Datenschutzerklärung – van Hees-Theyssen-Vogel'sche Stiftung

1. Verantwortliche Stelle

Verantwortliche Stelle im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist:

van Hees-Theyssen-Vogel'sche Stiftung
Raesfelder Str. 3
46499 Hamminkeln

stiftung@vhtv-stiftung.de

Die Stiftung ist als gemeinnützige Familienstiftung anerkannt und verfolgt ausschließlich und unmittelbar gemeinnützige Zwecke im Sinne des § 52 der Abgabenordnung (AO).

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Erfüllung unserer satzungsmäßigen Aufgaben und gesetzlichen Pflichten erforderlich ist. Die Verarbeitung erfolgt stets im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).

Wir erheben, verarbeiten und speichern Ihre personenbezogenen Daten grundsätzlich nur

mit Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), oder
zur Erfüllung einer vertraglichen oder vorvertraglichen Verpflichtung (Art. 6 Abs. 1 lit. b DSGVO), oder
aufgrund einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO), oder
zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).

3. Nachweis-Upload-Portal (bestehende Destinatäre)

Das Upload-Portal ermöglicht Ihnen die sichere, digitale Einreichung von Unterlagen im Rahmen des halbjährlichen Nachweisverfahrens. Der Zugang erfolgt ausschließlich über einen persönlichen, einmalig nutzbaren Token-Link, den Sie per E-Mail erhalten.

3.1 Verarbeitete Daten

Hochgeladene Dokumente (Studienbescheinigungen, Einkommensnachweise, Vermögensnachweise)
IP-Adresse (ausschließlich als kryptographischer Hash gespeichert; keine Rückführung möglich)
Zeitstempel der Token-Einlösung und des Dokumenten-Uploads
Token-Status (eingelöst / abgelaufen)

3.2 Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO — Verarbeitung zur Erfüllung der satzungsmäßigen Verpflichtung der Stiftung, die Bedürftigkeit und Anspruchsberechtigung ihrer Destinatäre gemäß § 53 AO zu prüfen und zu dokumentieren.

3.3 Zweck der Verarbeitung

Die Verarbeitung dient ausschließlich der satzungsgemäßen Aufgabe der Stiftung: der Prüfung, ob die Voraussetzungen für eine Unterstützungsleistung gemäß § 53 Abgabenordnung (AO) weiterhin vorliegen. Dies umfasst insbesondere die Überprüfung der Bedürftigkeit (Einkommens- und Vermögensgrenzen) sowie der Anspruchsvoraussetzungen.

Hinweis gemäß § 53 AO: Die van Hees-Theyssen-Vogel'sche Stiftung ist als gemeinnützige Stiftung verpflichtet, die Bedürftigkeit der unterstützten Personen nachzuweisen. Gemäß § 53 Nr. 2 AO dürfen nur Personen unterstützt werden, deren Bezüge (einschließlich Leistungen nach SGB) nicht mehr als das Fünffache des Regelsatzes nach dem Dritten Kapitel SGB XII überschreiten und deren Vermögen den gemeinen Wert von 15.500 € nicht übersteigt. Die Einreichung der Nachweise ist daher gesetzlich geboten und unverzichtbar.

3.4 Speicherdauer und Löschkonzept

Datenkategorie	Speicherdauer	Begründung
Upload-Token (abgelaufen, nicht eingelöst)	90 Tage nach Ablauf	Nachvollziehbarkeit von Zustellungsversuchen
IP-Hash	90 Tage	Sicherheit / Missbrauchsschutz
Hochgeladene Nachweisdokumente	10 Jahre nach letzter Unterstützungsleistung	Steuerrechtliche Aufbewahrungspflichten (§ 147 AO)
Zeitstempel und Protokolldaten	10 Jahre	Gemeinnützigkeitsnachweis gegenüber Finanzbehörden

4. Onboarding-Formular (neue Destinatäre)

Das Onboarding-Formular dient der erstmaligen Aufnahme in den Kreis der Destinatäre der Stiftung. Dabei werden im Rahmen eines mehrstufigen Verfahrens umfangreiche personenbezogene Daten erhoben.

4.1 Erhobene Datenkategorien

Persönliche Identifikationsdaten:

Vor- und Nachname, Geburtsdatum, Geburtsort
Anschrift (Straße, PLZ, Ort)
Telefon- und Mobilnummer, E-Mail-Adresse
Kopie des Personalausweises oder Reisepasses
Tabellarischer Lebenslauf

Verwandtschaftsnachweis:

Nachweis des Verwandtschaftsverhältnisses zu einem Geschwisterteil des Stifters Hendrik van Hees oder seiner Ehefrau Aletta Theyssen-Vogel

Ausbildungs- und Studiendaten:

Aktueller Ausbildungs-/Studienstatus
Studienbescheinigung oder Ausbildungsnachweis
Voraussichtliche Dauer der Ausbildung/des Studiums

Finanzdaten:

Haushaltsgröße und Zusammensetzung des Haushalts
Bezüge und Einkünfte (einschließlich Leistungen nach SGB)
Einkommensteuerbescheid, Lohn-/Gehaltsnachweis, ggf. Rentenbescheid
Unterhaltsleistungen und sonstige Bezüge
Miet- und Heizungsaufwendungen (ggf. Mietvertragskopie)
Vermögensübersicht (Spareinlagen, Wertpapiere, Immobilien)
Monatliche Aufwendungen für Lebensunterhalt und Ausbildung

4.2 Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO — Verarbeitung zur Durchführung vorvertraglicher Maßnahmen im Rahmen der Aufnahme als Destinatär der Stiftung.

Art. 9 Abs. 2 lit. b DSGVO — Soweit Daten besonderer Kategorien verarbeitet werden (z. B. Pflegegrad, Gesundheitsdaten im Zusammenhang mit Einkommenssituation), erfolgt dies zur Erfüllung von Rechten und Pflichten im Bereich des Sozialrechts sowie zur Überprüfung der Anspruchsvoraussetzungen gemäß § 53 AO.

Art. 6 Abs. 1 lit. a DSGVO — Einwilligung für die Verarbeitung freiwillig übermittelter Daten, die über das gesetzlich Erforderliche hinausgehen.

4.3 Zweck der Verarbeitung

Die erhobenen Daten dienen ausschließlich der Prüfung der Aufnahmevoraussetzungen als Destinatär sowie der laufenden Überprüfung der Anspruchsberechtigung. Eine Weitergabe an Dritte erfolgt nicht, es sei denn, dies ist gesetzlich vorgeschrieben (z. B. Finanzbehörden im Rahmen von Betriebsprüfungen).

4.4 Vier-Augen-Prinzip und Freigabeverfahren

Alle im Onboarding-Verfahren erfassten Daten werden erst nach ausdrücklicher Freigabe durch den Stiftungsvorstand aktiviert. Bis zur Freigabe haben nur autorisierte Stiftungsmitarbeiter Zugriff. Das Aufnahmeverfahren ist nicht automatisiert; jede Aufnahme wird durch den Vorstand beschlossen.

4.5 Speicherdauer

Abgebrochene oder nicht freigegebene Onboarding-Vorgänge werden spätestens nach 90 Tagen vollständig gelöscht. Für aufgenommene Destinatäre gilt die steuerrechtliche Aufbewahrungsfrist gemäß § 147 AO (10 Jahre nach Ende des Förderzeitraums).

5. Technische Sicherheitsmaßnahmen

HTTPS-Verschlüsselung für alle Datenübertragungen
Token-basierter Zugang (kryptographisch sicher, 64-Zeichen-Token, einmalig nutzbar)
IP-Anonymisierung durch SHA-256-Hash; keine Klartextspeicherung
CSRF-Schutz für alle Formularübertragungen
Rate Limiting zum Schutz vor Missbrauch
Automatische Tokenablaufzeit (30 Tage)
Dateivalidierung (nur PDF, JPG, PNG; maximale Dateigröße 20 MB)

6. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Alle Entscheidungen über die Gewährung von Unterstützungsleistungen werden durch den Stiftungsvorstand nach menschlicher Prüfung getroffen.

7. Weitergabe personenbezogener Daten

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt grundsätzlich nicht. Ausnahmen gelten nur, soweit:

eine gesetzliche Verpflichtung zur Weitergabe besteht (z. B. im Rahmen von Steuerprüfungen oder behördlichen Anfragen), oder
Sie ausdrücklich in die Weitergabe eingewilligt haben.

Auftragsverarbeiter (z. B. Hosting-Dienstleister) sind vertraglich zur Einhaltung der DSGVO verpflichtet und dürfen die Daten nur zu den vereinbarten Zwecken verwenden.

8. Ihre Rechte als betroffene Person

Sie haben nach der Datenschutz-Grundverordnung folgende Rechte gegenüber der verantwortlichen Stelle:

Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten.
Berichtigungsrecht (Art. 16 DSGVO): Sie haben das Recht, unrichtige oder unvollständige Daten berichtigen zu lassen.
Löschungsrecht (Art. 17 DSGVO): Sie haben das Recht auf Löschung Ihrer Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Einschränkungsrecht (Art. 18 DSGVO): Sie haben das Recht, die Verarbeitung Ihrer Daten unter bestimmten Voraussetzungen einschränken zu lassen.
Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen. Bitte beachten Sie, dass ein Widerspruch bei gesetzlich vorgeschriebener Datenverarbeitung (§ 53 AO) ggf. zur Einstellung der Unterstützungsleistungen führen kann.
Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Ihnen bereitgestellten Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte schriftlich oder per E-Mail an die verantwortliche Stelle (siehe Abschnitt 1).

9. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständig ist in der Regel die Behörde des Bundeslandes, in dem Sie Ihren gewöhnlichen Aufenthaltsort haben, oder des Bundeslandes, in dem die verantwortliche Stelle ihren Sitz hat:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44
40102 Düsseldorf
www.ldi.nrw.de

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie stets den aktuellen rechtlichen Anforderungen zu entsprechen oder um Änderungen unserer Leistungen in der Erklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.