← Übersicht

Compliance · Art. 35 DSGVO

Datenschutz-Folgenabschätzung

Risiko- und Schutzanalyse für die Verarbeitung mentaler Selbstauskünfte von Profispielern im Beschäftigungsverhältnis.


Datum: 2026-05-14 Version: 1.3 Auftragsverarbeiter: MindClub, Geschäftsanschrift im Auftragsverarbeitungsvertrag, Deutschland Datenschutzbeauftragter: Datenschutzbeauftragter MindClub · dpo@themindclub.com

> Diese Datenschutz-Folgenabschätzung beschreibt die Verarbeitung mentaler Performance-Daten beim Auftragsverarbeiter MindClub. Sie wird jedem verantwortlichen Verein als Grundlage für dessen eigene DPIA-Pflicht gemäß Art. 35 DSGVO zur Verfügung gestellt.


1. Zweck dieser DPIA

Gemäß Art. 35 DSGVO ist eine Datenschutz-Folgenabschätzung erforderlich, wenn die Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat". MindClub verarbeitet:

  • besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (mentale Verfassung = Gesundheitsdaten),
  • Beschäftigtendaten in einem Abhängigkeitsverhältnis (Spieler ↔ Verein),
  • regelmäßig wiederkehrende Selbstauskünfte (systematische Überwachung).

Damit sind drei der neun WP248-Kriterien der Art-29-Gruppe erfüllt → DPIA verpflichtend.


2. Verarbeitungsbeschreibung

2.1 Was wird verarbeitet

DatenkategorieQuelleRechtsgrundlage
Stammdaten Spieler (Name, Geb., Trikotnr., Position)VereinsmanagementArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung Arbeitsvertrag)
Wöchentliche Selbstauskunft mentale VerfassungSpieler selbstArt. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) + Art. 9 Abs. 2 lit. h (Beschäftigtenmedizin, mit Bedingungen)
Coach- und Mental-Staff-NotizenTrainerstabArt. 9 Abs. 2 lit. a + Art. 6 Abs. 1 lit. f (berechtigtes Interesse Vereinsmanagement)
Aggregierte Team-Werte (n≥3 / n≥5)Berechnet aus obigenAnonymisiert nach Erwägungsgrund 26
Audit-LogsSystemArt. 6 Abs. 1 lit. c (rechtliche Verpflichtung Nachweispflicht)

2.2 Wer hat Zugriff

Rollenbasiert über RLS-Policies in PostgreSQL. Granularität auf 12 Datenkategorien × 6 Sichtbarkeitsstufen. Vollständige Zugriffsmatrix wird auf Anfrage zur Verfügung gestellt.

2.3 Speicherdauer

  • Aktive Saison: Echtdaten verfügbar
  • Spieler verlässt Verein: Persönliche mentale Daten werden binnen 30 Tagen gelöscht oder pseudonymisiert
  • Audit-Logs: Aufbewahrung 6 Jahre (handelsrechtlich), nach Pseudonymisierung des Spielers
  • Aggregierte Team-Daten: Verbleiben anonymisiert beim Verein zur historischen Saisonanalyse

2.4 Datenfluss

  1. Eingabe Spieler-App (Browser/PWA) → HTTPS/TLS 1.3
  2. Vercel Edge (EU-Region: fra1, cdg1) → kein Logging des Request-Bodys
  3. Supabase Postgres (EU-Region: AWS eu-central-1) → at-rest verschlüsselt (AES-256)
  4. Resend SMTP (EU) für Notifications — keine personenbezogenen Inhalte in E-Mails, nur Trigger-Hinweise
  5. Backups: Supabase Point-in-Time-Recovery 7 Tage, tägliche Snapshots 30 Tage

2.5 Drittländer-Übermittlung

Keine. Sämtliche Verarbeitungen finden in EU-Rechenzentren statt. Vercel kann auf Wunsch des Vereins auf eine reine EU-Edge-Konfiguration eingeschränkt werden.


3. Risikoanalyse

3.1 Identifizierte Risiken

IDRisikoSchwereEintrittswahrsch.Restrisiko nach Maßnahmen
R1Unbefugter Zugriff auf mentale Daten eines Spielers durch Coach/Management trotz Consent-BeschränkungHochMittelNiedrig
R2De-Anonymisierung aggregierter Werte bei kleinem SquadMittelMittelNiedrig (n≥3-Threshold SQL-enforced)
R3Coach übt Druck auf Spieler aus, Daten freizugebenSehr hochMittelMittel (Risiko bleibt — siehe 3.3)
R4Datenleck durch Sicherheitslücke (Supabase, Vercel, MindClub)Sehr hochNiedrigNiedrig
R5Falsche psychologische Interpretation durch Nicht-KlinikerinnenHochHochMittel (Disclaimers, klinische Eskalations-Pfade)
R6Daten verbleiben nach VereinsaustrittHochNiedrigSehr niedrig (Lösch-Workflow getestet)
R7Klinisch relevante Information (Suizidalität) wird nicht eskaliertSehr hochNiedrigSehr niedrig (Red-Flag-System + 24/7-Pfad)

3.2 Maßnahmen

  • Technisch: RLS auf SQL-Ebene, n≥3 Aggregation enforced in Views, Audit-Logging jeder sensiblen Lese-Operation, Verschlüsselung at-rest und in-transit, externer Penetrationstest geplant Q3/2026 nach Pilot 1
  • Organisatorisch: Schulung des Trainerstabs zur Datenschutzkultur (Pflichtmodul vor Erstnutzung), Rollenbeschränkung im Code, Datenschutzbeauftragter-Funktion verfügbar
  • Klinisch: Red-Flag-System eskaliert automatisch an benannte Vertrauensperson außerhalb der Vereinshierarchie, 24/7-Notfallnummern (Telefonseelsorge u. a.) in jeder Spieler-Sicht hinterlegt

3.3 Verbleibendes Restrisiko (R3 — Druck zur Datenfreigabe)

Dieses Risiko kann technisch nicht vollständig eliminiert werden. Maßnahmen zur Eindämmung:

  • Standard-Visibility ist die restriktivste Stufe
  • Spieler kann jederzeit ohne Begründung Sichtbarkeit zurücksetzen
  • Audit-Log macht alle Zugriffe für den Spieler einsehbar (Transparenzpflicht Art. 15)
  • Vertragsverpflichtung des Vereins, Druck auf Spieler in Arbeitsvertrags-Anhang zu untersagen (als Anlage zum Auftragsverarbeitungsvertrag)

4. Rechte der Betroffenen

RechtUmsetzungWo
Auskunft (Art. 15)Self-Service-Export aller eigenen Daten als JSON+CSV/me/export
Berichtigung (Art. 16)Bearbeitung im Profil/me/profile
Löschung (Art. 17)Hard-Delete mit Pseudonymisierung der Audit-Logs/me/delete
Einschränkung (Art. 18)Visibility-Stufen pro Datenkategorie/me/consent
Datenübertragbarkeit (Art. 20)JSON-Export, maschinenlesbar/me/export
Widerspruch (Art. 21)Beendigung der Verarbeitung gem. Anfragedpo@themindclub.com
BeschwerderechtHinweis auf zuständige AufsichtsbehördeDatenschutzerklärung

5. Konsultation

5.1 Beteiligte

  • Datenschutzbeauftragter MindClub: Datenschutzbeauftragter MindClub
  • Externe Datenschutzberatung: Externer Datenschutzberater wird im Auftragsverarbeitungsvertrag benannt
  • Klinische Supervision: Klinische Supervision durch approbierte/n Psycholog/in im Auftragsverarbeitungsvertrag benannt

5.2 Konsultation der Aufsichtsbehörde

Bei der ersten Vereinskooperation wird vorab die zuständige Aufsichtsbehörde (in DE: Landesdatenschutzbeauftragter des Vereinssitzes; in AT: Datenschutzbehörde) gemäß Art. 36 DSGVO konsultiert, falls Restrisiken hoch eingeschätzt werden.


6. Bewertung

6.1 Notwendigkeit und Verhältnismäßigkeit

Die mentale Begleitung von Hochleistungssportlern ist in der Sportpsychologie etabliert. Die digitale Erfassung ermöglicht Früherkennung mentaler Belastung und damit Schutz der Gesundheit der Spielerinnen und Spieler — ein höher zu bewertendes Rechtsgut als die Nicht-Erfassung der Daten, sofern die strengen Schutzmaßnahmen dieser DPIA umgesetzt sind.

6.2 Gesamteinschätzung

Mit den dargestellten technischen und organisatorischen Maßnahmen verbleiben die Restrisiken auf einem Niveau, das die Verarbeitung rechtfertigt, sofern:

  • die Einwilligungen ausdrücklich, granular, jederzeit widerruflich und dokumentiert sind ✓
  • die Zugriffsbeschränkungen technisch erzwungen werden (RLS) ✓
  • die Lösch- und Auskunftsrechte funktionsfähig implementiert sind ✓ (/me/export, /me/delete)
  • ein bestandener externer Penetrationstest dokumentiert wird (geplant Q3/2026 nach Pilot 1)

6.3 Empfehlung

Verarbeitung darf aufgenommen werden nach:

  1. Abschluss Auftragsverarbeitungsvertrag mit jeweiligem Pilot-Verein
  2. Konsultation der zuständigen Aufsichtsbehörde durch Pilot-Verein bei Erstnutzung
  3. Externer Penetrationstest nach Pilot 1 (Q3/2026)

7. Versionierung

VersionDatumÄnderungAutor
1.02026-05-05ErstfassungMindClub
1.12026-05-09Variablen-Substitution, Bereinigung Platzhalter, Empfehlungen Abschnitt 6.3 verfeinertMindClub

Diese DPIA ist mindestens jährlich zu überprüfen oder bei wesentlichen Änderungen der Verarbeitung.

Fragen zu diesem Dokument?

Schreibe an den Datenschutzbeauftragten. Wir antworten in der Regel innerhalb von 48 Stunden während der Geschäftswochen.

dpo@themindclub.com