Stand: 14.06.2026 — Dokumentversion Privacy 1.5.0
Verantwortlicher im Sinne der DSGVO ist:
Maximilian Reiter / Ryder Performance
Christdobl 13, 94034 Passau
E-Mail: contact@fanlobby.app
Datenschutzbeauftragter: Ein Datenschutzbeauftragter ist nach § 38 BDSG nicht erforderlich, da im Unternehmen nicht mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind und keine umfangreiche regelmäßige Verarbeitung besonderer Kategorien personenbezogener Daten erfolgt.
Die Nutzung der FanLobby ist ab einem Mindestalter von 13 Jahren zulässig. Die Altersbestätigung erfolgt durch Selbstauskunft im Rahmen der Akzeptanz der Nutzungsbedingungen — ein separates Geburtsjahr-Feld speichern wir nicht (Datenminimierung Art. 5 Abs. 1 lit. c DSGVO).
Für jüngere Nutzer verarbeiten wir personenbezogene Daten nur mit Einwilligung der Erziehungsberechtigten (Art. 8 Abs. 1 DSGVO). Maßgeblich ist das im jeweiligen EU-Mitgliedstaat festgelegte Alter (zwischen 13 und 16 Jahren); in Deutschland gilt diese Einwilligungspflicht für Nutzer unter 16 Jahren. Wir empfehlen Eltern, die App vor Nutzung gemeinsam mit ihrem Kind zu prüfen.
Optionale Wettquoten-Inhalte (Odds-Tab) sind ausschließlich Personen ab 18 Jahren zugänglich und müssen aktiv in den App-Einstellungen aktiviert werden (JuSchG § 14, JMStV § 4).
Soweit Sie in eine Datenverarbeitung eingewilligt haben, verarbeiten wir Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Sind die Daten zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, verarbeiten wir sie auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Wo eine rechtliche Verpflichtung besteht, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Im Übrigen kann die Verarbeitung auf unserem berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO erfolgen, etwa zur Sicherheits- und Missbrauchsabwehr oder zum technisch notwendigen Betrieb der App. Soweit das TDDDG anwendbar ist, beachten wir § 25 TDDDG für Speicher- und Zugriffsvorgänge auf Endgeräten. Die jeweils einschlägige Rechtsgrundlage nennen wir in den folgenden Abschnitten konkret bei der jeweiligen Verarbeitung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für Push-Benachrichtigungen zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung beim Aktivieren der Benachrichtigungen über die System-Berechtigung).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität, Sicherheit und Missbrauchsabwehr); für optionale Produkt-Analytics und Crashlytics ausschließlich Art. 6 Abs. 1 lit. a DSGVO (aktive Einwilligung in den App-Einstellungen, jederzeit mit Wirkung für die Zukunft widerrufbar).
Wir nutzen folgende Auftragsverarbeiter (Art. 28 DSGVO) und externe Datenquellen. Mit unseren Auftragsverarbeitern bestehen Auftragsverarbeitungs-Verträge.
| Kategorie | Vertragspartner | Zweck | Datenstandort |
|---|---|---|---|
| Hosting, Datenbank, Authentifizierung, Functions, Storage (Firebase Authentication, Firestore, Realtime Database, Cloud Functions, Cloud Storage) | Google Ireland Ltd. (Subprozessor: Google LLC, USA) | Bereitstellung und Persistenz von Account-, Chat-, Tipp- und Profildaten | EU primär; einzelne Subprozessor-Vorgänge in den USA mit EU-Standardvertragsklauseln (SCC) und EU-US Data Privacy Framework |
| Push-Benachrichtigungen (Firebase Cloud Messaging) | Google Ireland Ltd. (Subprozessor: Google LLC, USA) | Auslieferung von Push-Benachrichtigungen an FCM-Token | EU/USA mit SCC und DPF |
| Optionale Produkt-Analytics (Google Analytics for Firebase / GA4 auf Android/iOS) | Google Ireland Ltd. (Subprozessor: Google LLC, USA) | Nutzungsanalyse vordefinierter Produktsignale nur nach separatem Opt-in; keine Chat-/DM-Inhalte, keine User-IDs in unseren eigenen Events | EU/USA mit SCC und DPF |
| Absturzberichte (Firebase Crashlytics, optional) | Google Ireland Ltd. (Subprozessor: Google LLC, USA) | Pseudonymisierte Diagnose-Daten zur Stabilität, nur nach Opt-in | USA mit SCC und DPF |
| Bot- und Integritätsschutz (Firebase App Check, Web mit Google reCAPTCHA v3) | Google Ireland Ltd. (Subprozessor: Google LLC, USA) | Schutz vor automatisiertem Missbrauch der Backend-APIs | USA mit SCC und DPF |
| Automatisierte Chat-Moderation (OpenAI Moderation API) | OpenAI, L.L.C., USA | Reiner Nachrichtentext öffentlicher Chats (keine Nutzer-IDs/Klarnamen, keine Direktnachrichten) zur Erkennung unzulässiger Inhalte; keine Nutzung zum Modelltraining | USA mit SCC (OpenAI-Auftragsverarbeitungsvertrag) |
Google ist nach dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: dataprivacyframework.gov/participant/5780.
| Quelle | Zweck | Datenfluss |
|---|---|---|
| Bzzoiro Sports API | Bezug von Sportdaten (Spielpläne, Live-Scores, Statistiken, Vereins- und Liga-Logos) | Eingehend: Sportdaten an unseren Backend-Server. Keine Übermittlung personenbezogener Nutzerdaten an Bzzoiro. |
Sobald In-App-Käufe (z.B. „Cheers") aktiviert werden, fungieren die jeweiligen Plattform-Anbieter (Apple Inc. für den App Store, Google LLC für Google Play) als Empfänger der für die Kaufabwicklung erforderlichen Daten. Diese Datenschutzerklärung wird vor Aktivierung entsprechend ergänzt.
Wenn die Funktion in Ihrer App-Version freigeschaltet ist, können wir auf unterstützten mobilen Plattformen (Android und iOS) nach Ihrer separaten freiwilligen Einwilligung optionale Produkt-Analytics mit Google Analytics for Firebase (GA4) verarbeiten. Standardmäßig ist diese Verarbeitung deaktiviert; Web- und Desktop-Versionen bleiben analytics-frei. Wir messen ausschließlich vordefinierte Produktsignale wie Screen-Aufrufe, Match-Öffnungen, gesendete Chat-Nachrichten und abgegebene Tipps. Inhalte von Chats oder Direktnachrichten, Klarnamen, Werbe-IDs, User-IDs oder sonstige direkt identifizierende Angaben schreiben wir nicht in unsere eigenen Analytics-Ereignisse. Firebase Analytics kann nach Einwilligung zusätzlich technisch bedingte Auto-Collect- und Lifecycle-Ereignisse wie App-Starts, Sitzungs- und Screen-Informationen verarbeiten. Wir nutzen diese Daten nicht für personalisierte Werbung, Remarketing, Google Signals oder geräteübergreifendes Werbetracking. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Sie können die Einwilligung jederzeit unter Einstellungen → Datenschutz → Analytik erlauben widerrufen. Eine lokale Einwilligung allein erzwingt keine Aktivierung; zusätzlich muss die Funktion serverseitig für die jeweilige Plattform freigegeben sein.
Absturzberichte und Diagnosetelemetrie sind standardmäßig deaktiviert (privacy-by-default, DSGVO Art. 25). Sie können die Erfassung jederzeit unter Einstellungen → Datenschutz → Diagnose-Daten teilen aktivieren oder eine erteilte Einwilligung widerrufen — ohne Auswirkung auf die Nutzung der App. Diese Einwilligung ist getrennt vom optionalen Produkt-Analytics-Opt-in.
Wo Verarbeitungen oder Subprozessor-Schritte in den USA stattfinden (insbesondere optionale Produkt-Analytics via Firebase Analytics / GA4, Crashlytics, FCM-Routing, App Check), schützen wir die Übermittlung durch die EU-Standardvertragsklauseln (Art. 46 DSGVO) und die Zertifizierung des Empfängers nach dem EU-US Data Privacy Framework. Zur automatisierten Chat-Moderation übermitteln wir zudem reinen Nachrichtentext öffentlicher Chats an OpenAI, L.L.C., USA; diese Übermittlung ist durch die EU-Standardvertragsklauseln (Art. 46 DSGVO) im Rahmen des mit OpenAI geschlossenen Auftragsverarbeitungsvertrags abgesichert. Analytics- und Diagnose-Daten sind standardmäßig deaktiviert; Sie können beide Einwilligungen getrennt in der App unter Einstellungen → Datenschutz verwalten und dort mit Wirkung für die Zukunft widerrufen. Eine lokale Analytics-Einwilligung allein aktiviert keine Erfassung, solange die serverseitige Freigabe deaktiviert bleibt.
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder wie gesetzliche Aufbewahrungspflichten es vorschreiben. Konkret unterscheiden wir folgende Kategorien:
Sie haben gemäß Art. 15-22 DSGVO insbesondere die folgenden Rechte:
Anfragen bitte an: contact@fanlobby.app
Eine Account-Löschung ist direkt in der App unter Einstellungen → Konto → Konto löschen möglich. Die Löschung erfolgt kaskadierend (Cloud Function onUserDelete) und umfasst alle personenbezogenen Daten. Eine vollständige Datenkopie nach Art. 15 DSGVO erhalten Sie auf Anfrage per E-Mail innerhalb der gesetzlichen Frist im JSON- und CSV-Format.
Sie können die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen, insbesondere wenn (a) Sie die Richtigkeit der Daten bestreiten und wir die Richtigkeit prüfen, (b) die Verarbeitung unrechtmäßig ist und Sie statt Löschung die Einschränkung wünschen, (c) wir die Daten nicht mehr benötigen, Sie sie aber zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen brauchen, oder (d) Sie Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt haben und die Abwägung noch andauert.
Sofern wir Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO verarbeiten, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch gegen diese Verarbeitung einzulegen. Werden Ihre Daten zum Zwecke von Direktwerbung verarbeitet, haben Sie jederzeit ohne Begründung das Recht, dieser Verarbeitung zu widersprechen; nach einem solchen Widerspruch werden die Daten für Direktwerbung nicht mehr verwendet.
Hinweis: Wir nutzen aktuell keine personenbezogenen Daten für Direktwerbung. Sollte sich dies in Zukunft ändern, werden wir Sie vorab informieren.
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, www.lda.bayern.de
Auf der Web-Version setzen wir Firebase App Check mit Google reCAPTCHA v3 ein, um automatisierten Missbrauch unserer Backend-APIs zu verhindern. Anbieter ist die Google Ireland Limited (Subprozessor: Google LLC, USA). Dabei werden im Hintergrund technische Nutzungs- und Interaktionssignale ausgewertet (z.B. IP-Adresse, Browser- und Geräteinformationen, Nutzungsverhalten), um menschliche Nutzung von automatisierten Anfragen zu unterscheiden. Es findet keine sichtbare Interaktion statt.
Rechtsgrundlage ist unser berechtigtes Interesse an der Sicherheit und Verfügbarkeit der App nach Art. 6 Abs. 1 lit. f DSGVO. Soweit dabei auf Informationen in Ihrem Endgerät zugegriffen oder dort Informationen gespeichert werden, ist dies nach § 25 Abs. 2 Nr. 2 TDDDG unbedingt erforderlich, um den von Ihnen ausdrücklich gewünschten Dienst (Login, Schreib- und Tipp-Funktionen) sicher bereitzustellen, und erfolgt daher ohne Einwilligungspflicht. Google ist nach dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen zur Verarbeitung durch Google finden Sie in der Google-Datenschutzerklärung und den Google-Nutzungsbedingungen.
Auf der Web-Version verwenden wir folgende Cookies bzw. Local-Storage-Einträge. Es handelt sich ausschließlich um technisch notwendige oder funktionale Speichervorgänge — wir setzen keine eigenen Marketing- oder Werbe-Cookies und führen kein Tracking zur Profilbildung durch. Produkt-Analytics via GA4 wird auf Web nicht eingesetzt; wir laden dort keine eigenen Analytics-Skripte.
| Name | Zweck | Dauer | Kategorie |
|---|---|---|---|
| Firebase Auth Token | Login-Session | Session | technisch notwendig |
| App Check Token | Bot- und Integritätsschutz | kurzfristig | technisch notwendig |
| _GRECAPTCHA | Sicherheits- und Integritätsdaten für reCAPTCHA v3; Verarbeitung durch Google nach deren eigenen Bedingungen — von uns nicht zu Marketingzwecken genutzt | mittelfristig | technisch notwendig |
| app_settings | Sprache, Theme, Einstellungen | langfristig | funktional |
| cookie_consent | Speichert Ihre Cookie-Entscheidung | langfristig | technisch notwendig |
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 25 Abs. 2 TDDDG für technisch notwendige Speichervorgänge; für funktionale Einträge zusätzlich Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG, soweit erforderlich.
Vereinslogos, Liga-Logos und Spielerbilder stammen aus der Bzzoiro Sports API und werden ausschließlich zu redaktionellen Zwecken (Sportberichterstattung) genutzt. Sie bleiben Eigentum der jeweiligen Markeninhaber.
Eine ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhende Entscheidung, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO), findet nicht statt. Automatisierte Verfahren zur Sicherheits- und Missbrauchsabwehr (z.B. Spam-/Bot-Erkennung, Ratenbegrenzung, ML-gestützte Erkennung unzulässiger Chat-Inhalte) dienen ausschließlich dem Schutz des Dienstes. Öffentliche Chat-Nachrichten können dabei automatisch entfernt und wiederholte Verstöße mit temporären, jederzeit aufhebbaren Chat-Einschränkungen geahndet werden; jede solche Moderations- oder Sperrentscheidung kann auf Wunsch durch unser Team überprüft werden (siehe Nutzungsbedingungen).
Bei wesentlichen Änderungen werden Sie in der App informiert und ggf. um eine erneute Zustimmung gebeten. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar.