Datenschutzerklärung
nach Art. 13, 14 DSGVO
Stand: Mai 2026
1. Verantwortlicher und Kontakt
Verantwortlicher für die Verarbeitung personenbezogener Daten auf den Websites courtcontrol.io und app.courtcontrol.io ist:
Adrian Budack
Einzelunternehmer, handelnd unter der Geschäftsbezeichnung „CourtControl"
c/o IP-Management #10047
Ludwig-Erhard-Straße 18
20459 Hamburg
Deutschland
E-Mail: datenschutz@courtcontrol.io
Website: https://courtcontrol.io
Adrian Budack ist Kleinunternehmer gemäß § 19 UStG.
Datenschutzbeauftragter: Wir sind nach Art. 37 DSGVO in Verbindung mit § 38 BDSG nicht verpflichtet, einen Datenschutzbeauftragten zu benennen. CourtControl wird als Solo-Einzelunternehmen geführt; es sind keine 20 oder mehr Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Bei datenschutzrechtlichen Anliegen wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.
2. Überblick: Unsere Rolle bei der Datenverarbeitung
CourtControl nimmt im Datenschutzrecht zwei unterschiedliche Rollen ein:
Als eigener Verantwortlicher (Art. 4 Nr. 7 DSGVO) verarbeiten wir personenbezogene Daten für unsere eigenen Geschäftszwecke — insbesondere Ihren Account, die Vertragsabwicklung, Zahlungen, den Betrieb und die Sicherheit der Plattform sowie Marketing auf unserer Landing Page.
Als Auftragsverarbeiter (Art. 4 Nr. 8, Art. 28 DSGVO) verarbeiten wir die Daten, die Sie als Trainer in CourtControl eingeben — insbesondere Daten Ihrer Schülerinnen und Schüler, Sessions, Trainingsnotizen und Rechnungen. Diese Daten verarbeiten wir ausschließlich nach Ihrer Weisung und auf Grundlage des Auftragsverarbeitungsvertrags (AVV), den Sie im Rahmen der Registrierung akzeptieren.
Diese Datenschutzerklärung informiert Sie über die Verarbeitungen, bei denen wir eigener Verantwortlicher sind. Für die Verarbeitung von Schülerdaten in Ihrer Rolle als Trainer sind Sie selbst Verantwortlicher. Wir stellen Ihnen dafür ein Muster-Datenschutzhinweis unter /hilfe/datenschutz-muster zur Verfügung.
3. Verarbeitungen im Einzelnen
3.1 Bereitstellung der Website und der App
Beschreibung: Beim Aufruf unserer Websites werden automatisch technische Daten übermittelt, die für die Auslieferung der Seite notwendig sind.
Daten: IP-Adresse, Datum und Uhrzeit des Zugriffs, angeforderte URL, Referrer-URL, Browser-Typ und -Version, Betriebssystem, übertragene Datenmenge.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, soweit Sie eingeloggt sind) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung und Sicherheit der Website). § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendiger Zugriff auf das Endgerät).
Speicherdauer: Server-Logdaten werden nach 30 Tagen gelöscht.
3.2 Registrierung und Account
Beschreibung: Bei der Registrierung für CourtControl erstellen wir ein Benutzerkonto für Sie.
Daten: E-Mail-Adresse, Passwort (als kryptographischer Hash), Vorname, Nachname; bei Nutzung von Google OAuth zusätzlich: Google-Nutzer-ID, Profilbild-URL. Im Onboarding: Vereinsname, Stundensätze, Angaben zur Unternehmereigenschaft.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des Accounts).
Speicherdauer: Für die Dauer des Vertragsverhältnisses. Nach Vertragsende 30 Tage (Datenexport-Fenster), danach Löschung. Bei Trial ohne anschließenden Vertrag: 90 Tage nach Trial-Ende, danach Löschung.
3.3 Zahlungsabwicklung über Stripe
Beschreibung: Wir nutzen Stripe für die Abwicklung von Zahlungen. Die verfügbaren Zahlungsmethoden werden Ihnen im Bestellprozess angezeigt.
Daten: Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsinstrumentdaten (Kartennummer, IBAN — diese werden direkt an Stripe übermittelt und nicht auf unseren Servern gespeichert), Transaktionsmetadaten, IP-Adresse.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Zahlungsabwicklung) und Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Aufbewahrungspflichten).
Stripe als Verantwortlicher: Stripe verarbeitet bestimmte Daten auch als eigener Verantwortlicher — insbesondere für die Betrugsprävention und die Erfüllung regulatorischer Pflichten als Zahlungsdienstleister. Details finden Sie in der Datenschutzerklärung von Stripe unter https://stripe.com/de/privacy.
Stripe als Auftragsverarbeiter: Für die reine Zahlungsabwicklung in unserem Auftrag besteht ein Auftragsverarbeitungsvertrag (Stripe Data Processing Agreement).
Drittlandtransfer: Vertragspartner ist Stripe Payments Europe Limited, Irland. Stripe kann Daten an die Stripe, Inc. in die USA übermitteln. Stripe, Inc. ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Zusätzlich gelten die EU-Standardvertragsklauseln (SCC).
Speicherdauer: Rechnungs- und Zahlungsdaten werden gemäß § 147 AO für 8 Jahre aufbewahrt. Buchungsbelege gemäß § 257 HGB für 10 Jahre.
3.4 Transaktionale E-Mails über Resend
Beschreibung: Wir versenden transaktionale E-Mails (Registrierungsbestätigung, Passwort-Reset, Zahlungsbestätigungen, Trial-Erinnerungen) über den Dienst Resend.
Daten: Empfänger-E-Mail-Adresse, E-Mail-Inhalt, Zustellstatus (Bounce, Zustellung), IP-Adresse.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Zustellbarkeit und dem Missbrauchsschutz).
Anbieter: Plus Five Five, Inc. (Resend), USA. Auftragsverarbeitungsvertrag liegt vor.
Drittlandtransfer: Resend ist nicht unter dem EU-U.S. Data Privacy Framework zertifiziert. Der Transfer in die USA erfolgt ausschließlich auf Grundlage der EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO, ergänzt durch ein Transfer Impact Assessment.
Speicherdauer: E-Mail-Logdaten werden von Resend 30 Tage vorgehalten. E-Mail-Inhalte bis Vertragsende plus 30 Tage.
3.5 KI-gestützte Trainingsnotizen-Analyse (Anthropic API)
Beschreibung: CourtControl bietet eine optionale KI-Funktion an, die Freitext-Trainingsnotizen automatisch in strukturierte Kategorien zerlegt (Technik, Taktik, Fitness, Mental). Diese Funktion nutzt die API von Anthropic (Modell Claude Haiku 4.5). Die KI-Analyse ist eine Assistenzfunktion — sie unterstützt den Trainer bei der Dokumentation, trifft aber keine autonomen Entscheidungen. Die Ergebnisse werden als „KI-Vorschlag" gekennzeichnet und können vom Trainer geprüft und angepasst werden.
Datenminimierung: Vor der Übermittlung an die Anthropic-API werden personenbezogene Daten durch interne Identifikatoren ersetzt (PII-Stripping). Schülernamen werden durch IDs ersetzt, sodass Anthropic keinen Personenbezug herstellen kann.
Daten: Pseudonymisierter Notiz-Freitext, Organisations- und Nutzerkennungen, Nutzungsmetadaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung der vertraglich vereinbarten KI-Funktion).
Anbieter: Anthropic Ireland Ltd. (EWR-Vertragspartner); Muttergesellschaft Anthropic, PBC, USA. Auftragsverarbeitungsvertrag liegt vor. Anthropic verwendet Daten aus der kommerziellen API nicht zum Training seiner Modelle.
Drittlandtransfer: Anthropic ist nicht unter dem EU-U.S. Data Privacy Framework zertifiziert. Der Transfer in die USA erfolgt ausschließlich auf Grundlage der EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO, ergänzt durch ein Transfer Impact Assessment.
Speicherdauer: Anthropic speichert API-Anfragen standardmäßig für 30 Tage zu Missbrauchs- und Sicherheitszwecken, danach erfolgt Löschung.
Hinweis nach EU AI Act (VO 2024/1689): Die KI-Funktion stellt keine Hochrisiko-Anwendung im Sinne des Art. 6 / Annex III dar. Die Transparenzpflichten nach Art. 50 werden durch die In-App-Kennzeichnung „KI-Vorschlag" erfüllt.
3.6 Authentifizierung über Google OAuth (optional)
Beschreibung: Sie können sich optional mit Ihrem Google-Konto bei CourtControl registrieren und anmelden.
Daten: Google-Nutzer-ID, Name, E-Mail-Adresse, Profilbild-URL.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung der Login-Funktion) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auswahl des Google-Login). § 25 Abs. 2 Nr. 2 TDDDG für das Login-Cookie.
Anbieter: Google Ireland Limited; Muttergesellschaft Google LLC, USA. Google LLC ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Zusätzlich gelten SCC.
Speicherdauer: Bis zur Löschung Ihres CourtControl-Accounts.
3.7 Hosting über Vercel
Beschreibung: Unsere Websites und die App werden über Vercel gehostet. Vercel stellt die technische Infrastruktur bereit, über die alle Seitenaufrufe und API-Anfragen verarbeitet werden.
Daten: IP-Adresse, Request-Metadaten (URL, Header, Zeitstempel), Fehler- und Performance-Daten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler Bereitstellung und Sicherheit).
Anbieter: Vercel Inc., USA. Auftragsverarbeitungsvertrag liegt vor. Vercel ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Zusätzlich gelten SCC.
Speicherdauer: Build-Logs ca. 30 Tage, Cache ephemer.
3.8 Datenbank und Authentifizierung über Supabase
Beschreibung: Ihre Account-Daten und App-Inhalte werden in einer PostgreSQL-Datenbank bei Supabase gespeichert. Supabase stellt auch die Authentifizierungsfunktion (Login, Session-Management) bereit.
Daten: Alle in CourtControl gespeicherten Daten (Account, Profil, Einstellungen, Sessions, Schüler, Rechnungen, Notizen), Authentifizierungsdaten, IP-Adressen, technische Metadaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Fehlersuche). § 25 Abs. 2 Nr. 2 TDDDG für das Auth-Cookie.
Anbieter: Supabase, Inc. (USA) / Supabase Pte. Ltd. (Singapur). Auftragsverarbeitungsvertrag liegt vor.
Serverstandort: Die Datenbank wird in der Region eu-central-1 (Frankfurt am Main, Deutschland) betrieben. Ihre Daten werden auf Servern in Deutschland gespeichert.
Drittlandtransfer: Obwohl die Daten physisch in Frankfurt liegen, ist der Vertragspartner ein US-/Singapur-Unternehmen. Supabase ist nicht unter dem EU-U.S. Data Privacy Framework zertifiziert. Der Transfer erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCC) und des UK Addendums, ergänzt durch ein Transfer Impact Assessment.
Speicherdauer: Produktivdaten für die Vertragsdauer. Backups 7–30 Tage. Infrastruktur-Logs 90 Tage.
4. Verarbeitungen ausschließlich auf der Landing Page (courtcontrol.io)
Die folgenden Dienste werden nur auf der Landing Page courtcontrol.io eingesetzt, nicht in der App (app.courtcontrol.io). Sie werden erst nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Banner aktiviert.
4.1 Google Analytics 4
Beschreibung: Wir nutzen Google Analytics 4 zur Analyse des Nutzungsverhaltens auf unserer Landing Page.
Daten: Seitenaufrufe, Events, Browser- und Gerätedaten, Referrer, pseudonyme Client-ID, IP-basierte Standortableitung (IP-Anonymisierung ist aktiviert).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und § 25 Abs. 1 TDDDG (Einwilligung für den Zugriff auf das Endgerät).
Anbieter: Google Ireland Limited; Muttergesellschaft Google LLC, USA. Google LLC ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Zusätzlich gelten die Google Ads Data Processing Terms und SCC.
Drittlandtransfer: Daten werden an Google LLC in die USA übermittelt. Transfer abgesichert durch DPF-Zertifizierung und SCC.
Speicherdauer: Datenaufbewahrung in Google Analytics ist auf 2 Monate eingestellt. Der Consent-Cookie läuft nach 6 Monaten ab.
4.2 Meta/Facebook Pixel
Beschreibung: Wir nutzen das Meta Pixel zur Messung der Wirksamkeit unserer Facebook-/Instagram-Werbeanzeigen (Conversion-Tracking) und zum Aufbau von Zielgruppen.
Daten: Pixel-ID, IP-Adresse, Event-Daten (Seitenaufruf, Button-Klick), URL, Referrer, Browser-/Gerätedaten, fbp-/fbc-Cookies.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und § 25 Abs. 1 TDDDG (Einwilligung für den Zugriff auf das Endgerät).
Gemeinsame Verantwortlichkeit: Für bestimmte Verarbeitungen (Insights-Daten) besteht eine gemeinsame Verantwortlichkeit mit Meta gemäß Art. 26 DSGVO auf Grundlage der Meta Business Tools Terms.
Anbieter: Meta Platforms Ireland Limited; Muttergesellschaft Meta Platforms, Inc., USA. Meta Platforms, Inc. ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Zusätzlich gelten Module-3-SCC.
Speicherdauer: Meta speichert Event-Daten maximal 90 Tage. Der Consent-Cookie läuft nach 6 Monaten ab.
4.3 Vercel Analytics (cookieless)
Beschreibung: Wir nutzen Vercel Analytics zur Messung von Performance-Metriken (Ladezeiten, Web Vitals) auf beiden Domains. Vercel Analytics ist cookieless — es werden keine Cookies gesetzt und keine individuellen Nutzerprofile erstellt.
Daten: Aggregierte Seitenaufrufe, anonymisierte IP-Hashes (Salt wird täglich rotiert), Performance-Metriken.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung der Website-Performance). § 25 TDDDG ist nicht einschlägig, da kein Zugriff auf das Endgerät erfolgt.
Keine Einwilligung erforderlich: Da Vercel Analytics keine Cookies setzt und keine personenbezogenen Daten im engeren Sinne verarbeitet, ist keine Einwilligung über den Cookie-Banner notwendig.
Speicherdauer: Rohdaten werden nicht persistiert. Aggregierte Statistiken werden unbegrenzt vorgehalten.
5. Cookies und Einwilligungsverwaltung
5.1 Überblick
Wir setzen auf unseren Websites verschiedene Cookies und ähnliche Technologien ein. Die Rechtsgrundlage für den Zugriff auf Ihr Endgerät richtet sich nach § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), die anschließende Verarbeitung personenbezogener Daten nach der DSGVO.
5.2 Cookie-Kategorien
Notwendige Cookies — Immer aktiv, keine Einwilligung erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG). Diese Cookies sind für die Grundfunktion der Website und App unbedingt erforderlich.
| Cookie | Zweck | Anbieter | Speicherdauer |
|---|---|---|---|
sb-access-token | Supabase Authentifizierung (Session) | Supabase | Session |
sb-refresh-token | Supabase Token-Erneuerung | Supabase | 7 Tage |
cc_consent | Speicherung Ihrer Cookie-Einstellungen | CourtControl | 6 Monate |
Analytics — Nur nach Einwilligung (§ 25 Abs. 1 TDDDG + Art. 6 Abs. 1 lit. a DSGVO). Nur auf courtcontrol.io.
| Cookie | Zweck | Anbieter | Speicherdauer |
|---|---|---|---|
_ga | Google Analytics — Nutzerunterscheidung | 2 Monate | |
_ga_* | Google Analytics — Session-Zuordnung | 2 Monate |
Marketing — Nur nach Einwilligung (§ 25 Abs. 1 TDDDG + Art. 6 Abs. 1 lit. a DSGVO). Nur auf courtcontrol.io.
| Cookie | Zweck | Anbieter | Speicherdauer |
|---|---|---|---|
_fbp | Meta Pixel — Browser-Identifikation | Meta | 90 Tage |
_fbc | Meta Pixel — Click-Identifikation | Meta | 90 Tage |
5.3 Cookie-Banner und Einwilligungsverwaltung
Beim ersten Besuch unserer Websites zeigen wir Ihnen einen Cookie-Banner mit den Optionen „Alle akzeptieren", „Nur notwendige" und „Einstellungen". In den Einstellungen können Sie granular wählen, welche Kategorien Sie aktivieren möchten.
Analytics- und Marketing-Cookies werden erst nach Ihrer ausdrücklichen Einwilligung gesetzt. Vor der Einwilligung werden keine Tracking-Skripte geladen (kein Pre-Loading).
Ihre Einwilligung wird im Cookie cc_consent für 6 Monate gespeichert. Nach Ablauf werden Sie erneut gefragt. Bei wesentlichen Änderungen an den eingesetzten Tracking-Tools wird ein erneuter Consent unabhängig von der Frist eingeholt.
Sie können Ihre Einwilligung jederzeit widerrufen über den Link „Cookie-Einstellungen" im Footer unserer Websites.
Wir protokollieren Ihre Consent-Entscheidung (Zeitstempel, gewählte Kategorien, Banner-Version) zum Nachweis gemäß Art. 5 Abs. 2 DSGVO.
6. Kontaktformular und DSA-Meldeformular
6.1 Kontaktformular
Beschreibung: Über unser Kontaktformular unter /kontakt können Sie uns Nachrichten senden.
Daten: Name, E-Mail-Adresse, Nachricht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen).
Speicherdauer: Kontaktanfragen werden nach Abschluss der Bearbeitung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
6.2 DSA-Meldeformular
Beschreibung: Über unser Meldeformular unter /dsa-meldung können Sie rechtswidrige Inhalte melden.
Daten: E-Mail-Adresse, URL des gemeldeten Inhalts, Beschreibung, Kategorie.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — Bereitstellung einer DSA-Kontaktstelle).
Speicherdauer: Meldungen werden für die Dauer der Bearbeitung und anschließend für 12 Monate zu Nachweiszwecken gespeichert.
7. Aufbewahrungsfristen im Überblick
| Datenkategorie | Frist | Grundlage |
|---|---|---|
| Account-Daten (bei Vertrag) | Vertragsdauer + 30 Tage Exportfenster | Art. 6 Abs. 1 lit. b DSGVO |
| Account-Daten (nur Trial) | 90 Tage nach Trial-Ende | Art. 6 Abs. 1 lit. b DSGVO |
| Rechnungen und Zahlungsdaten | 8 Jahre | § 147 Abs. 1 Nr. 4 AO |
| Buchungsbelege | 10 Jahre | § 257 Abs. 1 Nr. 1, Abs. 4 HGB |
| Server-Logs | 30 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Supabase-Backups | 7–30 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Supabase-Infrastruktur-Logs | 90 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Anthropic-API-Logs | 30 Tage | Missbrauchsprävention Anthropic |
| Resend-E-Mail-Logs | 30 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| GA4-Daten | 2 Monate | Art. 6 Abs. 1 lit. a DSGVO |
| Meta-Pixel-Daten | 90 Tage | Art. 6 Abs. 1 lit. a DSGVO |
| Consent-Protokollierung | 3 Jahre | Art. 5 Abs. 2 DSGVO |
| Kontaktanfragen | Bis Abschluss + ggf. Verjährung | Art. 6 Abs. 1 lit. f DSGVO |
| DSA-Meldungen | 12 Monate nach Abschluss | Art. 6 Abs. 1 lit. c DSGVO |
8. Drittlandtransfers
Einige unserer Dienstleister haben ihren Sitz außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in den USA. Für Übermittlungen personenbezogener Daten in Drittländer setzen wir folgende Schutzmaßnahmen ein:
EU-U.S. Data Privacy Framework (DPF): Für Dienstleister, die unter dem DPF zertifiziert sind, besteht ein Angemessenheitsbeschluss der Europäischen Kommission (Durchführungsbeschluss (EU) 2023/1795 vom 10.07.2023, bestätigt durch EuG T-553/23). Dies betrifft: Stripe, Google, Meta, Vercel.
EU-Standardvertragsklauseln (SCC): Für Dienstleister ohne DPF-Zertifizierung erfolgt der Transfer auf Grundlage der EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss (EU) 2021/914). Dies betrifft: Anthropic, Resend, Supabase. Zusätzlich haben wir ein Transfer Impact Assessment durchgeführt und ergänzende technische Maßnahmen umgesetzt (Verschlüsselung, Pseudonymisierung, Zugriffskontrollen).
Auch bei DPF-zertifizierten Anbietern halten wir parallel SCC als Rückfallmechanismus aktiv, um bei einer etwaigen zukünftigen Aufhebung des DPF-Angemessenheitsbeschlusses nahtlos geschützt zu bleiben.
8.1 DPF-Status unserer Dienstleister (Stand: 10. Juli 2023)
| Dienstleister | DPF-zertifiziert? | Transfermechanismus |
|---|---|---|
| Stripe, Inc. | ✅ Ja | DPF + SCC |
| Google LLC | ✅ Ja | DPF + SCC |
| Meta Platforms, Inc. | ✅ Ja | DPF + SCC |
| Vercel Inc. | ✅ Ja | DPF + SCC |
| Anthropic, PBC | ❌ Nein | Nur SCC + TIA |
| Resend (Plus Five Five, Inc.) | ❌ Nein | Nur SCC + TIA |
| Supabase, Inc. | ❌ Nein | Nur SCC + TIA (EU-Hosting Frankfurt) |
9. Ihre Rechte als betroffene Person
Ihnen stehen folgende Rechte zu, die Sie jederzeit per E-Mail an datenschutz@courtcontrol.io oder über unser Auskunftsformular unter /datenschutz/auskunft geltend machen können:
Recht auf Auskunft (Art. 15 DSGVO) — Sie können Auskunft darüber verlangen, welche personenbezogenen Daten wir über Sie verarbeiten, zu welchem Zweck und an welche Empfänger wir sie weitergeben.
Recht auf Berichtigung (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
Recht auf Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) — Sie können verlangen, dass wir die Verarbeitung Ihrer Daten einschränken, beispielsweise wenn Sie die Richtigkeit der Daten bestreiten.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format (CSV, JSON) zur Verfügung stellen.
Recht auf Widerspruch (Art. 21 DSGVO) — Sie können der Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) jederzeit widersprechen. Wir stellen die Verarbeitung dann ein, sofern keine zwingenden schutzwürdigen Gründe überwiegen.
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Eine erteilte Einwilligung (z.B. für Analytics- oder Marketing-Cookies) können Sie jederzeit widerrufen. Für Cookie-Einwilligungen nutzen Sie den Link „Cookie-Einstellungen" im Footer. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Str. 22
20459 Hamburg
E-Mail: mailbox@datenschutz.hamburg.de
Website: https://datenschutz.hamburg.de
Sie können sich auch an die Aufsichtsbehörde Ihres Wohnsitz- oder Aufenthaltsortes wenden.
10. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen nach dem Stand der Technik ein, um Ihre Daten zu schützen. Dazu gehören insbesondere: Verschlüsselung der Datenübertragung mittels TLS 1.2+, Verschlüsselung der Datenbank at rest, kryptographisches Hashing von Passwörtern, rollenbasierte Zugriffskontrollen (Row Level Security), regelmäßige Sicherheitsupdates, und die Beschränkung des Zugriffs auf das operativ Notwendige.
11. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Rechtslage, bei neuen Funktionen oder bei Änderungen an den eingesetzten Diensten anzupassen. Die aktuelle Version ist stets unter /datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir Sie per E-Mail.