1. Verantwortlicher und Kontaktdaten
Verantwortliche Stelle gemäß Art. 4 Abs. 7 DSGVO:
Tiefentalstr. 43 · 76228 Karlsruhe
Telefon: 0721 59790558
E-Mail: kontakt@mensday-batzenhof.de
Datenschutzbeauftragter:
Aufgrund der Größe und Art der Datenverarbeitung ist die Bestellung eines Datenschutzbeauftragten nach Art. 37 DSGVO nicht erforderlich.
2. Grundsätze der Datenverarbeitung
Wir verarbeiten Ihre personenbezogenen Daten nach den Grundsätzen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Die Verarbeitung erfolgt rechtmäßig, nach Treu und Glauben und in einer für Sie nachvollziehbaren Weise. Wir haben technische und organisatorische Maßnahmen getroffen, die sicherstellen, dass die Vorschriften über den Datenschutz sowohl von uns als auch von unseren externen Dienstleistern beachtet werden.
3. Umfang und Arten der erhobenen Daten
3.1 Benutzerregistrierung
Pflichtangaben: Vorname, Nachname, E-Mail-Adresse, Passwort (verschlüsselt gespeichert), Profilbild, Handicap (HCP).
Optionale Angaben: Telefonnummer, Geburtsdatum.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Solange das Benutzerkonto aktiv ist. Nach Löschung des Kontos: 30 Tage (technische Gründe), danach vollständige Löschung. Backups: max. 90 Tage.
3.2 Mitgliedschafts-Abonnement (Stripe)
Erhobene Daten: Name, E-Mail-Adresse, Zahlungsinformationen (werden ausschließlich von Stripe verarbeitet und nicht auf unseren Servern gespeichert), Transaktions-IDs, Zahlungsstatus, Abonnement-Laufzeiten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten).
Speicherdauer: Rechnungsdaten: 10 Jahre (§ 147 AO, § 257 HGB). Kundendaten: solange das Abonnement aktiv ist.
3.3 Veranstaltungsregistrierung
Erhobene Daten: Name, E-Mail-Adresse, Veranstaltungstyp und Datum, Teilnahmestatus. Bei kostenpflichtigen Events zusätzlich: Zahlungsinformationen (über Stripe).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: 2 Jahre nach der Veranstaltung. Zahlungsdaten: 10 Jahre (steuerliche Aufbewahrungspflicht).
3.4 Startzeiten-Buchungssystem
Erhobene Daten: Benutzer-ID, gewünschtes Datum und Startzeit, RPR-Rundenstatus (vorgabenwirksam ja/nein), Buchungs- und Stornierungszeitstempel.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: 3 Jahre (für Statistiken und Nachvollziehbarkeit).
Weiterleitung: Gebuchte Startzeiten werden per automatisierter E-Mail an das Golfpark-Management (karlsruhe@golf-absolute.de) übermittelt. Übermittelt werden: Startzeit, Name des Mitglieds, RPR-Status.
3.5 Kontaktformular
Erhobene Daten: Name, E-Mail-Adresse, Nachrichtentext, Zeitstempel.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).
Speicherdauer: 2 Jahre nach Beantwortung der Anfrage.
3.6 Mitgliederverzeichnis
Registrierte Mitglieder werden in einem internen Mitgliederverzeichnis angezeigt, das nur für andere eingeloggte Mitglieder sichtbar ist. Jedes Mitglied kann selbst kontrollieren, welche persönlichen Daten im Verzeichnis angezeigt werden (E-Mail, Telefon, Handicap, Geburtsdatum). Name und Profilbild sind stets sichtbar.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für optionale Felder).
3.7 Newsletter / News-E-Mails
Erhobene Daten: E-Mail-Adresse, Name, Newsletter-Präferenz (aktiv/deaktiviert).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung).
Versand: Über unseren E-Mail-Server bei Mittwald (mail.agenturserver.de). Es werden keine Drittanbieter-Newsletter-Dienste eingesetzt.
Speicherdauer: Solange die Mitgliedschaft aktiv ist und der Newsletter-Empfang nicht deaktiviert wurde.
Abmeldung: Jederzeit möglich über die Datenschutz-Einstellungen im Profil oder über den Abmelde-Link in jeder E-Mail.
5. Erhebung von Daten beim Besuch der Website
Bei jedem Aufruf unserer Website erfasst unser Hosting-Provider (Vercel) automatisch folgende Informationen in Server-Logfiles:
- IP-Adresse des anfragenden Rechners
- Datum und Uhrzeit der Anfrage
- Zeitzonendifferenz zur Greenwich Mean Time (GMT)
- Inhalt der Anforderung (konkrete Seite)
- Zugriffsstatus/HTTP-Statuscode
- Jeweils übertragene Datenmenge
- Website, von der die Anforderung kommt (Referrer)
- Browser-Typ und -Version
- Betriebssystem
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherstellung eines störungsfreien Betriebs).
Speicherdauer: Maximal 30 Tage, danach automatische Löschung.
6. Auftragsverarbeiter und Drittanbieter
Folgende Dienstleister verarbeiten Ihre Daten in unserem Auftrag gemäß Art. 28 DSGVO. Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge (AVV).
6.1 Vercel Inc. — Hosting und Infrastruktur
Verarbeitungszweck: Website-Hosting, Serverless Functions, Content Delivery Network (CDN), Blob Storage (Video-Hosting).
Verarbeitete Daten: Server-Logfiles, technische Metadaten, gespeicherte Medien.
Standort: Functions in EU (Irland), CDN global, Unternehmenssitz USA (EU-US Data Privacy Framework zertifiziert).
AVV: vercel.com/legal/dpa
6.2 Supabase Inc. — Datenbank, Authentifizierung, Dateispeicherung
Verarbeitungszweck: Benutzerverwaltung, Datenbankservices, Authentifizierung, Dateispeicherung (Profilbilder).
Verarbeitete Daten: Benutzerprofile, alle in der Datenbank gespeicherten Informationen, Authentifizierungs-Tokens, hochgeladene Dateien.
Standort: Frankfurt, Deutschland (eu-central-1). Daten verbleiben in der EU.
AVV: supabase.com/legal/dpa
6.3 Stripe Payments Europe, Ltd. — Zahlungsverarbeitung
Verarbeitungszweck: Abwicklung von Mitgliedsbeiträgen (Jahresabonnement) und Event-Zahlungen (Startgelder).
Verarbeitete Daten: Zahlungsinformationen (Kreditkartendaten werden ausschließlich von Stripe verarbeitet und nie auf unseren Servern gespeichert), Name, E-Mail, Transaktions-IDs.
Standort: Stripe Payments Europe Ltd., Irland (EU). Für bestimmte Funktionen ggf. USA (EU-US Data Privacy Framework zertifiziert).
PCI-Compliance: Stripe ist PCI DSS Level 1 zertifiziert.
Datenschutz: stripe.com/de/privacy
6.4 Mittwald CM Service GmbH & Co. KG — E-Mail-Versand und Domain-Hosting
Verarbeitungszweck: Versand aller E-Mails (Registrierungsbestätigungen, Passwort-Reset, News-E-Mails, Buchungsbestätigungen, Startlisten), Domain-Hosting und DNS-Verwaltung.
Verarbeitete Daten: E-Mail-Adresse, Name, E-Mail-Inhalte, Versandmetadaten.
Standort: Deutschland (Espelkamp).
Anschrift:Mittwald CM Service GmbH & Co. KG, Königsberger Straße 4-6, 32339 Espelkamp.
Datenschutz: mittwald.de/datenschutz
7. Internationale Datenübertragungen
Wir setzen bevorzugt auf EU-Rechenzentren:
- Supabase: Datenbank und Authentifizierung laufen ausschließlich im Rechenzentrum Frankfurt (eu-central-1). Ihre Daten verlassen nicht die EU.
- Mittwald: E-Mail-Versand und Domain-Hosting ausschließlich in Deutschland (Espelkamp).
- Vercel: Serverless Functions laufen in EU-Rechenzentren (Irland). Statische Inhalte werden über ein globales CDN ausgeliefert, wobei Metadaten (z.B. IP-Adressen) für DDoS-Schutz und Build-Prozesse teilweise in den USA verarbeitet werden können.
- Stripe: Die Zahlungsabwicklung erfolgt über Stripe Payments Europe Ltd. (Irland). Für bestimmte Funktionen können Daten an Stripe Inc. (USA) übermittelt werden.
Soweit Daten in die USA übermittelt werden, erfolgt dies auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission zum EU-US Data Privacy Framework (DPF) gemäß Art. 45 DSGVO. Zusätzlich bestehen Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO als ergänzende Schutzmaßnahme.
Weitere Schutzmaßnahmen: Verschlüsselung aller Datenübertragungen (TLS 1.3), Verschlüsselung ruhender Daten (AES-256), Zugriffskontrolle nach dem Prinzip der minimalen Berechtigung.
7.1 Hosting-Transparenz und CLOUD Act
Vercel Inc. und Supabase Inc. sind US-amerikanische Unternehmen. Auch wenn Supabase unsere Daten ausschließlich im EU-Rechenzentrum Frankfurt (AWS eu-central-1) speichert und Vercel Serverless Functions in Irland ausführt, unterliegen beide Unternehmen dem US Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 2018). US-Behörden können demnach unter engen rechtlichen Voraussetzungen die Herausgabe von Daten verlangen — auch wenn diese physisch in der EU gespeichert sind.
Risiko-Bewertung: Da wir keine besonderen Datenkategorien gemäß Art. 9 DSGVO (Gesundheits-, biometrische, weltanschauliche Daten) verarbeiten und der Datenumfang auf Mitgliederverwaltung, Buchungen und Newsletter beschränkt ist, halten wir das verbleibende Restrisiko unter Abwägung der technischen und vertraglichen Schutzmaßnahmen (DPF-Zertifizierung Vercel + Stripe, SCC mit Supabase, Verschlüsselung) für vertretbar.
Transparenz-Hinweis: Wir evaluieren langfristig die Migration auf vollständig EU-natives Hosting (z.B. Hetzner Cloud + Coolify). Sollten Sie Bedenken haben, wenden Sie sich an die unter Abschnitt 14 genannte Kontaktadresse.
8. Datensicherheit
Wir setzen folgende technische und organisatorische Maßnahmen (TOM) ein:
Technische Maßnahmen
- SSL/TLS-Verschlüsselung für alle Datenübertragungen (HTTPS-only)
- Sichere Passwort-Hashes (bcrypt via Supabase Auth)
- Row Level Security (RLS) in der Datenbank — jedes Mitglied kann nur auf eigene Daten zugreifen
- CSRF-Schutz für alle Formulare
- Automatische tägliche Datenbank-Backups
- DDoS-Schutz durch Vercel Edge Network
Organisatorische Maßnahmen
- Zugriffskontrolle: Nur die 4 Captains (Administratoren) haben Zugang zur Verwaltung
- Vertraulichkeitsvereinbarungen mit allen Beteiligten
- Regelmäßige Überprüfung der Sicherheitsmaßnahmen
Zahlungsdaten
Kreditkartendaten und Bankdaten werden zu keinem Zeitpunkt auf unseren Servern gespeichert. Die gesamte Zahlungsabwicklung erfolgt über Stripe, einen PCI DSS Level 1 zertifizierten Zahlungsdienstleister. Wir erhalten lediglich Bestätigungen und tokenisierte Referenzen.
9. Ihre Rechte nach der DSGVO
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
(1) Auskunftsrecht (Art. 15 DSGVO)
Sie können jederzeit unentgeltlich Auskunft über die bei uns gespeicherten personenbezogenen Daten erhalten.
(2) Recht auf Berichtigung (Art. 16 DSGVO)
Sie können unrichtige oder unvollständige Daten korrigieren lassen. Viele Daten können Sie selbstständig in Ihrem Profil aktualisieren.
(3) Recht auf Löschung (Art. 17 DSGVO)
Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z.B. 10 Jahre für Rechnungsdaten gemäß § 147 AO).
(4) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie können verlangen, dass die Verarbeitung Ihrer Daten eingeschränkt wird.
(5) Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie können Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON/CSV) erhalten.
(6) Widerspruchsrecht (Art. 21 DSGVO)
Sie können der Verarbeitung Ihrer Daten jederzeit widersprechen, soweit diese auf berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) basiert. Bei Widerspruch gegen Newsletter-Versand können Sie sich jederzeit über den Abmelde-Link abmelden.
(7) Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Erteilte Einwilligungen (z.B. Newsletter, optionale Profilangaben) können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
(8) Recht auf Beschwerde (Art. 77 DSGVO)
Sie können eine Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde einreichen:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
Telefon: 0711 / 6155 41-0
E-Mail: poststelle@lfdi.bwl.de
Kontakt für alle Anfragen: kontakt@mensday-batzenhof.de. Wir bearbeiten Anfragen innerhalb von 30 Tagen.
10. Speicherdauer — Übersicht
| Datenart | Speicherdauer |
|---|---|
| Benutzerprofile (aktiv) | Solange Konto besteht |
| Gelöschte Konten | 30 Tage, dann vollständig gelöscht |
| Backup-Daten | Max. 90 Tage |
| Rechnungs-/Zahlungsdaten | 10 Jahre (§ 147 AO, § 257 HGB) |
| Event-Buchungen | 2 Jahre nach Event |
| Startzeiten-Buchungen | 3 Jahre |
| Kontaktanfragen | 2 Jahre nach Beantwortung |
| Newsletter-Daten | Bis Abmeldung + 30 Tage |
| Server-Logfiles | 30 Tage |
| Session-Cookies | Bis Abmeldung |
11. Automatisierte Entscheidungsfindung und Profiling
Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne des Art. 22 DSGVO statt. Alle wesentlichen Entscheidungen (z.B. Mitgliedschaftsfreischaltung, Matchplay-Ergebnisfreigabe) werden von den Captains manuell getroffen.
12. Datenschutz für Minderjährige
Unser Angebot richtet sich ausschließlich an Erwachsene. Personen unter 18 Jahren sollten ohne Zustimmung der Eltern oder Erziehungsberechtigten keine personenbezogenen Daten an uns übermitteln.
13. Datenweitergabe und Offenlegung
- Auftragsverarbeiter: Vercel, Supabase, Stripe, Mittwald (siehe Abschnitt 6)
- Andere Mitglieder: Nur im Rahmen des Mitgliederverzeichnisses und nur Daten, die Sie selbst freigegeben haben
- Golfpark-Management: Startzeiten-Buchungen (Name, Startzeit, RPR-Status) per automatisierter E-Mail
- Behörden: Nur bei gesetzlicher Verpflichtung (z.B. Strafverfolgung)
- Wir verkaufen Ihre Daten nicht an Dritte zu Werbezwecken
14. Änderungen dieser Datenschutzerklärung
Diese Website befindet sich in aktiver Entwicklung. Wir aktualisieren diese Datenschutzerklärung regelmäßig, um Änderungen in der Gesetzgebung, unseren Datenverarbeitungspraktiken, eingesetzten Technologien oder neu hinzukommenden Funktionen Rechnung zu tragen. Bei wesentlichen Änderungen, die Ihre Rechte betreffen, werden wir Sie per E-Mail benachrichtigen.
Stand dieser Datenschutzerklärung: März 2026
Diese Datenschutzerklärung wird bei jeder Erweiterung der Website um neue Funktionen überprüft und bei Bedarf aktualisiert.
15. Rechtsgrundlagen — Zusammenfassung
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Registrierung, Abo, Buchungen | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Rechnungen, Buchhaltung | Art. 6 Abs. 1 lit. c DSGVO (Gesetzliche Pflicht) |
| Server-Logs, Sicherheit | Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) |
| Newsletter, optionale Profilangaben | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |