Datenschutzerklärung

Stand: 14.06.2026 — Dokumentversion Privacy 1.5.0

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:
Maximilian Reiter / Ryder Performance
Christdobl 13, 94034 Passau
E-Mail: contact@fanlobby.app

Datenschutzbeauftragter: Ein Datenschutzbeauftragter ist nach § 38 BDSG nicht erforderlich, da im Unternehmen nicht mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind und keine umfangreiche regelmäßige Verarbeitung besonderer Kategorien personenbezogener Daten erfolgt.

2. Mindestalter & Eltern-Hinweis

Die Nutzung der FanLobby ist ab einem Mindestalter von 13 Jahren zulässig. Die Altersbestätigung erfolgt durch Selbstauskunft im Rahmen der Akzeptanz der Nutzungsbedingungen — ein separates Geburtsjahr-Feld speichern wir nicht (Datenminimierung Art. 5 Abs. 1 lit. c DSGVO).

Für jüngere Nutzer verarbeiten wir personenbezogene Daten nur mit Einwilligung der Erziehungsberechtigten (Art. 8 Abs. 1 DSGVO). Maßgeblich ist das im jeweiligen EU-Mitgliedstaat festgelegte Alter (zwischen 13 und 16 Jahren); in Deutschland gilt diese Einwilligungspflicht für Nutzer unter 16 Jahren. Wir empfehlen Eltern, die App vor Nutzung gemeinsam mit ihrem Kind zu prüfen.

Optionale Wettquoten-Inhalte (Odds-Tab) sind ausschließlich Personen ab 18 Jahren zugänglich und müssen aktiv in den App-Einstellungen aktiviert werden (JuSchG § 14, JMStV § 4).

3. Allgemeine Hinweise zu den Rechtsgrundlagen

Soweit Sie in eine Datenverarbeitung eingewilligt haben, verarbeiten wir Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Sind die Daten zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, verarbeiten wir sie auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Wo eine rechtliche Verpflichtung besteht, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Im Übrigen kann die Verarbeitung auf unserem berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO erfolgen, etwa zur Sicherheits- und Missbrauchsabwehr oder zum technisch notwendigen Betrieb der App. Soweit das TDDDG anwendbar ist, beachten wir § 25 TDDDG für Speicher- und Zugriffsvorgänge auf Endgeräten. Die jeweils einschlägige Rechtsgrundlage nennen wir in den folgenden Abschnitten konkret bei der jeweiligen Verarbeitung.

4. Welche Daten wir verarbeiten

4.1 Bei der Registrierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.2 Während der Nutzung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für Push-Benachrichtigungen zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung beim Aktivieren der Benachrichtigungen über die System-Berechtigung).

4.3 Automatisch erhobene technische Daten

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität, Sicherheit und Missbrauchsabwehr); für optionale Produkt-Analytics und Crashlytics ausschließlich Art. 6 Abs. 1 lit. a DSGVO (aktive Einwilligung in den App-Einstellungen, jederzeit mit Wirkung für die Zukunft widerrufbar).

5. Empfänger und Datenquellen

Wir nutzen folgende Auftragsverarbeiter (Art. 28 DSGVO) und externe Datenquellen. Mit unseren Auftragsverarbeitern bestehen Auftragsverarbeitungs-Verträge.

5.1 Auftragsverarbeiter (Empfänger personenbezogener Daten)

KategorieVertragspartnerZweckDatenstandort
Hosting, Datenbank, Authentifizierung, Functions, Storage (Firebase Authentication, Firestore, Realtime Database, Cloud Functions, Cloud Storage)Google Ireland Ltd. (Subprozessor: Google LLC, USA)Bereitstellung und Persistenz von Account-, Chat-, Tipp- und ProfildatenEU primär; einzelne Subprozessor-Vorgänge in den USA mit EU-Standardvertragsklauseln (SCC) und EU-US Data Privacy Framework
Push-Benachrichtigungen (Firebase Cloud Messaging)Google Ireland Ltd. (Subprozessor: Google LLC, USA)Auslieferung von Push-Benachrichtigungen an FCM-TokenEU/USA mit SCC und DPF
Optionale Produkt-Analytics (Google Analytics for Firebase / GA4 auf Android/iOS)Google Ireland Ltd. (Subprozessor: Google LLC, USA)Nutzungsanalyse vordefinierter Produktsignale nur nach separatem Opt-in; keine Chat-/DM-Inhalte, keine User-IDs in unseren eigenen EventsEU/USA mit SCC und DPF
Absturzberichte (Firebase Crashlytics, optional)Google Ireland Ltd. (Subprozessor: Google LLC, USA)Pseudonymisierte Diagnose-Daten zur Stabilität, nur nach Opt-inUSA mit SCC und DPF
Bot- und Integritätsschutz (Firebase App Check, Web mit Google reCAPTCHA v3)Google Ireland Ltd. (Subprozessor: Google LLC, USA)Schutz vor automatisiertem Missbrauch der Backend-APIsUSA mit SCC und DPF
Automatisierte Chat-Moderation (OpenAI Moderation API)OpenAI, L.L.C., USAReiner Nachrichtentext öffentlicher Chats (keine Nutzer-IDs/Klarnamen, keine Direktnachrichten) zur Erkennung unzulässiger Inhalte; keine Nutzung zum ModelltrainingUSA mit SCC (OpenAI-Auftragsverarbeitungsvertrag)

Google ist nach dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: dataprivacyframework.gov/participant/5780.

5.2 Externe Datenquellen (keine Übermittlung von Nutzerdaten)

QuelleZweckDatenfluss
Bzzoiro Sports APIBezug von Sportdaten (Spielpläne, Live-Scores, Statistiken, Vereins- und Liga-Logos)Eingehend: Sportdaten an unseren Backend-Server. Keine Übermittlung personenbezogener Nutzerdaten an Bzzoiro.

5.3 Künftige Empfänger (sobald aktiv)

Sobald In-App-Käufe (z.B. „Cheers") aktiviert werden, fungieren die jeweiligen Plattform-Anbieter (Apple Inc. für den App Store, Google LLC für Google Play) als Empfänger der für die Kaufabwicklung erforderlichen Daten. Diese Datenschutzerklärung wird vor Aktivierung entsprechend ergänzt.

6. Optionale Einwilligungen

6.1 Produkt-Analytics (Google Analytics for Firebase / GA4)

Wenn die Funktion in Ihrer App-Version freigeschaltet ist, können wir auf unterstützten mobilen Plattformen (Android und iOS) nach Ihrer separaten freiwilligen Einwilligung optionale Produkt-Analytics mit Google Analytics for Firebase (GA4) verarbeiten. Standardmäßig ist diese Verarbeitung deaktiviert; Web- und Desktop-Versionen bleiben analytics-frei. Wir messen ausschließlich vordefinierte Produktsignale wie Screen-Aufrufe, Match-Öffnungen, gesendete Chat-Nachrichten und abgegebene Tipps. Inhalte von Chats oder Direktnachrichten, Klarnamen, Werbe-IDs, User-IDs oder sonstige direkt identifizierende Angaben schreiben wir nicht in unsere eigenen Analytics-Ereignisse. Firebase Analytics kann nach Einwilligung zusätzlich technisch bedingte Auto-Collect- und Lifecycle-Ereignisse wie App-Starts, Sitzungs- und Screen-Informationen verarbeiten. Wir nutzen diese Daten nicht für personalisierte Werbung, Remarketing, Google Signals oder geräteübergreifendes Werbetracking. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Sie können die Einwilligung jederzeit unter Einstellungen → Datenschutz → Analytik erlauben widerrufen. Eine lokale Einwilligung allein erzwingt keine Aktivierung; zusätzlich muss die Funktion serverseitig für die jeweilige Plattform freigegeben sein.

6.2 Diagnose-Daten

Absturzberichte und Diagnosetelemetrie sind standardmäßig deaktiviert (privacy-by-default, DSGVO Art. 25). Sie können die Erfassung jederzeit unter Einstellungen → Datenschutz → Diagnose-Daten teilen aktivieren oder eine erteilte Einwilligung widerrufen — ohne Auswirkung auf die Nutzung der App. Diese Einwilligung ist getrennt vom optionalen Produkt-Analytics-Opt-in.

7. Übermittlung in Drittländer

Wo Verarbeitungen oder Subprozessor-Schritte in den USA stattfinden (insbesondere optionale Produkt-Analytics via Firebase Analytics / GA4, Crashlytics, FCM-Routing, App Check), schützen wir die Übermittlung durch die EU-Standardvertragsklauseln (Art. 46 DSGVO) und die Zertifizierung des Empfängers nach dem EU-US Data Privacy Framework. Zur automatisierten Chat-Moderation übermitteln wir zudem reinen Nachrichtentext öffentlicher Chats an OpenAI, L.L.C., USA; diese Übermittlung ist durch die EU-Standardvertragsklauseln (Art. 46 DSGVO) im Rahmen des mit OpenAI geschlossenen Auftragsverarbeitungsvertrags abgesichert. Analytics- und Diagnose-Daten sind standardmäßig deaktiviert; Sie können beide Einwilligungen getrennt in der App unter Einstellungen → Datenschutz verwalten und dort mit Wirkung für die Zukunft widerrufen. Eine lokale Analytics-Einwilligung allein aktiviert keine Erfassung, solange die serverseitige Freigabe deaktiviert bleibt.

8. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder wie gesetzliche Aufbewahrungspflichten es vorschreiben. Konkret unterscheiden wir folgende Kategorien:

9. Ihre Rechte

Sie haben gemäß Art. 15-22 DSGVO insbesondere die folgenden Rechte:

Anfragen bitte an: contact@fanlobby.app

Eine Account-Löschung ist direkt in der App unter Einstellungen → Konto → Konto löschen möglich. Die Löschung erfolgt kaskadierend (Cloud Function onUserDelete) und umfasst alle personenbezogenen Daten. Eine vollständige Datenkopie nach Art. 15 DSGVO erhalten Sie auf Anfrage per E-Mail innerhalb der gesetzlichen Frist im JSON- und CSV-Format.

9.1 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen, insbesondere wenn (a) Sie die Richtigkeit der Daten bestreiten und wir die Richtigkeit prüfen, (b) die Verarbeitung unrechtmäßig ist und Sie statt Löschung die Einschränkung wünschen, (c) wir die Daten nicht mehr benötigen, Sie sie aber zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen brauchen, oder (d) Sie Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt haben und die Abwägung noch andauert.

9.2 Widerspruchsrecht (Art. 21 DSGVO)

Sofern wir Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO verarbeiten, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch gegen diese Verarbeitung einzulegen. Werden Ihre Daten zum Zwecke von Direktwerbung verarbeitet, haben Sie jederzeit ohne Begründung das Recht, dieser Verarbeitung zu widersprechen; nach einem solchen Widerspruch werden die Daten für Direktwerbung nicht mehr verwendet.

Hinweis: Wir nutzen aktuell keine personenbezogenen Daten für Direktwerbung. Sollte sich dies in Zukunft ändern, werden wir Sie vorab informieren.

10. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, www.lda.bayern.de

11. Bot- und Integritätsschutz (Firebase App Check / Google reCAPTCHA v3)

Auf der Web-Version setzen wir Firebase App Check mit Google reCAPTCHA v3 ein, um automatisierten Missbrauch unserer Backend-APIs zu verhindern. Anbieter ist die Google Ireland Limited (Subprozessor: Google LLC, USA). Dabei werden im Hintergrund technische Nutzungs- und Interaktionssignale ausgewertet (z.B. IP-Adresse, Browser- und Geräteinformationen, Nutzungsverhalten), um menschliche Nutzung von automatisierten Anfragen zu unterscheiden. Es findet keine sichtbare Interaktion statt.

Rechtsgrundlage ist unser berechtigtes Interesse an der Sicherheit und Verfügbarkeit der App nach Art. 6 Abs. 1 lit. f DSGVO. Soweit dabei auf Informationen in Ihrem Endgerät zugegriffen oder dort Informationen gespeichert werden, ist dies nach § 25 Abs. 2 Nr. 2 TDDDG unbedingt erforderlich, um den von Ihnen ausdrücklich gewünschten Dienst (Login, Schreib- und Tipp-Funktionen) sicher bereitzustellen, und erfolgt daher ohne Einwilligungspflicht. Google ist nach dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen zur Verarbeitung durch Google finden Sie in der Google-Datenschutzerklärung und den Google-Nutzungsbedingungen.

12. Cookies und ähnliche Technologien (Web)

Auf der Web-Version verwenden wir folgende Cookies bzw. Local-Storage-Einträge. Es handelt sich ausschließlich um technisch notwendige oder funktionale Speichervorgänge — wir setzen keine eigenen Marketing- oder Werbe-Cookies und führen kein Tracking zur Profilbildung durch. Produkt-Analytics via GA4 wird auf Web nicht eingesetzt; wir laden dort keine eigenen Analytics-Skripte.

NameZweckDauerKategorie
Firebase Auth TokenLogin-SessionSessiontechnisch notwendig
App Check TokenBot- und Integritätsschutzkurzfristigtechnisch notwendig
_GRECAPTCHASicherheits- und Integritätsdaten für reCAPTCHA v3; Verarbeitung durch Google nach deren eigenen Bedingungen — von uns nicht zu Marketingzwecken genutztmittelfristigtechnisch notwendig
app_settingsSprache, Theme, Einstellungenlangfristigfunktional
cookie_consentSpeichert Ihre Cookie-Entscheidunglangfristigtechnisch notwendig

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 25 Abs. 2 TDDDG für technisch notwendige Speichervorgänge; für funktionale Einträge zusätzlich Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG, soweit erforderlich.

13. Inhalte Dritter

Vereinslogos, Liga-Logos und Spielerbilder stammen aus der Bzzoiro Sports API und werden ausschließlich zu redaktionellen Zwecken (Sportberichterstattung) genutzt. Sie bleiben Eigentum der jeweiligen Markeninhaber.

14. Automatisierte Entscheidungsfindung und Profiling

Eine ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhende Entscheidung, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO), findet nicht statt. Automatisierte Verfahren zur Sicherheits- und Missbrauchsabwehr (z.B. Spam-/Bot-Erkennung, Ratenbegrenzung, ML-gestützte Erkennung unzulässiger Chat-Inhalte) dienen ausschließlich dem Schutz des Dienstes. Öffentliche Chat-Nachrichten können dabei automatisch entfernt und wiederholte Verstöße mit temporären, jederzeit aufhebbaren Chat-Einschränkungen geahndet werden; jede solche Moderations- oder Sperrentscheidung kann auf Wunsch durch unser Team überprüft werden (siehe Nutzungsbedingungen).

15. Änderungen dieser Erklärung

Bei wesentlichen Änderungen werden Sie in der App informiert und ggf. um eine erneute Zustimmung gebeten. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar.

Stand: 14.06.2026 — Dokumentversion Privacy 1.5.0 — Endbenutzer-Lizenzvereinbarung (EULA)