← Zurück zur Startseite

Datenschutzerklärung

Stand: Juli 2026

Mit dieser Datenschutzerklärung informieren wir Sie über die Verarbeitung personenbezogener Daten bei der Nutzung unserer Plattform FreizeitHeld (erreichbar unter freizeit-held.de und den zugehörigen Organisations-Subdomains). Personenbezogene Daten sind alle Daten, die auf eine identifizierte oder identifizierbare Person beziehbar sind (Art. 4 Nr. 1 DSGVO).

1. Verantwortlicher und Kontakt

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) für den Betrieb der Plattform ist:

Ace Labs UG (haftungsbeschränkt)
Bodelschwinghstr. 1
48527 Nordhorn, Deutschland
Telefon: +49 5921 3702201
E-Mail: admin@playace.de

Ein Datenschutzbeauftragter ist gesetzlich nicht bestellt. Bei Fragen zum Datenschutz erreichen Sie uns unter den vorstehenden Kontaktdaten.

2. Zwei Verarbeitungsrollen: Betreiber und Auftragsverarbeiter

FreizeitHeld ist eine Software für Kirchengemeinden, Vereine und ähnliche Organisationen, mit der diese Anmeldeformulare (z. B. für Freizeiten oder Kurse) erstellen und die eingehenden Anmeldungen verwalten. Datenschutzrechtlich sind dabei zwei Situationen zu unterscheiden:

  • Wir als Verantwortlicher: Für den technischen Betrieb der Plattform, die Bereitstellung der Website, die Verwaltung von Nutzerkonten sowie die Abrechnung sind wir (Ace Labs UG (haftungsbeschränkt)) verantwortlich. Diese Verarbeitungen beschreiben die Abschnitte 3 bis 7 sowie 9 bis 15.
  • Wir als Auftragsverarbeiter: Für die Daten, die Teilnehmende über ein öffentliches Anmeldeformular einer Organisation einreichen, ist die jeweilige Organisation (Kirchengemeinde/Verein) datenschutzrechtlich verantwortlich. Wir verarbeiten diese Daten ausschließlich weisungsgebunden im Auftrag der Organisation nach Art. 28 DSGVO (siehe Abschnitt 8). Für Fragen zu diesen Daten wenden Sie sich bitte an die Organisation, deren Formular Sie ausgefüllt haben; deren Kontaktdaten finden Sie im Impressum der jeweiligen Organisation.

3. Bereitstellung der Website und Server-Logfiles

Beim Aufruf der Plattform werden technisch notwendige Daten verarbeitet, die Ihr Browser übermittelt: IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Adresse (URL), übertragene Datenmenge, verwendeter Browsertyp und Betriebssystem sowie ggf. die zuvor besuchte Seite. Diese Daten werden zur Auslieferung der Inhalte, zur Gewährleistung eines störungsfreien Betriebs und zur Abwehr von Missbrauch verarbeitet.

Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren und funktionsfähigen Betrieb der Plattform (Art. 6 Abs. 1 lit. f DSGVO). Server-Logfiles werden nur für die zur Erreichung dieser Zwecke erforderliche Dauer gespeichert und anschließend gelöscht.

4. Cookies und Sitzungsverwaltung

Wir verwenden ausschließlich technisch notwendige Cookies bzw. vergleichbare Speichertechniken, um angemeldete Nutzerinnen und Nutzer über die Dauer einer Sitzung hinweg wiederzuerkennen (Anmelde-Session). Ohne diese Speicherung ist eine Anmeldung im Dashboard technisch nicht möglich.

Da es sich um unbedingt erforderliche Techniken handelt, ist hierfür keine Einwilligung nach § 25 Abs. 2 Nr. 2 TDDDG erforderlich; die zugrunde liegende Datenverarbeitung stützt sich auf Art. 6 Abs. 1 lit. b und lit. f DSGVO. Wir setzen keine Cookies zu Analyse-, Tracking- oder Werbezwecken ein.

Beim Abschluss oder der Verwaltung eines kostenpflichtigen Abonnements setzt unser Zahlungsdienstleister Stripe auf den von ihm bereitgestellten Zahlungs- und Verwaltungsseiten eigene, zur Betrugsprävention unbedingt erforderliche Cookies (z. B. __stripe_mid, __stripe_sid). Auch hierfür ist keine gesonderte Einwilligung erforderlich.

5. Registrierung und Nutzerkonto

Wenn Sie als Verantwortliche einer Organisation ein Konto anlegen, verarbeiten wir Ihre E-Mail-Adresse, Ihren Namen sowie Ihr Passwort (ausschließlich in verschlüsselter/gehashter Form). Diese Daten dienen der Bereitstellung des Kontos, der Authentifizierung und der Zuordnung zu Ihrer Organisation und deren Formularen.

Rechtsgrundlage ist die Erfüllung des Nutzungsvertrags bzw. die Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO). Die Kontodaten werden für die Dauer des Kontos gespeichert und nach dessen Löschung entfernt, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

6. System- und Bestätigungs-E-Mails

Zur Bestätigung der Registrierung, für Anmelde- und Passwort-Vorgänge sowie für vergleichbare sicherheitsrelevante Mitteilungen versenden wir E-Mails an die von Ihnen angegebene Adresse. Diese Nachrichten sind zur Durchführung des Vertrags und zum sicheren Betrieb des Kontos erforderlich (Art. 6 Abs. 1 lit. b und lit. f DSGVO). Der Versand erfolgt über unseren Auftragsverarbeiter Supabase (siehe Abschnitt 12).

7. Organisationsdaten und Logo

Im Rahmen der Konto- und Organisationsverwaltung verarbeiten wir die von der Organisation hinterlegten Angaben (z. B. Organisationsname, Subdomain, Mitgliedschaften der Nutzerkonten sowie ein optional hochgeladenes Logo). Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

8. Anmeldeformulare und eingereichte Daten (Auftragsverarbeitung)

Über ein öffentliches Anmeldeformular können Teilnehmende Daten einreichen. Welche Daten erhoben werden, legt die jeweilige Organisation durch die Gestaltung ihres Formulars fest; typischerweise sind dies Name, Kontaktdaten und weitere von der Organisation abgefragte Angaben. Vor dem Absenden ist die Zustimmung zur Datenschutzerklärung erforderlich; wir speichern den Umstand und den Zeitpunkt der erteilten Einwilligung, um diese nachweisen zu können.

Für diese Daten ist die Organisation die verantwortliche Stelle. Sie bestimmt Zwecke und Rechtsgrundlagen (in der Regel die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO bzw. die Durchführung der Anmeldung). Wir verarbeiten die Daten ausschließlich weisungsgebunden im Auftrag der Organisation (Art. 28 DSGVO), um die technische Speicherung, Verwaltung und Bereitstellung zu ermöglichen.

Betroffenenrechte (Abschnitt 14) machen Sie in diesem Fall bitte gegenüber der Organisation geltend, die das Formular veröffentlicht hat. Leiten Sie uns entsprechende Anfragen zu, geben wir sie an die zuständige Organisation weiter.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): Fragt ein Formular Gesundheitsdaten oder andere besondere Kategorien ab (z. B. Allergien, Medikamente, Erkrankungen, Behinderungen), werden diese Felder gesondert gekennzeichnet und vor dem Absenden über eine separate, ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO eingeholt; deren Erteilung und Zeitpunkt werden getrennt dokumentiert. Betrifft die Anmeldung Minderjährige, sind die Angaben durch die Sorgeberechtigten zu erteilen. Die Einwilligung ist freiwillig und jederzeit mit Wirkung für die Zukunft widerrufbar. Diese Daten werden nicht in das Audit-Log (Abschnitt 9) übernommen.

9. Protokollierung sicherheitsrelevanter Vorgänge (Audit-Log)

Zur Nachvollziehbarkeit und Sicherheit protokollieren wir bestimmte Vorgänge innerhalb des Dashboards, etwa Anmeldungen (auch fehlgeschlagene), das Ansehen und den Export von Einreichungen sowie Änderungen an Formularen, Konten und Mitgliedschaften. Erfasst werden Zeitpunkt, handelndes Nutzerkonto sowie – bei angemeldeten Aktionen – IP-Adresse und Browserkennung (User-Agent). Die eingereichten Inhalte selbst werden dabei nicht gespeichert. Rechtsgrundlage ist unser berechtigtes Interesse an der Sicherheit und Integrität der Plattform (Art. 6 Abs. 1 lit. f DSGVO).

IP-Adresse und Browserkennung werden spätestens nach 90 Tagen anonymisiert; Protokolleinträge werden je nach Art nach 90 Tagen (Einreichungsvorgänge) bzw. 365 Tagen (sicherheitsrelevante Ereignisse) automatisch gelöscht.

10. Export von Teilnehmerlisten

Berechtigte Nutzerkonten einer Organisation können eingereichte Daten als CSV-, Excel- oder PDF-Datei exportieren. Die Erstellung dieser Dateien erfolgt auf unseren Systemen; eine Weitergabe an Dritte findet hierbei nicht statt. Für den Umgang mit den exportierten Daten ist die jeweilige Organisation verantwortlich.

11. Vertrags- und Abrechnungsdaten

Bei Abschluss eines kostenpflichtigen Vertrags verarbeiten wir die zur Abrechnung erforderlichen Daten (z. B. Name, Rechnungsanschrift, gebuchtes Paket, Rechnungsbeträge, ggf. Umsatzsteuer-Identifikationsnummer). Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie die Erfüllung steuer- und handelsrechtlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO). Rechnungsrelevante Unterlagen bewahren wir entsprechend den gesetzlichen Aufbewahrungsfristen (regelmäßig bis zu zehn Jahre) auf.

Die Zahlungsabwicklung selbst führen wir nicht mit eigenen Mitteln durch, sondern nutzen hierfür unseren Zahlungsdienstleister Stripe Payments Europe, Limited (1 Grand Canal Street Lower, Dublin, Irland; sowie dessen Konzernmutter Stripe, Inc., USA). An Stripe übermitteln wir die zur Abrechnung erforderlichen Daten (Name, E-Mail-Adresse, Rechnungsanschrift, Zahlungsmittel- und Transaktionsdaten, ggf. Umsatzsteuer-ID). Zahlungsdaten (z. B. vollständige Kartendaten) werden dabei unmittelbar von Stripe über eine von Stripe bereitgestellte, sichere Zahlungsseite erhoben und erreichen unsere eigenen Server nicht. Stripe verarbeitet diese Daten auch zu eigenen Zwecken (z. B. Betrugsprävention) als eigenständig Verantwortlicher; nähere Informationen enthält die Datenschutzerklärung von Stripe unter stripe.com/de/privacy. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

12. Empfänger und Auftragsverarbeiter

Zur Bereitstellung der Plattform setzen wir sorgfältig ausgewählte Dienstleister ein. Mit den nachfolgend genannten Auftragsverarbeitern haben wir, soweit anwendbar, Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen:

  • Hetzner Online GmbH, Gunzenhausen (Deutschland) — Server-Infrastruktur und Hosting der Anwendung. Die Verarbeitung erfolgt in Rechenzentren in Deutschland.
  • Supabase (Supabase, Inc.) — Datenbank, Authentifizierung und Versand von System-E-Mails. Hier werden die Konto- und Formulardaten gespeichert. Die Verarbeitung erfolgt in einer Region innerhalb der Europäischen Union.
  • Stripe (Stripe Payments Europe, Limited, Irland, und Stripe, Inc., USA) — Zahlungsabwicklung für kostenpflichtige Abonnements (siehe Abschnitt 11). Stripe verarbeitet dabei ausschließlich Abrechnungsdaten der Organisation, nicht die über Anmeldeformulare erhobenen Teilnahmedaten.

Eine darüber hinausgehende Weitergabe personenbezogener Daten an Dritte erfolgt nur, wenn eine gesetzliche Verpflichtung besteht oder Sie eingewilligt haben.

13. Datenübermittlung in Drittländer

Wir betreiben die Anwendung und speichern personenbezogene Daten überwiegend in Rechenzentren innerhalb der Europäischen Union. Im Zusammenhang mit der Zahlungsabwicklung über Stripe (Abschnitt 11) kann es zu einer Übermittlung von Abrechnungsdaten an Stripe, Inc. mit Sitz in den USA kommen. Für diese Übermittlung ist ein angemessenes Datenschutzniveau durch geeignete Garantien sichergestellt, insbesondere durch die von der EU-Kommission erlassenen Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und, soweit einschlägig, die Zertifizierung von Stripe, Inc. unter dem EU-US Data Privacy Framework.

Für alle übrigen in dieser Erklärung genannten Verarbeitungen ist eine Übermittlung in Drittländer außerhalb der EU/des EWR nicht vorgesehen. Sollte im Einzelfall dennoch ein Zugriff aus einem Drittland (z. B. USA durch das Mutterunternehmen eines Dienstleisters) nicht ausgeschlossen werden können, gilt das vorstehend beschriebene Schutzniveau entsprechend.

14. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO insbesondere folgende Rechte:

  • Auskunft über die zu Ihnen verarbeiteten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung dieser Rechte genügt eine Mitteilung an die in Abschnitt 1 genannten Kontaktdaten. Betreffen die Daten ein Anmeldeformular einer Organisation, richten Sie Ihr Anliegen bitte an diese Organisation (siehe Abschnitt 8).

15. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet anderer Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO), etwa bei der für uns zuständigen Landesbeauftragten für den Datenschutz Niedersachsen. Sie können sich auch an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts wenden.

16. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Über Anmeldeformulare eingereichte Daten werden gemäß der je Formular von der Organisation festgelegten Aufbewahrungsfrist automatisch gelöscht (Grundsatz der Speicherbegrenzung, Art. 5 Abs. 1 lit. e DSGVO); die geltende Frist wird beim Ausfüllen eines Formulars angezeigt.

17. Datensicherheit

Die Übertragung erfolgt durchgehend verschlüsselt über TLS (https). Wir treffen geeignete technische und organisatorische Maßnahmen, um Ihre Daten gegen Verlust, Missbrauch und unberechtigten Zugriff zu schützen, unter anderem durch rollenbasierte Zugriffsrechte und die zuvor beschriebene Protokollierung.

18. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt.

19. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald Änderungen der Verarbeitung oder der Rechtslage dies erforderlich machen. Es gilt jeweils die auf dieser Seite veröffentlichte aktuelle Fassung.