Datenschutz / Privacy

Datenschutzerklärung

Wir freuen uns über Ihr Interesse am Bayreuth Mountain Club. Der Schutz Ihrer persönlichen Daten ist uns ein wichtiges Anliegen. Nachfolgend informieren wir Sie ausführlich über den Umgang mit Ihren Daten.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

,
E-Mail: [/hide]

2. Erhebung und Speicherung personenbezogener Daten beim Besuch der Website

Beim Aufruf unserer Website werden automatisch Informationen an unseren Server gesendet und vorübergehend in einem Logfile gespeichert. Folgende Daten werden dabei ohne Ihr Zutun erfasst:

  • IP-Adresse des anfragenden Rechners

  • Datum und Uhrzeit des Zugriffs

  • Name und URL der abgerufenen Datei

  • Website, von der aus der Zugriff erfolgt (Referrer-URL)

  • Verwendeter Browser und ggf. das Betriebssystem Ihres Rechners

Die Verarbeitung erfolgt zur Gewährleistung eines störungsfreien Verbindungsaufbaus, zur komfortablen Nutzung unserer Website sowie zur Auswertung der Systemsicherheit und -stabilität. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

3. Cookies und lokale Speicherung

Wir verwenden technisch notwendige Cookies, um die Anmeldung und Sitzungsverwaltung zu ermöglichen sowie CSRF-Schutz bereitzustellen. Die Sitzung endet automatisch nach 120 Minuten Inaktivität; Cookies werden mit den Attributen SameSite=Lax und Secure (unter HTTPS) gesetzt. Sitzungsdaten selbst werden serverseitig in der Datenbank gehalten. Eine Einwilligung ist hierfür nicht erforderlich (Art. 6 Abs. 1 lit. f DSGVO; § 25 Abs. 2 Nr. 2 TDDDG – unbedingt erforderlich).

Darüber hinaus speichern wir ausschließlich zur Verbesserung des Sucherlebnisses Ihre zuletzt verwendeten Suchbegriffe in Ihrem Browser (sessionStorage). Dieser Speicher ist an den aktuellen Browser-Tab gebunden und wird beim Schließen des Tabs automatisch geleert; eine Übertragung an uns oder Dritte findet nicht statt. Für Event-Leiter, die das Check-in-Feldwerkzeug öffnen, werden während des Events noch nicht synchronisierte Anwesenheitsänderungen vorübergehend im localStorage zwischengespeichert, um einen Verbindungsabbruch zu überbrücken. Beide Speicherformen sind technisch notwendig für die jeweilige Funktion (§ 25 Abs. 2 Nr. 2 TDDDG).

4. Registrierung und Benutzerkonto

Bei der Registrierung speichern wir Name, E-Mail-Adresse und ein verschlüsseltes Passwort. Optional können Sie ein Profilbild, eine Biografie und weitere Angaben hinzufügen. Diese Daten sind für die Nutzung des Benutzerkontos erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Sie können Ihr Konto jederzeit über Ihre Profileinstellungen löschen lassen.

5. Hosting

Unsere Website wird bei Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland gehostet. Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

6. Content Delivery Network, Schriftarten und Skripte

Wir setzen Cloudflare Inc. (101 Townsend St, San Francisco, CA 94107, USA) als vorgelagerten Schutz- und Beschleunigungsdienst (Reverse-Proxy) ein. Dabei wird die IP-Adresse des Besuchers verarbeitet (Art. 6 Abs. 1 lit. f DSGVO). Cloudflare ist nach den EU-Standardvertragsklauseln zertifiziert.

Schriftarten (Open Sans, Roboto Condensed) sowie sämtliche JavaScript- und CSS-Bibliotheken (z. B. Leaflet, Chart.js, Cropper.js) werden von unserem eigenen Server ausgeliefert. Es findet keine Übertragung Ihrer IP-Adresse an Google Fonts, jsDelivr, cdnjs, unpkg oder vergleichbare Drittanbieter-CDNs statt.

7. Schutz vor Missbrauch bei der Anmeldung (Cloudflare Turnstile)

Auf den Anmelde-, Registrierungs- und Passwort-Zurücksetzen-Formularen setzen wir Cloudflare Turnstile als Bot- und Missbrauchsschutz ein. Hierfür wird ein Skript von challenges.cloudflare.com geladen; Cloudflare kann dabei Ihre IP-Adresse sowie technische Browserdaten verarbeiten. Die Prüfung ersetzt herkömmliche reCAPTCHA-Abfragen und verwendet in der Regel keine Cookies zu Trackingzwecken. Rechtsgrundlage ist unser berechtigtes Interesse an der Abwehr automatisierter Angriffe auf Nutzerkonten (Art. 6 Abs. 1 lit. f DSGVO). Turnstile wird ausschließlich auf den genannten Formularseiten geladen, nicht beim normalen Surfen der Website.

8. Karten und Wetterdaten

Für die Darstellung von Karten nutzen wir OpenStreetMap (Open-Source). Kartenkacheln werden direkt von den OpenStreetMap-Servern (OpenStreetMap Foundation, Vereinigtes Königreich) geladen; dabei wird Ihre IP-Adresse übermittelt. Die Darstellung der Karte ist integraler Bestandteil der von Ihnen aufgerufenen Seite (z. B. Wanderrouten-Detailseite); Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Für Wettervorhersagen und Ortsnamen zu Veranstaltungen werden ausschließlich GPS-Koordinaten (ohne Nutzer-ID, E-Mail oder IP) an Open-Meteo (Bregenz, Österreich) und OpenStreetMap Nominatim übermittelt.

9. E-Mail-Kommunikation

Versendete E-Mails (Anmeldebestätigungen, Passwort-Zurücksetzungen, Event-Benachrichtigungen) werden zur Zustellnachweisführung protokolliert. Versandprotokolle (Empfänger, Betreff, Status, Zeitstempel) werden standardmäßig 90 Tage aufbewahrt und anschließend automatisch gelöscht (Art. 5 Abs. 1 lit. e DSGVO). Unser E-Mail-Dienstleister (Resend / Svix) meldet uns per Webhook, ob eine E-Mail zugestellt oder geöffnet wurde. Diese Zustellungs- und Öffnungsdaten werden zusammen mit dem Versandprotokoll gespeichert und nach 90 Tagen automatisch gelöscht. Bei einer Kontolöschung werden sie sofort anonymisiert. Sie können Benachrichtigungen jederzeit in Ihrem Profil deaktivieren oder über den Abmeldelink in E-Mails kündigen. Transaktionale E-Mails (z. B. Passwort-Zurücksetzungen) enthalten keinen Abmeldelink, da sie zur Vertragsabwicklung erforderlich sind.

10. Push-Benachrichtigungen

Sofern Sie Push-Benachrichtigungen aktiviert haben, wird der Push-Endpoint Ihres Browsers Ihrem Konto zugeordnet gespeichert, damit wir Benachrichtigungen zustellen können. Die Einwilligung erfolgt über das Berechtigungs-Dialogfenster Ihres Browsers und kann jederzeit in den Browsereinstellungen oder in Ihrem Profil widerrufen werden.

11. Sicherheits-Protokollierung

Anmeldeversuche (erfolgreich und fehlgeschlagen), Registrierungen und HTTP-Fehler werden in einem separaten Protokoll mit IP-Adresse, User-Agent und Zeitstempel gespeichert, um Brute-Force-Angriffe und Missbrauch zu erkennen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Diese Protokolle werden nach 90 Tagen automatisch gelöscht. Bei einer Kontolöschung werden die zugeordneten Einträge anonymisiert (E-Mail, User-Agent und Nutzer-Bezug entfernt).

12. Reichweitenmessung (Pageviews und Videostatistik)

Um zu verstehen, welche Veranstaltungen, Routen und Beiträge unsere Mitglieder interessieren, protokollieren wir Seitenaufrufe serverseitig — ohne Cookies, ohne JavaScript-Tracker und ohne Datenweitergabe an Dritte. Pro Aufruf speichern wir: die aufgerufene URL, den HTTP-Status, eine grobe Geräteklasse (Browser/Betriebssystem ohne Versionsnummer, Mobil/Tablet/Desktop), das Land (über Cloudflare), den Host der verweisenden Seite (ohne Pfad oder Suchparameter), eine pseudonyme Besucher-Kennung sowie — bei eingeloggten Nutzern — Ihre Nutzer-ID. Ihre IP-Adresse wird nicht gespeichert. Die Besucher-Kennung ist ein HMAC-Hash aus IP-Adresse und Browser-Klasse. Für tagesgenaue Auswertungen nutzen wir einen Schlüssel, der jeden Tag um Mitternacht (UTC) wechselt; für monatsübergreifende Auswertungen (z. B. eindeutige Besucher pro Monat) einen parallelen Schlüssel, der zu jedem Monatsersten (UTC) wechselt. Spätestens mit dem nächsten Monatswechsel ist eine erneute Zuordnung technisch nicht mehr möglich.

Für Videos erfassen wir zusätzlich, wie weit der jeweilige Player abgespielt wurde, um Wiedergabezahlen und Aufmerksamkeitskurven berechnen zu können. Bei Bildern wird ein Aufruf nur dann gezählt, wenn das Bild aktiv im Lightbox-Vollbildmodus geöffnet wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Auswertung der Website). Speicherdauer: Standardmäßig 90 Tage; bei Kontolöschung werden zuordenbare Einträge sofort anonymisiert. Statistiken zu Videowiedergaben werden nach Anonymisierung der Nutzer-ID dauerhaft als aggregierte Werte aufbewahrt — sie enthalten dann keinerlei personenbezogene Daten mehr im Sinne von Art. 4 Nr. 1 DSGVO.

Diese Protokolle werden ausschließlich intern für die Auswertung im Adminbereich genutzt und werden weder verkauft noch mit Dritten geteilt. Auf Wunsch erhalten Sie über Profil → Daten exportieren einen Auszug der Ihnen zugeordneten Aufrufe (Zeitpunkt, URL). Administratoren können im Adminbereich die zuletzt besuchte öffentliche Seite (Events, Routen, News, Mitgliederprofile oder Suche) eines eingeloggten Mitglieds sehen, zu Moderations- und Supportzwecken. Aufrufe von Konto- oder Nachrichten-Seiten werden nie angezeigt.

13. Hochgeladene Inhalte und Profil-Sichtbarkeit

Von Ihnen hochgeladene Inhalte (z. B. Profilbild, GPX-Tracks) werden auf unseren Servern gespeichert. GPX-Tracks und Bestenlisten-Einträge sind standardmäßig für angemeldete Mitglieder sichtbar. Die Öffentlichkeit Ihres Profils steuern Sie in Ihren Profileinstellungen.

In Event-Galerien geteilte Fotos sind Community-Inhalte und werden bei einer Konto-Löschung nicht automatisch entfernt. Für die Entfernung einzelner Fotos kontaktieren Sie uns bitte unter [/hide].

14. Ihre Rechte

Folgende Rechte können Sie direkt im Portal ausüben:

  • Auskunft (Art. 15 DSGVO) und Datenübertragbarkeit (Art. 20 DSGVO) – unter Profil → Daten exportierenkönnen Sie eine ZIP-Datei mit allen Sie betreffenden Daten herunterladen (48 Stunden gültiger signierter Download-Link).

  • Löschung (Art. 17 DSGVO) – unter Profil → Konto löschen. Ihre Löschanfrage wird erst nach einer 14-tägigen Widerrufsfrist ausgeführt; Sie erhalten Erinnerungen 7 Tage und 1 Tag vor der endgültigen Anonymisierung. Bei gesetzlicher Aufbewahrungspflicht (z. B. Buchungs- und Zahlungsdaten, §§ 257 HGB, 147 AO) bleiben die betreffenden Datensätze für 10 Jahre pseudonymisiert erhalten.

Folgende Rechte üben Sie per E-Mail an [/hide] aus:

  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)

  • Einschränkung der Verarbeitung (Art. 18 DSGVO)

  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

15. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über unsere Verarbeitung personenbezogener Daten zu beschweren. Zuständig ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie stets den aktuellen rechtlichen Anforderungen anzupassen. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Fassung.

Privacy Policy (English)

Thank you for your interest in Bayreuth Mountain Club. Protecting your personal data is important to us. Below we provide detailed information about how we handle your data.

1. Data Controller

The controller responsible for data processing on this website is:

,
Email: [/hide]

2. Collection and Storage of Personal Data When Visiting the Website

When you access our website, information is automatically sent to our server and temporarily stored in a log file. The following data is collected without any action on your part:

  • IP address of the requesting computer

  • Date and time of access

  • Name and URL of the retrieved file

  • Website from which access was made (referrer URL)

  • Browser used and, if applicable, the operating system of your computer

Processing is carried out to ensure smooth connection establishment, comfortable use of our website, and evaluation of system security and stability. The legal basis is Art. 6(1)(f) GDPR.

3. Cookies and Local Storage

We use technically necessary cookies to enable login and session management, as well as to provide CSRF protection. The session ends automatically after 120 minutes of inactivity; cookies are set with the SameSite=Lax and Secure(under HTTPS) attributes. Session data itself is stored server-side in the database. No consent is required for this (Art. 6(1)(f) GDPR; § 25(2)(2) TDDDG – strictly necessary).

In addition, solely to improve the search experience, we store your most recent search terms in your browser's sessionStorage. This storage is bound to the current browser tab and is cleared automatically when the tab is closed; nothing is transmitted to us or to third parties. For event leaders who open the check-in field tool, attendance changes that have not yet been synchronised are buffered in localStorage for the duration of the event in order to bridge a connection interruption. Both forms of storage are technically necessary for the respective functionality (§ 25(2)(2) TDDDG).

4. Registration and User Account

When you register, we store your name, email address, and an encrypted password. Optionally, you may add a profile picture, biography, and other information. This data is required for the use of the user account (Art. 6(1)(b) GDPR). You can delete your account at any time via your profile settings.

5. Hosting

Our website is hosted by Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany, under a data processing agreement pursuant to Art. 28 GDPR.

6. Content Delivery Network, Fonts and Scripts

We use Cloudflare Inc. (101 Townsend St, San Francisco, CA 94107, USA) as an upstream protection and acceleration reverse-proxy. This processes the visitor's IP address (Art. 6(1)(f) GDPR). Cloudflare is certified under the EU Standard Contractual Clauses.

The fonts used (Open Sans, Roboto Condensed) as well as all JavaScript and CSS libraries (e.g. Leaflet, Chart.js, Cropper.js) are served from our own server. No IP address is transferred to Google Fonts, jsDelivr, cdnjs, unpkg or comparable third-party CDNs.

7. Abuse Protection on Sign-in Forms (Cloudflare Turnstile)

On the sign-in, registration and password-reset forms we use Cloudflare Turnstile as a bot and abuse protection mechanism. For this purpose, a script is loaded from challenges.cloudflare.com; Cloudflare may process your IP address and technical browser data in the course of this check. Turnstile replaces traditional reCAPTCHA challenges and generally does not use cookies for tracking purposes. The legal basis is our legitimate interest in defending against automated attacks on user accounts (Art. 6(1)(f) GDPR). Turnstile is loaded exclusively on the aforementioned form pages, not during normal browsing of the website.

8. Maps and Weather Data

For map rendering we use OpenStreetMap (open source). Map tiles are loaded directly from OpenStreetMap servers (OpenStreetMap Foundation, United Kingdom), which receives your IP address. Rendering the map is an integral part of the page you have navigated to (e.g. a hiking-route detail page); the legal basis is Art. 6(1)(f) GDPR. For weather forecasts and location names for events, only GPS coordinates (without user ID, email, or IP) are transmitted to Open-Meteo (Bregenz, Austria) and OpenStreetMap Nominatim.

9. Email Communication

Sent emails (registration confirmations, password resets, event notifications) are logged to track delivery. Delivery logs (recipient, subject, status, timestamp) are retained for 90 days by default and then automatically deleted (Art. 5(1)(e) GDPR). Our email provider (Resend / Svix) reports back to us via webhook whether an email was delivered or opened. These delivery and open-tracking timestamps are stored alongside the delivery log and automatically deleted after 90 days. On account deletion they are anonymised immediately. You can disable notifications at any time in your profile or unsubscribe via the link in emails. Transactional emails (e.g. password resets) do not contain an unsubscribe link as they are necessary for contract fulfilment.

10. Push Notifications

If you enable push notifications, your browser's push endpoint is stored and linked to your account so we can deliver notifications. Consent is given via your browser's permission dialog and can be revoked at any time in your browser settings or in your profile.

11. Security Logging

Sign-in attempts (successful and failed), registrations and HTTP errors are stored in a separate log with IP address, user-agent and timestamp in order to detect brute-force attacks and abuse. The legal basis is Art. 6(1)(f) GDPR. These logs are automatically deleted after 90 days. When an account is deleted, the associated entries are anonymised (email, user-agent and user reference are removed).

12. Audience Measurement (Pageviews and Video Statistics)

To understand which events, routes and posts interest our members, we log page views server-side — with no cookies, no JavaScript trackers and no data shared with third parties. For each view we store: the URL visited, the HTTP status, a coarse device class (browser/OS without version, mobile/tablet/desktop), country (via Cloudflare), the referring site's host (no path or query string), a pseudonymous visitor identifier, and — for signed-in users — your user ID. We do not store your IP address. The visitor identifier is an HMAC hash of your IP and browser class. For day-level analytics we use a secret that rotates every UTC midnight; for cross-day analytics (e.g. unique visitors per month) we use a parallel secret that rotates on the first of each UTC month. Once the monthly salt rolls over, re-correlation is no longer technically possible.

For videos we additionally record how far the player progressed, so we can compute play counts and attention curves. For images, a view is only counted when the image is actively opened in the full-screen lightbox.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in technical website measurement). Retention: 90 days by default; on account deletion, attributable entries are anonymised immediately. Video-playback statistics are kept indefinitely as aggregated values after the user ID is anonymised — at that point they no longer contain any personal data within the meaning of Art. 4(1) GDPR.

These logs are used internally for the admin dashboard only and are neither sold nor shared with third parties. On request, Profile → Export data includes a list of the views attributed to your account (timestamp, URL). Platform administrators may see the last public page (events, routes, news, member profiles, or search) that a signed-in member visited, for moderation and member-support purposes. Visits to account-settings or inbox pages are never shown.

13. Uploaded Content and Profile Visibility

Content you upload (e.g. profile picture, GPX tracks) is stored on our servers. GPX tracks and leaderboard entries are visible to signed-in members by default. You control the visibility of your profile in your profile settings.

Photos shared in event galleries are community content and are not automatically removed when you delete your account. To request removal of individual photos, please contact us at [/hide].

14. Your Rights

The following rights can be exercised directly within the platform:

  • Access (Art. 15 GDPR) and data portability (Art. 20 GDPR) – under Profile → Export data you can download a ZIP archive with all your personal data (48-hour signed download link).

  • Erasure (Art. 17 GDPR) – under Profile → Delete account. Your deletion request is executed only after a 14-day cancellation window; you will receive reminders 7 days and 1 day before permanent anonymisation. Where statutory retention applies (e.g. booking and payment records under §§ 257 HGB, 147 AO), the affected records are retained pseudonymised for 10 years.

The following rights can be exercised by email to [/hide]:

  • Rectification of inaccurate data (Art. 16 GDPR)

  • Restriction of processing (Art. 18 GDPR)

  • Objection to processing (Art. 21 GDPR)

15. Right to Lodge a Complaint with a Supervisory Authority

You have the right to lodge a complaint with a data protection supervisory authority regarding our processing of personal data. The competent authority is the Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, Germany.

16. Changes to this Privacy Policy

We reserve the right to amend this privacy policy to ensure it always complies with current legal requirements. The current version will then apply to your next visit.