Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen ist:

Die Benennung eines Datenschutzbeauftragten ist nach § 38 Abs. 1 BDSG i. V. m. Art. 37 DSGVO nicht erforderlich, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

2. Übersicht der Verarbeitungstätigkeiten

2.1 Bereitstellung der Plattform und Serverprotokolle

Beim Aufruf unserer Webseite werden automatisch technische Zugriffsdaten erhoben (sog. Server-Logfiles): IP-Adresse, Datum und Uhrzeit der Anfrage, aufgerufene URL, HTTP-Statuscode, übertragene Datenmenge, Referrer-URL, Browser-Typ und -Version.

• Zweck: Gewährleistung der IT-Sicherheit, Fehleranalyse, Missbrauchsprävention
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit)
• Speicherdauer: Maximal 30 Tage, danach automatische Löschung
• Empfänger: Vercel Inc. als Auftragsverarbeiter (siehe Abschnitt 5)

2.2 Nutzerregistrierung und Benutzerkonten

Bei der Registrierung als Admin, Spieler, Betreuer oder Schiedsrichter werden folgende Daten erhoben: E-Mail-Adresse, Passwort (gespeichert als bcrypt-Hash), Vorname, Nachname sowie ggf. Vereinszugehörigkeit. Die Authentifizierung erfolgt über Supabase Auth.

• Zweck: Bereitstellung der Plattformfunktionen, Zugangskontrolle
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Speicherdauer: Bis zur Löschung des Kontos durch den Nutzer oder Admin

2.3 Spielerverwaltung und Turnierbetrieb

Für die Durchführung von Turnieren werden Spieler-Stammdaten verarbeitet: Vorname, Nachname, Vereinszugehörigkeit, TTR-Wertung (Tischtennis-Rating), Lizenznummer (Verbandsnummer), Verband, Geburtsjahr, Startnummer sowie eine gehashte PIN für die Spielbestätigung.

• Zweck: Turnierdurchführung, Auslosung, Ergebniserfassung, Ranglisten, Urkundenerstellung
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung mit dem Turnierveranstalter) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Veranstalters) für Spieler, die durch den Admin angelegt werden
• Speicherdauer: Für die Dauer des Turniers und bis zu 2 Jahre danach für die Sportchronik; auf Antrag frühere Löschung möglich
• Hinweis: TTR-Wertungen sind sportliche Leistungskennziffern und keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO. Lizenznummern werden nur intern für Admins angezeigt.

2.4 CSV-Import aus click-TT (Fremderhebung)

Turnierveranstalter können Spielerdaten aus der Verbandssoftware click-TT des Deutschen Tischtennis-Bundes (DTTB) bzw. der Landesverbände im CSV-Format importieren. Dabei werden die unter 2.3 genannten Stammdaten übernommen.

• Hinweis gemäß Art. 14 DSGVO: Spieler, deren Daten nicht direkt bei ihnen erhoben, sondern durch den Admin importiert wurden, werden hiermit über die Verarbeitung informiert. Die Datenherkunft ist die Verbandssoftware click-TT.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Turniervorbereitung)
• Die CSV-Datei wird ausschließlich im Arbeitsspeicher verarbeitet und nicht dauerhaft gespeichert.

2.5 Echtzeit-Spielverfolgung

Über WebSocket-Verbindungen (Supabase Realtime) werden Spielstände, Satzergebnisse und Spieler-Zuordnungen in Echtzeit an Zuschauer und Beteiligte übertragen. In den WebSocket-Nachrichten sind keine E-Mail-Adressen oder andere Kontaktdaten enthalten.

• Zweck: Live-Anzeige für Zuschauer, Spieler und Betreuer
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Übertragene Daten: Spieler-Vornamen und -Nachnamen, Spielstände, Vereinsnamen

2.6 Turnier-Fotogalerie

Registrierte Nutzer können Fotos zu Turnieren hochladen. Bei jedem Upload werden folgende Daten verarbeitet: das Foto selbst (komprimiert als WebP), ein Vorschaubild (Thumbnail), der Name des Uploaders, eine optionale Bildbeschreibung sowie — sofern in den EXIF-Metadaten des Fotos enthalten — Aufnahmedatum und GPS-Koordinaten.

• Zweck: Turnierdokumentation, Plausibilitätsprüfung (Ort und Zeit des Fotos), Gemeinschaft
• Rechtsgrundlage für Upload: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch den Upload-Vorgang)
• Rechtsgrundlage für Veröffentlichung von Fotos mit erkennbaren Personen: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 22 KUG. Ausnahmen nach § 23 Abs. 1 Nr. 3 KUG (Bilder von Sportveranstaltungen, auf denen Personen nur als Beiwerk erscheinen) bleiben unberührt.
• EXIF-Daten: GPS-Koordinaten werden ausschließlich zur automatischen Plausibilitätsprüfung (Vergleich mit Turnierort) verwendet. Sie sind nicht öffentlich einsehbar. Nutzer können EXIF-Daten vor dem Upload in ihren Kameraeinstellungen deaktivieren.
• Speicherdauer: Bis zur Löschung durch den Admin oder den Uploader
• Widerruf: Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, indem die Löschung des Fotos beim Admin beantragt wird.
• Empfänger: Supabase Storage (siehe Abschnitt 5); genehmigte Fotos sind öffentlich sichtbar

2.7 Admin-Aktivitätsprotokolle

Sofern vom Admin aktiviert, werden zur Nachvollziehbarkeit von Verwaltungshandlungen Aktivitätsprotokolle geführt. Diese enthalten: IP-Adresse, Benutzerkennung, HTTP-Methode, aufgerufenen Pfad, HTTP-Statuscode und Zeitstempel.

• Zweck: IT-Sicherheit, Integritätsschutz der Turnierdaten, Missbrauchsprävention
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Integrität der Sportdaten)
• Speicherdauer: 5 bis maximal 30 Tage (durch den Admin konfigurierbar), danach automatische Löschung
• Betroffene: Ausschließlich Admins und Schiedsrichter mit eigenem Benutzerkonto — kein Tracking von Spielern oder Zuschauern
• Externe Weiterleitung: Sofern konfiguriert, können Logs an einen externen Log-Server (Webhook oder Syslog) weitergeleitet werden. Die Verantwortung für den Betrieb dieses Servers liegt beim jeweiligen Tenant-Admin.

2.8 Kontaktaufnahme per E-Mail

Bei Kontaktaufnahme per E-Mail werden Ihre E-Mail-Adresse und der Nachrichteninhalt verarbeitet. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen). E-Mail-Korrespondenz wird gemäß handelsrechtlichen Aufbewahrungspflichten (§ 257 HGB) bis zu 6 Jahre aufbewahrt.

2.9 Urkundenerstellung

Urkunden werden ausschließlich im Browser des Nutzers generiert (client-seitige Verarbeitung). Es findet kein zusätzlicher Server-Aufruf mit personenbezogenen Daten statt. Die Urkunden enthalten Name und Platzierung der Spieler.

3. Zusammenarbeit mit Tischtennisverbänden

TT-Control kann von Turnierveranstaltern eingesetzt werden, die Turniere im Auftrag von oder in Zusammenarbeit mit Tischtennisverbänden (DTTB, Landesverbände) durchführen. In diesem Fall kann eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bestehen.

• Werden Spielerdaten durch einen Verband an den Turnierveranstalter übermittelt (z. B. Startlisten für offizielle Turniere), regelt eine schriftliche Vereinbarung nach Art. 26 DSGVO die jeweiligen Verantwortlichkeiten.
• Lizenznummern und TTR-Wertungen stammen aus der Verbandssoftware click-TT und werden ausschließlich für die Turnierdurchführung (Auslosung, Vorgabeberechnung) verwendet.
• Die öffentliche Zuschauer-Ansicht zeigt nur Spielernamen, Vereinsnamen und Turnierergebnisse — keine Lizenznummern, E-Mail-Adressen oder Geburtsdaten.

4. Cookies und lokale Speicherung

Wir setzen ausschließlich technisch notwendige Cookies ein, die für den Betrieb der Plattform unbedingt erforderlich sind. Es handelt sich um den Sitzungs-Token (Session-Cookie) zur Aufrechterhaltung Ihrer Anmeldung bei Supabase Auth.

• Der Cookie wird beim Abmelden oder nach Ablauf der Sitzung automatisch gelöscht.
• Eine Einwilligung ist nach § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich, da der Cookie für die Bereitstellung des ausdrücklich gewünschten Dienstes unbedingt notwendig ist.
• Es werden keine Analyse-, Tracking- oder Marketing-Cookies verwendet.
• Dark-Mode-Einstellungen werden im localStorage Ihres Browsers gespeichert und nicht an unsere Server übertragen.

5. Auftragsverarbeiter und Drittlandübermittlungen

Wir setzen die folgenden Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge (AVV).

5.1 Vercel Inc. (Hosting)

Vercel Inc., 340 Pine Street Suite 701, San Francisco, CA 94104, USA
Zweck: Hosting der Webanwendung, CDN, Serverless Functions
Serverstandort: Frankfurt, Deutschland (EU)
Übermittlungsgrundlage: Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (Art. 45 DSGVO, Durchführungsbeschluss 2023/1795 vom 10.07.2023). Vercel ist unter dem DPF zertifiziert. Ergänzend gelten Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
AVV: vercel.com/legal/dpa

5.2 Supabase Inc. (Datenbank, Auth, Storage, Realtime)

Supabase Inc., 970 Trestle Glen Rd, Oakland, CA 94610, USA
Zweck: PostgreSQL-Datenbank, Benutzerauthentifizierung, Dateispeicherung (Fotos), Echtzeit-Datenübertragung (WebSockets)
Serverstandort: Frankfurt, Deutschland (EU, AWS eu-central-1)
Übermittlungsgrundlage: Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Der Subprozessor AWS (Amazon Web Services) ist unter dem EU-US Data Privacy Framework zertifiziert.
AVV: supabase.com/legal/dpa

5.3 E-Mail-Versand (SMTP)

Für den Versand von Registrierungsbestätigungen und Passwort-Reset-E-Mails wird ein vom Veranstalter konfigurierter SMTP-Server verwendet. Die Verantwortung für den Abschluss eines AVV mit dem jeweiligen E-Mail-Anbieter liegt beim Veranstalter. E-Mails enthalten zeitlich begrenzt gültige Tokens (max. 1 Stunde) und keine dauerhaft sensiblen Daten.

Allgemeiner Hinweis zum Drittlandtransfer: Alle Verarbeitungen erfolgen auf Servern innerhalb der Europäischen Union (Frankfurt, Deutschland). Einige Dienstleister haben ihren Unternehmenssitz in den USA. Die Datenübermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission zum EU-US Data Privacy Framework vom 10. Juli 2023 (Art. 45 DSGVO) bzw. auf Grundlage von Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss 2021/914).

6. Ihre Rechte als betroffene Person

Ihnen stehen folgende Rechte gegenüber dem Verantwortlichen zu:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, welche personenbezogenen Daten wir über Sie gespeichert haben.
• Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten (z. B. Name, Verein, TTR) verlangen.
• Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern kein berechtigter Grund für die weitere Speicherung besteht (z. B. laufendes Turnier, gesetzliche Aufbewahrungspflicht).
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Bei Bestreitung der Richtigkeit oder bei Widerspruch können Sie die Einschränkung der Verarbeitung verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Auf Anfrage erhalten Sie Ihre Daten in einem maschinenlesbaren Format (CSV/JSON).
• Widerspruchsrecht (Art. 21 DSGVO): Gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) können Sie jederzeit Widerspruch einlegen.
• Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung (z. B. für Foto-Uploads) kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an info@coffeemaster.de. Wir bearbeiten Ihre Anfrage innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

7. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt. Die für uns zuständige Aufsichtsbehörde ist:

8. Speicher- und Löschfristen

9. Datensicherheit (Art. 32 DSGVO)

Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

• Verschlüsselung: Alle Daten werden über HTTPS/TLS 1.3 übertragen. Die Datenbank ist verschlüsselt at rest (AES-256).
• Zugriffskontrolle: Row Level Security (RLS) in PostgreSQL stellt sicher, dass jeder Mandant nur seine eigenen Daten sehen kann.
• Passwort-Sicherheit: Passwörter werden mit bcrypt gehasht und nie im Klartext gespeichert. PINs werden ebenfalls mit bcrypt (12 Runden) gehasht.
• Pseudonymisierung: In Echtzeit-Nachrichten (WebSocket) werden interne IDs statt vollständiger Personendaten übertragen.
• Multi-Tenancy: Alle Daten sind mandantengetrennt; ein Veranstalter kann keine Daten anderer Veranstalter einsehen.
• Backups: Tägliche automatische Datenbankbackups durch Supabase.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes bzw. der Datenverarbeitung anzupassen. Die jeweils aktuelle Fassung ist stets unter /datenschutz abrufbar.