TeamFuchs

Datenschutzerklärung

Stand: 31.05.2026

1. Verantwortlicher

C-Folia Werbetechnik GmbH
Rudolf-Diesel-Str. 3
2000 Stockerau, Österreich
E-Mail: office@teamfuchs.at

Hinweis: Soweit du TeamFuchs als Mitglied eines Vereins nutzt, ist der jeweilige Verein Verantwortlicher im Sinne der DSGVO für die in seinem Auftrag erfassten Daten. Wir (C-Folia) sind Auftragsverarbeiter des Vereins gem. Art. 28 DSGVO.

2. Welche Daten werden erhoben?

Im Rahmen der Nutzung von TeamFuchs verarbeiten wir folgende personenbezogene Daten:

  • Stammdaten: Vorname, Nachname, E-Mail-Adresse, Geburtsdatum, Nationalität, Profilbild
  • Kontaktdaten: Telefonnummer(n) — bei minderjährigen Spielern zusätzlich die E-Mail-Adresse und Telefonnummer eines Erziehungsberechtigten (siehe § 12)
  • Vereinsfunktion (optional): Titel wie Obmann, Kassier, Schriftführer; jeder User entscheidet selbst, ob E-Mail, Telefon und Funktion im internen Vereinsteam und auf der öffentlichen Vereinsseite sichtbar sind
  • Team-spezifische Daten: Position, Trikotnummer, Status (verfügbar / verletzt / gesperrt) — pro Team eigene Werte, weil ein Spieler in mehreren Teams sein kann
  • Login & Account: Passwort als bcrypt-Hash (kein Klartext), Session-Tokens, Einladungs- und Passwort-Reset-Tokens
  • Nutzungsdaten: Login-Zeitpunkt, Dark-Mode-Einstellung, Standard-Team, bevorzugtes verknüpftes Konto
  • Kommunikation: Chat- und Direktnachrichten, Reaktionen, Anhänge, Umfragen (Polls — optional anonym) sowie Push- und Lesebestätigungen
  • Kalender & Teilnahme: Termine, Zu-/Absagen, Anwesenheitslisten, Trainings-/Spiel-Erinnerungen
  • Sportliche Daten: Aufstellungen, Spielstatistiken (Tore, Vorlagen, Karten, Spielminuten), Trainings-Anwesenheit, Achievements/Auszeichnungen
  • Inhalte: News-Beiträge, Spielberichte, Trainingsplaner-Übungen, Notizen, hochgeladene Bilder (vor Upload werden EXIF-Daten entfernt, sodass z.B. GPS-Koordinaten aus Smartphone-Fotos nicht gespeichert werden)
  • Zahlungsdaten: Beträge, Fälligkeit, Zahlungsstatus, Mollie-Transaktions-IDs (siehe § 5)
  • Push-Subscriptions: Browser-Push-Endpunkt nach W3C Web Push Standard (VAPID)
  • Verknüpfte Konten: Beziehungen zu anderen TeamFuchs-Accounts (siehe § 13)
  • Sponsor-Klick-Zähler (nur bei aktivem Sponsor-Modul): aggregierte Klick-Zahl pro Banner; keine User-Zuordnung, kein Tracking einzelner Nutzer

3. Zweck der Verarbeitung

  • Vereinsverwaltung: Spieler-, Team- und Mitgliederverwaltung
  • Kommunikation: Team- und Vereinschat, Direktnachrichten, Umfragen, Push- und E-Mail-Benachrichtigungen
  • Trainingsplanung: Kalender, Zu-/Absagen, Anwesenheit, Übungsplanung im Trainingsplaner
  • Spielbetrieb: Aufstellungen, Statistiken, Spielberichte
  • News-Feed innerhalb des Vereins, optional öffentlich auf der Vereinsseite
  • Zahlungsabwicklung: Mitgliedsbeiträge, Online-Zahlung via Mollie, Belegerstellung
  • Optionale öffentliche Landingpage des Vereins (nur bei aktivem Modul und User-/Verein-eigener Sichtbarkeits-Freigabe pro Eintrag)
  • Sponsor-Banner-Anzeige (nur bei aktivem Modul) inkl. aggregiertem Klick-Tracking

4. Rechtsgrundlage

Die Verarbeitung erfolgt auf Basis von:

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Vereinsmitgliedschaft, Nutzung der Plattform)
  • Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung (z.B. 7-jährige Aufbewahrungsfrist für Zahlungsbelege nach § 132 BAO)
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (Vereinsorganisation, Kommunikation, IT-Sicherheit)
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (Push- und E-Mail-Benachrichtigungen, optionale Sichtbarkeit auf öffentlicher Vereinsseite)
  • Bei Minderjährigen ergänzend Art. 8 DSGVO i.V.m. der Einwilligung der Erziehungsberechtigten (siehe § 12)

5. Zahlungsabwicklung (Mollie)

Für Online-Zahlungen nutzen wir den Zahlungsdienstleister Mollie B.V. (Keizersgracht 126, 1015 CW Amsterdam, Niederlande). Bei einer Online-Zahlung werden Zahlungsdaten direkt an Mollie übermittelt. Mollie verarbeitet diese Daten gemäß der eigenen Datenschutzerklärung.

Wir speichern lediglich die Transaktions-ID, den Zahlungsstatus und den Betrag. Kreditkarten- oder Bankdaten werden nicht auf unseren Servern gespeichert.

6. Push-Benachrichtigungen

Mit deiner Einwilligung senden wir Browser-Push-Benachrichtigungen über das Web-Push-Protokoll (VAPID). Dabei wird ein vom Browser generierter kryptographischer Subscription-Endpunkt gespeichert; dieser enthält selbst keine direkt identifizierenden Daten. Du kannst Push-Benachrichtigungen jederzeit in deinem Profil deaktivieren — der gespeicherte Endpunkt wird dann gelöscht.

7. E-Mail-Versand

Wir versenden E-Mails für: Einladungen, Passwort-Zurücksetzung, Zahlungsbelege und Erinnerungen (auf Anfrage des Trainers/Vereins). Der Versand erfolgt über unseren eigenen SMTP-Server mit Transportverschlüsselung (STARTTLS). Du kannst E-Mail-Benachrichtigungen jederzeit in deinem Profil deaktivieren — Pflicht-Mails wie Belege und Passwort-Reset bleiben davon ausgenommen.

8. Hosting

Unsere Webanwendung wird bei der Internex GmbH (Lagerstraße 15, 3950 Gmünd, Österreich) gehostet. Mit dem Hoster besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Internex setzt für die Bereitstellung der Rechenzentrums-Infrastruktur die FiberLink GmbH (1090 Wien, Österreich) als Sub-Auftragsverarbeiter ein. Sämtliche Server befinden sich in Österreich, alle Daten werden ausschließlich innerhalb der Europäischen Union verarbeitet.

9. Sicherheitsmaßnahmen (Art. 32 DSGVO)

Wir treffen folgende technische und organisatorische Maßnahmen:

  • Verschlüsselte Übertragung aller Daten über HTTPS/TLS
  • Passwörter werden ausschließlich als bcrypt-Hash mit individuellem Salt gespeichert
  • Session-Cookies mit den Schutzattributen HttpOnly, Secure und SameSite=Lax; Session-ID wird bei jedem Login neu vergeben
  • CSRF-Schutz durch Origin-/Referer-Prüfung bei allen schreibenden Aktionen
  • SQL-Injection-Schutz durch ausschließliche Verwendung von Prepared Statements
  • Upload-Validierung über MIME-Type-Erkennung (nicht Dateiendung), Allowlist pro Hochlade-Bereich, automatisches Entfernen von EXIF-Metadaten (z.B. GPS-Koordinaten) bei Bild-Uploads
  • Strikte Mandantentrennung: Daten verschiedener Vereine sind logisch getrennt; vereinsübergreifende Zugriffe sind in der App nicht möglich
  • Rollenbasierter Zugriff (Admin, Trainer, Spieler, Mitglied) mit fein granularen Permissions
  • Tägliche Datenbank-Backups (Retention 7+4+6 = täglich/wöchentlich/monatlich)
  • Automatisches Monitoring der App-Verfügbarkeit und der Hintergrundprozesse
  • Tägliche Fehler-Übersicht zur Erkennung systemischer Probleme

Eine detaillierte Beschreibung der technischen und organisatorischen Maßnahmen (TOM nach Art. 32 DSGVO) stellen wir auf Anfrage zur Verfügung.

10. Cookies & lokale Speicherung

TeamFuchs verwendet ausschließlich technisch notwendige Session-Cookies (HttpOnly, Secure, SameSite=Lax) für die Authentifizierung sowie wenige rein technische localStorage-Einträge im Browser für die Speicherung deiner Dark-Mode-Einstellung, des PWA-Installationsstatus und der zuletzt gewählten Chat-Ansicht. Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt. Ein Cookie-Consent-Banner ist daher nicht erforderlich.

11. Auftragsverarbeiter & Datenweitergabe

Mit allen externen Dienstleistern, die in Kontakt mit personenbezogenen Daten kommen, bestehen Auftragsverarbeitungsverträge gem. Art. 28 DSGVO:

  • Internex GmbH (3950 Gmünd, Österreich) — Hosting, Datenbank, Storage; setzt FiberLink GmbH (1090 Wien) als Sub-Auftragsverarbeiter ein
  • Mollie B.V. (Amsterdam, Niederlande) — Online-Zahlungsabwicklung; nur bei aktivem Online-Payments-Modul

Zur reinen App-Überwachung nutzen wir zusätzlich folgende Dienste, die keine personenbezogenen Daten verarbeiten (sie pingen lediglich technische Endpunkte ohne User-Bezug):

  • cron-job.org (Deutschland) — externer Trigger für unsere geplanten Hintergrundprozesse
  • healthchecks.io — Überwachung, dass Hintergrundprozesse fertig laufen
  • UptimeRobot — externes Verfügbarkeits-Monitoring

Eine darüber hinausgehende Weitergabe personenbezogener Daten an Dritte findet nicht statt.

12. Minderjährige Spieler & Erziehungsberechtigte

Für minderjährige Spieler kann anstelle einer eigenen E-Mail-Adresse des Kindes die E-Mail-Adresse eines Erziehungsberechtigten hinterlegt werden („Guardian-Pattern"). Anhand dieser Adresse legt das System optional einen sogenannten Guardian-Account an, über den die Eltern Push-Benachrichtigungen und Belege stellvertretend erhalten und bei Bedarf auf das Konto des Kindes zugreifen können.

Die Erfassung der Daten minderjähriger Spieler erfolgt durch den jeweiligen Verein (Vereinsadmin / Trainer). Der Verein ist als Verantwortlicher dafür zuständig, die erforderliche Einwilligung der Erziehungsberechtigten gem. Art. 8 DSGVO einzuholen.

13. Verknüpfte Konten

Personen, die in mehreren Vereinen aktiv sind (z.B. Spieler in zwei Vereinen, Trainer mit Doppelrolle) oder die mehrere Konten innerhalb desselben Vereins betreuen (z.B. Eltern mit mehreren Kindern), können ihre Konten miteinander verknüpfen. Verknüpfte Konten ermöglichen den schnellen Wechsel über einen Account-Switcher und synchronisieren das Passwort.

Die Verknüpfung erfordert die Bestätigung beider Konten. Du kannst Verknüpfungen jederzeit in deinem Profil unter Einstellungen → Konten wieder lösen.

14. Speicherdauer

Personenbezogene Daten werden gespeichert, solange dein Nutzerkonto besteht und eine aktive Vereinsmitgliedschaft vorliegt. Bei Löschung deines Kontos werden deine persönlichen Daten (Name, E-Mail, Telefon, Profilbild) innerhalb von 30 Tagen aus der aktiven Datenbank entfernt. Sportliche Statistiken werden anonymisiert als „Gelöschter Spieler" für die Vereinshistorie beibehalten — ein Personenbezug ist dann nicht mehr möglich.

Backup-Daten enthalten je nach Erstellungs-Zeitpunkt noch ältere Datenstände; diese werden automatisch nach unserer Backup-Retention (7 tägliche, 4 wöchentliche, 6 monatliche Snapshots, danach Löschung) ausrollend gelöscht.

Gesetzliche Aufbewahrungsfristen gehen einer Löschung vor: insbesondere Zahlungsbelege und Buchhaltungsdaten werden gem. § 132 BAO sieben Jahre aufbewahrt.

15. Deine Rechte

Du hast jederzeit das Recht auf:

  • Auskunft über deine gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung deiner Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Auskunft & Datenübertragbarkeit (Art. 15 + 20): als eingeloggter Nutzer kannst du deine Daten jederzeit selbst als JSON-Datei unter Einstellungen → Sicherheit herunterladen.

Löschung & Berichtigung (Art. 16 + 17): Stammdaten kannst du direkt im Profil ändern. Dein Konto kannst du eigenständig unter Einstellungen → Sicherheit löschen (Soft-Delete: persönliche Daten werden entfernt, sportliche Statistiken anonymisiert).

Sichtbarkeit deiner Kontaktdaten im Vereinsteam und auf der öffentlichen Vereinsseite kannst du pro Feld einzeln (E-Mail / Telefon / Vereinsfunktion) in deinen Einstellungen kontrollieren.

Für andere Anliegen oder bei Fragen wende dich an: office@teamfuchs.at

16. Beschwerderecht

Du hast das Recht, dich bei einer Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde ist:

Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
www.dsb.gv.at

Impressum · AGB · Zurück zur Startseite