1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Growth Studios GmbH
Adalperostraße 29
85737 Ismaning
Deutschland
E-Mail: hello@crewpicks.com

2. Welche Daten wir erheben und warum

2.1 Account-Daten

Wenn du dich registrierst, speichern wir:

• Name — als Anzeigename in Clubs und der App-Oberfläche
• E-Mail-Adresse — für Login, Passwort-Reset, Bestätigungs-Mails
• Passwort — wird ausschließlich als bcrypt-Hash gespeichert, das Klartext-Passwort verlässt deinen Browser nie unverschlüsselt
• Bevorzugte Sprache und Lieblingsteam — Personalisierung
• Zeitstempel für Registrierung, E-Mail-Bestätigung, Onboarding-Abschluss

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — ohne diese Daten können wir den Tippspiel-Account nicht betreiben).

2.2 Tippspiel-Daten

Wir speichern deine Tipps (gewählte Picks, Einsätze, ggf. Joker, Spielbezug), berechnete Ergebnisse und deinen Club-Verlauf. Diese Daten brauchen wir zur Bereitstellung des Tippspiels.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.3 Server-Logs

Beim Aufruf der App werden technische Logs von unserem Hoster Vercel verarbeitet (IP-Adresse, Zeitstempel, Browser, Endpoint). Diese helfen uns bei der Fehlersuche und der Abwehr von Angriffen und werden nach max. 30 Tagen gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler Bereitstellung).

2.4 Cookies

Wir nutzen ausschließlich technisch notwendige Cookies:

• Session-Cookie (NextAuth-JWT) — hält dich eingeloggt. httpOnly, sameSite=lax, SSL-only in Produktion
• Locale-Cookie — merkt sich deine Spracheinstellung

Diese Cookies brauchen keine Einwilligung (§25 Abs. 2 Nr. 2 TTDSG). Wir nutzen kein Tracking, keine Werbe-Cookies, keine Analyse-Dienste.

3. Wer deine Daten verarbeitet

Wir setzen folgende Auftragsverarbeiter ein. Mit allen besteht ein Vertrag nach Art. 28 DSGVO.

3.1 Vercel (Hosting)

Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Vercel betreibt die App und cached statische Inhalte. Datentransfer in die USA auf Grundlage des EU-US Data Privacy Framework und Standardvertragsklauseln.

3.2 Neon (Datenbank)

Neon Inc., Postgres-as-a-Service. Unsere Datenbank-Instanz liegt physisch in Frankfurt (AWS eu-central-1). Damit verlassen personenbezogene Daten den EU-Raum nicht.

3.3 Resend (Email-Versand)

Resend (resend.com), USA. Verschickt Bestätigungs- und Passwort-Reset-Mails. Übermittelt werden Name + E-Mail-Adresse + Verifizierungs-Link. Datentransfer auf Grundlage von Standardvertragsklauseln.

3.4 OpenLigaDB (Spielplandaten)

Spielplan- und Ergebnisdaten holen wir von der öffentlichen API von OpenLigaDB. Wir senden keine personenbezogenen Daten dorthin — nur lesende Anfragen nach Spielplänen.

4. Wie lange wir Daten speichern

• Account-Daten: bis zur Account-Löschung durch dich (über Profil → Einstellungen → Account löschen)
• Tippspiel-Daten: bis zur Account-Löschung
• Server-Logs: max. 30 Tage
• Bestätigungs-Tokens: 24 Stunden (E-Mail), 1 Stunde (Passwort-Reset). Werden danach automatisch gelöscht

5. Deine Rechte

Du hast jederzeit das Recht auf:

• Auskunft (Art. 15 DSGVO) — wir liefern auf Anfrage einen Export deiner Daten. Direkt in der App unter Profil → Einstellungen → Daten exportieren
• Berichtigung (Art. 16) — falsche Daten korrigieren (Name, Email-Adresse via Profil oder per Mail)
• Löschung (Art. 17) — Account direkt in der App löschen oder per Mail anfordern
• Einschränkung (Art. 18) und Widerspruch (Art. 21) gegen die Verarbeitung
• Datenübertragbarkeit (Art. 20) — Export als JSON
• Beschwerde bei einer Aufsichtsbehörde (Art. 77). Zuständig ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

6. Datensicherheit

Wir setzen TLS-Verschlüsselung (HTTPS) für die gesamte Kommunikation ein. Passwörter werden mit bcrypt (Cost-Factor 12) gehasht. Die Datenbank ist nur über verschlüsselte Verbindungen erreichbar. Session-Cookies sind httpOnly und nur über sichere Verbindungen gültig.

7. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Erklärung anzupassen, wenn sich Verarbeitungstätigkeiten ändern (z.B. wenn wir neue Dienste einbinden). Es gilt jeweils die aktuell auf dieser Seite veröffentlichte Fassung.