Zum Inhalt springen
Beta
Einloggen

Sicherheit & Schutz

Stand: Mai 2026

Architektur-basiert, nicht regel-basiert

Erwachsene können auf Ball Different nicht direkt mit Minderjährigen kommunizieren — per Software-Architektur, nicht per Hausordnung. Junior-Accounts (13–17) haben:

  • Keinen Chat und keine Direktnachrichten
  • Keine eigenen Buchungs-Knöpfe
  • Keinen Coach-Direkt-Kommunikationskanal

Alles läuft über den verknüpften Eltern-Account. Das ist nicht freiwillig oder per Regel durchsetzbar — es ist in der Datenbank und im API-Layer fest verankert (Row Level Security + Server-Guards).

Coach-Verifikation in zwei Stufen

  • Registered Coach: E-Mail und Telefon verifiziert. Profil intern bearbeitbar, aber nicht öffentlich sichtbar.
  • Verified Coach: Zusätzlich ein nachvollziehbarer externer Anker — Vereinszugehörigkeit, DBB-Trainerlizenz, Website mit Coaching-Kontext, LinkedIn mit Coaching-Referenz, Instagram-Coaching-Historie oder eine Referenz. Erst nach manuellem Spot-Check ist der Coach öffentlich sichtbar und buchbar.

Verifizierungs-Belege werden verschlüsselt gespeichert und 30 Tage nach erfolgreicher Prüfung automatisch gelöscht (DSGVO-Minimierung). Nur Verifizierungs-Status, Reviewer und Datum bleiben im Audit-Log.

Automatische Moderation

  • Texte (Profile, Nachrichten, Mottos): jede Adult-Adult-Nachricht und jeder öffentliche Freitext wird vor dem Speichern durch die OpenAI Moderation API geprüft. Bei Verdacht: Block oder Review-Queue.
  • Bilder (Trading-Card-Foto, Avatare, Event-Cover): jeder Upload durchläuft Google Vision SafeSearch. Bei Flag (Adult, Violence, Racy, Spoof): Bild wird gelöscht und das Profilfeld auf NULL gesetzt.

Privacy by default für Minderjährige

Profile von Junior-Accounts sind standardmäßig privat. Öffentlich sichtbar sind nur:

  • Vorname und Initial des Nachnamens
  • U-Klasse (z. B. U14) — niemals das Geburtsjahr
  • Position
  • Region (z. B. „Großraum Stuttgart") — niemals exakte Adresse
  • Trading Card in stilisierter Darstellung

Niemals öffentlich sichtbar bei Minderjährigen: Telefon, E-Mail, exakter Wohnort, voller Name, Schule, freier Kontaktweg.

Echte Fotos öffentlich nur mit ausdrücklicher Eltern-Freigabe und nach Bild-Moderation. Standard ist eine stilisierte Avatar-Variante.

Verbindungen entstehen über Anlass, nicht über Suche

Ball Different hat bewusst keine offene Spielersuche. Spieler vernetzen sich nur über zwei Wege:

  • Vereinsteam (Coach-Link): Coach generiert einen Team-Code und teilt ihn im Team-Chat (z.B. WhatsApp). Wer beitritt, ist Mitspieler. Für Spieler unter 16 muss ein Elternteil den Beitritt bestätigen — direkt im Postfach per Tap.
  • Card-Tausch: Spieler verschenken ihre Signature Card. Erst beim Annehmen der Card entsteht eine Verbindung. Erwachsene können Cards nicht ungefragt an Minderjährige senden — nur wenn bereits eine Verbindung besteht.

Es gibt keine Friend-Requests, keinen Spieler-Index, keine People-Search. Verbindungen brauchen einen realen Anlass.

Schutz beim Team-Code-Beitritt: Der Team-Code allein erlaubt keinen Direktkontakt zwischen Coach und Junior. Auch nach Beitritt läuft jede Coach-Junior-Kommunikation über das Eltern-Postfach. Coaches, die den Team-Code missbrauchen, um ohne Vereins-Bezug Junioren in ihr Team einzuladen, verlieren ihren Verified-Status und werden gesperrt.

Melden und Blockieren

Jeder Inhalt kann gemeldet werden. Reports landen im Plattform-Admin-Dashboard und werden binnen 24h (Mo–Fr) gesichtet. Bei begründetem Verdacht: Account-Sperre, ggf. ohne Vorab-Anhörung, wenn das Schutzbedürfnis Minderjähriger überwiegt. Du als Reporter bleibst anonym.

Block-Funktion: Erwachsene können andere Erwachsene blockieren (in Suchen, Listen und Card-Gifts ausgeschlossen). Eltern können im Namen ihres Kindes Coaches blockieren.

Wann sperren wir Accounts?

Wir sperren Accounts unverzüglich bei:

  • Manipulation des Geburtsdatums
  • Versuchen, Eltern-Verifikation zu umgehen
  • Belästigung, Diskriminierung, sexuell unangemessenen Inhalten
  • Wiederholten Moderation-Verstößen

Coaches verlieren zusätzlich ihre öffentliche Sichtbarkeit bei begründeten Reports — auch ohne Vorab-Anhörung, wenn das Schutzbedürfnis Minderjähriger überwiegt.

Eskalation an Strafverfolgungsbehörden (Art. 18 DSA)

Bei tatsächlichen Anhaltspunkten für eine Straftat, die eine Gefahr für Leben, körperliche Unversehrtheit oder Sicherheit einer Person — insbesondere Minderjähriger — begründen kann, sind wir nach Art. 18 DSA verpflichtet, die zuständigen Strafverfolgungs- oder Justizbehörden unverzüglich zu informieren und die hierfür erforderlichen Informationen weiterzugeben.

Strukturelle Vorsorgemaßnahmen nach § 24a JuSchG

Als Diensteanbieter mit jugendschutzrelevantem Profil setzen wir die Anforderungen aus § 24a JuSchG strukturell um:

  • Sichere Voreinstellungen (§ 24a Abs. 2 Nr. 1): Junior-Profile sind privat by default; öffentliche Felder sind auf Vorname, Initial, U-Klasse, Position und grobe Region begrenzt.
  • Melde- und Abhilfesystem (§ 24a Abs. 2 Nr. 2): Jeder Inhalt kann gemeldet werden; Reports werden binnen 24 h (Mo–Fr) gesichtet. Bei akuter Gefährdung Minderjähriger bitte parallel die Polizei (Notruf 110) kontaktieren.
  • Bewertungs-/Einstufungs-System (§ 24a Abs. 2 Nr. 3): Plattform-Inhalte werden vor Veröffentlichung automatisch durch Google Vision SafeSearch (Bilder) und OpenAI Moderation API (Texte) klassifiziert.
  • Anlauf- und Beschwerdestelle: safety@balldifferent.com

Aufsichtsbehörde: Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ), Bonn. Wir kooperieren bei begründeten Anfragen.

Speicherfristen

Die Speicherfristen sind in der Datenschutzerklärung Abschnitt 12 ausführlich aufgelistet. Die wichtigsten im Überblick:

  • Aktive Profil-Daten: Dauer des Kontos; nach 24 Monaten Inaktivität automatische Löschung nach Vorab-Information
  • Gelöschte Accounts: 30 Tage Soft-Delete (Wiederherstellung möglich), dann Hard-Delete
  • Chat- und Booking-Nachrichten: 2 Jahre aktiv, danach 5 Jahre Archiv (read-only) für Verjährungs- und Streitfälle
  • Skill-Checks und Bewertungen: solange Profil besteht, danach 90 Tage zur Re-Registrierungs-Abwehr
  • Moderations-Logs (Reports, geflaggte Inhalte, Entscheidungen): 7 Jahre — gesetzliche Verjährungsfristen
  • Eltern-Consent-Log: Dauer der Verarbeitung + 3 Jahre (Art. 7 Abs. 1 DSGVO Beweislast)
  • Birth-Year-Korrekturen via Support: 10 Jahre — Beweissicherung bei späteren Ermittlungsverfahren wegen Identitätstäuschung gegenüber Minderjährigen (§ 176b StGB Cybergrooming-Prävention, ggf. i. V. m. § 184b StGB)
  • Audit-Log Coach-Verifikation: 7 Jahre nach Status-Wechsel

Kontakt für Sicherheitsvorfälle

safety@balldifferent.com

Erstreaktion in der Regel innerhalb 24 Stunden (werktags). Das gilt sowohl für akute Gefährdung Minderjähriger (z. B. Cybergrooming-Versuch, Kontaktanbahnung außerhalb der Plattform, sexuelle Belästigung) als auch für sonstige Sicherheits-Anfragen (Account-Übernahme, verdächtige Mod-Lücken, Bug-Bounty).

Bei akuter Gefährdung gilt immer: parallel die Polizei (Notruf 110) kontaktieren.Wir sind ein kleines Team und können keine 24/7-Erstreaktion garantieren. Wir kooperieren mit Strafverfolgungsbehörden gemäß Art. 6 Abs. 1 lit. c/e/f DSGVO und § 24 BDSG.