Datenschutzerklärung

A. Bei Besuch der Website (ohne Registrierung)

Wenn Sie unsere Website besuchen, werden automatisch folgende Server-Logdaten erhoben:

• IP-Adresse (anonymisiert nach 7 Tagen)
• Datum und Uhrzeit der Anfrage
• Zeitzonendifferenz zur GMT
• Inhalt der Anforderung (konkrete Seite/URL)
• Zugriffsstatus / HTTP-Statuscode (z.B. 200, 404)
• Übertragene Datenmenge in Bytes
• Referrer (Website, von der die Anforderung kommt)
• Browser-Informationen (User-Agent-String: Browser, Betriebssystem, Gerätetyp)

Zweck: Sicherstellung des technischen Betriebs, Fehlererkennung, Schutz vor Missbrauch (z.B. DDoS-Attacken)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)
Speicherdauer: 7 Tage, danach Anonymisierung oder Löschung

B. Für Nutzer (Mieter / Sportler)

(1) Registrierungsdaten

• Vor- und Nachname
• E-Mail-Adresse
• Telefonnummer
• Passwort (verschlüsselt gespeichert mittels Bcrypt-Hash)

(2) Buchungsdaten

• Datum und Uhrzeit der Buchung
• Gewählte Sportfläche (Platz-ID, Name, Adresse)
• Buchungszeitraum (Start- und Endzeit)
• Preis (Buchungspreis in EUR)
• Buchungsstatus (Angefragt, ZahlungAusstehend, Bestätigt, Storniert, Abgeschlossen)

(3) Zahlungsinformationen

• Zahlungshistorie (Transaktions-IDs, Zeitstempel)
• Zahlungsstatus (Erfolgreich, Fehlgeschlagen, Erstattet)
• Zahlungsmethode (z.B. Kreditkarte [Marke: Visa, Mastercard], Apple Pay, Google Pay)
• Stripe Payment Intent ID (Referenznummer)

WICHTIG: Wir speichern KEINE vollständigen Kreditkartendaten (Kartennummer, CVV, Ablaufdatum). Diese werden ausschließlich vom Zahlungsdienstleister Stripe verarbeitet und gespeichert. Wir erhalten nur eine verschlüsselte Referenz-ID.

(4) Standortdaten (optional)

• Geografische Koordinaten (Längen- und Breitengrad)
• Nur wenn Sie die Umkreissuche aktiv nutzen und die Standortfreigabe in Ihrem Browser erlauben

Zweck: Anzeige von Sportflächen in Ihrer Nähe
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Sie können die Standortfreigabe jederzeit in Ihren Browser-Einstellungen widerrufen.

(5) Kommunikationsdaten

• Nachrichten über das Nachrichten-System der Plattform
• E-Mail-Korrespondenz mit FieldFusion-Support

(6) Nutzungsdaten

• Login-Zeiten und Nutzungshistorie
• Besuchte Seiten auf der Plattform
• Suchbegriffe bei der Platzsuche

C. Für Anbieter (Vermieter / Vereine / Betreiber)

Wenn Sie sich als Anbieter (Vermieter) registrieren, verarbeiten wir zusätzlich:

(1) Identitätsdaten des Ansprechpartners

• Vor- und Nachname des Vertretungsberechtigten
• E-Mail-Adresse
• Telefonnummer

(2) Vereins- / Firmendaten (bei gewerblichen Anbietern)

• Vereinsname / Firmenname
• Geschäftsadresse
• Rechtsform (z.B. e.V., GmbH, GbR)
• Handelsregisternummer (bei eingetragenen Unternehmen)
• Vereinsregisternummer (bei eingetragenen Vereinen)

(3) Objektdaten (Sportflächen)

• Adresse der Sportstätte(n)
• Geografische Koordinaten (automatisch ermittelt)
• Fotos der Sportfläche(n)
• Beschreibungen (Platzgröße, Ausstattung, Oberflächentyp)
• Verfügbarkeiten (Kalendereinträge, wiederkehrende Muster)
• Preise (pro Stunde, Sonderpreise)

(4) Finanzdaten für Auszahlungen

• IBAN (Bankverbindung)
• Steueridentifikationsnummer (bei gewerblichen Anbietern)
• Umsatzsteuer-Identifikationsnummer (USt-ID, falls vorhanden)
• Stripe Connected Account ID (Referenz-ID)

(5) KYC-Daten (Know Your Customer) für Stripe Connect

Im Rahmen der gesetzlich vorgeschriebenen Identitätsprüfung durch Stripe (gemäß Geldwäschegesetz) werden folgende Dokumente verarbeitet:

• Kopie des Personalausweises oder Reisepasses
• Handelsregisterauszug (bei Unternehmen)
• Vereinsregisterauszug (bei Vereinen)
• Gewerbeschein (bei Gewerbetreibenden)

WICHTIG: Diese Daten werden direkt an Stripe übermittelt und dort verarbeitet. FieldFusion speichert KEINE Kopien dieser Dokumente.

(6) Transaktionsdaten

• Buchungshistorie (alle Buchungen auf Ihren Plätzen)
• Auszahlungshistorie (Stripe Transfers)
• Rückerstattungen und Stornierungen

5.1 Bereitstellung der Plattform & Sicherheit

Zweck:

• Technischer Betrieb der Website und Web-App
• Fehlerbehebung und Systemwartung
• Schutz vor Missbrauch (z.B. DDoS-Attacken, Spam)
• Sicherstellung der IT-Sicherheit

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an einem sicheren, stabilen und störungsfreien Betrieb)

5.2 Registrierung und Nutzerkonto

Zweck:

• Verwaltung Ihres Benutzerkontos
• Login-Funktionalität (Authentifizierung)
• Unterscheidung zwischen Mietern und Vermietern
• Zuordnung von Buchungen zu Nutzern

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Nutzungsvertrag über die Plattform)

5.3 Abwicklung von Buchungen (Marktplatz-Funktion)

Zweck:

• Vermittlung zwischen Mietern und Vermietern
• Übermittlung der Buchungsdaten an den jeweiligen Vermieter
• Reservierung im Kalender
• Benachrichtigungen (Buchungsbestätigung, Erinnerungen)
• Stornierungsabwicklung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Vermittlungsvertrag)

5.4 Zahlungsabwicklung

Zweck:

• Einzug des Mietpreises vom Mieter
• Auszahlung des Anbieteranteils an den Vermieter (abzüglich 5% Plattformgebühr)
• Rückerstattungen bei Stornierungen
• Erstellung von Buchungsbelegen
• Erfüllung steuerrechtlicher Aufbewahrungspflichten (10 Jahre gemäß § 147 AO)

Rechtsgrundlage:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Verpflichtungen – Steuerrecht, Handelsrecht)

5.5 Support & Kommunikation

Zweck:

• Beantwortung von Anfragen per E-Mail oder Nachrichten-System
• Information über Buchungsänderungen
• Technischer Support bei Problemen
• Kundenservice

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsbezogene Kommunikation) / Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse bei allgemeinen Anfragen)

5.6 Bewertungssystem

Zweck:

• Qualitätssicherung auf der Plattform
• Ermöglichung von Nutzerbewertungen für Anbieter
• Transparenz und Vertrauensbildung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an Qualitätssicherung und Transparenz)

5.7 Verbesserung der Plattform (Analyse)

Zweck:

• Analyse des Nutzungsverhaltens (aggregiert und anonymisiert)
• Optimierung der Benutzerfreundlichkeit
• Fehlererkennung und Behebung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Verbesserung unserer Dienste)

WICHTIG: Wir setzen KEINE Tracking-Tools wie Google Analytics ein. Alle Analysen erfolgen auf Basis anonymisierter Server-Logdaten.

6.1 Datenweitergabe an Vermieter (Anbieter)

Wenn Sie als Nutzer (Mieter) eine Sportstätte buchen, übermitteln wir folgende Daten an den jeweiligen Anbieter:

• Vor- und Nachname
• Telefonnummer
• Buchungszeitraum (Datum, Start- und Endzeit)
• E-Mail-Adresse (nur auf Anfrage des Anbieters)

Zweck: Der Anbieter muss wissen, wer seine Anlage nutzt (Hausrecht, Sicherheit, Kontaktaufnahme bei Notfällen)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Wichtiger Hinweis: Der Anbieter ist ein eigenständiger Verantwortlicher im Sinne der DSGVO und muss Ihre Daten gemäß Datenschutzrecht verarbeiten. Für die Datenverarbeitung durch den Anbieter ist dieser selbst verantwortlich.

6.2 Zahlungsdienstleister: Stripe

Wir nutzen für die Zahlungsabwicklung und das Onboarding von Anbietern den Dienst Stripe Connect, angeboten von:

Stripe Payments Europe, Ltd.

1 Grand Canal Street Lower

Grand Canal Dock

Dublin, Irland

Website: https://stripe.com
Datenschutz: https://stripe.com/de/privacy

Welche Daten werden an Stripe übermittelt?

Für Mieter (bei Zahlung):

• Name, E-Mail-Adresse
• Zahlungsdaten (Kreditkartennummer, Ablaufdatum, CVV – NICHT von FieldFusion gespeichert)
• Transaktionsbetrag
• IP-Adresse (zur Betrugsprävention)

Für Vermieter (bei Stripe Connect Onboarding):

• Identitätsdaten (Name, Geburtsdatum, Adresse)
• Bankverbindung (IBAN)
• Identitätsdokumente (Personalausweis, Reisepass)
• Firmendaten (bei gewerblichen Anbietern)

Zweck der Datenverarbeitung durch Stripe:

• Zahlungsabwicklung (Payment Intents)
• Betrugsprävention (3D Secure, Risikobewertung)
• Identitätsprüfung (KYC gemäß Geldwäschegesetz)
• Auszahlungen an Vermieter (Stripe Connect Transfers)

Rechtsgrundlage:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Verpflichtungen – Geldwäschegesetz)

Datentransfer in Drittländer (USA):

Stripe kann Daten in die USA übermitteln. Die Übermittlung erfolgt auf Grundlage:

• Des EU-US Data Privacy Framework (Angemessenheitsbeschluss gemäß Art. 45 DSGVO)
• Standardvertragsklauseln (SCC) der EU-Kommission gemäß Art. 46 DSGVO

Weitere Informationen: Stripe International Data Transfers

6.3 Hosting & Technische Dienstleister

Wir setzen technische Dienstleister ein (Auftragsverarbeiter gemäß Art. 28 DSGVO), die Daten in unserem Auftrag hosten und warten. Mit allen Dienstleistern haben wir Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen.

6.4 Kartendienste (OpenStreetMap & Leaflet.js)

Um Sportstätten auf einer interaktiven Karte anzuzeigen, nutzen wir:

OpenStreetMap (OSM)

OpenStreetMap Foundation

132 Maney Hill Road, Sutton Coldfield

B72 1JU, Vereinigtes Königreich

Website: www.openstreetmap.org
Datenschutz: OSM Privacy Policy

Leaflet.js: Open-Source JavaScript-Bibliothek zur Anzeige von Karten

Welche Daten werden übermittelt?

Beim Laden der Karte wird Ihre IP-Adresse an die OpenStreetMap-Server übertragen, um Kartenkacheln (Bilder) herunterzuladen.

Zweck: Anzeige von Sportstätten auf einer interaktiven Karte

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an einer leicht verständlichen Standortdarstellung)

6.5 Geocoding-Dienst (Nominatim API)

Zur automatischen Ermittlung von geografischen Koordinaten aus Adressen nutzen wir:

Nominatim API (OpenStreetMap)

nominatim.openstreetmap.org

Verarbeitete Daten:

• Adresse der Sportfläche (vom Anbieter eingegeben)
• IP-Adresse (zur Ratenbegrenzung)

Zweck: Automatische Geocodierung von Adressen für die Kartenanzeige

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)

6.6 Weitergabe an Behörden

Wir sind gesetzlich verpflichtet, auf Anfrage von Strafverfolgungsbehörden oder Finanzbehörden personenbezogene Daten herauszugeben, wenn:

• Ein gerichtlicher Beschluss oder eine behördliche Anordnung vorliegt
• Der Verdacht einer Straftat besteht
• Steuerrechtliche Prüfungen durchgeführt werden

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Verpflichtungen)

7.1 Account-Daten

Speicherdauer: Bis zur Löschung des Accounts durch den Nutzer oder Anbieter

Löschung: Sie können Ihren Account jederzeit über die Account-Einstellungen löschen oder per E-Mail an info@fieldfusion.de beantragen.

Nach Löschung: Registrierungsdaten werden gelöscht, Buchungsdaten und Zahlungsdaten werden anonymisiert (Name und E-Mail werden durch Platzhalter ersetzt, z.B. "Nutzer_12345") aufgrund steuerrechtlicher Aufbewahrungspflichten.

7.2 Buchungs- und Zahlungsdaten

Speicherdauer: 10 Jahre ab Ende des Kalenderjahres, in dem die Buchung stattgefunden hat

Rechtsgrundlage: § 147 Abgabenordnung (AO) – steuerliche Aufbewahrungspflicht

Beispiel: Buchung am 15.03.2025 → Löschung frühestens am 31.12.2035

Nach Ablauf der Frist: Vollständige Löschung

7.3 Server-Logfiles

Speicherdauer: 7 Tage, danach Anonymisierung oder Löschung

Anonymisierung: IP-Adressen werden nach 7 Tagen anonymisiert (z.B. 192.168.1.XXX)

7.4 E-Mail-Korrespondenz (Support)

Speicherdauer: Bis zur Klärung des Anliegens + 3 Jahre (für eventuelle Gewährleistungsansprüche)

Danach: Löschung

7.5 Bewertungen

Speicherdauer: Unbegrenzt, solange der Account des Anbieters aktiv ist

Bei Account-Löschung des Anbieters: Bewertungen werden anonymisiert (Name des Bewerters wird durch "Anonymer Nutzer" ersetzt)

8.1 Auskunftsrecht (Art. 15 DSGVO)

Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen, insbesondere über:

• Zwecke der Verarbeitung
• Kategorien der verarbeiteten Daten
• Empfänger, an die Daten weitergegeben wurden
• Geplante Speicherdauer
• Herkunft der Daten (falls nicht direkt bei Ihnen erhoben)

So stellen Sie einen Antrag:

E-Mail an: info@fieldfusion.de mit dem Betreff "Auskunftsantrag DSGVO"

8.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie können die Berichtigung falscher oder Vervollständigung unvollständiger Daten verlangen.

So stellen Sie einen Antrag: E-Mail an info@fieldfusion.de oder direkt über Ihre Account-Einstellungen

8.3 Recht auf Löschung (Art. 17 DSGVO – "Recht auf Vergessenwerden")

Sie können die Löschung Ihrer Daten verlangen, wenn:

• Die Daten für die Zwecke nicht mehr erforderlich sind
• Sie Ihre Einwilligung widerrufen haben
• Sie Widerspruch gegen die Verarbeitung eingelegt haben
• Die Daten unrechtmäßig verarbeitet wurden

Ausnahmen (keine Löschung möglich):

• Aufbewahrungspflichten bestehen (z.B. steuerrechtliche Pflicht zur 10-jährigen Aufbewahrung)
• Die Daten sind zur Geltendmachung von Rechtsansprüchen erforderlich

8.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung verlangen, wenn:

• Sie die Richtigkeit der Daten bestreiten (für die Dauer der Prüfung)
• Die Verarbeitung unrechtmäßig ist, Sie aber keine Löschung wünschen
• Wir die Daten nicht mehr benötigen, Sie diese aber zur Geltendmachung von Rechtsansprüchen benötigen

Bedeutung: Die Daten dürfen nur noch gespeichert, aber nicht mehr verarbeitet werden.

8.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie können den Erhalt Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format (z.B. CSV, JSON) verlangen.

So stellen Sie einen Antrag: E-Mail an info@fieldfusion.de mit dem Betreff "Datenübertragbarkeit DSGVO"

8.6 Widerspruchsrecht (Art. 21 DSGVO)

Sofern wir Daten auf Basis von berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, können Sie Widerspruch einlegen.

Beispiele: Verarbeitung von Logfiles zur Sicherheit, Analyse des Nutzungsverhaltens zur Plattform-Verbesserung

8.7 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen.

Zuständige Aufsichtsbehörde:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)

Promenade 18

91522 Ansbach, Deutschland

Telefon: +49 (0)981 180093-0
E-Mail: poststelle@lda.bayern.de
Website: www.lda.bayern.de

9.1 Technische Maßnahmen

• SSL/TLS-Verschlüsselung: HTTPS mit TLS 1.3 – Alle Datenübertragungen sind verschlüsselt
• Passwort-Hashing: Bcrypt-Hashing mit individuellem Salt pro Passwort
• Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC), nur autorisierte Mitarbeiter haben Admin-Zugriff
• Firewall & DDoS-Schutz: Web Application Firewall (WAF), Schutz vor SQL-Injection und XSS
• Regelmäßige Updates: Alle Bibliotheken und Frameworks werden regelmäßig aktualisiert

9.2 Organisatorische Maßnahmen

• Datenschutzschulungen: Alle Mitarbeiter werden im Datenschutz geschult
• Zugriffsbeschränkungen: Nur autorisierte Personen haben Zugriff auf personenbezogene Daten
• Auftragsverarbeitungsverträge: Mit allen Dienstleistern gemäß Art. 28 DSGVO

9.3 Datensicherung (Backup)

• Tägliche Backups: Datenbank wird täglich gesichert
• Aufbewahrung: Backups werden 30 Tage lang aufbewahrt
• Verschlüsselung: Backups sind verschlüsselt

10.1 Keine Tracking-Cookies

Wichtig: FieldFusion nutzt KEINE Tracking-Cookies und KEINE Analyse-Tools wie Google Analytics, Facebook Pixel oder ähnliche Dienste.

Wir verzichten bewusst auf:

• Marketing-Cookies
• Werbe-Cookies
• Tracking-Cookies
• Third-Party-Cookies

Grund: Privacy-First Design – Ihr Datenschutz ist uns wichtiger als Marketing-Analysen.

10.2 Technisch notwendige Cookies

Wir setzen ausschließlich technisch notwendige Cookies ein, die für den Betrieb der Plattform erforderlich sind:

10.3 Keine Cookie-Banner

Da wir KEINE Tracking-Cookies einsetzen, benötigen wir gemäß § 25 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) KEINEN Cookie-Banner.

Technisch notwendige Cookies sind ohne Einwilligung zulässig.