← Zurück zur App
🛡️

Auftragsverarbeitung & TOM für Vereine

Stand: Mai 2026

Diese Seite fasst zusammen, wie der Anbieter Vereinsdaten im Auftrag verarbeitet und welche technischen und organisatorischen Maßnahmen er trifft. Sie dient als Grundlage für den Abschluss eines Auftragsverarbeitungsvertrags (AVV) und kann auf Anfrage als gesondertes Dokument zur Verfügung gestellt werden. Maßgeblich ist im Zweifel der individuell abgeschlossene AVV.
Inhalt
1

Hintergrund & Rollen

Tragen Vereine, Trainer oder Betreuer in der App „Meine Mannschaft“ personenbezogene Daten Dritter ein – etwa Spieler-, Bewertungs-, Mess-, Trainings- und Anwesenheitsdaten –, verarbeitet der Anbieter diese Daten im Auftrag des Vereins. Es liegt damit eine Auftragsverarbeitung nach Art. 28 DSGVO vor.

  • Verantwortlicher im Sinne der DSGVO ist der jeweilige Verein (bzw. die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet).
  • Auftragsverarbeiter ist Heine Computer · Inhaber Peter Heine · Konrad-Adenauer-Str. 140B · 52223 Stolberg · peter@heine-computer.de.
  • Der Anbieter verarbeitet die Daten ausschließlich nach dokumentierter Weisung des Vereins und nicht für eigene Zwecke.

Allgemeine Hinweise zur Datenverarbeitung enthält die Datenschutzerklärung; die vertraglichen Rahmenbedingungen ergeben sich aus den Nutzungsbedingungen / AGB.

2

Gegenstand & Dauer der Verarbeitung

Gegenstand ist die Bereitstellung und der Betrieb der App zur Organisation von Mannschaften, Spielern, Trainings, Spieltagen, Messwerten, Bewertungen und Aufstellungen sowie damit verbundene technische Unterstützungsleistungen.

Dauer: Die Verarbeitung erfolgt für die Laufzeit des Nutzungs- bzw. Abonnementvertrags zwischen Verein und Anbieter. Nach Vertragsende werden die im Auftrag verarbeiteten Daten nach Maßgabe des Lösch- und Aufbewahrungskonzepts (Abschnitt 9) gelöscht oder zurückgegeben, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.

3

Art, Zweck, Datenkategorien & betroffene Personen

Art und Zweck der Verarbeitung

Erheben, Erfassen, Speichern, Strukturieren, Anzeigen, Auswerten, Verändern, Übermitteln innerhalb der App, Exportieren und Löschen von Daten – zum Zweck der Mannschafts- und Vereinsorganisation, der Leistungserfassung sowie der Aufstellungs- und Trainingsplanung.

Kategorien personenbezogener Daten

  • Bestandsdaten von Nutzerkonten (Name, E-Mail-Adresse, Rollen, Zuordnungen)
  • Stammdaten von Spielern (Name, Jahrgang/Geburtsdatum, Position, starker Fuß, Körperdaten, Fotos)
  • Leistungs- und Messdaten (Sprint-, Technik-, Ausdauer- und Athletikwerte)
  • Trainingsdaten (Termine, Schwerpunkte, Anwesenheiten, Notizen)
  • Spielerbewertungen (Peer- und Trainer-Bewertungen pro Attribut)
  • Spieltags- und Organisationsdaten (Zu-/Absagen, Aufstellungen, Fahrgemeinschaften)
  • technische Protokolldaten (IP-Adresse, Zeitpunkt, aufgerufene Seite, Browserinformationen)

Kategorien betroffener Personen

  • Spieler (auch Minderjährige)
  • Trainer und Betreuer
  • Vereinsverantwortliche und sonstige berechtigte Nutzer
  • ggf. Erziehungsberechtigte, soweit als Kontakt hinterlegt
⚠️ Hinweis zu besonderen und sensiblen Daten

Gesundheits-, Verletzungs- oder vergleichbar sensible Angaben sollten nur erfasst werden, wenn hierfür eine tragfähige Rechtsgrundlage besteht. Der Verein ist für die Zulässigkeit der von ihm eingegebenen Daten verantwortlich.

4

Pflichten des Auftragsverarbeiters

Der Anbieter verpflichtet sich insbesondere:

  • personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Vereins zu verarbeiten;
  • die mit der Verarbeitung befassten Personen zur Vertraulichkeit zu verpflichten;
  • die in Abschnitt 5 beschriebenen technischen und organisatorischen Maßnahmen umzusetzen und fortlaufend zu überprüfen;
  • Unterauftragsverarbeiter nur unter den Voraussetzungen des Art. 28 Abs. 2 und 4 DSGVO einzusetzen (siehe Abschnitt 6);
  • den Verein bei der Wahrung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) angemessen zu unterstützen;
  • den Verein bei Datenschutz-Folgenabschätzungen, Meldungen von Datenschutzverletzungen und Anfragen von Aufsichtsbehörden zu unterstützen;
  • dem Verein die zur Einhaltung des Art. 28 DSGVO erforderlichen Informationen bereitzustellen und Überprüfungen (z. B. Selbstauskünfte, Nachweise) zu ermöglichen;
  • nach Wahl des Vereins die Daten nach Abschluss der Leistung zu löschen oder zurückzugeben, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.
5

Technische und organisatorische Maßnahmen (TOM)

Der Anbieter trifft – unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Risiken für die betroffenen Personen – angemessene Maßnahmen nach Art. 32 DSGVO. Dazu gehören insbesondere:

BereichMaßnahmen
Zutrittskontrolle Betrieb in gesicherten Rechenzentren des Hosting-Dienstleisters mit Zutrittsschutz, Bewachung und Zugangskontrollen; keine eigene Server-Hardware beim Anbieter.
Zugangskontrolle Persönliche Benutzerkonten mit Passwörtern (gehasht gespeichert), Schutz vor Brute-Force durch Rate-Limiting, Sperrmöglichkeiten, Schutz von Verwaltungs-/Setup-Zugängen, Transportverschlüsselung (HTTPS/TLS).
Zugriffskontrolle Rollen- und rechtebasiertes Berechtigungsmodell (siehe Abschnitt 7); Zugriff nur auf Daten der zugeordneten Mannschaft/des Vereins; serverseitige Prüfung jeder Anfrage; Need-to-know-Prinzip auch für administrative Zugriffe.
Trennungskontrolle Logische Mandantentrennung pro Verein/Mannschaft; getrennte Behandlung von Test-/Pilot- und Produktivdaten; getrennte Verarbeitung nach Verwendungszweck.
Weitergabe-/Übertragungskontrolle Verschlüsselte Übertragung über TLS; keine Übermittlung an Dritte außerhalb der eingesetzten Auftragsverarbeiter; Datenverarbeitung innerhalb des Geltungsbereichs der DSGVO.
Eingabekontrolle Nachvollziehbarkeit von Erstellung und Änderung relevanter Datensätze über Zeitstempel und – wo vorgesehen – Zuordnung zum handelnden Konto; Server-Logfiles für sicherheitsrelevante Vorgänge.
Verfügbarkeitskontrolle Regelmäßige Sicherungen (siehe Abschnitt 10), Schutzmaßnahmen der Hosting-Infrastruktur, Aktualisierung eingesetzter Software, Monitoring auf Fehler.
Auftragskontrolle Verarbeitung nur nach Weisung des Vereins; sorgfältige Auswahl und vertragliche Bindung von Unterauftragsverarbeitern; dokumentierte Verträge zur Auftragsverarbeitung.
Belastbarkeit & Wiederherstellbarkeit Möglichkeit zur Wiederherstellung der Verfügbarkeit und des Zugangs zu Daten nach einem Zwischenfall in angemessener Zeit (Restore aus Sicherungen).
Datenminimierung & Pseudonymisierung Erhebung nur der für den jeweiligen Zweck erforderlichen Daten; Pseudonymisierung, soweit für den Verarbeitungszweck möglich; keine Tracking-, Analyse- oder Werbe-Tools.
Überprüfung & Evaluierung Regelmäßige Überprüfung und – bei Bedarf – Anpassung der Maßnahmen; Aktualisierung bei geänderter Risikolage oder Funktionsumfang.

Der Anbieter kann einzelne Maßnahmen weiterentwickeln, solange das Schutzniveau dadurch nicht unterschritten wird. Eine jeweils aktuelle Fassung der TOM wird Vereinen auf Anfrage zur Verfügung gestellt.

6

Hosting & Unterauftragsverarbeiter

Die App wird auf Servern der Strato AG, Pascalstraße 10, 10587 Berlin, betrieben. Mit dem Hosting-Dienstleister besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Die Datenverarbeitung findet ausschließlich innerhalb des Geltungsbereichs der DSGVO (EU/EWR) statt.

Der Einsatz weiterer Unterauftragsverarbeiter erfolgt nur unter Beachtung von Art. 28 Abs. 2 und 4 DSGVO. Über beabsichtigte Änderungen in Bezug auf Unterauftragsverarbeiter wird der Verein informiert; ihm steht insoweit ein Widerspruchsrecht zu. Eine aktuelle Liste der eingesetzten Unterauftragsverarbeiter wird auf Anfrage bereitgestellt.

7

Rollen- und Rechtemodell

Der Zugriff auf Daten ist über ein rollenbasiertes Berechtigungsmodell geregelt. Rechte werden pro Mannschaft bzw. Verein vergeben; eine Person kann mehrere Rollen innehaben. Maßgeblich ist stets, welcher Mannschaft/welchem Verein ein Konto zugeordnet ist.

RolleTypischer Zugriff
System-Administrator Technische Verwaltung der Installation; Zugriff aus betrieblichen Gründen nach dem Need-to-know-Prinzip und auf Weisung; keine Nutzung von Vereinsdaten zu eigenen Zwecken.
Vereinsadministrator Verwaltung der Mannschaften, Nutzer, Rollen und Zuordnungen des eigenen Vereins; Anstoßen von Einladungen; Löschung von Mannschaften des Vereins.
Trainer Verwaltung von Kader, Messwerten, Bewertungen, Trainings, Aufstellungen und Spieltagen der eigenen Mannschaft(en); Einladung von Spielern/Betreuern.
Betreuer Unterstützung bei Anwesenheiten, Spieltagsorganisation und organisatorischen Aufgaben der zugeordneten Mannschaft.
Spieler Einsicht in eigene Daten, Termine und Verfügbarkeiten der eigenen Mannschaft; Abgabe von Bewertungen für Mitspieler; Pflege ausgewählter eigener Angaben.
Liga-/Verbandsfunktion Soweit freigeschaltet: Verwaltung von Wettbewerben, Staffeln und Spielplänen.

Jeder Zugriff wird serverseitig anhand der Rolle und Zuordnung des Kontos geprüft. Eine ausführlichere Erläuterung des Modells findet sich in der App im Bereich „Hilfe“.

8

Zugriffskonzept

  • Need-to-know: Nutzer erhalten nur Zugriff auf die Daten der Mannschaft bzw. des Vereins, dem sie zugeordnet sind.
  • Authentifizierung: Zugang nur über persönliche Konten mit Passwort; Passwörter werden ausschließlich als kryptografische Hashes gespeichert.
  • Sitzungsschutz: Sitzungsverwaltung über technisch notwendige Cookies; ergänzende Schutzmaßnahmen gegen Session-Hijacking; Schutz vor Brute-Force durch Rate-Limiting bei Logins.
  • Administrative Zugriffe: Verwaltungs- und Setup-Funktionen sind gesondert geschützt; ein Zugriff des Anbieters auf Vereinsdaten erfolgt nur, soweit dies für Betrieb, Fehleranalyse oder Support erforderlich ist, und nur im Rahmen der Weisungen des Vereins.
  • Verlässliche Übertragung: Datenübertragung verschlüsselt über HTTPS/TLS.
  • Trennung: Vereins-/Mannschaftsdaten sind logisch voneinander getrennt; Test-/Pilotdaten werden von Produktivdaten getrennt behandelt.
9

Lösch- und Aufbewahrungskonzept

  • Laufende Löschung: Vereinsadministratoren bzw. Trainer können Mannschaften und einzelne Datensätze (z. B. Spieler, Messwerte, Bewertungen) im eigenen Verantwortungsbereich löschen. Mit der Löschung einer Mannschaft werden die zugehörigen Daten entfernt.
  • Konto-/Vereinslöschung: Auf Anfrage des Vereins löscht der Anbieter das Vereinskonto und die zugehörigen Daten vollständig.
  • Vertragsende: Nach Beendigung des Vertrags werden die im Auftrag verarbeiteten Daten – nach Wahl des Vereins – gelöscht oder zurückgegeben, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.
  • Server-Logfiles: Technische Protokolldaten werden regelmäßig nach kurzer Zeit gelöscht, sofern keine konkreten Anhaltspunkte für einen Missbrauch vorliegen. Fehlgeschlagene Login-Versuche werden nach 24 Stunden automatisch gelöscht.
  • Sicherungen: In Datensicherungen enthaltene Daten werden im Zuge des Rotationszyklus der Sicherungen überschrieben (siehe Abschnitt 10); eine sofortige Einzellöschung aus bestehenden Sicherungen ist technisch nicht vorgesehen.
  • Nachweis: Über die Durchführung einer Löschung wird dem Verein auf Wunsch eine Bestätigung erteilt.
10

Backup-Konzept

  • Zweck: Sicherungen dienen ausschließlich der Wiederherstellung nach technischen Störungen, Datenverlust oder Fehlbedienung – nicht der Archivierung zu anderen Zwecken.
  • Umfang: Gesichert werden Datenbank und – soweit erforderlich – zugehörige Anwendungs- und Upload-Daten.
  • Aufbewahrung: Sicherungen werden nur für einen begrenzten Zeitraum vorgehalten und anschließend im Rotationsverfahren überschrieben.
  • Speicherort: Sicherungen werden innerhalb der Infrastruktur des Hosting-Dienstleisters und damit innerhalb des Geltungsbereichs der DSGVO vorgehalten.
  • Schutz: Sicherungen unterliegen denselben Zugriffsbeschränkungen wie die produktiven Systeme; eine Wiederherstellung erfolgt nur durch berechtigte Personen und – soweit Vereinsdaten betroffen sind – im Rahmen der Weisungen des Vereins.
  • Hinweis an Vereine: Für besonders wichtige Daten wird empfohlen, ergänzend die Exportfunktionen der App zu nutzen.
11

Export und Löschung auf Anfrage

Der Anbieter unterstützt Vereine bei der Erfüllung von Betroffenenrechten und der Datenrückgabe:

  • Export: Vereine können Daten über die in der App vorgesehenen Funktionen exportieren (z. B. Spielerprofile, Messwert- und Auswertungsexporte, PDF-Ausgaben). Auf Anfrage unterstützt der Anbieter bei einem darüber hinausgehenden Datenexport in einem gängigen, maschinenlesbaren Format.
  • Auskunft & Berichtigung: Auf Anfrage des Vereins stellt der Anbieter die zur Beantwortung von Auskunfts- und Berichtigungsersuchen erforderlichen Informationen bereit bzw. nimmt entsprechende Korrekturen nach Weisung vor.
  • Löschung & Einschränkung: Auf Weisung des Vereins werden einzelne Datensätze, ganze Mannschaften oder der gesamte Vereinsbestand gelöscht oder in der Verarbeitung eingeschränkt.
  • Fristen: Anfragen werden unverzüglich, in der Regel innerhalb angemessener Frist, bearbeitet. Eine formlose Nachricht an die in Abschnitt 13 genannte Adresse genügt.
Betroffene Personen (z. B. Spieler oder deren Erziehungsberechtigte) wenden sich mit ihren Anliegen vorrangig an den jeweils verantwortlichen Verein. Der Anbieter leitet direkt bei ihm eingehende Anfragen unverzüglich an den Verein weiter.
12

Meldung von Datenschutzverletzungen

Wird dem Anbieter eine Verletzung des Schutzes personenbezogener Daten bekannt, die im Auftrag des Vereins verarbeitete Daten betrifft, informiert er den Verein unverzüglich. Die Mitteilung enthält, soweit verfügbar, eine Beschreibung der Art der Verletzung, der betroffenen Datenkategorien und Personen, der wahrscheinlichen Folgen sowie der ergriffenen oder vorgeschlagenen Maßnahmen. Der Anbieter unterstützt den Verein bei dessen Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO.

13

Abschluss des AVV & Kontakt

Vereine, die die App produktiv einsetzen, schließen mit dem Anbieter einen Auftragsverarbeitungsvertrag (AVV) mit den vorstehenden Inhalten ab. Der AVV kann auf Anfrage als unterschriftsfähiges Dokument zur Verfügung gestellt werden; die hier dargestellten technischen und organisatorischen Maßnahmen sind Bestandteil des AVV.

Anfragen zum AVV, zu den TOM, zu Export oder Löschung richten Sie bitte an:
Heine Computer · Peter Heine · Konrad-Adenauer-Str. 140B · 52223 Stolberg
E-Mail: peter@heine-computer.de · Telefon: 02402 7668935

Hinweis: Diese Übersicht dient der Information und stellt keine Rechtsberatung dar. Maßgeblich ist der individuell abgeschlossene Auftragsverarbeitungsvertrag.

🔒 Datenschutz 📄 Nutzungsbedingungen 📋 Impressum ← Zur App
Stand: Mai 2026 · Meine Mannschaft · Heine Computer