Datenschutzerklärung

Stand: 31. März 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

2. Allgemeines zur Datenverarbeitung

Stiftungsboard ist eine webbasierte SaaS-Plattform zur digitalen Verwaltung von Stiftungen in Deutschland. Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder wenn die Verarbeitung durch gesetzliche Vorschriften gestattet ist.

3. Rechtsgrundlagen der Verarbeitung

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.

Bei der Verarbeitung personenbezogener Daten, die zur Erfüllung eines Vertrags erforderlich ist (Nutzung der Plattform), dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind (z. B. Registrierung).

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (z. B. steuerrechtliche Aufbewahrungspflichten bei Zuwendungsbestätigungen), dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage (z. B. Sicherheits-Audit-Logs).

4. Erhobene und verarbeitete Daten

4.1 Benutzerkonto

Bei der Registrierung und Nutzung von Stiftungsboard erheben wir:

• Name und E-Mail-Adresse
• Passwort (ausschließlich als kryptografischer Hash gespeichert, bcrypt)
• Profilbild (optional)
• Organisationszugehörigkeit, Stiftungszuordnung und Rolle
• Zeitpunkt der letzten Anmeldung

4.2 Nutzungsdaten

Bei der Nutzung der Plattform werden folgende Daten verarbeitet:

• IP-Adresse (in Audit-Logs gespeichert)
• User-Agent des Browsers (in Audit-Logs gespeichert)
• Von Nutzern erstellte Inhalte: Sitzungen, Beschlüsse, Protokolle, Aufgaben, Projekte, Dokumente, Kommentare, Kontaktdaten, Finanzdaten

4.3 Audit-Logs

Sämtliche relevanten Aktionen auf der Plattform (Erstellen, Ändern, Löschen, Exportieren) werden in einem unveränderlichen Audit-Log protokolliert. Die Logs enthalten Benutzer-ID, Aktion, betroffene Entität, Änderungsdetails, IP-Adresse und Zeitstempel. Diese Daten werden für zehn (10) Jahre aufbewahrt, um den gesetzlichen Anforderungen an die Nachvollziehbarkeit der Stiftungsverwaltung gerecht zu werden.

5. Hosting und technische Infrastruktur

5.1 Vercel (Hosting)

Die Plattform wird auf Servern der Vercel Inc. in der EU-Region gehostet. Vercel verarbeitet in unserem Auftrag technische Zugriffsdaten (IP-Adresse, Zeitstempel, aufgerufene URL). Die Verarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO. Weitere Informationen finden Sie in der Datenschutzerklärung von Vercel unter vercel.com/legal/privacy-policy.

5.2 Neon (Datenbank)

Als Datenbank verwenden wir PostgreSQL, bereitgestellt durch Neon Tech Inc. Die Daten werden in der EU-Region gespeichert. Die Verarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.

5.3 S3-kompatibler Storage (Dateispeicher)

Hochgeladene Dokumente und Dateien werden in einem S3-kompatiblen Objektspeicher gespeichert. Die Speicherung erfolgt verschlüsselt. Die Verarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.

6. E-Mail-Versand

Für den Versand transaktionaler E-Mails (Einladungen, Benachrichtigungen) nutzen wir den Dienst Resend (Resend Inc.). Dabei werden E-Mail-Adresse und Name des Empfängers an Resend übermittelt. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO. Weitere Informationen finden Sie unter resend.com/legal/privacy-policy.

7. Cookies und Sitzungsverwaltung

Stiftungsboard verwendet ausschließlich technisch notwendige Session-Cookies (HTTP-only, Secure, SameSite=Lax). Diese Cookies dienen ausschließlich der Authentifizierung und Sitzungsverwaltung. Sie enthalten ein kryptografisch signiertes JSON Web Token (JWT) mit einer Gültigkeit von 24 Stunden.

Da keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt werden, ist kein Cookie-Banner erforderlich. Die Rechtsgrundlage für die Nutzung technisch notwendiger Cookies ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i.V.m. § 25 Abs. 2 TDDDG.

8. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten bestmöglich gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder unbefugten Zugriff zu schützen. Unsere Sicherheitsmaßnahmen umfassen insbesondere:

• Verschlüsselte Übertragung aller Daten mittels TLS/HTTPS
• Passwort-Hashing mit bcrypt
• Mandantentrennung (stiftung_id in jeder Datenbankabfrage)
• Soft-Delete statt physischem Löschen
• Unveränderliche Audit-Logs
• Rollenbasierte Zugriffssteuerung (Vorstand, erweiterter Vorstand, Mitarbeiter, Kuratorium, Beirat, Prüfer)

9. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

• Benutzerdaten: Bis zur Löschung des Kontos. Bei Kontolöschung werden personenbezogene Daten anonymisiert (Name, E-Mail, Profilbild).
• Stiftungsdaten: Gelöschte Datensätze werden per Soft-Delete markiert und nicht physisch gelöscht, um die Nachvollziehbarkeit für Aufsichtsbehörden zu gewährleisten.
• Audit-Logs: 10 Jahre Aufbewahrung (gemäß steuerrechtlichen und stiftungsrechtlichen Aufbewahrungsfristen).
• Zuwendungsbestätigungen: Können lediglich storniert, nicht physisch gelöscht werden (steuerrechtliche Anforderung).

10. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

10.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen. Ihr Benutzerprofil und Ihre Mitgliedschaften sind jederzeit in der Anwendung einsehbar.

10.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen. Sie können Ihre Profildaten jederzeit in den Einstellungen der Anwendung ändern.

10.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Bei einer Löschungsanfrage werden Ihre personenbezogenen Daten anonymisiert. Audit-Logs werden aufgrund gesetzlicher Aufbewahrungspflichten nicht gelöscht, verweisen aber nach der Anonymisierung nicht mehr auf identifizierbare Personen.

10.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

10.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Stiftungsboard bietet hierzu eine integrierte Exportfunktion an, über die Sie Ihre Daten als JSON-Datei herunterladen können. Angemeldete Benutzer finden die Exportfunktion in ihren Kontoeinstellungen.

10.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen.

10.7 Recht auf Beschwerde bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

11. Kontakt für Datenschutzanfragen

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Betroffenenrechte wenden Sie sich bitte an:

12. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie stets den aktuellen rechtlichen Anforderungen anzupassen oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.