Daten­schutz­erklärung

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Website ist:

Helpdesk Germany
Gemeinschaftsplattform
Kontakt: Kontaktformular auf dieser Website

Bei Fragen zum Datenschutz wende dich bitte über das Kontaktformular an uns.

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur:

• soweit es für den Betrieb dieser Plattform technisch notwendig ist,
• auf Grundlage einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO),
• zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO), oder
• zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO), z. B. Schutz vor Missbrauch und Brute-Force-Angriffen.

Wir erheben keine Daten für Werbung, Profiling, Tracking oder Weitergabe an Dritte.

3. Cookies & technische Speicherung

Diese Website verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb zwingend erforderlich sind. Einwilligungspflichtige (Tracking-)Cookies werden nicht eingesetzt.

Cookie-Name	Zweck	Speicherdauer	Typ
PHPSESSID	Sitzungs-Cookie für die Anmeldung. Speichert, ob du eingeloggt bist. Ohne diesen Cookie ist keine Anmeldung möglich.	Bis zum Schließen des Browsers (Session-Cookie)	Technisch notwendig
hg_banner	Speichert, dass du diesen Datenschutzhinweis gesehen hast, damit er nicht bei jedem Aufruf erscheint.	30 Tage	Technisch notwendig / Präferenz

Da ausschließlich technisch notwendige Cookies eingesetzt werden, ist nach Art. 5 Abs. 3 der ePrivacy-Richtlinie (umgesetzt im TDDDG) keine gesonderte Einwilligung erforderlich. Der Hinweisbanner dient der Transparenz.

4. DNS-Infrastruktur & Cloudflare

Was ist DNS?

Das Domain Name System (DNS) übersetzt Domainnamen (z. B. helpdesk-germany.com) in IP-Adressen. Wenn du die URL dieser Website in deinen Browser eingibst, fragt dein Browser zunächst einen DNS-Server, welche IP-Adresse die Domain hat. Dabei wird deine IP-Adresse an Cloudflares DNS-Server übermittelt.

Warum Cloudflare als DNS?

Cloudflare wird eingesetzt zum Schutz vor:

• DDoS-Angriffen (Überlastungsangriffe durch Bot-Netze)
• Phishing und Domain-Hijacking (gefälschte Websites unter ähnlichem Namen)
• DNS-Spoofing (Manipulation von DNS-Antworten)
• Bots, Crawler und automatisierte Angriffe auf DNS-Ebene

Daten bei Cloudflare

Bei einer DNS-Auflösung kann Cloudflare folgende Daten verarbeiten:

• IP-Adresse des anfragenden Geräts (für wenige Sekunden, zu Sicherheitszwecken)
• Angefragte Domain (keine Seiteninhalte, Nutzernamen oder Passwörter)

Cloudflare ist nach dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: cloudflare.com/privacypolicy

Da wir Cloudflare ausschließlich als DNS-Resolver und nicht als Proxy/CDN betreiben, werden keinerlei Seiteninhalte, Cookies oder Nutzerdaten durch Cloudflare verarbeitet oder eingesehen.

5. Welche Daten werden erhoben?

5.1 Mitglieder-Konten

Konten werden ausschließlich durch die Administration erstellt. Folgende Daten werden gespeichert:

Datenkategorie	Beispiel	Zweck
Benutzername	max.muster	Anmeldung, eindeutige Identifikation
Anzeigename	Max Mustermann	Darstellung in der Plattform
E-Mail-Adresse	max@example.de	Kontakt, Passwort-Wiederherstellung
Passwort	(verschlüsselt gespeichert, niemals im Klartext)	Authentifizierung
2FA-Geheimnis	(verschlüsselt, nur bei aktivierter 2FA)	Zwei-Faktor-Sicherheit
Passkey-Daten	Öffentlicher Schlüssel, Credential-ID, Name des Geräts	Passwortlose Anmeldung (optional)
Letzter Login	Datum/Uhrzeit	Sicherheits- und Diagnosezwecke
Rolle	member / mod / admin	Zugriffskontrolle

5.2 Galerie-Uploads

Wenn Mitglieder Fotos in der Gemeinschafts-Galerie einreichen, werden gespeichert:

• Die Bilddatei (JPEG/PNG/WebP/GIF, max. 10 MB)
• Eine optionale Bildbeschreibung (Bildunterschrift)
• Benutzer-ID des Einsenders sowie dessen Anzeigename
• Datum und Uhrzeit des Uploads
• Freigabestatus (ausstehend / freigegeben / abgelehnt)

Datenschutz bei Fotos: Aus JPEG- und PNG-Dateien werden beim Upload automatisch alle EXIF-Metadaten (u. a. GPS-Koordinaten, Gerätemodell, Aufnahmezeit) entfernt. Bilder werden erst nach Freigabe durch einen Moderator öffentlich sichtbar.

5.3 Gremiums-Mitgliederliste (ver.di PG Queer)

Im geschlossenen Gremienbereich wird eine interne Kontaktliste der Gremienmitglieder geführt. Diese enthält:

• Name des Mitglieds
• E-Mail-Adresse (optional)
• Rufnummer (optional)
• Funktion / Rolle im Gremium (optional)

Zugriff: Ausschließlich eingeloggte Mitglieder des Gremiums.
Verschlüsselung: Die Daten werden mit AES-256-GCM verschlüsselt auf dem Server gespeichert. Der Schlüssel liegt außerhalb des Web-Verzeichnisses und ist für Dritte nicht zugänglich.
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) zur internen Vernetzung der Gremienmitglieder. Einträge werden nur mit Kenntnis und auf Initiative der Betroffenen angelegt.
Löschung: Jederzeit durch die Gremiumsleitung auf Anfrage (Art. 17 DSGVO).

5.4 Veranstaltungseinreichungen

Wer eine Veranstaltung einreicht, übermittelt: Titel, Datum, Uhrzeit, Ort, Gruppe und Beschreibung. Diese Daten werden zur Veröffentlichung auf der Veranstaltungsseite gespeichert.

5.5 IP-Adressen (Sicherheit)

Zum Schutz vor Brute-Force-Angriffen auf das Login-Formular wird die IP-Adresse des anfragenden Geräts temporär gespeichert. Dies erfolgt auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) am Schutz unserer Plattform und ihrer Nutzer. IP-Adressen werden automatisch nach 15 Minuten gelöscht.

5.6 Server-Logs

Der Webserver (Apache) erzeugt wie jeder Webserver automatisch Zugriffsprotokolle. Diese enthalten IP-Adressen, aufgerufene URLs, Zeitstempel und Browser-Informationen. Diese Logs werden für maximal 7 Tage aufbewahrt und dienen ausschließlich Sicherheits- und Diagnosezwecken.

6. Zweck der Verarbeitung

• Betrieb der Plattform: Anmeldung, Authentifizierung, Galeriedarstellung, Veranstaltungskalender
• Sicherheit: Schutz vor Brute-Force, Spam, Bots und unbefugtem Zugriff
• Moderation: Prüfung und Freigabe von Nutzerinhalten durch berechtigte Moderatoren
• Gemeinschaft: Bereitstellung einer geschützten Plattform für die ver.di PG Queer

Kein Zweck: Werbung, Profiling, Verkauf von Daten, Marketing-Auswertungen oder Weitergabe an Dritte.

7. Speicherdauer

Datenkategorie	Speicherdauer
Mitglieder-Konten	Bis zur manuellen Löschung durch die Administration auf Anfrage
Galerie-Bilder (freigegeben)	Bis zur manuellen Löschung durch die Moderation
Galerie-Bilder (abgelehnt/ausstehend)	Automatisch nach 30 Tagen oder sofort bei Ablehnung
Veranstaltungseinreichungen	Bis zur manuellen Löschung durch die Administration
IP-Adressen (Rate-Limiting)	15 Minuten
Session-Cookies	Bis zum Schließen des Browsers
Server-Logs (Apache)	Maximal 7 Tage

8. Datenweitergabe

Wir geben deine Daten nicht an Dritte weiter — weder an Werbepartner, noch an Datenhändler oder andere Organisationen.

Eine Weitergabe erfolgt ausschließlich, wenn:

• wir gesetzlich dazu verpflichtet sind (z. B. Auskunftspflicht gegenüber Behörden),
• du ausdrücklich eingewilligt hast.

Externe Dienste

Diese Website bindet keine externen Dienste ein — keine Google-Dienste, kein Facebook, keine Analyse-Tools, keine Werbenetzwerke, keine externen Schriftarten oder Skripte. Alle Ressourcen werden von unserem eigenen Server geliefert.

Ausnahme: Die DNS-Auflösung über Cloudflare (siehe Abschnitt 4).

9. Technische Sicherheitsmaßnahmen

• HTTPS/TLS: Alle Daten werden verschlüsselt übertragen.
• Passwörter: Gespeichert als bcrypt-Hash (niemals im Klartext).
• Zwei-Faktor-Authentifizierung (2FA / TOTP): Optional für alle, Pflicht für Moderatoren. QR-Codes werden lokal im Browser generiert — es werden keine 2FA-Geheimnisse an Dritte übermittelt.
• Passkeys (WebAuthn): Sichere passwortlose Anmeldung ohne externe Dienste. Der private Schlüssel verlässt niemals dein Gerät.
• CSRF-Schutz: Alle Formulare sind durch Token gegen Cross-Site-Request-Forgery geschützt.
• Brute-Force-Schutz: Nach 5 fehlgeschlagenen Anmeldeversuchen wird die IP-Adresse für 15 Minuten gesperrt.
• AES-256-GCM-Verschlüsselung: Sensible Daten der Mitgliederliste werden mit AES-256-GCM verschlüsselt gespeichert. Der kryptographische Schlüssel liegt außerhalb des Webverzeichnisses.
• EXIF-Entfernung: Metadaten werden aus Bilduploads automatisch entfernt.
• Content Security Policy (CSP): Der Server erlaubt ausschließlich Ressourcen von der eigenen Domain.
• Referrer-Policy: no-referrer: Beim Verlassen der Seite wird kein Referrer-Header gesendet.
• Cloudflare DNS-Schutz: Schutz vor DDoS, DNS-Spoofing und Phishing auf DNS-Ebene.

10. Deine Rechte (DSGVO Art. 15–22)

Du hast folgende Rechte bezüglich deiner personenbezogenen Daten:

Recht	Bedeutung
Auskunft (Art. 15)	Du kannst jederzeit erfahren, welche Daten über dich gespeichert sind.
Berichtigung (Art. 16)	Unrichtige Daten können korrigiert werden (z. B. in deinem Konto-Profil).
Löschung (Art. 17)	Du kannst die Löschung deines Kontos und aller damit verbundenen Daten verlangen.
Einschränkung (Art. 18)	Du kannst die Verarbeitung einschränken lassen, z. B. während eines Widerspruchsverfahrens.
Datenübertragbarkeit (Art. 20)	Du kannst deine Daten in einem maschinenlesbaren Format anfordern.
Widerspruch (Art. 21)	Du kannst der Verarbeitung auf Basis berechtigter Interessen widersprechen.
Widerruf	Du kannst eine erteilte Einwilligung jederzeit widerrufen.

Um ein Recht auszuüben, wende dich über das Kontaktformular an uns. Wir bearbeiten Anfragen innerhalb von 30 Tagen.

Du hast außerdem das Recht, eine Beschwerde bei einer Datenschutzbehörde einzureichen. Zuständige Aufsichtsbehörde ist der Landesbeauftragte für Datenschutz und Informationsfreiheit deines Bundeslandes.

11. Kontakt für Datenschutzanfragen

Für alle Fragen und Anliegen zum Datenschutz, zur Auskunft über gespeicherte Daten oder zur Datenlöschung:

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei technischen oder rechtlichen Änderungen anzupassen. Das aktuelle Datum oben gibt den Stand der jeweils gültigen Version an.

Bei wesentlichen Änderungen werden eingeloggte Mitglieder beim nächsten Besuch darauf hingewiesen.