Fassung 1.0 · gültig für die Plattform helferliste.ch und sämtliche Vereins-Subdomains (*.helferliste.ch). Diese Erklärung informiert über die Bearbeitung von Personendaten nach dem revidierten schweizerischen Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) sowie – soweit anwendbar – der Datenschutz-Grundverordnung der EU (Verordnung (EU) 2016/679, „DSGVO"). Die Anwendung und sämtliche Daten werden in der Schweiz gehostet (Infomaniak).
Verantwortlich im Sinne von Art. 5 lit. j revDSG bzw. Art. 4 Ziff. 7 DSGVO für die plattformseitige Bearbeitung ist:
Sandro Egloff
Eichenweg 9
8134 Adliswil
Schweiz
E-Mail: kontakt@helferliste.ch
Ein Datenschutzbeauftragter bzw. eine Vertretung in der EU/CH ist gesetzlich nicht erforderlich und wurde nicht benannt.
Helferliste ist eine mandantenfähige Software-as-a-Service-Anwendung. Für die jeweils einem Verein zugeordneten Bearbeitungen (Anlässe, Helfer-Anmeldungen, Anwesenheit, Mitglieder-Stammdaten) ist der jeweilige Verein als eigenständig Verantwortlicher einzustufen; der Plattformbetreiber bearbeitet diese Daten insoweit als Auftragsbearbeiter (Art. 9 revDSG, Art. 28 DSGVO) im Auftrag und nach Weisung des Vereins. Für den Betrieb der Plattform selbst (Konten, Sicherheit, Abrechnung, Kommunikation) ist der Plattformbetreiber Verantwortlicher. Für vereinsbezogene Betroffenenrechte ist primär der jeweilige Verein Ansprechpartner.
„Personendaten" sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. „Bearbeiten" umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren (Beschaffen, Speichern, Verwenden, Bekanntgeben, Löschen). „Betroffene Person" ist die natürliche Person, über die Personendaten bearbeitet werden. Die Begriffe entsprechen Art. 5 revDSG bzw. Art. 4 DSGVO.
| Kategorie | Daten | Zweck | Rechtsgrundlage | Aufbewahrung |
|---|---|---|---|---|
| Helfer-Anmeldung | Vor-/Nachname, E-Mail, gewählte Posten/Schichten, Zeitstempel, Anwesenheitsstatus | Organisation und Durchführung der Einsätze, Bestätigungs- und Erinnerungs-E-Mails | Vertrag/vorvertragl. Massnahmen bzw. berechtigtes Interesse des Vereins (Art. 6 Abs. 1 lit. b/f DSGVO; Art. 31 revDSG) | bis Abschluss/Nachbearbeitung des Anlasses, danach Löschung/Anonymisierung |
| Mitglieder-Stammliste | Name, E-Mail, Telefon (optional) | Wiederkehrende Zuteilung und Einladung von Helfern durch den Verein | berechtigtes Interesse/Mitgliedschaft des Vereins | bis Löschung durch den Verein |
| Verwaltungs-Konten | E-Mail, Rolle, gehashtes Passwort, Anlass-Zuweisungen | Authentifizierung und Berechtigungssteuerung (Vereinsadmin / Organisationskomitee / Plattformbetreiber) | Vertrag / berechtigtes Interesse (Sicherheit) | bis Kontolöschung |
| Vereins-/Abrechnungsdaten | Vereinsname, Kontaktperson, Adresse, Rechnungs-E-Mail, Plan/Abostatus | Vertragsabwicklung, Support und Rechnungsstellung | Vertrag; gesetzliche Aufbewahrungspflichten | 10 Jahre für Rechnungsbelege (Art. 958f OR), sonst bis Vertragsende |
| Kontaktanfragen | Name, E-Mail, Nachricht | Beantwortung und Bearbeitung der Anfrage | berechtigtes Interesse / Einwilligung | bis Erledigung, danach übliche Aufbewahrung |
| Technische Daten | Server-/Zugriffslogs (IP, Zeitpunkt, User-Agent), technisch notwendige Cookies, lokale Browser-Speicherung | Betrieb, Stabilität, IT-Sicherheit, Missbrauchs- und Fehlerabwehr | berechtigtes Interesse am sicheren Betrieb (Art. 6 Abs. 1 lit. f DSGVO) | kurzfristig, danach automatische Löschung |
Es werden keine besonders schützenswerten Personendaten (Art. 5 lit. c revDSG) aktiv erhoben. Helfer sind angehalten, in Freitextfeldern keine sensiblen Angaben einzutragen.
Zur Erbringung des Dienstes setzen wir sorgfältig ausgewählte Auftragsbearbeiter ein, die vertraglich auf Vertraulichkeit, technisch-organisatorische Massnahmen und Weisungsgebundenheit verpflichtet sind (Auftragsbearbeitungsvertrag nach Art. 9 revDSG / Art. 28 DSGVO):
| Dienstleister | Zweck | Sitz / Region |
|---|---|---|
| Infomaniak Network SA | Hosting der Anwendung und Datenbank (Rechenzentren in der Schweiz) | Schweiz |
| Brevo (Sendinblue SAS) | Versand transaktionaler E-Mails (Bestätigung, Erinnerung, Einladung, Kontakt, Reports) | Frankreich (EU) |
Eine weitergehende Bekanntgabe an Dritte erfolgt nur, soweit dies zur Vertragserfüllung erforderlich ist, eine gesetzliche Pflicht besteht oder eine Einwilligung vorliegt. Es findet kein Verkauf von Personendaten statt.
Die Anwendung und die Datenbank werden ausschliesslich in der Schweiz gehostet (Infomaniak, Rechenzentren in der Schweiz). Die Personendaten verbleiben damit grundsätzlich in der Schweiz und unterstehen dem schweizerischen Datenschutzrecht (revDSG). Eine Bearbeitung im EU-/EWR-Raum erfolgt einzig für den Versand transaktionaler E-Mails über Brevo (Frankreich). Für diese Übermittlung bestehen geeignete Garantien – namentlich Standarddatenschutzklauseln bzw. ein Angemessenheitsbeschluss; der EWR gilt aus schweizerischer Sicht als Staat mit angemessenem Datenschutzniveau (Art. 16 f. revDSG, Art. 44 ff. DSGVO). Eine Kopie der Garantien kann beim Verantwortlichen angefragt werden.
Wir verwenden ausschliesslich technisch notwendige Cookies: ein signiertes Zugangs-Cookie für die Helferseite sowie ein Session-Cookie für den Verwaltungs-Login (HttpOnly, SameSite=Lax, bei HTTPS Secure). Zusätzlich wird im lokalen Speicher des Browsers (localStorage) gespeichert, welche Einträge dir gehören sowie deine zuletzt genutzte Ansicht – diese Daten verbleiben auf deinem Gerät. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt; daher ist keine Einwilligung (Cookie-Banner) erforderlich.
Personendaten werden nur so lange aufbewahrt, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten (z. B. handelsrechtliche Aufbewahrung von Rechnungsbelegen) bestehen. Danach werden sie gelöscht oder anonymisiert. Helfer können ihre Einträge jederzeit selbst über den Bearbeitungslink in der Bestätigungs-E-Mail ändern oder löschen.
Wir treffen angemessene technische und organisatorische Massnahmen (Art. 8 revDSG, Art. 32 DSGVO): Übertragung ausschliesslich verschlüsselt über TLS/HTTPS; Passwörter werden nie im Klartext, sondern ausschliesslich als kryptografischer Hash (scrypt mit Salt) gespeichert; strikte mandantenbezogene Trennung der Vereinsdaten; rollenbasierte Zugriffskontrolle; signierte, zeitlich begrenzte Zugriffstoken. Eine absolute Sicherheit der Datenübertragung über das Internet kann gleichwohl nicht garantiert werden.
Im Rahmen des anwendbaren Rechts stehen dir insbesondere folgende Rechte zu:
Zur Ausübung genügt eine formlose Mitteilung an kontakt@helferliste.ch. Zur Verhinderung von Missbrauch können wir einen Identitätsnachweis verlangen. Für vereinsbezogene Daten wende dich primär an den jeweiligen Verein.
Unbeschadet anderer Rechtsbehelfe hast du das Recht, dich bei einer Aufsichtsbehörde zu beschweren – in der Schweiz beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), in der EU bei der zuständigen Datenschutz-Aufsichtsbehörde deines Aufenthaltsorts.
Es findet keine ausschliesslich auf einer automatisierten Bearbeitung beruhende Entscheidung mit Rechtsfolge (Art. 21 revDSG, Art. 22 DSGVO) und kein Profiling zu Werbezwecken statt. Personendaten werden nicht für Direktwerbung verwendet.
Die Anwendung richtet sich an Vereine und deren Helfer. Tragen sich Minderjährige als Helfer ein, erfolgt dies in der Verantwortung des Vereins; gegebenenfalls ist die Zustimmung der Erziehungsberechtigten einzuholen.
Diese Datenschutzerklärung kann an geänderte Rechtslage oder Funktionen angepasst werden. Massgebend ist die jeweils auf dieser Seite veröffentlichte Fassung.