Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Oliver Vogelhuber GmbH i. L.
Schirmgasse 273/274
84028 Landshut

E-Mail: mail@vogelhuber.de

Wir verarbeiten personenbezogene Daten nur, soweit dies gesetzlich erlaubt ist oder Sie in die Datenverarbeitung eingewilligt haben. Als Rechtsgrundlagen dienen uns insbesondere:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. Newsletter-Anmeldung)
• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung oder vorvertragliche Maßnahmen (z. B. Nutzerkonto, Zahlungsabwicklung, KI-Coaching)
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen (z. B. Fehlerverfolgung, sicherer Betrieb)

Anbieter: Vercel Inc., 340 Pine Street, Suite 701, San Francisco, CA 94104, USA.

Datenkategorien: IP-Adresse, Browser-Typ, Betriebssystem, Referrer-URL, aufgerufene URL, Datum und Uhrzeit des Zugriffs (Server-Logfiles).

Zweck: Technische Bereitstellung und Absicherung der Website.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Betrieb).

Speicherdauer: Server-Logfiles werden von Vercel in der Regel für maximal 30 Tage gespeichert.

Drittlandtransfer: Vercel ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO). Die Zertifizierung kann unter dataprivacyframework.gov eingesehen werden.

Datenkategorien: E-Mail-Adresse, Zeitpunkt der Anmeldung, IP-Adresse (zum Nachweis der Einwilligung), gewählte Sprache, Einwilligungstext und -version, Zeitpunkt der Bestätigung.

Zweck: Versand von Neuigkeiten und Informationen zum Produktlaunch von Psycho Match.

Double-Opt-In: Wir verwenden das Double-Opt-In-Verfahren. Nach Ihrer Anmeldung erhalten Sie eine Bestätigungs-E-Mail mit einem Bestätigungslink. Erst nach Klick auf diesen Link und aktiver Bestätigung wird Ihre Anmeldung wirksam.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden — über den Abmeldelink in jedem Newsletter.

Speicherdauer: Nicht bestätigte Anmeldedaten werden regelmäßig, spätestens nach 30 Tagen gelöscht. Bestätigte Anmeldedaten werden bis zum Widerruf der Einwilligung gespeichert und danach unverzüglich gelöscht.

Dienstleister: Brevo (Sendinblue SAS, 55 rue d'Amsterdam, 75008 Paris, Frankreich). Brevo ist in der EU ansässig und der DSGVO unmittelbar unterworfen. Brevo verarbeitet Ihre E-Mail-Adresse ausschließlich im Rahmen eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.

E-Mail-Tracking: Brevo erfasst standardmäßig anonymisierte Statistiken über E-Mail-Öffnungen und Link-Klicks (Öffnungsrate, Klickrate), ohne dass eine Zuordnung zu einzelnen Empfängern erfolgt. Diese anonymisierten Daten dienen ausschließlich der Messung der Wirksamkeit des Newsletters. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Erfolgsmessung).

Erforderlichkeit: Die Angabe der E-Mail-Adresse ist freiwillig. Ohne sie kann der Newsletter nicht versendet werden.

Datenkategorien: E-Mail-Adresse, ggf. Name und Profilbild (bei Google-Anmeldung); im Rahmen der Nutzung: Händigkeit, Spielstärke, Spielhäufigkeit, bevorzugter Belag, Spielertyp, Anrede, Länderkennzeichen, Spracheinstellung.

Zweck: Bereitstellung des Nutzerkontos, Personalisierung des Coaching-Erlebnisses, Speicherung von Gegner-Profilen und Match-Verlauf.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Kontodaten werden für die Dauer der Vertragsbeziehung gespeichert. Nach Löschung des Kontos werden die Daten unverzüglich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Empfänger:

• Supabase Inc. (San Francisco, USA) — Datenbank und Authentifizierung. Transfer auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Die DPA ist unter supabase.com/legal/dpa einsehbar.
• Google Ireland Ltd. (Dublin, Irland) — Bei Anmeldung über Google OAuth werden E-Mail-Adresse, Name und Profilbild von Google übermittelt. Google ist als in der EU ansässiges Unternehmen der DSGVO unmittelbar unterworfen. Datenschutzerklärung: policies.google.com/privacy.

Erforderlichkeit: Die Angabe der E-Mail-Adresse ist zur Nutzung des geschützten Bereichs vertraglich erforderlich. Ohne Registrierung können die App-Funktionen (Match-Tracking, KI-Coaching) nicht genutzt werden. Der öffentliche Demo-Bereich ist ohne Registrierung zugänglich.

Datenkategorien: Chat-Nachrichten, Spielstand, Spielertyp, Gegner-Profil, Match-Kontext.

Zweck: Generierung personalisierter KI-Coaching-Antworten während und nach dem Match.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: An die API übermittelte Daten werden von OpenAI für maximal 30 Tage zum Zweck der Missbrauchserkennung aufbewahrt und danach gelöscht. Es erfolgt kein Training von KI-Modellen mit API-Daten (API-Nutzungsbedingungen, Standard-Einstellung).

Empfänger: OpenAI Ireland Ltd. (Dublin, Irland) als Vertragspartner für EWR-Kunden. Bei Weiterleitung an OpenAI-Gesellschaften in den USA erfolgt der Transfer auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, die Bestandteil der OpenAI DPA sind. Die DPA ist unter openai.com/policies/data-processing-addendum einsehbar.

Datenkategorien: Zahlungsdaten (z. B. Kreditkartennummer, Ablaufdatum), E-Mail-Adresse, Transaktionsdaten.

Zweck: Abwicklung kostenpflichtiger Abonnements.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Empfänger: Stripe Technology Europe Ltd. (Dublin, Irland) ist die vertragliche Gegenpartei für EWR-Nutzer und als in der EU ansässiges Unternehmen der DSGVO unmittelbar unterworfen. Stripe verarbeitet Zahlungsdaten sowohl als Auftragsverarbeiter (für die Zahlungsabwicklung in unserem Auftrag) als auch als eigenständiger Verantwortlicher (für eigene Pflichten aus Zahlungsregulierung, Betrugsprävention und Compliance). Wir selbst speichern keine Kreditkarten- oder Kontodaten, sondern erhalten lediglich Informationen über den Zahlungsstatus und die Stripe-Kundennummer.

Drittlandtransfer: Stripe, LLC (USA) ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Ergänzend sind EU-Standardvertragsklauseln Bestandteil der Stripe Data Transfers Addendum. Datenschutzerklärung: stripe.com/de/privacy.

Speicherdauer: Transaktionsdaten werden von Stripe gemäß gesetzlicher Aufbewahrungsfristen (z. B. steuerrechtlich) gespeichert. Unsererseits wird die Stripe-Kundennummer für die Dauer der Vertragsbeziehung gespeichert.

Erforderlichkeit: Die Angabe von Zahlungsdaten ist für den Abschluss eines kostenpflichtigen Abonnements vertraglich erforderlich. Ohne Zahlungsdaten kann kein Abonnement abgeschlossen werden.

Datenkategorien: Fehlermeldungen, Stack-Traces, Browser-Typ, Betriebssystem, aufgerufene URL, Zeitstempel. Bei Auftreten eines Fehlers zusätzlich: anonymisierte Session-Replay-Aufzeichnung (Mausbewegungen, Klicks, Scrollverhalten). Alle Textinhalte werden dabei vor Übertragung maskiert, Medieninhalte geblockt. IP-Adressen werden nicht vollständig übermittelt.

Zweck: Erkennung und Behebung technischer Fehler, Nachvollziehbarkeit des Fehlerkontexts.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem fehlerfreien und stabilen Betrieb). Wir haben den Datenzugriff auf das technisch Notwendige beschränkt (kein Browser-Profiling, keine Aufzeichnung regulärer Sitzungen, nur Error-Replay mit vollständiger Textmaskierung).

Speicherdauer: Fehler-Events werden von Sentry für 90 Tage gespeichert. Session-Replay-Aufzeichnungen werden für 30 Tage vorgehalten.

Empfänger: Functional Software Inc. (Sentry), 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA.

Drittlandtransfer: Sentry ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss gemäß Art. 45 DSGVO). Die Zertifizierung kann unter dataprivacyframework.gov eingesehen werden.

Wir setzen keine Tracking-, Analyse- oder Marketing-Cookies ein.

Cookies: Zur Verwaltung der Anmeldesitzung setzt Supabase Auth ein Session-Cookie. Dieses Cookie ist für den Betrieb des geschützten App-Bereichs technisch unbedingt erforderlich im Sinne von § 25 Abs. 2 Nr. 2 TDDDG (Speicherung, die für einen vom Nutzer ausdrücklich gewünschten Telemediendienst unbedingt erforderlich ist).

localStorage: Im Browser werden folgende Schlüssel gespeichert:

• tennis_language — Die gewählte Sprache der Benutzeroberfläche (de/en/fr). Technisch unbedingt erforderlich für die Darstellung der vom Nutzer gewählten Sprache (§ 25 Abs. 2 Nr. 2 TDDDG).
• tennis_quiz_result — Das Ergebnis des öffentlichen Demo-Persönlichkeitstests. Dieser Wert wird ausschließlich im nicht-authentifizierten Demo-Bereich gespeichert und dient dazu, das vom Nutzer aktiv angeforderte Quiz-Ergebnis über den Seitenaufruf hinaus bereitzuhalten. Ohne diese Speicherung ginge das Ergebnis beim Verlassen der Seite verloren. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG. Im authentifizierten App-Bereich wird das Quiz-Ergebnis serverseitig in der Datenbank gespeichert; localStorage wird dort nicht verwendet.

Wir setzen folgende Auftragsverarbeiter ein. Mit allen wurde ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen. Die jeweilige Rechtsgrundlage für Drittlandtransfers ist nachfolgend angegeben:

• Vercel Inc. (USA) — Hosting. Transfer auf Grundlage des EU-U.S. Data Privacy Framework (DPF, Angemessenheitsbeschluss gemäß Art. 45 DSGVO).
• Supabase Inc. (USA) — Datenbank und Authentifizierung. Transfer auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). DPA: supabase.com/legal/dpa.
• OpenAI Ireland Ltd. (Irland/USA) — KI-Coaching. Vertragspartner für EWR-Kunden ist die irische Gesellschaft; bei Weiterleitung in die USA auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
• Stripe Technology Europe Ltd. (Irland/USA) — Zahlungsabwicklung. Vertragspartner ist die irische Gesellschaft; Transfer in die USA auf Grundlage des EU-U.S. Data Privacy Framework (DPF) und ergänzend EU-Standardvertragsklauseln.
• Functional Software Inc. (Sentry) (USA) — Fehlerverfolgung und Session Replay (nur bei Fehlern). Transfer auf Grundlage des EU-U.S. Data Privacy Framework (DPF, Angemessenheitsbeschluss gemäß Art. 45 DSGVO).
• Sendinblue SAS (Brevo) (Frankreich, EU) — Newsletter-Versand. Brevo ist in der EU ansässig und der DSGVO unmittelbar unterworfen; kein Drittlandtransfer.
• Google Ireland Ltd. (Irland, EU) — Social Login (OAuth). Google ist in der EU ansässig und der DSGVO unmittelbar unterworfen.

Hinweis zum DPF: Das EU-U.S. Data Privacy Framework beruht auf einem Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 (Art. 45 DSGVO). Zertifizierte Unternehmen bieten ein von der EU als angemessen anerkanntes Datenschutzniveau. Die Zertifizierung der genannten Unternehmen kann unter dataprivacyframework.gov eingesehen werden.

Als betroffene Person haben Sie nach der DSGVO folgende Rechte:

• Auskunftsrecht (Art. 15 DSGVO) — Auskunft über die verarbeiteten Daten
• Berichtigungsrecht (Art. 16 DSGVO) — Berichtigung unrichtiger Daten
• Löschungsrecht (Art. 17 DSGVO) — Löschung, soweit keine Aufbewahrungspflichten entgegenstehen
• Einschränkung der Verarbeitung (Art. 18 DSGVO) — unter bestimmten Voraussetzungen
• Datenübertragbarkeit (Art. 20 DSGVO) — Erhalt Ihrer Daten in maschinenlesbarem Format
• Widerspruchsrecht (Art. 21 DSGVO) — Widerspruch gegen Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO

Soweit die Verarbeitung auf einer Einwilligung beruht (Art. 6 Abs. 1 lit. a DSGVO), haben Sie das Recht, die Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an: mail@vogelhuber.de

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach

E-Mail: poststelle@lda.bayern.de
Website: www.lda.bayern.de

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes sowie der Datenverarbeitung anzupassen. Die jeweils aktuelle Fassung ist stets auf dieser Seite abrufbar.

Stand: April 2026