Datenschutzerklärung
myPhoenix – Vereinsverwaltungs-App des TSV Phönix Lomersheim e.V.
Stand: 12. Mai 2026
Diese Datenschutzerklärung beschreibt die Verarbeitung personenbezogener Daten innerhalb der App myPhoenix, mit der der TSV Phönix Lomersheim e.V. seine Mitgliederverwaltung, Spielbetriebs-Organisation und interne Kommunikation abwickelt. Sie ergänzt die allgemeine Datenschutzerklärung des Vereins für die öffentliche Vereinswebsite.
1Verantwortlicher
Verantwortlich für die Datenverarbeitung in dieser App ist:
TSV Phönix Lomersheim e.V.
Anna-Haag-Ring 13
75417 Mühlacker
Telefon: 07041 / 46481
E-Mail: datenschutz@tsv-phoenix.de
2Welche Daten wir verarbeiten
Im Rahmen der App werden folgende personenbezogene Daten verarbeitet:
Stamm- und Mitgliedschaftsdaten
- Name, Vorname, Geburtsdatum, Geschlecht
- Anschrift, Telefonnummer, E-Mail-Adresse
- Mitgliedsnummer, Eintritts- und ggf. Austrittsdatum
- Abteilungs- und Mannschaftszugehörigkeit, Mitgliedsstatus
- Spielerpass-Nummer (bei Fußballern)
- Qualifikationen (bei Trainern)
Bankdaten (bei SEPA-Lastschriftmandat)
- Kontoinhaber, IBAN, BIC
Abrechnungs- und Finanzdaten
- Hochgeladene Belegfotos (Tank-, Einkaufs-, Materialbelege)
- Aus Belegen automatisch extrahierte Daten: Händler, Betrag, Datum, Posten
- Streckenangaben (Start, Ziel, Kilometer) und zugehörige Geo-Koordinaten
Interaktionsdaten (bei freiwilliger Nutzung von KI-Funktionen)
- Texteingaben im KI-Assistenten „Balli" – nur die durch den Nutzer eingegebenen Inhalte, keine Mitgliederdaten
- Hochgeladene Turnier-Flyer (PDF/Bild) zur automatischen Daten-Extraktion
- Umfrage-Texte (bei freiwilliger Rechtschreibprüfung)
Technische Daten
- IP-Adresse, Zeitpunkt des Zugriffs, verwendeter Browser/Gerätetyp
- Session-/Auth-Cookies (technisch notwendig)
3Zwecke der Verarbeitung
- Mitgliederverwaltung: Pflege der Mitgliederdaten, Kommunikation mit Mitgliedern
- Beitragsverwaltung: SEPA-Lastschrifteinzug der Mitgliedsbeiträge
- Sportorganisation: Einteilung in Mannschaften und Trainingsgruppen, Trainingsplanung, Anwesenheits-Erfassung
- Platzverwaltung: Koordination der Nutzung von Sportanlagen
- Kommunikation: Versand von Logins (MFA-Codes), Bestätigungen, Aufgaben- und Termin-Erinnerungen, Vereinsinformationen
- Spesenabrechnung: Erfassung, automatische Beleg-Analyse und Auszahlung von Auslagen
- Turnier-Verwaltung: Anmeldung und Organisation auswärtiger Turniere, automatische Flyer-Erkennung
- Niederschwelliger Support: KI-Chat-Assistent „Balli" für allgemeine Fragen rund um den Vereinsbetrieb
4Rechtsgrundlagen
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Mitgliederverwaltung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Beitragseinzug (SEPA) | Art. 6 Abs. 1 lit. b DSGVO |
| Spielerpass / Verbandsmeldung | Art. 6 Abs. 1 lit. b DSGVO |
| Transaktionale E-Mails (MFA, Erinnerungen) | Art. 6 Abs. 1 lit. b / f DSGVO |
| Geocoding für Spesenabrechnung | Art. 6 Abs. 1 lit. f DSGVO (korrekte Abrechnung) |
| KI-gestützte Beleg-Analyse | Art. 6 Abs. 1 lit. f DSGVO, freiwillig durch Nutzer ausgelöst |
| KI-gestützte Turnier-Flyer-Erkennung | Art. 6 Abs. 1 lit. f DSGVO, freiwillig |
| KI-Assistent „Balli" (Chat) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Nutzung) |
| Technische Logs | Art. 6 Abs. 1 lit. f DSGVO (Sicherheit) |
| Session-Cookies | Art. 6 Abs. 1 lit. f DSGVO (technisch notwendig) |
5Hosting
Die App und ihre Datenbank werden bei der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) auf einem Cloud-Server in Deutschland gehostet. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Personenbezogene Daten verlassen für das reguläre Hosting die Europäische Union nicht.
Hetzner-Datenschutz: hetzner.com/de/legal/privacy-policy
6Empfänger der Daten (Auftragsverarbeiter)
Zur Erbringung der App-Funktionen setzen wir folgende externe Dienste als Auftragsverarbeiter nach Art. 28 DSGVO ein:
| Anbieter | Sitz | Zweck |
|---|---|---|
| Hetzner Online GmbH | Deutschland | Hosting der App und Datenbank |
| Resend, Inc. | USA (Server in EU) | Versand transaktionaler E-Mails (Login-Codes, Antrags-Bestätigungen, Erinnerungen, Turnier-Einladungen) |
| OpenStreetMap Foundation / Nominatim | Vereinigtes Königreich | Geocoding von Adressen zur Kilometer-Berechnung bei Spesenabrechnungen |
| Mistral AI SAS | Frankreich (EU) | KI-Chat-Assistent „Balli", OCR für Turnier-Flyer, Rechtschreibprüfung bei Umfragen |
| OpenAI, L.L.C. | USA | Automatische Analyse hochgeladener Belege (Spesenabrechnung) |
| Anthropic, PBC | USA | Fallback-Anbieter für Beleg-Analyse, wenn OpenAI nicht verfügbar |
Weitere Empfänger – nur soweit erforderlich:
- Württembergischer Fußballverband (WFV) – bei Spielerpassanträgen
- Hausbank des Vereins – bei SEPA-Lastschriften
Eine Weitergabe an sonstige Dritte erfolgt nicht, es sei denn, Sie haben ausdrücklich eingewilligt oder es besteht eine gesetzliche Verpflichtung.
7Drittlandtransfer (USA)
Die Anbieter OpenAI und Anthropic haben ihren Hauptsitz in den USA. Eine Übermittlung personenbezogener Daten in die USA erfolgt daher, wenn Sie freiwillig:
- ein Belegfoto zur automatischen Analyse hochladen
- einen Turnier-Flyer zur OCR-Erkennung hochladen (Fallback)
Die Übermittlung erfolgt auf Basis der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Die Anbieter haben sich vertraglich verpflichtet, die übermittelten Daten nicht zum Training ihrer KI-Modelle zu verwenden. Bild- und Textdaten werden ausschließlich zur Erbringung der angefragten Analyse verwendet und nach Verarbeitung gelöscht (typischerweise innerhalb von 30 Tagen).
Resend hat den Hauptsitz in den USA, betreibt seine Mail-Server jedoch auf Cloudflare-Infrastruktur in der Europäischen Union; eine US-Datenverarbeitung findet daher faktisch nicht statt.
Mistral AI sitzt in Frankreich; es findet kein Drittlandtransfer statt.
8Hinweis zu KI-gestützten Funktionen
Die folgenden Funktionen der App nutzen Dienste externer KI-Anbieter:
- Beleg-Foto-Analyse (Spesenabrechnung): Hochgeladene Belegbilder werden zur Erkennung von Betrag, Datum und Händler an OpenAI bzw. Anthropic übermittelt.
- Turnier-Flyer-Erkennung: Hochgeladene PDFs und Bilder werden zur Extraktion der Turnierdaten an Mistral AI (primär) bzw. OpenAI/Anthropic (Fallback) übermittelt.
- Balli-Chat-Assistent: Texteingaben werden an Mistral AI übermittelt, um eine Antwort zu generieren. Es werden keine Mitgliederdaten automatisch mitgesendet.
- Rechtschreibprüfung bei Umfragen: Der eingegebene Umfrage-Text kann optional an Mistral AI zur Korrektur übermittelt werden.
Die Nutzung dieser Funktionen ist freiwillig. Sie können Belege manuell erfassen, Turnierdaten manuell eintragen, den Balli-Chat ungenutzt lassen und die Rechtschreibprüfung überspringen.
9Cookies
Die App verwendet ausschließlich technisch notwendige Cookies für Anmeldung und Sitzungsverwaltung:
| Cookie | Zweck | Dauer |
|---|---|---|
| access_token | Authentifizierung | 15 Minuten |
| refresh_token | Token-Erneuerung | 7 Tage |
| session_id | Session-ID | 7 Tage |
Es werden keine Marketing-, Tracking- oder Werbecookies gesetzt. Ein Cookie-Banner ist nicht erforderlich.
10Speicherdauer
| Datenart | Speicherdauer |
|---|---|
| Mitgliedsdaten aktiver Mitglieder | während der Mitgliedschaft |
| Mitgliedsdaten nach Austritt | 10 Jahre (steuer-/handelsrechtliche Aufbewahrung) |
| Bankdaten | bis Widerruf SEPA, danach 10 Jahre |
| Belege Spesenabrechnung | 10 Jahre (Buchhaltung) |
| Balli-Chat-Verläufe | 90 Tage, dann automatische Löschung |
| Technische Logs | 90 Tage |
| Session-Cookies | bis Logout, max. 7 Tage |
11Rollen und Zugriffsrechte
Der Zugriff auf Daten innerhalb der App ist rollenbasiert eingeschränkt:
- Vorstand: Vollzugriff auf alle Daten und Funktionen
- Trainer: Zugriff auf zugewiesene Mannschaften/Gruppen, Kontaktdaten, Trainings-Teilnahmen
- Mitglieder: Zugriff auf eigene Daten, Platzbuchungen, Vereinsinformationen
12Ihre Rechte als betroffene Person
Sie haben jederzeit das Recht auf:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten, soweit keine Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit in einem gängigen Format (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde, in Baden-Württemberg: Landesbeauftragter für Datenschutz und Informationsfreiheit, Königstr. 10a, 70173 Stuttgart
Konto-Löschung: Eine vollständige Löschung Ihres Benutzerkontos können Sie über die Seite Konto löschen beantragen.
13Datensicherheit
Wir setzen folgende technische und organisatorische Maßnahmen ein:
- Verschlüsselte Datenübertragung (HTTPS/TLS)
- Verschlüsselte Datenspeicherung
- Sichere Passwort-Hashes (bcrypt)
- Zwei-Faktor-Authentifizierung per E-Mail-Code (MFA)
- Rollenbasierte Zugriffssteuerung
- Automatische Session-Timeouts
- Regelmäßige Backups
Fragen zum Datenschutz?
Bei Fragen zur Verarbeitung Ihrer Daten oder zur Ausübung Ihrer Rechte wenden Sie sich an die Geschäftsstelle:
datenschutz@tsv-phoenix.de