Geltungsbereich Diese Erklärung informiert über die Verarbeitung personenbezogener Daten bei Nutzung: der Website sportypost.io und ihrer Unterseiten, der SaaS-Plattform „Sportypost“ (Web-App), eingebundener Integrationen (u. a. Meta/Facebook/Instagram, Stripe, Brevo, Calendly, Close CRM). Begriffe wie „Verarbeitung“, „personenbezogene Daten“, „Verantwortlicher“, „Auftragsverarbeiter“ entsprechen Art. 4 DSGVO.

3. Rollen nach DSGVO (Controller/Processor) Wir als Verantwortlicher (Art. 4 Nr. 7 DSGVO) für alle Daten, die zur Bereitstellung, Abrechnung, Sicherheit und Verbesserung von Sportypost erforderlich sind (z. B. Vertrags- und Kontaktdaten, Nutzungs-/Log-Daten, Abrechnungsdaten). Wir als Auftragsverarbeiter (Art. 28 DSGVO) für Inhalte, die Vereine in Sportypost verarbeiten (z. B. Mitglieder-, Sponsoren-, Media-Daten).

➜ Mit jedem Verein schließen wir auf Wunsch einen Auftragsverarbeitungsvertrag (AVV). Anfrage an datenschutz@sportypost.io.

4. Datenkategorien und Zwecke 4.1 Website & technische Bereitstellung Kategorien: IP-Adresse, Datum/Uhrzeit, URL, Referrer, User-Agent, HTTP-Status, übertragene Bytes (Server-Logfiles). Zweck: Betrieb/Sicherheit der Systeme, Missbrauchs-/Angriffserkennung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Speicherdauer: i. d. R. 7–14 Tage; längere Speicherung nur fallbezogen zu Beweiszwecken.

4.2 Registrierung & Konto Kategorien: Vereins-/Unternehmensname, Kontaktperson, E-Mail, optionale Telefondaten, Zugangsdaten (Hash), Rollen/Rechte. Zweck: Kontoanlage, Authentifizierung, Nutzerverwaltung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Vertragslaufzeit; danach gemäß Ziff. 12.

4.3 Nutzung der SaaS-Funktionen Kategorien: Vereinsdaten (Name, Adresse, Ansprechpartner), Mitgliederdaten (Name, Position, optional E-Mail/Telefon/Trikotnr.; sensible Daten werden nicht verlangt), Sponsoren (Name, Anschrift, Ansprechperson, Vertrags-/Leistungsdaten, Brutto/Netto-Angaben), Content im Postgenerator (Logos, Bilder, Texte, Vorlagen, Planungen), Interne Kommunikation (Notizen, Aktivitätslogs), Zugriffs-/Nutzungsdaten (Zeitpunkte, Aktionen, Rollen). Zwecke: Erbringung der vertraglichen Leistungen (Content-Automatisierung, Mitglieder-/Sponsoren-Verwaltung, Rechte-/Rollen, Reporting), Qualität/Sicherheit, Support. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (Vertrag), lit. f (Betrieb/IT-Sicherheit). Hinweis Minderjährige: Vereine, die Daten Minderjähriger verarbeiten, müssen dafür die erforderlichen Einwilligungen/Grundlagen sicherstellen. Wir verlangen keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO).

4.4 Kommunikation & Support Kategorien: E-Mails, Support-Tickets, Inhalts-/Metadaten, Rückrufwünsche. Zweck: Bearbeitung von Anfragen, Kundenservice, Fehleranalyse. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b/f DSGVO. Speicherdauer: Regelmäßig 3 Jahre (regelmäßige Verjährung).

4.5 Abrechnung & Zahlungen (Stripe) Kategorien: Name, Rechnungsadresse, Umsatzsteuer-ID, E-Mail, Zahlungsinformationen (über Zahlungsdienstleister), Transaktionsdaten. Zweck: Vertragsabwicklung, Abrechnung, Buchführung, Steuer. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b/c DSGVO. Speicherdauer: handels-/steuerrechtlich 6/10 Jahre (§ 257 HGB/§ 147 AO).

5. Cookies, Einwilligungen, Consent-Management Wir setzen notwendige Cookies (Login-/Sitzungs-/Sicherheits-Cookies) und – nur nach Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Komfort/Analyse/Marketing-Cookies (z. B. Google Analytics, Meta Pixel) ein. Ihre Auswahl treffen/ändern Sie im Cookie-Banner (Consent-Management). Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden. Das Blockieren von Cookies kann die Funktionalität einschränken.

6. Hosting & IT-Sicherheit Amazon Web Services EMEA SARL, Zweigniederlassung Deutschland, Krausenstr. 38, 10117 Berlin; Serverstandort: Frankfurt am Main (DE). AV-Vertrag gem. Art. 28 DSGVO; technische und organisatorische Maßnahmen (Art. 32 DSGVO): TLS-Verschlüsselung, Zugriffs-/Rollen-/Rechtekonzept, Hashing von Passwörtern, Backup/Recovery, Protokollierung, Least-Privilege, Need-to-Know.

7. Meta-Integration (Facebook & Instagram) 7.1 Beschreibung Sie können Ihre Facebook-Seite bzw. Instagram-Business-Konten mit Sportypost verbinden. Dadurch kann Sportypost in Ihrem Auftrag: Inhalte (Texte, Bilder, Videos) planen und veröffentlichen, Statistiken/Insights zu Seiten/Beiträgen abrufen.

7.2 Verarbeitete Daten Öffentliche Profil-/Seiteninformationen (Name, ID, Profilbild), Zugriffstoken (API-Tokens) und technische Metadaten, Hochgeladene Inhalte (Texte/Bilder/Videos) zur Veröffentlichung, Interaktions-/Leistungsdaten (Reichweite, Likes, Kommentare – soweit durch APIs bereitgestellt).

7.3 Zwecke & Rechtsgrundlagen Zweck: Erbringung der gewählten Funktionen (Automatisierung, Planung, Performance-Analyse) in Ihrem Auftrag; keine Nutzung zu eigenen Werbezwecken. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.4 Speicherdauer & Widerruf Zugriffstoken speichern wir nur, solange die Verbindung aktiv ist; sie werden bei Trennung (In-App „Integration trennen“) unverzüglich gelöscht. Inhalte/Protokolle verbleiben im Rahmen Ihres Kontos, sofern keine Löschung veranlasst wird (siehe Ziff. 12).

7.5 Datenübermittlung in Drittländer Meta Platforms, Inc. (USA) kann Zugriff erhalten; Übermittlung auf Basis der Standardvertragsklauseln (Art. 46 DSGVO). Weitere Informationen: Datenschutz von Meta.

7.6 Ihre Kontrolle Verbindung jederzeit in Sportypost lösen (Einstellungen → Integrationen). Alternativ in den Facebook/Instagram-Einstellungen (Business Integrations / Apps and Websites) Zugriff entfernen. Zusätzlich können Sie Löschung per E-Mail an datenschutz@sportypost.io verlangen (siehe „Meta Data Deletion Instructions“ unten). Hinweis: Sportypost nutzt die Meta-APIs ausschließlich, um von Ihnen ausgelöste Funktionen auszuführen. Wir lesen/verarbeiten nur die jeweils erforderlichen Berechtigungen.

8. Eingesetzte Drittanbieter-Dienste 8.1 Zahlungsdienst: Stripe Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin, Irland; verbundene Unternehmen in den USA. Zweck: Zahlungsabwicklung (Trial, Abos), Betrugsprävention, Rechnungsstellung. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b/c DSGVO; Drittlandtransfer über SCC. Hinweis: Zahlungsdaten werden PCI-DSS-konform bei Stripe verarbeitet; wir erhalten keine vollständigen Kartendaten.

8.2 E-Mail/Transaktionsmails/Newsletter: Brevo (Sendinblue) Sendinblue/ Brevo GmbH, Köpenicker Str. 126, 10179 Berlin (Server i. d. R. EU). Zweck: Transaktions- und Informationsmails, ggf. Newsletter (Double-Opt-In). Rechtsgrundlagen: Art. 6 Abs. 1 lit. b/a DSGVO.

8.3 Terminplanung: Calendly Calendly LLC, 271 17th St NW, Ste 1000, Atlanta, GA 30363, USA. Zweck: Buchung freiwilliger Gesprächstermine. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b/a DSGVO; Drittlandtransfer über SCC.

8.4 CRM: Close (Elastic Inc.) Elastic Inc., 548 Market St #62411, San Francisco, CA 94104, USA. Zweck: Lead-/Kundenverwaltung, Sales-Prozesse. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (effiziente Kommunikation); Drittlandtransfer über SCC.

8.5 Analyse & Marketing (nur mit Einwilligung) Google Analytics – Google Ireland Ltd., Dublin, Irland; Google LLC, USA Funktion: Nutzungsanalyse; IP-Anonymisierung; ggf. Consent Mode. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Speicherung: gemäß Einstellungen, z. B. 14 Monate. Meta Pixel – Meta Platforms Ireland Ltd., Dublin, Irland; Meta Inc., USA Funktion: Kampagnen-Messung/Retargeting; nur nach Consent. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Konkrete Cookies/Parameter und Laufzeiten werden im Cookie-Banner ausgewiesen.

9. Empfänger von Daten Auftragsverarbeiter (Hosting/Cloud/Versand/Support) gem. Art. 28 DSGVO, Zahlungsdienstleister, CRM-/Termin-/E-Mail-Dienste (siehe Ziff. 8), Berater/Behörden soweit gesetzlich erforderlich (Steuer/Compliance), Gerichte/Anwälte im Anlassfall (Rechtsdurchsetzung/-verteidigung). Es findet keine Datenweitergabe zu eigenen Marketingzwecken Dritter statt.

10. Drittlandübermittlungen Soweit Daten in Drittländer (insb. USA) übermittelt werden, erfolgt dies auf Basis: Angemessenheitsbeschluss (sofern vorhanden) oder Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO i. V. m. ggf. zusätzlichen Maßnahmen. Details erhalten Sie auf Anfrage.

11. Verpflichtung zur Bereitstellung / Automatisierte Entscheidungen Die Bereitstellung grundlegender Daten (Konto, Vertrags-/Zahlungsdaten) ist für die Nutzung von Sportypost erforderlich. Ohne diese ist kein Vertragsschluss möglich. Automatisierte Entscheidungen/Profiling i. S. d. Art. 22 DSGVO finden nicht statt.

12. Speicherdauer & Löschung Kontodaten/Inhalte: Vertragslaufzeit; auf Wunsch Löschung/Export. Logfiles: i. d. R. 7–14 Tage. Support-Kommunikation: regelmäßig 3 Jahre (§ 195 BGB). Abrechnungs-/Steuerunterlagen: 6/10 Jahre (§ 257 HGB/§ 147 AO). Backups: rollierend; Daten werden mit der nächsten turnusmäßigen Rotation überschrieben. Meta-Tokens/Meta-Daten: sofortige Löschung nach Trennung (siehe Ziff. 7.4).

13. Ihre Rechte Sie haben jederzeit die Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21 DSGVO). Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Kontakt: datenschutz@sportypost.io

14. Beschwerderecht Sie können sich bei einer Datenschutz-Aufsichtsbehörde beschweren. Für Bayern z. B.: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, Deutschland.

15. Änderungen dieser Erklärung Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich technische, organisatorische oder rechtliche Rahmenbedingungen ändern. Es gilt die jeweils auf dieser Seite veröffentlichte Fassung.

16. Meta Data Deletion Instructions (English) Last updated: 08 August 2025 If you have connected your Facebook or Instagram account to Sportypost.io and you want to remove all data we have stored from that connection, you can do so at any time. We process your data only to provide the functions you have chosen (e.g., automated posting, retrieving statistics). We do not use your data for any other purposes. How to request data deletion Inside Sportypost.io Log in → Settings → Integrations → Facebook/Instagram → Disconnect Account. All associated access tokens and stored data will be deleted immediately. Via E-Mail Send an e-mail to datenschutz@sportypost.io with subject “Request for Meta Data Deletion”. We will confirm and delete all associated data within 72 hours. Via Facebook / Instagram settings Go to Facebook Settings → Business Integrations or Instagram Settings → Apps and Websites. Remove Sportypost.io. This revokes our access; we will delete all associated data within 72 hours.

Telefon: +49 151 41362963 E-Mail: datenschutz@sportypost.io