Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Project Playground e.V.

Raumerstr. 26

10437 Berlin

E-Mail: info@project-playground.de

Vertreten durch den Vorstand: Sascha Kilian (1. Vorstand), Elena Franz (2. Vorstand), Dominik Neumann (3. Vorstand), Alex Proschkin (Schatzmeister)

2. Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

  • Bestandsdaten (z.B. Name, E-Mail-Adresse)
  • Kontaktdaten (z.B. E-Mail-Adresse)
  • Zahlungsdaten (z.B. IBAN, Zahlungsbetrag, Mandatsreferenz)
  • Nutzungsdaten (z.B. besuchte Seiten, Zugriffszeit)
  • Meta-/Kommunikationsdaten (z.B. IP-Adresse, Geräteinformationen)
  • Mitgliedschaftsdaten (z.B. Beitragshöhe, Aktivitätsjahre, Rolle im Verein)
  • Abstimmungsdaten (z.B. abgegebene Stimmen zu Vorschlägen)
  • Diskussionsbeiträge (z.B. Themen-Titel, Beitragsinhalte, Antworten im Forum)
  • Feedback-Daten (z.B. Bug-Reports, Verbesserungsvorschläge, hochgeladene Screenshots)

3. Rechtsgrundlagen

Nachfolgend informieren wir Sie über die Rechtsgrundlagen der Datenschutz-Grundverordnung (DSGVO), auf deren Basis wir personenbezogene Daten verarbeiten:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten gegeben (z.B. Datenschutzerklärung-Checkbox bei der Registrierung).
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – Die Verarbeitung ist für die Erfüllung des Mitgliedschaftsvertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Vereins erforderlich (z.B. Sicherheit der Plattform, Vereinsverwaltung).

4. Zwecke der Verarbeitung

  • Verwaltung der Vereinsmitgliedschaft und Onboarding
  • Durchführung von Abstimmungen und demokratischen Entscheidungsprozessen
  • Abwicklung von Mitgliedsbeiträgen per SEPA-Lastschrift über Stripe
  • Kommunikation mit Mitgliedern (E-Mail-Benachrichtigungen)
  • Bereitstellung eines Diskussionsforums für den vereinsinternen Austausch
  • Erfassung, Bearbeitung und Archivierung von Community-Feedback (Tasks und zugehörige Screenshots) zur internen Nachverfolgung; Inhalte und Bilder werden hierfür in ein privates GitHub-Repository gespiegelt (siehe Abschnitt 6, GitHub, Inc.).
  • Bereitstellung und Sicherheit der Plattform
  • Erfüllung rechtlicher Verpflichtungen (z.B. steuerliche Aufbewahrungspflichten)

5. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist:

  • Mitgliedschaftsdaten: Für die Dauer der Mitgliedschaft und darüber hinaus gemäß gesetzlicher Aufbewahrungsfristen (bis zu 10 Jahre für steuerrelevante Unterlagen gem. § 147 AO).
  • Zahlungsdaten: Für die Dauer der Mitgliedschaft und darüber hinaus gemäß steuerlicher Aufbewahrungspflichten.
  • Abstimmungsdaten: Für die Dauer der Vereinsmitgliedschaft zur Nachvollziehbarkeit demokratischer Prozesse.
  • Diskussionsbeiträge: Für die Dauer der Vereinsmitgliedschaft. Bei Austritt werden personenbezogene Daten pseudonymisiert (Autor wird als „Ehemaliges Mitglied“ angezeigt).
  • Server-Logs: Maximal 30 Tage.

6. Empfänger und Auftragsverarbeiter

Wir setzen folgende Dienstleister für den Betrieb dieser Plattform ein:

Vercel Inc.

Hosting und Content Delivery Network (CDN). Serverstandorte weltweit, darunter EU. Vercel verarbeitet Nutzungsdaten (IP-Adresse, Zugriffszeit) im Rahmen der Bereitstellung der Plattform.

Sitz: San Francisco, USA. Datenschutzrahmen: EU-US Data Privacy Framework.

Vercel Blob (Vercel Inc.)

Objektspeicher für hochgeladene Screenshots zu Community-Feedback (Tasks aus dem /tasks-Bereich). Die Bilddateien (PNG, JPEG, WebP oder GIF, jeweils bis 2 MB) werden zunächst in Vercel Blob abgelegt und anschließend – wie in der Subsektion zu GitHub, Inc. beschrieben – in das private Feedback-Repository gespiegelt. Hochgeladene Bilder können personenbezogene Daten enthalten (z.B. Gesichter, Bildschirminhalte, Umgebungsdetails).

Sitz wie Vercel Inc. (siehe oben). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der internen Nachvollziehbarkeit von Community-Feedback). Übermittlung in die USA gestützt auf Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO sowie das EU-US Data Privacy Framework.

GitHub, Inc.

Wir spiegeln Community-Feedback (Tasks aus dem /tasks-Bereich) inklusive beigefügter Screenshots in ein privates GitHub-Repository (fabian-prog-crypto/playground-feedback) zur internen Nachverfolgung, agentengestützten Bearbeitung und Archivierung. Übermittelt werden: Task-Titel, Beschreibung, Status, Anzahl Upvotes, Anzeigename des Verfassers, Erstellungs- und Aktualisierungsdatum sowie hochgeladene Bilder. Das Repository ist nur für autorisierte Vereinsmitglieder zugänglich.

Sitz: 88 Colin P. Kelly Jr. Street, San Francisco, CA 94107, USA. Verarbeitung erfolgt auf Servern in den USA. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der internen Nachvollziehbarkeit von Community-Feedback). Übermittlung in die USA gestützt auf Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO sowie GitHub’s Zertifizierung unter dem EU-US Data Privacy Framework.

Stripe, Inc.

Zahlungsabwicklung für SEPA-Lastschriften (Mitgliedsbeiträge). Stripe verarbeitet Zahlungsdaten (IBAN, Name, Betrag) im Auftrag des Vereins.

Sitz: San Francisco, USA / Dublin, Irland (Stripe Payments Europe, Ltd.). Datenschutzrahmen: EU-US Data Privacy Framework und Standardvertragsklauseln.

Brevo (Sendinblue) SAS

E-Mail-Versand für Benachrichtigungen (z.B. Abstimmungen, Kommentare, Kontostatus). Brevo verarbeitet E-Mail-Adressen und Namen der Empfänger.

Sitz: Paris, Frankreich. Datenverarbeitung innerhalb der EU gemäß DSGVO.

Resend, Inc.

Alternativer E-Mail-Dienstleister für transaktionale Benachrichtigungen. Wird in Konfigurationen eingesetzt, in denen Brevo nicht verfügbar ist. Resend verarbeitet E-Mail-Adressen und Namen der Empfänger.

Sitz: San Francisco, USA. Datenschutzrahmen: EU-US Data Privacy Framework und Standardvertragsklauseln.

Neon, Inc. (Datenbank)

Datenbankhosting (PostgreSQL). Alle Mitgliedschafts-, Abstimmungs- und Anwendungsdaten werden in einer Neon-Datenbank gespeichert.

Sitz: San Francisco, USA. Serverstandort: EU (Frankfurt). Datenschutzrahmen: EU-US Data Privacy Framework.

Ably Realtime

Echtzeit-Kommunikation für Direktnachrichten und Live-Updates. Ably verarbeitet Benutzer-IDs, Nachrichtenmetadaten und IP-Adressen im Rahmen der WebSocket-Verbindungen.

Sitz: London, Vereinigtes Königreich. Serverstandorte weltweit, darunter EU. Datenschutzrahmen: EU-Standardvertragsklauseln.

Upstash, Inc.

Redis-basierte Infrastruktur für Rate-Limiting und Schutz von API-Endpunkten vor Missbrauch. Upstash verarbeitet IP-Adressen und Anfrage-Metadaten zur temporären Zählung von Anfragen.

Sitz: San Francisco, USA. Datenschutzrahmen: EU-US Data Privacy Framework und Standardvertragsklauseln.

OpenAI, L.L.C.

Nach einem Production-Release erzeugt ein automatischer Cron-Job mittels GPT-5-mini einen Entwurf für die Produktankündigung, die anschließend im Home-Feed der Mitglieder erscheint. An OpenAI übermittelt wird ausschließlich der Inhalt der Sektion ## Product announcement notesaus der Beschreibung des zugehörigen Merge-Pull-Requests. PR-Titel, vollständige PR-Bodies oder Commit-Nachrichten werden nicht übertragen. Personenbezogene Mitgliedsdaten werden im Normalbetrieb nicht versendet; redaktionell verfasste Ankündigungsnotizen könnten jedoch in Einzelfällen Namen oder Nutzer-IDs enthalten.

Sitz: 3180 18th Street, San Francisco, CA 94110, USA. Verarbeitung erfolgt auf Servern in den USA. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktankündigungen, die zum tatsächlichen Release passen). Übermittlung in die USA gestützt auf Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO sowie OpenAI’s Zertifizierung unter dem EU-US Data Privacy Framework.

7. Betroffenenrechte

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie haben das Recht auf Berichtigung unrichtiger Daten.
  • Löschungsrecht (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Widerspruch einzulegen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, Ihre erteilte Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@project-playground.de

8. Cookies und Sitzungsdaten

Diese Plattform verwendet ausschließlich technisch notwendige Cookies:

  • Sitzungs-Cookie: Für die Authentifizierung und Aufrechterhaltung Ihrer Anmeldung. Dieses Cookie wird gelöscht, wenn Sie sich abmelden oder den Browser schließen.

Wir verwenden keine Tracking-Cookies, Analyse-Tools oder Werbecookies. Es findet kein Tracking des Nutzerverhaltens statt.

9. SEPA-Lastschrift und Zahlungsverarbeitung

Für die Einziehung der Mitgliedsbeiträge nutzen wir den Zahlungsdienstleister Stripe. Im Rahmen der SEPA-Lastschrift werden folgende Daten verarbeitet:

  • Name des Kontoinhabers
  • IBAN (Internationale Bankkontonummer)
  • Betrag und Datum der Lastschrift
  • Mandatsreferenz

Die Rechtsgrundlage für die Verarbeitung der Zahlungsdaten ist die Erfüllung des Mitgliedschaftsvertrags (Art. 6 Abs. 1 lit. b DSGVO) sowie Ihre ausdrückliche Einwilligung zum SEPA-Lastschriftmandat (Art. 6 Abs. 1 lit. a DSGVO). Sie können das SEPA-Mandat jederzeit widerrufen.

10. SSL/TLS-Verschlüsselung

Diese Plattform nutzt aus Sicherheitsgründen und zum Schutz der Übertragung personenbezogener Daten eine SSL/TLS-Verschlüsselung. Sie erkennen eine verschlüsselte Verbindung an dem Präfix "https://" in der Adresszeile Ihres Browsers.

11. Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Friedrichstr. 219, 10969 Berlin

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.