Datenschutzerklärung
Stand: 16.03.2026 · Geltungsbereich: nexttee.co (Web-App) und mobile App (in Entwicklung)
1. Verantwortlicher
nextTee GmbH
Vertreten durch: Ian Jurriens
Bregenzer Straße 41b, 14612 Falkensee
E-Mail: info@nexttee.co
Website: https://nexttee.co
HRB 12345 · Amtsgericht Potsdam
2. Erhobene personenbezogene Daten
2.1 Stammdaten
- E-Mail-Adresse (Pflicht, via OAuth)
- Vorname, Nachname (optional)
- Geschlecht (optional)
- Geburtsdatum (optional)
- Adresse: Straße, PLZ, Stadt, Land (optional)
- Telefonnummer (optional)
- Mitgliedschafts-Tier, letzter Login (automatisch)
2.2 Berufliche Daten
- Jobtitel, Position, Unternehmen, Unternehmensgröße, Branche (optional)
- Karrierebeginn (Jahr), akademischer Titel (optional)
- Gehaltsklasse (optional, hohe Sensitivität)
- LinkedIn-URL (optional)
2.3 Golf-Daten
- Handicap (0–54), Heimatclub, Spielstil (optional)
- DGV-Ausweisnummer (optional)
- Gespielte Meetups (automatisch)
2.4 Profil- und Matching-Daten
- Profilbild (URL), Benutzername (automatisch generiert)
- „Was ich biete“ / „Was ich suche“ (Freitext), Tags, Interessen, Sprachen
- Profil-Score (0–100 %, automatisch berechnet)
2.5 Kommunikationsdaten
- Nachrichten (1–5.000 Zeichen), Lesestatus, Reaktionen (Emojis)
- Status-Updates (1–280 Zeichen), Likes — öffentlich auf der Plattform
2.6 Engagement- und Nutzungsdaten
- Meetups: Club, Datum, Uhrzeit, Typ, Status, Bewertungen/Feedback
- Verbindungen: Status (ausstehend / akzeptiert / abgelehnt)
- Profilbesuche: Besucher-ID, Zeitpunkt
- Benachrichtigungen: Typ, Gelesen-Status
2.7 Zahlungsdaten
Bei kostenpflichtigen Abonnements übermitteln wir Stripe Customer ID, E-Mail und Abo-Details an Stripe. Kreditkarten- oder Bankdaten werden ausschließlich bei Stripe verarbeitet und nie auf unseren Servern gespeichert.
2.8 Gerätedaten
- Expo Push Token, Plattform (iOS/Android) — bei Push-Benachrichtigungen
- IP-Adresse, Browser-Typ, Betriebssystem — automatisch bei Seitenaufruf
3. Zwecke und Rechtsgrundlagen (Art. 6 DSGVO)
| Zweck | Rechtsgrundlage |
|---|---|
| Kontoerstellung & Authentifizierung | Art. 6(1)(b) — Vertragserfüllung |
| Betrieb der Plattform, Matching | Art. 6(1)(b) + (f) — Vertrag + Berechtigtes Interesse |
| Transaktionale E-Mails | Art. 6(1)(f) — Berechtigtes Interesse |
| Marketing-Newsletter | Art. 6(1)(a) — Einwilligung (Opt-in) |
| Push-Benachrichtigungen | Art. 6(1)(a) — Einwilligung |
| Google Analytics (GA4) | Art. 6(1)(a) — Einwilligung via Cookie-Banner |
| Abo-Verwaltung (Stripe) | Art. 6(1)(b) — Vertragserfüllung |
| Profilbesucher-Tracking | Art. 6(1)(f) — Berechtigtes Interesse |
| Sicherheit, Missbrauchsverhinderung | Art. 6(1)(f) — Berechtigtes Interesse |
| Gesetzliche Aufbewahrung (Steuer/HGB) | Art. 6(1)(c) — Rechtliche Verpflichtung |
4. Auftragsverarbeiter und Drittanbieter
Wir setzen folgende externe Dienstleister ein, mit denen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen wurden oder werden:
| Anbieter | Zweck | Standort |
|---|---|---|
| Supabase | Datenbank, Auth, Echtzeit | EU (Frankfurt, Hetzner) |
| Vercel | Web-Hosting | Edge-Netzwerk, Origin EU |
| Stripe Inc. | Zahlungsabwicklung | US + EU-Server + SCCs |
| Brevo SAS | E-Mail-Versand | EU (Frankreich) |
| Google LLC (GA4 + GTM) | Web-Analytics | US + SCCs, IP-Anonymisierung |
| CookieYes Ltd. | Cookie-Consent | EU-konform |
| Expo Inc. | Push-Benachrichtigungen | US |
| Google LLC (Places) | Golf-Club-Daten | US + SCCs |
5. Authentifizierung und Login
nextTee bietet folgende Anmeldemethoden an:
- Google OAuth 2.0 — Anmeldung mit Google-Konto (OpenID Connect)
- LinkedIn OAuth 2.0 — Anmeldung mit LinkedIn-Konto (OpenID Connect)
- Magic Link — Passwortlose Anmeldung per E-Mail-Link
Sessions werden serverseitig über sichere httpOnly-Cookies mit SameSite-Schutz verwaltet (via Supabase SSR).
6. Drittlandtransfers (Art. 44 ff. DSGVO)
- Stripe (USA): Überwiegend EU-Server; Standardvertragsklauseln (SCCs)
- Google Analytics / GTM (USA): IP-Anonymisierung aktiviert; SCCs gemäß Art. 46 DSGVO
- Google Places API (USA): Standardvertragsklauseln (SCCs)
- Expo Push API (USA): SCCs in Prüfung
7. Speicherdauer und Löschfristen
| Datentyp | Speicherdauer |
|---|---|
| Aktives Nutzerprofil | Dauer des Kontos — Löschung bei Kontolöschung (Art. 17) |
| Nachrichten (Soft-Delete) | Markiert, Hard-Delete nach 1 Jahr |
| Abo-/Zahlungsdaten | Vertragsdauer + 3 Jahre (steuer-/handelsrechtlich) |
| Backup-Daten | 30 Tage — automatische Rotation |
| Zugriffsprotokolle / Logs | 90 Tage — automatische Bereinigung |
| Analytics-Cookies (GA4) | Bis zu 2 Jahre |
| Session-Cookies | Bis zum Logout / Sitzungsende |
| Marketing-Cookies | Bis Widerruf der Einwilligung |
8. KI-Matching und automatisierte Entscheidungsfindung (Art. 22 DSGVO)
nextTee verwendet ein regelbasiertes Matching-System (deterministisches Scoring, kein ML-Modell). Die Kriterien umfassen:
- Handicap-Bereich (±5 HCP)
- Standort / Region
- Spielstil
- Mitgliedschafts-Tier
- Branche und Profil-Tags
Es handelt sich um Vorschläge — Sie können jeden Match jederzeit annehmen oder ablehnen. Es erfolgt keine vollautomatisierte Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO.
Gemäß EU AI Act (ab August 2026, Limited Risk Klassifizierung) werden KI-gestützte Ergebnisse als solche gekennzeichnet.
9. Google Analytics 4 (GA4) und Google Tag Manager (GTM)
- Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
- Tracking-IDs: GA4: G-NFTR618TEP | GTM: GTM-5XRXPR47
Wir nutzen GA4 über GTM zur Analyse des Nutzerverhaltens. Die IP-Anonymisierung ist aktiviert — Ihre IP-Adresse wird innerhalb der EU/des EWR vor Übermittlung an Google gekürzt.
Rechtsgrundlage: Art. 6(1)(a) DSGVO — nur nach Ihrer ausdrücklichen Einwilligung via CookieYes-Banner.
Opt-out: https://tools.google.com/dlpage/gaoptout oder über unsere Cookie-Einstellungen.
10. E-Mail-Kommunikation
Wir versenden folgende E-Mails über Brevo SAS:
Transaktionale E-Mails (kein Opt-in erforderlich)
- Willkommens-E-Mail nach Onboarding-Abschluss
- Verbindungsanfrage-Benachrichtigung
- Profil-Vervollständigungs-Erinnerung (24h nach Onboarding, wenn < 75 %)
- Meetup-Erinnerungen: 24h, 12h, 4h, 2h und sofort vor dem Meetup
- Meetup-Absage-Benachrichtigung
- Bestätigung beider Spieler (Tee-Time-Buchungs-Hinweis)
- Konto-Löschungs-Bestätigung (Art. 17 DSGVO)
Marketing-E-Mails (Opt-in erforderlich)
Newsletter — nur nach ausdrücklicher Einwilligung in den Nutzereinstellungen. Abmeldung jederzeit möglich über den Link in jeder E-Mail oder in den Kontoeinstellungen.
11. Ihre Rechte als betroffene Person
| Recht | Umsetzung |
|---|---|
| Auskunft (Art. 15) | Datenexport als JSON in Einstellungen — „Meine Daten exportieren“ |
| Berichtigung (Art. 16) | Profildaten jederzeit in den Einstellungen bearbeiten |
| Löschung (Art. 17) | „Konto löschen“ — kaskadierende Löschung + Bestätigungs-E-Mail |
| Einschränkung (Art. 18) | Benachrichtigungs-Opt-out in den Einstellungen |
| Datenportabilität (Art. 20) | Strukturierter JSON-Export aller persönlichen Daten |
| Widerspruch (Art. 21) | Abmeldung von Marketing; Opt-out von Analytics |
| Automatisierte Entscheidung (Art. 22) | Alle Match-Vorschläge können abgelehnt werden |
Zur Ausübung Ihrer Rechte wenden Sie sich an: info@nexttee.co
12. Beschwerderecht bei der Aufsichtsbehörde
Landesbeauftragte für den Datenschutz Brandenburg
Stahnsdorfer Damm 77, 14532 Kleinmachnow
Tel.: +49 (0)33203 356-0
E-Mail: poststelle@lda.brandenburg.de
13. Sicherheitsmaßnahmen
- Transport: HTTPS/TLS für alle Datenübertragungen
- Speicherung: Verschlüsselung auf Speicherebene durch Supabase/Hetzner
- Datenbankzugriff: Row Level Security (RLS) auf allen Tabellen
- Session-Sicherheit: httpOnly-Cookies, Secure-Flag, SameSite-Schutz
- API-Sicherheit: Service-Role-Key ausschließlich serverseitig; CSRF-Schutz implementiert
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der gesetzlichen Lage, unserer Dienste oder der Datenverarbeitung zu aktualisieren. Wesentliche Änderungen werden per E-Mail mitgeteilt.
Stand: 16.03.2026 · nextTee GmbH · info@nexttee.co