Rechtliches
Datenschutzerklärung
Stand: 29. April 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger datenschutzrechtlicher Bestimmungen ist:
- Unternehmen:
- Lukas List
- Adresse:
- Am alten Marktplatz 3, 35423 Lich, Deutschland
- E-Mail:
- privacy@courtly.social
- Website:
- https://courtly.social
Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich bitte an die oben genannte E-Mail-Adresse.
2. Erhobene Daten und Verarbeitungszwecke
2.1 Kontodaten (registrierte Nutzer)
Bei der Registrierung erheben wir: Name, E-Mail-Adresse sowie optional ein Profilbild. Passwörter werden ausschließlich als kryptografischer Hash (scrypt) gespeichert — nie im Klartext.
- Rechtsgrundlage:
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
- Speicherdauer:
- Bis zur Löschung des Kontos auf Anfrage
2.2 Buchungsdaten (Gäste ohne Konto)
Bei Gast-Buchungen erheben wir: Name, E-Mail-Adresse, Telefonnummer (optional) sowie Buchungsdetails (Datum, Uhrzeit, Court, Preis).
- Rechtsgrundlage:
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
- Speicherdauer:
- 90 Tage nach Buchungsdatum, anschließend Pseudonymisierung
2.3 Sitzungsdaten
Zur Absicherung des Logins speichern wir technisch notwendige Sitzungsinformationen inklusive IP-Adresse und Browser-Kennung (User-Agent). Das Session-Cookie läuft nach 7 Tagen ab; der Datenbankdatensatz wird anschließend im Rahmen einer täglichen automatisierten Bereinigung (spätestens 90 Tage nach Ablauf) endgültig gelöscht.
- Rechtsgrundlage:
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: IT-Sicherheit)
- Speicherdauer:
- Cookie: 7 Tage; Datenbankdatensatz: max. 90 Tage nach Ablauf der Sitzung
2.4 Zahlungsdaten
Zahlungen werden über Stripe abgewickelt. Wir speichern lediglich die Stripe-Kunden-ID und Buchungsstatus — keine Kreditkartendaten. Die vollständige Zahlungsabwicklung erfolgt durch Stripe.
- Rechtsgrundlage:
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
- Speicherdauer:
- 10 Jahre gemäß § 147 AO (steuerrechtliche Aufbewahrungspflicht)
2.5 Nutzungsanalytik (nur mit Einwilligung)
Nur wenn Sie die Analyse-Cookies akzeptieren, erfassen wir pseudonymisierte Nutzungsdaten (besuchte Seiten, Klicks, Gerätekategorie) zur Produktverbesserung via PostHog. Personenbezogene Daten (Name, E-Mail) werden nicht an PostHog übermittelt. Ereignisse werden mit Ihrer internen Nutzer-ID (einem zufällig generierten, nicht aus persönlichen Daten abgeleiteten Bezeichner) verknüpft. PostHog kann daraus keine Rückschlüsse auf Ihre Identität ziehen.
- Rechtsgrundlage:
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
- Widerruf:
- Jederzeit über die Cookie-Einstellungen (Banner unten rechts)
3. Cookies
Wir verwenden ausschließlich technisch notwendige Cookies für die Authentifizierung (Session-Cookie) sowie optionale Analyse-Cookies. Die Einwilligung wird in einem Cookie (courtly-cookie-consent, Laufzeit: 1 Jahr) gespeichert.
| Cookie | Zweck | Laufzeit | Kategorie |
|---|---|---|---|
| better-auth.session_token | Authentifizierung (Login-Sitzung) | Sitzung / 7 Tage | Notwendig |
| courtly-cookie-consent | Speicherung Ihrer Cookie-Präferenz | 1 Jahr | Notwendig |
| ph_* | PostHog Nutzungsanalytik (pseudonym) | 1 Jahr | Analyse (opt-in) |
| sentryReplaySession | Sentry Session Replay zur Fehlerdiagnose | Sitzung | Analyse (opt-in) |
Ihre Einwilligung zu optionalen Cookies können Sie jederzeit über den Cookie-Banner (unten rechts) widerrufen oder anpassen.
4. Weitergabe an Dritte
Wir geben Ihre Daten nur an Dritte weiter, soweit dies für die Vertragserfüllung notwendig ist oder Sie eingewilligt haben. Alle Auftragsverarbeiter sind durch Auftragsverarbeitungsverträge (AVV) gebunden.
4.1 PostHog (Nutzungsanalytik)
- Anbieter:
- PostHog Inc., 965 Mission St. Suite 550, San Francisco, CA 94103, USA
- Zweck:
- Pseudonymisierte Nutzungsanalyse
- Datenverarbeitung:
- Ausschließlich auf EU-Servern (Frankfurt, Deutschland)
- Übermitteltes:
- Pseudonyme Nutzer-ID (SHA-256-Hash), Seitenaufrufe, Events — keine E-Mail, kein Name
- Rechtsgrundlage:
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
- AVV:
- Abgeschlossen gemäß Art. 28 DSGVO
- Drittlandübermittlung:
- PostHog Inc. ist in den USA ansässig. Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Die Datenverarbeitung findet ausschließlich auf EU-Servern statt.
4.2 Stripe (Zahlungsabwicklung)
- Anbieter:
- Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland
- Zweck:
- Zahlungsabwicklung, Auszahlungen an Clubs (Stripe Connect)
- Übermitteltes:
- Name, E-Mail, Zahlungsinformationen für Transaktionen
- Rechtsgrundlage:
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
- AVV:
- Abgeschlossen gemäß Art. 28 DSGVO
- Datenschutz:
- stripe.com/de/privacy
Bei Buchungen über Stripe Connect erhalten die jeweiligen Club-Betreiber über ihr Stripe-Connect-Konto Zugriff auf transaktionsbezogene Daten (Name, E-Mail-Adresse, Buchungsbetrag). Der Club-Betreiber ist für diese Daten eigenverantwortlicher Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und unterliegt seinen eigenen datenschutzrechtlichen Pflichten gegenüber den Buchenden.
4.3 Resend (E-Mail-Versand)
- Anbieter:
- Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA
- Zweck:
- Transaktionale E-Mails (Buchungsbestätigung, Stornierung, Einladungen)
- Übermitteltes:
- E-Mail-Adresse, Name, buchungsrelevante Informationen
- Rechtsgrundlage:
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
- AVV:
- Abgeschlossen gemäß Art. 28 DSGVO
- Drittlandübermittlung:
- Resend, Inc. ist in den USA ansässig. Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
4.4 Sentry (Fehler- und Performance-Monitoring)
- Anbieter:
- Functional Software, Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA
- EU-Hosting:
- Datenverarbeitung erfolgt ausschließlich auf der EU-Region (ingest.de.sentry.io, Frankfurt am Main)
- Zweck:
- Diagnose von Anwendungsfehlern und Performance-Problemen zur Sicherstellung der IT-Sicherheit und Verfügbarkeit
- Übermitteltes:
- Stack-Traces, Fehlertypen, anonymisierte Nutzer-ID (kein Name, keine E-Mail), URL-Pfad ohne sensitive Query-Parameter, gekürzte Browser-/Server-Informationen
- Rechtsgrundlage:
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: IT-Sicherheit und Stabilität)
- Session Replay:
- Optional und nur mit Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sämtliche Texte und Medien werden vor der Übermittlung maskiert.
- AVV:
- Abgeschlossen gemäß Art. 28 DSGVO
- Drittlandübermittlung:
- Soweit konzerninterne Übermittlung an Sentry, Inc. (USA) erfolgt, geschieht dies auf Grundlage der EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Die Ingest-Server befinden sich in Deutschland.
4.5 Hosting-Infrastruktur
- Anbieter:
- netcup GmbH, Daimlerstraße 25, 76185 Karlsruhe, Deutschland
- Rechenzentrum:
- Rechenzentrum Deutschland (Nürnberg)
- Verarbeitetes:
- Alle Anwendungs- und Datenbankdaten
- Rechtsgrundlage:
- Art. 6 Abs. 1 lit. b, f DSGVO (Vertragserfüllung, berechtigtes Interesse)
- AVV:
- Abgeschlossen gemäß Art. 28 DSGVO
- Hinweis:
- Alle Daten verbleiben innerhalb der EU/des EWR.
5. Ihre Rechte als betroffene Person
Ihnen stehen gemäß DSGVO folgende Rechte zu. Zur Ausübung wenden Sie sich an die unter Punkt 1 genannte E-Mail-Adresse:
- Art. 15 – Auskunft:Sie können jederzeit Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
- Art. 16 – Berichtigung:Sie können unrichtige personenbezogene Daten berichtigen lassen.
- Art. 17 – Löschung:Sie können die Löschung Ihrer Daten verlangen ("Recht auf Vergessenwerden"). Wir löschen Ihr Konto sowie alle zugehörigen personenbezogenen Daten auf Anfrage — sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Art. 18 – Einschränkung:Sie können die Einschränkung der Verarbeitung verlangen.
- Art. 20 – Datenportabilität:Sie können Ihre Daten in einem maschinenlesbaren Format anfordern. Schreiben Sie uns zur Anforderung eines Datenexports.
- Art. 21 – Widerspruch:Sie können der Verarbeitung aufgrund berechtigter Interessen widersprechen.
- Art. 7 Abs. 3 – Widerruf:Erteilte Einwilligungen (z.B. Analyse-Cookies) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
Darüber hinaus haben Sie das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren.
6. Datensicherheit
Courtly setzt folgende technische und organisatorische Maßnahmen (TOM) ein:
- Verschlüsselte Übertragung via TLS 1.2+ (HTTPS)
- Passwort-Hashing mit scrypt (modernes, brute-force-resistentes Verfahren)
- Betrieb auf einem dedizierten Root-Server bei netcup GmbH, Rechenzentrum Nürnberg, Deutschland
- Datenbankzugriff ausschließlich über authentifizierte, verschlüsselte Verbindungen
- Rollenbasierte Zugriffskontrolle (nur autorisierte Club-Administratoren sehen Club-Daten)
- Regelmäßige automatisierte Sicherheitsupdates der Infrastruktur
7. Keine automatisierten Entscheidungen
Wir nutzen keine automatisierten Entscheidungsverfahren einschließlich Profiling im Sinne von Art. 22 DSGVO, die rechtliche oder ähnlich weitreichende Auswirkungen auf Personen haben.
8. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Dienste anzupassen. Die aktuelle Version ist stets unter courtly.social/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.
Stand: 29. April 2026 · Diese Datenschutzerklärung gilt für courtly.social und alle zugehörigen Subdomain-Dienste.