Zum Inhalt springen
Beta
Einloggen

Datenschutzerklärung

Stand: Mai 2026

In Kurz

Ball Different ist eine Plattform und ein Marktplatz für talentierte Basketballspielerinnen und -spieler — und für Coaches, die sie fördern. Ein Teil unserer Nutzerinnen und Nutzer ist minderjährig. Deshalb gehen wir beim Umgang mit deinen Daten besonders vorsichtig vor. Diese Seite erklärt in verständlicher Sprache, welche Daten wir erheben, warum und wie du sie kontrollieren kannst.

  • Keine Tracking-Cookies ohne deine Einwilligung.
  • Für Nutzer unter 16 brauchen wir die Einwilligung der Eltern.
  • Spielerinnen und Spieler von 13–17 nutzen einen Junior-Account: Profil und Trading Card sind möglich; Buchungen, Coach-Anfragen und direkte Kommunikation laufen ausschließlich über den verknüpften Eltern-Account.
  • Deine Daten liegen auf EU-Servern (Frankfurt).
  • Du kannst jederzeit eine Auskunft, Korrektur oder Löschung verlangen.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Apostolos Kitsos
Theodor-Rothschild-Straße 6
73760 Ostfildern
Deutschland
E-Mail: info@balldifferent.com

Bei Fragen zum Datenschutz oder zur Ausübung deiner Rechte kannst du uns jederzeit unter dieser Adresse kontaktieren.

2. Schutz von Minderjährigen

Ball Different richtet sich ausdrücklich auch an Spielerinnen und Spieler zwischen 12 und 18 Jahren. Für die Verarbeitung der Daten von Minderjährigen gelten besondere Regeln:

  • Unter 13 Jahren: Du kannst bei uns kein eigenes Profil anlegen. Diese strengere Regel ist eine BD-Selbstverpflichtung, die über die DSGVO-Mindestanforderung hinausgeht. Deine Eltern können dich als Kindprofil innerhalb ihres Elternkontos einladen.
  • 13 bis 15 Jahre (Junior-Account):Du kannst dein Profil anlegen, hast aber kein Buchungs- oder Direkt-Kommunikationskonto. Eine Eltern-Verknüpfung ist zwingende Voraussetzung für jede Datenverarbeitung (Art. 8 Abs. 1 S. 2 DSGVO). Alle Buchungen, Reservierungen und Coach-Kommunikation laufen ausschließlich über den verknüpften Eltern-Account.
  • 16 bis 17 Jahre (Junior-Account): Du kannst datenschutzrechtlich selbstin die Verarbeitung deiner Daten einwilligen (Art. 8 Abs. 1 S. 1 DSGVO; Deutschland hat das Mindestalter nicht abgesenkt). Für Buchungen und Vertragsabschlüsse benötigen wir jedoch zusätzlich die Zustimmung deines Sorgeberechtigten, weil du erst mit 18 Jahren voll geschäftsfähig bist (§§ 106 ff. BGB). Deshalb läuft auch in dieser Altersgruppe der Buchungs- und Coach-Kontakt-Pfad über den Eltern-Account.
  • Ab 18 Jahren:Volle Eigenständigkeit. Du schließt Verträge selbst ab (§ 2 BGB) und nutzt einen Erwachsenen-Account.

Rechtsgrundlagen für Junior-Accounts (13–17):

  • Pflichtdaten(E-Mail des Junior, Name, Geburtsjahr/-monat, Eltern-E-Mail): Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung mit den Eltern als Buchungs-Auftraggeber bzw. Sorgeberechtigten. Die Verarbeitung dient der Bereitstellung des Junior-Identity-Kontos und ist ohne diese Daten nicht möglich.
  • Optionale Profil-Inhalte(Foto, Motto, Bio, Verein, Position): Art. 6 Abs. 1 lit. a DSGVO i. V. m. Art. 8 Abs. 1 DSGVO — Einwilligung des Sorgeberechtigten über den Eltern-Bestätigungs-Link (Magic-Link, dokumentierter Audit-Eintrag).
  • Cookies und Analyse-Tools: Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG (separates Opt-in im Cookie-Banner). PostHog ist für Junior-Accounts ohne bestätigte Eltern-Einwilligung hart deaktiviert.

Architektur-basierter Schutz (Modell B): Erwachsene können auf Ball Different technisch nicht direkt mit Minderjährigen kommunizieren. Junior-Accounts (13–17) haben keine Direkt-Nachrichten, keine eigenen Buchungs-Knöpfe und keinen Coach-Chat. Alles läuft über den Eltern-Account. Das ist nicht Hausordnung, sondern in der Software fest verankert.

Eltern-Verknüpfung & Audit:Die Eltern-Bestätigung erfolgt per Magic-Link aus E-Mail. Bestätigungs-Datum, IP-Adresse und User-Agent werden in einem Audit-Log gespeichert (Dauer der Verarbeitung + 3 Jahre Beweislast nach Art. 7 Abs. 1 DSGVO).

Birth-Year-Lock: Nach der Anmeldung ist dein Geburtsjahr gesperrt. Korrekturen sind nur über den Support möglich und werden 10 Jahre lang protokolliert (Missbrauchs-Nachweis).

Privacy by default: Profile von Minderjährigen sind standardmäßig privat. Öffentlich sichtbar sind nur Vorname, Initial, U-Klasse, Position und Region — niemals Geburtsjahr, exakte Adresse oder Kontaktdaten. Echte Profilfotos werden öffentlich nur in stilisierter Darstellung gezeigt.

3. Daten beim Besuch der Website

Wenn du unsere Website besuchst, werden automatisch Informationen an unseren Hosting-Anbieter (Vercel Inc.) übermittelt, die technisch erforderlich sind, um die Seite auszuliefern:

  • IP-Adresse (gekürzt gespeichert)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL
  • Referrer (vorher besuchte Seite)
  • Browsertyp und Betriebssystem

Rechtsgrundlage:Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer störungsfreien Auslieferung und Sicherheit der Website).

Interessenabwägung: Unser Interesse an Verfügbarkeit, Angriffs-Erkennung und Fehler-Diagnose überwiegt gegenüber dem (geringen) Eingriff in die informationelle Selbstbestimmung, weil die IP-Adresse gekürzt gespeichert wird, die Speicherdauer auf das Minimum (30 Tage) beschränkt ist und ohne diese Daten ein sicherer Betrieb (DDoS-Abwehr, Bot-Filterung) nicht möglich wäre. Eine zumutbare mildere Alternative besteht nicht.

Speicherdauer: Maximal 30 Tage in den Server-Logs unseres Hosters. Danach werden die Logs automatisch gelöscht.

4. Registrierung und Nutzerkonto

Wenn du ein Konto bei Ball Different anlegst, verarbeiten wir folgende Daten:

  • Pflichtangaben: E-Mail-Adresse, Passwort (verschlüsselt gespeichert), Rolle (Spieler:in / Elternteil / Coach), Anzeigename, Geburtsjahr und -monat.
  • Freiwillige Angaben: Verein, Liga, Nationalmannschaft, Position, Motto, Trikotnummer, Größe, Stadt, Profilfoto, Card-Foto, Bio, Spezialisierung (Coaches).
  • Technische Daten: Zeitpunkt der Registrierung, letzter Login, Session-Token (HttpOnly-Cookie).

Zweck: Bereitstellung der Plattform-Funktionen (Profil, Coach-Suche, Trading Cards, Events, Chat).

Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Pflichtangaben; Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für freiwillige Angaben.

Speicherdauer: Solange dein Konto besteht. Nach Kontolöschung werden alle personenbezogenen Daten innerhalb von maximal 30 Tagen endgültig gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5. Trading Cards und Fotos

Ball Different ermöglicht dir, eine persönliche Trading Card mit Porträtfoto anzulegen. Diese Card wird auf Wunsch öffentlich geteilt (z. B. über einen Share-Link auf Instagram).

  • Sichtbarkeit: Wenn du deine Card teilst, ist sie über den Share-Link öffentlich abrufbar. Dein Foto ist dann für alle sichtbar, die den Link haben.
  • Schutz Minderjähriger: Bei 13-15-jährigen Usern wird das Foto erst nach Bestätigung durch die Eltern veröffentlicht. Vorher ist der Upload technisch gesperrt.
  • Kontrolle: Du kannst deine Card jederzeit bearbeiten, das Foto austauschen oder die gesamte Card löschen.

Rechtsgrundlage:Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 22 KUG (Recht am eigenen Bild).

6. Cookies und Analyse

Wir verwenden zwei Arten von technischen Speichermechanismen (Cookies, localStorage):

a) Technisch notwendige Cookies (ohne Einwilligung)

  • Session-Cookie zur Aufrechterhaltung deiner Login-Sitzung (HttpOnly, Secure, SameSite=Lax). Wird gelöscht, wenn du dich abmeldest oder das Konto löschst.
  • Consent-Status (localStorage): speichert deine Cookie-Entscheidung, damit wir dich nicht bei jedem Besuch erneut fragen.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch unbedingt erforderlich).

b) Analyse-Cookies (nur mit Einwilligung)

Wir verwenden PostHog (EU-Hosting: eu.i.posthog.com), um zu verstehen, welche Funktionen unserer Plattform wie genutzt werden. PostHog setzt Cookies und nutzt localStorage, um eine pseudonyme, gerätebezogene ID ohne Klarnamen zu erzeugen. Eine Zusammenführung mit Klarnamen erfolgt nicht. Tracking findet ausschließlich statt, wenn du im Cookie-Banner aktiv zugestimmt hast.

  • IP-Adresse: wird nur kurzfristig zur Länder-Erkennung verarbeitet und dann nicht gespeichert (ip=0).
  • Keine Session-Aufzeichnung (Screen-Recording), keine Heatmaps, keine Click-Tracking-Videos.
  • Für Nutzer mit pending oder rejected Eltern-Einwilligung ist PostHog zusätzlich hart deaktiviert — auch wenn im Banner versehentlich zugestimmt wurde.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TDDDG.

Speicherdauer bei PostHog: Ereignisdaten werden nach 90 Tagen automatisch gelöscht. Bei Kontolöschung wird auch die Device-ID entfernt.

Du kannst deine Einwilligung jederzeit widerrufen, indem du im Cookie-Banner „Nur notwendige" wählst oder uns eine E-Mail schickst.

c) Konkrete Liste der eingesetzten Speichermechanismen

Die folgende Tabelle führt die tatsächlich verwendeten Cookies und Browser-Speicher-Einträge auf (Anbieter, Zweck, Typ, Lebensdauer):

  • sb-access-token / sb-refresh-token(Supabase) — Login-Sitzung. Typ: HttpOnly Cookie. Lebensdauer: Session bis Logout (Access) bzw. 1 Jahr (Refresh). Notwendig.
  • bd_consent_v1(Ball Different) — Speichert deine Cookie-Entscheidung. Typ: localStorage. Lebensdauer: 1 Jahr. Notwendig.
  • bd_invite_code / bd_invite_email (Ball Different) — Beta-Invite-Hydration zwischen Landing und /auth. Typ: sessionStorage. Lebensdauer: Session. Notwendig.
  • ph_*(PostHog, EU) — Pseudonyme Device-ID für Nutzungsanalyse. Typ: Cookie + localStorage. Lebensdauer: 90 Tage. Nur mit Einwilligung.

7. Warteliste (Waitlist)

Wenn du dich über unser Formular auf die Warteliste einträgst, erheben wir:

  • E-Mail-Adresse (Pflichtangabe)
  • Rolle — Spieler:in, Coach oder Elternteil (freiwillig)
  • Region / Stadt (freiwillig)
  • Zeitpunkt und IP-Adressedes Eintrags (zum Nachweis der Einwilligung nach Art. 7 Abs. 1 DSGVO)

Zweck: Information über den Start der Plattform sowie gelegentliche Produktnews (max. 4 pro Jahr).

Rechtsgrundlage:Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Widerrufsrecht: Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem du uns eine E-Mail an info@balldifferent.com schickst oder auf die entsprechende Antwort-Option in jeder Mail reagierst.

Speicherdauer: Bis zum Widerruf oder bis zu 12 Monate nach dem Plattform-Start, je nachdem was früher eintritt.

8. E-Mail-Versand

Transaktionale E-Mails (Bestätigungen, Passwort-Reset, Benachrichtigungen) und Waitlist-Mails versenden wir über Brevo (Sendinblue SAS), Paris, Frankreich. Brevo verarbeitet deine E-Mail-Adresse und den Zeitpunkt des Versands, um die Zustellung sicherzustellen.

Rechtsgrundlage:Art. 6 Abs. 1 lit. b (Vertragserfüllung, für transaktionale Mails), Art. 6 Abs. 1 lit. a (Einwilligung, für Waitlist).

Server-Standort: EU. AV-Vertrag mit Brevo geschlossen.

9. Anmeldung mit Apple oder Google (OAuth)

Wenn du dich mit Apple oder Google anmeldest, übermittelt der jeweilige Anbieter uns deine E-Mail-Adresse und die OAuth-ID zur eindeutigen Zuordnung. Profilbild und Klarname werden nicht automatisch übernommen — wenn der Anbieter uns diese Daten mitliefert, fragen wir dich beim ersten Login per separatem Dialog, ob du sie übernehmen möchtest. Ohne Zustimmung werden sie sofort verworfen und nicht gespeichert.

Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Anlage deines Nutzerkontos) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in OAuth-Verwendung).

Drittland-Übermittlung: Apple Inc. (Cupertino, USA) und Google LLC (Mountain View, USA) sind US-Unternehmen. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF, Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Beide Anbieter sind DPF-zertifiziert.

Apple Datenschutz: apple.com/legal/privacy
Google Datenschutz: policies.google.com/privacy

10. Auftragsverarbeiter

Wir setzen folgende Dienstleister ein, die in unserem Auftrag und nach unseren Weisungen personenbezogene Daten verarbeiten (AV-Verträge nach Art. 28 DSGVO geschlossen):

  • Supabase Inc. (San Francisco, USA) — Datenbankspeicherung und Authentifizierung. Server-Standort: Frankfurt (eu-central-1). Datenübermittlung in die USA auf Basis EU-Standardvertragsklauseln.
  • Vercel Inc. (San Francisco, USA) — Hosting und CDN. Server-Standort: Frankfurt (fra1). Datenübermittlung in die USA auf Basis DPF (zertifiziert).
  • Sendinblue SAS (Brevo) (Paris, Frankreich) — E-Mail-Versand (siehe 8).
  • Sentry (Functional Software Inc.) (San Francisco, USA) — Fehlerüberwachung. Server-Standort: Frankfurt (sentry.io EU). IP-Adressen werden vor Speicherung anonymisiert; keine Übermittlung von E-Mails oder Cookies.
  • PostHog Inc. (San Francisco, USA) — Nutzungsanalyse (nur mit Einwilligung, siehe 6b). Server-Standort: Frankfurt (eu.i.posthog.com).
  • Cloudflare Inc. (San Francisco, USA) — DNS. Reine DNS-Anfragen ohne Inhalts-Logging. Datenübermittlung auf Basis EU-Standardvertragsklauseln.
  • Apple Inc. (Cupertino, USA) — OAuth-Anmeldung (siehe 9).
  • Google LLC (Mountain View, USA) — OAuth-Anmeldung (siehe 9).
  • Twilio Inc. (San Francisco, USA) — SMS-OTP für die Coach-Telefon-Verifikation (Block A.10, Mai 2026). Wir senden ausschließlich die Telefonnummer und einen 6-stelligen Verifikations- code zur Zustellung. Twilio speichert keine Inhalte über die Verifikationsdauer hinaus. Datenübermittlung in die USA auf Basis EU-Standardvertragsklauseln. Telefonnummern bleiben intern als Trust-Marker, sie werden nie öffentlich angezeigt.
  • Replicate Inc. (San Francisco, USA) — AI-basierte Stilisierung von Profil-/Card-Fotos (insb. für 13–15-Jährige als Schutz, statt echtes Foto öffentlich). Wir übermitteln das hochgeladene Foto an Replicate, erhalten ein stilisiertes (Cartoon-)Bild zurück und speichern nur das Ergebnis. Replicate persistiert die Original-Eingabe laut Anbieter-Vorgabe nicht über die Verarbeitungs-Dauer hinaus. Bei Verarbeitung von Bildmaterial 13–15-Jähriger erfolgt sie ausschließlich nach aktiviertem Eltern-Consent (Modell B). Datenübermittlung USA: EU-Standardvertragsklauseln.
  • OpenAI L.L.C.(San Francisco, USA) — Text-Moderation via OpenAI Moderation API. Wir senden kurze Text-Snippets (Coach-Bio, Offering-Description, Junior-Anfrage-Text) ohne personenbezogenen Identifier zur Inhalts-Klassifikation („potentiell unangemessen ja/nein"). Keine Speicherung beim Anbieter (Zero-Data-Retention für API-Endpoints). Datenübermittlung USA: EU-Standardvertragsklauseln.
  • Google LLC (Cloud Vision) (Mountain View, USA) — Bild-Moderation via Google Vision SafeSearch. Wir übermitteln Bild-Uploads (Avatar, Card-Foto, Event-Bild) zur Klassifikation (gewalt-, sex- oder schock-affine Inhalte ja/nein). Verwendet wird der EU-Endpoint eu-vision.googleapis.com. Google persistiert Bild-Inhalte für diese API laut Anbieter-Vorgabe nicht über die Verarbeitung hinaus.
  • UptimeRobot (Çağı İnternet ve Bilgi Hizmetleri) (Antalya, Türkei) — externes Verfügbarkeits-Monitoring. Pingt unsere öffentlichen Status-Endpoints alle 5 Minuten per HTTP-HEAD-Request ohne Inhaltszugriff. Es werden ausschließlich HTTP-Statuscodes und Antwortzeiten erhoben; keine Nutzerdaten werden übermittelt. Drittlandtransfer Türkei: Datenübermittlung auf Basis EU-Standardvertragsklauseln + Transfer Impact Assessment. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Verfügbarkeit und Sicherheit der Plattform).

10b. AI-Foto-Stilisierung für 13–17-Jährige (Modell B)

Für 13–17-jährige Spielerinnen und Spieler bieten wir öffentlich ausschließlich stilisierte (Cartoon-)Profilbilder an. Echte Fotos werden nur mit aktivem Eltern-Consent gespeichert und nie öffentlich gemacht. Die Stilisierung erfolgt durch Replicate Inc. (USA, siehe 10). Original-Foto wird nicht persistiert; nur das stilisierte Ergebnis liegt in unserem Storage. Eltern können den AI-Filter jederzeit in den Einstellungen deaktivieren — das Profilbild wird dann auf den Stylized-Default zurückgesetzt.

10c. Beobachtungs-Daten für Kinder unter 13 (Coach-Sicht)

Eltern können autorisierten Trainerinnen und Trainern die Berechtigung geben, kindgerechte Entwicklungs-Beobachtungen zu ihren unter 13-jährigen Kindern in der App zu hinterlegen. Diese „Kids Journey" speichert pro Beobachtung:

  • Acht entwicklungsorientierte Felder (z. B. Ballgefühl, Werfen, Passen, Fußarbeit, Defense …) mit jeweils einer von vier Stufen (Entdeckt / Übt sicherer / Zeigt es im Spiel / Besondere Stärke).
  • Maximal 240-Zeichen-Coach-Impulse für Eltern, optional zwei „nächste Fokus"-Items pro Check.

Sichtbarkeit: ausschließlich verbundene Coaches, das Kind selbst (sobald 13+ und mit eigenem Junior-Account) und die Sorgeberechtigten. Diese Daten erscheinen niemals öffentlich, nie auf einer Profil-Card oder Connection-Sicht. Eltern können die Coach-Verbindung jederzeit beenden — die Beobachtungen werden dann aus der UI entfernt.

Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung Eltern-Coach-Beziehung) i. V. m. Art. 8 DSGVO (Kinder-Schutz). Speicherdauer: bis zur Beendigung der Coach-Verbindung durch Eltern oder bis zur Konto-Löschung des Kindes/Eltern-Accounts. Eltern haben jederzeit Auskunfts- und Löschrecht (siehe 12).

11. Datenübermittlung in Drittländer

Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA. Grundsätzlich werden deine Daten aber auf EU-Servern (Frankfurt) gespeichert. Wenn im Einzelfall eine Übermittlung in die USA nötig ist (z. B. Support-Anfragen an den Anbieter), erfolgt diese auf einer der folgenden Rechtsgrundlagen:

  • DPF (EU-US Data Privacy Framework) für zertifizierte Anbieter (Vercel, Google, Apple).
  • EU-Standardvertragsklauseln (SCC Modul 2 oder 3) für alle anderen, ergänzt um ein technisches und organisatorisches Schutzniveau (Transfer Impact Assessment).

12. Speicherdauern im Überblick

  • Server-Logs: max. 30 Tage
  • Profildaten (aktives Konto):für die Dauer des Kontos. Nach 24 Monaten ohne Login informieren wir dich per E-Mail; ohne Reaktion innerhalb von weiteren 60 Tagen wird das Konto inaktiv geschaltet und die Daten wie unten beschrieben gelöscht.
  • Trading Cards + Fotos: solange die Card existiert; manuell jederzeit löschbar.
  • Chat- und Booking-Nachrichten:2 Jahre aktiv sichtbar, danach 5 Jahre archiviert (read-only) zur Erfüllung gesetzlicher Aufbewahrungs- und Beweisführungspflichten (§§ 195, 199 BGB Verjährung; Streitfälle zwischen Coach und Eltern).
  • Skill-Checks und Coach-Bewertungen:solange das Profil des Bewerteten besteht; nach Konto-Löschung 90 Tage aufbewahrt zum Schutz vor missbräuchlicher Re-Registrierung.
  • Waitlist-Eintrag:bis Widerruf oder 12 Monate nach Plattform-Start.
  • Analyse-Events (PostHog): 90 Tage.
  • Pending Eltern-Einwilligung:30 Tage, danach automatische Löschung.
  • Benachrichtigungen (in-app):365 Tage nach Erstellung.
  • Eltern-Consent-Log:Dauer der Verarbeitung + 3 Jahre (Art. 7 Abs. 1 DSGVO Beweislast).
  • Moderations-Logs (Reports, geflaggte Inhalte, Entscheidungen):7 Jahre — gesetzliche Verjährungsfristen für deliktische Ansprüche und Abwehr von Aufsichtsbehörden-Anfragen.
  • Birth-Year-Korrekturen via Support:10 Jahre — Beweissicherung bei späteren Ermittlungsverfahren wegen Identitätstäuschung gegenüber Minderjährigen (§ 176b StGB Cybergrooming-Prävention, ggf. i. V. m. § 184b StGB).
  • Audit-Log Coach-Verifikation:7 Jahre nach Status-Wechsel.

Nach Konto-Löschung werden Profil-, Card- und Aktivitätsdaten binnen 30 Tagen endgültig gelöscht. Audit-, Moderations- und Eltern-Consent-Logs bleiben in pseudonymisierter Form für die oben genannten Fristen erhalten.

13. Deine Rechte

Du hast jederzeit das Recht auf:

  • Auskunftüber deine gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigungunrichtiger Daten (Art. 16 DSGVO)
  • Löschungdeiner Daten („Recht auf Vergessenwerden", Art. 17 DSGVO). In deinem Account-Bereich findest du eine Funktion, mit der du dein Konto inklusive aller Daten eigenständig löschen kannst.
  • Einschränkungder Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit(Art. 20 DSGVO) — Export deiner Daten in maschinenlesbarem Format
  • Widerspruchgegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf von Einwilligungen(Art. 7 Abs. 3 DSGVO)

Zur Ausübung genügt eine formlose E-Mail an info@balldifferent.com. Wir bearbeiten Anfragen innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

14. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass wir deine Daten nicht rechtmäßig verarbeiten (Art. 77 DSGVO).

Zuständig für uns ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
baden-wuerttemberg.datenschutz.de

15. Algorithmische Bewertung (Rating-System)

(1) Manuelle Skill-Checks. Skill-Checks und Coach-Bewertungen werden ausschließlich von realen Personen (Coaches, Eltern, volljährigen Spielerinnen und Spielern) vergeben — nicht algorithmisch generiert.

(2) Algorithmische Aggregation zum Tier.Die öffentliche Anzeige des Rating-Tiers (z. B. Rising, Prospect, Talent) wird aus der Summe der manuell vergebenen Skill-Checks regelbasiert berechnet. Hauptparameter:

  • Anzahl der bewerteten Skill-Kategorien
  • Anzahl unabhängiger Quellen (Coaches)
  • Verteilung der Intensitäten („gut ausgeprägt", „herausragend", „außergewöhnlich")
  • Cluster-Begrenzung (max. ~40 % der Bewertungen aus einer Quelle)

(3) Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für die öffentliche Anzeige zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung im Profil-Setup, bei Junioren über die Eltern-Verknüpfung).

(4) Recht auf menschliches Eingreifen (Art. 22 Abs. 3 DSGVO). Soweit das Tier als algorithmische Entscheidung mit erheblicher Wirkung verstanden wird, hast du das Recht, eine manuelle Überprüfung deiner Tier-Einstufung zu verlangen, deinen Standpunkt darzulegen und die Entscheidung anzufechten. Schicke dazu eine formlose E-Mail an info@balldifferent.com. Wir prüfen dann durch eine natürliche Person, ob die zugrundeliegenden Skill-Checks plausibel sind und die Aggregation korrekt erfolgt ist.

(5) Das Tier sinkt nicht automatisch bei Inaktivität. Eine Reduzierung erfolgt nur durch manuelle Korrektur seitens unseres Sicherheits-Teams bei nachgewiesener Manipulation.

16. Datensicherheit

Wir setzen aktuelle technische und organisatorische Maßnahmen ein, um deine Daten zu schützen:

  • Verschlüsselte Übertragung (HTTPS/TLS 1.3) aller Verbindungen
  • Passwort-Hashes nach Industrie-Standard (Argon2id, durch Supabase Auth)
  • Row-Level Security (RLS) auf Datenbank-Ebene als zusätzliche Schicht
  • Automatische Bild- und Text-Moderation vor Veröffentlichung (siehe 10)
  • Content-Security-Policy, HSTS, SameSite=Lax-Cookies, CSRF-Tokens
  • Zugriff auf Produktionsdaten nur durch wenige berechtigte Personen mit 2-Faktor-Authentifizierung
  • Regelmäßige Sicherheits-Audits der eingesetzten Dienstleister

17. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald sich unsere Datenverarbeitung oder die Rechtslage ändert. Die jeweils aktuelle Version findest du immer unter dieser Adresse. Bei wesentlichen Änderungen informieren wir dich zusätzlich per E-Mail oder in der App.

Letzte Aktualisierung: Mai 2026.