Wiesenhütte
Buchen
Rechtliches

Datenschutzerklärung

Stand: Mai 2026 · Version: 1.0
Geltungsbereich: wiesenhuette.vercel.app (zukünftig www.skifreunde-gt.de) und alle Unterseiten

Vorbemerkung: Wir nehmen Datenschutz ernst. Diese Erklärung beschreibt, welche personenbezogenen Daten wir verarbeiten, warum, wie lange und mit wem. Wenn Du etwas nicht verstehst oder nicht einverstanden bist, schreib uns — wir antworten persönlich.

Hinweis zur Sprache: Wir duzen unsere Gäste auf der Webseite, also auch hier.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger datenschutzrechtlicher Bestimmungen ist:

Skifreunde Gütersloh e.V.
Postfach 2819
33258 Gütersloh
E-Mail: info@skifreunde-gt.de

Vorstand (vertretungsberechtigt):

  • Tanja Milse — Geschäftsführung
  • Norbert Monscheidt — Finanzen
  • Thorsten Lütgert — Sport und Bildung
  • Horst Borcherding — Skihütte
  • Johannes Leiskau — Kommunikation

Die Vereinsdaten sind im Vereinsregister beim Amtsgericht Gütersloh eingetragen (Eintrag vom 4. November 1949).

Datenschutzbeauftragter: Wir sind als gemeinnütziger Verein nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet, da die Voraussetzungen nach Art. 37 DSGVO und § 38 BDSG nicht erfüllt sind. Anfragen zum Datenschutz richtest Du bitte direkt an die oben genannte E-Mail-Adresse.

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten Deine personenbezogenen Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen (insbesondere DSGVO, BDSG, TTDSG, TMG). Wir verfolgen dabei den Grundsatz der Datenminimierung: Wir erheben nur Daten, die wir für den jeweiligen Zweck wirklich brauchen, und speichern sie nur so lange, wie es nötig oder gesetzlich vorgeschrieben ist.

In dieser Datenschutzerklärung informieren wir Dich darüber, welche Daten wann verarbeitet werden, auf welcher Rechtsgrundlage, an wen sie ggf. weitergegeben werden und wie lange wir sie aufbewahren.

3. Welche Daten wir verarbeiten

3.1 Beim Aufruf der Webseite (Server-Logs)

Beim Aufruf unserer Webseite werden durch unseren Hosting-Provider folgende Daten automatisch erhoben und in Server-Logfiles gespeichert:

  • IP-Adresse (für die Auswertung gekürzt)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und HTTP-Statuscode
  • Übertragene Datenmenge
  • Referrer-URL (vorher besuchte Seite)
  • User-Agent (Browser, Betriebssystem)
Zweck: Stabile und sichere Auslieferung der Webseite, Erkennen und Abwehren von Angriffen, Aufklärung im Schadensfall.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler, sicherer Webseite).
Speicherdauer: Logs werden 14 Tage aufbewahrt und dann automatisch gelöscht. Eine Zusammenführung mit anderen Datenquellen findet nicht statt.

3.2 Bei Nutzung des Buchungs-Portals (/buchen)

Für die Vertragsabwicklung Deiner Buchung verarbeiten wir:

  • Vor- und Nachname, ggf. Firma / Verein / Schule
  • Anschrift
  • E-Mail-Adresse, Telefonnummer
  • Buchungsdaten (Zeitraum, Personenzahl, Anlass, ggf. besondere Bedürfnisse)
  • Zahlungsdaten (über Stripe — siehe Abschnitt 4)
  • Optional: Nachrichten an die Hüttenverwaltung
Zweck: Bearbeitung Deiner Buchung, Vertragsabschluss und -abwicklung, Rechnungserstellung, Kommunikation rund um den Aufenthalt (Anreise, Schlüsselübergabe, Kurkarten).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten, insbesondere § 147 AO und § 257 HGB) für buchhaltungsrelevante Daten.
Speicherdauer:
  • Buchungs- und Rechnungsdaten: 10 Jahre (gesetzliche Aufbewahrungsfristen)
  • Sonstige Stammdaten: bis zur Beendigung der Geschäftsbeziehung, anschließend Löschung, sofern keine Aufbewahrungspflicht entgegensteht
  • Optionale Nachrichten: bis zum Abschluss der Bearbeitung, dann Löschung

3.3 Bei Nutzung des Kontaktformulars / E-Mail-Kontakt (/kontakt)

Wenn Du uns über das Kontaktformular oder per E-Mail erreichst, verarbeiten wir:

  • Deinen Namen
  • Deine E-Mail-Adresse
  • den Inhalt Deiner Nachricht
  • ggf. weitere von Dir angegebene Informationen (z. B. Telefonnummer)
Zweck: Bearbeitung und Beantwortung Deiner Anfrage.
Rechtsgrundlage: Bei vertragsbezogenen Anfragen Art. 6 Abs. 1 lit. b DSGVO; bei sonstigen Anfragen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effektiver Kommunikation).
Speicherdauer: Bis zur abschließenden Bearbeitung Deiner Anfrage. Wenn aus der Anfrage ein Vertrag entsteht, gelten die Fristen aus 3.2.

3.4 Bei Anmeldung zum Newsletter (sofern angeboten)

Falls wir auf der Webseite einen Newsletter anbieten, verarbeiten wir bei Anmeldung Deine E-Mail-Adresse sowie ggf. Deinen Vornamen zur persönlichen Anrede.

Zweck: Versand des Newsletters mit Tipps zur Region, Hütten-Updates und Veranstaltungen des Vereins.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Deine Einwilligung), erteilt im Double-Opt-in-Verfahren.
Speicherdauer: Bis zur Abmeldung vom Newsletter. Du kannst Dich jederzeit über den Abmeldelink in jeder Newsletter-E-Mail oder per Mail an info@skifreunde-gt.de abmelden. Wir speichern Deinen Anmelde-Zeitpunkt sowie die zugehörige IP-Adresse zum Nachweis der Einwilligung — diese Nachweisdaten werden 3 Jahre nach Abmeldung gelöscht.

3.5 Beim Manager-Login (Backend)

Für die Pflege der Webseite und die Verwaltung der Buchungen gibt es einen geschützten Login-Bereich, der ausschließlich vom Vorstand und beauftragten Helfer:innen genutzt wird. Beim Login verarbeiten wir:

  • E-Mail-Adresse
  • Passwort (gespeichert ausschließlich als bcrypt-Hash)
  • Sitzungs-Cookie (siehe Abschnitt 5.1)
  • Zeitpunkt und IP-Adresse des Logins (für Sicherheits-Audit)
Zweck: Zugangssicherung des nicht-öffentlichen Bereichs, Schutz vor unbefugtem Zugriff.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren Verwaltung der Webseite).
Speicherdauer: Sicherheits-Audit-Logs 90 Tage, dann automatische Löschung. Klartext-Passwörter liegen uns niemals vor.

3.6 Bei Veröffentlichung im Blog

Falls wir im Blog Beiträge mit personenbezogenen Inhalten (Fotos, Zitate, Namen) veröffentlichen, geschieht dies nur mit ausdrücklicher Einwilligung der betroffenen Personen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Speicherdauer: Bis zum Widerruf der Einwilligung. Du kannst die Einwilligung jederzeit widerrufen — schreib uns einfach an info@skifreunde-gt.de.

4. Auftragsverarbeiter & Drittanbieter

Folgende Anbieter verarbeiten in unserem Auftrag personenbezogene Daten. Mit allen ist — soweit erforderlich — ein Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO geschlossen.

Vercel Inc.
Zweck: Webseiten-Hosting (Next.js Serverless-Hosting)
Sitz / Server: Region Frankfurt (Europa)
AVV: geschlossen
Neon Inc.
Zweck: Datenbank-Hosting (PostgreSQL für Buchungen, Kunden, Blog)
Sitz / Server: EU Central (Frankfurt)
AVV: geschlossen
Stripe Payments Europe Ltd.
Zweck: Zahlungsabwicklung (Kreditkarten, SEPA, Anzahlung & Restzahlung)
Sitz / Server: Irland (EU). Im Rahmen der Betrugserkennung erfolgt eine teilweise Verarbeitung in den USA — siehe Abschnitt 6.
AVV: geschlossen
1&1 IONOS SE
Zweck: E-Mail-Versand (Buchungsbestätigung, Mietvertrag, Kurtaxe-Hinweis, Manager-Korrespondenz)
Sitz / Server: Deutschland
AVV: geschlossen
Vercel Blob (Vercel Inc.)
Zweck: Speicherung hochgeladener Bilder (Blog, Cover-Bilder)
Sitz / Server: Region Frankfurt
AVV: geschlossen
OpenStreetMap Foundation
Zweck: Anzeige der Karte auf /lage. Wird erst geladen, nachdem Du der Kategorie "Komfort & Einbettungen" zugestimmt hast.
Sitz / Server: UK / Niederlande (Server)
AVV: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG (Einwilligung)

5. Cookies & vergleichbare Technologien

Auf unserer Webseite kommen Cookies und ähnliche Speichermechanismen (z. B. LocalStorage) zum Einsatz. Wir unterscheiden klar zwischen technisch notwendigen und optionalen Cookies.

5.1 Technisch notwendige Cookies (immer aktiv)

Diese Cookies sind für den Betrieb der Webseite zwingend erforderlich. Eine Einwilligung ist hierfür nicht nötig (§ 25 Abs. 2 Nr. 2 TTDSG).

Cookie / SpeicherungZweckSpeicherdauerAnbieter
next-auth.session-tokenAuthentifizierung des Manager-Logins (HTTPOnly, Secure)30 Tageerstanbieter
__Host-csrfSchutz gegen Cross-Site Request ForgerySitzungsdauererstanbieter
wh_cookie_consent (LocalStorage)Speichert Deine Cookie-Einstellungen lokal12 Monateerstanbieter

5.2 Optionale Cookies & Einbettungen

Diese werden ausschließlich nach Deiner ausdrücklichen Einwilligung geladen. Du erteilst sie über unser Cookie-Banner; Du kannst sie jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen.

KategorieWas wird aktiviert?AnbieterStatus
Komfort & EinbettungenOpenStreetMap-Karte auf /lage, ggf. YouTube-/Vimeo-Embeds in BlogbeiträgenOpenStreetMap, Google (YouTube), Vimeoaktiv
StatistikReservierung für zukünftige privacy-freundliche Tools (z. B. Plausible Analytics)n. a.derzeit nicht aktiv
Marketingn. a.n. a.aktuell nicht aktiv und nicht geplant

Rechtsgrundlage:

  • für notwendige Cookies: § 25 Abs. 2 Nr. 2 TTDSG bzw. Art. 6 Abs. 1 lit. b DSGVO
  • für optionale Cookies: Deine Einwilligung gem. § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO

6. Übermittlung in Drittländer

Eine Übermittlung Deiner Daten in Länder außerhalb der EU/des EWR (sog. Drittländer) findet grundsätzlich nicht statt. Eine Ausnahme:

  • Stripe verarbeitet zur Betrugserkennung Daten teilweise in den USA. Hierfür liegen Standardvertragsklauseln gem. Art. 46 DSGVO vor; zudem ist Stripe nach dem EU-US-Datenschutzrahmen zertifiziert. Details in der Datenschutzerklärung von Stripe.

Wenn Du eingebettete Inhalte (z. B. YouTube-Videos in Blogbeiträgen) durch Deine Einwilligung aktivierst, kann es zu einer Übermittlung in Drittländer (USA) kommen. Diese Verarbeitung erfolgt ausschließlich auf Grundlage Deiner Einwilligung.

7. Speicherdauer im Überblick

DatenkategorieSpeicherdauerRechtsgrundlage
Server-Logs14 TageArt. 6 Abs. 1 lit. f DSGVO
Buchungs- und Rechnungsdaten10 Jahre§ 147 AO, § 257 HGB
Sonstige Buchungs-Stammdatenbis Ende GeschäftsbeziehungArt. 6 Abs. 1 lit. b DSGVO
Kontaktanfragenbis zur BearbeitungArt. 6 Abs. 1 lit. b/f DSGVO
Newsletter-Datenbis Abmeldung; Nachweis-Log 3 JahreArt. 6 Abs. 1 lit. a DSGVO
Manager-Login Audit-Logs90 TageArt. 6 Abs. 1 lit. f DSGVO
Blog-Einwilligungen (Foto/Zitat)bis WiderrufArt. 6 Abs. 1 lit. a DSGVO
Cookie-Einstellungen (LocalStorage)12 MonateEinwilligung / TTDSG

8. Datensicherheit

Wir setzen technisch und organisatorisch angemessene Maßnahmen ein, um Deine Daten gegen Verlust, Manipulation und unberechtigten Zugriff zu schützen:

  • TLS/SSL-Verschlüsselung (HTTPS) für die gesamte Kommunikation zwischen Deinem Browser und unserer Webseite.
  • Bcrypt-Hashing aller Passwörter — Klartext-Passwörter liegen uns nirgendwo vor.
  • Verschlüsselte Backups für Datenbank- und Dateispeicher.
  • Strikte Zugriffsbeschränkungen im Manager-Bereich; Zugang nur für Vorstand und ausdrücklich beauftragte Personen.
  • Regelmäßige Sicherheits-Updates der eingesetzten Komponenten (Next.js, Authentifizierung, Datenbank).

Trotz aller Sorgfalt ist eine vollständige Sicherheit bei der Datenübertragung im Internet nicht garantierbar. Solltest Du den Verdacht haben, dass mit Deinen Daten etwas nicht stimmt, melde Dich bitte umgehend bei uns.

9. Deine Rechte

Du hast nach DSGVO folgende Rechte gegenüber uns:

  • Auskunftsrecht (Art. 15 DSGVO) — Du kannst Auskunft darüber verlangen, welche Daten wir zu Deiner Person verarbeiten.
  • Berichtigungsrecht (Art. 16 DSGVO) — unrichtige Daten musst Du nicht hinnehmen.
  • Recht auf Löschung (Art. 17 DSGVO) — soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Du kannst Deine Daten in einem maschinenlesbaren Format erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO) — gegen Verarbeitungen, die wir auf berechtigte Interessen stützen.
  • Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) — jederzeit, mit Wirkung für die Zukunft.
  • Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO).

Anfragen richtest Du formlos an info@skifreunde-gt.de. Wir antworten innerhalb eines Monats, in der Regel deutlich schneller. Eine Identitätsprüfung kann erforderlich sein, wenn Zweifel an Deiner Identität bestehen.

Zuständige Aufsichtsbehörde

Du kannst Dich jederzeit bei der für uns zuständigen Datenschutz-Aufsichtsbehörde beschweren:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2–4
40213 Düsseldorf
Telefon: 0211 38424-0
E-Mail: poststelle@ldi.nrw.de
Web: ldi.nrw.de

10. Keine automatisierte Entscheidungsfindung

Wir nutzen keine automatisierten Entscheidungsfindungen oder Profiling im Sinne von Art. 22 DSGVO. Buchungs-, Vertrags- und Verwaltungsentscheidungen werden ausschließlich durch Menschen (Vorstand, Hüttenwart) getroffen.

11. Datenschutz von Minderjährigen

Unsere Webseite richtet sich nicht gezielt an Personen unter 16 Jahren. Buchungen können nur von Personen ab 18 Jahren bzw. mit Zustimmung der Sorgeberechtigten vorgenommen werden. Sollte uns bekannt werden, dass wir Daten einer Person unter 16 Jahren ohne entsprechende Einwilligung verarbeiten, löschen wir diese unverzüglich.

Bei Klassenfahrten und Schulgruppen werden personenbezogene Daten der Schüler:innen ausschließlich über die jeweilige Schule erhoben und nicht direkt durch uns verarbeitet.

12. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald sich an der Datenverarbeitung etwas ändert — etwa weil wir neue Tools einsetzen oder bestehende abschalten. Die jeweils aktuelle Fassung findest Du immer auf dieser Seite mit dem entsprechenden Stand-Datum oben.

Wesentliche Änderungen kündigen wir — sofern Du registriert bist oder regelmäßig mit uns kommunizierst — per E-Mail an. Eine erneute Einwilligung holen wir ein, sofern dies rechtlich erforderlich ist.

Fragen? Schreib uns: info@skifreunde-gt.de. Wir antworten persönlich.

Skifreunde Gütersloh e.V. · Postfach 2819 · 33258 Gütersloh · Vereinsregister: AG Gütersloh