Datenschutzerklärung

Verantwortlicher im Sinne der DSGVO ist: Kemandai Rafting Inhaber: Andreas Görtzen Kanalstraße 63 24159 Kiel Deutschland E-Mail: mail@andreasgoertzen.eu Für alle Fragen zur Verarbeitung deiner personenbezogenen Daten steht der Inhaber direkt zur Verfügung. Ein externer Datenschutzbeauftragter ist gesetzlich nicht erforderlich.

Wir erheben und verarbeiten personenbezogene Daten in vier Kontexten: • **Kontaktanfrage:** Name, E-Mail, optional Telefonnummer, freie Nachricht — über das Formular auf /contact. • **Buchung:** Vor- und Nachname, Anschrift, Geburtsdatum (Mindestalter-Prüfung), E-Mail, Telefon, Notfallkontakt (Name + Telefon einer Vertrauensperson), Schwimmkenntnis-Selbsterklärung, gesundheitliche Selbstauskunft (Vorerkrankungen, Allergien, Medikamenteneinnahme, Schwangerschaft). • **Mitgliederbereich (BetterAuth):** Name, E-Mail, gehashtes Passwort (bcrypt), Einmalcodes (OTP, temporär), Sitzungs-Cookies. • **Server-Logs:** IP-Adresse, Browsertyp, Zugriffszeitpunkt, Referrer-URL — automatisch durch das Hosting erfasst. Gesundheitsdaten gemäß Art. 9 DSGVO werden ausschließlich zum Zweck der sicheren Tour-Durchführung erhoben, nur an den durchführenden Guide weitergegeben und nach Abschluss der Tour gelöscht (siehe „Speicherdauer").

Wir verarbeiten deine Daten auf folgenden Rechtsgrundlagen (Art. 6 / Art. 9 DSGVO): • **Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO):** Buchungsabwicklung, Zahlung, Tour-Organisation, Versand von Briefings. • **Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO):** Aufbewahrung von Buchungs- und Rechnungsdaten gemäß § 147 AO und § 257 HGB (10 Jahre). • **Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO):** Sicherheit unserer IT-Infrastruktur, Betrugs- und Spam-Abwehr (Honeypot, HMAC-Timestamp), pseudonyme Server-Logs. • **Einwilligung (Art. 6 Abs. 1 lit. a DSGVO):** Newsletter-Versand, Verwendung erkennbarer Personenaufnahmen für Marketing. • **Sicherung lebenswichtiger Interessen + Einwilligung (Art. 9 Abs. 2 lit. a + lit. c DSGVO):** Verarbeitung gesundheitlicher Selbstauskünfte zum Schutz der Teilnehmer am Wasser.

Bei der Buchung einer Mehrtages-Expedition oder einer Tour ab WW IV erheben wir einen Notfallkontakt (Name + erreichbare Telefonnummer einer Vertrauensperson) sowie eine kurze gesundheitliche Selbstauskunft. Diese Angaben dienen ausschließlich dazu, im Notfall handlungsfähig zu sein und individuelle Risiken (Allergien, Diabetes, Asthma) bei der Tour-Planung berücksichtigen zu können. Die Daten werden: • ausschließlich an den durchführenden Guide weitergegeben • in einer wasserdichten, nicht digital vernetzten Akte am Tour-Tag mitgeführt • nach Tourabschluss innerhalb von 14 Tagen vernichtet • niemals zu Marketingzwecken oder an Dritte weitergegeben Die Bereitstellung dieser Daten ist Voraussetzung für die Teilnahme an Touren ab WW IV.

Wir verwenden BetterAuth mit E-Mail/Passwort- und E-Mail-OTP-Authentifizierung. Passwörter werden ausschließlich als bcrypt-Hash gespeichert; das Klartext-Passwort verlässt nie deinen Browser unverschlüsselt. OTP-Codes sind 5 Minuten gültig und werden danach gelöscht. Sitzungen werden über sichere, http-only First-Party-Cookies verwaltet (SameSite=Strict). Es werden keine Drittanbieter-Auth-Provider eingesetzt.

Diese Website verwendet ausschließlich technisch notwendige Cookies gemäß § 25 TTDSG: • **Sitzungs-Cookie (`auth-session`):** First-Party, http-only, SameSite=Strict, Lebensdauer 30 Tage. Hält dich angemeldet. • **CSRF-Token (`csrf-token`):** Schutz vor Cross-Site-Request-Forgery, Lebensdauer Sitzung. Es werden keine Tracking-Cookies, Analyse-Cookies (Google Analytics, Matomo etc.), Werbe-Cookies oder Drittanbieter-Cookies gesetzt. Eine Einwilligung ist daher nicht erforderlich.

Unser Hosting-Anbieter erhebt automatisch Informationen, die dein Browser übermittelt (IP-Adresse, Browsertyp, Betriebssystem, Referrer-URL, Zugriffszeitpunkt). Diese Logs dienen ausschließlich der Sicherheit und Stabilität (Angriffserkennung, Fehlersuche), werden nach 14 Tagen gelöscht und nicht mit anderen Daten verknüpft. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Wir setzen folgende Auftragsverarbeiter mit gültigen DSGVO-konformen AVV (Art. 28 DSGVO) ein: • **Neon (Datenbank-Hosting, EU-Region Frankfurt):** Speicherung aller Mitglieder- und Buchungsdaten in einer PostgreSQL-Datenbank. Keine Datenübertragung in Drittländer. • **AWS Simple Email Service (SES, eu-central-1 Frankfurt):** Versand transaktionaler E-Mails (Buchungsbestätigungen, OTP-Codes, Passwort-Reset). E-Mail-Inhalte werden zur Zustellung 3 Tage gespeichert, danach gelöscht. Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO sind hinterlegt. • **Pegelmessungs-APIs:** Wir rufen öffentliche Pegelstände (HND Bayern, NVE Norway, ARSO Slovenia) ab — dabei werden keine personenbezogenen Daten an die Behörden übermittelt. Darüber hinaus werden keine Daten an Dritte weitergegeben — insbesondere kein Verkauf, keine Werbe-Netzwerke, kein Profiling.

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist: • **Kontaktanfragen ohne Buchung:** 6 Monate. • **Gesundheitsdaten Buchung:** Vernichtung 14 Tage nach Tourabschluss. • **Notfallkontakt:** Aufbewahrung bis Tourabschluss + 30 Tage, danach Löschung. • **Buchungs- und Rechnungsdaten:** 10 Jahre gemäß § 147 AO / § 257 HGB. • **Mitglieder-Konto:** Bis zur Konto-Löschung durch den Gast oder 24 Monate Inaktivität. • **Server-Logs:** 14 Tage. • **OTP-Codes:** 5 Minuten.

Nach DSGVO stehen dir die folgenden Rechte uneingeschränkt zu: • Auskunftsrecht (Art. 15 DSGVO) • Recht auf Berichtigung (Art. 16 DSGVO) • Recht auf Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO) • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) • Widerspruchsrecht gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO) • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft Zur Ausübung genügt eine formlose E-Mail an mail@andreasgoertzen.eu. Wir antworten innerhalb der gesetzlichen Frist von 30 Tagen — in der Praxis meist innerhalb von 7 Werktagen.

Du hast das Recht, eine Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde einzureichen. Für unseren Sitz ist zuständig: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Holstenstraße 98, 24103 Kiel https://www.datenschutzzentrum.de

Wir verwenden keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO. Alle Buchungs- und Anfragebearbeitungen erfolgen durch menschliche Crew-Mitglieder.

Die Übertragung erfolgt ausschließlich verschlüsselt via TLS 1.3 (HTTPS). Datenbank-Zugänge sind durch Multi-Faktor-Authentifizierung geschützt. Backups werden verschlüsselt in einer separaten EU-Region gespeichert. Bei einem meldepflichtigen Datenleck informieren wir betroffene Personen und die Aufsichtsbehörde innerhalb der gesetzlichen 72-Stunden-Frist (Art. 33/34 DSGVO).

Wir aktualisieren diese Datenschutzerklärung, wenn sich gesetzliche Vorgaben oder unsere Verarbeitungspraktiken ändern. Bei wesentlichen Änderungen, die deine Rechte betreffen, informieren wir aktive Mitglieder per E-Mail. Das Datum der letzten Aktualisierung steht oben auf dieser Seite.