Datenschutzerklärung

1. Einleitung

Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Diese Erklärung informiert Sie über Art, Umfang und Zweck der Erhebung, Verarbeitung und Nutzung Ihrer Daten.

2. Verantwortlicher & Auftragsverarbeiter

Verantwortlicher (Website):
David Köfer (Einzelunternehmer)
Erlenweg 9, 9062 Moosburg
office@k-creations.at
Tel: 0650-2068611

Begriff „Meldestellenbetreiber":
Als Meldestellenbetreiber bezeichnen wir die natürlichen oder juristischen Personen (typischerweise Reitvereine, Veranstalter oder von diesen beauftragte Meldestellen), die Reitveranstaltungen organisieren und auf Meldestelle.net über einen eigenen, mandantengetrennten Datenbereich (siehe Pkt. 10b) ihre Turniere, Nennungen, Start- und Ergebnislisten sowie ihre Abrechnung verwalten.

Verantwortlicher (Teilnehmerdaten):
Die Meldestellenbetreiber sind datenschutzrechtlich Verantwortliche für die Verarbeitung der Teilnehmerdaten ihrer Veranstaltungen. Sie entscheiden über Zweck und Mittel der Datenverarbeitung und sind gegenüber den Teilnehmern auskunftspflichtig.

Auftragsverarbeiter:
Meldestelle.net (David Köfer) verarbeitet Teilnehmerdaten im Auftrag und auf Weisung der Meldestellenbetreiber gemäß Art. 4 Z 8, Art. 28 DSGVO. Die technische Plattform stellt lediglich die Infrastruktur zur Verfügung.

Datenschutzanfragen:
datenschutz@meldestelle.net

3. Kategorien und Quellen der Daten

  • Website-Nutzer: Server-Logs (IP, Browser, OS, Referrer, Zeit), Kontaktformular (Name, E-Mail, Nachricht), Benutzerkonten (Name, E-Mail, Tel.), Cookies
  • Teilnehmerdaten: Vollständige Reiterliste vom Bundesfachverband (Mitgliedschaftseinwilligung), ergänzt um Start-/Ergebnisdaten

3a. Minderjährige Teilnehmer

Daten minderjähriger Teilnehmer stammen aus der Verbandsmeldung (OEPS). Die Einwilligung zur Datenverarbeitung erfolgt durch die Eltern/Erziehungsberechtigten bei Vereinsbeitritt. Es werden keine Kontaktdaten oder Geburtsdaten minderjähriger Teilnehmer öffentlich angezeigt.

4. Zwecke & Rechtsgrundlagen

  • Bereitstellung der Website: Art. 6 Abs. 1 lit. f DSGVO
  • Vertragserfüllung (Nutzerkonten, Buchung von Veranstaltungen): Art. 6 Abs. 1 lit. b DSGVO
  • Verarbeitung Teilnehmerdaten im Auftrag: Art. 6 Abs. 1 lit. c i.V.m. Art. 28 DSGVO
  • Betrieb und Verbesserung der Plattform: Art. 6 Abs. 1 lit. f DSGVO

5. Auftragsverarbeitung & AVV

Vor Nutzung der Plattform schließen wir mit jedem Meldestellenbetreiber einen digitalen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Ohne AVV ist die Verarbeitung von Teilnehmerdaten unzulässig.

5a. Datenzugriff der Meldestellenbetreiber

Die Meldestellenbetreiber haben im Rahmen ihrer Veranstaltungen Zugriff auf folgende Daten:

  • Reiterdaten: Name, Geburtsdatum, Verein, Lizenznummer, Kontaktdaten (soweit hinterlegt)
  • Pferdedaten: Name, Lebensnummer, Besitzer
  • Nennungen: Anmeldungen zu Bewerben inkl. Reiter-Pferd-Zuordnung
  • Start- und Ergebnislisten: Platzierungen, Zeiten, Bewertungen
  • Abrechnungsdaten: Nenngelder, Zahlungsstatus

Dieser Zugriff ist für die Durchführung der Veranstaltung erforderlich und erfolgt auf Basis des Auftragsverarbeitungsvertrags (AVV). Die Meldestellenbetreiber sind verpflichtet, die Daten ausschließlich für die Veranstaltungsdurchführung zu nutzen und eigene Datenschutzpflichten gegenüber den Teilnehmern zu erfüllen.

6. Weitergabe & Drittanbieter

Eine Weitergabe erfolgt nur:

  • an den jeweiligen Meldestellenbetreiber als datenschutzrechtlich Verantwortlichen (Teilnehmerdaten, Nennungen, Start- und Ergebnislisten) zur Durchführung der Veranstaltung
  • auf Basis Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
  • zur Vertragserfüllung (z. B. Hosting bei Hetzner Online GmbH, Art. 6 Abs. 1 lit. b DSGVO)
  • bei gesetzlicher Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
  • an Dienstleister (z. B. E-Mail-Versand, Backups) im Rahmen des AVV
  • an KI-Dienstleister im engen Rahmen der automatisierten Ausschreibungs-Erfassung (Details siehe Pkt. 6b)

6a. Drittlandtransfer

Es findet kein Transfer personenbezogener Daten in Drittländer außerhalb der EU/des EWR statt. Alle Server befinden sich in Deutschland.

Hinweis: Zur Absicherung unserer API-Schnittstellen verwenden wir eine Geolokalisierungs-Datenbank (siehe Punkt 10a). Diese Datenbank wird in regelmäßigen Abständen vom Hersteller (MaxMind, Inc., USA) auf unseren Server geladen. Bei diesem Update-Vorgang übermittelt unser Server lediglich seine eigene Server-IP-Adresse und einen technischen Lizenzschlüssel an MaxMind — keine personenbezogenen Daten von Nutzern. Dieser Vorgang ist mit dem Bezug von Software-Aktualisierungen vergleichbar.

6b. KI-gestützte Erfassung von Veranstaltungs-Ausschreibungen

Zur Effizienzsteigerung bei der Anlage neuer Veranstaltungen bieten wir den Meldestellenbetreibern die Möglichkeit, hochgeladene Ausschreibungs-PDFs durch ein KI-Sprachmodell in strukturierte Bewerbsdaten (Bewerbsnummer, Klasse, Höhe, Aufgabe, Termin, Nenngeld etc.) umwandeln zu lassen. Hierfür wird das Ausschreibungs-PDF an den KI-Anbieter Mistral AI (Mistral AI S.A.S., Paris, Frankreich) übermittelt und dort verarbeitet.

Übermittelt werden ausschließlich die Ausschreibungs-Dokumente selbst in der Fassung, in der sie der Veranstalter ohnehin öffentlich publiziert. Soweit Personenbezug entsteht, beschränkt er sich auf berufliche Funktionsträger-Angaben (z. B. Veranstalter, Meldestelle, Richter), die in der Ausschreibung enthalten sind. Teilnehmerdaten, Nennungen, Start- und Ergebnislisten, Pferdedaten sowie Abrechnungsdaten werden nicht an Mistral übermittelt.

Mistral AI ist ein europäischer Anbieter mit Sitz in Frankreich; die Verarbeitung erfolgt in der EU, ein Drittlandtransfer findet nicht statt. Wir nutzen einen eigenen Workspace mit eingeschränktem Connector-Scope und Spend-Limit. Die über die kostenpflichtige API (La Plateforme) übermittelten Daten werden nach den Nutzungsbedingungen von Mistral AI nicht zum Training der Modelle verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung mit dem Meldestellenbetreiber) i. V. m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Datenerfassung). Die Nutzung dieses Features ist freiwillig — Bewerbsdaten können weiterhin manuell erfasst werden. Eine darüber hinausgehende KI-Verarbeitung anderer Datenkategorien (Teilnehmer-, Ergebnis-, Abrechnungsdaten o. ä.) findet derzeit nicht statt; etwaige künftige KI-Anwendungen werden hier ergänzt.

7. Cookies & Speichertechnologien

7.1 Technisch notwendige Cookies

Session-Cookie (Sitzungsverwaltung), 2FA-Cookie (Zweistufige Anmeldung, 30 Tage). Keine Analyse- oder Tracking-Cookies ohne Einwilligung.

7.2 LocalStorage

Speicherung von Einstellungen (Cookie-Hinweis-Status), verbleibt lokal und wird nicht übermittelt.

7.3 Browser-Einstellungen

Sie können Cookies in den Browsereinstellungen einschränken; dadurch kann die Funktion eingeschränkt sein.

7.4 Webanalyse

Wir verwenden eine datenschutzfreundliche, selbst gehostete Webanalyse-Software zur Verbesserung unseres Angebots. Es werden keine Cookies gesetzt und keine personenbezogenen Daten erhoben. Erfasst werden ausschließlich: Seitenaufrufe, Verweildauer, Gerätetyp, Betriebssystem, Browser, Referrer und Land. IP-Adressen werden nicht gespeichert. Alle Daten werden auf eigenen Servern in Deutschland verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Webauftritts).

8. Speicherdauer

  • Server-Logs: 4 Monate (berechtigtes Interesse, IT-Sicherheit)
  • Start- und Ergebnislisten (öffentlich): werden mindestens 3 Jahre gespeichert und anschließend unbegrenzt im öffentlichen Archiv vorgehalten.
  • Abrechnungsdaten: 7 Jahre (gesetzliche Aufbewahrungspflicht gem. § 132 BAO, § 212 UGB)
  • Nutzerkonten: inaktiv nach 3 Jahren Stilllegung, Löschung/Anonymisierung nach 7 Jahren

8a. Vorzeitige Löschung auf Anweisung des Meldestellenbetreibers

Mit Ausnahme der Server-Logs (Pkt. 8 und 10a, eigene Verarbeitung zur IT-Sicherheit) speichern wir sämtliche in Pkt. 8 genannten Daten — insbesondere Teilnehmer-, Nennungs-, Start-, Ergebnis- und Abrechnungsdaten — ausschließlich im Auftrag und auf Weisung des jeweiligen Meldestellenbetreibers als Verantwortlichem (Art. 4 Z 7 DSGVO). Eine eigene gesetzliche Aufbewahrungspflicht trifft uns als Auftragsverarbeiter nicht; die in Pkt. 8 genannten Regelspeicherdauern dienen lediglich der Erfüllung dieser Aufbewahrungspflichten des Verantwortlichen.

Auf schriftliche Weisung des Meldestellenbetreibers werden die im Auftrag gespeicherten Daten vor Ablauf der Regelspeicherdauer gelöscht oder anonymisiert — und zwar innerhalb einer angemessenen Reaktionszeit nach Eingang der Weisung. Etwaige eigene gesetzliche Aufbewahrungspflichten des Meldestellenbetreibers (insbesondere § 132 BAO, § 212 UGB für Abrechnungsbelege) verbleiben in dessen Verantwortungsbereich; er hat erforderlichenfalls für eine eigene Archivierung (z. B. Export in seine Buchhaltung) zu sorgen, bevor er die Löschung anweist.

Bei einer vollständigen Löschungsweisung verbleiben lediglich die Server-Logs (Pkt. 8, 10a), die ohnehin nach 4 Monaten automatisch gelöscht werden.

9. Betroffenenrechte

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch.

Zuständige Aufsichtsbehörde:
Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
E-Mail: dsb@dsb.gv.at

10. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein (TLS-Verschlüsselung, Backups, Zugangskontrollen, Pseudonymisierung), um Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen.

10a. Geo-Filterung von API-Zugriffen

Zur Absicherung unserer maschinen-lesbaren Schnittstellen (API) prüfen wir die geografische Herkunft eingehender Verbindungen anhand der IP-Adresse. Verbindungen aus Ländern, in denen unsere Plattform nicht aktiv eingesetzt wird, werden blockiert, um die Angriffsfläche gegenüber automatisierten Angriffsversuchen zu reduzieren.

Die Zuordnung IP-Adresse → Land erfolgt mittels einer lokal auf unserem Server vorgehaltenen Datenbank (MaxMind GeoLite2-Country). Die Prüfung jeder einzelnen Anfrage erfolgt ausschließlich auf unserem Server in Deutschland — es werden keine IP-Adressen oder sonstigen personenbezogenen Daten an MaxMind oder andere Dritte übermittelt. Die Datenbank selbst wird wöchentlich vom Hersteller bezogen (siehe Punkt 6a).

Die IP-Adresse wird ausschließlich zum Zweck dieser Sicherheitsprüfung ausgewertet und nicht über die Zugriffs-Logs hinaus gespeichert (zur Speicherdauer der Server-Logs siehe Punkt 8).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der IT-Sicherheit der Plattform und dem Schutz vor unbefugten Zugriffen).

10b. Mandantentrennung und rollenbasierter Zugriff

Jeder Meldestellenbetreiber erhält einen eigenen, gegenüber anderen Betreibern mandantengetrennten Datenbereich; eine betreiberübergreifende Einsicht oder Verwaltung von Veranstaltungs-, Nennungs- oder Abrechnungsdaten ist technisch ausgeschlossen.

Innerhalb eines Mandanten erhalten Benutzer ausschließlich die für ihre jeweilige Aufgabe erforderlichen Berechtigungen (rollenbasierter Zugriff, Need-to-know-Prinzip). Sensible Module wie die Abrechnung unterliegen zusätzlichen, fein abgestuften Zugriffsbeschränkungen.

Detaillierte technische und organisatorische Maßnahmen (TOMs) sind Bestandteil des Auftragsverarbeitungsvertrags (Pkt. 5).

11. Änderungen der Datenschutzerklärung

Wir behalten uns vor, die Erklärung anzupassen. Die aktuelle Fassung finden Sie stets hier.

Stand: 18.06.2026