1. Verantwortlicher und Kontakt
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Vorschriften ist:
1x1PUBLISHING GmbH
Tegernseer Landstraße 52
81541 München
Deutschland
Geschäftsführer: Nepomuk V. Fischer, Florian Tischner
Handelsregister: AG München, HRB 212248
USt-IdNr.: DE295852145
Kontakt für Datenschutzanfragen:
E-Mail: team@1x1sport.de
2. Datenschutzbeauftragter
Wir haben keinen Datenschutzbeauftragten bestellt. Eine Pflicht zur Bestellung besteht nach § 38 BDSG i.V.m. Art. 37 DSGVO für unser Unternehmen nicht, da wir nicht regelmäßig mehr als 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, keine Verarbeitung mit hohem Risiko durchführen und keine besonderen Kategorien personenbezogener Daten in großem Umfang verarbeiten.
Für alle Datenschutz-Anliegen wende dich bitte an: team@1x1sport.de
3. Allgemeine Hinweise zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website und unserer Dienste erforderlich ist und eine Rechtsgrundlage besteht. Wir verarbeiten Daten transparent, zweckgebunden, datenminimierend und zeitlich begrenzt.
3.1 Welche Daten wir nicht verarbeiten
- Keine Passwörter – wir nutzen passwortlose Anmeldung per E-Mail-Link
- Keine Zahlungsdaten – die Taktikapp ist kostenlos
- Keine Standortdaten – Geolocation ist per Browser-Permissions-Policy deaktiviert
- Kein Mikrofon-/Kamerazugriff – per Permissions-Policy deaktiviert
- Keine Bild- oder Videouploads – Nutzer speichern ausschließlich Zeichnungsdaten in JSON-Form sowie Textannotationen mit maximal 500 Zeichen
- Keine Tracking-Cookies ohne deine Einwilligung
3.2 Keine automatisierte Entscheidungsfindung
Wir nutzen keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO. Dies gilt insbesondere auch für Profiling: Wir erstellen keine Nutzerprofile und treffen keine Entscheidungen über dich auf rein automatisierter Basis.
4. Rechtsgrundlagen der Verarbeitung
Die Verarbeitung deiner personenbezogenen Daten stützt sich auf folgende Rechtsgrundlagen der DSGVO:
| Rechtsgrundlage | Anwendung |
|---|---|
| Art. 6 Abs. 1 lit. a (Einwilligung) | Newsletter-Anmeldung (inkl. Werbung für eigene Produkte/Onlinekurse), Cookie-/Analyse-Tracking, Site-Tracking |
| Art. 6 Abs. 1 lit. b (Vertragsdurchführung) | Account-Erstellung, Magic-Link-Login, Speichern von Boards, transaktionale E-Mails |
| Art. 6 Abs. 1 lit. f (berechtigtes Interesse) | Missbrauchsprävention, Server-Logs, Admin-Audit, Sicherstellung Plattform-Integrität |
| Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung) | Aufbewahrung bei Behörden-/Gerichtsanfragen, Beweissicherung |
5. Daten beim Aufruf der Website (Server-Logs)
Beim Aufruf von taktikapp.de werden vom Server unseres Hosting-Anbieters automatisch Daten verarbeitet, die dein Browser übermittelt:
- IP-Adresse
- Datum und Uhrzeit der Anfrage
- Aufgerufene URL und HTTP-Status
- Referrer-URL (vorherige Seite)
- User-Agent (Browser, Betriebssystem)
- Übertragene Datenmenge
Zweck: Bereitstellung der Website, Erkennung und Abwehr von Angriffen, Missbrauchsprävention, technische Stabilität.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionsfähigen, sicheren Website).
Speicherdauer: Server-Logs werden nach 14 Tagen automatisch gelöscht oder anonymisiert.
6. Cookies und Consent-Banner
6.1 Was sind Cookies?
Cookies sind kleine Textdateien, die dein Browser speichert. Wir nutzen technisch notwendige Cookies sowie – mit deiner Einwilligung – Cookies für Analyse und Marketing.
6.2 Eingesetzte Cookies und Speicher
| Name | Zweck | Speicherdauer | Kategorie |
|---|---|---|---|
tk_session | Login-Session nach Magic-Link-Klick | 90 Tage | Essentiell |
tk_csrf | Schutz vor Cross-Site-Request-Forgery | Sitzung | Essentiell |
consent (localStorage) | Speichern deiner Cookie-Auswahl | bis Löschung | Essentiell |
| Google Analytics 4 | Reichweitenmessung, Nutzungsanalyse | siehe Ziffer 10.3 | Analyse |
| ActiveCampaign Site Tracking | Erkennung Kampagnen-Herkunft | siehe Ziffer 10.2 | Marketing |
6.3 Consent-Banner und deine Wahlmöglichkeiten
Beim ersten Besuch fragen wir dich, welche Cookie-Kategorien du erlauben möchtest. Du kannst:
- Alle akzeptieren – alle Kategorien aktivieren
- Nur notwendige – nur essentielle Cookies (keine Einwilligung erforderlich)
- Einstellungen anpassen – einzelne Kategorien aktivieren oder ablehnen
Deine Einwilligung kannst du jederzeit über den Link „Cookie-Einstellungen“ im Footer widerrufen oder ändern. Der Widerruf hat keine Auswirkungen auf die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
7. Magic-Link-Authentifizierung (passwortloser Login)
Statt eines Passworts nutzen wir einen passwortlosen Login per Einmal-Link. Wenn du dich anmeldest:
- Du gibst deine E-Mail-Adresse ein
- Wir generieren einen kryptographisch zufälligen Token (24 Byte) und speichern ausschließlich dessen SHA-256-Hash – den Klartext-Token kennt nur du in der dir zugesandten E-Mail
- Du erhältst eine E-Mail mit einem Login-Link, der 15 Minuten gültig ist
- Beim Klick wird der Token einmalig eingelöst und ein Session-Cookie gesetzt
- Die E-Mail wird über unseren Auftragsverarbeiter Mandrill (Intuit Inc.) versendet (siehe Ziffer 10.1)
Verarbeitete Daten
| Datum | Zweck | Speicherdauer | Rechtsgrundlage |
|---|---|---|---|
| E-Mail-Adresse | Account-Identifikation, Magic-Link-Versand | bis Account-Löschung | Art. 6 Abs. 1 lit. b DSGVO |
| Token-Hash (kein Klartext) | Login-Verifikation, Einmalverwendung | bis Einlösung oder Ablauf (15 Min) | Art. 6 Abs. 1 lit. b DSGVO |
| IP-Adresse bei Login | Missbrauchsprävention, Rate-Limiting | 90 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| User-Agent (max. 500 Zeichen) | Missbrauchserkennung | 90 Tage | Art. 6 Abs. 1 lit. f DSGVO |
8. Daten bei Nutzung der App
8.1 Board-Erstellung und -Verwaltung
Wenn du Taktik-Boards erstellst und speicherst, verarbeiten wir:
| Datum | Zweck | Speicherdauer | Rechtsgrundlage |
|---|---|---|---|
| Board-Daten (JSON) | Speicherung deiner Taktiken | bis du löschst oder Account gelöscht wird | Art. 6 Abs. 1 lit. b DSGVO |
| Board-Name | Bezeichnung deiner Taktik | wie oben | Art. 6 Abs. 1 lit. b DSGVO |
| Erstell-Zeitstempel | Verwaltung deiner Boards | wie oben | Art. 6 Abs. 1 lit. b DSGVO |
| IP bei Erstellung | Missbrauchsprävention, Rate-Limiting | 90 Tage | Art. 6 Abs. 1 lit. f DSGVO |
Boards enthalten ausschließlich Spielerpositionen, Zeichnungselemente und optionale Textannotationen mit maximal 500 Zeichen pro Element. Es werden keine Bilder oder Videos hochgeladen.
8.2 Share-Links (öffentliche Teilen-Funktion)
Wenn du ein Board als Share-Link veröffentlichst:
- Wir generieren eine zufällige 7-stellige Share-ID (z. B.
taktikapp.de/s/AbC3dE) - Das Board ist über diesen Link ohne Login öffentlich einsehbar (read-only)
- Du kannst den Share-Link jederzeit wieder löschen; danach ist das Board wieder privat
- Wir zählen Aufrufe deines Share-Links als Statistik für dich
| Datum | Zweck | Speicherdauer | Rechtsgrundlage |
|---|---|---|---|
| Share-ID | Zugriff auf öffentliches Board | bis du Share löschst | Art. 6 Abs. 1 lit. b DSGVO |
| IP bei Share-Erstellung | Missbrauchsprävention | 90 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Aufruf-Zähler | Statistik für dich | bis Share gelöscht | Art. 6 Abs. 1 lit. f DSGVO |
Hinweis: Inhalte, die du in einem Board als Textannotation einträgst, werden über den Share-Link öffentlich. Bitte gib in Boards keine personenbezogenen Daten Dritter und keine vertraulichen Informationen ein.
8.3 Einladungs- und Belohnungsprogramm
Wenn du einen persönlichen Einladungs-Code weitergibst oder einlöst, verarbeiten wir zur Durchführung des Belohnungsprogramms (Freischaltung zusätzlicher speicherbarer Boards):
| Datum | Zweck | Speicherdauer | Rechtsgrundlage |
|---|---|---|---|
| Zuordnung einladende ↔ eingeladene Person (interne Nutzer-IDs) | Vergabe der Belohnung, Verhinderung von Selbst-Einladung und Mehrfach-Einlösung | bis zur Account-Löschung | Art. 6 Abs. 1 lit. b DSGVO |
| Zur Einlösung verwendete E-Mail-Adresse | Idempotenz- und Missbrauchsnachweis der Belohnung | bis zu 12 Monate, dann Löschung/Anonymisierung | Art. 6 Abs. 1 lit. f DSGVO |
| IP-Adresse bei Einlösung | Missbrauchsprävention | bis zu 12 Monate | Art. 6 Abs. 1 lit. f DSGVO |
Die Grundfunktion der App mit dem Standard-Kontingent an Boards ist unabhängig von der Teilnahme am Belohnungsprogramm nutzbar.
9. Missbrauchsmeldungen
9.1 Meldung als nicht eingeloggter Nutzer
Über die Melde-Funktion im öffentlichen Board-Viewer können auch nicht eingeloggte Nutzer Inhalte melden, die sie für rechtswidrig halten (Art. 16 DSA). Dabei verarbeiten wir:
| Datum | Zweck | Speicherdauer | Rechtsgrundlage |
|---|---|---|---|
| Meldegrund und freitextliche Details | Inhaltsprüfung, Notice-and-Action gem. Art. 16 DSA | bis abgeschlossene Prüfung + 6 Monate | Art. 6 Abs. 1 lit. f DSGVO |
| E-Mail-Adresse (optional) | Rückfragen, Bestätigung der Bearbeitung | wie oben | Art. 6 Abs. 1 lit. a DSGVO |
| IP-Adresse des Meldenden | Verhinderung Missbrauchs der Meldefunktion | 90 Tage | Art. 6 Abs. 1 lit. f DSGVO |
9.2 Admin-Audit-Log
Bei jeder administrativen Aktion (Board löschen, Account sperren, Share-Link deaktivieren) wird ein Audit-Eintrag geschrieben.
- Inhalt: Aktion, Zeitstempel, ausführender Admin, betroffenes Objekt
- Speicherdauer: 2 Jahre
- Zweck: Nachvollziehbarkeit von Moderationsentscheidungen, Beweissicherung gegenüber Behörden, internes Audit, Erfüllung der Begründungspflicht nach Art. 17 DSA
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Plattform-Integrität)
10. Drittanbieter und Auftragsverarbeiter
Wir setzen externe Dienstleister ein, die als Auftragsverarbeiter im Sinne von Art. 28 DSGVO für uns tätig sind. Mit jedem Auftragsverarbeiter wurde ein Auftragsverarbeitungsvertrag abgeschlossen.
10.1 Mandrill / Mailchimp Transactional (Intuit Inc., USA)
| Anbieter | Intuit Inc., 2700 Coast Avenue, Mountain View, CA 94043, USA |
| Zweck | Versand transaktionaler E-Mails (Magic-Link-Login, System-Benachrichtigungen) |
| Übermittelte Daten | E-Mail-Adresse des Empfängers, E-Mail-Inhalt (Magic-Link-Token im Klartext) |
| Tracking | Deaktiviert (track_opens: false, track_clicks: false) |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung – Login ist ohne E-Mail-Versand nicht möglich) |
| Drittlandtransfer | USA – siehe Ziffer 11 |
10.2 ActiveCampaign Inc. (USA)
| Anbieter | ActiveCampaign LLC, 1 N Dearborn St, 5th Floor, Chicago, IL 60602, USA |
| Zweck 1: Newsletter | Versand des 1x1SPORT-Newsletters im Double-Opt-in-Verfahren (Invite-/Zugangs-Codes, kostenlose Inhalte sowie Werbung für eigene Produkte und Onlinekurse, auch kostenpflichtige) |
| Zweck 2: Site Tracking | Erkennung, ob ein Nutzer aus einer E-Mail-Kampagne kommt (geplant, derzeit nicht aktiv) |
| Rechtsgrundlage Newsletter | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung im Double-Opt-in-Verfahren) |
| Double-Opt-in | Nach der Anmeldung erhältst du eine Bestätigungsmail; erst nach Klick auf den Bestätigungslink wirst du in den Verteiler aufgenommen. Zeitpunkt der Anmeldung und der Bestätigung werden bei ActiveCampaign dokumentiert. |
| Abmeldung / Widerruf | jederzeit über den Abmeldelink am Ende jeder Newsletter-E-Mail oder per Nachricht an team@1x1sport.de; der Widerruf wirkt für die Zukunft |
| Rechtsgrundlage Site Tracking | Art. 6 Abs. 1 lit. a DSGVO (separate Einwilligung über Consent-Banner, Kategorie „Marketing“); § 25 Abs. 1 TDDDG |
| Drittlandtransfer | USA – siehe Ziffer 11 |
10.3 Google Analytics 4 (Google Ireland Limited)
| Anbieter | Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Konzernmutter: Google LLC, USA) |
| Property-ID | G-PDYBS3RWMW |
| Zweck | Reichweitenmessung, Erkennung von Nutzungsmustern, Optimierung der Anwendung |
| IP-Anonymisierung | Aktiv (Standard bei GA4) |
| Consent Mode v2 | Implementiert. Standard ist denied. Das Tracking startet ausschließlich nach deiner Einwilligung. |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); § 25 Abs. 1 TDDDG |
| Speicherdauer | 14 Monate (Standard-Einstellung in GA4) |
| Opt-out | Über unseren Cookie-Banner oder per Browser-Add-on: tools.google.com/dlpage/gaoptout |
| Drittlandtransfer | USA (Konzernmutter) – siehe Ziffer 11 |
10.4 ALL-INKL.COM (Hosting)
| Anbieter | Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf, Deutschland |
| Zweck | Hosting der Website und Datenbank, Speicherung der Boards, Backup-Erstellung |
| Serverstandort | Deutschland |
| Drittlandtransfer | Nein (kein Transfer außerhalb der EU/des EWR) |
11. Datenübermittlung in Drittländer (USA)
Drei der unter Ziffer 10 genannten Auftragsverarbeiter sind in den USA ansässig oder haben eine Konzernmutter in den USA: Mandrill (Intuit Inc.), ActiveCampaign LLC und Google LLC (über Google Ireland Limited). Damit werden personenbezogene Daten in ein Drittland im Sinne von Art. 44 DSGVO übermittelt.
11.1 Rechtsgrundlage der Übermittlung
Die Übermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission vom 10. Juli 2023 zum EU-US Data Privacy Framework (DPF), sofern der jeweilige Anbieter unter dem DPF zertifiziert ist. Den aktuellen Zertifizierungsstatus kannst du unter dataprivacyframework.gov prüfen.
Soweit ein Anbieter nicht DPF-zertifiziert ist, erfolgt die Übermittlung auf Grundlage von Standardvertragsklauseln (SCCs) der EU-Kommission als geeignete Garantien gemäß Art. 46 Abs. 2 lit. c DSGVO.
11.2 Risiken der Übermittlung in die USA
Die Datenschutz-Aufsichtsbehörden weisen darauf hin, dass US-Behörden auf Grundlage von Gesetzen wie FISA Section 702 und Executive Order 12333 in bestimmten Fällen auf Daten zugreifen können, die in den USA verarbeitet werden. Das Datenschutzniveau in den USA entspricht nicht in allen Punkten dem der DSGVO. Du hast jederzeit das Recht, eine Kopie der zu deinem Schutz getroffenen Garantien (z. B. SCCs) anzufordern.
11.3 Deine Wahlmöglichkeiten
- Für Magic-Link-E-Mails (Mandrill) ist die Übermittlung erforderlich – ohne sie ist die Anmeldung nicht möglich.
- Für GA4 und ActiveCampaign Site Tracking erfolgt die Übermittlung nur nach deiner Einwilligung über den Cookie-Banner. Du kannst die Einwilligung jederzeit widerrufen.
12. Speicherdauern – Übersicht
| Datenkategorie | Speicherdauer |
|---|---|
| Account-Daten (E-Mail, Erstell-Datum) | bis zur Löschung des Accounts |
| Magic-Link-Token-Hash | maximal 15 Minuten (bis zur Einlösung) |
| Session-Cookie | 90 Tage seit letztem Login |
| IP-Adressen (Login, Board-Erstellung, Share, Meldung) | 90 Tage |
| Board-Daten | bis zur Löschung durch dich oder Account-Löschung |
| Share-Links | bis zur Löschung durch dich |
| Server-Logs | 14 Tage |
| Admin-Audit-Log | 2 Jahre |
| Newsletter-Daten (in ActiveCampaign) | bis zum Widerruf; Nachweise der Einwilligung darüber hinaus bis zu 3 Jahre (Rechenschaftspflicht / Verjährung) |
| Inhalte von Missbrauchsmeldungen | bis zum Abschluss der Prüfung + 6 Monate |
| Google Analytics-Daten | 14 Monate |
Nach Ablauf der jeweiligen Frist werden die Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
13. Deine Rechte als betroffene Person
Nach der DSGVO stehen dir die folgenden Rechte zu. Zur Ausübung wende dich an: team@1x1sport.de
13.1 Recht auf Auskunft (Art. 15 DSGVO)
Du kannst eine Bestätigung verlangen, ob wir personenbezogene Daten zu dir verarbeiten, sowie eine Kopie dieser Daten erhalten.
13.2 Recht auf Berichtigung (Art. 16 DSGVO)
Du kannst die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
13.3 Recht auf Löschung (Art. 17 DSGVO)
Du kannst die Löschung deiner Daten verlangen, soweit kein gesetzlicher Aufbewahrungsgrund entgegensteht. Wir bieten dir hierfür einen einfachen Weg per E-Mail.
13.4 Recht auf Einschränkung (Art. 18 DSGVO)
Du kannst unter bestimmten Voraussetzungen verlangen, dass wir die Verarbeitung einschränken.
13.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Du kannst die zu dir gespeicherten Daten in einem strukturierten, gängigen, maschinenlesbaren Format erhalten oder die Übertragung an einen anderen Verantwortlichen verlangen.
13.6 Widerspruchsrecht (Art. 21 DSGVO)
Wenn wir Daten auf Grundlage berechtigter Interessen verarbeiten, kannst du jederzeit Widerspruch einlegen. Bei Direktwerbung (Newsletter) hast du jederzeit ein voraussetzungsloses Widerspruchsrecht – wir werden dich nach einem Widerspruch nicht mehr für Direktwerbung kontaktieren.
13.7 Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
Erteilte Einwilligungen kannst du jederzeit widerrufen. Der Widerruf wirkt für die Zukunft; die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
13.8 Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über unsere Verarbeitung zu beschweren – insbesondere bei der für uns zuständigen:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 981 180093-0
Web: www.lda.bayern.de
14. Datensicherheit
Wir nutzen technische und organisatorische Maßnahmen zum Schutz deiner Daten:
- Transportverschlüsselung: TLS 1.2+ (HTTPS) auf allen Verbindungen, HSTS aktiv
- Passwortlose Authentifizierung: keine Passwort-Speicherung (kein Passwort-Risiko)
- Token-Hashing: Magic-Link-Tokens werden ausschließlich als SHA-256-Hash gespeichert
- Session-Cookies: mit
Secure,HttpOnly,SameSite=Strict - CSRF-Schutz: Token-basiert
- Rate Limiting: auf Login-Anfragen, Board-Erstellung, Share-Erstellung und Meldungen
- Tägliche Backups: durch ALL-INKL.COM
- Restriktive Permissions-Policy: Geolocation, Mikrofon, Kamera deaktiviert
- Admin-Audit-Log: lückenlose Protokollierung administrativer Aktionen
15. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung anpassen, wenn rechtliche, technische oder produktbezogene Änderungen das erforderlich machen. Die jeweils aktuelle Fassung mit Stand-Datum findest du auf dieser Seite. Bei wesentlichen Änderungen, die deine Rechte oder die Verarbeitung deiner Daten unmittelbar betreffen, informieren wir dich zusätzlich per E-Mail oder im eingeloggten Bereich.