Zurück zur Startseite

Datenschutzerklärung

Stand: März 2026

Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und Art. 14 der Datenschutz-Grundverordnung (DSGVO) über die Art, den Umfang und den Zweck der Verarbeitung personenbezogener Daten bei der Nutzung unserer Webseite vereinsneo.de sowie unseres SaaS-Dienstes “VereinsNeo”.

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Michael Blautzik
Einzelunternehmer
Kampstr. 113
30629 Hannover
Deutschland
Telefon: +49 176 4575 6276
E-Mail: datenschutz@vereinsneo.de

Es ist kein Datenschutzbeauftragter bestellt, da die Voraussetzungen gemäß Art. 37 DSGVO i.V.m. § 38 BDSG (weniger als 20 Personen mit automatisierter Datenverarbeitung) nicht erfüllt sind. Bei Datenschutzanfragen wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.

2. Übersicht der Verarbeitungstätigkeiten

Wir verarbeiten personenbezogene Daten in folgenden Kontexten:

  • Bereitstellung der Webseite und des SaaS-Dienstes
  • Benutzerregistrierung und Kontoverwaltung
  • Zahlungsabwicklung über Stripe
  • PostfachNeo-Modul: Verarbeitung von Verbandspostfach-Nachrichten
  • Kontaktanfragen und Kundenkommunikation
  • Webanalyse (anonymisiert, cookielos)
  • E-Mail-Benachrichtigungen (opt-in)

3. Erhobene personenbezogene Daten

3.1 Registrierungsdaten

  • Pflichtangaben: Vor- und Nachname, E-Mail-Adresse, Passwort (gespeichert als bcrypt-Hash mit Salt, nicht im Klartext)
  • Vereinsdaten: Vereinsname, Anschrift, Abteilung
  • Zweck: Bereitstellung des Dienstes, Vertragsdurchführung
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.2 Nutzungsdaten im SaaS-Dienst

  • Vereinsverwaltungsdaten: Mannschaften, Trainer-/Betreuer-Namen, Platzbelegungen, Kabinenzuordnungen, Trainingszeiten, Dauervermietungen
  • Zweck: Bereitstellung der vertraglich vereinbarten Funktionalität
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Besonderheit: Diese Daten werden ausschließlich im Auftrag des Nutzers (Vereins) verarbeitet. Der Verein ist für die Einhaltung der DSGVO hinsichtlich seiner Mitgliederdaten selbst verantwortlich.

3.3 PostfachNeo-Modul (Add-On)

Bei Nutzung des PostfachNeo-Moduls werden zusätzlich folgende Daten verarbeitet:

  • Verbands-Zugangsdaten: Die vom Nutzer eingegebenen Zugangsdaten für das Verbandspostfach werden AES-256 verschlüsselt in der Datenbank gespeichert. Eine Entschlüsselung erfolgt ausschließlich serverseitig zum Abruf der Nachrichten. Die Zugangsdaten werden nie im Klartext gespeichert oder an Dritte weitergegeben.
  • Verbandspostfach-Nachrichten: Absender, Betreff, Nachrichtentext, Anhänge (PDF-Extrakte), Empfangszeitpunkt
  • KI-Klassifizierung: Kategorie, Dringlichkeit, Zusammenfassung — generiert durch OpenAI API (siehe Abschnitt 6)
  • Routing-Daten: Zuordnung zu Mannschaften und Rollen innerhalb des Vereins
  • Anträge: Vom Nutzer erstellte Anträge (z.B. Trikotbestellungen, Freundschaftsspiele)

Zweck: Automatisierte Verarbeitung und Zuordnung von Verbandspost an verantwortliche Personen im Verein
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — Die Nutzung erfordert eine explizite Einwilligung bei der Eingabe der Zugangsdaten
Speicherdauer: Nachrichten werden 90 Tage nach Empfang automatisch gelöscht. Bei Kontolöschung werden alle PostfachNeo-Daten sofort gelöscht.

Wichtiger Hinweis: Durch die Nutzung von PostfachNeo stimmen Sie der Verarbeitung Ihrer Verbandspostfach-Nachrichten zu, einschließlich der KI-gestützten Klassifizierung über OpenAI. Die OpenAI API verarbeitet Daten gemäß deren API Data Usage Policy — eingesendete Daten werden nicht zum Training von KI-Modellen verwendet.

3.4 Technische Zugriffsdaten (Server-Logfiles)

Beim Besuch unserer Webseite werden automatisch folgende Daten erhoben:

  • IP-Adresse (anonymisiert nach 7 Tagen)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene Seite (URL)
  • HTTP-Statuscode
  • Übertragene Datenmenge
  • Referrer-URL (vorherige Webseite)
  • Browser-Typ und -Version
  • Betriebssystem

Zweck: Gewährleistung der Systemsicherheit, Erkennung von Angriffen, Fehleranalyse
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der IT-Sicherheit)
Speicherdauer: 7 Tage, danach automatische Löschung

3.4 Kontaktdaten

Wenn Sie uns per E-Mail oder Kontaktformular kontaktieren, werden Ihre Angaben (Name, E-Mail, Nachricht) zwecks Bearbeitung der Anfrage gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung)
Speicherdauer: Bis zur Erledigung der Anfrage, max. 6 Monate nach letztem Kontakt

3.5 Zahlungsdaten

Zahlungsdaten (Kreditkartennummer, IBAN) werden nicht auf unseren Servern gespeichert, sondern ausschließlich durch Stripe, Inc. verarbeitet (siehe Abschnitt 6).

4. Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO)

RechtsgrundlageAnwendungsfall
Art. 6 Abs. 1 lit. a – EinwilligungNewsletter, optionale E-Mail-Benachrichtigungen
Art. 6 Abs. 1 lit. b – VertragRegistrierung, SaaS-Nutzung, Zahlungsabwicklung
Art. 6 Abs. 1 lit. c – Rechtliche VerpflichtungSteuerliche Aufbewahrung, Rechnungsdaten
Art. 6 Abs. 1 lit. f – Berechtigtes InteresseIT-Sicherheit, Fehleranalyse, Missbrauchsprävention

5. Datenspeicherung und Serverstandort

Alle personenbezogenen Daten werden auf Servern in Deutschland und der EU gespeichert. Wir nutzen folgende Infrastruktur:

  • Hetzner Online GmbH – Hosting der Webapplikation und Infrastruktur (Rechenzentrum Nürnberg, Deutschland)
  • Neon Inc. – PostgreSQL-Datenbank-Hosting (Region: EU, mit Verschlüsselung at-rest und in-transit)

Für alle Dienstleister, die Zugriff auf personenbezogene Daten haben, liegen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO vor.

6. Weitergabe an Dritte und Auftragsverarbeiter

Wir geben personenbezogene Daten nur weiter, wenn dies zur Vertragserfüllung erforderlich ist, Sie eingewilligt haben oder eine gesetzliche Verpflichtung besteht. Aktuell setzen wir folgende Auftragsverarbeiter ein:

DienstleisterZweckStandortGarantie
Hetzner Online GmbHHosting, InfrastrukturDeutschland (Nürnberg)AVV, DSGVO-konform, ISO 27001
Neon Inc.DatenbankEUAVV, Verschlüsselung
Stripe Inc.ZahlungenUSA/IrlandAVV, SCCs, PCI DSS Level 1
Plausible AnalyticsWebanalyseEU (Deutschland)Cookielos, keine PII, kein Consent nötig
OpenAI, L.L.C.KI-Klassifizierung (PostfachNeo)USADPA, API-Daten nicht für Training, SCCs

7. Drittlandtransfer (Art. 44–49 DSGVO)

Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA. Die Übermittlung personenbezogener Daten in die USA erfolgt auf Grundlage von:

  • EU-U.S. Data Privacy Framework (DPF) – soweit der Empfänger zertifiziert ist (Stripe, OpenAI)
  • Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO – als zusätzliche Garantie
  • Ergänzende technische Maßnahmen – Verschlüsselung der Daten in Transit und at-rest

Die Angemessenheitsentscheidung der EU-Kommission für das EU-U.S. Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795 vom 10. Juli 2023) bleibt weiterhin in Kraft.

8. Cookies und Tracking (§ 25 TTDSG i.V.m. DSGVO)

8.1 Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Webseite zwingend erforderlich und können nicht deaktiviert werden:

CookieZweckTypDauer
auth-tokenAuthentifizierung (JWT)httpOnly, Secure7 Tage
cookie-consentSpeicherung Ihrer Cookie-PräferenzenStandard12 Monate

Sicherheitshinweis: Das auth-token Cookie ist als httpOnly gekennzeichnet und kann nicht durch JavaScript ausgelesen werden. Dies schützt vor Cross-Site-Scripting (XSS) Angriffen. Es werden keine personenbezogenen Daten (Name, E-Mail, Passwort) im Browser-Speicher (localStorage/sessionStorage) abgelegt.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch erforderlich, keine Einwilligung nötig)

8.2 Lokaler Browser-Speicher (localStorage)

Zur Verbesserung der Benutzerfreundlichkeit speichern wir folgende nicht-personenbezogene Einstellungen im lokalen Browser-Speicher:

SchlüsselZweckPersonenbezogen?
vereinsneo_themeHell-/Dunkel-Modus PräferenzNein
vereinsneo_setup_dismissedEinrichtungsassistent-StatusNein
vereinsneo_legend_openLegende ein-/ausgeklapptNein
vereinsneo_kabinen_info_dismissedInfo-Banner ausgeblendetNein

Diese Daten enthalten keine personenbezogenen Informationen und dienen ausschließlich der lokalen Benutzerfreundlichkeit. Sie können diese Daten jederzeit über die Browser-Einstellungen löschen.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch erforderlich für die vom Nutzer gewünschte Funktionalität)

8.3 Webanalyse (ohne Einwilligung erforderlich)

Plausible Analytics: Wir nutzen Plausible Analytics als datenschutzfreundliche Webanalyse-Lösung. Plausible ist ein europäischer Dienst (Sitz: EU), der vollständig cookielos arbeitet. Es werden keine personenbezogenen Daten erhoben, keine IP-Adressen gespeichert und kein Browser-Fingerprinting eingesetzt. Die Erfassung erfolgt ausschließlich anonymisiert und aggregiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der anonymen Nutzungsanalyse). Da Plausible keine Cookies setzt und keine personenbezogenen Daten erhebt, ist gemäß § 25 Abs. 2 Nr. 2 TTDSG keine Einwilligung erforderlich.

8.4 Clientseitige Fehlererfassung

Zur Sicherstellung der Systemstabilität erfassen wir anonymisierte JavaScript-Fehlermeldungen aus Ihrem Browser. Dabei werden ausschließlich technische Informationen gespeichert: Fehlermeldung, betroffene Datei und Zeilennummer. Keine personenbezogenen Daten (Name, E-Mail, Passwort) werden dabei erfasst. IP-Adressen werden nur zur Ratenbegrenzung kurzfristig verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Fehlererkennung und Systemstabilität)
Speicherdauer: 30 Tage, danach automatische Löschung

8.5 Marketing-Cookies

Wir setzen derzeit keine Marketing- oder Werbe-Cookies ein. Es findet kein Retargeting, Profiling oder Cross-Site-Tracking statt.

9. E-Mail-Kommunikation

Wir versenden E-Mails in folgenden Fällen:

  • Transaktionale E-Mails (ohne Einwilligung): Registrierungsbestätigung, E-Mail-Verifizierung, Passwort-Zurücksetzen, Zahlungsbestätigungen, Vertragsänderungen
  • Benachrichtigungs-E-Mails (mit Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO): Konfliktwarnungen, Belegungsänderungen – jederzeit in den Kontoeinstellungen abbestellbar

Wir nutzen keinen externen E-Mail-Marketing-Dienst. E-Mails werden direkt über unseren Server versendet.

10. Ihre Rechte als Betroffener

Sie haben gemäß DSGVO folgende Rechte. Zur Ausübung genügt eine formlose E-Mail an datenschutz@vereinsneo.de:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können jederzeit Auskunft über die bei uns gespeicherten personenbezogenen Daten verlangen, einschließlich Herkunft, Empfänger und Zweck der Verarbeitung.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die Korrektur unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format (JSON, CSV) exportieren.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO jederzeit widersprechen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
  • Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständige Behörde:
    Die Landesbeauftragte für den Datenschutz Niedersachsen
    Prinzenstraße 5, 30159 Hannover
    www.lfd.niedersachsen.de

11. Speicherdauer und Löschkonzept

DatenkategorieSpeicherdauerGrundlage
Account-DatenBis Löschung / Kündigung + 30 TageArt. 6 Abs. 1 lit. b
VereinsverwaltungsdatenBis Löschung / Kündigung + 30 TageArt. 6 Abs. 1 lit. b
Rechnungsdaten10 Jahre (gesetzl. Aufbewahrung)§ 147 AO, § 257 HGB
Server-Logfiles7 TageArt. 6 Abs. 1 lit. f
Kontaktanfragen6 Monate nach ErledigungArt. 6 Abs. 1 lit. f
PostfachNeo-Nachrichten90 Tage nach EmpfangArt. 6 Abs. 1 lit. a
PostfachNeo-ZugangsdatenBis Löschung / DeaktivierungArt. 6 Abs. 1 lit. a (verschlüsselt)

Bei Kündigung Ihres Accounts werden sämtliche personenbezogenen Daten und Vereinsverwaltungsdaten binnen 30 Tagen unwiderruflich gelöscht (außer gesetzlich vorgeschriebene Aufbewahrungsfristen für Rechnungsdaten).

12. Technische und organisatorische Maßnahmen (TOM, Art. 32 DSGVO)

Wir setzen folgende Maßnahmen zum Schutz Ihrer Daten um:

  • Verschlüsselung: TLS 1.3 für alle Datenübertragungen, AES-256 Verschlüsselung der Datenbank at-rest
  • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Admin, Benutzer), Passwort-Hashing mit bcrypt (12 Runden)
  • Verfügbarkeit: Automatische Backups, Multi-Region-Hosting, Monitoring
  • Pseudonymisierung: Interne Referenzen über anonyme IDs statt Klarnamen
  • Protokollierung: Zugriffslogs mit automatischer Löschung nach 7 Tagen
  • Regelmäßige Überprüfung: Kontinuierliche Verbesserung der Sicherheitsmaßnahmen

13. Datenschutz bei Minderjährigen

Unser Dienst richtet sich an Vereinsverantwortliche (Vorstände, Platzwarte, Trainer) und nicht an Minderjährige. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Falls Vereinsdaten Namen von minderjährigen Spielern enthalten, ist der Verein als verantwortliche Stelle für die Einholung der Einwilligung der Erziehungsberechtigten zuständig.

14. Automatisierte Entscheidungsfindung und Profiling

Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt. Unsere KI-Optimierung für Trainingszeiten trifft keine rechtsverbindlichen Entscheidungen, sondern generiert Vorschläge, die vom Nutzer manuell bestätigt werden müssen.

15. Datenpanne (Art. 33, 34 DSGVO)

Im Falle einer Verletzung des Schutzes personenbezogener Daten (Datenpanne) werden wir:

  • Die zuständige Aufsichtsbehörde (LfDI Niedersachsen) unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden benachrichtigen (Art. 33 DSGVO)
  • Betroffene Nutzer unverzüglich informieren, sofern die Datenpanne voraussichtlich ein hohes Risiko für deren persönliche Rechte und Freiheiten darstellt (Art. 34 DSGVO)
  • Den Vorfall dokumentieren und Gegenmaßnahmen ergreifen

16. SSL/TLS-Verschlüsselung

Diese Webseite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL/TLS-Verschlüsselung (HTTPS). Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von “http://” auf “https://” wechselt und am Schloss-Symbol in Ihrer Browserzeile.

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version finden Sie stets unter vereinsneo.de/datenschutz. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.

18. Kontakt für Datenschutzanfragen

Für alle Fragen zum Datenschutz, Auskunftsersuchen oder die Ausübung Ihrer Rechte wenden Sie sich bitte an:

Michael Blautzik
E-Mail: datenschutz@vereinsneo.de
Telefon: +49 176 4575 6276
Kampstr. 113, 30629 Hannover

Wir bemühen uns, Ihre Anfrage innerhalb von 30 Tagen gemäß Art. 12 Abs. 3 DSGVO zu beantworten.

Stand: März 2026 · Diese Datenschutzerklärung wird regelmäßig überprüft und bei Bedarf angepasst.