Datenschutzerklärung
Wir nehmen den Schutz deiner persönlichen Daten ernst und behandeln deine personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung (DSGVO, BDSG, TDDDG).
1. Verantwortlicher
NaturePort UG (haftungsbeschränkt)
Willy-Brandt-Straße 23, 20457 Hamburg
Vertreten durch: Dr. Leonhard Vidal
E-Mail: info@natureport.eu · Telefon: +49 (0) 151 617 191 25
Die NaturePort UG (haftungsbeschränkt) betreibt die Plattform und vermittelt die Spenden. Spenden fließen über Stripe-Connect direkt an die jeweils ausgewählte gemeinnützige Empfänger-Organisation (NGO); diese ist Spendenempfängerin und stellt die Zuwendungsbestätigung aus.
2. Welche Daten wir verarbeiten — und warum
2.1 Privatspende (Direct-Donate, ohne Account)
Wenn du auf natureport.eu direkt spendest, verarbeiten wir:
- Name, Adresse, E-Mail-Adresse — Pflichtangaben gem. § 50 EStDV für die Zuwendungsbestätigung
- Spendenbetrag, Projekt, Datum — für die Bescheinigung und buchhalterische Erfassung
- Zahlungsdaten — werden ausschließlich vom Zahlungsdienstleister verarbeitet (siehe 3.); wir erhalten nur eine Bestätigung der Zahlung und eine Transaktions-ID
- IP-Adresse, Zeitstempel — beim Aufruf der Seite kurzzeitig im Server-Log (max. 7 Tage)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung aus § 50 EStDV, § 147 AO).Speicherdauer: 10 Jahre (steuerrechtliche Aufbewahrungspflicht).
2.2 Unternehmens-/NGO-Konto
Bei Registrierung als Unternehmen oder NGO verarbeiten wir zusätzlich:
- Firmen-/Vereinsdaten (Name, Anschrift, USt-IdNr., Handelsregister, Rechtsform)
- Beruflicher Kontakt (Name, E-Mail, Telefon der vertretungsberechtigten Person)
- Bankverbindung (IBAN, BIC) für NGO-Auszahlungen
- KYB-Dokumente (Registerauszug, Freistellungsbescheid für gemeinnützige Empfänger, Identifikation Wirtschaftlich Berechtigter)
- Authentifizierungs-Daten (verschlüsseltes Passwort, Login-Zeitpunkte) — verarbeitet von Keycloak (Open-Source-Auth-Server, auf unserer Infrastruktur in Deutschland gehostet)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (GwG-Pflichten zur Kunden-Identifikation bei Zahlungsdiensten).
3. Auftragsverarbeiter und Empfänger
Wir nutzen folgende externe Dienstleister, mit denen AVV nach Art. 28 DSGVO bestehen oder geschlossen werden:
- Stripe Payments Europe Ltd. (Irland) — Karten- und SEPA-Zahlungen. Verarbeitet Zahlungsdaten als eigenständiger Verantwortlicher gemäß PSD2. Datenschutz: stripe.com/de/privacy
- CoinGate, UAB (Litauen) — Krypto-Zahlungen (BTC, ETH, USDC u.a.) mit automatischer EUR-Konvertierung. VASP-lizenziert. Datenschutz: coingate.com/privacy
- Resend, Inc. (USA, EU-Region Frankfurt) — Versand transaktionaler E-Mails (Zuwendungsbestätigungen, Verifizierungs-Links). DPA + EU-Standardvertragsklauseln. Datenschutz: resend.com/legal/privacy-policy
- Hetzner Online GmbH (Deutschland) — Hosting von Anwendung, Datenbank und Object Storage (S3, Region hel1 Helsinki). Server in der EU.
- Cloudflare, Inc. (USA, EU-Edge-Nodes) — CDN, DDoS-Schutz, TLS. DPA + EU-Standardvertragsklauseln. Datenschutz: cloudflare.com/privacypolicy
- Empfänger-NGOs — wir leiten die Identität der/des Spender:in (Name, Adresse, Betrag, Datum) an die fördernde NGO weiter, soweit dies zur Erstellung der §-50-EStDV-Bescheinigung oder zur Dokumentation der Mittelverwendung erforderlich ist. Dies geschieht auf Grundlage des Trustee-Vertrags zwischen NGO und uns.
4. Übermittlung in Drittländer
Resend und Cloudflare können personenbezogene Daten in den USA verarbeiten. Wir haben mit beiden EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) abgeschlossen. Cloudflare + Resend sind unter dem EU-US Data Privacy Framework zertifiziert (Adäquanzbeschluss der EU-Kommission vom 10.07.2023).
5. Cookies und lokale Speicherung
Wir verwenden ausschließlich technisch notwendige Cookies (Login-Session via Keycloak, Spracheinstellung). Es kommen keine Tracking-Cookies, Drittanbieter-Analytics oder Werbe-Pixel zum Einsatz. Eine Einwilligungsabfrage nach § 25 TDDDG ist daher nicht erforderlich.
6. Deine Rechte
Du hast jederzeit das Recht auf:
- Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO) — soweit keine gesetzlichen Aufbewahrungspflichten (insb. § 147 AO, 10 Jahre für Spenden-Buchhaltung) entgegenstehen
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde — zuständig ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)
Für die Ausübung deiner Rechte genügt eine formlose E-Mail an info@natureport.eu.
7. Datensicherheit
Alle Daten werden ausschließlich verschlüsselt übertragen (TLS 1.3) und auf europäischen Servern gespeichert. Passwörter werden gehasht (Argon2 via Keycloak), Zahlungsdaten verbleiben beim jeweiligen Zahlungsdienstleister.
8. Änderungen dieser Erklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder an Änderungen unserer Leistungen anzupassen. Die jeweils aktuelle Version ist auf dieser Seite abrufbar; das Datum am Anfang dieser Seite zeigt den Stand an.