Recht & Compliance
Transparenz statt Vertrauensvorschuss.
Mentale Daten von Profispielern sind besondere personenbezogene Daten nach Art. 9 DSGVO. MindClub veröffentlicht jedes Dokument, das eine Klub-Rechtsabteilung im Standardfall verlangt — abrufbar ohne Anmeldung.
Pflichtangaben & Nutzungsbedingungen
Compliance-Dokumente für Vereine & deren DSB
Diese Dokumente werden in jedem Pilotvertrag mitgeliefert. Sie sind hier vorab einsehbar, damit der Datenschutzbeauftragte des Vereins die Vertragsbasis ohne Verzögerung prüfen kann.
Auftragsverarbeitungsvertrag (AVV)
Vertragstemplate gemäß Art. 28 DSGVO. Wird beim Pilotabschluss klubindividuell ausgefüllt.
Technische & Organisatorische Maßnahmen (TOM)
Anlage 1 zum AVV. Zutritts-, Zugangs-, Zugriffs-, Trennungs- und Eingabekontrolle, Verfügbarkeit, Auftragskontrolle.
Datenschutz-Folgenabschätzung (DPIA)
Vorgenommen gemäß Art. 35 DSGVO. Risikoanalyse für die Verarbeitung mentaler Selbstauskünfte im Beschäftigungsverhältnis.
Subprozessoren
Aktuelle Liste aller eingesetzten Auftragsverarbeiter (Supabase, Vercel, Resend) inkl. Standorten und Zertifizierungen.
Verzeichnis von Verarbeitungstätigkeiten
Art. 30 DSGVO. Übersicht aller Verarbeitungen, Zwecke, Datenkategorien und Aufbewahrungsfristen.
Fachliche Grundlage
Klubseitige Sport-Psycholog:innen oder Mental-Performance-Verantwortliche prüfen vor jedem Pilot die wissenschaftliche Substanz. Diese Übersicht zeigt die Architektur, das Quellenregister und den Validation-Status öffentlich.
Auf Anfrage
Folgende Unterlagen werden auf Anfrage des Verantwortlichen direkt bereitgestellt — typischerweise im Rahmen der Pilotvereinbarung oder einer rechtlichen Prüfung:
- Sicherheitsfragebogen (z. B. ISO 27001, BSI C5, klubspezifische Vorlagen)
- Penetrationstest-Bericht (extern beauftragt nach Pilot 1 — geplant Q3/2026)
- Notfall- und Incident-Response-Plan
- Backup- und Wiederherstellungs-Konzept (Supabase PITR + Off-Site)
- Single-Sign-On-Anbindung (Azure AD, Google Workspace, Okta)
Technische Transparenz
Jenseits der formalen Dokumente ein paar Fakten zur Architektur, die im Datenschutzgespräch häufig gefragt werden:
Row-Level-Security
auf 75 Tabellen aktiv, 215 Policies, in der Datenbank durchgesetzt — nicht im Application-Layer.
Audit-Log
jeder lesende Zugriff auf personenbezogene Daten erzeugt eine Audit-Row mit Aktor, Spieler, Kategorie, Zweck.
Aggregations-Schwelle
Squad: n ≥ 3, Verein: n ≥ 5 — in SQL-Views erzwungen, kein UI-Bypass möglich.
Automatisierte Tests
Playwright-Smoke-Suite gegen Production-Demo bei jedem Push, GitHub Actions, Report bei Fehlern 14 Tage gespeichert.
DSGVO-Self-Service
Art. 15 Export und Art. 17 Löschung mit Token-Bestätigung im Spieler-Profil — ohne E-Mail-Anfrage.
Daten-Hosting
Supabase (AWS Frankfurt, eu-central-1) + Vercel Edge EU. Keine Datenübertragung in Drittländer.
Kontakt Datenschutzbeauftragter
Für Auskunfts-, Berichtigungs-, Löschungs- oder Widerspruchsersuchen nach Art. 15-22 DSGVO sowie für jede Anfrage zur Vertragsgestaltung steht der Datenschutzbeauftragte direkt zur Verfügung.