ClubFlex Vereinsverwaltung ← Zur Anwendung
Plattform · Datenschutz

Datenschutzerklärung

Welche Daten ClubFlex verarbeitet, wie wir sie schützen und welche Rechte Sie haben.

Datenschutzerklärung Impressum Allgemeine Geschäftsbedingungen Cookie-Richtlinie Auftragsverarbeitungsvertrag
ClubFlex – Plattform-Rechtstext · Stand: Juli 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Plattform im Sinne der DSGVO ist:

ClubFlex – Jannes Böck
Ostpreußenstraße 16, 26931 Elsfleth
E-Mail: kontakt@clubflex.de
Telefon: 01525 5287163

Für die Verarbeitung von Mitgliederdaten der angeschlossenen Vereine handelt ClubFlex als Auftragsverarbeiter gemäß Art. 28 DSGVO. Der jeweilige Verein ist datenschutzrechtlich Verantwortlicher für seine Mitgliederdaten. Grundlage ist der Auftragsverarbeitungsvertrag, der mit der Registrierung geschlossen wird.

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer:innen grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO) oder zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), zur Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) oder zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).

3. Hosting

Die Plattform wird auf Servern innerhalb der Europäischen Union betrieben. Beim Aufruf werden technisch notwendige Daten (IP-Adresse, Browsertyp, Betriebssystem, Datum/Uhrzeit, aufgerufene URL, Referrer) in Server-Log-Dateien gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse liegt im sicheren Betrieb der Plattform. Die Log-Daten werden nach maximal 30 Tagen gelöscht.

3.1 Anonyme Besuchsstatistik der Website (clubflex.de)

Auf unserer öffentlichen Produkt-Website (clubflex.de) messen wir die Reichweite selbst — ohne Cookies, ohne Dienste Dritter und ohne Bildung von Nutzungsprofilen. Erfasst werden je Seitenansicht: aufgerufene Seite, Datum/Uhrzeit, verweisende Website (nur der Domain-Name), Geräteklasse (Desktop/Tablet/Smartphone), etwaige Kampagnen-Parameter (UTM) sowie Klicks auf zentrale Schaltflächen („Kostenlos starten", „Live-Demo", „Anmelden"). Zur Unterscheidung von Besuchern wird aus IP-Adresse und Browserkennung ein täglich rotierender Hash-Wert gebildet; die IP-Adresse selbst wird nicht gespeichert, der Hash ist nicht rückrechenbar und erlaubt keine Wiedererkennung über den Kalendertag hinaus. Die Rohdaten werden spätestens nach 400 Tagen gelöscht.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unseres Angebots). Da weder Cookies gesetzt noch Informationen auf Ihrem Endgerät gespeichert oder ausgelesen werden, ist § 25 TDDDG nicht berührt. Sie können der Zählung jederzeit widersprechen: über die Schaltfläche „Statistik ablehnen" im Hinweis-Banner der Website (die Wahl wird lokal in Ihrem Browser gespeichert) — zusätzlich respektieren wir die „Do-Not-Track"-Einstellung Ihres Browsers automatisch.

3.2 Nutzungsstatistik der Anwendung

Innerhalb der eingeloggten Anwendung erfassen wir je Seitenaufruf den aufgerufenen Bereich (Pfad ohne Abfrage-Parameter), Datum/Uhrzeit sowie die interne Nutzer- und Vereinskennung. Diese Daten dienen ausschließlich dem sicheren Betrieb, der Fehleranalyse und der Weiterentwicklung der Anwendung (etwa: welche Funktionen genutzt werden). Es werden dafür keine Cookies gesetzt, keine Daten an Dritte übermittelt und keine Werbeprofile gebildet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb und der Verbesserung der Plattform); soweit Vereinsdaten betroffen sind, erfolgt die Verarbeitung im Rahmen des Auftragsverarbeitungsvertrags. Die Rohdaten werden spätestens nach 400 Tagen gelöscht.

4. Cookies und lokaler Speicher

Wir verwenden ausschließlich technisch notwendige sowie – mit Ihrer Einwilligung – funktionale Cookies. Tracking-, Analyse-, Werbe- oder Drittanbieter-Cookies setzen wir nicht ein. Eine vollständige Auflistung aller einzelnen Cookies mit Zweck und Speicherdauer finden Sie in unserer Cookie-Richtlinie.

4.1 Technisch erforderliche Cookies

  • Sitzungs-Cookie (cf_session_portal) – hält Ihre Anmeldung über mehrere Seitenaufrufe hinweg. Der Schutz vor Cross-Site-Request-Forgery (CSRF) erfolgt über ein in dieser Sitzung gespeichertes Token; hierfür wird kein gesondertes Cookie gesetzt.
  • Einwilligungs-Cookie (cf_consent) – speichert Ihre Cookie-Auswahl.
  • „Angemeldet bleiben" (cf_remember) – wird nur gesetzt, wenn Sie diese Option ausdrücklich wählen, und hält Ihre Anmeldung über die Sitzung hinaus.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i.V.m. Art. 6 Abs. 1 lit. b und lit. f DSGVO.

4.2 Funktionale Cookies (mit Einwilligung)

  • Wahl des Farbschemas (Hell-/Dunkelmodus): cf_theme, cf_theme_resolved
  • Zustand der Seitennavigation: cf_sidebar
  • Zuletzt genutzter Bereich (Trainer/Admin): cf_preferred_area

Ergänzend speichern wir im lokalen Speicher (Local Storage) Ihres Browsers Ihre gespeicherten Filter und Ansichtseinstellungen sowie kleine Oberflächen-Hinweise. Diese Daten verbleiben in Ihrem Browser und werden nicht an uns übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Ihre Einwilligung können Sie jederzeit über den Link „Cookie-Einstellungen" im Seitenfuß mit Wirkung für die Zukunft widerrufen.

5. Benutzerkonto und Registrierung

Zur Nutzung der Plattform ist eine Registrierung erforderlich. Verarbeitet werden Name, E-Mail-Adresse, Passwort (gehasht mit bcrypt), gewählter Verein und ggf. Telefonnummer. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Daten werden gelöscht, sobald das Benutzerkonto gelöscht wird oder keine gesetzlichen Aufbewahrungspflichten mehr bestehen.

6. Vereinsmitglieder-Daten (Auftragsverarbeitung)

Die im Mitglieder-Modul verarbeiteten Daten (Name, Geburtsdatum, Adresse, Kontaktdaten, IBAN, Beitragsdaten, ggf. Fotos, Tags, Notizen, Trainerlizenzen) werden ausschließlich im Auftrag des jeweiligen Vereins verarbeitet. Die Vereine sind für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und müssen insbesondere die Einwilligung ihrer Mitglieder einholen, wo dies erforderlich ist.

7. Zahlungsabwicklung (Stripe)

Für die Abwicklung kostenpflichtiger Buchungen (z.B. Eventanmeldungen, ClubFlex-Abonnements) setzen wir den Zahlungsdienstleister Stripe Payments Europe Ltd. (Irland) ein. Bei einer Zahlung werden Name, E-Mail-Adresse, Rechnungsadresse und Zahlungsdaten an Stripe übermittelt. Stripe ist Empfänger Ihrer Daten und verarbeitet diese in eigener Verantwortung (Art. 6 Abs. 1 lit. b DSGVO). Weitere Informationen: https://stripe.com/de/privacy.

8. E-Mail-Versand

Wir versenden E-Mails für betriebsnotwendige Zwecke (Anmeldebestätigungen, Passwortzurücksetzungen, Benachrichtigungen, Mitteilungen des Vereins, Zahlungserinnerungen). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. E-Mails werden über SMTP via unseren Mail-Provider versendet; eine Ablage erfolgt nicht außerhalb der erforderlichen Sende-Logs.

9. Mitgliedsausweis & QR-Codes

Der QR-Code auf dem digitalen Mitgliedsausweis enthält ausschließlich eine zufällige Prüf-URL — keine personenbezogenen Daten. Bei der Verifikation werden lediglich Name, Mitgliedsnummer, Verein und Status angezeigt (siehe § 4 Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO).

10. Apple Wallet (.pkpass)

Wenn Sie Ihren Mitgliedsausweis in Apple Wallet ablegen, werden bei jeder Wallet-Aktualisierung Anfragen an unsere Server gestellt. Hierbei werden eine pseudonyme Geräte-ID und ein Authentifizierungs-Token verarbeitet, um zu erkennen, ob sich Ihr Karten-Status geändert hat.

11. Empfänger und Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter bzw. externe Dienste ein:

  • Hosting – Server-Betrieb innerhalb der EU
  • Stripe – Zahlungsabwicklung sowie optional Auszahlungen (Stripe Identity/Connect)
  • Mail-/SMTP-Provider – Versand von Transaktions- und Massen-E-Mails
  • OpenStreetMap / Nominatim – Kartendarstellung und Adress-Geocoding; beim Anzeigen einer Karte wird die IP-Adresse an die OSM Foundation übermittelt (nur bei aktiver Nutzung der Kartenfunktion)
  • OpenRouteService (HeiGIT gGmbH, Heidelberg/EU) – Berechnung von Fahrtstrecken für Trainer-Reisekosten; der Abruf erfolgt serverseitig über unseren Proxy, übermittelt werden die eingegebenen Start-/Zieladressen
  • openiban.com – optionale Prüfung von IBAN/BIC bei Eingabe einer Bankverbindung
  • Anthropic (USA) – KI-Funktionen der Plattform: Lädt ein Übungsleiter einen Beleg hoch, wird das Belegbild zur automatischen Texterkennung übermittelt (verkleinert, nur im Moment des Uploads); außerdem für den Hilfe-Assistenten und aggregierte Vereins-Insights. Anthropic verwendet API-Daten nicht zum Training und speichert sie nicht dauerhaft.
  • Google – optionaler „Login mit Google“ (OAuth), sofern vom Verein aktiviert

Selbst gehostete Inhalte: Alle JavaScript-/CSS-Bibliotheken und Schriftarten werden von unseren eigenen Servern ausgeliefert. Eine Übertragung Ihrer IP-Adresse an externe CDN- oder Schriftarten-Anbieter (z. B. Google Fonts, Cloudflare, jsDelivr) findet nicht statt.

Drittlandübermittlung: Eine Übermittlung in die USA findet nur statt, soweit die jeweilige optionale Funktion genutzt wird (insbesondere KI-Beleg-Erkennung mit OpenAI/Anthropic sowie ggf. Stripe, Apple und Google). Soweit erforderlich erfolgt dies auf Grundlage der EU-Standardvertragsklauseln (Art. 46 DSGVO) bzw. eines Angemessenheitsbeschlusses; im Übrigen werden Daten innerhalb der EU/des EWR verarbeitet.

Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.

12. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen (i.d.R. 6–10 Jahre für buchhalterisch relevante Daten). Vereinsmitglieder-Daten werden gelöscht, sobald der jeweilige Verein die Löschung anordnet — vorbehaltlich gesetzlicher Aufbewahrungspflichten.

13. Ihre Rechte als betroffene Person

Sie haben uns gegenüber jederzeit das Recht auf:

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO) — insbesondere gegen Direktwerbung
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zuständige Aufsichtsbehörde für ClubFlex ist die Landesbeauftragte für den Datenschutz Niedersachsen (lfd.niedersachsen.de).

14. Datensicherheit

Wir setzen TLS-Verschlüsselung (HTTPS) für die Datenübertragung ein. Passwörter werden mit bcrypt gehasht gespeichert (nie im Klartext). Wir treffen technische und organisatorische Maßnahmen (TOM) zum Schutz vor unbefugtem Zugriff, Datenverlust und Manipulation. Datenbank-Zugriffe sind streng nach Mandant (Verein) getrennt.

15. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Wesentliche Änderungen werden rechtzeitig per E-Mail oder direkt in der Anwendung angekündigt.

Stand: Juli 2026

© 2026 ClubFlex · Jannes Böck · Impressum · Datenschutz · AGB · Cookie-Richtlinie