1x1SPORT · Rechtliches

Datenschutz

1. Verantwortlicher und Kontakt

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Vorschriften ist:

1x1PUBLISHING GmbH
Tegernseer Landstraße 52
81541 München
Deutschland

Geschäftsführer: Nepomuk V. Fischer, Florian Tischner
Handelsregister: AG München, HRB 212248
USt-IdNr.: DE295852145

Kontakt für Datenschutzanfragen:
E-Mail: team@1x1sport.de

2. Datenschutzbeauftragter

Wir haben keinen Datenschutzbeauftragten bestellt. Eine Pflicht zur Bestellung besteht nach § 38 BDSG i.V.m. Art. 37 DSGVO für unser Unternehmen nicht, da wir nicht regelmäßig mehr als 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, keine Verarbeitung mit hohem Risiko durchführen und keine besonderen Kategorien personenbezogener Daten in großem Umfang verarbeiten.

Für alle Datenschutz-Anliegen wende dich bitte an: team@1x1sport.de

3. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website und unserer Dienste erforderlich ist und eine Rechtsgrundlage besteht. Wir verarbeiten Daten transparent, zweckgebunden, datenminimierend und zeitlich begrenzt.

3.1 Welche Daten wir nicht verarbeiten

  • Keine Passwörter – wir nutzen passwortlose Anmeldung per E-Mail-Link
  • Keine Zahlungsdaten – die Taktikapp ist kostenlos
  • Keine Standortdaten – Geolocation ist per Browser-Permissions-Policy deaktiviert
  • Kein Mikrofon-/Kamerazugriff – per Permissions-Policy deaktiviert
  • Keine Bild- oder Videouploads – Nutzer speichern ausschließlich Zeichnungsdaten in JSON-Form sowie Textannotationen mit maximal 500 Zeichen
  • Keine Tracking-Cookies ohne deine Einwilligung

3.2 Keine automatisierte Entscheidungsfindung

Wir nutzen keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO. Dies gilt insbesondere auch für Profiling: Wir erstellen keine Nutzerprofile und treffen keine Entscheidungen über dich auf rein automatisierter Basis.

4. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung deiner personenbezogenen Daten stützt sich auf folgende Rechtsgrundlagen der DSGVO:

RechtsgrundlageAnwendung
Art. 6 Abs. 1 lit. a (Einwilligung)Newsletter-Anmeldung (inkl. Werbung für eigene Produkte/Onlinekurse), Cookie-/Analyse-Tracking, Site-Tracking
Art. 6 Abs. 1 lit. b (Vertragsdurchführung)Account-Erstellung, Magic-Link-Login, Speichern von Boards, transaktionale E-Mails
Art. 6 Abs. 1 lit. f (berechtigtes Interesse)Missbrauchsprävention, Server-Logs, Admin-Audit, Sicherstellung Plattform-Integrität
Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung)Aufbewahrung bei Behörden-/Gerichtsanfragen, Beweissicherung

5. Daten beim Aufruf der Website (Server-Logs)

Beim Aufruf von taktikapp.de werden vom Server unseres Hosting-Anbieters automatisch Daten verarbeitet, die dein Browser übermittelt:

  • IP-Adresse
  • Datum und Uhrzeit der Anfrage
  • Aufgerufene URL und HTTP-Status
  • Referrer-URL (vorherige Seite)
  • User-Agent (Browser, Betriebssystem)
  • Übertragene Datenmenge

Zweck: Bereitstellung der Website, Erkennung und Abwehr von Angriffen, Missbrauchsprävention, technische Stabilität.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionsfähigen, sicheren Website).

Speicherdauer: Server-Logs werden nach 14 Tagen automatisch gelöscht oder anonymisiert.

6. Cookies und Consent-Banner

6.1 Was sind Cookies?

Cookies sind kleine Textdateien, die dein Browser speichert. Wir nutzen technisch notwendige Cookies sowie – mit deiner Einwilligung – Cookies für Analyse und Marketing.

6.2 Eingesetzte Cookies und Speicher

NameZweckSpeicherdauerKategorie
tk_sessionLogin-Session nach Magic-Link-Klick90 TageEssentiell
tk_csrfSchutz vor Cross-Site-Request-ForgerySitzungEssentiell
consent (localStorage)Speichern deiner Cookie-Auswahlbis LöschungEssentiell
Google Analytics 4Reichweitenmessung, Nutzungsanalysesiehe Ziffer 10.3Analyse
ActiveCampaign Site TrackingErkennung Kampagnen-Herkunftsiehe Ziffer 10.2Marketing

6.3 Consent-Banner und deine Wahlmöglichkeiten

Beim ersten Besuch fragen wir dich, welche Cookie-Kategorien du erlauben möchtest. Du kannst:

  • Alle akzeptieren – alle Kategorien aktivieren
  • Nur notwendige – nur essentielle Cookies (keine Einwilligung erforderlich)
  • Einstellungen anpassen – einzelne Kategorien aktivieren oder ablehnen

Deine Einwilligung kannst du jederzeit über den Link „Cookie-Einstellungen“ im Footer widerrufen oder ändern. Der Widerruf hat keine Auswirkungen auf die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

7. Magic-Link-Authentifizierung (passwortloser Login)

Statt eines Passworts nutzen wir einen passwortlosen Login per Einmal-Link. Wenn du dich anmeldest:

  1. Du gibst deine E-Mail-Adresse ein
  2. Wir generieren einen kryptographisch zufälligen Token (24 Byte) und speichern ausschließlich dessen SHA-256-Hash – den Klartext-Token kennt nur du in der dir zugesandten E-Mail
  3. Du erhältst eine E-Mail mit einem Login-Link, der 15 Minuten gültig ist
  4. Beim Klick wird der Token einmalig eingelöst und ein Session-Cookie gesetzt
  5. Die E-Mail wird über unseren Auftragsverarbeiter Mandrill (Intuit Inc.) versendet (siehe Ziffer 10.1)

Verarbeitete Daten

DatumZweckSpeicherdauerRechtsgrundlage
E-Mail-AdresseAccount-Identifikation, Magic-Link-Versandbis Account-LöschungArt. 6 Abs. 1 lit. b DSGVO
Token-Hash (kein Klartext)Login-Verifikation, Einmalverwendungbis Einlösung oder Ablauf (15 Min)Art. 6 Abs. 1 lit. b DSGVO
IP-Adresse bei LoginMissbrauchsprävention, Rate-Limiting90 TageArt. 6 Abs. 1 lit. f DSGVO
User-Agent (max. 500 Zeichen)Missbrauchserkennung90 TageArt. 6 Abs. 1 lit. f DSGVO

8. Daten bei Nutzung der App

8.1 Board-Erstellung und -Verwaltung

Wenn du Taktik-Boards erstellst und speicherst, verarbeiten wir:

DatumZweckSpeicherdauerRechtsgrundlage
Board-Daten (JSON)Speicherung deiner Taktikenbis du löschst oder Account gelöscht wirdArt. 6 Abs. 1 lit. b DSGVO
Board-NameBezeichnung deiner Taktikwie obenArt. 6 Abs. 1 lit. b DSGVO
Erstell-ZeitstempelVerwaltung deiner Boardswie obenArt. 6 Abs. 1 lit. b DSGVO
IP bei ErstellungMissbrauchsprävention, Rate-Limiting90 TageArt. 6 Abs. 1 lit. f DSGVO

Boards enthalten ausschließlich Spielerpositionen, Zeichnungselemente und optionale Textannotationen mit maximal 500 Zeichen pro Element. Es werden keine Bilder oder Videos hochgeladen.

8.2 Share-Links (öffentliche Teilen-Funktion)

Wenn du ein Board als Share-Link veröffentlichst:

  • Wir generieren eine zufällige 7-stellige Share-ID (z. B. taktikapp.de/s/AbC3dE)
  • Das Board ist über diesen Link ohne Login öffentlich einsehbar (read-only)
  • Du kannst den Share-Link jederzeit wieder löschen; danach ist das Board wieder privat
  • Wir zählen Aufrufe deines Share-Links als Statistik für dich
DatumZweckSpeicherdauerRechtsgrundlage
Share-IDZugriff auf öffentliches Boardbis du Share löschstArt. 6 Abs. 1 lit. b DSGVO
IP bei Share-ErstellungMissbrauchsprävention90 TageArt. 6 Abs. 1 lit. f DSGVO
Aufruf-ZählerStatistik für dichbis Share gelöschtArt. 6 Abs. 1 lit. f DSGVO

Hinweis: Inhalte, die du in einem Board als Textannotation einträgst, werden über den Share-Link öffentlich. Bitte gib in Boards keine personenbezogenen Daten Dritter und keine vertraulichen Informationen ein.

8.3 Einladungs- und Belohnungsprogramm

Wenn du einen persönlichen Einladungs-Code weitergibst oder einlöst, verarbeiten wir zur Durchführung des Belohnungsprogramms (Freischaltung zusätzlicher speicherbarer Boards):

DatumZweckSpeicherdauerRechtsgrundlage
Zuordnung einladende ↔ eingeladene Person (interne Nutzer-IDs)Vergabe der Belohnung, Verhinderung von Selbst-Einladung und Mehrfach-Einlösungbis zur Account-LöschungArt. 6 Abs. 1 lit. b DSGVO
Zur Einlösung verwendete E-Mail-AdresseIdempotenz- und Missbrauchsnachweis der Belohnungbis zu 12 Monate, dann Löschung/AnonymisierungArt. 6 Abs. 1 lit. f DSGVO
IP-Adresse bei EinlösungMissbrauchspräventionbis zu 12 MonateArt. 6 Abs. 1 lit. f DSGVO

Die Grundfunktion der App mit dem Standard-Kontingent an Boards ist unabhängig von der Teilnahme am Belohnungsprogramm nutzbar.

9. Missbrauchsmeldungen

9.1 Meldung als nicht eingeloggter Nutzer

Über die Melde-Funktion im öffentlichen Board-Viewer können auch nicht eingeloggte Nutzer Inhalte melden, die sie für rechtswidrig halten (Art. 16 DSA). Dabei verarbeiten wir:

DatumZweckSpeicherdauerRechtsgrundlage
Meldegrund und freitextliche DetailsInhaltsprüfung, Notice-and-Action gem. Art. 16 DSAbis abgeschlossene Prüfung + 6 MonateArt. 6 Abs. 1 lit. f DSGVO
E-Mail-Adresse (optional)Rückfragen, Bestätigung der Bearbeitungwie obenArt. 6 Abs. 1 lit. a DSGVO
IP-Adresse des MeldendenVerhinderung Missbrauchs der Meldefunktion90 TageArt. 6 Abs. 1 lit. f DSGVO

9.2 Admin-Audit-Log

Bei jeder administrativen Aktion (Board löschen, Account sperren, Share-Link deaktivieren) wird ein Audit-Eintrag geschrieben.

  • Inhalt: Aktion, Zeitstempel, ausführender Admin, betroffenes Objekt
  • Speicherdauer: 2 Jahre
  • Zweck: Nachvollziehbarkeit von Moderationsentscheidungen, Beweissicherung gegenüber Behörden, internes Audit, Erfüllung der Begründungspflicht nach Art. 17 DSA
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Plattform-Integrität)

10. Drittanbieter und Auftragsverarbeiter

Wir setzen externe Dienstleister ein, die als Auftragsverarbeiter im Sinne von Art. 28 DSGVO für uns tätig sind. Mit jedem Auftragsverarbeiter wurde ein Auftragsverarbeitungsvertrag abgeschlossen.

10.1 Mandrill / Mailchimp Transactional (Intuit Inc., USA)

AnbieterIntuit Inc., 2700 Coast Avenue, Mountain View, CA 94043, USA
ZweckVersand transaktionaler E-Mails (Magic-Link-Login, System-Benachrichtigungen)
Übermittelte DatenE-Mail-Adresse des Empfängers, E-Mail-Inhalt (Magic-Link-Token im Klartext)
TrackingDeaktiviert (track_opens: false, track_clicks: false)
RechtsgrundlageArt. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung – Login ist ohne E-Mail-Versand nicht möglich)
DrittlandtransferUSA – siehe Ziffer 11

10.2 ActiveCampaign Inc. (USA)

AnbieterActiveCampaign LLC, 1 N Dearborn St, 5th Floor, Chicago, IL 60602, USA
Zweck 1: NewsletterVersand des 1x1SPORT-Newsletters im Double-Opt-in-Verfahren (Invite-/Zugangs-Codes, kostenlose Inhalte sowie Werbung für eigene Produkte und Onlinekurse, auch kostenpflichtige)
Zweck 2: Site TrackingErkennung, ob ein Nutzer aus einer E-Mail-Kampagne kommt (geplant, derzeit nicht aktiv)
Rechtsgrundlage NewsletterArt. 6 Abs. 1 lit. a DSGVO (Einwilligung im Double-Opt-in-Verfahren)
Double-Opt-inNach der Anmeldung erhältst du eine Bestätigungsmail; erst nach Klick auf den Bestätigungslink wirst du in den Verteiler aufgenommen. Zeitpunkt der Anmeldung und der Bestätigung werden bei ActiveCampaign dokumentiert.
Abmeldung / Widerrufjederzeit über den Abmeldelink am Ende jeder Newsletter-E-Mail oder per Nachricht an team@1x1sport.de; der Widerruf wirkt für die Zukunft
Rechtsgrundlage Site TrackingArt. 6 Abs. 1 lit. a DSGVO (separate Einwilligung über Consent-Banner, Kategorie „Marketing“); § 25 Abs. 1 TDDDG
DrittlandtransferUSA – siehe Ziffer 11

10.3 Google Analytics 4 (Google Ireland Limited)

AnbieterGoogle Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Konzernmutter: Google LLC, USA)
Property-IDG-PDYBS3RWMW
ZweckReichweitenmessung, Erkennung von Nutzungsmustern, Optimierung der Anwendung
IP-AnonymisierungAktiv (Standard bei GA4)
Consent Mode v2Implementiert. Standard ist denied. Das Tracking startet ausschließlich nach deiner Einwilligung.
RechtsgrundlageArt. 6 Abs. 1 lit. a DSGVO (Einwilligung); § 25 Abs. 1 TDDDG
Speicherdauer14 Monate (Standard-Einstellung in GA4)
Opt-outÜber unseren Cookie-Banner oder per Browser-Add-on: tools.google.com/dlpage/gaoptout
DrittlandtransferUSA (Konzernmutter) – siehe Ziffer 11

10.4 ALL-INKL.COM (Hosting)

AnbieterNeue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf, Deutschland
ZweckHosting der Website und Datenbank, Speicherung der Boards, Backup-Erstellung
ServerstandortDeutschland
DrittlandtransferNein (kein Transfer außerhalb der EU/des EWR)

11. Datenübermittlung in Drittländer (USA)

Drei der unter Ziffer 10 genannten Auftragsverarbeiter sind in den USA ansässig oder haben eine Konzernmutter in den USA: Mandrill (Intuit Inc.), ActiveCampaign LLC und Google LLC (über Google Ireland Limited). Damit werden personenbezogene Daten in ein Drittland im Sinne von Art. 44 DSGVO übermittelt.

11.1 Rechtsgrundlage der Übermittlung

Die Übermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission vom 10. Juli 2023 zum EU-US Data Privacy Framework (DPF), sofern der jeweilige Anbieter unter dem DPF zertifiziert ist. Den aktuellen Zertifizierungsstatus kannst du unter dataprivacyframework.gov prüfen.

Soweit ein Anbieter nicht DPF-zertifiziert ist, erfolgt die Übermittlung auf Grundlage von Standardvertragsklauseln (SCCs) der EU-Kommission als geeignete Garantien gemäß Art. 46 Abs. 2 lit. c DSGVO.

11.2 Risiken der Übermittlung in die USA

Die Datenschutz-Aufsichtsbehörden weisen darauf hin, dass US-Behörden auf Grundlage von Gesetzen wie FISA Section 702 und Executive Order 12333 in bestimmten Fällen auf Daten zugreifen können, die in den USA verarbeitet werden. Das Datenschutzniveau in den USA entspricht nicht in allen Punkten dem der DSGVO. Du hast jederzeit das Recht, eine Kopie der zu deinem Schutz getroffenen Garantien (z. B. SCCs) anzufordern.

11.3 Deine Wahlmöglichkeiten

  • Für Magic-Link-E-Mails (Mandrill) ist die Übermittlung erforderlich – ohne sie ist die Anmeldung nicht möglich.
  • Für GA4 und ActiveCampaign Site Tracking erfolgt die Übermittlung nur nach deiner Einwilligung über den Cookie-Banner. Du kannst die Einwilligung jederzeit widerrufen.

12. Speicherdauern – Übersicht

DatenkategorieSpeicherdauer
Account-Daten (E-Mail, Erstell-Datum)bis zur Löschung des Accounts
Magic-Link-Token-Hashmaximal 15 Minuten (bis zur Einlösung)
Session-Cookie90 Tage seit letztem Login
IP-Adressen (Login, Board-Erstellung, Share, Meldung)90 Tage
Board-Datenbis zur Löschung durch dich oder Account-Löschung
Share-Linksbis zur Löschung durch dich
Server-Logs14 Tage
Admin-Audit-Log2 Jahre
Newsletter-Daten (in ActiveCampaign)bis zum Widerruf; Nachweise der Einwilligung darüber hinaus bis zu 3 Jahre (Rechenschaftspflicht / Verjährung)
Inhalte von Missbrauchsmeldungenbis zum Abschluss der Prüfung + 6 Monate
Google Analytics-Daten14 Monate

Nach Ablauf der jeweiligen Frist werden die Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Deine Rechte als betroffene Person

Nach der DSGVO stehen dir die folgenden Rechte zu. Zur Ausübung wende dich an: team@1x1sport.de

13.1 Recht auf Auskunft (Art. 15 DSGVO)

Du kannst eine Bestätigung verlangen, ob wir personenbezogene Daten zu dir verarbeiten, sowie eine Kopie dieser Daten erhalten.

13.2 Recht auf Berichtigung (Art. 16 DSGVO)

Du kannst die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.

13.3 Recht auf Löschung (Art. 17 DSGVO)

Du kannst die Löschung deiner Daten verlangen, soweit kein gesetzlicher Aufbewahrungsgrund entgegensteht. Wir bieten dir hierfür einen einfachen Weg per E-Mail.

13.4 Recht auf Einschränkung (Art. 18 DSGVO)

Du kannst unter bestimmten Voraussetzungen verlangen, dass wir die Verarbeitung einschränken.

13.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Du kannst die zu dir gespeicherten Daten in einem strukturierten, gängigen, maschinenlesbaren Format erhalten oder die Übertragung an einen anderen Verantwortlichen verlangen.

13.6 Widerspruchsrecht (Art. 21 DSGVO)

Wenn wir Daten auf Grundlage berechtigter Interessen verarbeiten, kannst du jederzeit Widerspruch einlegen. Bei Direktwerbung (Newsletter) hast du jederzeit ein voraussetzungsloses Widerspruchsrecht – wir werden dich nach einem Widerspruch nicht mehr für Direktwerbung kontaktieren.

13.7 Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

Erteilte Einwilligungen kannst du jederzeit widerrufen. Der Widerruf wirkt für die Zukunft; die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

13.8 Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über unsere Verarbeitung zu beschweren – insbesondere bei der für uns zuständigen:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 981 180093-0
Web: www.lda.bayern.de

14. Datensicherheit

Wir nutzen technische und organisatorische Maßnahmen zum Schutz deiner Daten:

  • Transportverschlüsselung: TLS 1.2+ (HTTPS) auf allen Verbindungen, HSTS aktiv
  • Passwortlose Authentifizierung: keine Passwort-Speicherung (kein Passwort-Risiko)
  • Token-Hashing: Magic-Link-Tokens werden ausschließlich als SHA-256-Hash gespeichert
  • Session-Cookies: mit Secure, HttpOnly, SameSite=Strict
  • CSRF-Schutz: Token-basiert
  • Rate Limiting: auf Login-Anfragen, Board-Erstellung, Share-Erstellung und Meldungen
  • Tägliche Backups: durch ALL-INKL.COM
  • Restriktive Permissions-Policy: Geolocation, Mikrofon, Kamera deaktiviert
  • Admin-Audit-Log: lückenlose Protokollierung administrativer Aktionen

15. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn rechtliche, technische oder produktbezogene Änderungen das erforderlich machen. Die jeweils aktuelle Fassung mit Stand-Datum findest du auf dieser Seite. Bei wesentlichen Änderungen, die deine Rechte oder die Verarbeitung deiner Daten unmittelbar betreffen, informieren wir dich zusätzlich per E-Mail oder im eingeloggten Bereich.