Datenschutzerklärung

1. Einleitung und Überblick

RosterAid® ist eine Anwendung zur Verwaltung von Listen, Terminen, Anwesenheit und Zahlungen für Kursleiterinnen und Kursleiter, Lehrkräfte, Trainerinnen und Trainer, Coaches und Instruktorinnen und Instruktoren. Sie wird als mobile App (iOS, Android in Planung) und als Webanwendungen unter rosteraid.com (diese Marketingseite) und web.rosteraid.com (Registrierung und Abrechnung) angeboten.

2. Wer wir sind (Verantwortlicher)

Der „Verantwortliche“ ist die Person oder Stelle, die entscheidet, warum und wie Ihre personenbezogenen Daten verarbeitet werden. Für diese Datenschutzerklärung ist der Verantwortliche:

TGS Enterprise
San Diego, Kalifornien, Vereinigte Staaten von Amerika
E-Mail: support@rosteraid.com

Datenschutzbeauftragte/r. Wir haben keine Datenschutzbeauftragte oder keinen Datenschutzbeauftragten benannt; wir sind dazu nach Art. 37 Abs. 1 DSGVO nicht verpflichtet. Für datenschutzrechtliche Anliegen verwenden Sie bitte die Kontaktangaben in Abschnitt 21.

In dieser Erklärung beziehen sich „wir“, „uns“ und „unser“ auf den oben genannten Verantwortlichen. „Sie“ bezeichnet die Person, deren personenbezogene Daten wir verarbeiten — in der Regel ein Coach, eine Lehrkraft, ein Trainer oder eine Instruktorin, die RosterAid nutzen, in manchen Fällen auch ein Kunde bzw. eine Kundin (volljährig oder minderjährig), ein Erziehungsberechtigter oder eine Besucherin unserer Website.

3. Vertreter in der EU (Art. 27 DSGVO)

Da wir außerhalb der Europäischen Union nieder gelassen sind, aber Personen in der EU Dienste anbieten, verlangt das EU-Recht, dass wir einen Vertreter in der Union benennen.

Wir sind ein kleines Unternehmen und arbeiten an der formellen Benennung eines EU-Vertreters. Bis dahin können sich Nutzerinnen und Nutzer aus der EU und dem EWR direkt an support@rosteraid.com wenden für jegliche DSGVO-Anliegen — wir verpflichten uns, Anfragen zur Ausübung von Betroffenenrechten innerhalb der gesetzlichen Frist von einem Monat zu beantworten. Wir aktualisieren diesen Abschnitt, sobald ein Vertreter benannt ist.

4. Begriffsbestimmungen

• „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
• „Verarbeitung“ bezeichnet jeden Vorgang, der mit personenbezogenen Daten durchgeführt wird — Erhebung, Speicherung, Verwendung, Offenlegung, Löschung usw.
• „Unser Dienst“ bezeichnet die mobilen und Web-Anwendungen von RosterAid, die Websites rosteraid.com und web.rosteraid.com sowie die zugehörige Infrastruktur.
• „Sie“ bezeichnet die betroffene Person — in der Regel ein Kontoinhaber (Coach, Lehrkraft, Trainerin, Instruktor) oder eine Besucherin unserer Website. In einigen Abschnitten beziehen wir uns auch auf „Kundinnen und Kunden“ (und, wenn die Kundin oder der Kunde im Bildungskontext minderjährig ist, auch auf „Schülerinnen und Schüler“) — Personen, deren Daten von einem Coach über dessen Konto in unseren Dienst eingegeben werden.
• „DSGVO“ bezeichnet die Verordnung (EU) 2016/679. „UK GDPR“ ist das entsprechende britische Recht.

5. Welche personenbezogenen Daten wir erheben

5.1 Daten, die Sie uns direkt geben (Konto, Profil, Zahlung)

Wenn Sie ein Konto anlegen oder unsere kostenpflichtigen Tarife nutzen, erheben wir:

• Identitätsdaten: Vorname, Nachname (optional), Anzeigename.
• Kontaktdaten: E-Mail-Adresse, optional Telefonnummer.
• Authentifizierungsdaten: Passwort (nur als gesalzener Hash gespeichert), Sitzungstoken.
• Profildaten: Profilfoto, falls Sie eines hochladen, bevorzugte Sprache.
• Zahlungsdaten: Rechnungsname, Rechnungsland und ein Token, der Ihre Zahlungsmethode repräsentiert. Wir sehen und speichern keine vollständigen Kartennummern, CVV oder Bankzugangsdaten — diese werden von unseren Zahlungsdienstleistern verarbeitet (siehe Abschnitt 7).
• Kommunikation: Inhalt aller E-Mails, Kontaktformularen oder Supportanfragen, die Sie uns senden.

5.2 Daten von Dritten (OAuth-Identitätsanbieter)

Wenn Sie sich mit Google oder Apple anmelden, erhalten wir von dort einen begrenzten Identitäts-Payload:

• Von Google: Ihren Namen, Ihre E-Mail-Adresse und Ihre Google-Konto-ID, entsprechend den im OAuth-Einwilligungsbildschirm gewährten Berechtigungen.
• Von Apple: Ihren Namen (nur bei der ersten Anmeldung) und entweder Ihre echte E-Mail oder eine von Apple erzeugte Weiterleitungs-E-Mail (wenn Sie „Meine E-Mail-Adresse verbergen“ wählen). Wir behandeln beide als Ihre Kontakt-E-Mail.

Wir erhalten keine Google- oder Apple-Passwörter, vollständigen Kontaktlisten oder nicht zusammenhängenden Kontoinformationen.

5.3 Daten, die Sie über andere Personen hochladen (Ihre „Kundinnen und Kunden“)

RosterAid erlaubt es Ihnen als Coach, Lehrkraft, Trainer oder Instruktorin, Informationen über die Personen einzugeben, die Sie trainieren, unterrichten oder betreuen. Wir nennen sie Ihre „Kundinnen und Kunden“. Je nach Tätigkeit können Ihre Kundinnen und Kunden Erwachsene sein (z. B. erwachsene Hobby-Tennisspielerinnen, Personal-Training-Kunden, erwachsene Musikschüler) oder Minderjährige (z. B. Kinder in einem Kinderkurs). Erhoben wird in der Regel:

• Name (und, wo verwendet, Name des Erziehungsberechtigten)
• Optionale Kontaktdaten (E-Mail, Telefon)
• Optionales Geburtsdatum
• Anwesenheitsdaten, Termine, Notizen und Zahlungsdaten, die Sie anlegen

Diese Personen sind ebenfalls betroffene Personen. Da sie uns ihre Informationen nicht direkt übermittelt haben — Sie haben das getan —, treffen uns ihnen gegenüber besondere Pflichten nach Art. 14 DSGVO (Informationspflicht, wenn die Daten nicht bei der betroffenen Person erhoben wurden) und Art. 26 DSGVO (gemeinsame Verantwortlichkeit), unabhängig vom Alter. Siehe Abschnitt 14 (Gemeinsame Verantwortlichkeit mit Coaches), der für alle eingegebenen Kundinnen und Kunden gilt. Abschnitt 13 (Daten Minderjähriger) legt zusätzliche Regeln fest, die bei minderjährigen Kundinnen und Kunden gelten.

5.4 Daten, die wir automatisch erheben

Wenn Sie die App nutzen oder unsere Websites besuchen:

• Geräte- und technische Daten: Gerätetyp, Version des Betriebssystems, Version der App, Bildschirmgröße, Spracheinstellung, Zeitzone.
• Protokolldaten: IP-Adresse, Anfragezeitstempel, Fehlerprotokolle, grundlegende Sicherheits- und Audit-Logs.
• Nutzungsdaten: In-App-Navigationsereignisse zur Fehlerdiagnose und Funktionsverbesserung (keine Werbe-Tracker Dritter; kein websiteübergreifendes Profiling).
• Cookies und ähnliche Technologien auf rosteraid.com: siehe Abschnitt 19. Google Analytics wird nur nach Ihrer Einwilligung über unser Cookie-Banner geladen.

Die mobile App enthält keine Werbe-SDKs, Tracker Dritter oder appübergreifenden Kennungen.

5.5 Was geschieht, wenn Sie bestimmte Daten nicht bereitstellen

Die Bereitstellung der als verpflichtend gekennzeichneten Daten ist eine vertragliche Erforderlichkeit (Art. 13 Abs. 2 Buchst. e DSGVO) — wir benötigen sie, um den Vertrag zur Bereitstellung des Dienstes zu schließen und zu erfüllen. Eine gesetzliche Pflicht zur Datenbereitstellung besteht nicht, ohne sie können wir Ihr Konto jedoch nicht anlegen oder betreiben. Beispielsweise können wir kein Konto ohne E-Mail-Adresse und keine kostenpflichtige Subscription ohne Zahlungsdaten anlegen.

Optionale Daten (z. B. Geburtsdatum oder Analyse-Einwilligung) sind für die Nutzung des Dienstes nicht erforderlich. Eine Nichtangabe wirkt sich nicht auf Ihren Zugriff aus.

6. Warum wir Ihre Daten verarbeiten und auf welcher Rechtsgrundlage

Die DSGVO verlangt, für jeden Verarbeitungszweck eine Rechtsgrundlage (Art. 6) anzugeben. Die folgende Tabelle ordnet jedem Zweck die Rechtsgrundlage zu.

Interessenabwägungen zum berechtigten Interesse (Zusammenfassung):

• Sicherheit. Interesse: Konten und Listendaten vor unbefugtem Zugriff, Missbrauch und Betrug schützen. Erforderlichkeit: Ratenbegrenzung, hCaptcha und Anmeldesperren sind die am wenigsten eingriffsintensiven technischen Mittel, die wir kennen, um dieses Ziel zu erreichen; Alternativen wie pauschale IP-Sperren wären eingriffsintensiver und weniger wirksam. Abwägung: Nutzerinnen und Nutzer erwarten vernünftigerweise, dass ein SaaS-Anbieter, der Listendaten verwaltet — die in manchen Konstellationen Daten Minderjähriger umfassen —, diese Vorkehrungen trifft; der Datenschutzeingriff ist gering (kein Profiling, keine Drittwerbung); Nutzer können nach Abschnitt 10, Punkt 6 widersprechen.
• Kundensupport für Nutzer im Gratis-Tarif. Interesse: Anfragen beantworten, die der Nutzer selbst initiiert hat. Erforderlichkeit: Eine Support-Anfrage kann ohne Verwendung der Kontaktdaten der Nachricht nicht beantwortet werden. Abwägung: Daten werden nicht zweckentfremdet; nur so lange gespeichert, wie zur Erledigung des Anliegens nötig.
• Rechtsansprüche. Interesse: Abwehr oder Geltendmachung von Rechtsansprüchen aus dem Dienst. Erforderlichkeit: Beschränkt auf Daten, die für den konkreten Streit tatsächlich relevant sind. Abwägung: Nutzer können widersprechen; wir prüfen und dokumentieren.

Sie können einer auf berechtigtem Interesse beruhenden Verarbeitung jederzeit widersprechen. Siehe Abschnitt 10, Punkt 6.

7. Mit wem wir Ihre Daten teilen (Empfänger und Unterauftragsverarbeiter)

Wir verkaufen Ihre personenbezogenen Daten nicht und teilen sie nicht zu Werbezwecken. Wir teilen Daten nur mit den Dienstleistern, die wir für unseren Betrieb benötigen. Jeder Dienstleister ist durch einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO gebunden.

Wir können Daten außerdem teilen:

• Mit anderen RosterAid-Nutzern, die Sie autorisieren — z. B. ein Coach, der Listeninformationen mit einer Vertretung oder einer Team-Mitinhaberin teilt. Sie steuern diese Freigaben in der App.
• Mit rechtlichen und steuerlichen Beraterinnen und Beratern, Buchhalterinnen oder Wirtschaftsprüfern unter Vertraulichkeitspflichten.
• Auf rechtmäßige Auskunftsersuchen von Behörden — siehe Abschnitt 17.
• Im Rahmen einer Unternehmensübertragung (Fusion, Übernahme, Asset-Verkauf). Wir würden Sie vorab informieren und alle Rechte dieser Erklärung bleiben Ihnen erhalten.

Die Unterauftragsverarbeiter-Tabelle in diesem Abschnitt 7 stellt die aktuelle Liste dar; wir aktualisieren diese Datenschutzerklärung bei Änderungen. Wir geben Ihnen mit einer angemessenen Vorankündigung (per E-Mail oder In-App-Hinweis) Bescheid, bevor wir einen neuen Unterauftragsverarbeiter aufnehmen, der die Verarbeitung Ihrer Daten wesentlich berührt, damit Sie vor dessen Einsatz widersprechen können.

8. Wo Ihre Daten verarbeitet werden (Internationale Übermittlungen)

Der größte Teil unserer Infrastruktur steht in den Vereinigten Staaten. Wenn Sie RosterAid aus dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich oder der Schweiz nutzen, werden Ihre personenbezogenen Daten in die USA übermittelt und dort gespeichert.

Wir verwenden folgende Garantien nach Art. 44 ff. DSGVO / entsprechende UK-Regelungen:

1. EU-US Data Privacy Framework (DPF) und UK-Erweiterung — sofern das empfangende Unternehmen selbstzertifiziert ist.
2. Standardvertragsklauseln (SCC) — Durchführungsbeschluss (EU) 2021/914, Modul 2 (Verantwortlicher an Auftragsverarbeiter) oder Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter) für Übermittlungen, auf die der DPF nicht anwendbar ist, oder als zusätzliche Sicherung.
3. UK International Data Transfer Addendum und vom schweizerischen Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten anerkannte Klauseln, soweit anwendbar.

Zusätzliche Maßnahmen: Wir verlangen Verschlüsselung während der Übertragung (TLS 1.3, wo vom Client unterstützt, TLS 1.2 als Mindeststandard) und Verschlüsselung gespeicherter personenbezogener Daten; wir beschränken den Zugriff durch rollenbasierte Mindestberechtigungen und führen ein Audit-Log für administrative Zugriffe.

Sie können eine Kopie der für Ihre Daten geltenden SCC per E-Mail an support@rosteraid.com anfordern. Geschäftlich vertrauliche Inhalte können wir schwärzen, die Datenschutzklauseln stellen wir jedoch vollständig zur Verfügung.

9. Wie lange wir Ihre Daten aufbewahren (Speicherdauer)

Wir bewahren personenbezogene Daten nur so lange auf, wie es für die in Abschnitt 6 genannten Zwecke erforderlich oder gesetzlich vorgeschrieben ist.

Wenn Sie Ihr Löschrecht ausüben (Abschnitt 10, Punkt 3), kommen wir dem innerhalb von 30 Tagen nach, sofern wir nicht aus rechtlichen Gründen bestimmte Unterlagen aufbewahren müssen (in diesem Fall teilen wir Ihnen mit, welche und warum).

10. Ihre Rechte

Wenn die DSGVO oder das UK GDPR auf Sie anwendbar ist, stehen Ihnen folgende Rechte zu. Sie können sie per E-Mail an support@rosteraid.com ausüben. Wir antworten innerhalb eines Monats (bei komplexen Anfragen mit Hinweis um zwei weitere Monate verlängerbar).

1. Auskunft (Art. 15) — Sie erhalten eine Kopie der bei uns über Sie gespeicherten personenbezogenen Daten.
2. Berichtigung (Art. 16) — unrichtige oder unvollständige Daten korrigieren.
3. Löschung / „Recht auf Vergessenwerden“ (Art. 17) — Ihre Daten löschen lassen, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
4. Einschränkung der Verarbeitung (Art. 18) — die Nutzung Ihrer Daten während einer Klärung aussetzen.
5. Datenübertragbarkeit (Art. 20) — Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten. Bis unsere integrierte Exportfunktion verfügbar ist, stellen wir den Export auf Anfrage innerhalb von 30 Tagen manuell bereit.
6. Widerspruch (Art. 21) — gegen Verarbeitung auf Grundlage berechtigten Interesses (Abschnitt 6) oder Direktwerbung (wir stoppen sofort).
7. Widerruf der Einwilligung (Art. 7 Abs. 3) — für einwilligungsbasierte Verarbeitungen (z. B. Marketing, Analyse-Cookies). Der Widerruf berührt nicht die Rechtmäßigkeit der vorher erfolgten Verarbeitung.
8. Recht, keiner ausschließlich automatisierten Entscheidung mit rechtlicher oder ähnlich erheblicher Auswirkung unterworfen zu werden (Art. 22) — siehe Abschnitt 12.

Wir berechnen für diese Anfragen keine Gebühren, es sei denn, sie sind offensichtlich unbegründet oder exzessiv (in diesem Fall informieren wir Sie vorab).

Wenn Sie Einwohnerin oder Einwohner Kaliforniens sind, siehe den CCPA/CPRA-Anhang in Abschnitt 18.

11. Recht auf Beschwerde bei einer Aufsichtsbehörde

Wenn Sie der Auffassung sind, dass wir Ihre personenbezogenen Daten unsachgemäß behandelt haben, können Sie Beschwerde bei einer Aufsichtsbehörde einreichen.

• EU/EWR-Nutzer — Ihre örtliche Datenschutzbehörde. Eine aktuelle Liste führt der Europäische Datenschutzausschuss unter edpb.europa.eu. In Deutschland ist die jeweils zuständige Landesdatenschutzbehörde oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zuständig.
• UK-Nutzer — das Information Commissioner's Office (ICO) unter ico.org.uk.
• Schweizer Nutzer — der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDOEB) unter edoeb.admin.ch.

Wir würden uns freuen, wenn Sie uns zuerst die Gelegenheit gäben — schreiben Sie an support@rosteraid.com, bevor Sie Beschwerde einreichen —, dies ist jedoch Ihre freie Entscheidung und keine Voraussetzung.

12. Automatisierte Entscheidungsfindung und Profiling

Wir treffen keine Entscheidungen, die Ihnen gegenüber rechtliche oder ähnlich erhebliche Wirkung entfalten, ausschließlich auf Grundlage automatisierter Verarbeitung im Sinne des Art. 22 DSGVO.

Einige Funktionen wirken automatisiert — etwa Anwesenheitsüberträge, Erinnerungsbenachrichtigungen oder die Erstellung wiederkehrender Sitzungen. Dies sind Komforthilfen, die Sie steuern und jederzeit manuell überschreiben oder deaktivieren können. Sie bewerten, profilen oder reihen Sie nicht.

Wir nutzen Ihre Daten nicht zum Trainieren von Machine-Learning-Modellen Dritter und verkaufen sie nicht an Datenhändler.

13. Daten Minderjähriger

RosterAid richtet sich an Erwachsene ab 18 Jahren (der Coach/die Lehrkraft/der Trainer/die Instruktorin, der/die das Konto erstellt — siehe unsere Nutzungsbedingungen). Die von Ihnen eingegebenen Kundinnen und Kunden können Minderjährige umfassen (und im Bildungskontext Schülerinnen und Schüler).

13.1 Minderjährige, die RosterAid direkt nutzen

Wir erstellen wissentlich keine Konten für Minderjährige. Das Mindestalter für ein RosterAid-Konto beträgt 18 Jahre. Wenn wir feststellen, dass wir ein Konto für ein Kind erstellt haben, löschen wir es.

Art. 8 DSGVO legt ein digitales Einwilligungsalter von 16 Jahren als Grundregel fest, das die Mitgliedstaaten auf bis zu 13 Jahre absenken können (z. B. Frankreich: 15; Spanien: 14; Portugal: 13). Deutschland wendet das DSGVO-Standardalter von 16 Jahren an. Wo das nationale Recht ein niedrigeres Alter festlegt, gilt dieses.

Für US-Nutzer: Der Children's Online Privacy Protection Act (COPPA, 15 USC §6501 ff.) verbietet die Erhebung personenbezogener Daten von Kindern unter 13 Jahren ohne nachweisbare Einwilligung der Eltern. RosterAid erhebt wissentlich keine Daten direkt von Minderjährigen unter 18 Jahren. Wenn ein Coach Daten über einen in den USA wohnhaften Minderjährigen unter 13 Jahren in den Dienst eingibt, ist er für die nach COPPA erforderliche elterliche Einwilligung verantwortlich.

13.2 Zusätzliche Regeln bei minderjährigen Kundinnen und Kunden

Die gemeinsame Verantwortlichkeit aus Abschnitt 14 gilt für alle Kundinnen und Kunden, die ein Coach in den Dienst einträgt — volljährig oder minderjährig. Die in Abschnitt 14 festgelegte Mitteilung nach Art. 14 gilt auch für Minderjährige. Folgende zusätzliche Regeln gelten speziell bei minderjährigen Kundinnen und Kunden:

• Zusicherung der Eltern-/Vormundeinwilligung. Bevor Daten Minderjähriger in RosterAid eingegeben werden, muss der Coach die Einwilligung der Eltern oder eines Vormunds eingeholt haben (oder eine andere gültige Rechtsgrundlage nach örtlichem Recht). Diese Zusicherung wird in unseren Nutzungsbedingungen wiederholt.
• Rechte von Eltern und Vormündern — wen kontaktieren. Eltern und Vormünder können RosterAid (support@rosteraid.com) oder den Coach kontaktieren, um Rechte der betroffenen Person im Namen des Minderjährigen ausüben zu lassen. Mit angemessenem Nachweis der Identität und der Beziehung handelt RosterAid eigenständig, sofern die Anfrage die technische Verarbeitung betrifft (z. B. Löschung aus unseren Systemen, Export, Einschränkung). Bei Anfragen zum Inhalt der Liste (z. B. ob das Kind im Kurs geführt werden soll) stimmen wir uns mit dem Coach ab. Wir antworten innerhalb eines Monats nach Eingang einer wirksamen Anfrage.

13.3 Besondere Kategorien (Art. 9)

Wir verarbeiten wissentlich keine besonderen Kategorien personenbezogener Daten (Gesundheit, Religion, ethnische Herkunft und weitere in Art. 9 DSGVO genannte Kategorien). Wenn Sie solche Informationen in Freitextfeldern eingeben (z. B. einen medizinischen Hinweis in einem Sitzungskommentar), müssen Sie hierfür eine wirksame Grundlage nach Art. 9 Abs. 2 haben — in der Regel die ausdrückliche Einwilligung der betroffenen Person (bzw. der Eltern/des Vormunds bei Minderjährigen). Wir behandeln solche Daten mit denselben Sicherheitsmaßnahmen wie alle anderen, raten Ihnen aber dringend, keine besonderen Datenkategorien im Dienst zu erfassen.

14. Gemeinsame Verantwortlichkeit mit Coaches: wer wofür verantwortlich ist

Wenn Sie RosterAid nutzen, um Informationen über andere Personen zu verwalten — Ihre Kundinnen und Kunden, ob volljährig oder minderjährig —, sind Sie und RosterAid gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO für diese Daten. Wir teilen die Verantwortung — allerdings nicht symmetrisch. Der „Kern“ der Vereinbarung nach Art. 26 Abs. 1 ist:

• Der Coach entscheidet, wer erfasst wird, welche Daten erfasst werden und warum (die Zwecke der Verarbeitung).
• RosterAid entscheidet, wo die Daten gespeichert werden, wie lange sie aufbewahrt werden, welche Sicherheitsmaßnahmen sie schützen und welche Unterauftragsverarbeiter sie verarbeiten (die Mittel der Verarbeitung).
• Jede Partei kann eine Anfrage zur Ausübung von Betroffenenrechten entgegennehmen und bearbeiten und stimmt sich mit der anderen ab, wenn die Anfrage die jeweiligen Verantwortungsbereiche überschneidet.

Mitteilung nach Art. 14. Da uns Kunden- und Klientendaten über einen Coach und nicht direkt von der betroffenen Person erreichen, müssen wir die betroffene Person nach Art. 14 DSGVO über die Verarbeitung informieren. Diese Datenschutzerklärung dient als Mitteilung nach Art. 14 für jede Kundin und jeden Kunden, die ein Coach in den Dienst einträgt — volljährig oder minderjährig. Sind Sie eine Kundin oder ein Kunde (oder, bei Minderjährigen, ein Erziehungsberechtigter) und wünschen Sie eine Kopie dieser Mitteilung in Ihrer Sprache oder Auskunft darüber, welcher Coach Ihre Daten eingegeben hat, schreiben Sie an support@rosteraid.com.

Im Detail:

Sie (der Coach) sind verantwortlich für:

1. Eine Rechtsgrundlage zu haben (in der Regel die Einwilligung der Eltern/des Vormunds oder eine andere Grundlage nach örtlichem Recht), bevor Sie eine Person in RosterAid eingeben.
2. Die betroffene Person (bzw. deren Eltern/Vormund) darüber zu informieren, dass Sie RosterAid nutzen und ihre Informationen eingegeben haben.
3. Die Richtigkeit und Rechtmäßigkeit der Inhalte der erstellten Datensätze.
4. Auf Betroffenenanfragen zu antworten, die den Inhalt Ihrer Liste betreffen (z. B. „sollte diese Person überhaupt in Ihrer Liste stehen?“ oder „warum ist diese Kundin noch aktiv?“).
5. Ihre Kontodaten vertraulich zu halten.

Wir (RosterAid) sind verantwortlich für:

1. Die technische und organisatorische Sicherheit der Daten (Abschnitt 15).
2. Wo die Daten gespeichert sind, wie lange sie aufbewahrt werden und welche Unterauftragsverarbeiter sie verarbeiten (Abschnitte 7 und 9).
3. Betroffenenanfragen zur technischen Verarbeitung der Daten bearbeiten (z. B. Löschung aus unseren Systemen, Export, Einschränkung).
4. Meldungen von Verletzungen nach Art. 33 und 34 (Abschnitt 16).
5. Diese Datenschutzerklärung als Mitteilung nach Art. 14 für betroffene Personen verfügbar zu machen.

Jede Partei kann eine Anfrage einer betroffenen Person (bzw. der Eltern/des Vormunds) entgegennehmen und bearbeiten. Wir stimmen uns nach Treu und Glauben miteinander ab. Betroffene können uns jederzeit kontaktieren — siehe Abschnitt 21 für unseren Kontakt — und Ihren Coach für inhaltliche Fragen.

Wir unterstützen Sie in angemessener Weise bei der Erfüllung Ihrer Verantwortlichkeiten nach diesem Abschnitt.

15. Sicherheitsmaßnahmen (Art. 32)

Wir setzen technische und organisatorische Maßnahmen ein, die dem Risiko angemessen sind, insbesondere:

• TLS 1.3 wo vom Client unterstützt, mindestens TLS 1.2 für alle Daten in der Übertragung (Web, App, API).
• Verschlüsselung im Ruhezustand für unsere verwaltete PostgreSQL-Datenbank (bereitgestellt von Supabase / AWS) und für sensible Zugangsdaten auf dem mobilen Gerät (AES-verschlüsselter sicherer Speicher über Capacitor Preferences).
• Rollenbasierte Zugriffskontrolle mit Mindestberechtigungen als Standard.
• Audit-Protokolle für administrative Datenbankzugriffe.
• Anmeldesperren und Ratenbegrenzungen zur Abwehr von Credential-Stuffing.
• Gesalzenes Passwort-Hashing (wir speichern Ihr Passwort niemals im Klartext).
• Regelmäßige automatische Backups mit der in Abschnitt 9 genannten Aufbewahrungsdauer.
• Prüfung der Auftragnehmer einschließlich unterzeichneten Auftragsverarbeitungsvertrags.
• Jährliche Überprüfung unserer Sicherheitspraxis.

Wir behaupten nicht, unverwundbar zu sein. Kein Internetdienst ist das. Wir verpflichten uns, Sie zeitnah zu informieren, wenn etwas schiefgeht — siehe Abschnitt 16.

16. Meldung von Datenschutzverletzungen (Art. 33 und 34)

Tritt eine Verletzung personenbezogener Daten ein, die voraussichtlich ein Risiko für Ihre Rechte und Freiheiten darstellt:

• Wir benachrichtigen die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntniserlangung gemäß Art. 33.
• Wir benachrichtigen betroffene Nutzerinnen und Nutzer unverzüglich und in klarer Sprache, wenn die Verletzung voraussichtlich ein hohes Risiko darstellt (Art. 34), und beschreiben das Geschehen, betroffene Daten, wahrscheinliche Folgen und unsere Maßnahmen.

Wir dokumentieren jeden Vorfall, auch solche, die wir nicht melden mussten.

17. Anfragen von Behörden und Strafverfolgungsbehörden

Wir halten uns an das Gesetz, gewähren aber keinen Pauschalzugriff auf Nutzerdaten. Bei einer Anfrage einer öffentlichen Stelle:

1. Wir prüfen, dass die Anfrage ordnungsgemäß an uns gerichtet und in der zuständigen Jurisdiktion rechtlich gültig ist.
2. Wir widersetzen uns zu weit gefassten, vagen oder offenbar rechtsgrundlosen Anfragen.
3. Wir informieren die betroffene Person, soweit dies rechtlich zulässig ist.
4. Wir geben nur die ausdrücklich verlangten Daten heraus.
5. Wir führen ein internes Protokoll über jede Anfrage.

18. Kalifornische Einwohner — CCPA / CPRA-Anhang

Wenn Sie Einwohnerin oder Einwohner Kaliforniens sind, gewährt Ihnen der California Consumer Privacy Act („CCPA“) in der Fassung des California Privacy Rights Act („CPRA“) zusätzlich zu den oben genannten folgende Rechte:

• Recht auf Information darüber, welche personenbezogenen Daten wir über Sie erhoben haben, die Quellen, die Zwecke und die Kategorien Dritter, mit denen wir sie geteilt haben.
• Löschungsrecht für personenbezogene Daten, die wir über Sie speichern, vorbehaltlich gesetzlicher Ausnahmen.
• Berichtigungsrecht bei unrichtigen personenbezogenen Daten.
• Recht, dem Verkauf oder Teilen personenbezogener Daten zu widersprechen.
• Recht, die Nutzung sensibler personenbezogener Daten einzuschränken.
• Recht auf Nichtdiskriminierung bei der Ausübung dieser Rechte.

Wir verkaufen keine personenbezogenen Daten und teilen sie nicht für kontextübergreifende verhaltensbasierte Werbung im Sinne des kalifornischen Rechts.

Sie können diese Rechte per E-Mail an support@rosteraid.com ausüben. Wir müssen Ihre Identität möglicherweise prüfen, indem wir die Anfrage mit den bereits in Ihrem Konto vorhandenen Informationen abgleichen. Ein bevollmächtigter Vertreter kann mit entsprechendem Nachweis in Ihrem Namen eine Anfrage stellen.

19. Cookies und ähnliche Technologien (Marketingseite)

Die Marketingseite unter rosteraid.com verwendet eine kleine Zahl von Cookies und ähnlichen Technologien. Wir gruppieren sie in drei Kategorien:

1. Unbedingt erforderlich — notwendig für den Betrieb der Seite. Erfordern keine Einwilligung.
2. Analytisch — Google Analytics 4. Nur zum Zählen und Verstehen von Besuchen. Wird nur nach Ihrer Einwilligung über das Cookie-Banner aktiviert. Wenn Sie das Banner ablehnen oder schließen, werden keine Analyse-Cookies gesetzt.
3. Präferenzen — z. B. zum Speichern Ihrer Cookie-Auswahl und Sprache.

Sie können Ihre Einwilligung jederzeit über „Cookie-Einstellungen“ im Seitenfuß ändern oder widerrufen.

Die mobile App verwendet keine Drittanbieter-Cookies und enthält keine Werbe- oder appübergreifenden Tracking-SDKs.

20. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Erklärung, wenn sich unsere Praktiken, das Recht oder unsere Liste der Unterauftragsverarbeiter ändern.

• Für wesentliche Änderungen (neue Datenkategorien, neue Zwecke, neue Unterauftragsverarbeiter mit erheblichem Einfluss) informieren wir Sie mindestens 30 Tage im Voraus per E-Mail und/oder durch deutlich sichtbaren Hinweis in der App; war die Einwilligung Grundlage der Verarbeitung, holen wir sie erneut ein.
• Für geringfügige Klarstellungen (Tippfehler, Formatierung, Kontaktdaten) aktualisieren wir Versionsnummer und Gültigkeitsdatum ohne gesonderte Mitteilung.

Jede veröffentlichte Version ist durch ein Gültigkeitsdatum und eine Versionsnummer am Beginn dieses Dokuments gekennzeichnet. Frühere Versionen sind auf Anfrage unter support@rosteraid.com erhältlich.

21. Wie Sie uns erreichen

Für alle Datenschutzfragen, -anfragen oder -beschwerden:

• E-Mail: support@rosteraid.com
• Postanschrift: TGS Enterprise — San Diego, Kalifornien, USA
• EU-Vertreter: siehe Abschnitt 3
• UK Information Commissioner's Office: ico.org.uk
• Europäischer Datenschutzausschuss (Verzeichnis der EU-DPAs): edpb.europa.eu

Wir bemühen uns, allgemeine Anfragen innerhalb von 7 Tagen und formelle Betroffenenanfragen innerhalb der gesetzlichen Frist von einem Monat zu beantworten.