Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze ist:

Ansprechpartner für Datenschutz:
Norbert Sommer, c/o Fight Evolution - Heidelberg e.V., Blütenweg 14, 69221 Dossenheim, info@fight-evolution.de. Einen förmlich bestellten Datenschutzbeauftragten gibt es nicht. Wir sind dazu als Verein gesetzlich nicht verpflichtet.

2. Übersicht der Datenverarbeitung

Diese Datenschutzerklärung informiert dich darüber, welche personenbezogenen Daten wir auf fight-evolution.de verarbeiten, zu welchem Zweck und auf welcher Rechtsgrundlage. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Unsere Webseite kann grundsätzlich ohne Angabe personenbezogener Daten besucht werden. Eine Verarbeitung findet nur statt, wenn du uns Daten freiwillig zur Verfügung stellst (z. B. über das Probetraining-Formular, die Mitglieder-Bestellseite oder per E-Mail) oder wenn dies technisch zwingend erforderlich ist (z. B. Server-Logfiles beim Aufruf der Seite).

Beim ersten Besuch dieser Webseite wirst du über einen Cookie-Banner gefragt, welche Arten von Verarbeitung du zulassen möchtest. Wir unterscheiden dabei drei Kategorien:

• Notwendig: technisch erforderliche Speichervorgänge (z. B. Speicherung deiner Consent-Entscheidung im Browser, Session beim Admin-Login, Warenkorb-Inhalte auf der Mitglieder-Bestellseite). Immer aktiv, keine Einwilligung nötig.
• Analyse: anonyme Reichweitenmessung mit Vercel Analytics und Vercel Speed Insights. Beide Dienste arbeiten cookiefrei, wir fragen trotzdem vorher.
• Marketing & externe Inhalte: eingebettete Drittanbieter-Inhalte wie die OpenStreetMap-Karte auf der Kontaktseite und zukünftige Social-Media-Einbettungen. Werden erst nach deiner Einwilligung geladen.

Deine Entscheidung wird in deinem Browser unter dem Schlüssel fe-consent-v1 im localStorage gespeichert, also lokal in deinem Gerät, nicht auf unserem Server. Du kannst sie jederzeit über den Link „Cookie- Einstellungen" im Footer oder in Abschnitt 17 dieser Erklärung ändern oder zurücksetzen.

Für einzelne Funktionen setzen wir spezialisierte Dienstleister ein — u. a. KI-Dienste (Anthropic und AWS Bedrock; Abschnitte 7 und 7a), E-Mail-Versand (Brevo), Fehleranalyse (Sentry) und WhatsApp-Benachrichtigungen an den Vorstand (Twilio). Einige davon verarbeiten Daten in den USA bzw. haben einen US-Bezug; die dafür maßgeblichen Garantien (EU-U.S. Data Privacy Framework, Standardvertragsklauseln) sind in den jeweiligen Abschnitten erläutert.

3. Rechtsgrundlagen im Überblick

• Art. 6 Abs. 1 lit. a DSGVO: Einwilligung (z. B. Cookie-Banner für Analyse/Marketing, Datenschutz-Häkchen am Probetraining-Formular).
• Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung und vorvertragliche Maßnahmen (z. B. Bearbeitung deiner Probetrainings-Anfrage, Abwicklung einer Bestellung über die Mitglieder-Bestellseite).
• Art. 6 Abs. 1 lit. c DSGVO: Erfüllung gesetzlicher Pflichten (z. B. Aufbewahrungspflichten, Auskunftspflichten).
• Art. 6 Abs. 1 lit. f DSGVO: berechtigtes Interesse (z. B. sicherer Betrieb der Webseite, Schutz vor Missbrauch und Spam, Server-Logfiles, Rate-Limiting, Honeypot-Felder).
• § 25 Abs. 2 Nr. 2 TDDDG: Speicherung und Zugriff auf Informationen im Endgerät, soweit technisch unbedingt erforderlich (notwendige Speichervorgänge).
• § 25 Abs. 1 TDDDG: Speicherung und Zugriff auf Informationen im Endgerät auf Basis deiner Einwilligung (Analyse, Marketing, externe Einbettungen).

4. Hosting (Vercel) und Server-Logfiles

Diese Webseite wird gehostet bei der Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA, in Europa vertreten durch die Vercel Germany GmbH, Krausenstraße 38, 10117 Berlin. Wir betreiben die Seite auf der Region fra1 (Frankfurt am Main), das heißt: Funktionen, Server-Komponenten und API-Routes laufen ausschließlich in einem Rechenzentrum in der Europäischen Union.

Beim Aufruf der Webseite verarbeitet Vercel automatisch Server-Logfiles, die dein Browser an den Server überträgt:

• IP-Adresse
• Datum und Uhrzeit der Anfrage
• aufgerufene URL und HTTP-Statuscode
• übertragene Datenmenge
• Referrer-URL (sofern vom Browser gesendet)
• Browser-Typ und -Version, Betriebssystem

Diese Daten werden zur technischen Auslieferung der Seite, zur Sicherheit (Abwehr von Angriffen) und zur Fehleranalyse benötigt und nach kurzer Zeit (max. 30 Tage) automatisch gelöscht oder anonymisiert. Eine Zusammenführung mit anderen Datenquellen findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb der Webseite). Mit Vercel besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Da Vercel ein US-Unternehmen ist und konzernintern Daten auch in die USA übermittelt werden können, beruht eine etwaige Drittlandübermittlung auf den Standardvertragsklauseln der EU- Kommission und ergänzenden Garantien.

Mehr Informationen: vercel.com/legal/privacy-policy

5. Datenbank (Neon Postgres)

Wir speichern Daten aus dem Probetraining-Formular und der Mitglieder-Bestellseite in einer Postgres-Datenbank, die wir bei Neon Inc., 209 Havemeyer Street, Brooklyn, NY 11211, USA, betreiben. Die Datenbank steht in der Region eu-central-1 (Frankfurt am Main). Die Speicherung erfolgt damit ausschließlich innerhalb der Europäischen Union.

Gespeichert werden insbesondere:

• Probetraining-Anfragen (Name, E-Mail, optional Telefonnummer, Trainingswunsch, Erfahrungsstufe, Freitext-Nachricht, Wochentage, Quellangabe „Wie hast du uns gefunden?“)
• Bestellungen aus der Mitglieder-Bestellseite (Name, E-Mail, optional Telefonnummer, Notizen, gewählte Produkte und Mengen, Gesamtbetrag, Status)
• Admin-Konten der Vorstände (E-Mail, gehashtes Passwort, Name, Rolle, letzter Login-Zeitpunkt). Passwort als bcrypt-Hash, niemals im Klartext
• Rate-Limit-Einträge (Schlüssel + Zeitstempel, z. B. IP-Adresse bei Form-Submits), werden nach kurzer Zeit per Cron-Job gelöscht (siehe Abschnitt 11)
• Site-Einstellungen für den Probetraining-Agenten (kein Personenbezug)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bearbeitung deiner Anfrage / Bestellung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionierenden, missbrauchs- geschützten Betrieb). Mit Neon besteht ein Auftragsverarbeitungs- Vertrag nach Art. 28 DSGVO. Speicherort ist EU; eine Drittlandübermittlung findet beim regulären Betrieb nicht statt, kann aber bei Support-Zugriffen durch Neon-Mitarbeiter aus den USA in Einzelfällen vorkommen, abgesichert über die Standardvertragsklauseln der EU-Kommission.

Mehr Informationen: neon.tech/privacy-policy

6. Probetraining-Formular und KI-gestützte Mail-Antwort

Wenn du das Probetraining-Formular ausfüllst, verarbeiten wir die dort eingegebenen Daten, um dir einen passenden Termin vorzuschlagen und dir per E-Mail zu antworten.

Welche Daten?

• Name, E-Mail-Adresse
• optional: Telefonnummer
• Trainingswunsch, Erfahrungsstufe, Anzahl Personen, Wochentage/Verfügbarkeit
• optional: Freitext-Nachricht, „Wie hast du uns gefunden?“
• technisch: deine IP-Adresse (für Spam- und Missbrauchsschutz, siehe Abschnitt 10)

Was passiert mit den Daten?

1. Deine Anfrage wird in unserer Datenbank (Neon Postgres, Frankfurt) gespeichert.
2. Unser System sucht automatisch einen freien Trainingsslot, der zu deinem Wunsch passt (Wochentag, Trainingstyp, Erfahrungsstufe, Schulferien und Feiertage werden berücksichtigt).
3. Mit deinen Eingaben erzeugt unser KI-Helfer einen Antwortvorschlag, also einen Mailtext-Entwurf, der deinen Slot-Vorschlag enthält. Dafür übermitteln wir den Inhalt deines Formulars (ohne Telefonnummer) an die Anthropic-API (siehe Abschnitt 7).
4. Der Vorstand prüft den Entwurf in unserem internen Admin- Bereich und gibt ihn frei (oder bearbeitet ihn vorher). Erst danach wird die Antwort-Mail an dich verschickt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme, du fragst aktiv ein Probetraining an) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über das Datenschutz-Häkchen am Formular).

Speicherdauer: Wir speichern deine Anfrage so lange, wie sie für die Bearbeitung und mögliche Rückfragen nötig ist. Spätestens nach 24 Monaten werden Probetraining-Anfragen, aus denen keine Mitgliedschaft entstanden ist, gelöscht, es sei denn, gesetzliche Aufbewahrungspflichten stehen entgegen.

Du kannst die Bearbeitung jederzeit per E-Mail an info@fight-evolution.de widerrufen oder die Löschung deiner Daten verlangen.

7. KI-Verarbeitung mit Anthropic (Claude)

Für die Erstellung des Mail-Entwurfs aus dem Probetraining- Formular nutzen wir die API von Anthropic, PBC, 548 Market St, PMB 90375, San Francisco, CA 94104-5401, USA. Die Eingabedaten aus deinem Formular (Name, gewünschtes Training, Erfahrungsstufe, Freitext-Nachricht, Wochentage) werden zusammen mit unserem Slot-Vorschlag an die Claude-API gesendet. Die KI generiert daraus einen Antwortentwurf, den ein Vorstandsmitglied vor dem Versand prüft.

Wir geben deine Telefonnummer nicht an die KI weiter und entfernen jegliche Telefonnummern aus dem KI-Output, bevor die Mail verschickt wird (technische Schutzmaßnahme im Code).

Anthropic verarbeitet die übermittelten Inhalte ausschließlich zur Beantwortung der API-Anfrage. Anthropic verwendet API- Eingaben laut eigenen Angaben nicht zum Training ihrer Modelle. Daten werden für eine begrenzte Zeit (in der Regel bis zu 30 Tage) zur Missbrauchserkennung gespeichert und danach gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme) in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über das Datenschutz-Häkchen am Formular). Mit Anthropic besteht ein Auftragsverarbeitungs-Vertrag (Data Processing Addendum) inklusive Standardvertragsklauseln der EU-Kommission. Eine Drittlandübermittlung in die USA findet statt; sie ist über das EU-U.S. Data Privacy Framework (Anthropic ist gelistet) und die Standardvertragsklauseln abgesichert.

Mehr Informationen: anthropic.com/legal/privacy

7a. KI-Verarbeitung mit AWS Bedrock (EU)

Für einzelne interne, KI-gestützte Auswertungen nutzen wir den Dienst Amazon Bedrock der Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxemburg (Mutterkonzern Amazon.com, Inc., USA). Die Verarbeitung erfolgt in der EU-Region Frankfurt (eu-central-1).

Zwecke: (1) maschinelles Auslesen eines intern hochgeladenen, abfotografierten Mitglieds-Aufnahmebogens — dabei können Stammdaten und Bankverbindung (IBAN) verarbeitet werden; (2) Strukturierung interner Verbesserungs-/Feedback-Hinweise des Vorstands; (3) Extraktion von Veranstaltungs-/Termindaten aus öffentlichen Verbandsquellen. Eine Übermittlung an die KI erfolgt nur, soweit für den jeweiligen Zweck erforderlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung der Mitgliedschaft) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Vereinsverwaltung). Mit AWS besteht ein Auftragsverarbeitungs-Vertrag (AWS Data Processing Addendum) inklusive Standardvertragsklauseln der EU-Kommission; AWS ist zudem unter dem EU-U.S. Data Privacy Framework zertifiziert. Die Verarbeitung der Inhalte findet in der EU (Frankfurt) statt; durch den US-Mutterkonzern ist ein Drittlandbezug möglich und über die genannten Garantien abgesichert.

8. E-Mail-Versand (Brevo)

Den Versand unserer transaktionalen Mails (also der Antwort auf deine Probetraining-Anfrage, der internen Benachrichtigungen an den Vorstand und der Antwortmails auf Bestellungen) wickeln wir über Sendinblue SAS (Brevo), 106 boulevard Haussmann, 75008 Paris, Frankreich, ab. Brevo ist ein französischer Anbieter mit Server-Standort innerhalb der EU.

Übermittelt werden die Daten, die für den Mailversand nötig sind: Empfänger-Adresse, Absender (office@send.fight-evolution.de), Betreff, Mailtext. Die Subdomain send.fight-evolution.de nutzen wir bewusst, um die DNS-Konfiguration und das IONOS-Postfach unserer Hauptdomain unangetastet zu lassen. Antworten auf unsere Mails landen über den Reply-To-Header bei info@fight-evolution.de.

Tracking ist ausgeschaltet, wir verwenden kein Open- oder Klick-Tracking in unseren Mails (technisch über die Header X-Mailin-Track-Open: 0 und X-Mailin-Track-Click: 0 gesetzt).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahme) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem zuverlässigen Versand). Mit Brevo besteht ein Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO. Datenverarbeitung ausschließlich in der EU.

Mehr Informationen: brevo.com/de/legal/privacypolicy

9. Mitglieder-Bestellseite

Vereinsmitglieder können über /mitglieder/bestellseite Vereinsausrüstung bestellen. Wenn du eine Bestellung absendest, verarbeiten wir die folgenden Daten:

• Name, E-Mail-Adresse
• optional: Telefonnummer
• optional: Notizen zur Bestellung
• gewählte Produkte mit Größe und Menge sowie der server-seitig berechnete Gesamtbetrag
• Bestätigung deiner aktiven Mitgliedschaft (Pflicht-Häkchen)
• technisch: deine IP-Adresse zur Spam-Vermeidung (siehe Abschnitt 10)

Die Bestellung wird in der Datenbank gespeichert und automatisch per Mail an die Vereinsadresse info@fight-evolution.de übermittelt, damit der Vorstand die Bestellung bearbeiten kann. Eine persönliche Antwort vom Vorstand bekommst du anschließend per Mail (Brevo, siehe Abschnitt 8). Dein Warenkorb wird während der Auswahl ausschließlich lokal in deinem Browser (sessionStorage) gehalten und beim Absenden an unseren Server übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Abwicklung der Bestellung) und, bei Notizen, Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Produktbilder für die Bestellseite laden wir über Vercel Blob Storage (Domain *.public.blob.vercel-storage.com). Beim Anzeigen der Bilder wird deine IP-Adresse an Vercel übertragen. Vercel ist Auftragsverarbeiter (siehe Abschnitt 4).

Speicherdauer: Bestelldaten bewahren wir aus steuer- und handelsrechtlichen Gründen so lange auf, wie es gesetzlich vorgeschrieben ist (in der Regel 6 bis 10 Jahre nach § 257 HGB / § 147 AO), sofern sie als Beleg für eine Vereinsausgabe dienen. Bestellungen ohne buchhalterische Relevanz werden spätestens nach 24 Monaten gelöscht.

10. Spam- und Missbrauchsschutz

Um unsere Formulare (Probetraining, Bestellseite, Admin-Login) vor Bot- und Spam-Submissions zu schützen, setzen wir zwei Mechanismen ein:

• Honeypot-Feld: Ein für Menschen unsichtbares Eingabefeld im Formular. Wenn das Feld ausgefüllt ist, gehen wir von einem Bot aus und verwerfen die Einsendung. Es werden dabei keine Daten an Drittanbieter übermittelt.
• IP-Rate-Limit: Wir zählen pro IP-Adresse, wie oft ein Formular in einem Zeitfenster abgesendet wurde. Dazu speichern wir die IP-Adresse zusammen mit einem Zeitstempel in unserer Neon- Datenbank (Tabelle rate_limit). Diese Einträge werden täglich per Cron-Job (siehe Abschnitt 11) automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor automatisiertem Missbrauch).

11. Geplante Aufgaben (Vercel Cron)

Wir nutzen Vercel Cron, um zwei Wartungs-Aufgaben automatisch laufen zu lassen:

• /api/cron/cleanup-rate-limit : täglich um 03:00 Uhr UTC. Löscht abgelaufene Rate-Limit-Einträge.
• /api/cron/process-stale-pending : täglich um 06:00 Uhr UTC. Erkennt Probetraining-Anfragen, die seit längerer Zeit unbeantwortet sind, und benachrichtigt den Vorstand.

Diese Aufgaben verarbeiten ausschließlich Daten, die du uns ohnehin schon anvertraut hast. Ein zusätzlicher Datenfluss entsteht dabei nicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sauberen Betrieb).

12. Admin-Bereich (Vorstand)

Unter /admin gibt es einen geschützten Backend-Bereich für die Vorstände, um Probetraining-Anfragen, Bestellungen und Produktdaten zu verwalten. Der Zugang funktioniert per E-Mail und Passwort (Passwörter werden ausschließlich als bcrypt-Hash gespeichert, nie im Klartext).

Nach erfolgreichem Login setzen wir ein technisch notwendiges Cookie mit dem Namen fe_admin_session (verschlüsselt per iron-session, HttpOnly, SameSite=Lax, Secure in Produktion, Laufzeit 14 Tage). Es enthält ausschließlich die User-ID und den Login-Zeitpunkt, keine personenbezogenen Daten in lesbarer Form.

Im Admin-Bereich existiert zusätzlich eine Diagnose-Seite (/admin/diagnose), die den Status von Datenbank, Mailversand und Konfiguration prüft. Sie liest nur Zähler aus der Datenbank (keine personenbezogenen Daten) und kommuniziert mit keinem externen Dienst.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem geschützten Verwaltungszugang) und Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Mitgliedschaftsverhältnisses). Eingesetzt nur für Personen mit Vorstandsrolle, also keine Verarbeitung von Daten Externer ohne Anlass.

13. Externe Inhalte und Bilder

OpenStreetMap-Karte (auf Klick, mit Einwilligung)

Auf der Kontaktseite zeigen wir die Lage des Sportzentrums West auf einer Karte von OpenStreetMap (OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich). Die Karte wird erst dann geladen, wenn du aktiv auf „Karte laden“ klickst. Vorher wird kein Request an OpenStreetMap geschickt, kein IP-Transfer findet statt. Beim Laden der Karte überträgt dein Browser deine IP-Adresse und Browserinformationen an OpenStreetMap.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG (deine Einwilligung über den Klick). Mehr Informationen: wiki.osmfoundation.org/wiki/Privacy_Policy

Bilder vom alten WordPress-Server (Übergangsphase)

In der Übergangszeit bis zur vollständigen Umstellung der Domain fight-evolution.de auf das neue System laden wir einzelne Bilder noch aus unserem alten WordPress-Verzeichnis (fight-evolution.de/wp-content/uploads/). Beim Laden überträgt dein Browser deine IP-Adresse an unseren WordPress-Hoster (IONOS SE, Karlsruhe). Mit dem Domain-Switch werden alle Bilder zu Vercel migriert und dieser Schritt entfällt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Schriftarten

Wir nutzen die Schriftart Inter. Sie wird beim Build der Webseite lokal eingebunden und vom Vercel-Server ausgeliefert. Es findet kein Verbindungsaufbau zu Google Fonts oder anderen Drittanbieter-Schrift-CDNs statt.

14. Reichweitenmessung (Vercel Analytics & eigene Telemetrie)

Wenn du in der Cookie-Auswahl der Kategorie Analyse zustimmst, messen wir die Nutzung der Webseite über zwei Wege parallel. Beide arbeiten cookiefrei und ohne IP-Speicherung; ohne Zustimmung wird keiner der beiden Wege geladen.

14.1 Vercel Analytics & Vercel Speed Insights

Über unseren Hoster Vercel (siehe Abschnitt 4) nutzen wir die Dienste Vercel Analytics und Vercel Speed Insights zur anonymen Messung von Seitenaufrufen, Geräteart, ungefähr- er Region (auf Land-/Bundesland-Ebene) sowie Performance- Werten (Largest Contentful Paint, First Input Delay, Cumula- tive Layout Shift). Beide Dienste setzen keine Cookiesund speichern keine direkt personenbezogenen Daten. Vercel verarbeitet die Daten als Auftragsverarbeiter (siehe Abschnitt 4) auf Servern in der Europäischen Union. Eine ausführliche Beschreibung der erhobenen Daten findest du in der Vercel-Analytics-Privacy-Dokumentation.

Beide Dienste werden erst nach deiner Einwilligung in die Kategorie „Analyse“ geladen — vorher wird kein Script-Tag eingefügt und kein Request gestellt.

14.2 Eigene anonyme Telemetrie (Postgres)

Zusätzlich speichern wir eigene anonyme Reichweiten-Daten in unserer Postgres-Datenbank bei Neon (siehe Abschnitt 5), um Funnel-Conversions (z. B. „Probetraining-Formular abgeschickt") direkt mit unseren Antrags-Statistiken verbinden zu können — etwas, das Vercel Analytics nicht liefert. Alles bleibt auf unserem Server in der EU.

Wir erfassen pro Seitenaufruf:

• Pfad (z. B. /probetraining), Referrer (woher du kamst, ohne Query-Parameter), grobes Geräte-Typ-Indiz (Mobile/Tablet/Desktop), Verweildauer in Sekunden.
• Cookielose Session-ID: eine zufällig generierte ID (16-32 Hex-Zeichen), die im sessionStorage deines Browsers liegt und beim Tab-Schluss verschwindet. Sie verbindet die Seitenaufrufe innerhalb derselben Sitzung, erlaubt aber keinen Bezug zu deiner Person und nicht zu späteren Besuchen.
• Conversion-Events bei relevanten Aktionen (z. B. „Probetraining-Formular abgeschickt“, „Mitgliedsantrag genehmigt“) — ohne Inhalt, nur Typ + Zeitstempel + Session-ID.

Was wir NICHT speichern: keine IP-Adresse, kein User-Agent-Fingerprint, keine Cross-Device-Kennung, keine personenbezogenen Daten aus Formular-Eingaben. Ein einfacher Bot-Filter blockt offensichtliche Crawler (User-Agent-Pattern), bevor sie überhaupt in die Statistik einfließen.

Aufbewahrung: Alle Telemetrie-Einträge werden nach 90 Tagen automatisch gelöscht— der Lösch-Cron läuft täglich nachts (siehe Abschnitt 11).

Ohne Zustimmung wird keine Telemetrie erfasst — der Browser-Code sendet schlicht keinen Request an unseren Telemetrie-Endpoint. Du kannst deine Entscheidung jederzeit über den Link „Cookie-Einstellungen“ im Footer ändern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG (Einwilligung).

15. Fehleranalyse (Sentry)

Damit wir technische Fehler unserer Webseite zügig erkennen und beheben können, setzen wir den Dienst Sentry ein. Anbieter:

Functional Software, Inc. (Sentry)
45 Fremont Street, 8th Floor
San Francisco, CA 94105, USA
EU-Hosting: de.sentry.io (Frankfurt)

Wenn auf der Webseite ein Fehler auftritt (z. B. ein Skript-Crash im Browser oder ein Fehler beim Speichern einer Bestellung), wird ein technischer Fehlerbericht an Sentry übermittelt. Dieser enthält: Fehlertext, Stack-Trace, betroffene URL, Browser-/ Betriebssystem-Version sowie eine grobe Region-Schätzung.

Wir haben Sentry so konfiguriert, dass keine personenbezogenen Inhalte automatisch übertragen werden:

• Session Replay deaktiviert: Sentry zeichnet keine Bildschirm-Aufnahmen oder Tastatur-Eingaben auf.
• Keine Standard-PII: IP-Adresse, Cookies, Auth-Header und User-IDs werden vor dem Versand entfernt (sendDefaultPii: false).
• Keine Form-Inhalte: Eingaben aus Probetraining-Formular oder Bestellseite erscheinen nicht im Fehlerbericht.

Mit Sentry besteht ein Auftragsverarbeitungs-Vertrag (Data Processing Addendum) nach Art. 28 DSGVO. Da Sentry seinen Hauptsitz in den USA hat, gelten die Standardvertragsklauseln (Art. 46 Abs. 2 DSGVO). Der EU-Endpunkt de.sentry.io speichert die Fehlerberichte ausschließlich in Frankfurt. Speicherdauer: maximal 90 Tage, danach automatische Löschung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, fehlerfreien Webseiten-Betrieb). Du kannst dieser Verarbeitung jederzeit per E-Mail widersprechen (Art. 21 DSGVO). Bei Widerspruch deaktivieren wir das Sentry- Browser-Modul für deinen Browser-Kontext.

15a. Videochat im internen Bereich (Jitsi Meet)

Im internen, login-geschützten Adminbereich bieten wir einen Videochat über 8x8 Jitsi as a Service (JaaS) an. Anbieter: 8x8, Inc. Während eines Calls werden Audio, Video und der Anzeigename der teilnehmenden Vorstands- bzw. Admin-Personen verarbeitet. Es findet keine Aufnahme und keine Speicherung durch uns statt. Der Dienst lädt ausschließlich im eingeloggten Adminbereich — nicht auf öffentlichen Seiten, sodass normale Website-Besucher davon nicht betroffen sind. Anbieter ist die 8x8, Inc. (USA); die Übermittlung in die USA ist durch die Zertifizierung von 8x8 unter dem EU-U.S. Data Privacy Framework sowie durch Standardvertragsklauseln abgesichert, und mit 8x8 besteht ein Auftragsverarbeitungs-Vertrag (Art. 28 DSGVO). IP-Adressen werden von 8x8 vor der Verarbeitung obfuskiert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an interner Vereinskommunikation).

16. Kontakt per E-Mail oder Telefon

Wenn du uns per E-Mail oder Telefon kontaktierst, verarbeiten wir deine Angaben (Name, Kontaktdaten, Anliegen) ausschließlich zur Beantwortung deiner Anfrage. Eine Weitergabe an Dritte findet nicht statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Wir löschen die Kommunikation, sobald sie nicht mehr benötigt wird, spätestens nach 24 Monaten, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

17. Cookie-Einstellungen ändern

Hier kannst du deine aktuelle Auswahl anschauen, ändern oder komplett zurücksetzen. Beim Zurücksetzen erscheint der Cookie-Banner beim nächsten Seitenaufruf erneut.

18. Deine Rechte

Als betroffene Person stehen dir gegenüber dem Verantwortlichen die folgenden Rechte zu:

• Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung deiner Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung, soweit sie auf einem berechtigten Interesse beruht (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Wende dich für die Ausübung dieser Rechte einfach formlos an uns unter info@fight-evolution.de.

19. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen Rechtsbehelfs steht dir das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat deines Aufenthaltsorts oder Arbeitsplatzes. Für uns als Verein mit Sitz in Baden-Württemberg ist zuständig:

20. Online-Mitgliedsantrag

Wenn du ein Mitglied unseres Vereins werden möchtest, kannst du den Antrag online stellen. Wir verarbeiten dabei deine Angaben zur Begründung der Vereins- mitgliedschaft (Art. 6 Abs. 1 lit. b DSGVO) und zur Erfüllung damit verbundener Vereinspflichten (Beitrags- einzug, Versicherung, Trainingsorganisation).

Wir erfassen:

• Stammdaten: Name, Geburtsdatum, Geschlecht, Anschrift, E-Mail-Adresse, Mobilnummer (für die Vereins-WhatsApp-Gruppe), optional Festnetztelefon, Beruf.
• Bei Minderjährigen: Name, Geburtsdatum, Anschrift, E-Mail und Telefon der erziehungsberechtigten Person.
• Trainings- und Beitragsdaten: gewählte Disziplinen, Beitragsmodell, Hinweis ob Geschwister-Rabatt, optional Bezug zum Probetraining.
• SEPA-Lastschriftmandat: Kontoinhaber (falls abweichend mit Anschrift), IBAN, optional BIC und Kreditinstitut.
• Einwilligungen: Satzung gelesen, Unterrichtsordnung gelesen, Datenverarbeitung gemäß DSGVO, Foto-/Bildveröffentlichung im Vereinskontext, SEPA-Mandat, WhatsApp-Gruppen-Aufnahme. Die Foto-/Bild- veröffentlichung ist Voraussetzung für die Mitgliedschaft (Teil der Vereinsdarstellung); die WhatsApp-Gruppen-Aufnahme ist freiwillig — ohne sie informiert dich der Vorstand per E-Mail. Falls die Foto-Einwilligung für dich nicht geht (z. B. berechtigte Persönlichkeitsschutz-Gründe), bespricht der Vorstand eine Härtefall-Lösung individuell — schreib uns dazu vorab eine Mail an info@fight-evolution.de.
• Optional: Ermäßigungs-Nachweis (z. B. Schüler-/Studierenden-Ausweis, Kinderausweis-Kopie). Diese Datei wird im privaten Vercel-Blob- Speicher abgelegt und ist nur über eine Login-geschützte oder Token-gesicherte Streaming-Route abrufbar — keine direkte URL ist im Antrag oder in Mails enthalten.
• Unterschrift: wird im Browser per Touch/Maus erfasst und als PNG-Bild zusammen mit dem Antrag gespeichert. Der erzeugte Mitgliedervertrag ist eine PDF, die intern in der Datenbank verbleibt und dir nach Genehmigung als Anhang per Mail zugestellt wird.

Approval-Flow: Nach dem Submit erhält der Vorstand eine E-Mail mit einem Magic-Link, über den der Antrag mit einem Klick genehmigt werden kann. Dieser Magic-Link ist 7 Tage gültig und wird nach erfolgreicher Genehmigung sofort entwertet, damit ein weitergeleiteter Link keine Antragsdaten mehr offenlegen kann.

Speicherdauer: Die Antragsdaten werden für die Dauer der Vereinsmitgliedschaft gespeichert. Nach Austritt halten wir sie noch sechs Jahre auf, soweit handelsrechtliche Aufbewahrungsfristen oder die Pflicht zur Verteidigung von Beitragsforderungen das vorschreiben. Danach wird der Datensatz hart gelöscht; dabei wird auch der hochgeladene Ermäßigungs-Nachweis aus dem Blob-Speicher entfernt (DSGVO-Lösch-Pflicht erfüllt).

Empfänger: Vorstand des Vereins. Eine Weitergabe an Dritte erfolgt nicht, außer an unsere Bank zur Durchführung der SEPA-Lastschrift und an den Versicherer im Schadensfall.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag / Mitgliedschaft) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung Foto / WhatsApp).

20a. Mitgliedschaftsverwaltung — Stundung (Ruhendstellung)

Mitglieder können ihre Mitgliedschaft über das Formular unter /mitgliedschaft-pausieren vorübergehend stunden (Ruhendstellung). Zur Bearbeitung des Stundungsantrags verarbeiten wir:

• Name, E-Mail-Adresse, Mitgliedsnummer
• Gewünschter Pausenbeginn und voraussichtliches Ende der Pause
• Freitext-Begründung (freiwillig)
• Bei einer beantragten Stundung von mehr als 6 Monaten: ein Nachweisdokument (z. B. ärztliches Attest)

Verarbeitungszweck und Rechtsgrundlage

Die Verarbeitung dient der Verwaltung des Mitgliedschaftsverhältnisses (Beitragsstopp, Laufzeitverschiebung) und erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Mitgliedschaftsvertrags).

Ärztliches Attest — Gesundheitsdaten (Art. 9 DSGVO)

Ein ärztliches Attest ist ein besonderes personenbezogenes Datum im Sinne von Art. 9 DSGVO (Gesundheitsdaten). Wir verarbeiten es ausschließlich, wenn du es uns freiwillig für eine Stundung von mehr als 6 Monaten einreichst. Rechtsgrundlage ist deine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, die du mit dem Einreichen des Dokuments erteilst. Du kannst sie jederzeit mit Wirkung für die Zukunft widerrufen; in diesem Fall wird das Attest umgehend gelöscht und die Stundung auf maximal 6 Monate begrenzt.

Speicherung: Das hochgeladene Attest wird im privaten Vercel-Blob-Speicher abgelegt (keine öffentliche URL, Zugriff ausschließlich über eine Login-geschützte Route für Vorstand und Geschäftsstelle). Es ist für keine weiteren Personen abrufbar.

Löschung: Das Attest wird gelöscht, sobald der Zweck entfallen ist — spätestens mit Ende der Stundungsphase — oder wenn du deinen Widerruf erklärst. Es gilt darüber hinaus die gesetzliche Aufbewahrungsfrist des zugrundeliegenden Mitgliedschaftsverhältnisses (in der Regel 6 Jahre nach Beendigung der Mitgliedschaft nach § 257 HGB / § 147 AO), sofern das Dokument als Beleg für die Beitragsanpassung buchhalterisch relevant ist.

Empfänger: Vorstand des Vereins und Geschäftsstelle. Eine Weitergabe an Dritte findet nicht statt.

Du kannst die Löschung deiner Stundungsdaten jederzeit per E-Mail an info@fight-evolution.de verlangen.

20b. Online-Kündigung der Mitgliedschaft

Über das Kündigungs-Formular kannst du deine Mitgliedschaft online kündigen. Dabei verarbeiten wir die von dir angegebenen Daten: Vor- und Nachname, E-Mail-Adresse sowie — soweit du ihn angibst — einen Kündigungsgrund. Diese Daten dienen ausschließlich der Bearbeitung und Bestätigung deiner Kündigung.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung bzw. Beendigung des Mitgliedschaftsverhältnisses). Die Angabe eines Grundes ist freiwillig; nennst du dabei einen gesundheitsbezogenen Grund, beruht dessen Verarbeitung auf deiner freiwilligen Mitteilung (Art. 9 Abs. 2 lit. a DSGVO).

Speicherung: Wir bewahren die Kündigung als Nachweis für die Dauer der gesetzlichen und satzungsgemäßen Aufbewahrungs- bzw. Verjährungsfristen auf und löschen sie anschließend.

21. WhatsApp-Push-Nachrichten an den Vorstand (Twilio)

Damit der Vorstand zeitnah auf neue Anfragen reagieren kann, schicken wir bei bestimmten Ereignissen — neue Probetraining-Anfrage, neuer Mitgliedsantrag, Probetraining- Slot konnte nicht zugeordnet werden — kurze 1:1-Push- Nachrichten an die Vorstands-Telefonnummern via WhatsApp Business (Twilio).

Anbieter: Twilio Inc., 101 Spear Street, San Francisco, CA 94105, USA, mit EU-Tochtergesellschaft Twilio Ireland Limited, 25-28 North Wall Quay, Dublin 1, Irland.

Diese Nachrichten enthalten ausschließlich für den Vorstand bestimmte Kurz-Hinweise (Vor- und Nachname des Antragstellers, Mandatsreferenz, Trainings-Slot bei Probetraining, Admin-Link). Es werden keine vollständigen Antragsformulare, IBAN-Daten oder Adressen via WhatsApp versendet — die liegen ausschließlich im Login-geschützten Admin-Bereich.

Twilio verarbeitet diese Daten als Auftragsverarbeiter (Art. 28 DSGVO). Mit Twilio besteht ein Auftragsverarbeitungs- Vertrag; die Übermittlung in die USA erfolgt auf Basis der Standardvertragsklauseln (Art. 46 Abs. 2 DSGVO).

Über das WhatsApp-Netzwerk geht die Nachricht zusätzlich an WhatsApp Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland (Teil von Meta Platforms Inc.). Die WhatsApp-Datenschutzbestimmungen findest du auf whatsapp.com/legal/privacy-policy-eea.

Diese Verarbeitung betrifft ausschließlich die zustimmenden Vorstandsmitglieder (sie haben ihre Telefonnummern selbst im internen Settings-Bereich hinterlegt) und tangiert die Daten anderer Personen nur in dem Umfang, der für die Bearbeitung deiner Anfrage notwendig ist (Name + Hinweis, dass eine Anfrage eingegangen ist).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zeitnahen Bearbeitung von Anfragen) für die Push-Nachricht an den Vorstand; Art. 6 Abs. 1 lit. b DSGVO (Bearbeitung deiner Anfrage) für den Datenanteil, der dich als anfragende Person betrifft.

22. Aktualität und Änderungen

Diese Datenschutzerklärung hat den Stand Juni 2026. Durch die Weiterentwicklung unserer Webseite oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Fassung kann jederzeit unter https://fight-evolution.de/datenschutz abgerufen werden.