KundenportalDemo anfragen
TOMs · Version 1.0 · Stand: 09.05.2026

Schutzmaßnahmen für Vereinsdaten.

Technische und organisatorische Maßnahmen für Betrieb, Rollen, Mandantentrennung und Datenminimierung.

Zugriff, Zugang und Berechtigungen

  • Nutzerzugriff nur nach Einladung oder durch berechtigte Vereinsverwaltung.
  • Rollenbasierte Rechte für Vereinsadmin, Sportadmin, Trainer, Betreuer, Spieler, Eltern, Kassenwart und Mannschaftsrat.
  • Eltern sehen nur das verknüpfte Kind; Spieler sehen nur eigene Kassen-/Strafenstände.
  • Keine öffentlichen Spielerprofile.

Mandantentrennung und Vereinskontexte

  • Daten sind nach Verein, Sportart, Mannschaft und Rolle getrennt.
  • Entfernte Nutzer verlieren sofort den Zugriff auf den betroffenen Kontext.
  • Mehrfachkontexte bleiben separat erhalten.

Verschlüsselung und Betrieb

  • Übertragung erfolgt über HTTPS/TLS.
  • Supabase übernimmt Datenbank-, Auth- und Storage-Sicherheitsmechanismen.
  • Private Dateiablagen werden nicht öffentlich bereitgestellt und über zeitlich begrenzte Zugriffe angezeigt.
  • Kein GPS-Tracking, keine Standortfreigabe und keine Diagnosefelder.

Datenminimierung

  • Status "krank" oder "verletzt" nur ohne Diagnose und nur temporär.
  • Profilbilder freiwillig und nicht in PDF-Exporten.
  • Chatbilder werden nach 30 Tagen aus dem Chat-Speicher entfernt.
  • Trainer-Spieler-Eltern-Chats sind transparent für das Trainerteam und nicht verdeckte 1:1-DMs.

Adminzugriffsbeschränkung

Chats, Trainingsinhalte, Fotos oder Detailinhalte aus dem Vereinsalltag werden nicht regulär eingesehen und nur soweit technisch, administrativ, sicherheitsbezogen oder supportbedingt erforderlich verarbeitet. Administrative Zugriffe dienen Betrieb, Sicherheit, Support und Vertragsverwaltung.

Protokollierung, Backups und Löschung

Relevante Vertrags-, Billing- und Zustimmungsereignisse werden protokolliert. Systemweite Backups dienen ausschließlich der Wiederherstellung und Betriebssicherheit, können hierfür auch referenzierte Datei-Inhalte enthalten und werden für einen begrenzten technischen Zeitraum vorgehalten und anschließend automatisiert überschrieben oder gelöscht.

Dienstleisterkontrolle und Entwicklung

Unterauftragnehmer werden dokumentiert. Änderungen an sicherheitsrelevanten Funktionen erfolgen nachvollziehbar über Entwicklungs- und Deploymentprozesse.