Datenschutzrichtlinie

1. Verantwortlicher

Organisation

Zürichsee-Segler-Verband (ZSV)

Adresse

Zürichsee-Segler-Verband
8000 Zürich, Schweiz

E-Mail

kommunikation@zsv.info

Website

zurich-sailing.ch

2. Geltungsbereich

Diese Datenschutzrichtlinie gilt für die Webanwendung Zurich Sailing Multimedia Hub unter https://multimedia.zurich-sailing.ch. Die Plattform dient dem Upload, der Verwaltung und der Veröffentlichung von Fotos und Videos des Zürichsee-Segler-Verbands (ZSV).

Die Plattform ist nicht öffentlich zugänglich – nur eingeladene Creator-Accounts sowie Administratoren können sich anmelden und Inhalte hochladen.

3. Welche Daten wir verarbeiten

Benutzerkonten (Creator & Administratoren)

• E-Mail-Adresse
• Anzeigename
• Bcrypt-Passwort-Hash (das Klartext-Passwort wird nie gespeichert)
• Rolle (Admin / Creator / Member)
• Erstellungsdatum, letzter Login

Hochgeladene Medien

• Datei selbst (JPEG, PNG, RAW, MP4)
• Originaldateiname, Dateigrösse, Bildabmessungen
• EXIF-Metadaten (Aufnahmedatum, Kameramodell, GPS-Koordinaten sofern vorhanden)
• Vom Creator eingegebener Titel und Caption
• Hochlade-Zeitpunkt und Benutzer-ID des Hochladenden

Technische Zugriffsdaten

• IP-Adresse (in Server-Logs des Hosters, nicht durch die Applikation selbst gespeichert)
• Session-Cookie für angemeldete Benutzer (kein Tracking, nur Authentifizierung)

4. Zweck der Datenbearbeitung

Grundlage ist das Schweizer Datenschutzgesetz (DSG, in Kraft seit 1. September 2023). Daten werden nur bearbeitet, soweit dies zur Erfüllung des Vereinszwecks notwendig ist oder ein überwiegendes Interesse des ZSV besteht (Art. 31 DSG).

Authentifizierung

E-Mail-Adresse und Passwort-Hash werden verwendet, um angemeldete Benutzer zu identifizieren und den Zugriff auf geschützte Bereiche zu steuern (Rechtsgrundlage: Vertragserfüllung / überwiegendes Interesse des ZSV, Art. 31 DSG).

Medien-Upload und Verwaltung

Hochgeladene Dateien und Metadaten werden gespeichert, um Fotos und Videos zu verwalten, Wasserzeichen anzuwenden und sie in der öffentlichen Galerie darzustellen (Rechtsgrundlage: überwiegendes Interesse des Verbands, Art. 31 DSG).

Admin-Benachrichtigungen

Bei jedem neuen Upload erhält der Administrator eine E-Mail-Benachrichtigung mit Titel, Dateiname und Zeitpunkt des Uploads (kein Dateianhang).

Social-Media-Veröffentlichung

Auf explizite Aktion durch einen Administrator können Fotos via Meta Graph API auf Instagram und/oder Facebook gepostet werden (siehe Abschnitt 6).

5. Wo Daten gespeichert werden

Datenbank und Web-Dateien — cyon AG (Schweiz)

Benutzerkonten, Mediendaten und Web-Versionen (JPEG mit Wasserzeichen) werden auf Servern von cyon AG gespeichert. cyon betreibt seine Infrastruktur ausschliesslich in der Schweiz (Rechenzentrum Basel) und untersteht damit dem Schweizer DSG.

RAW-Dateien und Videos — Backblaze B2 (USA)

Original-RAW-Dateien (CR2, ARW, NEF) und Videos werden auf Backblaze B2 gespeichert. Die USA gelten nach DSG als Staat ohne angemessenes Datenschutzniveau (nicht auf der EDÖB-Angemessenheitsliste). Die Bekanntgabe stützt sich auf ein überwiegendes Interesse des ZSV (Art. 31 DSG) sowie vertragliche Garantien mit Backblaze. Die Daten sind nicht öffentlich zugänglich und werden ausschliesslich für Archivzwecke gespeichert.

Speicherdauer

Benutzerdaten werden gespeichert, solange das Konto aktiv ist. Medien werden gespeichert, bis sie vom Administrator gelöscht werden. Auf Anfrage werden alle personenbezogenen Daten einer Person gelöscht (siehe Abschnitt 7).

6. Weitergabe an Dritte

Daten werden grundsätzlich nicht an Dritte weitergegeben. Ausnahmen:

• cyon AG (Hosting, Schweiz) — verarbeitet Daten im Auftrag des ZSV gemäss Auftragsverarbeitungsvertrag.
• Backblaze Inc. (Dateispeicherung, USA) — speichert verschlüsselt übertragene RAW-Dateien und Videos. Zugriff nur durch autorisierte Administratoren.
• Meta Platforms Inc. (Instagram / Facebook) — wenn ein Administrator ein Foto aktiv auf Instagram oder Facebook veröffentlicht, wird das Foto und die Caption via Meta Graph API an Meta übermittelt. Dies geschieht nur auf explizite, manuelle Aktion eines Administrators — nicht automatisch.

7. Deine Rechte

Als betroffene Person hast du gemäss Schweizer Datenschutzgesetz (DSG) folgende Rechte:

• Auskunft (Art. 25 DSG) — Du kannst Auskunft darüber verlangen, ob und welche Personendaten wir über dich bearbeiten.
• Berichtigung (Art. 32 Abs. 1 DSG) — Du kannst die Berichtigung unrichtiger Personendaten verlangen.
• Löschung (Art. 32 Abs. 2 DSG) — Du kannst die Vernichtung deiner Personendaten verlangen, sofern kein Grund zur weiteren Bearbeitung besteht.
• Einschränkung der Bearbeitung (Art. 32 Abs. 2 DSG) — Du kannst verlangen, dass wir die Bearbeitung deiner Daten einschränken.
• Datenherausgabe (Art. 28 DSG) — Du kannst die Herausgabe deiner Personendaten in einem gängigen elektronischen Format verlangen.
• Widerspruch — Du kannst der Bearbeitung deiner Personendaten widersprechen, soweit diese auf überwiegendem Interesse beruht.

Für alle Anfragen wende dich an: kommunikation@zsv.info

Du hast ausserdem das Recht, Beschwerde beim zuständigen Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten einzureichen: edoeb.admin.ch.

8. Datensicherheit

Wir setzen folgende technische und organisatorische Massnahmen ein:

• Übertragung ausschliesslich via HTTPS/TLS
• Passwörter werden als Bcrypt-Hash gespeichert (kein Klartext)
• Session-Cookies mit HttpOnly, Secure, SameSite=Lax
• CSRF-Token-Schutz bei allen Formularen und API-Aufrufen
• Konfigurationsdateien (Passwörter, API-Keys) sind nicht im Quellcode-Repository enthalten und werden separat als Secrets verwaltet
• Upload-Verzeichnis ist gegen PHP-Ausführung gesichert

9. Änderungen dieser Richtlinie

Wir behalten uns vor, diese Datenschutzrichtlinie bei Bedarf anzupassen. Die jeweils aktuelle Version ist unter https://multimedia.zurich-sailing.ch/datenschutz.php abrufbar. Das Datum der letzten Aktualisierung ist oben angegeben.