikation (HumHub Intranet)

Für die interne Organisation, Kommunikation und Koordination unserer ehrenamtlichen Mitarbeiter nutzen wir eine selbst gehostete Instanz der Social‑Collaboration‑Software HumHub unter der Domain intranet.obdachlosenwegweiser.org. Der Zugang zu dieser Plattform ist ausschließlich registrierten und geprüften Projektmitgliedern vorbehalten.

a) Zweck der Datenverarbeitung

Die Verarbeitung von Daten im Intranet dient ausschließlich der effizienten Gestaltung der internen Projektarbeit. Dies umfasst den Austausch in Gruppen und Foren, die gemeinsame Arbeit an Dokumenten und die allgemeine Projektkommunikation.

b) Umfang der Verarbeitung personenbezogener Daten

Innerhalb des Intranets werden folgende Datenkategorien verarbeitet:

• Profil- und Bestandsdaten: Name, E-Mail-Adresse, optionales Profilbild und weitere freiwillige Angaben im Nutzerprofil.
• Inhaltsdaten: Von Nutzern erstellte Beiträge, Kommentare, Nachrichten und hochgeladene Dateien.
• Nutzungs- und Metadaten: IP-Adresse, Zugriffszeiten, um die Sicherheit und Funktionsfähigkeit der Plattform zu gewährleisten.

c) Rechtsgrundlage und Speicherdauer

Die Verarbeitung der Daten erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO an einer effektiven und sicheren internen Organisation unseres ehrenamtlichen Projekts. Die Daten bleiben gespeichert, solange die Mitarbeit im Projekt andauert. Bei Beendigung der Mitarbeit wird der Account auf Wunsch gelöscht.

VII. Webanalyse mit Google Analytics

Auf unserer Webseite setzen wir Google Analytics ein, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“). Die Nutzung erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG, die Sie über unser Cookie‑Banner erteilen können.

Google Analytics verwendet Cookies, die eine Analyse der Benutzung unserer Webseite ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Webseite werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Da Google LLC (Mutterkonzern von Google Ireland Limited) nach dem EU‑U.S. Data Privacy Framework (DPF) zertifiziert ist, besteht ein Angemessenheitsbeschluss der EU‑Kommission für die Datenübermittlung in die USA.

Wir haben auf unserer Webseite die IP‑Anonymisierung aktiviert, sodass Ihre IP‑Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA gekürzt wird. Nur in Ausnahmefällen wird die volle IP‑Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Google wird diese Informationen in unserem Auftrag verwenden, um Ihre Nutzung der Webseite auszuwerten, um Reports über die Webseitenaktivitäten zusammenzustellen und um weitere mit der Webseitennutzung und der Internetnutzung verbundene Dienstleistungen gegenüber uns zu erbringen.

Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP‑Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Cookie‑Einstellungen über den Link „Cookie‑Richtlinie (EU)“ in der Fußzeile der Webseite anpassen.

Weitere Informationen zum Datenschutz bei Google finden Sie unter: https://policies.google.com/privacy?hl=de

VIII. Gemeinsame Dienste und externe Präsenzen

1. Einbindung von YouTube-Videos

Wir binden auf unseren Webseiten Videos der Plattform „YouTube“ des Anbieters Google Ireland Limited ein. Die Einbindung erfolgt im „erweiterten Datenschutzmodus“ (über die Domain youtube‑nocookie.com). Dies hat zur Folge, dass von YouTube keine Cookies über Sie gespeichert werden, solange Sie das Video nicht abspielen. Erst mit dem Klick auf das Video wird eine Verbindung zu den YouTube-Servern hergestellt und dabei Ihre IP‑Adresse übermittelt. Wenn Sie bei YouTube eingeloggt sind, kann YouTube diese Information Ihrem Benutzerkonto zuordnen. Die Datenverarbeitung beim Abspielen des Videos erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die Sie über unser Cookie‑Banner erteilen.

2. Social-Media-Präsenzen

Wir unterhalten Onlinepräsenzen innerhalb sozialer Netzwerke und Plattformen, um mit den dort aktiven Nutzern zu kommunizieren und über unsere Angebote zu informieren. Wir betreiben Profile auf folgenden Plattformen:

• Facebook: Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland
• Instagram: Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland
• WhatsApp Business: WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland (Teil der Meta‑Unternehmensgruppe)
• Twitch: Twitch Interactive, Inc., 350 Bush Street, 2nd Floor, San Francisco, CA 94104, USA
• YouTube: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Im Rahmen unseres Projekts „Die Stimme der Straße“ veröffentlichen wir auf diesen Kanälen Videoinhalte, wie z. B. Interviews mit Betroffenen oder Berichte von Veranstaltungen. Eine solche Veröffentlichung erfolgt ausnahmslos nur nach Einholung einer vorherigen, ausdrücklichen und dokumentierten Einwilligung der beteiligten Personen. Die Teilnehmenden werden dabei umfassend über den Zweck, die Veröffentlichungskanäle und ihre Rechte, insbesondere das Recht auf jederzeitigen Widerruf ihrer Einwilligung, aufgeklärt.

Umfang der Datenverarbeitung: Beim Aufruf der jeweiligen Netzwerke und Plattformen gelten die Geschäftsbedingungen und die Datenverarbeitungsrichtlinien deren jeweiligen Betreiber. Wir haben keinen Einfluss auf die Datenerhebung und deren weitere Verwendung durch die sozialen Netzwerke.

Gemeinsame Verantwortlichkeit: Für unsere Facebook‑ und Instagram‑Seiten besteht eine gemeinsame Verantwortlichkeit mit Meta Platforms Ireland Limited gemäß Art. 26 DSGVO hinsichtlich der Erhebung von statistischen Daten („Insights‑Daten“).

Rechtsgrundlage: Die Datenverarbeitung im Rahmen unserer Social‑Media‑Präsenzen erfolgt auf Grundlage unserer berechtigten Interessen an einer vielfältigen Außendarstellung und einer effektiven Informations‑ und Kommunikationsmöglichkeit mit den Nutzern gemäß Art. 6 Abs. 1 lit. f DSGVO. Die spezielle Vorgehensweise bei der Verlinkung zu Twitch ist unter Abschnitt II. erläutert.

Datenschutzinformationen der Anbieter:

• Facebook: https://www.facebook.com/privacy/policy/
• Instagram: https://help.instagram.com/155833707900388
• WhatsApp: https://www.whatsapp.com/legal/privacy-policy-eea
• Twitch: https://www.twitch.tv/p/de-de/legal/privacy-notice/
• YouTube: https://policies.google.com/privacy?hl=de

Kommunikation über WhatsApp Business

Wir bieten Ihnen die Möglichkeit, mit uns über unser WhatsApp‑Business‑Konto zu kommunizieren. Wenn Sie diesen Kommunikationsweg nutzen (z. B. über den auf unserer Webseite oder in E‑Mails bereitgestellten WhatsApp‑Link), verarbeiten wir die folgenden Daten:

• Ihre bei WhatsApp hinterlegte Mobilfunknummer und ggf. Ihren Profilnamen,
• Inhalte der Nachrichten, die Sie uns senden (einschließlich etwaiger Anhänge wie Fotos oder Dokumente),
• technische Metadaten der Kommunikation (z. B. Datum und Uhrzeit der Nachrichten, Zustell- und Lesebestätigungen).

Zweck und Rechtsgrundlage: Die Verarbeitung erfolgt zum Zweck der Bearbeitung Ihrer Anfrage und der weiteren Kommunikation mit Ihnen. Rechtsgrundlage ist je nach Kontext Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) oder unser berechtigtes Interesse an einer effizienten und nutzerfreundlichen Kommunikation gemäß Art. 6 Abs. 1 lit. f DSGVO.

Verarbeitung durch WhatsApp: WhatsApp Ireland Limited verarbeitet bei Nutzung des Dienstes eigene Daten als Verantwortlicher, u. a. zu Sicherheits- und Servicezwecken. Hierbei kann es auch zu einer Übermittlung von Daten an Unternehmen der Meta‑Gruppe in Drittländern (insbesondere die USA) kommen. Auf diese Verarbeitung haben wir keinen Einfluss. Maßgeblich sind insoweit die Nutzungs‑ und Datenschutzbestimmungen von WhatsApp.

Freiwilligkeit der Nutzung: Die Nutzung von WhatsApp ist vollständig freiwillig. Selbstverständlich können Sie uns jederzeit alternativ über Telefon, E‑Mail oder unser Kontaktformular erreichen.

IX. Einsatz von Künstlicher Intelligenz (KI)

Im Rahmen unserer Projektarbeit setzen wir zur Unterstützung bei der Erstellung und Überarbeitung von Inhalten sowie zur Effizienzsteigerung bei internen Prozessen Dienste der künstlichen Intelligenz (KI) ein. Wir verpflichten uns zu einem verantwortungsvollen und transparenten Umgang mit diesen Technologien im Einklang mit den datenschutzrechtlichen Vorgaben.

a) Genutzte Dienste und Zwecke

Wir nutzen die folgenden KI‑basierten Modelle zur Unterstützung unserer redaktionellen und administrativen Arbeit:

• ChatGPT des Anbieters OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA.
• Gemini und Veo des Anbieters Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Mutterkonzern: Google LLC, USA).
• Adobe Firefly des Anbieters Adobe Systems Software Ireland Limited, 4‑6 Riverwalk, Citywest Business Campus, Dublin 24, Irland (Mutterkonzern: Adobe Inc., USA).

Diese Dienste werden beispielsweise genutzt, um Entwürfe für redaktionelle Beiträge zu erstellen, Texte zu formulieren oder zusammenzufassen, Bilder für unser Onlineangebot zu generieren (Adobe Firefly), Videos zu erstellen (Veo) und interne Dokumentationen zu unterstützen.

b) Grundsätze der Datenverarbeitung und Rechtsgrundlage

Unser oberster Grundsatz bei der Nutzung von KI ist, dass keine personenbezogenen Daten von Besuchern unserer Webseite, von Ansprechpartnern der Hilfseinrichtungen oder von anderen betroffenen Personen in diese Systeme eingegeben werden. Die Nutzung beschränkt sich auf die Verarbeitung allgemeiner, nicht‑personenbezogener Informationen und projektspezifischer Anfragen zur Texterstellung.

Die Verarbeitung von Daten durch die KI‑Anbieter zur Bereitstellung der Dienste erfolgt auf deren Servern. Die Rechtsgrundlage für den Einsatz dieser unterstützenden Werkzeuge ist unser berechtigtes Interesse an einer effizienten und ressourcenschonenden Durchführung unserer ehrenamtlichen Projektarbeit gemäß Art. 6 Abs. 1 lit. f DSGVO.

c) Datenübermittlung in Drittländer

Die Nutzung dieser Dienste kann eine Übermittlung von Daten in die USA beinhalten. Um ein angemessenes Datenschutzniveau zu gewährleisten, stützen wir uns auf folgende Grundlagen:

• Google (Gemini, Veo) und Adobe (Firefly): Die Mutterkonzerne Google LLC und Adobe Inc. sind nach dem EU‑U.S. Data Privacy Framework (DPF) zertifiziert, wodurch ein Angemessenheitsbeschluss der EU‑Kommission gemäß Art. 45 DSGVO für die Datenübermittlung besteht.
• OpenAI (ChatGPT): OpenAI ist nicht unter dem DPF zertifiziert. Die Datenübermittlung in die USA wird daher durch den Abschluss von Standardvertragsklauseln (SVK) gemäß Art. 46 DSGVO abgesichert, die wir mit dem Anbieter geschlossen haben. Diese Klauseln stellen geeignete Garantien für den Schutz Ihrer Daten dar.

Weitere Informationen zum Datenschutz bei den jeweiligen Anbietern finden Sie hier:

• OpenAI: https://openai.com/policies/privacy-policy
• Google: https://policies.google.com/privacy?hl=de
• Adobe: https://www.adobe.com/de/privacy/policy.html

X. Technische Umsetzung und datenschutzfreundliche Konfiguration

1. Genutzte Software und Systeme

Unser Onlineangebot setzt sich aus verschiedenen technischen Systemen zusammen, die auf der Hauptdomain und ihren Subdomains betrieben werden:

• obdachlosenwegweiser.org: Diese Webseite wird mit dem Content‑Management‑System (CMS) WordPress betrieben.
• CiviCRM-Datenbank: Die CiviCRM-Installation wird auf einem eigenen physischen Server in den Räumlichkeiten des Verantwortlichen in Berlin betrieben. Auf diesem Server läuft Proxmox als Virtualisierungsumgebung, in der eine VM mit CloudPanel und CiviCRM (Standalone) betrieben wird. Der Zugriff auf den Server ist auf den Verantwortlichen und autorisierte Personen beschränkt. Es werden regelmäßig Backups erstellt und die Systeme aktuell gehalten. Alle Daten verbleiben somit ausschließlich auf unseren eigenen Systemen und werden nicht an externe Cloud‑Dienste weitergegeben.

2. Sicherheitsmaßnahmen

Zum Schutz unserer Webseite vor unbefugten Zugriffen und Angriffen setzen wir auf der Hauptseite das WordPress‑Plugin „Really Simple Security“ ein, das unter anderem die IP‑Adressen der Besucher prüft, um schädliche Aktivitäten zu erkennen und zu blockieren (z. B. Brute‑Force‑Angriffe). Diese Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO.

Spamschutz für Webformulare (Honeypot)

Zum Schutz unserer Webformulare (z.B. Hilfe‑Anfrage‑ und DSGVO‑Formulare) vor automatisiertem Missbrauch und Spam setzen wir eine sogenannte „Honeypot“‑Technik ein. Hierbei wird ein für menschliche Nutzer unsichtbares Feld in das Formular eingefügt. Automatisierte Bots füllen dieses Feld in der Regel aus, was uns ermöglicht, die Anfrage als Spam zu identifizieren und zu verwerfen, bevor eine weitere serverseitige Verarbeitung stattfindet. Diese Methode verarbeitet keine personenbezogenen Daten für den Spam‑Schutz selbst (es werden z.B. keine Cookies gesetzt oder IP‑Adressen analysiert) und ist daher besonders datenschutzfreundlich. Die Rechtsgrundlage für diese Maßnahme ist unser berechtigtes Interesse am Schutz unserer Systeme vor Spam gemäß Art. 6 Abs. 1 lit. f DSGVO.

3. Suchmaschinenoptimierung und Design

Yoast SEO: Wir nutzen das Plugin „Yoast SEO“, um unsere Webseite für Suchmaschinen zu optimieren. Dieses Plugin verarbeitet keine personenbezogenen Daten von Ihnen als Besucher. Alle Analysen und Optimierungen finden lokal auf unserem Server statt.

Schriftarten (BlockStrap & Font Awesome): Um eine einheitliche Darstellung zu gewährleisten und Datenübertragungen an Dritte zu vermeiden, werden alle Schriftarten und Icons lokal auf unserem eigenen Server gehostet. Es findet keine Verbindung zu externen Anbietern wie Google Fonts oder Fonticons, Inc. statt.

4. Deaktivierung von WordPress-Core-Funktionen zum Datenschutz

Um unnötige Datenübertragungen zu vermeiden und die Privatsphäre unserer Nutzer bestmöglich zu schützen, haben wir auf unseren WordPress-Installationen folgende Standard‑Funktionen bewusst deaktiviert:

• Gravatar: Die Anzeige von „Avataren“ ist global deaktiviert. Dadurch findet keine Verbindung zu den Servern des Dienstes Gravatar (USA) statt, um Profilbilder zu laden.
• Emojis: Das Nachladen von Emoji‑Skripten von externen WordPress.org‑Servern wurde unterbunden. Moderne Browser stellen Emojis ohne diese zusätzliche Anfrage dar.

XI. Schlussbestimmungen

1. Zuständige Aufsichtsbehörde

Für uns zuständige Aufsichtsbehörde für den Datenschutz ist:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt‑Moabit 59‑61
10555 Berlin
Telefon: 030/138 89‑0
E‑Mail: mailbox@datenschutz-berlin.de
Homepage: https://www.datenschutz-berlin.de

2. Änderung und Aktualisierung der Datenschutzerklärung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z. B. eine erneute Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.