Datenschutzerklärung - Dienstleistungsbrett

Dienstleistungsbrettstudentec Dienstleistungsbrett
studentec

1. Allgemeine Hinweise
Wir verarbeiten personenbezogene Daten unserer Mitglieder und sonstiger Betroffener ausschließlich im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und den einschlägigen Datenschutzgesetzen.
Die Daten werden nur so lange gespeichert, wie dies für die jeweilige Verarbeitung erforderlich ist bzw. gesetzliche Aufbewahrungsfristen bestehen. Danach werden die Daten gelöscht.
Betroffene haben jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch sowie ein Beschwerderecht bei der zuständigen Aufsichtsbehörde.

2. Systeme & Services
nableau (CRM-System)
Wir nutzen ein CRM-System für die Verwaltung von Kontakten und die Dokumentation von Vereinsaktivitäten.

Datenarten: Name, E-Mail-Adresse, Rolle im Verein, Protokolle zu Terminen/Telefonaten
Zwecke: Organisation der Vereinsarbeit, Verwaltung von Kontakten und Kommunikation
Zugriff: Vereinsmitglieder nach Freischaltung
Rechtsgrundlage: Vertrag/Mitgliedschaft (Art. 6 Abs. 1 lit. b DSGVO), berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Mitgliederversammlungen (OpenSlides)
Für die Durchführung von Mitgliederversammlungen nutzen wir die Software OpenSlides.

Datenarten: Mitgliederliste (Name, E-Mail-Adresse, Mitgliedsnummer), Accounts für die Teilnahme, Abstimmungsergebnisse
Zwecke: Durchführung und Dokumentation vereinsrechtlicher Versammlungen
Löschung: Alle Daten werden nach Abschluss der Versammlung gelöscht
Rechtsgrundlage: Erfüllung rechtlicher Pflichten aus dem Vereinsrecht (Art. 6 Abs. 1 lit. c DSGVO)

LimeSurvey
Wir führen von Zeit zu Zeit Umfragen unter Mitgliedern und Interessierten durch.

Datenarten: Antworten auf Umfragen; in der Regel anonym, in Einzelfällen auch personenbezogen (z. B. Name, E-Mail)
Zwecke: Feedback, Terminplanung, Rückmeldungen
Speicherdauer: Bis zur Auswertung abgeschlossen ist, danach Löschung
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Website
Für die Nutzung unserer Website gilt die dort veröffentlichte separate Datenschutzerklärung.

Mitglieder-Accounts (Microsoft 365)
Mitglieder unseres Vereins erhalten einen Microsoft-Account, um Vereinsdienste nutzen zu können.

Datenarten: Name, E-Mail-Adresse, technische Nutzungsdaten
Zwecke: Nutzung von Kommunikations- und Kollaborationsdiensten (z. B. E-Mail, Teams)
Rechtsgrundlage: Vertrag/Mitgliedschaft (Art. 6 Abs. 1 lit. b DSGVO)
Hinweis: Die Datenverarbeitung erfolgt durch Microsoft. Es gilt zusätzlich die Datenschutzerklärung von Microsoft.

WikiAI
Wir betreiben innerhalb unseres Vereins eine digitale Wissensplattform (Wiki), in der verschiedenste Informationen dokumentiert werden, z. B. zu Projekten, Leitfäden, Profilen von Mitgliedern, Protokollen von Meetings, Vorstandsämtern, Vereinsprozessen und weiteren vereinsrelevanten Themen.
Um den Zugriff auf dieses Wissen zu erleichtern, stellen wir einen Chatbot bereit. Mitglieder können diesem Fragen stellen, die sich auf die Inhalte der Wiki beziehen. Hierbei werden relevante Textausschnitte („Chunks“) aus der Wiki identifiziert und einem Large Language Model (LLM) zur Verfügung gestellt, das auf dieser Grundlage eine Antwort generiert und dem anfragenden Mitglied bereitstellt.

Zweck und Rechtsgrundlage:
Die Verarbeitung der Daten dient dem Ziel, das im Verein vorhandene Wissen effizient nutzbar zu machen und den Wissensaustausch zwischen Mitgliedern zu fördern. Rechtsgrundlage ist unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO, da wir damit eine nachhaltige Verwaltung und Nutzung des Vereinswissens sicherstellen.

Verarbeitete Daten:
Der Chatbot verarbeitet Inhalte aus der Wiki, soweit sie zur Beantwortung einer Anfrage erforderlich sind. Sensible personenbezogene Daten (z. B. Angaben zu Gesundheit, Religion, politischen Meinungen) sollen von Mitgliedern nicht in die Wiki eingetragen werden. Da die Inhalte von Mitgliedern gepflegt werden, können wir jedoch nicht ausschließen, dass personenbezogene Informationen über Dritte enthalten sind und somit im Rahmen der Chatbot-Nutzung verarbeitet werden.

Einsatz von Mistral AI:
Die Zusammenfassung und Antwortgenerierung erfolgt über die API von Mistral AI, das in diesem Zusammenhang als Auftragsverarbeiter für uns tätig ist. Wir haben mit Mistral AI einen Vertrag zur Auftragsverarbeitung (Data Processing Agreement, DPA) geschlossen. Nach Angaben von Mistral AI erfolgt die Verarbeitung ausschließlich auf Servern innerhalb der Europäischen Union. Wir gehen davon aus, dass die Verarbeitung im Einklang mit den geltenden europäischen Datenschutzgesetzen erfolgt.

Verantwortung für Inhalte:
Für die Richtigkeit, Vollständigkeit und Zulässigkeit der in der Wiki eingetragenen Informationen sind die jeweiligen Mitglieder verantwortlich, die diese Inhalte erstellen. Der Verein prüft diese Inhalte nicht systematisch.

Rechte der Betroffenen:
Mitglieder können jederzeit Auskunft darüber verlangen, welche selbst eingetragenen Daten über sie in der Wiki gespeichert sind, und deren Berichtigung oder Löschung beantragen. Sofern personenbezogene Informationen von Dritten eingetragen wurden, bemühen wir uns nach entsprechender Mitteilung um deren Löschung. Eine vollständige Vorabkontrolle oder Garantie dafür können wir jedoch nicht leisten.

Analyse und Monitoring der Nutzung:
Um die Qualität unseres Chatbot-Services kontinuierlich zu verbessern, werten wir die von Mitgliedern eingegebenen Prompts anonymisiert aus. Diese Analysen dienen ausschließlich der Weiterentwicklung und Optimierung des Dienstes.
Darüber hinaus behalten wir uns ein stichprobenartiges Monitoring der Prompts vor, um die Einhaltung der Nutzungsregeln sicherzustellen und Missbrauch (z. B. rechtswidrige Inhalte, Spam, technische Angriffe) zu erkennen. In solchen Fällen kann es erforderlich sein, bestimmte Prompts nicht nur anonymisiert, sondern in Verbindung mit den jeweiligen Nutzerkonten zu prüfen, um den Missbrauch nachvollziehen und unterbinden zu können.
Rechtsgrundlage hierfür ist unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO, da wir dadurch sowohl die Funktionsfähigkeit und Sicherheit unseres Systems als auch einen fairen und rechtskonformen Umgang mit dem Vereins-Chatbot gewährleisten.

MediaWiki
Wir nutzen MediaWiki zur internen Wissensverwaltung. Dort dokumentieren wir Projekte, Protokolle von Treffen, Leitfäden, Anleitungen usw.

Datenarten: Benutzerkonten (Name, E-Mail), Beiträge/Protokolle, Änderungsverläufe
Zwecke: Dokumentation und Organisation der Vereinsarbeit, Wissensmanagement
Zugriff: Vereinsmitglieder (rollenbasiert)
Rechtsgrundlage: Vertrag/Mitgliedschaft (Art. 6 Abs. 1 lit. b DSGVO), berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Dienstleistungsbrett
Wir betreiben eine eigene Web-Anwendung („Dienstleistungsbrett“), über die Vereinsmitglieder verschiedene Funktionen nutzen können.

Datenarten: Benutzerkonten (Name, E-Mail), Anmeldungen zu Veranstaltungen, Zugriffsprotokolle, Feedback an Vorstand/IT, statistische Daten (anonymisiert)
Zwecke: Veranstaltungsorganisation, Zutrittsverwaltung (Büro), interne Kommunikation, Bereitstellung von Statistiken
Zugriff: Alle Mitglieder, mit unterschiedlichem Funktionsumfang je nach Rolle (z. B. Vorstand, Projektleiter, Mitglieder)
Rechtsgrundlage: Vertrag/Mitgliedschaft (Art. 6 Abs. 1 lit. b DSGVO), berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Dolibarr (Buchhaltung)
Für die Buchhaltung setzen wir Dolibarr ein.

Datenarten: Einnahmen- und Ausgabenbelege, Kontodaten
Zwecke: Finanzbuchhaltung, Erfüllung gesetzlicher Nachweispflichten
Zugriff: Nur Vorstand für Finanzen und Recht
Rechtsgrundlage: Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)

Nextcloud
Unsere Mitglieder erhalten Zugang zu einer vereinsinternen Nextcloud. Dort stehen persönliche Speicherbereiche sowie gemeinsame Ordner mit Materialien und Vorlagen zur Verfügung.

Datenarten: Benutzerkonten (Name, E-Mail), gespeicherte Dateien und Ordner
Zwecke: Speicherung, Austausch und gemeinsame Bearbeitung von Vereinsdokumenten und Materialien
Zugriff: Vereinsmitglieder (rollenbasiert)
Rechtsgrundlage: Vertrag/Mitgliedschaft (Art. 6 Abs. 1 lit. b DSGVO), berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

3. Hosting & IT-Infrastruktur
Unsere Systeme werden von uns selbst administriert und bei der netcup GmbH gehostet.

Datenarten: Nutzungs- und Verbindungsdaten, technisch erforderliche Server-Logs
Zwecke: Betrieb und Sicherheit unserer IT-Systeme
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Hinweis: Mit netcup besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

4. Weitergabe von Daten
Daten werden grundsätzlich nicht an Dritte weitergegeben, außer:
wenn dies für die Abwicklung der Vereinsarbeit erforderlich ist (z. B. Bank für Beitragseinzug, Steuerbehörden)
wenn wir gesetzlich dazu verpflichtet sind
wenn Betroffene eingewilligt haben

5. Rechte der Betroffenen
Betroffene haben nach der DSGVO insbesondere folgende Rechte:

Auskunft über die gespeicherten personenbezogenen Daten (Art. 15 DSGVO)
Berichtigung unrichtiger Daten (Art. 16 DSGVO)
Löschung (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch gegen Verarbeitungen (Art. 21 DSGVO)
Beschwerderecht bei der zuständigen Aufsichtsbehörde

6. Verantwortlicher
studentec e. V.
Adenauerring 7
76131 Karlsruhe
Tel.: +49 721 47003276
E-Mail: vorstandsvorsitz@studentec.de