Datenschutzhinweise Buchungssystem
gem. Art. 12 ff DSGVO
Vorbemerkung: Das eBusy System
Der Marienburger Sport-Club 1920 e. V. (MSC) betreibt das von der Firma productive web GbR entwickelte elektronische Buchungssystem „eBusy“ für die Platzbuchung der Tennis-Außenplätze des MSC. Der Zugang zum eBusy System erfolgt über den Browser des Nutzers. Um das System nutzen zu können, ist eine Registrierung erforderlich. Nur registrierte Nutzer können die App einsetzen. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. b) DSGVO, bzw. Ihre Einwilligung, Art. 6 abs. 1 lit. a9 DSGVO.
Das System wird vom Sekretariat und Systemadministrator gepflegt und vor Ort gewartet.
Hierzu beachten Sie bitte die technischen Voraussetzungen, wie und wo die Daten gespeichert werden (s. „Speicherort und technische Hinweise“).
- Wir nutzen folgende Stammdaten jedes registrierten Mitglieds:
Vorname, Nachname und Email-Adresse - Wir verarbeiten folgende Nutzungsdaten:
Beginn und Ende der Spielzeit, Datum, genutzter Platz im MSC, Angaben über Spiele mit Gästen - Ihre Daten werden von unserem Vertragspartner, der Productive web GbR, in Deutschland verarbeitet. Die Server unterliegen dem Recht der EU-DSGVO. Diese Verarbeitung unterliegt der Verantwortlichkeit des MSC, der hierzu einen Auftragsverarbeitungsvertrag mit dem Vertragspartner geschlossen hat. Die technischen und organisatorischen Maßnahmen zur Datensicherheit wurden in Bezug auf ihre Angemessenheit überprüft.
- Wie lange werden sie gespeichert?
Wir speichern die Nutzungsdaten zu Abrechnungszwecken für 4 Wochen. Danach werden sie automatisch gelöscht. - Minderjährige dürfen die App nur nutzen, wenn ihre Erziehungs- und Personensorgeberechtigten dem zugestimmt haben. Dies ist im Sekretariat des MSC zu dokumentieren. Auch ihre Daten werden automatisch im System verarbeitet, das keinen Unterschied zwischen minderjährigen und erwachsenen Nutzern macht. Alternativ müssen die Erziehungs- oder Personensorgeberechtigten die Buchung vornehmen.
- Über das System werden Cookies gesetzt.
Name: JSESSIONID
Zweck: Identifiziert einen eingeloggten Benutzer und erhält den Zustand bei Seitenwechsel.
Ablauf: Dieses Cookie wird automatisch nach Beendigung der Sitzung oder beim Schließen des Browsers gelöscht.
Ihre Betroffenenrechte gem. Art. 15 ff DSGVO:
Sie haben gegenüber dem MSC folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten gem. DSGVO:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung oder Löschung (Art. 16 und 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Recht auf Widerruf von erteilten Einwilligungen (Art. 7 DSGVO)
- Recht auf Widerspruch gegen die Verarbeitung, soweit diese auf einer Abwägung der Interessen beruht (Art. 21 DSGVO)
Hierzu kontaktieren Sie bitte unseren Admin unter der angegeben Kontaktmöglichkeit.
Sie können sich jederzeit mit einer Beschwerde an die für Sie zuständige Aufsichtsbehörde wenden. Ihre zuständige Aufsichtsbehörde richtet sich nach dem Bundesland Ihres Wohnsitzes, Ihrer Arbeit oder der mutmaßlichen Verletzung. Eine Liste der Aufsichtsbehörden (für den nichtöffentlichen Bereich) mit Anschrift finden Sie unter: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.
Zwecke der Datenverarbeitung durch die verantwortliche Stelle und Dritte
Wir verarbeiten Ihre personenbezogenen Daten nur zu den in dieser Datenschutzerklärung genannten Zwecken. Eine Übermittlung Ihrer persönlichen Daten an Dritte zu anderen als den genannten Zwecken findet nicht statt. Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn:
- Sie Ihre ausdrückliche Einwilligung dazu erteilt haben (Rechtsgrundlage Art. 6 Abs. 1 lit. a) DSGVO),
- die Verarbeitung zur Abwicklung eines Vertrags mit Ihnen erforderlich ist (Art. 6 Abs. 1 lit. b) DSGVO),
- die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (Art. 6 Abs. 1 lit. c) DSGVO),
- die Verarbeitung zur Wahrung berechtigter Interessen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben (Art. 6 Abs. 1 lit. f) DSGVO).
Erfassung allgemeiner Informationen beim Besuch des Buchungssystems
Wenn Sie auf die eBusy-Website zugreifen, werden automatisch mittels eines Cookies Informationen allgemeiner Natur erfasst. Diese Informationen (Server-Logfiles) beinhalten etwa die Art des Webbrowsers, das verwendete Betriebssystem, den Domainnamen Ihres Internet-Service-Providers und ähnliches. Hierbei handelt es sich ausschließlich um Informationen, welche keine Rückschlüsse auf Ihre Person zulassen.
Diese Informationen sind technisch notwendig, um von Ihnen angeforderte Inhalte von Webseiten korrekt auszuliefern und fallen bei Nutzung des Internets zwingend an. Sie werden insbesondere zu folgenden Zwecken verarbeitet:
- Sicherstellung eines problemlosen Verbindungsaufbaus der Website,
- Sicherstellung einer reibungslosen Nutzung unserer Website,
- Auswertung der Systemsicherheit und -stabilität sowie
- zu weiteren administrativen Zwecken.
Die Verarbeitung Ihrer Nutzungsdaten basiert auf der Erfüllung des Nutzungsvertrages (Art. 6 Abs. 1 lit. b) DSGVO) und unserem berechtigten Interesse aus den vorgenannten Zwecken zur Datenverarbeitung (Art. 6 Abs. 1 lit. f) DSGVO. Wir verarbeiten Ihre Daten nicht, um Rückschlüsse auf Ihre Person zu ziehen. Empfänger der Daten sind ausschließlich unser Auftragsverarbeiter, der sie auf deutschen Servern verarbeitet.
Anonyme Informationen dieser Art werden von uns ggfs. statistisch ausgewertet, um unseren Internetauftritt und die dahinterstehende Technik zu optimieren.
Cookies
Wie viele andere Webseiten verwendet das Buchungssystem auch so genannte „Cookies“. Cookies sind kleine Textdateien, die von einem Websiteserver auf Ihre Festplatte übertragen werden. Hierdurch erhält das eBusy-System (bzw. der Entwickler productive web, s. „Speicherort“) automatisch bestimmte Daten wie z. B. IP-Adresse, verwendeter Browser, Betriebssystem und Ihre Verbindung zum Internet.
Cookies können nicht verwendet werden, um Programme zu starten oder Viren auf einen Computer zu übertragen. Anhand der in Cookies enthaltenen Informationen kann Ihnen die Navigation erleichtert und die korrekte Anzeige der Webseiten ermöglicht werden.
In keinem Fall werden die von uns erfassten Daten an Dritte weitergegeben oder ohne Ihre Einwilligung eine Verknüpfung mit personenbezogenen Daten hergestellt.
Natürlich können Sie die Buchungssystem-Website grundsätzlich auch ohne Cookies betrachten. Internet-Browser sind regelmäßig so eingestellt, dass sie Cookies akzeptieren. Im Allgemeinen können Sie die Verwendung von Cookies jederzeit über die Einstellungen Ihres Browsers deaktivieren. Bitte verwenden Sie die Hilfefunktionen Ihres Internetbrowsers, um zu erfahren, wie Sie diese Einstellungen ändern können. Bitte beachten Sie, dass einzelne Funktionen der Website möglicherweise nicht funktionieren, wenn Sie die Verwendung von Cookies deaktiviert haben.
Registrierung auf unserer eBusy-Webseite
Bei der Registrierung für die Nutzung unserer personalisierten Leistungen werden einige personenbezogene Daten erhoben, wie Name und E-Mail-Adresse. Zur Kontaktaufnahme in diesem Zusammenhang nutzen Sie bitte die am Ende dieser Datenschutzerklärung angegebenen Kontaktdaten.
Erbringung kostenpflichtiger Leistungen
Zur Erbringung kostenpflichtiger Leistungen werden von uns zusätzliche Daten erfragt, wie z.B. Gast-Name, um Ihre Buchungen ausführen zu können. Wir speichern diese Daten im eBusy-Systemen bis die gesetzlichen Aufbewahrungsfristen abgelaufen sind.
SSL-Verschlüsselung
Um die Sicherheit Ihrer Daten bei der Übertragung zu schützen, verwenden wir dem aktuellen Stand der Technik entsprechende Verschlüsselungsverfahren (z. B. SSL) über HTTPS (s. „Speicherort und technische Hinweise“).
Kontaktformular
Treten Sie bzgl. Fragen jeglicher Art per E-Mail oder Kontaktformular mit uns in Kontakt, erteilen Sie uns zum Zwecke der Kontaktaufnahme Ihre freiwillige Einwilligung. Hierfür ist die Angabe einer validen E-Mail-Adresse erforderlich. Diese dient der Zuordnung der Anfrage und der anschließenden Beantwortung derselben. Die Angabe weiterer Daten ist optional. Die von Ihnen gemachten Angaben werden zum Zwecke der Bearbeitung der Anfrage sowie für mögliche Anschlussfragen gespeichert. Nach Erledigung der von Ihnen gestellten Anfrage werden personenbezogene Daten automatisch gelöscht.
Änderung unserer Datenschutzbestimmungen
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z.B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung, der Sie dann allerdings erneut zustimmen müssen, bevor Sie das System wieder nutzen können.
Speicherort und technische Hinweise (und organisatorische Maßnahmen) zum Datenschutz in eBuSy
(gem. Software-Lizenzvertrag zwischen productive web GbR, Gerhart-Hauptmann-Str. 51, 71116 Gärtringen und Marienburger Sport-Club 1920 e.V., Schillingsrotter Str. 99, 50996 Köln)
productive web, Anbieter des eBuSy Buchungssystems hat nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO getroffen.
1. Vertraulichkeit
Zutrittskontrolle
Sämtliche Daten werden auf Dedicated Servern bzw. Backup-Servern in einem Rechenzentrum der Firma Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen gespeichert. Die von der Firma Hetzner Online getroffenen Maßnahmen zur Zutrittskontrolle sind wie folgt:
- elektronisches Zutrittskontrollsystem mit Protokollierung
- Hochsicherheitszaun um den gesamten Datacenterpark
- dokumentierte Schlüsselvergabe
- Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude
- 24/7 personelle Besetzung der Rechenzentren
- Videoüberwachung an den Ein- und Ausgängen, Sicherheitsschleusen und Serverräumen
Zugangskontrolle
Die eBuSy Software wird auf Dedicated Servern bei der Firma Hetzer Online betrieben. Diese Dedicated Server verwenden Ubuntu-Linux als Betriebssystem und werden durch eine Firewall geschützt. Das Betriebssystem ist hinsichtlich Benutzern, Rechten und zugänglicher Ports auf ein Minimum reduziert. Ein Zugang zum Web-Server, der über die übliche Nutzung der Web-Applikation durch den Auftraggeber und dessen Kunden hinausgeht (Zugriff auf eBuSy via Web-Browser), ist ausschließlich den für eBuSy verantwortlichen Mitarbeitern des Auftragnehmers möglich. Jeder Mitarbeiter verfügt über ein sog. RSA-Schlüsselpaar aus privatem und öffentlichem Schlüssel, das den Zugang zum eBuSy Web-Server ermöglicht. Der private Schlüssel jedes Mitarbeiters ist zusätzlich passwortgeschützt und auf einer verschlüsselten Festplatte des jeweiligen Mitarbeiters gespeichert.
Für den Zugang zur eBuSy-Software (Zugriff auf eBuSy via Web-Browser) gibt es einen Support-Zugang. Das Passwort für diesen Support-Zugang ist ausschließlich den verantwortlichen Mitarbeitern des Auftragnehmers bekannt und auf einer verschlüsselten Festplatte des jeweiligen Mitarbeiters gespeichert. Das verwendete Passwort besitzt eine sehr hohe Passwort-Komplexität.
Zugriffskontrolle
Jeder Mitarbeiter der Zugang zum eBuSy-Webserver erhält, verwendet einen eigenes RSA-Schlüsselpaar. Das Root-Passwort des Web-Servers ist nur den Eigentümern und Gesellschaftern der productive web GbR, Herrn Wolfgang Schneider und Michael Haun bekannt. Der Zugang zum Web-Server wird über die Berechtigung des RSA-Schlüssels eines Mitarbeiters gesteuert und kann so auch beim Ausscheiden eines Mitarbeiters entzogen werden.
Das Passwort für den eBuSy Support-Zugang wird regelmäßig geändert, insbesondere beim Ausscheiden eines Mitarbeiters.
Trennung
Die Software eBuSy ist eine mandantenfähige Software. Zur Trennung der Daten verschiedener Mandanten werden sämtliche Datensätze des Auftraggebers parameterisiert mit einer eindeutigen, dem Auftraggeber zugeordneten Kennung. Sämtliche Zugriffe eines Mandaten auf die Software eBuSy (Zugriff auf eBuSy via Web-Browser) werden automatisch anhand der Kennung des Mandanten gefiltert. Dabei kommen spezielle Open-Source Datenbank-Technologien zum Einsatz, die für diesen Zweck entwickelt wurden und die Isolation der Daten einzelner Mandanten sicherstellen.
Pseudonymisierung & Verschlüsselung
Alle Passwörter von Benutzern der eBuSy Software, werden verschlüsselt gespeichert, so dass weder der Auftraggeber, noch der Auftragnehmer in Kenntnis der Klartext-Passwörter gelangen können.
Es erfolgt darüberhinaus keine Pseudonymisierung und/oder Verschlüsselung der Daten, da dies der Nutzung der eBuSy-Software durch den Auftraggeber und seine Kunden und im Sinne des Auftraggebers und seiner Kunden entgegen stehen würden.
2. Integrität
Eingabekontrolle
Sämtliche Eingaben, Änderungen und Löschungen von personenbezogenen Daten in der eBuSy-Webanwendung werden protokolliert. Sofern der Zugriff auf die eBuSy-Webanwendung durch einen angemeldeten Benutzer erfolgt, wird die Eingabe, Änderung oder Löschung unter diesem angemeldeten Benutzer protokolliert. Diese Protokolle sind mit dem Datensatz über die jeweilige Person in der Datenbank assoziiert und werden vollständig und datenschutzgerecht gelöscht, wenn der zugehörige Personen-Datensatz gelöscht wird. Der Zugriff auf diese Protokolle ist für authorisierte Mitarbeiter des Auftraggebers (die über einen Administrations-Zugang zur eBuSy-Software verfügen) und für zuständige Support-Mitarbeiter des Auftragnehmers möglich.
Weitergabekontrolle
Die Übertragung sämtlicher Daten vom Auftraggeber (oder dessen Kunden) zum Auftragnehmer erfolgt durch eine SSL-verschlüsselte Verbindung. Die eBuSy-Webanwendung ist ausschließlich via HTTPS-Protokoll aufzurufen. Ein unverschlüsselter Aufruf via HTTP-Protokoll wir sofort umgeleitet und in eine SSL-verschlüsselte Verbindung via HTTPS-Protokoll überführt.
Alle Mitarbeiter des Auftragnehmers sind verpflichtet, den sicheren Umgang mit personenbezogenen Daten im Sinne des Art. 32 Abs. 4 DS-GVO sicherzustellen.
Sämtliche Daten des Auftraggebers werden nach Beendigung des Auftrags datenschutzgerecht gelöscht.
3. Verfügbarkeit und Belastbarkeit
Die bei der Firma Hetzner Online angemieteten Dedicted Server sind mit einer unter- brechungsfreien Stromversorgung und einer Netzersatzanlage ausgestattet. Es ist ein dauerhafter DDoS-Schutz aktiv. Die Daten des Auftraggebers werden einmal täglich auf speziell dafür vorgesehene, geschützte Backup-Server der Firma Hetzer Online gesichert. Dieses täglichen Sicherungen werden für maximal 31 Tage vorgehalten und anschließend datenschutzgerecht gelöscht.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Alle Mitarbeiter des Auftragnehmers werden über die Notwendigkeiten des vertraulichen Umgangs mit personenbezogenen Daten informiert und zu deren Einhaltung verpflichtet.
Die beschriebenen technischen und organisatorischen Maßnahmen werden quartalsweise durch den Auftragnehmer geprüft und bewertet.
Fragen an den Systemadministrator
Wenn Sie Fragen zum Datenschutz haben, schreiben Sie uns bitte eine E-Mail oder wenden Sie sich direkt an die für den Datenschutz verantwortliche Person des MSC-eBusy-Buchungssystems: datenschutz@msc-koeln.de