Datenverarbeitungs- vereinbarung
Datenverarbeitungsvertrag (DVV) — Art. 28 DSGVO
Version 1.0 · Zuletzt aktualisiert: 7. März 2026
Diese Datenverarbeitungsvereinbarung (nachfolgend “DVV” oder “Vereinbarung”) regelt die Verarbeitung personenbezogener Daten durch Sphaira Tech im Auftrag der Sportvereine und Organisationen, die ihre Dienste in Anspruch nehmen, gemäß Artikel 28 der Verordnung (EU) 2016/679 (DSGVO) und den anwendbaren nationalen Datenschutzgesetzen.
Diese Vereinbarung ist automatisch in die Allgemeinen Geschäftsbedingungen von Sphaira Tech einbezogen und Bestandteil davon. Mit dem Abschluss oder der Nutzung der Dienste von Sphaira Tech akzeptiert der Verein die Bedingungen dieser DVV.
1. Vertragsparteien
1.1. Auftragsverarbeiter
- Bezeichnung: Sphaira Tech (Alejandro Espinosa López)
- Steuer-ID (NIF): 48649484E
- Adresse: Calle Federico García Lorca 3, 30009, Murcia, Spanien
- E-Mail: info@sphairatech.com
- DSGVO-Rolle: Auftragsverarbeiter (Art. 28 DSGVO)
1.2. Verantwortlicher
Der Sportverein, die Akademie, der Verband oder jede andere Einrichtung, die die Dienste von Sphaira Tech in Anspruch nimmt (nachfolgend “der Verein” oder “der Verantwortliche”), identifiziert durch die bei der Registrierung auf der Plattform angegebenen Daten.
- DSGVO-Rolle: Verantwortlicher (Art. 24 DSGVO)
2. Gegenstand, Art und Dauer
Sphaira Tech verarbeitet personenbezogene Daten im Auftrag des Vereins ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Sportverwaltungsdienste, die umfassen:
- Verwaltung von Spielern, Mannschaften, Trainern und Vereinspersonal
- Verwaltung sportlicher und medizinischer Dokumentation
- Verwaltung von Zahlungen, Mitgliedsbeiträgen und Rechnungsstellung
- Vereinsinterne Kommunikation (Push-Benachrichtigungen, Nachrichten)
- Trainingsplanung, Kaderaufstellungen und Kalender
- Statistikanalyse und sportliche Leistungserfassung
- Speicherung und Analyse von Sportvideo
- Funktionen der Künstlichen Intelligenz (Taktikanalyse, Berichte)
- Scouting und Spielerbewertung
Diese Vereinbarung gilt für die gesamte Dauer der Vertragsbeziehung zwischen dem Verein und Sphaira Tech und endet mit deren Beendigung, vorbehaltlich der in Klausel 10 vorgesehenen Pflichten zur Rückgabe oder Löschung der Daten.
3. Kategorien personenbezogener Daten und betroffener Personen
| Kategorie betroffener Personen | Arten der verarbeiteten Daten |
|---|---|
| Erwachsene Spieler (≥18 Jahre) | Name, Vorname, Geburtsdatum, E-Mail, Telefon, Adresse, Ausweisnummer, Profilfoto, Sportdaten (Position, Trikotnummer, Mannschaft), Leistungsstatistiken, Anwesenheit, Gesundheitsdaten (Verletzungen, Vorsorgeuntersuchungen), Rechnungsdaten |
| Minderjährige Spieler (<18 Jahre) | Name, Vorname, Geburtsdatum, Foto, Sportdaten, sportliche Gesundheitsdaten, Daten des gesetzlichen Vertreters. Ausschließlich über gesetzliche Vertreter verarbeitet |
| Trainer und technisches Personal | Name, Vorname, E-Mail, Telefon, Foto, Zugangsdaten, Rolle im Verein, Aktivitätsverlauf auf der Plattform |
| Eltern / gesetzliche Vertreter | Name, Vorname, E-Mail, Telefon, Verhältnis zum Minderjährigen, Zahlungsdaten (verarbeitet durch Stripe) |
| Vereinsadministratoren | Name, Vorname, E-Mail, Telefon, Rolle, Zugangsdaten, Verlauf der administrativen Aktivitäten |
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): Sphaira Tech kann im Auftrag des Vereins Gesundheitsdaten (Verletzungen, Untersuchungen, Allergien) verarbeiten, sofern der Verein die ausdrückliche Einwilligung der betroffenen Person oder ihres gesetzlichen Vertreters eingeholt hat (Art. 9 Abs. 2 lit. a DSGVO).
4. Weisungen des Verantwortlichen
Sphaira Tech verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Vereins und verwendet diese nicht für eigene Zwecke, die über die vertraglich vereinbarten Dienste hinausgehen, es sei denn, es besteht eine gesetzliche Verpflichtung.
Die Weisungen des Vereins erfolgen über:
- Die vom Vereinsadministrator vorgenommene Konfiguration der Plattform
- Vom Verein in seinem Administrationspanel aktivierte oder deaktivierte Funktionen
- Schriftliche Mitteilungen an info@sphairatech.com
Ist Sphaira Tech der Auffassung, dass eine Weisung des Vereins gegen die DSGVO oder sonstiges anwendbares Recht verstößt, wird sie den Verein unverzüglich darüber informieren.
5. Pflichten von Sphaira Tech als Auftragsverarbeiter
Sphaira Tech verpflichtet sich zu:
5.1. Vertraulichkeit
- Sicherzustellen, dass zur Verarbeitung personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
- Die Daten des Vereins nicht ohne Weisung oder Genehmigung des Verantwortlichen an Dritte weiterzugeben, außer wenn dies gesetzlich vorgeschrieben ist.
5.2. Technische und organisatorische Sicherheitsmaßnahmen
Geeignete Sicherheitsmaßnahmen gemäß Art. 32 DSGVO umzusetzen, einschließlich der in der Datenschutzerklärung — Abschnitt 10 beschriebenen:
- Verschlüsselung bei der Übertragung (HTTPS/TLS) und im Ruhezustand (AES-256)
- Sichere Authentifizierung mit bcrypt-Hashing und JWT-Tokens
- Rollenbasierte Zugriffskontrolle (RBAC)
- Tokenisierung von Zahlungsdaten (PCI-DSS Level 1 über Stripe)
- Biometrische Daten ausschließlich auf dem Gerät des Nutzers gespeichert
5.3. Unterstützung bei der Wahrnehmung von Betroffenenrechten
Den Verein durch geeignete technische und organisatorische Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Ausübung der Rechte betroffener Personen nachzukommen (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Einschränkung, Widerspruch).
Richtet sich eine betroffene Person direkt an Sphaira Tech, leiten wir den Antrag unverzüglich an den Verein weiter.
5.4. Unterstützung bei Sicherheitspflichten
Den Verein bei der Einhaltung folgender Pflichten zu unterstützen:
- Sicherheit der Verarbeitung (Art. 32 DSGVO)
- Meldung von Datenschutzverletzungen an die Aufsichtsbehörde (Art. 33 DSGVO)
- Benachrichtigung betroffener Personen bei Datenschutzverletzungen (Art. 34 DSGVO)
- Durchführung von Datenschutz-Folgenabschätzungen (DSFA) soweit erforderlich (Art. 35 DSGVO)
5.5. Meldung von Datenschutzverletzungen
Sphaira Tech wird dem Verein unverzüglich und in jedem Fall innerhalb von maximal 72 Stunden nach Bekanntwerden jede Verletzung des Schutzes personenbezogener Daten des Vereins melden, gemäß Art. 33 DSGVO.
Die Meldung erfolgt an die E-Mail-Adresse des auf der Plattform registrierten Vereinsadministrators und enthält mindestens: Beschreibung der Art der Verletzung, Kategorien und ungefähre Anzahl der betroffenen Personen, voraussichtliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen.
5.6. Bereitstellung von Informationen und Audits
Sphaira Tech stellt dem Verein alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in Art. 28 DSGVO festgelegten Pflichten nachzuweisen, und ermöglicht und unterstützt Audits und Inspektionen durch den Verein oder einen von ihm beauftragten Prüfer.
Auditanfragen müssen mit angemessener Vorankündigung (mindestens 30 Kalendertage) und schriftlich an info@sphairatech.com gestellt werden. Die mit Vor-Ort-Audits verbundenen Kosten trägt der Verein.
6. Pflichten des Vereins als Verantwortlicher
Der Verein als Verantwortlicher verpflichtet sich zu:
- Die informierte Einwilligung der betroffenen Personen (oder ihrer gesetzlichen Vertreter bei Minderjährigen) eingeholt zu haben, bevor ihre Daten in die Sphaira Tech-Plattform eingegeben werden.
- Die betroffenen Personen über die Verarbeitung ihrer Daten informiert zu haben, einschließlich der Identität und der Kontaktdaten von Sphaira Tech als Auftragsverarbeiter.
- Sicherzustellen, dass die an Sphaira Tech erteilten Weisungen zur Datenverarbeitung der DSGVO und sonstigem anwendbaren Recht entsprechen.
- Keine personenbezogenen Daten in die Plattform einzugeben, die für die Sportverwaltung des Vereins nicht unbedingt erforderlich sind.
- Sicherzustellen, dass nur autorisiertes Vereinspersonal auf die Plattform und die Daten der betroffenen Personen zugreift.
- Die Daten der betroffenen Personen aktuell zu halten und direkt erhaltene Anträge auf Ausübung von Rechten ordnungsgemäß zu bearbeiten.
- Sphaira Tech unverzüglich zu informieren, wenn ein Vorfall bekannt wird, der die Datensicherheit beeinträchtigen könnte.
7. Unterauftragnehmer
Der Verein ermächtigt Sphaira Tech, folgende Unterauftragnehmer für die Leistungserbringung einzusetzen. Sphaira Tech stellt sicher, dass diese Unterauftragnehmer ausreichende Garantien für die Einhaltung der DSGVO bieten und dass die mit ihnen geschlossenen Verträge dieselben Datenschutzpflichten enthalten:
| Unterauftragnehmer | Land / Sitz | Zweck | Übertragungsgarantie |
|---|---|---|---|
| Stripe, Inc. | USA | Zahlungsabwicklung und Beitragseinzug | EU-USA-Datenschutzrahmen (DPF) |
| Firebase / Google LLC | USA | Versand von Push-Benachrichtigungen | EU-USA-Datenschutzrahmen (DPF) |
| OpenAI, Inc. | USA | KI für Taktikanalyse und Berichte (pseudonymisierte Daten) | EU-USA-Datenschutzrahmen (DPF) + eigener DPA |
| Backblaze, Inc. | EU (eu-central) | Speicherung von Sportvideos | Daten in der EU gehostet |
| Google LLC (Gmail SMTP) | USA | Versand von Transaktions-E-Mails | EU-USA-Datenschutzrahmen (DPF) |
| Resend, Inc. | USA | Versand von Transaktions-E-Mails | EU-USA-Datenschutzrahmen (DPF) |
| Activa Network | Frankreich (EU) | Hosting der Hauptdatenbank | Daten in der EU gehostet (kein internationaler Transfer) |
Sphaira Tech informiert den Verein mindestens 30 Tage im Voraus über geplante Änderungen an Unterauftragnehmern. Der Verein kann diesen Änderungen widersprechen, indem er innerhalb von 15 Tagen nach der Benachrichtigung eine schriftliche Mitteilung an info@sphairatech.com sendet.
8. Internationale Datentransfers
Internationale Datentransfers, die von Sphaira Tech oder seinen Unterauftragnehmern durchgeführt werden, stützen sich auf:
- EU-USA-Datenschutzrahmen (DPF): von der Europäischen Kommission als angemessen anerkannt. Die Anbieter Stripe, Google, OpenAI und Resend sind nach diesem Rahmen zertifiziert.
- Standardvertragsklauseln (SCC): von der Europäischen Kommission genehmigt (Beschluss 2021/914) als zusätzliche oder alternative Garantie, soweit zutreffend.
- In der EU gehostete Daten: die Hauptdatenbank und Videos werden auf Servern in der Europäischen Union gehostet.
Für an OpenAI gesendete Daten wird eine automatische vorherige Pseudonymisierung angewendet: Namen von Spielern, Trainern, Mannschaften und Orten werden vor der Übermittlung durch Tokens ersetzt, um die Exposition identifizierbarer Daten zu minimieren.
9. Aufbewahrungsdauer der Daten
Sphaira Tech bewahrt die personenbezogenen Daten des Vereins nur so lange auf, wie es für die Erbringung der vertraglich vereinbarten Dienste unbedingt erforderlich ist. Die konkreten Fristen sind in der Datenschutzerklärung — Abschnitt 9 festgelegt.
In keinem Fall werden Daten über den gesetzlich zulässigen Höchstzeitraum für die jeweilige Datenkategorie hinaus aufbewahrt, es sei denn, der Verantwortliche erteilt eine ausdrückliche, rechtskonforme gegenteilige Weisung.
10. Rückgabe oder Löschung der Daten bei Vertragsende
Nach Beendigung der Vertragsbeziehung zwischen dem Verein und Sphaira Tech:
- Datenexport (bis zu 90 Tage nach Kündigung): Der Verein kann innerhalb von 90 Tagen nach Kündigung des Dienstes den Export aller seiner Daten im Standardformat (CSV, JSON oder PDF) beantragen, indem er eine Anfrage an info@sphairatech.com richtet.
- Endgültige Löschung: Nach Ablauf der Exportfrist (oder früher auf ausdrücklichen Wunsch des Vereins) löscht Sphaira Tech alle personenbezogenen Daten des Vereins dauerhaft und unwiederbringlich aus seinen Systemen, innerhalb von maximal 30 Tagen.
- Löschbestätigung: Sphaira Tech sendet dem Verein nach erfolgter Löschung eine schriftliche Bestätigung der vollständigen Datenlöschung.
- Aufbewahrung aufgrund gesetzlicher Pflicht: Daten, die aufgrund gesetzlicher Pflicht aufbewahrt werden müssen (z.B. Finanzdaten für 5 Jahre), werden nicht gelöscht, aber gesperrt und nicht für andere Zwecke verwendet.
11. Haftung
Sphaira Tech haftet dem Verein gegenüber für die Verletzung der in dieser DVV festgelegten Pflichten, die ihr unmittelbar zuzurechnen sind, zu den Bedingungen und innerhalb der Grenzen der Allgemeinen Geschäftsbedingungen — Abschnitt 10.
Der Verein haftet gegenüber betroffenen Personen und Aufsichtsbehörden für die Erfüllung seiner Pflichten als Verantwortlicher, einschließlich der Einholung wirksamer Einwilligungen und der ordnungsgemäßen Information der betroffenen Personen.
12. Anwendbares Recht und Streitbeilegung
Diese DVV unterliegt der Verordnung (EU) 2016/679 (DSGVO), dem spanischen Organgesetz 3/2018 (LOPDGDD), dem deutschen Bundesdatenschutzgesetz (BDSG) sowie dem sonstigen anwendbaren europäischen Datenschutzrecht.
Zur Beilegung von Streitigkeiten aus dieser Vereinbarung unterwerfen sich die Parteien der Zuständigkeit der Gerichte von Murcia, Spanien, unbeschadet der Zuständigkeit der Spanischen Datenschutzbehörde (AEPD) als Aufsichtsbehörde.
13. Kontakt
Bei Fragen zu dieser DVV oder zur Datenverarbeitung im Rahmen der Dienste von Sphaira Tech:
- E-Mail: info@sphairatech.com (Betreff: “DVV / Datenverarbeitungsvereinbarung”)
- Telefon/WhatsApp: +34 623 91 17 72
- Postanschrift: Calle Federico García Lorca 3, 30009, Murcia, Spanien
Diese Vereinbarung wurde zuletzt am 7. März 2026 aktualisiert (Version 1.0). Zu unseren anderen Richtlinien: