Datum: 2026-05-14 Version: 1.3 Auftragsverarbeiter: MindClub, Geschäftsanschrift im Auftragsverarbeitungsvertrag, Deutschland Datenschutzbeauftragter: Datenschutzbeauftragter MindClub · dpo@themindclub.com
> Diese Datenschutz-Folgenabschätzung beschreibt die Verarbeitung mentaler Performance-Daten beim Auftragsverarbeiter MindClub. Sie wird jedem verantwortlichen Verein als Grundlage für dessen eigene DPIA-Pflicht gemäß Art. 35 DSGVO zur Verfügung gestellt.
1. Zweck dieser DPIA
Gemäß Art. 35 DSGVO ist eine Datenschutz-Folgenabschätzung erforderlich, wenn die Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat". MindClub verarbeitet:
- besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (mentale Verfassung = Gesundheitsdaten),
- Beschäftigtendaten in einem Abhängigkeitsverhältnis (Spieler ↔ Verein),
- regelmäßig wiederkehrende Selbstauskünfte (systematische Überwachung).
Damit sind drei der neun WP248-Kriterien der Art-29-Gruppe erfüllt → DPIA verpflichtend.
2. Verarbeitungsbeschreibung
2.1 Was wird verarbeitet
| Datenkategorie | Quelle | Rechtsgrundlage |
|---|---|---|
| Stammdaten Spieler (Name, Geb., Trikotnr., Position) | Vereinsmanagement | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung Arbeitsvertrag) |
| Wöchentliche Selbstauskunft mentale Verfassung | Spieler selbst | Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) + Art. 9 Abs. 2 lit. h (Beschäftigtenmedizin, mit Bedingungen) |
| Coach- und Mental-Staff-Notizen | Trainerstab | Art. 9 Abs. 2 lit. a + Art. 6 Abs. 1 lit. f (berechtigtes Interesse Vereinsmanagement) |
| Aggregierte Team-Werte (n≥3 / n≥5) | Berechnet aus obigen | Anonymisiert nach Erwägungsgrund 26 |
| Audit-Logs | System | Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung Nachweispflicht) |
2.2 Wer hat Zugriff
Rollenbasiert über RLS-Policies in PostgreSQL. Granularität auf 12 Datenkategorien × 6 Sichtbarkeitsstufen. Vollständige Zugriffsmatrix wird auf Anfrage zur Verfügung gestellt.
2.3 Speicherdauer
- Aktive Saison: Echtdaten verfügbar
- Spieler verlässt Verein: Persönliche mentale Daten werden binnen 30 Tagen gelöscht oder pseudonymisiert
- Audit-Logs: Aufbewahrung 6 Jahre (handelsrechtlich), nach Pseudonymisierung des Spielers
- Aggregierte Team-Daten: Verbleiben anonymisiert beim Verein zur historischen Saisonanalyse
2.4 Datenfluss
- Eingabe Spieler-App (Browser/PWA) → HTTPS/TLS 1.3
- Vercel Edge (EU-Region: fra1, cdg1) → kein Logging des Request-Bodys
- Supabase Postgres (EU-Region: AWS eu-central-1) → at-rest verschlüsselt (AES-256)
- Resend SMTP (EU) für Notifications — keine personenbezogenen Inhalte in E-Mails, nur Trigger-Hinweise
- Backups: Supabase Point-in-Time-Recovery 7 Tage, tägliche Snapshots 30 Tage
2.5 Drittländer-Übermittlung
Keine. Sämtliche Verarbeitungen finden in EU-Rechenzentren statt. Vercel kann auf Wunsch des Vereins auf eine reine EU-Edge-Konfiguration eingeschränkt werden.
3. Risikoanalyse
3.1 Identifizierte Risiken
| ID | Risiko | Schwere | Eintrittswahrsch. | Restrisiko nach Maßnahmen |
|---|---|---|---|---|
| R1 | Unbefugter Zugriff auf mentale Daten eines Spielers durch Coach/Management trotz Consent-Beschränkung | Hoch | Mittel | Niedrig |
| R2 | De-Anonymisierung aggregierter Werte bei kleinem Squad | Mittel | Mittel | Niedrig (n≥3-Threshold SQL-enforced) |
| R3 | Coach übt Druck auf Spieler aus, Daten freizugeben | Sehr hoch | Mittel | Mittel (Risiko bleibt — siehe 3.3) |
| R4 | Datenleck durch Sicherheitslücke (Supabase, Vercel, MindClub) | Sehr hoch | Niedrig | Niedrig |
| R5 | Falsche psychologische Interpretation durch Nicht-Klinikerinnen | Hoch | Hoch | Mittel (Disclaimers, klinische Eskalations-Pfade) |
| R6 | Daten verbleiben nach Vereinsaustritt | Hoch | Niedrig | Sehr niedrig (Lösch-Workflow getestet) |
| R7 | Klinisch relevante Information (Suizidalität) wird nicht eskaliert | Sehr hoch | Niedrig | Sehr niedrig (Red-Flag-System + 24/7-Pfad) |
3.2 Maßnahmen
- Technisch: RLS auf SQL-Ebene, n≥3 Aggregation enforced in Views, Audit-Logging jeder sensiblen Lese-Operation, Verschlüsselung at-rest und in-transit, externer Penetrationstest geplant Q3/2026 nach Pilot 1
- Organisatorisch: Schulung des Trainerstabs zur Datenschutzkultur (Pflichtmodul vor Erstnutzung), Rollenbeschränkung im Code, Datenschutzbeauftragter-Funktion verfügbar
- Klinisch: Red-Flag-System eskaliert automatisch an benannte Vertrauensperson außerhalb der Vereinshierarchie, 24/7-Notfallnummern (Telefonseelsorge u. a.) in jeder Spieler-Sicht hinterlegt
3.3 Verbleibendes Restrisiko (R3 — Druck zur Datenfreigabe)
Dieses Risiko kann technisch nicht vollständig eliminiert werden. Maßnahmen zur Eindämmung:
- Standard-Visibility ist die restriktivste Stufe
- Spieler kann jederzeit ohne Begründung Sichtbarkeit zurücksetzen
- Audit-Log macht alle Zugriffe für den Spieler einsehbar (Transparenzpflicht Art. 15)
- Vertragsverpflichtung des Vereins, Druck auf Spieler in Arbeitsvertrags-Anhang zu untersagen (als Anlage zum Auftragsverarbeitungsvertrag)
4. Rechte der Betroffenen
| Recht | Umsetzung | Wo |
|---|---|---|
| Auskunft (Art. 15) | Self-Service-Export aller eigenen Daten als JSON+CSV | /me/export |
| Berichtigung (Art. 16) | Bearbeitung im Profil | /me/profile |
| Löschung (Art. 17) | Hard-Delete mit Pseudonymisierung der Audit-Logs | /me/delete |
| Einschränkung (Art. 18) | Visibility-Stufen pro Datenkategorie | /me/consent |
| Datenübertragbarkeit (Art. 20) | JSON-Export, maschinenlesbar | /me/export |
| Widerspruch (Art. 21) | Beendigung der Verarbeitung gem. Anfrage | dpo@themindclub.com |
| Beschwerderecht | Hinweis auf zuständige Aufsichtsbehörde | Datenschutzerklärung |
5. Konsultation
5.1 Beteiligte
- Datenschutzbeauftragter MindClub: Datenschutzbeauftragter MindClub
- Externe Datenschutzberatung: Externer Datenschutzberater wird im Auftragsverarbeitungsvertrag benannt
- Klinische Supervision: Klinische Supervision durch approbierte/n Psycholog/in im Auftragsverarbeitungsvertrag benannt
5.2 Konsultation der Aufsichtsbehörde
Bei der ersten Vereinskooperation wird vorab die zuständige Aufsichtsbehörde (in DE: Landesdatenschutzbeauftragter des Vereinssitzes; in AT: Datenschutzbehörde) gemäß Art. 36 DSGVO konsultiert, falls Restrisiken hoch eingeschätzt werden.
6. Bewertung
6.1 Notwendigkeit und Verhältnismäßigkeit
Die mentale Begleitung von Hochleistungssportlern ist in der Sportpsychologie etabliert. Die digitale Erfassung ermöglicht Früherkennung mentaler Belastung und damit Schutz der Gesundheit der Spielerinnen und Spieler — ein höher zu bewertendes Rechtsgut als die Nicht-Erfassung der Daten, sofern die strengen Schutzmaßnahmen dieser DPIA umgesetzt sind.
6.2 Gesamteinschätzung
Mit den dargestellten technischen und organisatorischen Maßnahmen verbleiben die Restrisiken auf einem Niveau, das die Verarbeitung rechtfertigt, sofern:
- die Einwilligungen ausdrücklich, granular, jederzeit widerruflich und dokumentiert sind ✓
- die Zugriffsbeschränkungen technisch erzwungen werden (RLS) ✓
- die Lösch- und Auskunftsrechte funktionsfähig implementiert sind ✓ (
/me/export,/me/delete) - ein bestandener externer Penetrationstest dokumentiert wird (geplant Q3/2026 nach Pilot 1)
6.3 Empfehlung
Verarbeitung darf aufgenommen werden nach:
- Abschluss Auftragsverarbeitungsvertrag mit jeweiligem Pilot-Verein
- Konsultation der zuständigen Aufsichtsbehörde durch Pilot-Verein bei Erstnutzung
- Externer Penetrationstest nach Pilot 1 (Q3/2026)
7. Versionierung
| Version | Datum | Änderung | Autor |
|---|---|---|---|
| 1.0 | 2026-05-05 | Erstfassung | MindClub |
| 1.1 | 2026-05-09 | Variablen-Substitution, Bereinigung Platzhalter, Empfehlungen Abschnitt 6.3 verfeinert | MindClub |
Diese DPIA ist mindestens jährlich zu überprüfen oder bei wesentlichen Änderungen der Verarbeitung.