Datenschutzerklärung der EasySadaqa

Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

EasySadaqa
Inhaber: Ahmed Fahim Abajtit
Adalbertsteinweg 23
52070 Aachen
Deutschland

E-Mail: info@easysadaqa.de
Telefon: +49 152 22 81 49 54
USt-IdNr.: DE460683811

Ein Datenschutzbeauftragter ist derzeit nicht bestellt. Für Datenschutzanfragen können Sie sich jederzeit an die oben genannten Kontaktdaten wenden.

2. Geltungsbereich

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten im Zusammenhang mit:

der Website easysadaqa.eu,
dem Kundenportal portal.easysadaqa.com,
der API api.easysadaqa.com,
dem Admin-Bereich admin.easysadaqa.com,
der EasySadaqa Android-/Tablet-Anwendung,
Kontaktanfragen,
Vertragsbeziehungen mit Kunden und Interessenten,
technischen Integrationen mit Drittanbietern,
Support-, Sicherheits- und Verwaltungsprozessen.

3. Rollenverständnis: Verantwortlicher und Auftragsverarbeiter

EasySadaqa verarbeitet personenbezogene Daten teils als eigener Verantwortlicher, teils als Auftragsverarbeiter im Auftrag seiner Kunden.

EasySadaqa ist insbesondere eigener Verantwortlicher, soweit personenbezogene Daten verarbeitet werden für:

den Betrieb der Website,
die Bearbeitung von Kontakt- und Vertragsanfragen,
Angebots- und Vertragsverwaltung,
Abrechnung und Buchhaltung,
Support und Kundenkommunikation,
IT-Sicherheit, Missbrauchsprävention und Logging,
Produktadministration, interne Organisation und Compliance,
eigene Marketing- und Vertriebszwecke im gesetzlich zulässigen Rahmen,
Referral-/Partnerbeziehungen mit Drittanbietern, soweit EasySadaqa selbst Zwecke und Mittel bestimmt.

EasySadaqa verarbeitet personenbezogene Daten regelmäßig als Auftragsverarbeiter im Sinne des Art. 28 DSGVO, soweit Kunden über Portal, App, API oder Geräte personenbezogene Daten ihrer Mitglieder, Spender, Ansprechpartner, Mitarbeitenden, Empfänger von Bescheinigungen oder anderer betroffener Personen verarbeiten lassen.

In solchen Fällen bleibt der jeweilige Kunde Verantwortlicher. EasySadaqa verarbeitet diese Daten nur nach Maßgabe einer Vereinbarung zur Auftragsverarbeitung und den Weisungen des Kunden.

4. Kategorien personenbezogener Daten

Je nach Nutzung und Kontext verarbeiten wir insbesondere folgende Kategorien personenbezogener Daten:

Stamm- und Identifikationsdaten, z. B. Name, Organisation, Anschrift, E-Mail-Adresse, Telefonnummer,
Vertrags-, Abrechnungs- und Kommunikationsdaten,
Zugangs-, Nutzer- und Rollendaten,
technische Protokoll-, Geräte- und Nutzungsdaten,
App-, Portal- und Administrationsdaten,
Transaktions- und Integrationsmetadaten,
Support- und Anfragedaten,
Inhaltsdaten, z. B. Logos, Bilder, Videos, Banner, Signaturen, Stempel, Nachrichten, Projekttexte, Uploads,
je nach Nutzung durch den Kunden: Mitglieds-, Beitrags-, Spenden-, Bescheinigungs- und Exportdaten.

Soweit der Kunde EasySadaqa für religiöse Einrichtungen oder mitgliederbezogene Verwaltungsprozesse nutzt, kann nicht ausgeschlossen werden, dass einzelne Datenkonstellationen Rückschlüsse auf besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO zulassen. Soweit dies durch den Kunden veranlasst wird, erfolgt eine solche Verarbeitung grundsätzlich auf dessen Verantwortlichkeit; EasySadaqa verarbeitet diese Daten dann regelmäßig als Auftragsverarbeiter.

5. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten insbesondere zu folgenden Zwecken:

Bereitstellung und Betrieb unserer Website, Portale, Apps und Schnittstellen,
Registrierung, Authentifizierung und Kontoverwaltung,
Angebotserstellung, Vertragsschluss und Vertragsdurchführung,
Support, Kommunikation und Störungsbearbeitung,
Gewährleistung von IT-Sicherheit, Systemsicherheit und Missbrauchsprävention,
Einbindung von Zahlungsschnittstellen und technischen Drittanbietern,
Versand transaktionaler E-Mails und sonstiger Systemnachrichten,
Erfüllung rechtlicher Verpflichtungen,
Dokumentation, Nachweisführung und Verteidigung von Ansprüchen,
statistische, betriebliche und technische Auswertung in datenschutzkonformer Form,
gegebenenfalls Einwilligungs- oder Trackingprozesse, soweit solche Dienste aktiv eingesetzt werden.

Rechtsgrundlagen sind insbesondere:

Art. 6 Abs. 1 lit. a DSGVO für einwilligungsbasierte Verarbeitungen,
Art. 6 Abs. 1 lit. b DSGVO zur Durchführung vorvertraglicher Maßnahmen und zur Erfüllung von Verträgen,
Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Verpflichtungen,
Art. 6 Abs. 1 lit. f DSGVO zur Wahrung berechtigter Interessen, insbesondere an sicherem Betrieb, IT-Sicherheit, Missbrauchsprävention, Produktverbesserung, Support, interner Verwaltung und Rechtsverteidigung,
gegebenenfalls Art. 9 Abs. 2 DSGVO, soweit besondere Kategorien personenbezogener Daten im Rahmen von Kundendaten im Auftrag verarbeitet werden und hierfür die jeweilige Rechtsgrundlage durch den Kunden geschaffen wurde,
§ 25 TDDDG, soweit Informationen auf Endeinrichtungen gespeichert oder daraus ausgelesen werden und dies nicht unbedingt erforderlich ist.

6. Aufruf der Website und Server-Logfiles

Beim Aufruf unserer Website verarbeiten wir technisch erforderliche Zugriffsdaten, insbesondere:

IP-Adresse,
Datum und Uhrzeit des Zugriffs,
aufgerufene Seite bzw. Ressource,
Referrer-URL,
Browsertyp und Browserversion,
Betriebssystem,
Hostname des zugreifenden Rechners,
sonstige technische Verbindungsdaten.

Die Verarbeitung erfolgt zur Bereitstellung der Website, zur Stabilität, Sicherheit, Fehleranalyse und Missbrauchsprävention.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Server- und Sicherheitslogs werden grundsätzlich nur so lange gespeichert, wie dies für die genannten Zwecke erforderlich ist. Die Speicherung erfolgt in der Regel für bis zu 90 Tage, soweit keine längere Speicherung zur Aufklärung von Sicherheitsvorfällen, zur Fehleranalyse, zur Rechtsverteidigung oder zur Erfüllung gesetzlicher Pflichten erforderlich ist.

7. WordPress, Theme- und Plugin-Komponenten

Unsere Website basiert auf WordPress. Dabei können technische Daten wie IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Seiten, Browser, Betriebssystem, Referrer-URL und Server-Logdaten verarbeitet werden.

Auf der Website werden Theme- und Plugin-Komponenten eingesetzt, insbesondere aus den Bereichen Consent, Mehrsprachigkeit, Formulare, Seitenaufbau, Performance und Backup.

Nach dem aktuellen Stand betrifft dies insbesondere Komponenten wie Blocksy, Polylang, Contact Form 7, Elementor / PRO Elements, GreenShift, All-in-One WP Migration and Backup sowie weitere technische Hilfskomponenten.

Soweit diese Komponenten technisch erforderlich sind, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO oder – soweit die Verarbeitung für die Nutzung ausdrücklich gewünschter Funktionen erforderlich ist – auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO bzw. § 25 Abs. 2 Nr. 2 TDDDG.

Soweit einzelne Komponenten nicht erforderliche Cookies oder Drittaufrufe auslösen, erfolgt ihr Einsatz nur nach entsprechender Einwilligung.

8. Cookies und Einwilligungsmanagement

Wir verwenden Cookies und vergleichbare Technologien. Einige hiervon sind technisch erforderlich, andere dienen Statistik-, Komfort- oder Integrationszwecken.

Technisch erforderliche Cookies und vergleichbare Technologien verwenden wir auf Grundlage von § 25 Abs. 2 TDDDG sowie – sofern personenbezogene Daten verarbeitet werden – Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 1 lit. b DSGVO.

Nicht erforderliche Cookies und vergleichbare Technologien setzen wir nur ein, wenn Sie uns hierfür zuvor Ihre Einwilligung erteilt haben. Rechtsgrundlage ist dann § 25 Abs. 1 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO.

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen oder Ihre Auswahl über den Link „Cookie-Einstellungen“ ändern.

Soweit als Sprachcookie z. B. pll_language verwendet wird, dient dieses Cookie der Bereitstellung der von Ihnen gewünschten Sprachversion und ist funktional erforderlich.

9. Kontaktaufnahme per Formular, E-Mail, Telefon und WhatsApp

Wenn Sie uns kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Daten, z. B.:

Name,
Organisation,
E-Mail-Adresse,
Telefonnummer,
Inhalt der Nachricht,
gegebenenfalls technische Metadaten des Kontakts.

Die Verarbeitung erfolgt zur Bearbeitung Ihrer Anfrage, zur Kommunikation mit Ihnen und gegebenenfalls zur Vertragsanbahnung oder Vertragsdurchführung.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Anfrage vorvertraglich oder vertraglich veranlasst ist, im Übrigen Art. 6 Abs. 1 lit. f DSGVO.

Wenn Sie uns über einen WhatsApp-Link kontaktieren, werden personenbezogene Daten auch durch WhatsApp bzw. Meta verarbeitet. Dazu können Telefonnummer, Kommunikationsinhalte, Metadaten und technische Informationen gehören. Für die Datenverarbeitung durch WhatsApp/Meta gelten deren eigene Datenschutzinformationen. Die Nutzung von WhatsApp ist freiwillig; alternativ können Sie uns per E-Mail oder Telefon kontaktieren.

10. Kundenkonto, Registrierung und Portalnutzung

Bei Registrierung und Nutzung des Kundenportals verarbeiten wir insbesondere:

Organisationsdaten,
Ansprechpartnerdaten,
E-Mail-Adresse und Telefonnummer,
Anschrift,
Benutzername und Zugangsdaten,
Rollen- und Berechtigungsinformationen,
Vertrags- und Abrechnungsdaten,
Nutzungs- und Sicherheitsdaten,
Geräte- und Pairing-Informationen.

Die Verarbeitung erfolgt zur Bereitstellung des Kundenkontos, zur Authentifizierung, zur Vertragsdurchführung, für Supportleistungen, zur Missbrauchsprävention und zur Systemsicherheit.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b, Art. 6 Abs. 1 lit. c und Art. 6 Abs. 1 lit. f DSGVO.

11. Administrationsbereich, Login, 2FA und Passkeys

Im Admin-Bereich sowie bei sicherheitsrelevanten Logins verarbeiten wir – soweit eingesetzt – insbesondere:

Name,
E-Mail-Adresse,
Benutzername,
Rollen und Berechtigungen,
Login-Zeitpunkte,
IP-Adresse,
User-Agent,
Sicherheitsereignisse,
2FA-Daten,
WebAuthn-/Passkey-Informationen, z. B. Credential-ID, Public Key, Zählerstände und Transportinformationen.

Die Verarbeitung dient der Authentifizierung, Zugriffskontrolle, Nachvollziehbarkeit, Sicherheit und Missbrauchsprävention.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und Art. 6 Abs. 1 lit. f DSGVO.

12. Android-/Tablet-App und Gerätebetrieb

Bei Nutzung der EasySadaqa Android-/Tablet-Anwendung können – je nach Konfiguration – folgende Daten verarbeitet werden:

Geräte- oder Hardware-ID,
Modell, Hersteller und Betriebssystemversion,
App-Version,
Device Token,
Pairing-Informationen,
Batteriestatus, letzter Status, letzte Aktivität,
technische Logs,
Fehler- und Absturzberichte,
Synchronisations- und Konfigurationsdaten,
Metriken und Transaktionsmetadaten.

Die Verarbeitung dient der Bereitstellung der App, der Kopplung mit dem Kundenkonto, der Sicherheit, Fehleranalyse, Synchronisation, Fernwartung, Update-Steuerung und Missbrauchsprävention.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und Art. 6 Abs. 1 lit. f DSGVO; soweit die Verarbeitung im Auftrag des Kunden erfolgt, erfolgt sie zusätzlich auf Grundlage von Art. 28 DSGVO.

13. Android-Berechtigungen

Die Android-App kann je nach Konfiguration Berechtigungen für Internetzugriff, Netzwerkstatus, Bluetooth-Verbindungen, Vordergrunddienste, Anzeige über anderen Apps, Installation von App-Paketen, Wallpaper-Funktionen und Bedienungshilfen verwenden.

Die Bedienungshilfe-Funktion dient ausschließlich dazu, eine schwebende Navigations- oder Steuerungsfunktion bereitzustellen und systembezogene App-Funktionen auszuführen. Die App ist nicht darauf ausgelegt, Bildschirminhalte anderer Apps auszulesen.

14. Technische Logs, Metriken und Transaktionsmetadaten

Zur Gewährleistung des technischen Betriebs, zur Fehleranalyse, zur Missbrauchsprävention sowie zur Darstellung und Abstimmung technischer Vorgänge können wir technische Logs, Statusinformationen, Metriken und Transaktionsmetadaten verarbeiten.

Hierzu können insbesondere gehören:

Zeitpunkte,
Statuscodes,
Referenzen,
Projektbezüge,
Geräteinformationen,
App-Versionen,
Roh- oder Fehlermeldungen,
technische Kontextdaten.

Wir achten darauf, den Umfang dieser Daten auf das Erforderliche zu beschränken und keine vollständigen Kartendaten zu speichern.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO sowie – bei Vertragsbezug – Art. 6 Abs. 1 lit. b DSGVO.

Technische Geräte-, App- und Sicherheitslogs werden in der Regel für bis zu 90 Tage gespeichert, soweit keine längere Speicherung für Sicherheit, Fehleranalyse, Nachweiszwecke, Vertragsdurchführung oder Rechtsverteidigung erforderlich ist.

15. Einbindung von Zahlungsdienstleistern, insbesondere SumUp

Wenn der Kunde eine Integration mit einem Zahlungsdienstleister nutzt, insbesondere mit SumUp, können technische Integrationsdaten verarbeitet werden, z. B.:

Merchant- oder Händlerkennungen,
OAuth- oder Autorisierungstoken,
Transaktionslisten und Transaktionsstatus,
Beträge, Währungen, Zeitpunkte und Referenzen,
technische Schnittstellendaten.

EasySadaqa speichert keine vollständigen Kartennummern und wickelt keine Kartenzahlungen als eigener Zahlungsdienstleister ab. Die eigentliche Zahlungsabwicklung erfolgt durch den jeweiligen Zahlungsdienstleister.

SumUp handelt bei der Zahlungsabwicklung, der Händlerprüfung, KYC-/AML-Prüfung, Betrugsprävention, Zahlungsautorisierung, Auszahlung, Rückerstattung und Bearbeitung von Chargebacks grundsätzlich als eigener Verantwortlicher. EasySadaqa hat keinen Zugriff auf vollständige Kartendaten und entscheidet nicht über die Annahme, Ablehnung oder Auszahlung einzelner Zahlungen.

Soweit EasySadaqa im Rahmen einer Referral-/Partnerbeziehung mit einem Zahlungsdienstleister selbst Zwecke und Mittel für bestimmte Datennutzungen bestimmt, erfolgt die Verarbeitung insoweit in eigener Verantwortlichkeit. Das betrifft insbesondere Daten, die im Rahmen einer Partner- oder Referral-Abstimmung übermittelt werden können.

Soweit der Kunde selbst Zahlungsdaten in seinem Verhältnis zum Zahlungsdienstleister verarbeitet oder verarbeiten lässt, gelten ergänzend die Datenschutzinformationen des jeweiligen Zahlungsdienstleisters.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und Art. 6 Abs. 1 lit. f DSGVO, gegebenenfalls ergänzt durch Art. 28 DSGVO, soweit wir im Auftrag unseres Kunden handeln.

16. Mitgliederdaten, Beitragsdaten und Spenderdaten

Soweit Kunden unsere Systeme für Mitglieds-, Beitrags-, Spenden- oder Projektverwaltung nutzen, können unter anderem folgende Daten verarbeitet werden:

Vorname und Nachname,
Geburtsdatum,
Kontaktdaten,
Beitrags- und Zahlungsinformationen,
Projektdaten,
Exportdaten,
PDF- und CSV-Ausgaben,
organisationsbezogene Zuordnungen.

Diese Verarbeitung erfolgt regelmäßig im Auftrag des jeweiligen Kunden. Der Kunde ist dafür verantwortlich, dass für die Verarbeitung eine geeignete Rechtsgrundlage besteht und betroffene Personen ordnungsgemäß informiert werden.

17. Spendenbescheinigungen, Dokumente, Logos, Stempel und Signaturen

Im Zusammenhang mit Spendenbescheinigungen, Dokumentenerstellung oder Personalisierungsaufträgen können u. a. folgende Daten verarbeitet werden:

Namen von Empfängern,
Firmen- oder Organisationsbezeichnungen,
Adressdaten,
Telefonnummern,
Beträge,
Spenden- und Ausstellungsdaten,
Logo-, Stempel- und Signaturdaten,
hochgeladene Bilder, Texte und Gestaltungswünsche.

Soweit diese Daten vom Kunden eingegeben oder verwaltet werden, erfolgt die Verarbeitung regelmäßig als Auftragsverarbeitung für den Kunden. EasySadaqa verarbeitet diese Daten zur PDF-Erstellung, Bereitstellung der Funktionalität, Synchronisation, Support und technischen Dokumentation.

18. Designaufträge und hochgeladene Inhalte

Bei Design- oder Personalisierungsaufträgen können hochgeladene Logos, Bilder, Videos, Banner, Texte, Gestaltungswünsche, Kontaktdaten und Signaturen verarbeitet werden.

Diese Daten werden zur Bearbeitung des jeweiligen Auftrags, zur Dokumentation, zur Kommunikation mit dem Kunden und zur technischen Bereitstellung auf den jeweiligen Geräten verwendet.

Der Kunde ist für die Rechtmäßigkeit der bereitgestellten Inhalte verantwortlich. EasySadaqa prüft vom Kunden bereitgestellte Inhalte grundsätzlich nicht allgemein, dauerhaft oder vorbeugend auf Rechtmäßigkeit, Urheberrechte, Markenrechte, Persönlichkeitsrechte, Datenschutzrechte oder sonstige Rechte Dritter.

19. Künstliche Intelligenz und Entwicklungsunterstützung

Zur Unterstützung bei Softwareentwicklung, Fehleranalyse, technischer Dokumentation und interner Qualitätssicherung können KI-basierte Werkzeuge eingesetzt werden.

Dabei achten wir darauf, keine oder nur zuvor minimierte, anonymisierte bzw. pseudonymisierte personenbezogene Daten zu übermitteln, soweit dies für den jeweiligen Zweck nicht erforderlich ist.

Produktivdaten, Kundendaten, Spenderdaten, Mitgliederdaten, vollständige Zahlungsdaten, API-Schlüssel, Passwörter, Datenbank-Dumps, vollständige Logs und hochgeladene Kundendateien sollen nicht an KI-Werkzeuge übermittelt werden, sofern keine gesonderte datenschutzrechtliche Prüfung, geeignete Rechtsgrundlage und erforderliche vertragliche Vereinbarung mit dem jeweiligen Anbieter bestehen.

Soweit im Einzelfall personenbezogene Daten im Rahmen einer KI-gestützten Analyse verarbeitet werden, erfolgt dies nur auf Grundlage einer geeigneten Rechtsgrundlage, unter Beachtung der DSGVO sowie mit angemessenen technischen und organisatorischen Maßnahmen.

Eine Nutzung von Kundendaten zu Trainingszwecken durch EasySadaqa findet nicht statt.

20. Nominatim / OpenStreetMap

Für Adress- oder Standortfunktionen kann der Dienst Nominatim auf Grundlage von OpenStreetMap eingesetzt werden.

Dabei können insbesondere eingegebene Suchbegriffe, IP-Adresse, Zeitpunkt der Anfrage und technische Browserdaten an den jeweiligen Dienst übermittelt werden.

Die Verarbeitung dient der komfortablen Adresserfassung und Standortauflösung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Funktion vertraglich erforderlich ist, im Übrigen Art. 6 Abs. 1 lit. f DSGVO.

21. Google reCAPTCHA

Zum Schutz vor Missbrauch, Spam und automatisierten Eingaben können wir Google reCAPTCHA einsetzen.

Dabei können insbesondere IP-Adresse, Browser- und Gerätedaten, Interaktionsdaten, Referrer und weitere technische Informationen an Google übermittelt werden.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO zur Absicherung unserer Dienste. Soweit beim Einsatz von reCAPTCHA Informationen auf Ihrem Endgerät gespeichert oder ausgelesen werden und dies nicht unbedingt erforderlich ist, erfolgt der Einsatz zusätzlich nur auf Grundlage einer Einwilligung nach § 25 Abs. 1 TDDDG.

22. Google Analytics und Google Tag Manager

Wir können auf unserer Website Google Analytics und Google Tag Manager einsetzen, um die Nutzung unseres Online-Angebots statistisch auszuwerten, technische Funktionen zu verwalten und unser Angebot fortlaufend zu verbessern.

Beim Einsatz von Google Analytics können insbesondere folgende Daten verarbeitet werden:

IP-Adresse,
Browser- und Geräteinformationen,
Betriebssystem,
Referrer-URL,
aufgerufene Seiten,
Verweildauer,
Klick- und Nutzungsverhalten,
ungefähre Standortinformationen,
Datum und Uhrzeit des Zugriffs,
technische Identifikatoren und Cookie-Informationen.

Google Analytics wird nur eingesetzt, wenn Sie zuvor über unser Einwilligungsmanagement Ihre Einwilligung erteilt haben. Ohne Ihre Einwilligung werden keine nicht erforderlichen Analyse-Cookies zu Statistik- oder Marketingzwecken gesetzt.

Rechtsgrundlage für den Zugriff auf Informationen auf Ihrem Endgerät ist § 25 Abs. 1 TDDDG. Rechtsgrundlage für die anschließende Verarbeitung personenbezogener Daten ist Art. 6 Abs. 1 lit. a DSGVO.

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen oder Ihre Auswahl über die Cookie-Einstellungen ändern.

Google Tag Manager dient der Verwaltung von Website-Tags. Der Google Tag Manager selbst erstellt nach unserem Verständnis keine eigenen Nutzerprofile und speichert keine eigenen Analyse-Cookies. Er kann jedoch andere Dienste auslösen, sofern hierfür eine entsprechende Einwilligung vorliegt.

Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Es kann nicht ausgeschlossen werden, dass Daten auch an Google LLC in den USA übermittelt werden. Soweit eine Übermittlung in Drittländer erfolgt, stützt Google diese nach eigenen Angaben insbesondere auf Angemessenheitsbeschlüsse der Europäischen Kommission, Standardvertragsklauseln oder andere geeignete Garantien nach Art. 44 ff. DSGVO.

23. Lokale Schriftarten und Frontend-Ressourcen

Zur einheitlichen und performanten Darstellung unserer Website und unserer Webanwendungen verwenden wir Schriftarten, Stylesheets, JavaScript-Dateien und sonstige Frontend-Ressourcen.

Soweit technisch möglich, werden Schriftarten und Frontend-Ressourcen lokal auf unseren eigenen Servern bzw. innerhalb unserer eigenen Infrastruktur bereitgestellt. Dadurch wird vermieden, dass allein zum Laden von Schriftarten oder Basis-Stylesheets eine Verbindung zu externen Anbietern wie Google Fonts oder externen CDN-Diensten aufgebaut wird.

Die Verarbeitung technisch erforderlicher Abrufdaten erfolgt zur Bereitstellung, Stabilität, Sicherheit und Optimierung unseres Online-Angebots.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

24. E-Mail-Versand über Brevo

Für transaktionale E-Mails, z. B. Verifizierung, Passwort-Reset, Sicherheitsbenachrichtigungen, Vertragskommunikation oder Support-Nachrichten, können wir Brevo einsetzen.

Hierbei werden insbesondere E-Mail-Adresse, Name, Nachrichtentyp, Versandinhalt und technische Versanddaten verarbeitet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.

25. Backup, Hosting und Systemwiederherstellung

Wir erstellen Backups, um Verfügbarkeit, Wiederherstellbarkeit und Ausfallsicherheit unserer Systeme zu gewährleisten.

Backups können personenbezogene Daten enthalten, die in Website, Portal, App, API, Datenbank, Protokollen oder Dokumenten verarbeitet werden.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO sowie Art. 32 DSGVO im Rahmen unserer Pflicht zu angemessenen technischen und organisatorischen Maßnahmen.

Backups werden grundsätzlich nur so lange gespeichert, wie dies für Sicherung, Wiederherstellung, Nachweiszwecke, IT-Sicherheit oder gesetzliche Pflichten erforderlich ist. Die konkrete Speicherdauer richtet sich nach dem jeweiligen Sicherungskonzept und beträgt in der Regel bis zu 90 Tage, soweit keine längere Speicherung erforderlich ist.

26. Empfänger und Dienstleister

Personenbezogene Daten können – soweit erforderlich – an folgende Kategorien von Empfängern übermittelt werden:

Hosting- und Infrastruktur-Dienstleister,
E-Mail- und Kommunikationsdienstleister,
Backup- und Speicheranbieter,
Zahlungsdienstleister und technische Integrationspartner,
Versand- und Logistikdienstleister,
IT-Sicherheits-, Monitoring- und Support-Dienstleister,
Anbieter für Analyse-, Tag-Management- und Einwilligungsmanagement-Dienste, soweit diese datenschutzkonform und einwilligungsbasiert eingesetzt werden,
Anbieter technischer Entwicklungs- oder Analysewerkzeuge, soweit diese datenschutzkonform eingesetzt werden,
Behörden, Gerichte, Berater oder sonstige Stellen, soweit eine gesetzliche Pflicht besteht oder dies zur Rechtsverfolgung erforderlich ist.

Nach dem derzeitigen Stand können hierzu – soweit jeweils tatsächlich eingesetzt – insbesondere Anbieter wie IONOS, Brevo, Jottacloud, SumUp, Google Ireland Limited, Nominatim / OpenStreetMap, DHL sowie Anbieter von Entwicklungs- und Sicherheitstools gehören.

Soweit wir Dienstleister einsetzen, die personenbezogene Daten in unserem Auftrag verarbeiten, schließen wir die erforderlichen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO.

27. Drittlandübermittlungen

Soweit personenbezogene Daten an Empfänger außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums übermittelt werden oder dort ein Zugriff nicht ausgeschlossen werden kann, erfolgt dies nur unter Beachtung der Art. 44 ff. DSGVO.

Soweit einschlägig, stützen wir Drittlandübermittlungen insbesondere auf:

Angemessenheitsbeschlüsse der Europäischen Kommission,
Standardvertragsklauseln,
oder sonstige geeignete Garantien im Sinne der Art. 44 ff. DSGVO.

Dies kann insbesondere bei Google-Diensten, Analyse- und Tag-Management-Diensten, Messenger-Diensten oder KI-/Entwicklungswerkzeugen relevant sein.

28. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Insbesondere gelten folgende Grundsätze:

Server- und Sicherheitslogs: bis zu 90 Tage, soweit keine längere Speicherung zur Aufklärung von Sicherheitsvorfällen erforderlich ist,
technische Geräte- und App-Logs: bis zu 90 Tage, soweit keine längere Speicherung für Sicherheit, Fehleranalyse, Nachweiszwecke oder Vertragsdurchführung erforderlich ist,
Vertrags-, Rechnungs- und steuerrechtlich relevante Daten: entsprechend den gesetzlichen Aufbewahrungsfristen, regelmäßig bis zu 10 Jahre,
Support- und Kommunikationsdaten: für die Dauer der Bearbeitung und darüber hinaus nur, soweit dies für Nachweis-, Vertrags- oder Rechtsverteidigungszwecke erforderlich ist,
Kundendaten in Auftragsverarbeitung: nach Weisung des Kunden, nach Vertragsende oder nach Maßgabe der Auftragsverarbeitungsvereinbarung,
Einwilligungsnachweise: solange, wie dies zum Nachweis der Rechtmäßigkeit erforderlich ist.

29. Pflicht zur Bereitstellung von Daten

Soweit personenbezogene Daten für den Vertragsschluss, die Kontoeinrichtung, die Leistungserbringung oder aus gesetzlichen Gründen erforderlich sind, ist die Bereitstellung dieser Daten notwendig. Ohne diese Daten können wir bestimmte Leistungen gegebenenfalls nicht oder nicht vollständig erbringen.

30. Automatisierte Entscheidungen

Eine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt.

31. Ihre Rechte

Betroffene Personen haben im Rahmen der gesetzlichen Voraussetzungen insbesondere folgende Rechte:

Recht auf Auskunft nach Art. 15 DSGVO,
Recht auf Berichtigung nach Art. 16 DSGVO,
Recht auf Löschung nach Art. 17 DSGVO,
Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO,
Recht auf Datenübertragbarkeit nach Art. 20 DSGVO,
Recht auf Widerspruch nach Art. 21 DSGVO,
Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen,
Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde.

Soweit EasySadaqa Daten ausschließlich als Auftragsverarbeiter verarbeitet, leiten wir Betroffenenanfragen an den zuständigen Kunden weiter, sofern wir nicht selbst zur Beantwortung befugt oder verpflichtet sind.

32. Widerspruchsrecht nach Art. 21 DSGVO

Soweit wir Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen.

Werden personenbezogene Daten für Direktwerbung verarbeitet, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen.

33. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Für Nordrhein-Westfalen ist insbesondere folgende Aufsichtsbehörde zuständig:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf
Deutschland

Website: www.ldi.nrw.de

34. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um personenbezogene Daten unter Berücksichtigung von Art, Umfang, Umständen und Zwecken der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken zu schützen.