1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)
Florian Mori, Einzelunternehmer
Geschäftsbezeichnung: „sportwochen-organisator"
Quellweg 8, 9122 St. Kanzian am Klopeiner See, Österreich
Tel.: +43 676 3939570 · E-Mail: office@sportwochen-organisator.at
UID: ATU70000713 — weitere Angaben siehe Impressum.
2. Welche Daten werden erhoben?
- Bei Buchungsanfragen: Name, E-Mail, Telefon, Schule, Anzahl Schüler:innen, gewünschte Sportarten und Zeitraum.
- Bei Logins: E-Mail, gehashtes Passwort (bcrypt), Rolle, Mandant.
- Im Chat-Modul: Inhalt der Nachrichten + Autor + Zeitstempel.
- Technische Daten: IP-Adresse (zum Schutz vor Missbrauch), Browser, Zeitstempel.
- Einwilligungs-Audit: Datum und Version der akzeptierten Datenschutzerklärung.
3. Zweck der Verarbeitung
Abwicklung von Buchungs-Anfragen und Vertragsabschlüssen, Organisation der Schulsportwochen (Wochenplanung, Shuttle, Unterkunft), Kommunikation zwischen Schulen, Trainer:innen und Veranstalter.
4. Rechtsgrundlage
- Vertragsabwicklung (Art. 6 Abs. 1 lit. b DSGVO) — für Buchungen.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — für IP-Logs zur Missbrauchsabwehr.
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — für Newsletter / Marketing-Mails (optional).
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) — Buchhaltungsbelege müssen 7 Jahre aufbewahrt werden.
5. Speicherdauer
- Buchungen mit Vertragsabschluss: 7 Jahre (§ 132 BAO).
- Demo-Anfragen ohne Vertragsabschluss: 12 Monate, danach automatische Löschung.
- Chat-Nachrichten: mit der Buchung, max. 7 Jahre.
- Login-Daten: bis Account-Löschung.
- Daten-Backups: tägliche 30 Tage, monatliche 12 Monate, jährliche 5 Jahre.
6. Weitergabe an Dritte
Nur an Unterkünfte (für die Reservierung), Trainer:innen (für den Sportplan), Shuttle-Anbieter (für den Pickup) und Versicherer im notwendigen Umfang. Keine Werbe-Weitergabe. Kein Verkauf von Daten. Keine Übermittlung in Drittstaaten außerhalb der EU.
7. Teilnehmerdaten bei ausbildungspflichtigen Sportarten (z. B. Tauchen, Klettern, Surfen)
Für die meisten Sportarten (z. B. Volleyball, Tennis, Reiten) verarbeiten wir keine personenbezogenen Daten einzelner Teilnehmer:innen — es genügen Gruppengrößen.
Bestimmte Sportarten mit Ausbildung oder Zertifikat (z. B. Tauchen, Klettern, Surfen) lassen sich ohne Teilnehmerdaten nicht durchführen (Ausbildung, Ausstellung von Nachweisen/Brevets, Aufsichts- und Sicherheitspflichten). In diesem Fall gilt:
- Erhobene Daten: Vorname, Nachname, Geburtsdatum, E-Mail-Adresse.
- Zweck: Durchführung der gebuchten Ausbildung/Schnupperkurse, Ausstellung erforderlicher Nachweise/Brevets, Erfüllung von Aufsichts- und Sicherheitspflichten.
- Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
- Empfänger: ausschließlich die für die gebuchte Sportart durchführende Sportschule. Gibt diese die Daten in eigener Verantwortung an eine Zertifizierungsstelle weiter (z. B. zur Brevet-Ausstellung), informiert sie darüber gesondert. Keine Übermittlung in Drittstaaten außerhalb der EU/des EWR, sofern nicht gesondert angegeben.
- Speicherdauer: Löschung spätestens 6 Wochen nach Ende der Sportwoche, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Gesundheitsdaten (z. B. Tauchtauglichkeit): werden nicht auf dieser Plattform gespeichert. Sie werden direkt zwischen den Erziehungsberechtigten und der Sportschule ausgetauscht; die Plattform speichert lediglich den Status („Formular liegt vor"). Rechtsgrundlage ist die ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO), die jederzeit mit Wirkung für die Zukunft widerrufen werden kann.
Minderjährige: Die Einwilligung erteilen die Erziehungsberechtigten. Die Teilnahme an solchen Sportarten setzt die Bereitstellung dieser Daten voraus.
8. Auftragsverarbeiter
- Hosting: derzeit in Österreich (Server-Standort wird auf der Impressum-Seite veröffentlicht, sobald produktiv).
- Mail-Versand: SMTP-Provider (eigene Domain — kein US-Dienst).
- Optional (nur mit Einwilligung): Telegram-Bot für Shuttle-Push.
9. Eure Rechte
Ihr habt jederzeit das Recht auf:
- Auskunft (Art. 15) — was wir über euch gespeichert haben.
- Berichtigung (Art. 16) — über das Profil-Menü ändern.
- Löschung (Art. 17) — über „Account-Löschung anfordern" im Profil, oder per Mail.
- Einschränkung (Art. 18) — Verarbeitung pausieren.
- Datenübertragbarkeit (Art. 20) — komplett-Export als JSON über das Profil-Menü.
- Widerspruch (Art. 21) — Newsletter abbestellen, Marketing-Einwilligung widerrufen.
Kontakt: office@sportwochen-organisator.at
10. Beschwerderecht
Österreichische Datenschutzbehörde, www.dsb.gv.at
11. Cookies
Diese Webseite verwendet ausschließlich technisch notwendige Cookies:
- pb_auth — Session-Token nach Login. Lebensdauer: 14 Tage oder bis Logout.
- locale — gewählte Sprache (DE/EN). Lebensdauer: 1 Jahr.
- cookie_consent — eure Cookie-Auswahl. Lebensdauer: 1 Jahr.
KEIN Tracking, KEINE Werbe-Cookies, KEIN Google Analytics, KEIN Facebook-Pixel. Ihr könnt eure Cookie-Auswahl jederzeit im Footer unter „🍪 Cookie-Einstellungen" ändern.
12. Datensicherheit
- HTTPS-Verschlüsselung der gesamten Webseite.
- Passwörter gehasht mit bcrypt.
- Datenbank-Zugriff nur über autorisierten Server.
- Tägliche / monatliche / jährliche Backups pro Mandant.
- Mandantentrennung: jeder Veranstalter sieht nur seine eigenen Daten.