Datenschutzerklärung der NWAG.NRW

Diese Datenschutzerklärung wird vor dem Go-Live final ausformuliert. Der folgende Text ist ein Platzhalter für v0.1.

1. Verantwortlicher

Neufundländer Wasserarbeitsgruppe NRW e.V., Anschrift siehe Impressum. Kontakt: mail@nwag.nrw.

2. Zweck der Verarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich zum Zweck der Beantwortung von Anfragen, der Vereinsarbeit und der Durchführung von Veranstaltungen.

3. Kontaktformular

Die per Formular übermittelten Daten (Name, E-Mail, Anliegen, Nachricht) werden zur Bearbeitung der Anfrage gespeichert und nicht an Dritte weitergegeben. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4. Server-Logfiles

Beim Aufruf der Website werden technische Daten (IP-Adresse, Datum, Browser) im Server-Logfile gespeichert. Diese Daten werden nach 7 Tagen automatisch gelöscht.

5. Cookies und Einwilligung

Wir setzen technisch notwendige Cookies ein. Zusätzlich verwenden wir Reichweiten-Messung und Spam-Schutz, die Cookies bzw. Local-Storage-Einträge setzen. Diese werden nur nach Deiner Einwilligung über unser Cookie-Banner aktiviert. Die Einwilligung kann jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen werden.

6. Webanalyse mit Matomo (selbstgehostet)

Mit Deiner Einwilligung nutzen wir die Open-Source-Webanalyse Matomo auf Servern der bymueller.media (Domain analytics.bymueller.com). Es werden pseudonymisierte Daten zu Seitenaufrufen, Verweildauer und Quelle erfasst. Die IP-Adresse wird automatisch anonymisiert (letztes Oktett wird entfernt), eine Verarbeitung in Drittstaaten findet nicht statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

7. Webanalyse mit Google Analytics

Mit Deiner Einwilligung nutzen wir Google Analytics 4 der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Google Analytics verwendet Cookies und ähnliche Technologien zur Auswertung der Nutzung. Wir nutzen die Funktion „IP-Anonymisierung". Eine Übermittlung von Daten in die USA an Google LLC ist möglich, dies geschieht auf Basis der EU-Standardvertragsklauseln und des EU-US Data Privacy Framework. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst die Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.

8. Spam-Schutz mit Google reCAPTCHA

Auf unseren Formularen setzen wir Google reCAPTCHA v3 der Google Ireland Limited ein. reCAPTCHA prüft im Hintergrund, ob die Eingaben durch eine echte Person erfolgen, und übermittelt dazu IP-Adresse, Browserdaten und ein Verhaltens-Profil an Google. Eine Übermittlung in die USA an Google LLC ist möglich. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Spam und Missbrauch). Datenschutzerklärung von Google: policies.google.com/privacy.

9. Externe Dienste (Karten, Adress-Autocomplete)

Karten werden als statische Bilder mit Link auf OpenStreetMap eingebunden, es findet keine Datenübertragung an Drittanbieter beim bloßen Aufruf der Seite statt. Auf der Mitgliedsantrag-Seite verwenden wir die Adress-Autocomplete-API der Komoot Photon (photon.komoot.io). Daten werden nur dann übertragen, wenn Du aktiv eine Adresse eingibst.

10. Virenprüfung von Datei-Uploads (VirusTotal)

Wenn Du im Mitgliedsantrag oder in einem anderen Formular eine Datei hochlädst (z. B. Impfpass, Ahnentafel), prüfen wir vor dem Versand per Mail, ob die Datei in einer öffentlichen Schadsoftware-Datenbank als gefährlich bekannt ist. Dazu nutzen wir die VirusTotal-API der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland), Tochter der Chronicle Security / Google LLC.

Wichtig — was übertragen wird und was NICHT: Wir übermitteln ausschließlich einen kryptografischen Fingerabdruck Deiner Datei (SHA-256-Hash) an VirusTotal. Aus diesem Hash kann der Inhalt der Datei nicht rekonstruiert werden. Die Datei selbst, Dein Name, Deine Adresse oder andere personenbezogene Daten werden nicht an VirusTotal übertragen. Wir laden auch keine Dateien zu VirusTotal hoch — wir fragen lediglich an, ob ein identisches File bereits aus früheren öffentlichen Uploads dort als schädlich klassifiziert wurde.

Wird eine Datei als schädlich eingestuft (mindestens zwei unabhängige AV-Engines schlagen Alarm), brechen wir den Versand ab und Du erhältst einen Hinweis im Formular. Ist die Datei VirusTotal nicht bekannt (üblicherweise bei privaten PDFs der Fall), wird sie ohne weitere Übertragung an VirusTotal regulär per Mail an uns weitergeleitet. Eine Übermittlung in die USA ist möglich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz unserer IT-Systeme und der Postfächer unserer Vorstandsmitglieder vor Schadsoftware). Datenschutzerklärung von VirusTotal: docs.virustotal.com/docs/data-privacy.

11. Deine Rechte

Du hast jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Anfragen bitte per Mail an mail@nwag.nrw.

12. Beschwerderecht

Du hast das Recht, Dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, z. B. der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

Stand: v1.5, ergänzt um VirusTotal-Hash-Lookup für Datei-Uploads. Finale Fassung wird vor Go-Live durch einen DSB geprüft.