Schleifchen

Datenschutzerklärung

Stand: 30. April 2026

1. Verantwortlicher

schleifchen UG (haftungsbeschränkt)
vertreten durch den Geschäftsführer Felix Funke
Nußdorfer Str. 9
88662 Überlingen
Deutschland
E-Mail: felix.funke@schleifchen.club

Aufgrund der Größe der Gesellschaft besteht keine gesetzliche Verpflichtung zur Bestellung eines Datenschutzbeauftragten (§ 38 BDSG). Anfragen zum Datenschutz richten Sie bitte direkt an die unter Ziffer 1 genannten Kontaktdaten.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Marketing-Website schleifchen.club, die Vereinsverwaltungs-Plattform app.schleifchen.club sowie die Mobile-App „Schleifchen“ für iOS und Android. Sie informiert dich gemäß Art. 13 und Art. 14 DSGVO über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten und über deine Rechte.

3. Welche Daten wir verarbeiten und warum

Wir verarbeiten ausschließlich die Daten, die für den Betrieb der Plattform notwendig sind. Rechtsgrundlage ist – je nach Datenart – Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), lit. f DSGVO (berechtigtes Interesse an einem funktionsfähigen Dienst) oder lit. c DSGVO (rechtliche Verpflichtung, z.B. steuerliche Aufbewahrung).

  • Account-Daten — E-Mail-Adresse, Anzeigename, optional Profilbild. Zweck: Anmeldung, Identifikation in Sessions, Kontaktaufnahme bei Vertragsfragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Profildaten — Geburtsjahr, Geschlecht, Spielklasse-Tags, optional Telefonnummer und WhatsApp-Flag, optional Postleitzahl/Adresse. Zweck: Match-Algorithmus für faire Paarungen, Match-Vereinbarung im Rahmen der Vereins-Pyramide, Cross-Club-Discovery-Filter. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Vereinsdaten — Vereinsname, Adresse, Postleitzahl, Mitgliedsrolle (Admin oder Mitglied), Skill-Level. Zweck: Adress-Geocoding für die Cross-Club-Discovery, damit Spieler Sessions in ihrer Nähe finden; Vereinsverwaltung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Spieldaten — Sessions, Match-Ergebnisse, Forderungen, Saisonstatistiken, Pyramide-Positionen. Zweck: Kernfunktion der App. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Pass-Status — Flag, ob ein aktiver Player Pass besteht, samt Ablaufdatum. Zweck: serverseitige Freischaltung der Cross-Club-Discovery. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Push-Token — anonymes Geräte-Token deines Smartphones (Firebase Cloud Messaging). Zweck: Match-Benachrichtigungen, wenn eine Session beginnt oder eine Forderung eingeht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zeitnaher Match-Information).
  • Standortdaten – grob — ungefähre Position auf Stadt-Ebene, abgeleitet aus deiner Vereinsadresse. Zweck: Discovery-Radius-Filter (z.B. „Sessions im Umkreis von 100 km“). Wir erfassen keine GPS-präzisen Bewegungsprofile. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Zahlungsdaten — Kunden-ID, Abonnement-Status, Rechnungshistorie. Zweck: Abwicklung der Club- und Pro-Vereinsabos via Stripe; Abwicklung des Player Pass via Apple In-App-Purchase über RevenueCat. Wir speichern keine Kreditkarten- oder Kontodaten – diese verbleiben beim jeweiligen Zahlungsanbieter. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Aufbewahrung gem. Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 147 AO.
  • Telemetrie-Daten — pseudonyme Ereignisdaten zur Nutzung einzelner Funktionen, Crash-Reports, Funnel-Schritte. Zweck: Verbesserung der App. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung). Kein Cross-App-Tracking, keine Werbe-IDs.
  • Server-Logfiles — IP-Adresse, Zeitpunkt, abgerufene Ressource (technisch notwendig für die Bereitstellung). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit und Verfügbarkeit).

4. Auftragsverarbeiter und Drittanbieter

Für den Betrieb der Plattform setzen wir die folgenden Dienstleister ein. Mit allen Anbietern bestehen Auftragsverarbeitungs-Verträge nach Art. 28 DSGVO. Bei Anbietern mit Sitz oder Verarbeitung außerhalb der EU/des EWR werden zusätzlich die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) abgeschlossen.

Supabase Inc. (Backend, Datenbank, Authentifizierung)

  • Sitz: 970 Toa Payoh North #07-04, Singapur 318992 (Supabase Pte. Ltd.); Server-Region für Schleifchen: EU (Frankfurt am Main, Deutschland).
  • Funktion: Datenbank, Authentifizierung, Realtime-Updates, Datei-Speicherung. Alle Anwendungsdaten liegen physisch in der EU.
  • Verarbeitete Daten: Account-Daten, Profildaten, Vereinsdaten, Spieldaten, Pass-Status.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Speicherdauer: solange der Account besteht; danach Löschung bzw. gesetzliche Aufbewahrung.
  • Datenschutzerklärung: supabase.com/privacy

Vercel Inc. (Hosting)

  • Sitz: 440 N Barranca Ave #4133, Covina, CA 91723, USA; EU-Edge-Network für Schleifchen.
  • Funktion: Hosting der Marketing-Website und der Vereinsverwaltungs-Plattform.
  • Verarbeitete Daten: technisch notwendige Zugriffsdaten (IP-Adresse, User-Agent, Zeitstempel).
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionsfähigen Bereitstellung) sowie lit. b DSGVO.
  • Server-Standort: EU-Region; ergänzend EU-Standardvertragsklauseln mit Vercel Inc.
  • Speicherdauer der Zugriffslogs: maximal 30 Tage.
  • Datenschutzerklärung: vercel.com/legal/privacy-policy

Stripe Payments Europe Ltd. (Zahlungsabwicklung Vereins-Abos)

  • Sitz: 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.
  • Funktion: Zahlungsabwicklung für Club- und Pro-Vereinsabos.
  • Verarbeitete Daten: Name des Rechnungsempfängers, E-Mail-Adresse, Rechnungsadresse, Zahlungsmittel-Daten (verbleiben bei Stripe), Transaktions-IDs.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Server-Standort: EU (Irland).
  • Speicherdauer: nach gesetzlichen Aufbewahrungspflichten, insbesondere § 147 AO (10 Jahre).
  • Datenschutzerklärung: stripe.com/de/privacy

RevenueCat Inc. (Subscription-Management Player Pass)

  • Sitz: 588 Sutter Street #823, San Francisco, CA 94102, USA.
  • Funktion: technische Verwaltung des Player-Pass-Abonnements (Apple In-App-Kauf), insbesondere Abonnement-Status-Synchronisation per Webhook und Entitlement-Prüfung.
  • Verarbeitete Daten: pseudonyme Nutzer-ID, Apple-Original-Transaction-ID, Abonnement-Status, Ablaufdatum, Land.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Server-Standort: USA. Datenübermittlung gestützt auf EU-Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO.
  • Speicherdauer: solange das Abonnement besteht oder die Daten zur Streitbeilegung benötigt werden.
  • Datenschutzerklärung: revenuecat.com/privacy

Apple Distribution International Ltd. (App Store, In-App-Kauf)

  • Sitz: Hollyhill Industrial Estate, Hollyhill, Cork, Irland.
  • Funktion: Auslieferung der iOS-App über den App Store, Zahlungsabwicklung des Player Pass als In-App-Kauf, optional „Sign in with Apple“.
  • Verarbeitete Daten: Apple-ID, Zahlungsdaten (verbleiben bei Apple), Transaktionsdaten.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Apple ist hinsichtlich der Zahlungsabwicklung des Player Pass eigenständig Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
  • Server-Standort: EU/Global.
  • Datenschutzerklärung: apple.com/legal/privacy

Google LLC / Firebase Cloud Messaging (Push-Notifications)

  • Sitz: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. EU-Vertretung: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland.
  • Funktion: Versand von Push-Notifications an iOS- und Android-Geräte (z.B. Match-Start, eingehende Forderung).
  • Verarbeitete Daten: anonymes Geräte-Token, Plattform-Kennung (iOS/Android), Inhalt der Push-Nachricht.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zeitnaher Match-Information). Push-Notifications können in den App-Einstellungen jederzeit deaktiviert werden.
  • Server-Standort: USA. Datenübermittlung gestützt auf EU-Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO.
  • Speicherdauer: bis zur Deaktivierung der Push-Notifications oder Löschung des Accounts.
  • Datenschutzerklärung: policies.google.com/privacy

PostHog Ltd. (Produkt-Telemetrie)

  • Sitz: 268 Bath Road, Slough, Berkshire SL1 4DX, Vereinigtes Königreich.
  • Funktion: pseudonyme Produkt-Analytics (Funnel-Analyse, Crash-Reports, Feature-Usage) zur Verbesserung der Plattform.
  • Verarbeitete Daten: pseudonyme Nutzer-ID, Ereignis-Name, Zeitstempel, Geräte- und Plattformangaben (Plattform, App- bzw. Browser-Version), gekürzte IP-Adresse.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung). Es findet kein Cross-App-Tracking und keine Verarbeitung von Werbe-IDs statt.
  • Server-Standort: PostHog EU-Cloud (Frankfurt am Main, Deutschland). Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission.
  • Speicherdauer: maximal 12 Monate ab Ereigniszeitpunkt.
  • Datenschutzerklärung: posthog.com/privacy

Resend Inc. (Transaktions-E-Mails)

  • Sitz: 2261 Market Street #5039, San Francisco, CA 94114, USA.
  • Funktion: Versand von Transaktions-E-Mails wie Magic-Link, Einladungen und Rechnungsbestätigungen.
  • Verarbeitete Daten: E-Mail-Adresse, Inhalt der E-Mail, Versand-Status.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Server-Standort: USA / EU. Datenübermittlung gestützt auf EU-Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO.
  • Speicherdauer: maximal 30 Tage nach Versand.
  • Datenschutzerklärung: resend.com/legal/privacy-policy

OpenStreetMap Foundation / Nominatim (Adress-Geocoding)

  • Sitz: St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich.
  • Funktion: Umrechnung von Vereinsadressen in geografische Koordinaten für die Cross-Club-Discovery-Radiussuche.
  • Verarbeitete Daten: Adress-String der Vereinsadresse. Es werden keine personenbezogenen Daten (Name, IP-Adresse des Nutzers) übermittelt.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Datenschutzerklärung: wiki.osmfoundation.org/wiki/Privacy_Policy

5. Cookies, Tracking und Werbe-IDs

  • Marketing-Website (schleifchen.club) — wir setzen ausschließlich Cookies, die für den Betrieb der Seite oder die Speicherung deiner Cookie-Wahl zwingend erforderlich sind, sowie nach deiner Einwilligung Analyse-Cookies des Tools PostHog (siehe Abschnitt 4). Vor der Einwilligung werden keinerlei Analyse-Cookies gesetzt und keine Daten an PostHog übermittelt. Im Einzelnen:
    • schleifchen-cookie-choice (technisch notwendig, 12 Monate Laufzeit) — speichert deine Auswahl im Cookie-Banner. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG i.V.m. Art. 6 Abs. 1 lit. f DSGVO.
    • ph_<projekt-id>_posthog (Analyse, bis zu 12 Monate Laufzeit, nur bei Einwilligung) — pseudonymer PostHog-Identifier zur Funnel-Analyse. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über das Cookie-Banner).
    Du kannst deine Einwilligung jederzeit über den Link „Cookie- Einstellungen“ im Footer mit Wirkung für die Zukunft widerrufen.
  • Vereinsverwaltungs-Plattform (app.schleifchen.club) — ausschließlich technisch notwendige Session-Cookies für die Anmeldung. Diese sind für den Betrieb der Anwendung erforderlich (Art. 6 Abs. 1 lit. f DSGVO). Eine Einwilligung ist hierfür nach § 25 Abs. 2 Nr. 2 TTDSG nicht erforderlich.
  • Mobile-App — wir verwenden keine Werbe-IDs (insbesondere kein IDFA unter iOS und keine Android Advertising ID), führen kein Cross-App- oder Cross-Site-Tracking durch und geben keine Daten an Werbenetzwerke weiter. In der iOS-App erscheint daher auch kein Tracking-Hinweis nach App Tracking Transparency (ATT), weil keine ATT-pflichtige Verarbeitung stattfindet. Im App-Store-Eintrag ist die App entsprechend mit „Daten werden nicht zum Tracking verwendet“ (NSPrivacyTracking=false) deklariert.

6. Speicherdauer

Account- und Profildaten speichern wir, solange dein Konto besteht. Spieldaten (Sessions, Ergebnisse, Statistiken) bleiben so lange erhalten, wie sie für den Verein historisch relevant sind oder du ihrer Löschung nicht widersprichst. Rechnungs- und Vertragsdaten unterliegen den gesetzlichen Aufbewahrungspflichten — insbesondere § 147 AO (10 Jahre für steuerlich relevante Unterlagen) und § 257 HGB. Nach Ablauf der gesetzlichen Fristen werden die Daten gelöscht. Konkrete Speicherdauern bei einzelnen Drittanbietern sind in Abschnitt 4 ausgewiesen.

7. Deine Rechte

Dir stehen die folgenden Rechte gegenüber dem Verantwortlichen zu:

  • Auskunft über deine verarbeiteten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung deiner Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21 DSGVO)
  • Widerruf einer einmal erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Die Account-Löschung erfolgt aktuell auf Anfrage per E-Mail an felix.funke@schleifchen.club. Eine In-App-Löschfunktion folgt.

8. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für den Verantwortlichen ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

9. Kontakt

Bei Fragen zur Verarbeitung deiner Daten oder zur Wahrnehmung deiner Rechte wende dich an:

schleifchen UG (haftungsbeschränkt)
vertreten durch den Geschäftsführer Felix Funke
Nußdorfer Str. 9
88662 Überlingen
E-Mail: felix.funke@schleifchen.club

10. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder funktionale Änderungen der Plattform anzupassen. Die jeweils aktuelle Version ist unter schleifchen.club/datenschutz einsehbar.