← Zurück zur Startseite

Datenschutzerklärung

Stand: April 2026 · Version 2.0

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und sonstiger nationaler Datenschutzgesetze ist:

Benjamin Kraus
Eschenweg 21a
85253 Kleinberghofen
Deutschland

E-Mail: info@playtimeapp.de
Telefon: +49 151 65674385

2. Geltungsbereich & betroffene Personen

Diese Datenschutzerklärung gilt für:

• Besucher der Website playtimeapp.de und aller Vereins-Subdomains (*.playtimeapp.de)
• Vereinsadministratoren, die einen Verein über PlayTimeApp registrieren und das System für ihren Verein einrichten
• Vereinsmitglieder, die sich innerhalb einer Vereins-App registrieren und Buchungen vornehmen
• Trainer und Spieler, deren Daten als Mitglied einer Mannschaft verarbeitet werden
• Interessenten, die sich für einen Termin oder per E-Mail an uns wenden

3. Begriffsbestimmungen & Rollen

PlayTimeApp ist ein Software-as-a-Service-Angebot für Sportvereine. Wir – die oben genannte Person – sind Betreiber der Plattform und stellen sie den Vereinen zur Nutzung bereit.

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Daten von Vereinsmitgliedern ist grundsätzlich der jeweilige Verein, der sich bei uns registriert hat. Wir verarbeiten diese Daten als Auftragsverarbeiter (Art. 28 DSGVO) für den jeweiligen Verein. Hierzu schließen wir mit jedem Verein einen Auftragsverarbeitungsvertrag (AVV). Der AVV wird im Admin-Bereich der App zur Verfügung gestellt und muss vom Vereinsadministrator unterzeichnet werden, um eine DSGVO-konforme Nutzung sicherzustellen.

Verantwortlicher für die Stammdaten der Vereinsadministratoren, die eigene Website-Nutzung sowie für alle Daten, die direkt mit uns ausgetauscht werden (z.B. Support-Anfragen, Termin-Buchungen, Newsletter), sind wir selbst.

4. Welche Daten wir erheben

4.1 Bei der Vereinsregistrierung

• Vereinsname
• Gewünschte Subdomain
• Vereinsanschrift (Straße, PLZ, Ort, Land)
• Name und Funktion des gesetzlichen Vertreters
• Name und E-Mail-Adresse des Administrators
• Passwort (gespeichert ausschließlich als bcrypt-Hash – das Klartext-Passwort wird zu keinem Zeitpunkt gespeichert)

4.2 Bei der Mitglieder-Registrierung im Verein

• Name, Spitzname (optional), E-Mail-Adresse
• Passwort (bcrypt-Hash)
• Profilbild (optional)
• Rolle im Verein (User / Admin)
• Mannschaftszugehörigkeit (optional, mit Rolle Trainer / Spieler)

4.3 Bei der Nutzung des Buchungssystems

• Buchungsdaten: Datum, Uhrzeit, Platz/Halle, beteiligte Spieler, Mannschaftszuordnung, optionaler Titel/Bezeichnung
• Tausch-Anfragen zwischen Trainern (bei Mannschafts-Sportarten)
• Turnier-Anmeldungen und -Ergebnisse (sofern verwendet)

4.4 Server-Logs (technisch erforderlich)

Bei jedem Zugriff auf unsere Server werden automatisch folgende Daten protokolliert: IP-Adresse (nach erstmaliger Verarbeitung verkürzt), Zeitstempel, aufgerufene URL, HTTP-Statuscode, übertragene Datenmenge, Browser-Kennung (User-Agent) und Referrer. Diese Logs dienen ausschließlich der Sicherheit, Fehlerdiagnose und Missbrauchsabwehr. Sie werden spätestens nach 30 Tagen automatisch gelöscht.

4.5 Optionale Daten

• Push-Notification-Tokens – nur mit ausdrücklicher Einwilligung, für Buchungserinnerungen und Benachrichtigungen
• Newsletter-Einwilligung – nur, wenn Sie aktiv zustimmen
• Zahlungsdaten bei kostenpflichtigen Abos – ausschließlich beim Zahlungsdienstleister, siehe Abschnitt 10

5. Zweck & Rechtsgrundlage der Verarbeitung

• Bereitstellung des Buchungssystems und Nutzerverwaltung – Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Versand transaktionaler E-Mails (Buchungsbestätigungen, Einladungen, Erinnerungen, Stornierungen, Passwort-Reset, AVV-Mails) – Art. 6 Abs. 1 lit. b DSGVO
• Schutz des Systems vor Missbrauch und Angriffen via Server-Logs und Bot-Schutz – Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Dienst)
• Abwicklung kostenpflichtiger Abonnements über Stripe / PayPal – Art. 6 Abs. 1 lit. b DSGVO
• Erfüllung gesetzlicher Aufbewahrungspflichten für Rechnungen (z.B. § 147 AO) – Art. 6 Abs. 1 lit. c DSGVO
• Newsletter-Versand – Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung)
• Push-Benachrichtigungen – Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung)
• Verarbeitung von Mitgliederdaten im Auftrag des Vereins – Art. 28 DSGVO auf Grundlage des Auftragsverarbeitungsvertrags

6. Empfänger / Auftragsverarbeiter

Wir setzen folgende sorgfältig ausgewählte Auftragsverarbeiter ein. Mit allen Anbietern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO:

6.1 Hosting

netcup GmbH, Daimlerstraße 25, 76185 Karlsruhe, Deutschland.
Server-Standort: Deutschland. Mit netcup besteht ein AVV gemäß Art. 28 DSGVO.

6.2 E-Mail-Versand

All-Inkl.com – Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf, Deutschland.
Transaktionale E-Mails (Buchungsbestätigungen, Einladungen, Erinnerungen, Passwort-Reset, AVV-Mails, Newsletter) werden über den SMTP-Dienst von All-Inkl versendet. Server-Standort: Deutschland. AVV liegt vor.

6.3 Zahlungsdienstleister

Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (für Kreditkarten-, SEPA- und Wallet-Zahlungen).
PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, 2449 Luxembourg, Luxemburg.
Beide werden ausschließlich zur Abwicklung kostenpflichtiger Abonnements eingesetzt. Details siehe Abschnitt 10.

6.4 Bot-Schutz

Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA.
Wir verwenden Cloudflare Turnstile als Captcha-Alternative bei der Vereins- und Mitglieder-Registrierung, um automatisierte Massenanmeldungen zu verhindern. Details siehe Abschnitt 11.

6.5 Weitere Empfänger

Eine Weitergabe personenbezogener Daten an sonstige Dritte findet nicht statt, sofern wir nicht gesetzlich dazu verpflichtet sind oder Sie ausdrücklich eingewilligt haben.

7. Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU/des EWR findet nur in folgenden Fällen statt:

• Cloudflare Turnstile (USA) – beim Bot-Schutz während der Registrierung. Es wird die IP-Adresse und ein Browser-Fingerprint übermittelt. Stützung auf EU-Standardvertragsklauseln (SCCs) sowie ergänzende technische Maßnahmen.
• Stripe (Mutterkonzern in den USA, EU-Tochter in Irland) – bei Zahlungen über Stripe. Verarbeitung erfolgt primär in der EU, eine Übermittlung in die USA ist im Rahmen interner Konzernprozesse möglich. Stützung auf SCCs und das EU-US Data Privacy Framework.

Alle anderen genutzten Dienste (Hosting, E-Mail, PayPal Europe) werden in Deutschland bzw. der EU betrieben.

8. Speicherdauer

• Konto- und Profildaten: bis zur Account-Löschung. Nach Löschung des Accounts werden alle personenbezogenen Daten unverzüglich und dauerhaft entfernt.
• Buchungsdaten: automatische Löschung nach 12 Monaten (DSGVO-Datenminimierung).
• Vergangene Platzsperren und Vereinstermine: automatische Löschung nach 12 Monaten.
• Server-Logs: spätestens nach 30 Tagen.
• Refresh-Tokens (für Login): bis zum Ablauf bzw. bis zum Logout.
• Push-Notification-Tokens: bis zum Widerruf der Einwilligung oder Account-Löschung.
• Newsletter-Einwilligung: bis zum Widerruf.
• Rechnungsdaten (zahlende Kunden): 10 Jahre aufgrund handels- und steuerrechtlicher Aufbewahrungspflichten (§ 147 AO).
• AVV-Dokumente (unterzeichnete Verträge mit Vereinen): bis zur Beendigung des Vertragsverhältnisses + 3 Jahre Aufbewahrungsfrist.

9. Cookies, Local Storage & Tracking

PlayTimeApp verwendet keine Tracking-, Analyse- oder Werbe-Cookies. Es werden keine Statistik-Tools wie Google Analytics, Facebook Pixel oder ähnliche Dienste eingesetzt.

Wir verwenden ausschließlich technisch notwendige Speicherung im Browser:

• Login-Token (JWT) im localStorage – um Sie zwischen Aufrufen angemeldet zu halten
• Refresh-Token im localStorage – um Login-Sessions zu verlängern
• UI-Einstellungen (z.B. zuletzt gewählter Tab, Ansichtsmodus) im localStorage

Eine Cookie-Banner-Einwilligung ist daher nach § 25 TDDDG nicht erforderlich, da ausschließlich technisch unbedingt erforderliche Speicherung erfolgt.

10. Zahlungsabwicklung (Stripe / PayPal)

Wenn Sie als Vereinsadministrator ein kostenpflichtiges Abonnement abschließen, werden die Zahlungsdaten ausschließlich beim Zahlungsdienstleister verarbeitet. Wir selbst erhalten keine Kreditkartennummern oder vollständigen Bankdaten – wir speichern lediglich eine Kunden-ID und Subscription-ID, um Zahlungen zuordnen zu können.

10.1 Stripe

Anbieter: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.
Übertragene Daten: Name, E-Mail, Vereinsname, Rechnungsadresse, Zahlungsmittel (Karte / SEPA / Wallet), Zahlungsbetrag.
Zweck: Abwicklung von Abonnement-Zahlungen, Rechnungsstellung, Betrugsschutz.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Datenschutz: stripe.com/de/privacy
Drittlandtransfer: Möglich, basierend auf EU-Standardvertragsklauseln und EU-US Data Privacy Framework.

10.2 PayPal

Anbieter: PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, 2449 Luxembourg, Luxemburg.
Übertragene Daten: Name, E-Mail, PayPal-Kontodetails, Vereinsname, Zahlungsbetrag.
Zweck: Abwicklung von Abonnement-Zahlungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Datenschutz: paypal.com/de/legalhub/privacy-full

11. Bot-Schutz (Cloudflare Turnstile)

Bei der Vereins- und Mitglieder-Registrierung verwenden wir Cloudflare Turnstile zum Schutz vor automatisierten Bot-Anmeldungen. Turnstile ist eine Captcha-Alternative ohne sichtbare Nutzer-Aufgaben.

Anbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA.
Übertragene Daten: IP-Adresse, Browser-Daten (User-Agent, Bildschirmauflösung), Verhaltensmuster (Mausbewegungen, Tastatureingaben).
Zweck: Schutz unserer Registrierungsseite vor Spam und Massenanmeldungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Schutz vor Bot-Angriffen).
Datenschutz: cloudflare.com/de-de/privacypolicy
Drittlandtransfer: USA, gestützt auf EU-Standardvertragsklauseln.

12. Schriftarten (Google Fonts)

Auf unserer Website wird die Schriftart „Inter" über das Dienste-Angebot von Google Fonts (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) eingebunden. Beim Aufruf einer Seite lädt Ihr Browser die Schriftart von einem Google-Server. Dabei wird Ihre IP-Adresse an Google übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen, professionellen Darstellung).
Datenschutz Google: policies.google.com/privacy
Wir prüfen derzeit eine Umstellung auf lokal gehostete Schriftarten, um auch diese Datenübermittlung zu vermeiden.

13. Push-Benachrichtigungen

Mit Ihrer ausdrücklichen Einwilligung kann PlayTimeApp Buchungserinnerungen, Einladungen und andere Benachrichtigungen als Push-Notification auf Ihr Gerät senden. Hierzu wird ein gerätespezifischer Token (Endpoint, Public Key, Auth Secret) auf unserem Server gespeichert.

Die Auslieferung erfolgt über die Push-Dienste des jeweiligen Browser-/Geräteherstellers (Google FCM für Chrome/Android, Apple APNS für Safari/iOS, Mozilla Push für Firefox). Wir senden nur den Inhalt der Benachrichtigung an diese Push-Server – keine Profildaten.

Die Einwilligung kann jederzeit im Profil unter „Benachrichtigungen" oder direkt in den Browser-Einstellungen widerrufen werden. Bei Widerruf wird der gespeicherte Push-Token unverzüglich gelöscht.

14. Newsletter

Newsletter werden ausschließlich an Nutzer versandt, die bei der Registrierung oder im Profil durch Setzen einer Checkbox ausdrücklich zugestimmt haben (Single-Opt-in). Die Einwilligung kann jederzeit im Profil oder über den Abmelde-Link am Ende jedes Newsletters widerrufen werden. Nach Widerruf werden keine weiteren Newsletter mehr versandt.

15. Externe Links / Hilfeseiten

Wir setzen einen externen Dienst zur Terminbuchung ein: Easy Appointments (selbstgehostet auf support.playtimeapp.de). Beim Buchen eines Termins werden Name, E-Mail und Wunschtermin auf unseren eigenen Servern gespeichert. Es findet keine Übermittlung an Dritte statt. Server-Standort: Deutschland (netcup).

16. Datensicherheit

Wir setzen folgende technisch-organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

• HTTPS/TLS-Verschlüsselung (Let's Encrypt) für alle Datenübertragungen
• Bcrypt-Passwort-Hashing mit Salt – Klartext-Passwörter werden nie gespeichert
• JWT-Token mit Ablaufzeit und Refresh-Token-Rotation
• Multi-Tenant-Isolation: Vereinsdaten sind streng voneinander getrennt
• Tägliche Datenbank-Backups mit verschlüsselter Off-Site-Speicherung
• Automatische Sicherheitsupdates der Server-Komponenten
• Server-Standort Deutschland (netcup)

17. Haftungsbeschränkung bei Datenverlust

Trotz sorgfältiger technischer und organisatorischer Schutzmaßnahmen kann ein vollständiger Schutz vor Datenverlust durch Serverausfälle, technische Fehler oder höhere Gewalt nicht garantiert werden. Der Betreiber haftet nicht für den Verlust von Daten, soweit dieser nicht auf grober Fahrlässigkeit oder Vorsatz beruht. Vereinen wird empfohlen, regelmäßig eigene Sicherungen buchungsrelevanter Daten anzufertigen (CSV-Export im Admin-Bereich verfügbar).

18. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO) – Auskunft über die zu Ihrer Person gespeicherten Daten
• Recht auf Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten, jederzeit über das Profil möglich
• Recht auf Löschung (Art. 17 DSGVO) – direkt über „Konto löschen" im Profil oder per E-Mail
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – auf Anfrage per E-Mail an info@playtimeapp.de. Wir senden Ihnen Ihre Daten innerhalb von 30 Tagen in einem strukturierten, gängigen und maschinenlesbaren Format (JSON oder CSV).
• Widerspruchsrecht (Art. 21 DSGVO) gegen Verarbeitungen auf Grundlage berechtigter Interessen
• Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO) – z.B. Newsletter oder Push, jederzeit im Profil
• Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde

Zuständige Aufsichtsbehörde für Bayern:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 27, 91522 Ansbach
www.lda.bayern.de

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen des Dienstes oder aufgrund neuer gesetzlicher Anforderungen anzupassen. Die jeweils aktuelle Version ist stets unter diesem Link abrufbar. Wesentliche Änderungen kommunizieren wir aktiv per E-Mail an Vereinsadministratoren.

Stand: April 2026 · Version 2.0 · © 2026 PlayTimeApp · Benjamin Kraus