MATCHDAY.DESIGN

DATENSCHUTZERKLÄRUNG

Stand: 14. April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Lukas Musebrink
Krückenweg 61
44227 Dortmund
Deutschland
E-Mail: support@matchday.design
Telefon: 015679728873

Ein Datenschutzbeauftragter muss nach Art. 37 DSGVO, § 38 BDSG nicht bestellt werden, da die gesetzlichen Voraussetzungen hierfür nicht vorliegen. Für datenschutzrechtliche Anliegen wenden Sie sich bitte an die oben genannte E-Mail-Adresse.

2. Überblick der Verarbeitungen

Matchday.design ist eine SaaS-Plattform zur automatischen Erstellung von Instagram-Grafiken für Amateur-Fußballvereine. Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der Bereitstellung unseres Dienstes und auf Grundlage der nachfolgend beschriebenen Rechtsgrundlagen.

3. Rechtsgrundlagen

Wir verarbeiten Ihre Daten auf folgenden Rechtsgrundlagen:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — z.B. für Analyse-Cookies (Vercel Analytics)
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Bereitstellung des Dienstes, Konto-Verwaltung, Zahlungsabwicklung
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — Sicherheit, Fehlerbehebung, Betrugsschutz
  • Gesetzliche Pflicht (Art. 6 Abs. 1 lit. c DSGVO) — Steuerliche Aufbewahrungspflichten für Rechnungsdaten

4. Welche Daten wir erheben

a) Kontodaten (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung)

Bei der Registrierung: E-Mail-Adresse und Passwort. Das Passwort wird ausschließlich als sicherer Hash über unseren Authentifizierungs­dienst Supabase Auth gespeichert. Klartext-Passwörter werden zu keinem Zeitpunkt gespeichert oder protokolliert. Optional können Vor- und Nachname sowie eine bevorzugte Sprache hinterlegt werden.

b) Vereinsdaten (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung)

Vereinsname, Adresse, Website, Instagram-URL, Branding-Einstellungen (Farben, Logo), Mannschaften, Wettbewerbe, Sponsoren, Gegner.

c) Spielerdaten (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung)

Vorname, Nachname, Trikotnummer, Position, Foto (optional), Kapitäns-Status. Diese Daten werden ausschließlich vom jeweiligen Verein (Organisation) eingegeben und verwaltet. Der Verein ist datenschutzrechtlich Verantwortlicher für diese Daten; Matchday.design handelt insoweit als Auftragsverarbeiter (siehe Abschnitt 10).

d) Zahlungsdaten (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung)

Zahlungsinformationen werden direkt vom Zahlungs­dienstleister Stripe verarbeitet. Wir speichern lediglich die Stripe-Kunden-ID und die Abonnement-ID — keine Kreditkarten-, Konto- oder Bankdaten. Für steuer- und handelsrechtliche Aufbewahrungsfristen (§§ 147 AO, 257 HGB) werden Rechnungsdaten 10 Jahre gespeichert (Art. 6 Abs. 1 lit. c DSGVO).

e) Server-Logfiles (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse)

Bei jedem Zugriff auf unsere Plattform werden durch unsere Hosting-Partner (Vercel, Supabase) automatisch Zugriffs­daten in sogenannten Server-Logfiles gespeichert. Dies umfasst insbesondere: IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene URL, HTTP-Statuscode, übertragene Datenmenge, Referrer-URL, User-Agent (Browser, Betriebssystem). Die Verarbeitung erfolgt zur Gewährleistung der Sicherheit und Stabilität der Plattform, zur Fehleranalyse sowie zum Schutz vor Missbrauch. Die Logfiles werden spätestens nach 30 Tagen gelöscht oder anonymisiert, soweit sie nicht zur Aufklärung konkreter Vorfälle (z.B. Angriffe) länger aufbewahrt werden müssen.

f) KI-gestützte Funktionen (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung)

Im PRO-Tarif stellen wir KI-gestützte Funktionen zur Verfügung. Für deren Bereitstellung werden die von Ihnen bewusst eingegebenen Inhalte an spezialisierte KI-Dienstleister übermittelt:

  • KI-Captions und Textkorrektur: Der von Ihnen eingegebene Text (optional zzgl. eines hochgeladenen Screenshots des Spielberichts) wird an Anthropic (Anbieter von Claude) übermittelt und dort zur Erzeugung einer verbesserten Instagram-Caption bzw. zur Rechtschreib-/Grammatik­korrektur verarbeitet. Anthropic sichert vertraglich zu, übermittelte Inhalte nicht für das Training seiner Modelle zu verwenden (Zero-Data-Retention).
  • KI-Hintergrundentfernung: Von Ihnen hochgeladene Bilder werden an Replicate (Anbieter eines Model-Hostings für „bria-rmbg-2.0") übermittelt, dort vom Hintergrund befreit und das Ergebnis zurückgesendet.

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt. Die KI-Funktionen erzeugen Vorschläge, über deren Verwendung der Nutzer frei entscheidet.

g) Pixabay-Bildersuche (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung)

Nutzen Sie die integrierte Pixabay-Suche, wird Ihr Suchbegriff an die Pixabay-API (GmbH, Deutschland) übermittelt. Die Anfrage läuft über unseren Server, sodass der API-Schlüssel verborgen bleibt; Ihre IP-Adresse wird nicht unmittelbar an Pixabay übermittelt.

h) Kontaktaufnahme (Art. 6 Abs. 1 lit. b bzw. f DSGVO)

Wenn Sie uns per E-Mail oder über den In-App-Support-Messenger (Featurebase) kontaktieren, werden Ihre Angaben (E-Mail-Adresse, Name, Nachrichteninhalt) zur Bearbeitung der Anfrage und für den Fall von Anschlussfragen gespeichert. Diese Daten werden gelöscht, sobald sie nicht mehr erforderlich sind, spätestens jedoch nach Ablauf etwaiger gesetzlicher Aufbewahrungsfristen.

i) Nutzungsdaten / Analytics (Art. 6 Abs. 1 lit. a DSGVO – Einwilligung)

Nur bei ausdrücklicher Einwilligung erfassen wir über Vercel Analytics anonymisierte Nutzungsdaten (Seitenaufrufe, Referrer, Gerätekategorie, Land). Vercel Analytics verwendet keine Cookies und speichert keine direkten Personenbezüge. Die Einwilligung können Sie jederzeit mit Wirkung für die Zukunft über den Cookie-Banner widerrufen.

j) Technisch notwendige Cookies / Local Storage (§ 25 Abs. 2 TTDSG)

Wir verwenden funktionale Cookies bzw. Local Storage für die Authentifizierung (Supabase Auth Session, aktive Organisation), die Cookie-Einwilligung selbst sowie für die Speicherung Ihrer Sprach- und UI-Einstellungen. Diese sind für den Betrieb der Plattform zwingend erforderlich und bedürfen nach § 25 Abs. 2 Nr. 2 TTDSG keiner Einwilligung.

5. Auftragsverarbeiter und Drittanbieter

Wir setzen folgende Dienstleister ein. Mit allen Anbietern, über die personenbezogene Daten verarbeitet werden, bestehen Auftragsverarbeitungs­verträge gemäß Art. 28 DSGVO.

Drittlandtransfer: Soweit einzelne Anbieter ihren Sitz in den USA haben, stützen wir die Übermittlung vorrangig auf den Angemessenheits­beschluss der EU-Kommission zum EU-US Data Privacy Framework (DPF) vom 10. Juli 2023 (Art. 45 DSGVO), sofern der jeweilige Anbieter unter dem DPF zertifiziert ist. Ergänzend bzw. hilfsweise stützen wir uns auf Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Eine aktuelle Liste der DPF-zertifizierten Unternehmen finden Sie unter dataprivacyframework.gov/list.

Supabase (Supabase Inc., USA)

Zweck: Authentifizierung (Supabase Auth), Datenbank und Dateispeicher

Daten: E-Mail, Passwort-Hash, Session-Daten, alle Vereins-, Spiel- und Mediendaten

Hosting-Region: AWS Frankfurt (eu-central-1). Muttergesellschaft in den USA. Rechtsgrundlage für etwaige USA-Transfers: DPF (Art. 45 DSGVO) bzw. Standardvertragsklauseln (Art. 46 DSGVO).

Vercel (Vercel Inc., USA)

Zweck: Hosting der Plattform, Server-Logs, Vercel Analytics (nur bei Einwilligung)

Daten: IP-Adresse, User-Agent, angefragte URLs, Nutzungsdaten

Rechtsgrundlage: DPF / Standardvertragsklauseln. Vercel ist unter dem EU-US Data Privacy Framework zertifiziert.

Stripe (Stripe Payments Europe Ltd., Irland / Stripe Inc., USA)

Zweck: Zahlungsabwicklung, Abonnement-Verwaltung, Rechnungs­stellung

Daten: Zahlungsinformationen, Kunden-ID, Rechnungsdaten, IP-Adresse

Vertragspartner innerhalb der EU (Irland). Konzerninterne Übermittlung in die USA auf Grundlage des DPF bzw. Standardvertragsklauseln.

Resend (Resend Inc., USA)

Zweck: Versand transaktionaler E-Mails (Einladungen, Passwort-Reset, System­benachrichtigungen)

Daten: E-Mail-Adresse des Empfängers, Name, Nachrichteninhalt, Versandmetadaten

Rechtsgrundlage: DPF / Standardvertragsklauseln.

Anthropic (Anthropic PBC, USA)

Zweck: KI-gestützte Caption-Erzeugung und Rechtschreib-/Grammatik­korrektur (nur im PRO-Tarif, auf aktive Nutzeraktion)

Daten: Der vom Nutzer eingegebene Text, Metadaten des Spiels, optional ein hochgeladener Screenshot des Spielberichts

Zero-Data-Retention: Anthropic verwendet die übermittelten Inhalte vertraglich nicht für das Training seiner Modelle. Rechtsgrundlage für USA-Transfer: Standardvertragsklauseln (Art. 46 DSGVO) [PFLICHTANGABE: DPF-Status von Anthropic regelmäßig prüfen und ggf. anpassen].

Replicate (Replicate, Inc., USA)

Zweck: KI-gestützte Hintergrundentfernung bei Bildern (nur im PRO-Tarif, auf aktive Nutzeraktion)

Daten: Das vom Nutzer hochgeladene Bild (wird nach Verarbeitung zurückgesendet)

Rechtsgrundlage für USA-Transfer: Standardvertragsklauseln (Art. 46 DSGVO) [PFLICHTANGABE: DPF-Status von Replicate regelmäßig prüfen].

Featurebase (Featurebase OÜ, Estland)

Zweck: In-App-Support-Messenger, Feature-Request- und Bug-Tracking

Daten: Nutzer-ID, E-Mail, Name, Sprache, Nachrichteninhalt. Die Identität wird über ein serverseitig signiertes JWT nachgewiesen.

Sitz in der EU. Es erfolgt kein Drittlandtransfer.

Pixabay (Pixabay GmbH, Deutschland)

Zweck: Integrierte Suche nach und Download von lizenzfreien Stockfotos

Daten: Suchbegriffe. Die Anfragen laufen über unseren Server; Ihre IP-Adresse wird nicht direkt an Pixabay übermittelt.

Sitz in der EU. Es erfolgt kein Drittlandtransfer.

Schriftarten (Self-Hosting)

Schriftarten werden über unseren eigenen Server ausgeliefert. Es findet kein direkter Kontakt zwischen dem Browser des Nutzers und externen Schrift­arten-Diensten (insbesondere Google Fonts) statt. Beim Bildrender auf Serverseite werden einzelne Schriften bei Bedarf von Google Fonts nachgeladen; der Browser des Nutzers ist daran nicht beteiligt.

6. Speicherdauer

  • Kontodaten: Bis zur Löschung des Kontos durch den Nutzer
  • Vereins- und Spielerdaten: Bis zur Löschung des Vereins oder einzelner Einträge durch den Nutzer
  • Generierte Grafiken: Bis zur Löschung durch den Nutzer oder Löschung des Vereins
  • Rechnungsdaten: 10 Jahre gemäß §§ 147 AO, 257 HGB
  • Cookie-Einwilligungen: 1 Jahr, danach erneute Abfrage
  • Analytics-Daten: Gemäß Vercel-Richtlinien (anonymisiert, kein Personenbezug)

7. Ihre Rechte (Art. 15–21 DSGVO)

Sie haben jederzeit das Recht auf:

  • Auskunft (Art. 15) — Welche Daten wir über Sie gespeichert haben
  • Berichtigung (Art. 16) — Korrektur unrichtiger Daten
  • Löschung (Art. 17) — Löschung Ihrer Daten (Konto löschen unter Einstellungen)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20) — Export Ihrer Daten als JSON (unter Einstellungen verfügbar)
  • Widerspruch (Art. 21) — Gegen Verarbeitung auf Basis berechtigter Interessen
  • Widerruf der Einwilligung (Art. 7 Abs. 3) — Jederzeit mit Wirkung für die Zukunft (z.B. Analytics-Einwilligung im Cookie-Banner)

Zur Ausübung Ihrer Rechte wenden Sie sich an: support@matchday.design

8. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständige Aufsichtsbehörde:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44
40102 Düsseldorf
www.ldi.nrw.de

9. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

  • Verschlüsselte Übertragung (TLS/HTTPS) für alle Verbindungen
  • Mandantentrennung — jeder Verein sieht nur seine eigenen Daten
  • Row-Level-Security (RLS) in der Datenbank als zweite Schutzschicht
  • Privater Dateispeicher mit signierten URLs (kein öffentlicher Zugriff)
  • Keine Speicherung von Zahlungsdaten auf unseren Servern

10. Hinweis für Vereine (Verantwortlichkeit für Spielerdaten)

Als Verein (Organisation) geben Sie Daten Ihrer Spieler, Trainer und Betreuer in Matchday.design ein. Sie sind datenschutzrechtlich Verantwortlicher für diese Daten und müssen sicherstellen, dass Sie eine geeignete Rechtsgrundlage für die Verarbeitung haben (z.B. Einwilligung der Spieler oder berechtigtes Interesse im Rahmen der Vereinstätigkeit). Matchday.design fungiert in diesem Verhältnis als Auftragsverarbeiter gemäß Art. 28 DSGVO.

11. Automatisierte Entscheidungsfindung

Eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO), findet nicht statt.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Fassung finden Sie stets auf dieser Seite.