Datenschutzerklärung
1. Verantwortlicher
[Vor- und Nachname / Firma des Betreibers]
[Straße Hausnummer, PLZ Ort, Deutschland]
E-Mail: [kontakt@klubheld.de]
2. Welche Daten wir verarbeiten
• Konto (Erwachsene): Name, E-Mail-Adresse, Passwort (nur als kryptografischer
Hash), zugewiesene Rollen
• Kinder/Spieler (ohne eigenes Konto): Vorname, Nachname, Jahrgang, optional
Geburtsdatum, Geschlecht, Trikotnummer und Positionen
• Eltern-Kind-Verknüpfung (Sorgeberechtigung)
• Vereine/Teams: Vereinsname, DFB-Vereinsnummer, Teamnamen, Anschrift/Kontakt
von Mitgliedern (soweit gepflegt), Ämter, Qualifikationen
• Termine & Teilnahme: Zu-/Absagen je Kind, optionale Absagegründe,
Zeitraum-Abwesenheiten, Nominierungen, Fahrgemeinschaften
• Sportliche Daten: Spielergebnisse, Spielerstatistik (Tore, Karten,
Einsatzminuten), interne Entwicklungsbögen (Bewertung 1–5 durch Trainer),
Spielerausleihen zwischen Teams desselben Vereins
• Beitragswesen: Mitgliedschaften, Beitragsarten, Rabatte, Forderungen und
Mahnstufen, SEPA-Mandate (IBAN, Kontoinhaber, Mandatsreferenz), Spenden- und
Übungsleiter-Abrechnungen – nur für den eigenen Verein sichtbar
• Vereinsleben: Umfragen/Abstimmungen (Mitgliederversammlung geheim),
Helfer-/Dienst-Einteilungen, Mitbringlisten, Inventar/Material-Ausgaben,
Trainingsübungen und Trainings-Ablaufpläne, Budget/Etat
• Dokumente/Fotos: von Team oder Verein hochgeladene Dateien
• Kommunikation: Rundmails/Verteiler; Direkt- und Gruppen-Chat ist
Ende-zu-Ende-verschlüsselt – wir können die Inhalte NICHT lesen, auf dem
Server liegen nur verschlüsselte Daten
• Push-Benachrichtigungen: Geräte-Token (siehe Ziffer 4)
• Technisch: IP-Adressen und Server-Logs (Betrieb und Sicherheit)
Hinweis zu besonderen Kategorien (Art. 9 DSGVO): Wir erheben bewusst keine
Gesundheitsdaten. Freitextfelder (z. B. Absagegrund, Entwicklungsfelder) sind
optional; bitte dort keine Gesundheits- oder anderen sensiblen Angaben
eintragen.
3. Zwecke und Rechtsgrundlagen (Art. 6 DSGVO)
• Vertragserfüllung (Art. 6 Abs. 1 lit. b): Bereitstellung der Vereins- und
Team-Organisation, Beitrags- und Terminverwaltung
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): steuer- und
vereinsrechtliche Aufbewahrung (z. B. Zuwendungsbestätigungen, Buchführung)
• Einwilligung (Art. 6 Abs. 1 lit. a, Art. 8): insbesondere für Kinder unter
16 Jahren durch die Erziehungsberechtigten sowie für Foto-/Datenfreigaben;
die Einwilligung ist jederzeit mit Wirkung für die Zukunft widerrufbar
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): IT-Sicherheit,
Missbrauchsvermeidung, Zustellung von Push-Benachrichtigungen
4. Push-Benachrichtigungen (Firebase Cloud Messaging)
Für Push-Benachrichtigungen (z. B. neue Termine, Nominierungen, Nachrichten)
nutzen wir Firebase Cloud Messaging der Google Ireland Limited. Dabei wird ein
Geräte-Token verarbeitet und zur Zustellung an Google übermittelt; hierbei kann
eine Übermittlung in die USA erfolgen. Google ist unter dem EU-US Data Privacy
Framework zertifiziert; ergänzend bestehen Standardvertragsklauseln. Der
Nachrichteninhalt der Push ist bewusst datensparsam gehalten. Du kannst Push
in den Systemeinstellungen deines Geräts sowie in den App-Einstellungen
jederzeit deaktivieren.
5. Hosting und Auftragsverarbeiter
• Server, Datenbank und Dateien: Hetzner Online GmbH, Rechenzentrum in der EU;
die Software läuft selbst gehostet, es werden keine Dritt-SaaS-Dienste mit
euren Daten betrieben (Auftragsverarbeitungsvertrag liegt vor)
• Domain/DNS: netcup GmbH, Karlsruhe, Deutschland
• Push: Google Ireland Limited (siehe Ziffer 4)
• E-Mail-Versand (Registrierung, Passwort-Reset, Rundmail): Brevo
(Sendinblue GmbH, Köln, Deutschland; Konzernmutter Brevo SAS, Frankreich) –
verarbeitet werden nur die für den Versand nötigen E-Mail-Adressen und Inhalte
• Zahlungen: Es werden keine Zahlungsdaten verwahrt; SEPA-Dateien erzeugt die
App ausschließlich zum Import in das Online-Banking des Vereins
6. Speicherdauer
• Kontodaten: bis zur Löschung des Kontos durch dich
• Vereins-/Mitgliedsdaten: solange die Mitgliedschaft besteht bzw. der Verein
sie zur Aufgabenerfüllung benötigt
• Steuer-/abrechnungsrelevante Daten (Beiträge, Zuwendungsbestätigungen,
Buchungen): entsprechend der gesetzlichen Aufbewahrungsfristen (i. d. R. bis
zu 10 Jahre, § 147 AO / § 257 HGB)
• SEPA-Mandate: nach Widerruf für die gesetzliche Nachweisfrist
• Server-Logs: kurzfristig für Betrieb und Sicherheit
7. Empfänger innerhalb der App
Deine Daten sind grundsätzlich nur für die berechtigten Personen deines
Vereins bzw. Teams sichtbar (technisch durch Zugriffsregeln je Verein/Team in
der Datenbank erzwungen – Row Level Security). Eine Weitergabe an Dritte außer
den in Ziffer 5 genannten Auftragsverarbeitern findet nicht statt.
8. Deine Rechte
Du hast das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung
(Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit
(Art. 20) und Widerspruch (Art. 21) sowie auf Widerruf erteilter
Einwilligungen. Eine Datenauskunft nach Art. 15 kannst du direkt in der App
abrufen; du kannst dein Konto jederzeit selbst in der App löschen (Mein Konto →
Konto löschen). Beschwerden richtest du an die zuständige Datenschutz-
Aufsichtsbehörde.
9. Kinder und Jugendliche
Kinder haben kein eigenes Konto. Die Verarbeitung ihrer Daten erfolgt nur mit
Einwilligung der Erziehungsberechtigten; Eltern handeln (z. B. Zu-/Absagen,
Foto-Freigaben) über ihr eigenes Konto.
10. Datensicherheit
TLS/HTTPS-Verschlüsselung, Zugriffsregeln pro Verein und Team direkt in der
Datenbank (Row Level Security), Ende-zu-Ende-Verschlüsselung im Chat,
verschlüsselte Backups, Firewall, Serverzugriff nur per SSH-Schlüssel.
Stand: [Datum der Veröffentlichung]