CZSKDEFRITEN
sprav.cz
Vereinsverwaltung

Datenschutzrichtlinie

Wirksam ab: 10. Februar 2026

Diese Richtlinien beschreiben, wie die Plattform sprav.cz („Plattform“) personenbezogene Daten verarbeitet. Die Verarbeitung richtet sich nach der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (DSGVO), dem schweizerischen Bundesgesetz über den Datenschutz (nDSG, rev. 2023) und anderen einschlägigen Rechtsvorschriften. Für Organisationen in der Tschechischen Republik: GDPR + zák. č. 110/2019 Sb.. Für Organisationen in der Slowakei: GDPR + z. č. 18/2018 Z.z.. Für Organisationen in der Schweiz (CH): nDSG (SR 235.1) (Fedlex). Für Organisationen in Deutschland (DE): GDPR + BDSG — Aufsichtsbehörde: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI). Für Organisationen in Österreich (AT): GDPR + DSG — Aufsichtsbehörde: Datenschutzbehörde (DSB). Aufsichtsbehörde für CH: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB).

Zusammenfassung (vereinfacht)

  • Wir verarbeiten nur Daten, die für den Betrieb der Plattform und die Verwaltung von Organisationen erforderlich sind.
  • Wir handeln nicht mit Ihren Daten und zeigen keine Werbung.
  • Wir speichern Abstimmungsaufzeichnungen und Audit-Logs länger aufgrund des rechtlichen Schutzes von Vereinen.
  • Wir verwenden nur notwendige Cookies für die Anmeldung — keine Tracker.
  • Sie haben das Recht auf Zugang, Berichtigung und Löschung (mit unten beschriebenen Ausnahmen).
  • Kontakt für Fragen zum Datenschutz: privacy@sprav.cz

1. Verantwortlicher und Auftragsverarbeiter

1.1 Plattformbetreiber (Auftragsverarbeiter)

TimeDeals Pavelka
Berglistrasse 28a, 8180 Bülach, Švýcarsko
UID: CHE-393.597.780
Einzelunternehmen (samostatně výdělečně činná osoba, Švýcarsko)
E-mail: privacy@sprav.cz

Der Plattformbetreiber tritt im Verhältnis zu den Daten der Mitglieder von Organisationen als Auftragsverarbeiter im Sinne von Art. 28 DSGVO / Art. 9 DSG auf. Die Plattform verarbeitet Daten im Namen und auf Anweisung der einzelnen Organisationen.

1.2 Verantwortlicher für Mitgliederdaten

Verantwortlicher für personenbezogene Daten der Mitglieder ist stets die jeweilige Organisation (Verein, STWEG, Interessengemeinschaft), die die Plattform zur Verwaltung ihrer Mitglieder, Abstimmungen und Dokumente nutzt. Die Organisation bestimmt Zwecke und Mittel der Verarbeitung.

1.3 Betreiber als Verantwortlicher

Für Daten, die zum Zweck des Betriebs und der Sicherheit der Plattform selbst verarbeitet werden (Kontoregistrierung, Anmeldesitzungen, Sicherheitsprotokolle, Schutz vor Missbrauch), tritt der Betreiber als eigenständiger Verantwortlicher auf.

2. Kategorien der verarbeiteten Daten

KategorieSpezifische DatenErforderlich?
KontodatenE-Mail-Adresse, Passwort-Hash (Argon2)Ja
Sitzungen und SicherheitToken-Hash, IP-Adresse, User-Agent, Zeit des letzten ZugriffsAutomatisch
MitgliederdatenZugehörigkeit zur Organisation, Rolle (Mitglied/Admin), MitgliedschaftsstatusJa
AbstimmungsaufzeichnungenAbgegebenes Votum (JA/NEIN/ENTHALTEN), Zeit, MitgliedsidentifikatorBei Abstimmung
Audit-LogsAktion (Typ), Akteur-Identifikator, Zeit, Kontext (Org, IP)Automatisch
E-Mail-ZustellungsaufzeichnungenEmpfängeradresse, Betreff, Zustellungsstatus, VersandzeitAutomatisch
Kommunikation (Forum, Nachrichten)Beitragstext, Autor, Zeit, Thread/KanalBei Nutzung
DokumenteHochgeladene Dateien, Name, Datum, Kategorie, AutorBeim Hochladen
Schutz vor MissbrauchAnzahl fehlgeschlagener Anmeldungen, Rate-Limit-AufzeichnungenAutomatisch

Wir verarbeiten keine besonderen Kategorien von Daten (sensible Daten) im Sinne von Art. 9 DSGVO, es sei denn, solche Daten werden von den Benutzern oder Administratoren der Organisationen selbst in das System eingegeben (z. B. im Text von Dokumenten). Für von Benutzern eingegebenen Inhalt ist die jeweilige Organisation verantwortlich.

3. Zwecke der Verarbeitung und Rechtsgrundlagen

ZweckRechtsgrundlage (DSGVO)Rechtsgrundlage (DSG)
Plattformbetrieb, Kontoverwaltung und OrganisationenArt. 6(1)(b) – VertragserfüllungArt. 31(1) – Verarbeitung zur Vertragserfüllung
Zugriffssicherung, Schutz vor Missbrauch (Rate Limiting, Login Throttle)Art. 6(1)(f) – berechtigtes Interesse des BetreibersArt. 31(1) – überwiegendes Interesse
Aufzeichnung von Aktivitäten (wer/was/wann) für Transparenz der VerwaltungArt. 6(1)(f) – berechtigtes Interesse der Organisation und des BetreibersArt. 31(1) – überwiegendes Interesse
Erfassung von Abstimmungen und ErgebnissenArt. 6(1)(b) – Vertragserfüllung + Art. 6(1)(f) – berechtigtes InteresseArt. 31(1) – Vertragserfüllung und überwiegendes Interesse
E-Mail-Zustellungsaufzeichnungen (Nachweis der Benachrichtigung)Art. 6(1)(f) – berechtigtes Interesse (Nachweisbarkeit der Zustellung)Art. 31(1) – überwiegendes Interesse
Kommunikation mit Benutzern (Support, Beantwortung von Fragen)Art. 6(1)(b) – Vertragserfüllung / Art. 6(1)(f) – berechtigtes InteresseArt. 31(1)

Das berechtigte Interesse bei Audit-Logs und Abstimmungsaufzeichnungen liegt in der Notwendigkeit für Organisationen, den ordnungsgemäßen Ablauf der Entscheidungsfindung nachzuweisen, und in der Notwendigkeit für den Betreiber, die Integrität der Plattform zu schützen. Dieses Interesse überwiegt das Recht auf Löschung, da eine Löschung die rückwirkende Kontrolle und rechtliche Verteidigung der Organisation unmöglich machen würde (Art. 17(3)(e) DSGVO). Für Organisationen mit Sitz in der Tschechischen Republik: § 258 ff. ABGB für Vereine, § 1200 ff. ABGB für STWEG. Für Organisationen mit Sitz in der Slowakei: z. č. 83/1990 Zb., z. č. 182/1993 Z.z..

4. Aufbewahrungsdauer

KategorieAufbewahrungsdauerGrund
Kontodaten (E-Mail, Passwort-Hash)Für die Dauer der Kontoexistenz; bei Kontolöschung sofort und unwiderruflich anonymisiert (keine Frist, keine Wiederherstellung)Vertragserfüllung
Anmeldesitzungen (Session)Max. 30 Tage (automatisches Ablaufen)Sicherheit
MitgliederdatenFür die Dauer der Mitgliedschaft in der OrganisationVertragserfüllung
AbstimmungsaufzeichnungenFür die Dauer der Organisationsexistenz; pseudonymisiert nach KontolöschungArt. 17(3)(e) DSGVO – Verteidigung rechtlicher Ansprüche
Audit-Logs5 Jahre ab Erstellung des EintragsBerechtigtes Interesse – rückwirkende Kontrolle
E-Mail-Zustellungsaufzeichnungen3 Jahre ab VersandNachweis der Zustellung von Benachrichtigungen
Forum und NachrichtenFür die Dauer der OrganisationsexistenzVertragserfüllung
DokumenteFür die Dauer der OrganisationsexistenzVertragserfüllung
Rate-Limit-AufzeichnungenAutomatisches Ablaufen (Fenster 1–60 Minuten)Temporärer Schutz
Anmeldeversuche (Login Attempts)30 Tage ab Versuch (automatisches Ablaufen)Schutz vor Brute-Force

IP-Adressen im Audit-Log werden nach 1 Jahr anonymisiert. User Agent wird nach 1 Jahr entfernt. Buchhaltungsaufzeichnungen (Zahlungen, Rechnungen) werden 10 Jahre aufbewahrt: für Organisationen in der Tschechischen Republik gemäß § 31 zák. č. 563/1991 Sb., für Organisationen in der Slowakei gemäß dem Rechnungslegungsgesetz z. č. 431/2002 Z.z..

5. Audit-Logs und Abstimmungsaufzeichnungen – besonderes Regime

Audit-Logs und Abstimmungsaufzeichnungen dienen dem Nachweis des ordnungsgemäßen Ablaufs der Entscheidungsfindung in der Organisation. Diese Aufzeichnungen können auf Anfrage nicht gelöscht werden, solange ein berechtigtes Interesse der Organisation an ihrer Aufbewahrung besteht (Art. 17(3)(e) DSGVO — Löschung findet keine Anwendung, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist).

Bei Löschung des Benutzerkontos werden Identifikationsdaten (E-Mail-Adresse, Passwort-Hash, Name) im Rahmen einer atomaren Transaktion sofort und unwiderruflich anonymisiert. Die E-Mail-Adresse wird durch einen systemseitigen Platzhaltertext ersetzt, der Passwort-Hash wird mit einem Zufallswert überschrieben und der Name wird entfernt. Nach der Löschung besteht keine Aufbewahrungsfrist und keine Möglichkeit zur Kontowiederherstellung.

Abstimmungsaufzeichnungen und relevante Audit-Logs werden bei Kontolöschung pseudonymisiert — der Benutzeridentifikator wird durch einen anonymen Platzhaltertext ersetzt, aber der faktische Eintrag selbst (Stimme, Aktion, Datum) bleibt erhalten.

E-Mail-Zustellungsaufzeichnungen (EmailLog) dienen als Nachweis, dass die Organisation ihren Mitgliedern eine Benachrichtigung gesendet hat (z. B. Einladung zur Abstimmung, Ergebnisse). Diese Aufzeichnungen werden auch nach Löschung des Benutzerkontos aufbewahrt, wobei die Verbindung zum Benutzer unterbrochen wird (userId wird auf null gesetzt).

6. Empfänger und Unterauftragsverarbeiter

Wir teilen Daten nur im erforderlichen Umfang mit folgenden Empfängerkategorien:

  • Hosting und Datenbanken: Anbieter der Serverinfrastruktur in der EU (PostgreSQL-Datenbanken). Daten werden ausschließlich auf dem Gebiet der EU/EWR verarbeitet.
  • E-Mail-Dienst: Postmark (ActiveCampaign, LLC, USA) — zum Versand von Transaktions-E-Mails. Die Übertragung in die USA erfolgt auf der Grundlage des EU-U.S. Data Privacy Framework. Verarbeitet werden nur Empfängeradressen und E-Mail-Inhalte im für die Zustellung erforderlichen Umfang.
  • Zahlungsdienst: Stripe, Inc. (USA) — zur Zahlungsabwicklung. Die Übertragung in die USA erfolgt auf der Grundlage des EU-U.S. Data Privacy Framework. Verarbeitet werden: E-Mail, Betrag, Organisationsidentifikator.
  • Fehlerverfolgungsdienst: Sentry (Functional Software, Inc., USA) — zur Diagnose technischer Probleme. Verarbeitet werden nur technische Fehlerdaten, ohne personenbezogene Daten.
  • Organisationsadministratoren: Administratoren einzelner Organisationen haben Zugriff auf die Daten der Mitglieder ihrer Organisation im für die Verwaltung von Mitgliedschaften, Abstimmungen und Dokumenten erforderlichen Umfang.

Wir verkaufen keine Daten, stellen sie Werbenetzwerken nicht zur Verfügung und teilen sie nicht mit Dritten über das oben Genannte hinaus.

7. Übermittlung von Daten in Drittländer

Der Betreiber hat seinen Sitz in der Schweiz. Die Europäische Kommission hat die Schweiz als Land mit angemessenem Datenschutzniveau anerkannt (Angemessenheitsbeschluss). Die Übermittlung von Daten zwischen der EU und der Schweiz erfordert keine zusätzlichen Garantien.

Für den E-Mail-Zustelldienst (Postmark/USA) gilt das EU-U.S. Data Privacy Framework. Im Falle einer Änderung dieses Rahmens werden entsprechende Maßnahmen ergriffen (Standardvertragsklauseln oder ein anderer Mechanismus gemäß Art. 46 DSGVO).

8. Cookies und technische Mittel

Die Plattform verwendet ausschließlich notwendige (technische) Cookies zur Verwaltung der Anmeldesitzung. Diese Cookies:

  • Verfolgen Benutzer nicht über Websites hinweg
  • Enthalten keine personenbezogenen Daten (nur kryptografischer Token-Hash)
  • Haben eine begrenzte Gültigkeit (max. 30 Tage)
  • Sind als HttpOnly und Secure eingestellt

Wir verwenden keine analytischen, Marketing- oder sonstigen Cookies von Drittanbietern. Eine Einwilligung zu Cookies ist daher nicht erforderlich (Ausnahme gemäß Art. 5(3) der Richtlinie 2002/58/EG).

9. Ihre Rechte

Als betroffene Person haben Sie folgende Rechte:

  • Recht auf Auskunft (Art. 15 DSGVO / Art. 25 DSG): Sie können Auskunft darüber verlangen, welche Daten wir über Sie verarbeiten, und eine Kopie dieser Daten erhalten.
  • Recht auf Berichtigung (Art. 16 DSGVO / Art. 32(1) DSG): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO / Art. 32(2)(c) DSG): Sie können die Löschung Ihres Kontos verlangen. Identifikationsdaten (E-Mail, Passwort, Name) werden sofort und unwiderruflich anonymisiert — das Konto kann nicht wiederhergestellt werden. Abstimmungsaufzeichnungen und Audit-Logs werden pseudonymisiert (siehe Punkt 5). Eine vollständige Löschung dieser Aufzeichnungen ist aufgrund von Art. 17(3)(e) DSGVO nicht möglich.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): In gesetzlich festgelegten Fällen (CZ) / in gesetzlich festgelegten Fällen (SK).
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem maschinenlesbaren Format zu exportieren. Organisationsadministratoren können Organisationsdaten exportieren.
  • Widerspruchsrecht (Art. 21 DSGVO / Art. 32(2)(b) DSG): Gegen Verarbeitungen, die auf berechtigtem Interesse beruhen.
  • Recht auf Beschwerde bei der Aufsichtsbehörde (siehe Punkt 10).

Wie Sie Ihre Rechte ausüben

Senden Sie Anfragen an privacy@sprav.cz. Zur Identitätsprüfung können wir eine Bestätigung von der E-Mail-Adresse anfordern, die Ihrem Konto zugeordnet ist. Wir werden auf Anfrage ohne unnötige Verzögerung, spätestens innerhalb von 30 Tagen antworten.

Sie können einen Antrag auf Kontolöschung auch direkt in den Profileinstellungen der Plattform stellen (falls diese Funktion verfügbar ist) oder per E-Mail.

Widerruf der Einwilligung

Sie können Ihre Einwilligung jederzeit in den Profileinstellungen widerrufen (Profil → Datenschutz → Einwilligung widerrufen). Nach dem Widerruf wird Ihr Konto gesperrt. Um den Zugang wiederherzustellen, muss die Einwilligung erneut erteilt werden.

10. Aufsichtsbehörden

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten nicht den Rechtsvorschriften entspricht, können Sie bei der zuständigen Aufsichtsbehörde Beschwerde einlegen:

  • Tschechische Republik: Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7 www.uoou.cz
  • Slowakische Republik: Úrad na ochranu osobných údajov SR, Hraničná 12, 820 07 Bratislava
  • Schweiz (CH): Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern www.edoeb.admin.ch
  • Deutschland (DE): Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), Graurheindorfer Str. 153, 53117 Bonn www.bfdi.bund.de
  • Österreich (AT): Datenschutzbehörde (DSB), Barichgasse 40–42, 1030 Wien www.dsb.gv.at

11. Technische und organisatorische Maßnahmen

Die Plattform implementiert angemessene technische und organisatorische Maßnahmen zum Schutz der Daten:

  • Passwörter ausschließlich als Hash gespeichert (Argon2id)
  • Anmeldesitzungen durch kryptografisches Token geschützt (SHA-256)
  • Kommunikation über TLS verschlüsselt (HTTPS)
  • CSRF-Schutz für alle mutierenden Anfragen
  • Schutz vor Brute-Force (Rate Limiting, Login Throttle)
  • Integritätssiegel (SHA-256-Hash) auf wichtigen Einträgen
  • Sicherheitsheader (CSP, HSTS, X-Frame-Options, X-Content-Type-Options)
  • Regelmäßige Integritätsprüfung von Einträgen auf der Zeitachse (SHA-256-Siegel)

Details zu Sicherheitsmaßnahmen finden Sie auf der Seite Sicherheit.

12. Änderungen dieser Richtlinien

Wir können diese Richtlinien als Reaktion auf Änderungen der Rechtsvorschriften, Plattformfunktionen oder Betriebsverfahren aktualisieren. Die aktuelle Version ist immer auf dieser Seite verfügbar. Über wesentliche Änderungen werden wir über die Plattform oder per E-Mail informieren.

13. Kontakt

Für Fragen zum Datenschutz wenden Sie sich an die zuständige Datenschutz-Kontaktperson (DPO-Kontakt):
privacy@sprav.cz (Datenschutz / DPO-Kontakt)
info@sprav.cz (allgemeine Anfragen)

TimeDeals Pavelka
Berglistrasse 28a, 8180 Bülach, Švýcarsko

Letzte Aktualisierung: 10. Februar 2026