Datenschutzerklärung

Stand: April 2026 (aktualisiert)

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen ist:

Die Benennung eines Datenschutzbeauftragten ist nach § 38 Abs. 1 BDSG i. V. m. Art. 37 DSGVO nicht erforderlich, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

2. Übersicht der Verarbeitungstätigkeiten

2.1 Bereitstellung der Plattform und Serverprotokolle

Beim Aufruf unserer Webseite werden automatisch technische Zugriffsdaten erhoben (sog. Server-Logfiles): IP-Adresse, Datum und Uhrzeit der Anfrage, aufgerufene URL, HTTP-Statuscode, übertragene Datenmenge, Referrer-URL, Browser-Typ und -Version.

• Zweck: Gewährleistung der IT-Sicherheit, Fehleranalyse, Missbrauchsprävention
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit)
• Speicherdauer: Maximal 30 Tage, danach automatische Löschung
• Empfänger: Vercel Inc. als Auftragsverarbeiter (siehe Abschnitt 5)

2.2 Nutzerregistrierung und Benutzerkonten

Bei der Registrierung als Admin, Spieler, Betreuer oder Schiedsrichter werden folgende Daten erhoben: E-Mail-Adresse, Passwort (gespeichert als bcrypt-Hash), Vorname, Nachname sowie ggf. Vereinszugehörigkeit. Die Authentifizierung erfolgt über Supabase Auth.

• Zweck: Bereitstellung der Plattformfunktionen, Zugangskontrolle
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Speicherdauer: Bis zur Löschung des Kontos durch den Nutzer oder Admin

2.3 Spielerverwaltung und Turnierbetrieb

Für die Durchführung von Turnieren werden Spieler-Stammdaten verarbeitet: Vorname, Nachname, Vereinszugehörigkeit, TTR-Wertung (Tischtennis-Rating), Lizenznummer (Verbandsnummer), Verband, Geburtsjahr, Startnummer sowie eine gehashte PIN für die Spielbestätigung.

• Zweck: Turnierdurchführung, Auslosung, Ergebniserfassung, Ranglisten, Urkundenerstellung
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung mit dem Turnierveranstalter) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Veranstalters) für Spieler, die durch den Admin angelegt werden
• Speicherdauer: Für die Dauer des Turniers und bis zu 2 Jahre danach für die Sportchronik; auf Antrag frühere Löschung möglich
• Hinweis: TTR-Wertungen sind sportliche Leistungskennziffern und keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO. Lizenznummern werden nur intern für Admins angezeigt.

2.4 CSV-Import aus click-TT (Fremderhebung)

Turnierveranstalter können Spielerdaten aus der Verbandssoftware click-TT des Deutschen Tischtennis-Bundes (DTTB) bzw. der Landesverbände im CSV-Format importieren. Dabei werden die unter 2.3 genannten Stammdaten übernommen.

• Hinweis gemäß Art. 14 DSGVO: Spieler, deren Daten nicht direkt bei ihnen erhoben, sondern durch den Admin importiert wurden, werden hiermit über die Verarbeitung informiert. Die Datenherkunft ist die Verbandssoftware click-TT.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Turniervorbereitung)
• Die CSV-Datei wird ausschließlich im Arbeitsspeicher verarbeitet und nicht dauerhaft gespeichert.

2.5 Echtzeit-Spielverfolgung

Über WebSocket-Verbindungen (Supabase Realtime) werden Spielstände, Satzergebnisse und Spieler-Zuordnungen in Echtzeit an Zuschauer und Beteiligte übertragen. In den WebSocket-Nachrichten sind keine E-Mail-Adressen oder andere Kontaktdaten enthalten.

• Zweck: Live-Anzeige für Zuschauer, Spieler und Betreuer
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Übertragene Daten: Spieler-Vornamen und -Nachnamen, Spielstände, Vereinsnamen

2.6 Turnier-Fotogalerie

Registrierte Nutzer können Fotos zu Turnieren hochladen. Bei jedem Upload werden folgende Daten verarbeitet: das Foto selbst (komprimiert als WebP), ein Vorschaubild (Thumbnail), der Name des Uploaders, eine optionale Bildbeschreibung sowie — sofern in den EXIF-Metadaten des Fotos enthalten — Aufnahmedatum und GPS-Koordinaten.

• Zweck: Turnierdokumentation, Plausibilitätsprüfung (Ort und Zeit des Fotos), Gemeinschaft
• Rechtsgrundlage für Upload: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch den Upload-Vorgang)
• Rechtsgrundlage für Veröffentlichung von Fotos mit erkennbaren Personen: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 22 KUG. Ausnahmen nach § 23 Abs. 1 Nr. 3 KUG (Bilder von Sportveranstaltungen, auf denen Personen nur als Beiwerk erscheinen) bleiben unberührt.
• EXIF-Daten: GPS-Koordinaten werden ausschließlich zur automatischen Plausibilitätsprüfung (Vergleich mit Turnierort) verwendet. Sie sind nicht öffentlich einsehbar. Nutzer können EXIF-Daten vor dem Upload in ihren Kameraeinstellungen deaktivieren.
• Speicherdauer: Bis zur Löschung durch den Admin oder den Uploader
• Widerruf: Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, indem die Löschung des Fotos beim Admin beantragt wird.
• Empfänger: Supabase Storage (siehe Abschnitt 5); genehmigte Fotos sind öffentlich sichtbar

2.7 Admin-Aktivitätsprotokolle und Nutzungsstatistiken

Sofern vom Admin aktiviert, werden zur Nachvollziehbarkeit von Verwaltungshandlungen Aktivitätsprotokolle geführt. Diese enthalten: IP-Adresse, Benutzerkennung, HTTP-Methode, aufgerufenen Pfad, HTTP-Statuscode und Zeitstempel. Für mandantenübergreifende Nutzungsstatistiken (Superadmin-Bereich) wird täglich ein rotierender Hash der Nutzer-ID erzeugt — der Klarnamen der Benutzer-ID ist daraus nicht rekonstruierbar.

• Zweck: IT-Sicherheit, Integritätsschutz der Turnierdaten, Missbrauchsprävention, Plattform-Nutzungsanalyse
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Betrieb)
• Speicherdauer: Aktivitätslogs: 5–30 Tage (konfigurierbar); Nutzungsstatistiken: bis zu 90 Tage aggregiert
• Betroffene: Ausschließlich Admins und Schiedsrichter mit eigenem Benutzerkonto — kein Tracking von Spielern oder Zuschauern
• Externe Weiterleitung: Sofern konfiguriert, können Logs an einen externen Log-Server weitergeleitet werden. Die Verantwortung für diesen Server liegt beim jeweiligen Tenant-Admin.

2.8 Zahlungsabwicklung und Rechnungsdaten

Bei der Buchung kostenpflichtiger Tarife (Starter, Club, Verband) werden zur Vertragsabwicklung folgende Daten verarbeitet: E-Mail-Adresse, Abrechnungsadresse (Name, Straße, PLZ, Ort, Land), gewählter Tarif und Abrechnungsintervall sowie Zahlungsdaten (IBAN bei SEPA-Lastschrift, Kreditkartendaten, PayPal-Konto). Zahlungsdaten werden ausschließlich beim Zahlungsdienstleister Mollie B.V. gespeichert und nie auf unseren Servern abgelegt.

• Zweck: Vertragserfüllung, Rechnungsstellung, Steuerrecht
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Pflichten, § 14 UStG)
• Speicherdauer: Rechnungsdaten und Zahlungsbelege: 10 Jahre (§ 147 AO, § 257 HGB)
• Empfänger: Mollie B.V. als Zahlungsdienstleister (siehe Abschnitt 5.4)

2.9 Support-Tickets (Bug-Reports und Feature-Wünsche)

Admins können über das integrierte Ticket-System Bug-Reports und Feature-Wünsche einreichen. Dabei werden verarbeitet: E-Mail-Adresse des Einsenders, Titel und Beschreibung des Anliegens, technische Metadaten (aktuelle URL, Browser-Typ, Viewport-Größe, Mandanten-ID) sowie optionale Screenshots.

• Zweck: Fehlerbehebung, Produktverbesserung, Kommunikation mit dem Nutzer
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/vorvertragliche Maßnahmen) bzw. lit. f DSGVO (berechtigtes Interesse an der Produktpflege)
• Speicherdauer: Bis zur Schließung und Archivierung des Tickets, max. 2 Jahre
• KI-Verarbeitung: Zur Duplikatsprüfung werden Titel und Beschreibung an die Claude API (Anthropic PBC) übermittelt. Es werden ausschließlich die Inhalts-Felder übertragen — keine E-Mail-Adressen oder Nutzer-IDs. Die Verarbeitung durch Anthropic unterliegt den Anthropic-Datenschutzbestimmungen (anthropic.com/privacy).

2.10 Turnier-Check-in und QR-Selbstregistrierung

Sofern vom Admin aktiviert, kann die Anwesenheit von Spielern am Veranstaltungstag per QR-Code-Scan digital erfasst werden (Check-in). Dabei wird der Check-in-Zeitstempel zum Spieler-Datensatz gespeichert. Spieler können ihren bestehenden Datensatz über einen persönlichen QR-Code mit ihrem Portal-Account verknüpfen (QR-Selbstregistrierung).

• Zweck: Anwesenheitsverwaltung, Freischaltung von Turnierfunktionen, Verknüpfung Portal-Account
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung Turnierteilnahme)
• Speicherdauer: Für die Dauer des Turniers; Check-in-Timestamps werden mit den Spielerdaten gelöscht

2.11 Promo-Code-Ereignisse

Beim Einlösen oder Versuch des Einlösens eines Promotion-Codes wird ein Ereigniseintrag erzeugt. Dieser enthält: Zeitstempel, Ereignistyp (erfolgreich / fehlgeschlagen inkl. Grund), Mandanten-ID sowie die IP-Adresse des Anfragenden. Unbekannte Code-Eingaben werden ausschließlich als SHA-256-Hash gespeichert — kein Klartext.

• Zweck: Missbrauchsprävention, Analyse der Kampagneneffizienz, Audit-Trail
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsschutz)
• Speicherdauer: 6 Monate nach Ablauf des zugehörigen Promo-Codes, danach automatische Löschung

2.12 Kontaktaufnahme per E-Mail

Bei Kontaktaufnahme per E-Mail werden Ihre E-Mail-Adresse und der Nachrichteninhalt verarbeitet. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen). E-Mail-Korrespondenz wird gemäß handelsrechtlichen Aufbewahrungspflichten (§ 257 HGB) bis zu 6 Jahre aufbewahrt.

2.13 Urkundenerstellung

Urkunden werden ausschließlich im Browser des Nutzers generiert (client-seitige Verarbeitung). Es findet kein zusätzlicher Server-Aufruf mit personenbezogenen Daten statt. Die Urkunden enthalten Name und Platzierung der Spieler.

3. Zusammenarbeit mit Tischtennisverbänden

TT-Control kann von Turnierveranstaltern eingesetzt werden, die Turniere im Auftrag von oder in Zusammenarbeit mit Tischtennisverbänden (DTTB, Landesverbände) durchführen. In diesem Fall kann eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bestehen.

• Werden Spielerdaten durch einen Verband an den Turnierveranstalter übermittelt (z. B. Startlisten für offizielle Turniere), regelt eine schriftliche Vereinbarung nach Art. 26 DSGVO die jeweiligen Verantwortlichkeiten.
• Lizenznummern und TTR-Wertungen stammen aus der Verbandssoftware click-TT und werden ausschließlich für die Turnierdurchführung (Auslosung, Vorgabeberechnung) verwendet.
• Die öffentliche Zuschauer-Ansicht zeigt nur Spielernamen, Vereinsnamen und Turnierergebnisse — keine Lizenznummern, E-Mail-Adressen oder Geburtsdaten.

4. Cookies und lokale Speicherung

Wir setzen ausschließlich technisch notwendige Cookies ein, die für den Betrieb der Plattform unbedingt erforderlich sind. Es handelt sich um den Sitzungs-Token (Session-Cookie) zur Aufrechterhaltung Ihrer Anmeldung bei Supabase Auth.

• Der Cookie wird beim Abmelden oder nach Ablauf der Sitzung automatisch gelöscht.
• Eine Einwilligung ist nach § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich, da der Cookie für die Bereitstellung des ausdrücklich gewünschten Dienstes unbedingt notwendig ist.
• Es werden keine Analyse-, Tracking- oder Marketing-Cookies verwendet.
• Dark-Mode-Einstellungen werden im localStorage Ihres Browsers gespeichert und nicht an unsere Server übertragen.

5. Auftragsverarbeiter und Drittlandübermittlungen

Wir setzen die folgenden Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge (AVV).

5.1 Hetzner Online GmbH (Hosting, Infrastruktur)

Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
Zweck: Hosting der Webanwendung, Datenbank (PostgreSQL self-hosted), Authentifizierungsdienst (Supabase self-hosted), Dateispeicherung (Fotos, Exporte), Echtzeit-Datenübertragung (WebSockets via Supabase Realtime self-hosted)
Serverstandort: Deutschland (EU) — alle Daten verbleiben auf Servern in Deutschland
Drittlandtransfer: Nicht zutreffend — Hetzner ist ein deutsches Unternehmen, Serverstandort Deutschland
Datenschutzerklärung: hetzner.com/legal/privacy-policy

5.2 E-Mail-Versand (SMTP)

System-E-Mails (Registrierungsbestätigung, Passwort-Reset): Für vom Betreiber versandte System-E-Mails wird ein eigener Mail-Server (Mail-in-a-Box, betrieben auf einem Hetzner-Server in Deutschland) verwendet. Serverstandort: Deutschland (EU).
Mandanten-SMTP: Turnierveranstalter können zusätzlich einen eigenen SMTP-Server für Turnier-bezogene E-Mails konfigurieren. Die Verantwortung für den Abschluss eines AVV mit dem jeweiligen E-Mail-Anbieter liegt beim Veranstalter.
E-Mails enthalten zeitlich begrenzt gültige Tokens (max. 1 Stunde).

5.3 Mollie B.V. (Zahlungsabwicklung)

Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Niederlande
Zweck: Abwicklung von Zahlungen für kostenpflichtige Tarife (Kreditkarte, SEPA-Lastschrift, PayPal, iDEAL u. a.)
Serverstandort: Europäische Union
Drittlandtransfer: Nicht zutreffend — Mollie hat Sitz und Serverstandort in der EU
Verarbeitung: Zahlungsdaten (IBAN, Kreditkartennummer) werden ausschließlich bei Mollie gespeichert. Wir erhalten nur eine anonyme Zahlungsreferenz und den Zahlungsstatus.
AVV: mollie.com/de/legal/auftragsverarbeitung

5.4 Sentry (Fehler-Tracking)

Functional Software Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA
Zweck: Automatische Erfassung von Laufzeitfehlern zur Qualitätssicherung der Plattform
Serverstandort: sentry.io (US-Server); Sentry ist unter dem EU-US Data Privacy Framework zertifiziert
Übermittlungsgrundlage: Art. 45 DSGVO (Angemessenheitsbeschluss EU-US DPF vom 10.07.2023) und ergänzend Art. 46 Abs. 2 lit. c DSGVO (Standardvertragsklauseln)
Übermittelte Daten: Fehlermeldungen, Stack-Traces, Mandanten-ID, Nutzerrolle (z. B. „admin”). Keine E-Mail-Adressen, Namen oder vollständigen Nutzer-IDs. PII-Filter sind konfiguriert.
AVV: sentry.io/legal/dpa

Allgemeiner Hinweis: Die gesamte Datenverarbeitung (Datenbank, Auth, Storage, Anwendungs-Hosting) erfolgt auf Servern in Deutschland (EU). Lediglich Sentry hat seinen Unternehmenssitz in den USA; für diese Übermittlung gelten die oben genannten Schutzmaßnahmen.

6. Ihre Rechte als betroffene Person

Ihnen stehen folgende Rechte gegenüber dem Verantwortlichen zu:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, welche personenbezogenen Daten wir über Sie gespeichert haben.
• Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten (z. B. Name, Verein, TTR) verlangen.
• Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern kein berechtigter Grund für die weitere Speicherung besteht (z. B. laufendes Turnier, gesetzliche Aufbewahrungspflicht).
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Bei Bestreitung der Richtigkeit oder bei Widerspruch können Sie die Einschränkung der Verarbeitung verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Auf Anfrage erhalten Sie Ihre Daten in einem maschinenlesbaren Format (CSV/JSON).
• Widerspruchsrecht (Art. 21 DSGVO): Gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) können Sie jederzeit Widerspruch einlegen.
• Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung (z. B. für Foto-Uploads) kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an info@coffeemaster.de. Wir bearbeiten Ihre Anfrage innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

7. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt. Die für uns zuständige Aufsichtsbehörde ist:

8. Speicher- und Löschfristen

9. Datensicherheit (Art. 32 DSGVO)

Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

• Verschlüsselung: Alle Daten werden über HTTPS/TLS 1.3 übertragen. Die Datenbank ist verschlüsselt at rest (AES-256).
• Zugriffskontrolle: Row Level Security (RLS) in PostgreSQL stellt sicher, dass jeder Mandant nur seine eigenen Daten sehen kann.
• Passwort-Sicherheit: Passwörter werden mit bcrypt gehasht und nie im Klartext gespeichert. PINs werden ebenfalls mit bcrypt (12 Runden) gehasht.
• Pseudonymisierung: In Echtzeit-Nachrichten (WebSocket) werden interne IDs statt vollständiger Personendaten übertragen.
• Multi-Tenancy: Alle Daten sind mandantengetrennt; ein Veranstalter kann keine Daten anderer Veranstalter einsehen.
• Backups: Tägliche automatische Datenbankbackups durch Supabase.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes bzw. der Datenverarbeitung anzupassen. Die jeweils aktuelle Fassung ist stets unter /datenschutz abrufbar.