Datenschutzerklärung
Zuletzt aktualisiert: 5. Juli 2026
1. Überblick
MedalMaker ist eine Athlete-Management-Plattform (SaaS) für Sportakademien, Vereine und Landesverbände. Die Plattform wird betrieben von:
Concepts for You GmbHHardtstr. 43b
85247 Schwabhausen
Deutschland
Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten innerhalb der Web-Applikation MedalMaker (https://medalmaker.app) sowie der zugehörigen mobilen Apps (iOS/Android) gemäß der Datenschutz-Grundverordnung (DSGVO), dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und der ePrivacy-Richtlinie.
2. Verantwortlicher
Concepts for You GmbHHardtstr. 43b
85247 Schwabhausen
Deutschland
Geschäftsführer: Patrick Volkmann, Pascal Scheiel
E-Mail: info@conceptsforyou.de
Handelsregister: Amtsgericht München, HRB 174336
USt-IdNr.: DE263733130
Bei Fragen zum Datenschutz wenden Sie sich bitte an: info@conceptsforyou.de
3. Erhobene Daten
MedalMaker verarbeitet folgende Kategorien personenbezogener Daten:
3.1 Kontodaten
Name, E-Mail-Adresse, Passwort-Hash (JWT-basierte Authentifizierung, kein Firebase Auth).
3.2 Athletenprofildaten
Geburtsdatum, Geschlecht, Sportart, Notfallkontakte, medizinische Anmerkungen.
3.3 Gesundheitsdaten (Art. 9 DSGVO — besondere Kategorien)
MedalMaker verarbeitet besonders schützenswerte Gesundheitsdaten, darunter:
- Tägliche Readiness-Scores: Schlafqualität, Schlafdauer, Ermüdung, Stress, Muskelkater, allgemeine und Trainingsmotivation, schulische Belastung
- Menstruationszyklus-Tracking (optional, nur weibliche Athletinnen): Periodenstatus, Stärke, Symptome
- Verletzungsnotizen und Body-Map-Daten
- ACWR-Berechnung (Acute-to-Chronic Workload Ratio)
- Fitness-Testergebnisse (FMS-Scores)
3.4 Trainingsdaten
Trainingseinheiten, RPE-Bewertungen, Workout-Abschlüsse, Gym-Programmfortschritte, Soll- und Ist-Belastungen.
3.5 Organisationsdaten
Organisationsname, Mitgliedsrollen, Gruppenzuordnungen.
3.6 Kommunikationsdaten
In-App-Nachrichten zwischen Trainern und Athleten.
3.7 Kalenderdaten
CalDAV-Abonnement-Tokens, Kalendereinträge, iTIP-E-Mail-Einladungen.
3.8 Zahlungsdaten
Die Zahlungsabwicklung erfolgt über Stripe Inc. MedalMaker speichert keine Kreditkartendaten. Es werden lediglich Abonnementstatus und Rechnungs-IDs gespeichert.
3.9 Gerätedaten (geplant)
Geräte-Identifikatoren, App-Version, Crash-Reports (via Firebase Crashlytics — in Planung).
3.10 Analysedaten (geplant)
Anonymisierte Nutzungsstatistiken via Google Analytics 4 und Firebase Analytics — ausschließlich mit ausdrücklicher Einwilligung.
4. Drittanbieter-Auftragsverarbeiter
Wir setzen folgende Auftragsverarbeiter ein:
| Dienst | Anbieter | Zweck | Datenstandort | Datenschutz |
|---|---|---|---|---|
| Supabase PostgreSQL | Supabase Inc. | Primäre Datenbank (EU-Region) | EU (Frankfurt) | supabase.com/privacy |
| Google Cloud Run | Google LLC | Backend-API-Hosting | EU (europe-west3, Frankfurt) | cloud.google.com/privacy |
| Firebase Hosting | Google LLC | Frontend-Hosting + SSL | Globales CDN | firebase.google.com/support/privacy |
| Google Drive API | Google LLC | Avatar-/Medienspeicherung | EU | policies.google.com/privacy |
| Stripe | Stripe Inc. | Zahlungsabwicklung (PCI DSS L1) | EU/US (SCCs) | stripe.com/privacy |
| Nodemailer / Gmail SMTP | Google LLC | Transaktionsmails | US (SCCs) | policies.google.com/privacy |
| Polar API | Polar Electro Oy | Wearable-Datenimport (optional) | EU (Finnland) | polar.com/privacy |
| Google Health Connect | Google LLC | Wearable-Datenimport (optional) | Gerät-lokal + US (SCCs) | policies.google.com/privacy |
| Google Analytics 4 (geplant) | Google LLC | Website-Analyse (einwilligungsbasiert) | US (SCCs) | policies.google.com/privacy |
| Firebase Analytics (geplant) | Google LLC | App-Analyse (einwilligungsbasiert) | US (SCCs) | firebase.google.com/support/privacy |
| Firebase Crashlytics (geplant) | Google LLC | Crash-Reporting | US (SCCs) | firebase.google.com/support/privacy |
5. Rechtsgrundlage der Verarbeitung
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Kontodaten, Trainingsdaten, Session-Management
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: Analyse-Cookies, optionale Wearable-Integrationen
- Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Sicherheit, Betrugsprävention, Serviceverbesserung
- Art. 9 Abs. 2 lit. a DSGVO — Ausdrückliche Einwilligung: Gesundheitsdaten (Readiness-Scores, Verletzungstracking, Menstruationszyklus-Daten)
- Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Aufbewahrung steuerrelevanter Unterlagen
6. Gesundheitsdaten — Besondere Kategorien (Art. 9 DSGVO)
Dieser Abschnitt ist besonders wichtig: MedalMaker verarbeitet Gesundheitsdaten, die unter Art. 9 DSGVO als besondere Kategorien personenbezogener Daten gelten. Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen, informierten und spezifischen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO.
Es gelten folgende Grundsätze:
- Die Verarbeitung von Gesundheitsdaten erfordert eine ausdrückliche, informierte und spezifische Einwilligung, die separat von der allgemeinen Nutzungszustimmung eingeholt wird.
- Athleten können ihre Einwilligung jederzeit widerrufen — dies berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.
- Gesundheitsdaten werden niemals an Dritte zu Marketingzwecken weitergegeben.
- Alle Gesundheitsdaten werden sowohl bei der Übertragung (TLS) als auch bei der Speicherung (Supabase Encryption at Rest) verschlüsselt.
- Der Zugriff durch Trainer und Personal ist rollenbasiert und auf die zugewiesene Organisation des Athleten beschränkt.
- Multi-Tenancy-Isolation: Ein organisationsübergreifender Datenzugriff ist technisch ausgeschlossen.
7. Datenspeicherung und Löschung
- Aktive Konten: Daten werden gespeichert, solange das Konto aktiv ist.
- Kontolöschung: Personenbezogene Daten werden innerhalb von 30 Tagen nach Löschungsantrag gelöscht (Art. 17 DSGVO).
- Steuer-/Abrechnungsunterlagen: 10 Jahre Aufbewahrungspflicht (§ 147 AO, § 257 HGB).
- Analysedaten: 14 Monate (sofern GA4 aktiviert).
- Audit-Logs: Werden zu Compliance-Zwecken aufbewahrt und nach 2 Jahren anonymisiert.
8. Betroffenenrechte
Sie haben gemäß DSGVO Art. 12–23 folgende Rechte:
- Art. 15: Auskunftsrecht — Sie haben das Recht, Auskunft über Ihre gespeicherten personenbezogenen Daten zu erhalten.
- Art. 16: Recht auf Berichtigung — Sie haben das Recht, unrichtige Daten berichtigen zu lassen.
- Art. 17: Recht auf Löschung — Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Art. 18: Recht auf Einschränkung der Verarbeitung.
- Art. 20: Recht auf Datenübertragbarkeit — Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten (JSON/CSV-Export).
- Art. 21: Widerspruchsrecht — Sie können der Verarbeitung Ihrer Daten auf Grundlage berechtigter Interessen widersprechen.
- Art. 7 Abs. 3: Recht auf Widerruf der Einwilligung — Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@conceptsforyou.de
Beschwerderecht bei der Aufsichtsbehörde:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)Promenade 18
91522 Ansbach
https://www.lda.bayern.de
9. Cookies und Tracking-Technologien
9.1 Essentielle Cookies
JWT-Tokens für die Authentifizierung — stets aktiv, keine Einwilligung erforderlich (§ 25 Abs. 2 TTDSG, da technisch zwingend erforderlich für den Dienst).
9.2 IndexedDB (lokaler Speicher)
Wird für die Offline-First-Datenhaltung verwendet — essenziell für die Dienstbereitstellung, keine Einwilligung erforderlich.
9.3 Analyse-Cookies (geplant)
Google Analytics 4 Cookies (_ga, _ga_*) — ausschließlich mit ausdrücklicher Einwilligung über ein Cookie-Banner (§ 25 Abs. 1 TTDSG).
9.4 Firebase Analytics (geplant, mobile Apps)
Geräte-Identifikatoren — ausschließlich mit ausdrücklicher Einwilligung.
Es wird Google Consent Mode v2 implementiert, um sicherzustellen, dass kein Tracking vor erteilter Einwilligung ausgelöst wird.
10. Internationale Datenübermittlung
Die primäre Datenbank befindet sich in der EU (Supabase, Region Frankfurt). Einige Auftragsverarbeiter (Google, Stripe) können Daten in die USA übermitteln auf Grundlage von:
- EU-US Data Privacy Framework (DPF) — Angemessenheitsbeschluss der EU-Kommission
- Standardvertragsklauseln (SCCs) — als Rückfallmechanismus
- Ergänzende Maßnahmen gemäß den Anforderungen des Schrems-II-Urteils
11. Datensicherheit
- TLS-Verschlüsselung für alle Daten während der Übertragung
- Datenbankverschlüsselung im Ruhezustand (verwaltet durch Supabase)
- JWT-basierte Authentifizierung mit Access-/Refresh-Token-Rotation
- Rollenbasierte Zugriffskontrolle (RBAC) mit organisationsbezogener Datenisolation
- Rate-Limiting und Brute-Force-Schutz
- Regelmäßige Sicherheitsüberprüfungen
12. Minderjährige
MedalMaker kann von Athleten unter 16 Jahren genutzt werden, sofern eine Einwilligung des Erziehungsberechtigten vorliegt. Das Elternportal ermöglicht einen beaufsichtigten Zugang. Für die eigenständige Kontoerstellung gilt ein Mindestalter von 16 Jahren (Art. 8 DSGVO).
13. Änderungen dieser Datenschutzerklärung
Wesentliche Änderungen werden per E-Mail und durch In-App-Benachrichtigungen mitgeteilt. Bei erheblichen Änderungen erfolgt eine Vorankündigung von mindestens 30 Tagen.