Datenschutzerklärung

---

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO):

Lennart Albrecht
Snitgerstieg 9
22111 Hamburg
Deutschland
E-Mail: moin@lennartalbrecht.de

---

2. Art der verarbeiteten Daten

Bei der Registrierung

• E-Mail-Adresse — zur Authentifizierung, Kontoanmeldung und E-Mail-Bestätigung
• Anzeigename — zur Identifikation in der Community
• Stadt — zur Berechnung von Entfernungen zu Stadien

Freiwillige Angaben im Profil

• Profilbild — hochgeladenes Bild zur Darstellung in der Community
• Straße, PLZ, Land — zur genaueren Standortbestimmung
• Lieblingsmannschaft — zur personalisierten Darstellung
• Bio — persönliche Beschreibung (max. 500 Zeichen)
• Sichtbarkeitseinstellung — ob dein Profil öffentlich oder privat ist

Automatisch berechnete Daten

• Standortkoordinaten (Breitengrad/Längengrad) — werden serverseitig aus der eingegebenen Adresse berechnet, um Entfernungen zu Stadien anzuzeigen

Nutzungsdaten

• Spielteilnahmen — welche Spiele du besucht hast
• Trikotsammlung — Details zu deinen Trikots (Mannschaft, Saison, Typ, Größe, Zustand, Besonderheit, ggf. Kaufpreis, Kaufdatum, Bild, Notizen)
• Gruppenmitgliedschaften — in welchen Gruppen du Mitglied bist, inkl. Rolle (Mitglied/Admin)
• Gruppenbeiträge — von dir verfasste Nachrichten in Gruppen
• Freundschaftsverbindungen — dein Netzwerk innerhalb der Plattform
• Benachrichtigungen — Systembenachrichtigungen über Gruppenaktivitäten und Freundschaftsanfragen

Kurvenbörse (Marktplatz)

• Inserate — Typ (Verkauf/Tausch), Preis, Anzahl, Sitzplatzinformationen (Tribüne, Block, Reihe, Sitzplatz), Freitextbeschreibung
• Spielbezug — Verknüpfung des Inserats mit einem Spiel (Datum, Mannschaften, Stadion)
• Kommentare — von dir verfasste Kommentare zu Inseraten anderer Nutzer*innen
• Statusverlauf — Änderungen des Inseratstatus (Aktiv, Reserviert, Verkauft)
• Regelzustimmung — Zeitpunkt der Zustimmung zu den Kurvenbörse-Regeln
• Benachrichtigungen — Benachrichtigungen über neue Kommentare zu deinen Inseraten oder Inseraten, die du kommentiert hast

Hochgeladene Dateien

• Bilder (Profilbild, Gruppenlogo, Trikotbilder) — werden vor dem Upload clientseitig komprimiert (max. 1200px Breite, WebP-Format) und serverseitig nochmals optimiert. Die Bilder werden in Supabase Storage gespeichert.

Technische Daten

• IP-Adresse — bei jedem Seitenaufruf (Serverlogfiles)
• Browserinformationen — User-Agent, Bildschirmauflösung (über Vercel Speed Insights)
• Performance-Metriken — Core Web Vitals (LCP, FID, CLS, TTFB, INP) über Vercel Speed Insights
• Session-Cookies — zur Aufrechterhaltung der Anmeldesitzung

---

3. Zweck der Verarbeitung

Die Daten werden ausschließlich für folgende Zwecke verarbeitet:

• Bereitstellung der Plattform — Anmeldung, Profildarstellung, Community-Funktionen (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung)

• Entfernungsberechnung — Berechnung der Distanz zwischen deinem Standort und Stadien (Art. 6 Abs. 1 lit. b DSGVO)

• Community-Funktionen — Gruppen, Freundschaften, Nachrichten (Art. 6 Abs. 1 lit. b DSGVO)

• Statistiken — persönliche Übersichten zu Spielen, Stadien und Reisekilometern (Art. 6 Abs. 1 lit. b DSGVO)

• Technische Performance-Messung — Optimierung der Ladezeiten und Nutzererfahrung über Vercel Speed Insights (Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse)

• Systemsicherheit — Schutz vor Missbrauch und Sicherstellung der Verfügbarkeit (Art. 6 Abs. 1 lit. f DSGVO)

• Kurvenbörse — Bereitstellung des internen Marktplatzes zum Tauschen und Weitergeben von Tickets innerhalb der Fanszene. Die Regelzustimmung wird gespeichert, um sicherzustellen, dass alle Nutzer*innen die Kurvenbörse-Regeln akzeptiert haben. Inserate sind nur für Mitglieder derselben Kurve sichtbar. (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung)

Es erfolgt keine Nutzung der Daten zu Werbezwecken. Es findet kein Profiling und keine automatisierte Entscheidungsfindung statt.

---

4. Eingesetzte Dienste und Drittanbieter

Vercel (Hosting)

Die Plattform wird auf Servern von Vercel Inc. (USA) gehostet. Bei jedem Seitenaufruf wird deine IP-Adresse an Vercel übermittelt. Datenschutzhinweise: https://vercel.com/legal/privacy-policy

Vercel Speed Insights (Performance-Messung)

Zur Messung der technischen Performance nutzen wir Vercel Speed Insights. Dabei werden anonymisierte Performance-Metriken (Core Web Vitals), die aufgerufene Seiten-URL sowie grundlegende Geräteinformationen an Vercel übermittelt.

Es erfolgt kein Verhaltens-Tracking, keine Profilbildung und es werden keine Cookies gesetzt.

Datenschutzhinweise: https://vercel.com/legal/privacy-policy

Supabase (Authentifizierung, Datenbank & Speicher)

Für Authentifizierung, Datenbank und Dateispeicherung nutzen wir Supabase (Supabase, Inc., USA).

Gespeichert werden:

• E-Mail-Adresse
• Authentifizierungsdaten
• sämtliche Plattformdaten

Hochgeladene Bilder werden in Supabase Storage als öffentlich zugängliche Dateien gespeichert. Die Datenbank und der Speicher werden auf Servern von Amazon Web Services (AWS) in der EU gehostet.

Datenschutzhinweise: https://supabase.com/privacy

Backblaze B2 (Cloud-Backup)

Zur Datensicherung werden regelmäßig automatisierte Backups der Datenbank und der hochgeladenen Dateien erstellt und verschlüsselt an Backblaze B2 (Backblaze, Inc., USA) übertragen.

Gesichert werden:

• Sämtliche Datenbankeinträge (Profile, Spiele, Gruppen, Trikots etc.)
• Hochgeladene Bilder (Profilbilder, Gruppenlogos, Trikotbilder)

Die Übertragung erfolgt über HTTPS mit SHA1-Integritätsprüfung. Backups werden nach 14 Tagen automatisch gelöscht.

Der Zugriff ist ausschließlich dem Verantwortlichen vorbehalten und dient der Wiederherstellung im Fehlerfall.

Datenschutzhinweise: https://www.backblaze.com/company/privacy

OpenStreetMap Nominatim (Geokodierung)

Zur Umwandlung deiner Adresse in Koordinaten wird die Nominatim-API der OpenStreetMap Foundation genutzt. Die Abfrage erfolgt serverseitig. Es wird lediglich die Adresse übertragen, nicht deine IP-Adresse. User-Agent: „CurvaOS/1.0".

Datenschutzhinweise: https://osmfoundation.org/wiki/Privacy_Policy

OpenStreetMap Kartenkacheln

Für die Kartenansicht werden Kartenkacheln vom deutschen OpenStreetMap-Tileserver (tile.openstreetmap.de) geladen. Beim Laden der Karten werden IP-Adressen an die Server der OSM Foundation übertragen.

Datenschutzhinweise: https://osmfoundation.org/wiki/Privacy_Policy

GitHub (Fehlermeldungen)

Bei Nutzung der Bug-Report-Funktion wird ein Issue über die GitHub API erstellt. Übermittelt werden dein Anzeigename sowie der Inhalt der Meldung.

Datenschutzhinweise: https://docs.github.com/de/site-policy/privacy-policies/github-general-privacy-statement

Google Fonts

Die Schriftarten Geist und Geist Mono werden beim Build-Prozess heruntergeladen und selbst gehostet ausgeliefert. Es findet keine Verbindung zu Google-Servern statt.

---

5. Cookies

CurvaOS verwendet technisch notwendige Cookies sowie optionale Cookies, die nur mit deiner Zustimmung aktiviert werden. Beim ersten Besuch wird ein Cookie-Banner angezeigt, über den du deine Einstellungen festlegen kannst. Diese lassen sich jederzeit über die Cookie-Einstellungen im Footer ändern.

Technisch notwendige Cookies (immer aktiv)

• sb-*-auth-token Zweck: Supabase Session-Token (JWT) zur Aufrechterhaltung der Anmeldesitzung Speicherdauer: Bis zum Logout bzw. maximal 1 Stunde (automatische Erneuerung) Typ: Technisch notwendig

• sb-*-auth-token-code-verifier Zweck: PKCE-Verifikation bei E-Mail-Bestätigung Speicherdauer: Bis zur Bestätigung Typ: Technisch notwendig

• cookie-consent Zweck: Speicherung deiner Cookie-Einstellungen Speicherdauer: 1 Jahr Typ: Technisch notwendig

Optionale Cookies / externe Ressourcen (nur mit Zustimmung)

• Karten (OpenStreetMap) Lädt Kartenkacheln von tile.openstreetmap.de. Dabei wird deine IP-Adresse an externe Server übermittelt. Ohne Zustimmung wird die Karte nicht geladen.

• Analyse (Vercel Speed Insights) Anonyme Performance-Statistiken (Core Web Vitals). Keine personenbezogenen Daten, keine Cookies. Ohne Zustimmung wird das Script nicht geladen.

Es werden keine Tracking-Cookies, Werbe-Cookies oder Cookies von Drittanbietern gesetzt.

---

6. Datenübermittlung in Drittländer

Dienste mit Sitz in den USA:

• Vercel
• Supabase (Firmensitz; Datenverarbeitung erfolgt in der EU)
• GitHub
• Backblaze

Die Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Frameworks (Art. 45 DSGVO) bzw. der Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

---

7. Speicherdauer

Die Daten werden gespeichert, solange dein Benutzerkonto besteht. Bei Löschung des Kontos werden sämtliche zugehörigen Daten unwiderruflich gelöscht.

Serverlogfiles (IP-Adressen) werden nach 30 Tagen automatisch gelöscht.

---

8. Betroffenenrechte

Du hast jederzeit das Recht auf:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO)

Zur Ausübung deiner Rechte: moin@lennartalbrecht.de

---

9. Beschwerderecht

Zuständige Aufsichtsbehörde:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Ludwig-Erhard-Str. 22, 7. OG 20459 Hamburg https://datenschutz-hamburg.de

---

10. Datensicherheit

• HTTPS/TLS-Verschlüsselung
• Supabase Auth mit PKCE
• Automatische Token-Rotation
• Serverseitige Validierung und Autorisierung
• Bildkomprimierung vor Speicherung

---

11. Minderjährige

CurvaOS richtet sich nicht gezielt an Personen unter 16 Jahren. Eine Nutzung unter 16 Jahren ist nur mit Zustimmung der Erziehungsberechtigten zulässig.

---

12. Änderungen

Diese Datenschutzerklärung kann aktualisiert werden. Die jeweils aktuelle Version ist auf dieser Seite abrufbar.

Bei wesentlichen Änderungen werden registrierte Nutzer*innen informiert.

Stand: März 2026