Datenschutzerklärung

Stand: April 2026 · Version 2

1. Verantwortlicher

Play Süddeutschland Event GmbH & Co. KG
Im Pflästerle 10 · 71069 Sindelfingen
Vertreten durch: Fabian Ulrich & Sascha Schüler
E-Mail: match@match-me.club
Datenschutz: datenschutz@match-me.club

2. Welche Daten wir erheben

Bei der Nutzung von Match Me verarbeiten wir folgende Daten:

  • Handynummer (zur Authentifizierung via SMS-OTP)
  • Vorname, Geburtsdatum, Geschlecht, Wohnort
  • Profilfotos und Prompt-Antworten (freiwillig)
  • Instagram-Handle, TikTok-Handle, WhatsApp-Nummer (optional)
  • Event-Teilnahmen, Check-in-Status, Likes, Matches, Chat-Nachrichten
  • Push-Notification-Endpoints (nur bei aktivierter Erlaubnis)
  • Technisch notwendige Server-Logs (IP-Adresse, User-Agent, Zeitstempel) — automatisch nach 7 Tagen gelöscht

3. Zweck der Datenverarbeitung

Deine Daten werden ausschließlich zur Bereitstellung der App-Funktionen genutzt: Authentifizierung, Profilanzeige auf Events, Matching, Chat, Check-in und Ticket-Verwaltung. Es findet keine Weitergabe an Dritte zu Werbezwecken statt. Es findet kein Profiling im Sinne von Art. 22 DSGVO statt.

4. Rechtsgrundlage

Die Verarbeitung erfolgt auf Basis deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) durch Registrierung und Nutzung der App sowie zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Verarbeitung von Logdaten zur Aufrechterhaltung der Sicherheit erfolgt aufgrund unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO).

5. Speicherdauer

Dein Konto und alle damit verbundenen Daten werden gespeichert, solange du die App nutzt. Chat-Nachrichten werden 14 Tage nach Event-Ende automatisch gelöscht. Bei Kontolöschung werden alle persönlichen Daten innerhalb von 30 Tagen entfernt. Buchhaltungsrelevante Ticket-Daten werden gemäß §147 AO 10 Jahre aufbewahrt.

6. Auftragsverarbeiter / Drittanbieter

Wir setzen folgende Dienstleister mit Auftragsverarbeitungs-Vertrag (DPA) ein:

  • Supabase, Inc. (Datenbank, Auth, Storage, Realtime) — Server-Region Frankfurt/EU (eu-central-1)
  • Twilio Ireland Ltd. (SMS-OTP-Versand zur Telefon-Verifizierung) — EU-DPA
  • Vercel Inc. (Hosting, CDN) — Region Frankfurt/EU
  • Resend Inc. (Transaktionale E-Mails: Match-Benachrichtigungen, Ticket-Bestätigungen) — EU-Region
  • EventFrog AG (Ticket-Verkauf & Bezahlung) — Hosting Schweiz, eigene Datenschutzerklärung des Anbieters
  • Web-Push (VAPID) via Browser-Push-Services (Apple, Google, Mozilla) — nur bei aktiver Push-Berechtigung

Alle Anbieter sind DSGVO-konform. Mit allen wurde ein Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO geschlossen.

7. Internationale Datenübermittlung

Wenn personenbezogene Daten an Dienstleister außerhalb der EU/EWR übermittelt werden (z. B. Twilio US, Resend), erfolgt dies ausschließlich auf Basis der EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Wo immer möglich, nutzen wir die EU-Tochtergesellschaften der jeweiligen Anbieter.

8. Deine Rechte

Du hast jederzeit folgende Rechte:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO) — über „Account löschen“ in deinem Profil
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf der Einwilligung mit Wirkung für die Zukunft

Wende dich dafür an datenschutz@match-me.club. Du hast zudem das Recht, eine Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde einzureichen. Zuständig für uns ist der Landesbeauftragte für den Datenschutz Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart.

9. Cookies & lokale Speicherung

Match Me verwendet ausschließlich technisch notwendige Cookies bzw. Local-Storage-Einträge:

  • sb-*-auth-token — Session-Cookie zur Anmeldung (Supabase Auth)
  • matchme-consent — speichert deine Cookie-Zustimmung (Local Storage)

Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Wir nutzen kein Google Analytics, Facebook Pixel oder vergleichbare Tools.

10. Sicherheit der Datenübertragung

Die Übertragung erfolgt ausschließlich verschlüsselt (TLS 1.3 / HTTPS). Profilfotos werden in einem zugriffsgeschützten Storage-Bucket abgelegt. Datenbank-Zugriffe sind durch Row-Level-Security (RLS) auf den jeweiligen Eigentümer beschränkt.

11. Push-Benachrichtigungen

Wenn du Push-Benachrichtigungen aktivierst, speichern wir deinen Push-Endpoint zusammen mit den nötigen Verschlüsselungs-Keys (p256dh, auth). Du kannst die Berechtigung jederzeit in den Browser- bzw. Geräte-Einstellungen widerrufen — der Endpoint wird dann beim nächsten fehlgeschlagenen Push automatisch entfernt.

12. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Für deinen erneuten Besuch gilt dann die jeweils aktuelle Version.