Datenschutzerklärung

Stand: 29.08.2025, 10:25 CEST

Verantwortlich: Step by Step e.V., Alkmenestr. 2, 60435 Frankfurt am Main, vertreten durch Olga Balzer und Ekaterina Stein (Vorstand). Kontakt: verwaltung @ stepbystep-ffm.de.

Datenschutzbeauftragter: Ein Datenschutzbeauftragter ist für unseren Verein gemäß Art. 37 DSGVO
i.V.m. § 38 BDSG nicht erforderlich, da wir in der Regel weniger als 20 Personen ständig mit der
automatisierten Verarbeitung personenbezogener Daten beschäftigen. Unabhängig von der
Mitarbeiterzahl benennen wir einen DSB, wenn die Voraussetzungen des Art. 37 Abs. 1 lit. b–c DSGVO
vorliegen (z. B. umfangreiche Verarbeitung besonderer Kategorien). Ansprechpartner ist der Vorstand.

1. Was ist das hier?
Wir sind ein gemeinnütziger Verein (bestätigt am 13.07.2022 vom Finanzamt Frankfurt, Steuernummer
014 25027200). Wir fördern Jugendhilfe, Erziehung, Kunst und internationale Freundschaft (Satzung § 2).
Dabei verarbeiten wir Daten, z. B. für Mitgliedschaft, Kurse, Festivals oder Fotos. Diese Erklärung
beschreibt, wie wir das machen, und gilt für unsere Website, Verträge und Veranstaltungen. Änderungen
teilen wir dir mit.

2. Welche Daten sammeln wir?
Mitglieder: Name, Adresse, Geburtstag, E-Mail, Telefon, Bankdaten.
Kurse und Unterricht: Anmeldungen (auch Wartelisten).
Masterclasses und Festivals: Teilnehmerlisten; gelegentlich Gesundheitsinfos (z. B. Allergien, nur bei
Bedarf/Notfall und nur mit Zustimmung).
Fotos/Videos: Bilder oder Clips mit Namen, nur mit Zustimmung.
Spenden und Partner: Spenderdaten, Kontakte zu Kooperationspartnern.
Website-Daten: Cookies und IP-Adressen.

3. Warum verarbeiten wir das (Rechtsgrundlagen)?
Mitgliedschaft; Kurse/Unterricht: Organisation/Abwicklung (Art. 6 Abs. 1 lit. b DSGVO).
Festivals/Kooperation: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Fotos/Videos: Einwilligung (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO); Widerruf jederzeit ohne
Nachteile.
Gesundheitsdaten: nur mit Einwilligung und nur wenn nötig, Löschung nach Wegfall des Zwecks (Art. 9
Abs. 2 lit. a DSGVO).
Steuer/Gemeinnützigkeit: Pflichten ggü. Finanzamt (Art. 6 Abs. 1 lit. c DSGVO), Aufbewahrung 10 Jahre
(§ 147 AO).
Organisatorisches/IT-Sicherheit: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Newsletter/Rundmails: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), Abmeldung jederzeit.
Website-Betrieb: IP-Logfiles (Art. 6 Abs. 1 lit. f DSGVO); nicht erforderliche Cookies nur mit Einwilligung
gem. § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO; unbedingt erforderliche nach § 25 Abs. 2
TDDDG.

4. Wer bekommt deine Daten?
Intern: Vorstand und Ehrenamtliche.
Extern: Website-Anbieter (Wix; Israel/USA – s. Drittländer), Google Cloud (ggf. USA),
Buchhaltungsprogramme (z. B. DATEV), Festival-Partner, Druckereien, soziale Netzwerke (z. B.
Telegram, Facebook) nur mit Zustimmung; beim Klick auf externe Links gelten deren
Datenschutzerklärungen.
Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Eine Weitergabe erfolgt nur,
soweit erforderlich (Vertragsdurchführung/Art. 6 Abs. 1 lit. b oder berechtigtes Interesse/Art. 6 Abs. 1 lit. f).

5. Wie lange speichern wir?
Mitgliederdaten: bis Austritt + 10 Jahre (Steuer).
Wartelisten: bis Kursstart oder max. 2 Jahre.
Fotos/Videos: bis Widerruf oder solange für Öffentlichkeitsarbeit; danach regelmäßige Löschung.
IP-Adressen: kurzzeitig (max. 7 Tage), dann Anonymisierung/Löschung.
Löschung auf Antrag, soweit keine gesetzlichen Pflichten entgegenstehen.

6. Deine Rechte (Art. 15–21 DSGVO)
Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit.
Widerruf von Einwilligungen (z. B. Fotos, Cookies) jederzeit.
Beschwerde: Hessischer Beauftragter für Datenschutz und Informationsfreiheit, Gustav-Stresemann-Ring
1, 65189 Wiesbaden.
Kontakt: verwaltung @ stepbystep-ffm.de (Antwort i. d. R. innerhalb eines Monats).

7. Sicherheit
Verschlüsselung (HTTPS), Zugriffsrechte, Backups; wir passen unsere technischen und organisatorischen
Maßnahmen regelmäßig dem Stand der Technik an.

8. Daten in Drittländer
Wir nutzen geeignete Garantien:
– USA: EU-US Data Privacy Framework (bei zertifizierten Empfängern) oder
EU-Standardvertragsklauseln.
– Israel: EU-Angemessenheitsbeschluss; falls erforderlich, EU-Standardvertragsklauseln.

9. Kinder und Jugendliche
Unter 16 Jahren holen wir die Elterneinwilligung ein (für Dienste der Informationsgesellschaft gem. Art. 8
DSGVO; Vereinsbeitritte nach BGB). Ab 16 können Jugendliche selbst einwilligen.

10. Cookies & IP
Cookie-Banner mit Zustimmen/Ablehnen; unbedingt erforderliche Cookies setzen wir ohne Zustimmung (§
25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. f DSGVO). IP-Adressen werden max. 7 Tage gespeichert und dann
anonymisiert/gelöscht.

11. Änderungen
Aktuelle Fassung: https://stepbystep-ffm.de/datenschutz. Mitglieder informieren wir per E-Mail oder in der
Versammlung.