MedalMaker LogoMedalMaker
← Zurück zur Startseite

Datenschutzerklärung

Zuletzt aktualisiert: 5. Juli 2026

1. Überblick

MedalMaker ist eine Athlete-Management-Plattform (SaaS) für Sportakademien, Vereine und Landesverbände. Die Plattform wird betrieben von:

Concepts for You GmbH
Hardtstr. 43b
85247 Schwabhausen
Deutschland

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten innerhalb der Web-Applikation MedalMaker (https://medalmaker.app) sowie der zugehörigen mobilen Apps (iOS/Android) gemäß der Datenschutz-Grundverordnung (DSGVO), dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und der ePrivacy-Richtlinie.

2. Verantwortlicher

Concepts for You GmbH
Hardtstr. 43b
85247 Schwabhausen
Deutschland

Geschäftsführer: Patrick Volkmann, Pascal Scheiel
E-Mail: info@conceptsforyou.de
Handelsregister: Amtsgericht München, HRB 174336
USt-IdNr.: DE263733130

Bei Fragen zum Datenschutz wenden Sie sich bitte an: info@conceptsforyou.de

3. Erhobene Daten

MedalMaker verarbeitet folgende Kategorien personenbezogener Daten:

3.1 Kontodaten

Name, E-Mail-Adresse, Passwort-Hash (JWT-basierte Authentifizierung, kein Firebase Auth).

3.2 Athletenprofildaten

Geburtsdatum, Geschlecht, Sportart, Notfallkontakte, medizinische Anmerkungen.

3.3 Gesundheitsdaten (Art. 9 DSGVO — besondere Kategorien)

MedalMaker verarbeitet besonders schützenswerte Gesundheitsdaten, darunter:

  • Tägliche Readiness-Scores: Schlafqualität, Schlafdauer, Ermüdung, Stress, Muskelkater, allgemeine und Trainingsmotivation, schulische Belastung
  • Menstruationszyklus-Tracking (optional, nur weibliche Athletinnen): Periodenstatus, Stärke, Symptome
  • Verletzungsnotizen und Body-Map-Daten
  • ACWR-Berechnung (Acute-to-Chronic Workload Ratio)
  • Fitness-Testergebnisse (FMS-Scores)

3.4 Trainingsdaten

Trainingseinheiten, RPE-Bewertungen, Workout-Abschlüsse, Gym-Programmfortschritte, Soll- und Ist-Belastungen.

3.5 Organisationsdaten

Organisationsname, Mitgliedsrollen, Gruppenzuordnungen.

3.6 Kommunikationsdaten

In-App-Nachrichten zwischen Trainern und Athleten.

3.7 Kalenderdaten

CalDAV-Abonnement-Tokens, Kalendereinträge, iTIP-E-Mail-Einladungen.

3.8 Zahlungsdaten

Die Zahlungsabwicklung erfolgt über Stripe Inc. MedalMaker speichert keine Kreditkartendaten. Es werden lediglich Abonnementstatus und Rechnungs-IDs gespeichert.

3.9 Gerätedaten (geplant)

Geräte-Identifikatoren, App-Version, Crash-Reports (via Firebase Crashlytics — in Planung).

3.10 Analysedaten (geplant)

Anonymisierte Nutzungsstatistiken via Google Analytics 4 und Firebase Analytics — ausschließlich mit ausdrücklicher Einwilligung.

4. Drittanbieter-Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter ein:

DienstAnbieterZweckDatenstandortDatenschutz
Supabase PostgreSQLSupabase Inc.Primäre Datenbank (EU-Region)EU (Frankfurt)supabase.com/privacy
Google Cloud RunGoogle LLCBackend-API-HostingEU (europe-west3, Frankfurt)cloud.google.com/privacy
Firebase HostingGoogle LLCFrontend-Hosting + SSLGlobales CDNfirebase.google.com/support/privacy
Google Drive APIGoogle LLCAvatar-/MedienspeicherungEUpolicies.google.com/privacy
StripeStripe Inc.Zahlungsabwicklung (PCI DSS L1)EU/US (SCCs)stripe.com/privacy
Nodemailer / Gmail SMTPGoogle LLCTransaktionsmailsUS (SCCs)policies.google.com/privacy
Polar APIPolar Electro OyWearable-Datenimport (optional)EU (Finnland)polar.com/privacy
Google Health ConnectGoogle LLCWearable-Datenimport (optional)Gerät-lokal + US (SCCs)policies.google.com/privacy
Google Analytics 4 (geplant)Google LLCWebsite-Analyse (einwilligungsbasiert)US (SCCs)policies.google.com/privacy
Firebase Analytics (geplant)Google LLCApp-Analyse (einwilligungsbasiert)US (SCCs)firebase.google.com/support/privacy
Firebase Crashlytics (geplant)Google LLCCrash-ReportingUS (SCCs)firebase.google.com/support/privacy

5. Rechtsgrundlage der Verarbeitung

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Kontodaten, Trainingsdaten, Session-Management
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: Analyse-Cookies, optionale Wearable-Integrationen
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Sicherheit, Betrugsprävention, Serviceverbesserung
  • Art. 9 Abs. 2 lit. a DSGVO — Ausdrückliche Einwilligung: Gesundheitsdaten (Readiness-Scores, Verletzungstracking, Menstruationszyklus-Daten)
  • Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Aufbewahrung steuerrelevanter Unterlagen

6. Gesundheitsdaten — Besondere Kategorien (Art. 9 DSGVO)

Dieser Abschnitt ist besonders wichtig: MedalMaker verarbeitet Gesundheitsdaten, die unter Art. 9 DSGVO als besondere Kategorien personenbezogener Daten gelten. Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen, informierten und spezifischen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO.

Es gelten folgende Grundsätze:

  • Die Verarbeitung von Gesundheitsdaten erfordert eine ausdrückliche, informierte und spezifische Einwilligung, die separat von der allgemeinen Nutzungszustimmung eingeholt wird.
  • Athleten können ihre Einwilligung jederzeit widerrufen — dies berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.
  • Gesundheitsdaten werden niemals an Dritte zu Marketingzwecken weitergegeben.
  • Alle Gesundheitsdaten werden sowohl bei der Übertragung (TLS) als auch bei der Speicherung (Supabase Encryption at Rest) verschlüsselt.
  • Der Zugriff durch Trainer und Personal ist rollenbasiert und auf die zugewiesene Organisation des Athleten beschränkt.
  • Multi-Tenancy-Isolation: Ein organisationsübergreifender Datenzugriff ist technisch ausgeschlossen.

7. Datenspeicherung und Löschung

  • Aktive Konten: Daten werden gespeichert, solange das Konto aktiv ist.
  • Kontolöschung: Personenbezogene Daten werden innerhalb von 30 Tagen nach Löschungsantrag gelöscht (Art. 17 DSGVO).
  • Steuer-/Abrechnungsunterlagen: 10 Jahre Aufbewahrungspflicht (§ 147 AO, § 257 HGB).
  • Analysedaten: 14 Monate (sofern GA4 aktiviert).
  • Audit-Logs: Werden zu Compliance-Zwecken aufbewahrt und nach 2 Jahren anonymisiert.

8. Betroffenenrechte

Sie haben gemäß DSGVO Art. 12–23 folgende Rechte:

  • Art. 15: Auskunftsrecht — Sie haben das Recht, Auskunft über Ihre gespeicherten personenbezogenen Daten zu erhalten.
  • Art. 16: Recht auf Berichtigung — Sie haben das Recht, unrichtige Daten berichtigen zu lassen.
  • Art. 17: Recht auf Löschung — Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Art. 18: Recht auf Einschränkung der Verarbeitung.
  • Art. 20: Recht auf Datenübertragbarkeit — Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten (JSON/CSV-Export).
  • Art. 21: Widerspruchsrecht — Sie können der Verarbeitung Ihrer Daten auf Grundlage berechtigter Interessen widersprechen.
  • Art. 7 Abs. 3: Recht auf Widerruf der Einwilligung — Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@conceptsforyou.de

Beschwerderecht bei der Aufsichtsbehörde:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
https://www.lda.bayern.de

9. Cookies und Tracking-Technologien

9.1 Essentielle Cookies

JWT-Tokens für die Authentifizierung — stets aktiv, keine Einwilligung erforderlich (§ 25 Abs. 2 TTDSG, da technisch zwingend erforderlich für den Dienst).

9.2 IndexedDB (lokaler Speicher)

Wird für die Offline-First-Datenhaltung verwendet — essenziell für die Dienstbereitstellung, keine Einwilligung erforderlich.

9.3 Analyse-Cookies (geplant)

Google Analytics 4 Cookies (_ga, _ga_*) — ausschließlich mit ausdrücklicher Einwilligung über ein Cookie-Banner (§ 25 Abs. 1 TTDSG).

9.4 Firebase Analytics (geplant, mobile Apps)

Geräte-Identifikatoren — ausschließlich mit ausdrücklicher Einwilligung.

Es wird Google Consent Mode v2 implementiert, um sicherzustellen, dass kein Tracking vor erteilter Einwilligung ausgelöst wird.

10. Internationale Datenübermittlung

Die primäre Datenbank befindet sich in der EU (Supabase, Region Frankfurt). Einige Auftragsverarbeiter (Google, Stripe) können Daten in die USA übermitteln auf Grundlage von:

  • EU-US Data Privacy Framework (DPF) — Angemessenheitsbeschluss der EU-Kommission
  • Standardvertragsklauseln (SCCs) — als Rückfallmechanismus
  • Ergänzende Maßnahmen gemäß den Anforderungen des Schrems-II-Urteils

11. Datensicherheit

  • TLS-Verschlüsselung für alle Daten während der Übertragung
  • Datenbankverschlüsselung im Ruhezustand (verwaltet durch Supabase)
  • JWT-basierte Authentifizierung mit Access-/Refresh-Token-Rotation
  • Rollenbasierte Zugriffskontrolle (RBAC) mit organisationsbezogener Datenisolation
  • Rate-Limiting und Brute-Force-Schutz
  • Regelmäßige Sicherheitsüberprüfungen

12. Minderjährige

MedalMaker kann von Athleten unter 16 Jahren genutzt werden, sofern eine Einwilligung des Erziehungsberechtigten vorliegt. Das Elternportal ermöglicht einen beaufsichtigten Zugang. Für die eigenständige Kontoerstellung gilt ein Mindestalter von 16 Jahren (Art. 8 DSGVO).

13. Änderungen dieser Datenschutzerklärung

Wesentliche Änderungen werden per E-Mail und durch In-App-Benachrichtigungen mitgeteilt. Bei erheblichen Änderungen erfolgt eine Vorankündigung von mindestens 30 Tagen.

MedalMakerMedalMaker

The all-in-one athlete management platform for sports academies and federations.

Product

Features Pricing Open App

Legal

Impressum Datenschutz AGB

Contact

support@medalmaker.app

© 2026 Concepts for You GmbH. All rights reserved.