Remmer/stiftung-management-system
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Add Vorlagen editor, upload portal, onboarding, and participant import command
Some checks failed
CI/CD Pipeline / test (push) Has been cancelled
Details
CI/CD Pipeline / deploy (push) Has been cancelled
Details
Code Quality / quality (push) Has been cancelled
Details

Browse Source 
- Dokument-Vorlagen-Editor: create/edit/reset document templates (admin)
- Upload-Portal: public portal for Nachweis uploads via token
- Onboarding: invite Destinatäre via email with multi-step wizard
- Bestätigungsschreiben: preview and send confirmation letters
- Email settings: SMTP configuration UI
- Management command: import_veranstaltung_teilnehmer for bulk participant import

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
SysAdmin Agent
2026-03-21 09:25:18 +00:00
parent fdf078fa10
commit aed540fe4b
51 changed files with 5335 additions and 33 deletions
Download Patch File Download Diff File Expand all files Collapse all files

424
app/templates/portal/datenschutzerklaerung.html Normal file
View File

@@ -0,0 +1,424 @@
<!DOCTYPE html>
<html lang="de">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Datenschutzerklärung van Hees-Theyssen-Vogel'sche Stiftung</title>
<link href="https://cdn.jsdelivr.net/npm/bootstrap@5.3.0/dist/css/bootstrap.min.css" rel="stylesheet">
<link href="https://cdnjs.cloudflare.com/ajax/libs/font-awesome/6.4.0/css/all.min.css" rel="stylesheet">
<style>
:root {
--racing-green: #004225;
--racing-green-light: #006837;
}
body {
background-color: #f8f9fa;
font-size: 0.95rem;
line-height: 1.7;
color: #333;
}
.portal-header {
background: linear-gradient(135deg, var(--racing-green) 0%, var(--racing-green-light) 100%);
color: white;
padding: 2rem 0;
}
.portal-header h1 {
font-size: 1.5rem;
font-weight: 600;
margin-bottom: 0.25rem;
}
.portal-header .subtitle {
font-size: 0.9rem;
opacity: 0.85;
}
.content-card {
background: white;
border-radius: 12px;
box-shadow: 0 2px 12px rgba(0,0,0,0.08);
padding: 2.5rem;
margin-bottom: 2rem;
}
h2 {
color: var(--racing-green);
font-size: 1.15rem;
font-weight: 600;
border-bottom: 2px solid var(--racing-green);
padding-bottom: 0.4rem;
margin-top: 2rem;
margin-bottom: 1rem;
}
h2:first-of-type {
margin-top: 0;
}
h3 {
font-size: 1rem;
font-weight: 600;
color: #333;
margin-top: 1.25rem;
}
.dsgvo-article {
background: #f0f7f4;
border-left: 4px solid var(--racing-green);
border-radius: 0 6px 6px 0;
padding: 0.75rem 1rem;
margin: 0.5rem 0 1rem 0;
font-size: 0.88rem;
color: #004225;
}
.rights-list li {
padding: 0.4rem 0;
border-bottom: 1px solid #f0f0f0;
}
.rights-list li:last-child {
border-bottom: none;
}
.footer-note {
font-size: 0.82rem;
color: #6c757d;
text-align: center;
padding: 1.5rem 0;
}
.ao-hinweis {
background: #fff8e1;
border: 1px solid #ffc107;
border-radius: 8px;
padding: 1rem 1.25rem;
margin: 1rem 0;
font-size: 0.88rem;
}
@media print {
.portal-header { background: #004225 !important; -webkit-print-color-adjust: exact; }
.content-card { box-shadow: none; border: 1px solid #ddd; }
}
</style>
</head>
<body>
<!-- Header -->
<div class="portal-header">
<div class="container">
<div class="row align-items-center">
<div class="col">
<h1><i class="fas fa-shield-alt me-2"></i>Datenschutzerklärung</h1>
<div class="subtitle">van Hees-Theyssen-Vogel'sche Stiftung &middot; Destinatär-Portal</div>
</div>
<div class="col-auto text-end">
<small class="opacity-75">Stand: März 2026</small>
</div>
</div>
</div>
</div>
<!-- Content -->
<div class="container my-4">
<div class="content-card">
<!-- 1. Verantwortliche Stelle -->
<h2><i class="fas fa-building me-2"></i>1. Verantwortliche Stelle</h2>
<p>
Verantwortliche Stelle im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist:
</p>
<address class="ms-3">
<strong>van Hees-Theyssen-Vogel'sche Stiftung</strong><br>
Raesfelder Str. 3<br>
46499 Hamminkeln<br><br>
<i class="fas fa-envelope me-1"></i> stiftung@vhtv-stiftung.de
</address>
<p class="text-muted small">
Die Stiftung ist als gemeinnützige Familienstiftung anerkannt und verfolgt ausschließlich und unmittelbar
gemeinnützige Zwecke im Sinne des § 52 der Abgabenordnung (AO).
</p>
<!-- 2. Grundsätze -->
<h2><i class="fas fa-gavel me-2"></i>2. Grundsätze der Datenverarbeitung</h2>
<p>
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Erfüllung unserer satzungsmäßigen Aufgaben
und gesetzlichen Pflichten erforderlich ist. Die Verarbeitung erfolgt stets im Einklang mit der
Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).
</p>
<p>
Wir erheben, verarbeiten und speichern Ihre personenbezogenen Daten grundsätzlich nur
</p>
<ul>
<li>mit Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), oder</li>
<li>zur Erfüllung einer vertraglichen oder vorvertraglichen Verpflichtung (Art. 6 Abs. 1 lit. b DSGVO), oder</li>
<li>aufgrund einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO), oder</li>
<li>zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).</li>
</ul>
<!-- 3. Upload-Portal -->
<h2><i class="fas fa-upload me-2"></i>3. Nachweis-Upload-Portal (bestehende Destinatäre)</h2>
<p>
Das Upload-Portal ermöglicht Ihnen die sichere, digitale Einreichung von Unterlagen im Rahmen
des halbjährlichen Nachweisverfahrens. Der Zugang erfolgt ausschließlich über einen persönlichen,
einmalig nutzbaren Token-Link, den Sie per E-Mail erhalten.
</p>
<h3>3.1 Verarbeitete Daten</h3>
<ul>
<li><strong>Hochgeladene Dokumente</strong> (Studienbescheinigungen, Einkommensnachweise, Vermögensnachweise)</li>
<li><strong>IP-Adresse</strong> (ausschließlich als kryptographischer Hash gespeichert; keine Rückführung möglich)</li>
<li><strong>Zeitstempel</strong> der Token-Einlösung und des Dokumenten-Uploads</li>
<li><strong>Token-Status</strong> (eingelöst / abgelaufen)</li>
</ul>
<h3>3.2 Rechtsgrundlage</h3>
<div class="dsgvo-article">
<strong>Art. 6 Abs. 1 lit. b DSGVO</strong> — Verarbeitung zur Erfüllung der satzungsmäßigen Verpflichtung
der Stiftung, die Bedürftigkeit und Anspruchsberechtigung ihrer Destinatäre gemäß § 53 AO zu prüfen und
zu dokumentieren.
</div>
<h3>3.3 Zweck der Verarbeitung</h3>
<p>
Die Verarbeitung dient ausschließlich der satzungsgemäßen Aufgabe der Stiftung: der Prüfung, ob die
Voraussetzungen für eine Unterstützungsleistung gemäß § 53 Abgabenordnung (AO) weiterhin vorliegen.
Dies umfasst insbesondere die Überprüfung der Bedürftigkeit (Einkommens- und Vermögensgrenzen)
sowie der Anspruchsvoraussetzungen.
</p>
<div class="ao-hinweis">
<i class="fas fa-info-circle me-2 text-warning"></i>
<strong>Hinweis gemäß § 53 AO:</strong> Die van Hees-Theyssen-Vogel'sche Stiftung ist als gemeinnützige
Stiftung verpflichtet, die Bedürftigkeit der unterstützten Personen nachzuweisen.
Gemäß § 53 Nr. 2 AO dürfen nur Personen unterstützt werden, deren Bezüge
(einschließlich Leistungen nach SGB) nicht mehr als das Fünffache des Regelsatzes
nach dem Dritten Kapitel SGB XII überschreiten und deren Vermögen den
gemeinen Wert von 15.500 € nicht übersteigt. Die Einreichung der Nachweise ist
daher gesetzlich geboten und unverzichtbar.
</div>
<h3>3.4 Speicherdauer und Löschkonzept</h3>
<table class="table table-sm table-bordered">
<thead class="table-light">
<tr>
<th>Datenkategorie</th>
<th>Speicherdauer</th>
<th>Begründung</th>
</tr>
</thead>
<tbody>
<tr>
<td>Upload-Token (abgelaufen, nicht eingelöst)</td>
<td>90 Tage nach Ablauf</td>
<td>Nachvollziehbarkeit von Zustellungsversuchen</td>
</tr>
<tr>
<td>IP-Hash</td>
<td>90 Tage</td>
<td>Sicherheit / Missbrauchsschutz</td>
</tr>
<tr>
<td>Hochgeladene Nachweisdokumente</td>
<td>10 Jahre nach letzter Unterstützungsleistung</td>
<td>Steuerrechtliche Aufbewahrungspflichten (§ 147 AO)</td>
</tr>
<tr>
<td>Zeitstempel und Protokolldaten</td>
<td>10 Jahre</td>
<td>Gemeinnützigkeitsnachweis gegenüber Finanzbehörden</td>
</tr>
</tbody>
</table>
<!-- 4. Onboarding -->
<h2><i class="fas fa-user-plus me-2"></i>4. Onboarding-Formular (neue Destinatäre)</h2>
<p>
Das Onboarding-Formular dient der erstmaligen Aufnahme in den Kreis der Destinatäre der Stiftung.
Dabei werden im Rahmen eines mehrstufigen Verfahrens umfangreiche personenbezogene Daten erhoben.
</p>
<h3>4.1 Erhobene Datenkategorien</h3>
<p><strong>Persönliche Identifikationsdaten:</strong></p>
<ul>
<li>Vor- und Nachname, Geburtsdatum, Geburtsort</li>
<li>Anschrift (Straße, PLZ, Ort)</li>
<li>Telefon- und Mobilnummer, E-Mail-Adresse</li>
<li>Kopie des Personalausweises oder Reisepasses</li>
<li>Tabellarischer Lebenslauf</li>
</ul>
<p><strong>Verwandtschaftsnachweis:</strong></p>
<ul>
<li>Nachweis des Verwandtschaftsverhältnisses zu einem Geschwisterteil des Stifters
Hendrik van Hees oder seiner Ehefrau Aletta Theyssen-Vogel</li>
</ul>
<p><strong>Ausbildungs- und Studiendaten:</strong></p>
<ul>
<li>Aktueller Ausbildungs-/Studienstatus</li>
<li>Studienbescheinigung oder Ausbildungsnachweis</li>
<li>Voraussichtliche Dauer der Ausbildung/des Studiums</li>
</ul>
<p><strong>Finanzdaten:</strong></p>
<ul>
<li>Haushaltsgröße und Zusammensetzung des Haushalts</li>
<li>Bezüge und Einkünfte (einschließlich Leistungen nach SGB)</li>
<li>Einkommensteuerbescheid, Lohn-/Gehaltsnachweis, ggf. Rentenbescheid</li>
<li>Unterhaltsleistungen und sonstige Bezüge</li>
<li>Miet- und Heizungsaufwendungen (ggf. Mietvertragskopie)</li>
<li>Vermögensübersicht (Spareinlagen, Wertpapiere, Immobilien)</li>
<li>Monatliche Aufwendungen für Lebensunterhalt und Ausbildung</li>
</ul>
<h3>4.2 Rechtsgrundlagen</h3>
<div class="dsgvo-article">
<strong>Art. 6 Abs. 1 lit. b DSGVO</strong> — Verarbeitung zur Durchführung vorvertraglicher
Maßnahmen im Rahmen der Aufnahme als Destinatär der Stiftung.<br><br>
<strong>Art. 9 Abs. 2 lit. b DSGVO</strong> — Soweit Daten besonderer Kategorien verarbeitet
werden (z. B. Pflegegrad, Gesundheitsdaten im Zusammenhang mit Einkommenssituation),
erfolgt dies zur Erfüllung von Rechten und Pflichten im Bereich des Sozialrechts
sowie zur Überprüfung der Anspruchsvoraussetzungen gemäß § 53 AO.<br><br>
<strong>Art. 6 Abs. 1 lit. a DSGVO</strong> — Einwilligung für die Verarbeitung freiwillig
übermittelter Daten, die über das gesetzlich Erforderliche hinausgehen.
</div>
<h3>4.3 Zweck der Verarbeitung</h3>
<p>
Die erhobenen Daten dienen ausschließlich der Prüfung der Aufnahmevoraussetzungen
als Destinatär sowie der laufenden Überprüfung der Anspruchsberechtigung.
Eine Weitergabe an Dritte erfolgt nicht, es sei denn, dies ist gesetzlich vorgeschrieben
(z. B. Finanzbehörden im Rahmen von Betriebsprüfungen).
</p>
<h3>4.4 Vier-Augen-Prinzip und Freigabeverfahren</h3>
<p>
Alle im Onboarding-Verfahren erfassten Daten werden erst nach ausdrücklicher
Freigabe durch den Stiftungsvorstand aktiviert. Bis zur Freigabe haben nur autorisierte
Stiftungsmitarbeiter Zugriff. Das Aufnahmeverfahren ist nicht automatisiert;
jede Aufnahme wird durch den Vorstand beschlossen.
</p>
<h3>4.5 Speicherdauer</h3>
<p>
Abgebrochene oder nicht freigegebene Onboarding-Vorgänge werden spätestens nach
90 Tagen vollständig gelöscht. Für aufgenommene Destinatäre gilt die steuerrechtliche
Aufbewahrungsfrist gemäß § 147 AO (10 Jahre nach Ende des Förderzeitraums).
</p>
<!-- 5. Technische Sicherheit -->
<h2><i class="fas fa-lock me-2"></i>5. Technische Sicherheitsmaßnahmen</h2>
<ul>
<li><strong>HTTPS-Verschlüsselung</strong> für alle Datenübertragungen</li>
<li><strong>Token-basierter Zugang</strong> (kryptographisch sicher, 64-Zeichen-Token, einmalig nutzbar)</li>
<li><strong>IP-Anonymisierung</strong> durch SHA-256-Hash; keine Klartextspeicherung</li>
<li><strong>CSRF-Schutz</strong> für alle Formularübertragungen</li>
<li><strong>Rate Limiting</strong> zum Schutz vor Missbrauch</li>
<li><strong>Automatische Tokenablaufzeit</strong> (30 Tage)</li>
<li><strong>Dateivalidierung</strong> (nur PDF, JPG, PNG; maximale Dateigröße 20 MB)</li>
</ul>
<!-- 6. Keine automatisierte Entscheidungsfindung -->
<h2><i class="fas fa-robot me-2"></i>6. Keine automatisierte Entscheidungsfindung</h2>
<p>
Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt.
Alle Entscheidungen über die Gewährung von Unterstützungsleistungen werden durch
den Stiftungsvorstand nach menschlicher Prüfung getroffen.
</p>
<!-- 7. Weitergabe an Dritte -->
<h2><i class="fas fa-share-alt me-2"></i>7. Weitergabe personenbezogener Daten</h2>
<p>
Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt grundsätzlich nicht.
Ausnahmen gelten nur, soweit:
</p>
<ul>
<li>eine gesetzliche Verpflichtung zur Weitergabe besteht (z. B. im Rahmen
von Steuerprüfungen oder behördlichen Anfragen), oder</li>
<li>Sie ausdrücklich in die Weitergabe eingewilligt haben.</li>
</ul>
<p>
Auftragsverarbeiter (z. B. Hosting-Dienstleister) sind vertraglich zur Einhaltung
der DSGVO verpflichtet und dürfen die Daten nur zu den vereinbarten Zwecken verwenden.
</p>
<!-- 8. Ihre Rechte -->
<h2><i class="fas fa-user-shield me-2"></i>8. Ihre Rechte als betroffene Person</h2>
<p>
Sie haben nach der Datenschutz-Grundverordnung folgende Rechte gegenüber der
verantwortlichen Stelle:
</p>
<ul class="rights-list list-unstyled">
<li>
<i class="fas fa-eye text-success me-2"></i>
<strong>Auskunftsrecht (Art. 15 DSGVO):</strong> Sie haben das Recht, Auskunft über
die zu Ihrer Person gespeicherten Daten zu erhalten.
</li>
<li>
<i class="fas fa-edit text-primary me-2"></i>
<strong>Berichtigungsrecht (Art. 16 DSGVO):</strong> Sie haben das Recht, unrichtige
oder unvollständige Daten berichtigen zu lassen.
</li>
<li>
<i class="fas fa-trash text-danger me-2"></i>
<strong>Löschungsrecht (Art. 17 DSGVO):</strong> Sie haben das Recht auf Löschung
Ihrer Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
</li>
<li>
<i class="fas fa-pause text-warning me-2"></i>
<strong>Einschränkungsrecht (Art. 18 DSGVO):</strong> Sie haben das Recht, die
Verarbeitung Ihrer Daten unter bestimmten Voraussetzungen einschränken zu lassen.
</li>
<li>
<i class="fas fa-hand-paper text-secondary me-2"></i>
<strong>Widerspruchsrecht (Art. 21 DSGVO):</strong> Sie können der Verarbeitung
Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen.
Bitte beachten Sie, dass ein Widerspruch bei gesetzlich vorgeschriebener Datenverarbeitung
(§ 53 AO) ggf. zur Einstellung der Unterstützungsleistungen führen kann.
</li>
<li>
<i class="fas fa-download text-info me-2"></i>
<strong>Datenübertragbarkeit (Art. 20 DSGVO):</strong> Sie haben das Recht, die Ihnen
bereitgestellten Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
</li>
<li>
<i class="fas fa-undo text-dark me-2"></i>
<strong>Widerrufsrecht (Art. 7 Abs. 3 DSGVO):</strong> Eine erteilte Einwilligung können
Sie jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die
Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
</li>
</ul>
<p>
Zur Ausübung Ihrer Rechte wenden Sie sich bitte schriftlich oder per E-Mail an die
verantwortliche Stelle (siehe Abschnitt 1).
</p>
<!-- 9. Beschwerderecht -->
<h2><i class="fas fa-balance-scale me-2"></i>9. Beschwerderecht bei der Aufsichtsbehörde</h2>
<p>
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung
Ihrer personenbezogenen Daten zu beschweren. Zuständig ist in der Regel die Behörde
des Bundeslandes, in dem Sie Ihren gewöhnlichen Aufenthaltsort haben, oder des Bundeslandes,
in dem die verantwortliche Stelle ihren Sitz hat:
</p>
<address class="ms-3">
<strong>Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen</strong><br>
Postfach 20 04 44<br>
40102 Düsseldorf<br>
<i class="fas fa-globe me-1"></i> www.ldi.nrw.de
</address>
<!-- 10. Änderungen -->
<h2><i class="fas fa-history me-2"></i>10. Änderungen dieser Datenschutzerklärung</h2>
<p>
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie
stets den aktuellen rechtlichen Anforderungen zu entsprechen oder um Änderungen
unserer Leistungen in der Erklärung umzusetzen. Für Ihren erneuten Besuch gilt
dann die neue Datenschutzerklärung.
</p>
</div><!-- /content-card -->
<div class="footer-note">
&copy; van Hees-Theyssen-Vogel'sche Stiftung &middot; Raesfelder Str. 3, 46499 Hamminkeln &middot;
stiftung@vhtv-stiftung.de &middot; Stand: März 2026
</div>
</div><!-- /container -->
<script src="https://cdn.jsdelivr.net/npm/bootstrap@5.3.0/dist/js/bootstrap.bundle.min.js"></script>
</body>
</html>