Datenschutzerklärung — Courthaus

Stand: 4. März 2026

Inhaltsverzeichnis

1. Verantwortlicher und Kontakt
2. Geltungsbereich und Produktbeschreibung
3. Grundsätze der Datenverarbeitung
4. Verarbeitung von Tenant-Nutzerdaten
5. Gästedaten — Auftragsverarbeitung
6. Cookies, Sitzungs-Tokens und lokaler Browserspeicher
7. Serverprotokolle
8. Zahlungsabwicklung über Paddle
9. Google OAuth — Authentifizierung
10. Echtzeit-Datenübertragung (Server-Sent Events)
11. Webanalyse und Tracking
12. Auftragsverarbeitungsvertrag (AVV)
13. Weitergabe von Daten an Dritte
14. Drittlandübermittlungen
15. Datensicherheit
16. Speicherdauer und Löschung
17. Ihre Rechte als betroffene Person
18. Beschwerderecht bei der Datenschutzbehörde
19. Änderungen dieser Datenschutzerklärung

1. Verantwortlicher und Kontakt

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) für die Verarbeitung personenbezogener Daten von registrierten Nutzern (Tenant-Nutzer) von Courthaus ist:

Rudolph Gottesheim Ein-Personen-Unternehmen (EPU) WKO-Sparte: Information und Consulting Marke: Midnight Design Österreich

[Straße, Hausnummer, PLZ Ort — vor Veröffentlichung einzutragen]

E-Mail: [email protected]

Nachfolgend als „Anbieter" bezeichnet.

Ein betrieblicher Datenschutzbeauftragter wurde nicht bestellt, da die Voraussetzungen gemäß Art. 37 Abs. 1 DSGVO nicht erfüllt sind.

2. Geltungsbereich und Produktbeschreibung

2.1 Wer wird von dieser Erklärung erfasst?

Diese Datenschutzerklärung richtet sich an registrierte Nutzer von Courthaus — also an Betreiber von Sportanlagen (z. B. Tennis- oder Padel-Clubs), die einen Tenant-Account erstellt haben, sowie an deren Mitarbeiterinnen und Mitarbeiter, die über denselben Mandanten-Account auf die Plattform zugreifen (zusammenfassend „Tenant-Nutzer").

Gäste von Sportanlagen (Personen, deren Namen und Kontaktdaten von Anlagenbetreibern in Courthaus eingetragen werden) sind keine Nutzer der Plattform und haben keinen eigenen Zugang. Sie können diese Datenschutzerklärung als Hintergrundinformation heranziehen, sollten sich für Auskünfte zu ihren Daten jedoch an den jeweiligen Sportanlagenbetreiber wenden (vgl. Abschnitt 5).

2.2 Was ist Courthaus?

Courthaus ist eine cloudbasierte Software-as-a-Service-Lösung (SaaS) für Betreiber von Sportanlagen. Die Plattform ermöglicht die Verwaltung von Sportplätzen, Buchungen und Gästedaten. Der Anbieter stellt den Dienst als Verarbeitungsinfrastruktur zur Verfügung; Sportanlagenbetreiber nutzen ihn, um die personenbezogenen Daten ihrer eigenen Gäste zu pflegen.

Diese Datenschutzerklärung ist Bestandteil der Nutzungsbedingungen von Courthaus.

3. Grundsätze der Datenverarbeitung

Der Anbieter verarbeitet personenbezogene Daten nur, soweit dies für die Bereitstellung des Dienstes erforderlich ist. Für alle Verarbeitungsvorgänge liegt eine Rechtsgrundlage nach Art. 6 DSGVO vor. Daten werden nicht verkauft und nicht für Werbezwecke Dritter verwendet. Hiervon ausgenommen ist die Übertragung von Daten im Rahmen einer vollständigen oder teilweisen Unternehmensveräußerung oder -übertragung, sofern diese Datenschutzerklärung dabei fortgilt oder der Rechtsnachfolger eine gleichwertige Datenschutzerklärung veröffentlicht und betroffene Personen rechtzeitig informiert werden.

4. Verarbeitung von Tenant-Nutzerdaten

Wenn Sie sich als Tenant-Nutzer bei Courthaus registrieren und die Plattform nutzen, verarbeitet der Anbieter in seiner Eigenschaft als Verantwortlicher folgende personenbezogene Daten:

4.1 Registrierung und Kontodaten

Welche Daten: Vor- und Nachname sowie E-Mail-Adresse, die von Google im Rahmen der OAuth-Anmeldung übermittelt werden; Zeitpunkt der Registrierung; Mandanten-Account-Identifikation.

Zweck: Erstellung und Verwaltung Ihres Benutzerkontos; Zuordnung Ihres Zugangs zu Ihrem Mandanten-Account; Kontaktaufnahme durch den Anbieter bei betrieblichen Mitteilungen (z. B. Ankündigung von Änderungen der Nutzungsbedingungen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Verarbeitung ist zur Erbringung des vertraglich vereinbarten Dienstes erforderlich).

4.2 Sitzungsdaten

Welche Daten: Ein kryptographisch gesichertes Sitzungs-Token, das im Zusammenhang mit Ihrem Benutzerkonto gespeichert wird; Erstellungs- und Ablaufzeitpunkt der Sitzung.

Zweck: Aufrechterhaltung Ihrer angemeldeten Sitzung, damit Sie sich nicht bei jeder Anfrage erneut authentifizieren müssen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Sitzungen laufen nach 30 Tagen Inaktivität automatisch ab. Beim Abmelden wird die Sitzung sofort ungültig gemacht.

4.3 Audit-Protokoll

Welche Daten: Aufzeichnungen aller wesentlichen Datenänderungen innerhalb Ihres Mandanten-Accounts, einschließlich des Zeitpunkts der Aktion sowie der handelnden Person (Benutzerkennung).

Zweck: Nachvollziehbarkeit von Datenänderungen; Unterstützung bei der Beilegung von Streitigkeiten und bei der Fehlerbehebung. Das Audit-Protokoll ist eine zentrale Kernfunktion des vertraglich geschuldeten Dienstes. Die Protokolldaten werden insbesondere aufbewahrt, um folgende Kategorien von Rechtsansprüchen belegen zu können: Streitigkeiten zwischen dem Anbieter und einem Mandanten über die Richtigkeit, den Zeitpunkt oder die Urheberschaft von Buchungen oder Konfigurationsänderungen; Streitigkeiten über Handlungen von eingeladenen Mitarbeiterinnen und Mitarbeitern, die zu einem Buchungsfehler, einem Datenverlust oder einer unbefugten Änderung geführt haben; Ansprüche von Gästen oder Dritten gegen den Anlagenbetreiber, die einen Nachweis darüber erfordern, was das System zu einem bestimmten Zeitpunkt aufgezeichnet hat; sowie Abrechnungsstreitigkeiten, die einen Nachweis über das aktive Abonnement-Tier und die genutzten Funktionen erfordern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Führung des Audit-Protokolls ist zur Erbringung des vertraglich vereinbarten Dienstes erforderlich und dient dem Interesse des Mandanten an der Integrität und Nachvollziehbarkeit seiner Buchungs- und Verwaltungsdaten).

Zugang zu Audit-Protokolldaten: Zugang zu den Audit-Protokolldaten haben der Mandant selbst (als Verantwortlicher, über die Plattformoberfläche) sowie Unterauftragsverarbeiter im Sinne von Abschnitt 13, soweit dies für die Erbringung ihrer Infrastrukturleistungen technisch erforderlich ist (insbesondere der Hosting-Anbieter im Rahmen des Serverbetriebs). Alle Unterauftragsverarbeiter sind vertraglich zur Vertraulichkeit verpflichtet.

Auf begründeten Löschantrag werden die personenbezogenen Anteile der Einträge (Benutzerkennungen) pseudonymisiert; die Protokolleinträge selbst werden nicht gelöscht, da ihre Integrität für den Nachweis und die Verteidigung der in §4.3 beschriebenen Rechtsansprüche erforderlich ist (Art. 17 Abs. 3 lit. b DSGVO). Die Speicherung ist auf das für Nachweis- und Fehlerbehebungszwecke erforderliche Mindestmaß beschränkt.

4.4 Eingeladene Mitarbeiterinnen und Mitarbeiter

Wenn ein Tenant-Nutzer weitere Personen (Mitarbeiterinnen und Mitarbeiter) zur Nutzung des Mandanten-Accounts einlädt, verarbeitet der Anbieter als Verantwortlicher folgende personenbezogene Daten der eingeladenen Personen:

Welche Daten: Name und E-Mail-Adresse, die vom einladenden Tenant-Nutzer im Rahmen der Einladung übermittelt werden; Google-Benutzerkennung sowie weitere von Google im Rahmen der OAuth-Anmeldung übermittelte Profilinformationen (insbesondere Vor- und Nachname sowie E-Mail-Adresse) bei der ersten Anmeldung über Google OAuth.

Zweck: Erstellung und Verwaltung des Benutzerkontos der eingeladenen Person; Zuordnung des Zugangs zum Mandanten-Account des Arbeitgebers bzw. Auftraggebers.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Das berechtigte Interesse besteht darin, dem Betreiber die Verwaltung des rollenbasierten Zugangs zu seinem Betriebswerkzeug zu ermöglichen: ohne die Verarbeitung der Kontodaten der eingeladenen Person kann dem Mitarbeiter kein Plattformzugang gewährt werden, da kein weniger eingriffsintensives Mittel zur Einrichtung eines rollenbasierten Zugangs existiert. Die Abwägung ergibt, dass das Interesse des eingeladenen Mitarbeiters an informationeller Selbstbestimmung hier zurücktritt: eingeladene Mitarbeiterinnen und Mitarbeiter haben hinsichtlich arbeitsbezogener Tätigkeiten eine reduzierte Datenschutzerwartung, und die Bereitstellung von Arbeitswerkzeugen durch den Arbeitgeber — einschließlich der damit verbundenen Kontoanlage — ist ein vorhersehbarer und branchenüblicher Verarbeitungskontext. Die Verarbeitung ist auf das für den Plattformzugang erforderliche Mindestmaß beschränkt.

Widerspruchsrecht: Da die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt wird, haben eingeladene Personen das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen (vgl. Abschnitt 17.6).

Speicherdauer: Für die Dauer des aktiven Nutzungsverhältnisses des betreffenden Mitarbeiter-Accounts; nach Deaktivierung des Mitarbeiter-Accounts für bis zu 12 Monate, danach endgültige Löschung — sofern nicht gesetzliche Aufbewahrungspflichten eine abweichende Frist erfordern.

Rechte: Als betroffene Person stehen Ihnen die in Abschnitt 17 dieser Datenschutzerklärung beschriebenen Rechte zu. Anfragen können an [email protected] gerichtet werden.

Besonderheit der Datenerhebung: Die Daten eingeladener Mitarbeiterinnen und Mitarbeiter werden nicht direkt von der betroffenen Person, sondern von dem sie einladenden Tenant-Nutzer erhoben. Die Informationspflicht richtet sich daher nach Art. 14 DSGVO (Informationspflicht, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben werden). Die Daten werden vom einladenden Tenant-Nutzer (Arbeitgeber oder Auftraggeber der eingeladenen Person) an den Anbieter übermittelt.

Information der eingeladenen Personen: Eingeladene Mitarbeiterinnen und Mitarbeiter werden innerhalb eines angemessenen Zeitraums nach Erhalt der Daten, spätestens jedoch innerhalb eines Monats — in der Praxis beim ersten Login über die Anzeige dieser Datenschutzerklärung — über die Verarbeitung informiert. Soweit E-Mail-Benachrichtigungsinfrastruktur betrieben wird, erfolgt die Information zusätzlich mit der Einladungs-E-Mail. Beim ersten Login werden eingeladene Personen auf diese Datenschutzerklärung hingewiesen, bevor ihnen Zugang zur Plattform gewährt wird. Der Zeitpunkt des Hinweises wird protokolliert. Die Anzeige dieser Datenschutzerklärung beim ersten Login dient ausschließlich der Erfüllung der datenschutzrechtlichen Informationspflicht gemäß Art. 14 DSGVO; sie begründet kein eigenständiges Vertragsverhältnis zwischen der eingeladenen Person und dem Anbieter.

5. Gästedaten — Auftragsverarbeitung

5.1 Wer ist für Gästedaten verantwortlich?

Wenn Tenant-Nutzer personenbezogene Daten ihrer Gäste (z. B. Namen, Telefonnummern) in Courthaus eingeben, sind die jeweiligen Sportanlagenbetreiber (Mandanten) Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO für diese Daten. Der Anbieter (Rudolph Gottesheim / Midnight Design) verarbeitet diese Daten ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO — also im Auftrag und nach Weisung des jeweiligen Mandanten.

5.2 Welche Gästedaten werden gespeichert?

Tenant-Nutzer können in Courthaus folgende Arten von Gästedaten erfassen:

• Namen von Gästen (in der Gästedatenbank sowie als Namens-Snapshot auf einzelnen Buchungsdatensätzen)
• Telefonnummern von Gästen
• Buchungsmetadaten (Datum, Uhrzeit und Platzzuweisung auf einzelnen Buchungsdatensätzen, die mit dem jeweiligen Gast verknüpft sind)

Gäste erhalten keinen eigenen Zugang zur Plattform. Sie können ausschließlich von Tenant-Nutzern eingetragen, bearbeitet und gelöscht werden.

5.3 Verantwortung der Mandanten

Mandanten sind als Verantwortliche verpflichtet:

• sicherzustellen, dass für die Eingabe und Verarbeitung von Gästedaten eine geeignete Rechtsgrundlage nach Art. 6 DSGVO vorliegt (z. B. Einwilligung der Gäste, berechtigtes Interesse im Rahmen des Sportanlagenbetriebs);
• ihre Gäste in geeigneter Weise über die Datenverarbeitung zu informieren;
• Anfragen ihrer Gäste auf Auskunft, Berichtigung oder Löschung zu bearbeiten.

Courthaus stellt hierfür Funktionen zur Dateneinsicht, -bearbeitung und -löschung sowie einen Datenexport bereit.

Wenn ein Sportanlagenbetreiber eine berechtigte Anfrage eines Gastes auf Auskunft, Berichtigung oder Löschung seiner Daten nicht innerhalb von einem Monat nach Eingang beantwortet oder ohne nachvollziehbaren Grund ablehnt, hat der Gast das Recht, bei der zuständigen Datenschutzbehörde Beschwerde einzulegen. In Österreich ist dies die:

Österreichische Datenschutzbehörde (DSB) Barichgasse 40–42, 1030 Wien E-Mail: [email protected] — Website: https://www.dsb.gv.at

Dieses Beschwerderecht besteht unabhängig von anderen Rechtsbehelfen und kann ohne vorherige Kontaktaufnahme mit dem Anbieter von Courthaus geltend gemacht werden.

6. Cookies, Sitzungs-Tokens und lokaler Browserspeicher

6.1 Sitzungs-Cookie

Courthaus setzt ein Sitzungs-Cookie, das zur Aufrechterhaltung Ihrer angemeldeten Sitzung erforderlich ist.

• Art: HttpOnly, Secure, SameSite=Strict — das Cookie ist für JavaScript im Browser nicht zugänglich, wird ausschließlich über verschlüsselte Verbindungen (HTTPS) übertragen und wird nicht bei Cross-Site-Anfragen mitgesendet.
• Inhalt: Ein kryptographisch gesichertes, zufällig generiertes Token, das keinen Klartextnamen oder andere direkt erkennbare personenbezogene Daten enthält.
• Lebensdauer: Das Cookie verfällt nach 30 Tagen; bei aktiver Nutzung wird die Gültigkeitsdauer automatisch verlängert. Jede authentifizierte Anfrage an die Anwendung setzt die 30-tägige Gültigkeitsdauer des Cookies neu (gleitende Ablaufzeit), sodass das Cookie gültig bleibt, solange Sie die Anwendung aktiv nutzen; nur bei vollständiger Inaktivität über 30 Tage läuft die Sitzung automatisch ab.
• Zweck: Technisch notwendig für die Funktion des Dienstes.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); eine gesonderte Einwilligung ist für technisch notwendige Cookies nicht erforderlich.

6.2 Sprachpräferenz-Cookie (PARAGLIDE_LOCALE)

Courthaus setzt ein Sprachpräferenz-Cookie, das die vom Nutzer gewählte Anzeigesprache speichert.

• Zweck: Speicherung der vom Nutzer ausdrücklich gewählten Anzeigesprache der Plattform über die Sitzung hinaus.
• Inhalt: Sprachkürzel (z. B. de oder en).
• Speicherdauer: Sitzungsdauer; wird bei Abmeldung oder Ablauf der Browsersitzung gelöscht.
• Technische Einordnung: Dieses Cookie ist technisch notwendig im Sinne von § 165 Abs. 3 Z 1 TKG 2021. Es wird ausschließlich gesetzt, wenn der Nutzer eine Sprache ausdrücklich auswählt, und speichert diese vom Nutzer initiierte Aktion. Das Cookie wird nicht automatisch bei jedem Seitenaufruf gesetzt; es ist keine vorbefüllte oder voreingestellte Einstellung. Die Speicherung dient ausschließlich dazu, die vom Nutzer selbst vorgenommene Sprachwahl für die Dauer der Sitzung beizubehalten.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Beibehaltung der vom Nutzer ausdrücklich gewählten Oberflächensprache ist Teil der Erbringung des vertraglich vereinbarten Dienstes).

Es werden keine Tracking-Cookies, keine Werbe-Cookies und keine Cookies von Drittanbietern gesetzt.

6.3 Lokaler Browserspeicher (IndexedDB)

Für die Offline-Funktion von Courthaus werden im Browser Daten in der IndexedDB gespeichert — einem Teil des lokalen Browserspeichers.

• Inhalt: Buchungs- und Verwaltungsdaten, die Sie während einer Offline-Sitzung erfassen, sowie eine Warteschlange für ausstehende Synchronisierungsoperationen.
• Zweck: Ermöglicht die eingeschränkte Nutzung von Courthaus ohne aktive Internetverbindung und die automatische Synchronisierung bei Wiederverbindung.
• Zugänglichkeit: Die Daten verbleiben im Browser und werden ausschließlich an den Court-Manager-Server übertragen, wenn eine Verbindung besteht.
• Löschung: Die lokal gespeicherten Daten werden nach erfolgreicher Synchronisierung bereinigt. Sie können den lokalen Browserspeicher jederzeit über die Einstellungen Ihres Browsers löschen.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — technisch erforderlich für die vertraglich vereinbarte Offline-Funktion).

7. Serverprotokolle

Bei jedem Aufruf der Court-Manager-Plattform werden vom Webserver automatisch technische Zugriffsdaten protokolliert.

Welche Daten: IP-Adresse des anfragenden Geräts; Zeitpunkt der Anfrage; aufgerufene URL; HTTP-Statuscodes; übertragene Datenmenge; Browser-Identifikation (User-Agent); Referrer-URL (sofern übermittelt).

Zweck: Betrieb und Sicherheit des Dienstes; Fehlerdiagnose; Abwehr von Angriffen (z. B. DDoS); Nachvollziehbarkeit von sicherheitsrelevanten Ereignissen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Anbieters an einem sicheren und stabilen Betrieb des Dienstes).

IP-Adressen: IP-Adressen werden für die volle Speicherdauer von 30 Tagen in vollständiger Form aufbewahrt und nicht vorab pseudonymisiert oder gekürzt. Dies ist erforderlich, weil eine vollständige IP-Adresse für die Untersuchung von Sicherheitsvorfällen und die Analyse von Angriffsmuster-Zeitreihen über das gesamte 30-Tage-Fenster notwendig sein kann. Eine frühere Kürzung (z. B. nach 7 Tagen) würde die Möglichkeit einschränken, wiederkehrende Angreifer oder koordinierte Angriffe zu identifizieren, die sich über mehrere Wochen erstrecken. Das Interesse des Anbieters an der vollständigen Speicherung überwiegt das Interesse der betroffenen Personen an einer frühzeitigen Kürzung, da die Verarbeitung auf den für Sicherheitszwecke erforderlichen Zeitraum beschränkt ist und nach 30 Tagen automatisch endet.

Speicherdauer: Serverprotokolle werden für einen Zeitraum von maximal 30 Tagen gespeichert und danach automatisch gelöscht, sofern keine längere Aufbewahrung aus Sicherheitsgründen (z. B. bei laufenden Untersuchungen) erforderlich ist.

Soweit diese Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt wird, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen (vgl. Abschnitt 17.6).

8. Zahlungsabwicklung über Paddle

Die Abonnementzahlung für Courthaus wird vollständig durch Paddle (Paddle.com Market Limited, Core B, Block 71, The Digital Hub, Dublin D08 TCV4, Irland) abgewickelt. Paddle tritt als rechtlicher Verkäufer (Merchant of Record) auf und ist für die Abonnementabrechnung, die Ausstellung von Rechnungen sowie die Erhebung und Abführung der Umsatzsteuer verantwortlich.

Was der Anbieter nicht speichert: Der Anbieter speichert keine Kreditkarten- oder sonstigen Zahlungsmitteldaten. Diese Daten werden ausschließlich von Paddle erfasst und verwaltet.

Was der Anbieter speichert: Der Anbieter empfängt von Paddle eine Bestätigung des Abonnementstatus sowie eine Abonnement-Identifikation, um den Zugang zu Courthaus entsprechend zu steuern.

Eigenverantwortlichkeit von Paddle: Paddle ist für die Verarbeitung Ihrer Zahlungsdaten und Abrechnungsinformationen eigenverantwortlicher Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Die Datenschutzpraktiken von Paddle sind in der Datenschutzerklärung von Paddle beschrieben: https://www.paddle.com/legal/privacy.

Rechtsgrundlage für die seitens des Anbieters empfangenen Statusdaten: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — erforderlich zur Verwaltung des Abonnements) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung, soweit steuerrechtliche Nachweispflichten berührt sind).

9. Google OAuth — Authentifizierung

Die Anmeldung bei Courthaus erfolgt ausschließlich über Google OAuth, einen Authentifizierungsdienst der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland).

Was dabei geschieht: Beim Anmelden werden Sie an Google weitergeleitet. Wenn Sie dort Ihre Zustimmung erteilen, übermittelt Google an Courthaus Ihren Namen, Ihre E-Mail-Adresse sowie eine eindeutige Google-Benutzerkennung. Diese Daten werden zur Erstellung oder Identifikation Ihres Court-Manager-Kontos verwendet.

Keine dauerhaften Verarbeitungsbeziehungen: Nach der Anmeldung kommuniziert Courthaus nicht fortlaufend mit Google. Die Authentifizierung ist ein einmaliger Vorgang pro Anmeldevorgang.

Eigenverantwortlichkeit von Google: Google ist für die Verarbeitung von Daten auf seinen Servern im Rahmen des OAuth-Vorgangs eigenverantwortlicher Verantwortlicher. Die Datenschutzpraktiken von Google sind in der Datenschutzerklärung von Google beschrieben: https://policies.google.com/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Google OAuth ist die technisch vorgesehene Anmeldemethode für den Dienst). Für den kurzen Zeitraum zwischen dem Abschluss des Google-OAuth-Vorgangs und der Fertigstellung der Mandanten-Erstellung gilt Art. 6 Abs. 1 lit. b DSGVO ebenfalls — als Verarbeitung im Rahmen vorvertraglicher Maßnahmen auf Veranlassung der betroffenen Person.

10. Echtzeit-Datenübertragung (Server-Sent Events)

Courthaus verwendet Server-Sent Events (SSE) für die Übertragung von Echtzeit-Aktualisierungen (z. B. wenn ein Mitarbeiter eine Buchung anlegt und andere Nutzer des gleichen Mandanten-Accounts dies sofort sehen sollen).

Welche Daten fließen dabei: Die SSE-Verbindung überträgt Ereignisnachrichten im Rahmen des bestehenden Mandantenkontexts; sie enthält keine Personendaten, die nicht ohnehin bereits für die Nutzung der Plattform verarbeitet werden. Die Verbindung wird über die bestehende authentifizierte Sitzung abgesichert. Nicht zugestellte Ereignisse werden kurzzeitig in der Datenbank zwischengespeichert, damit sie nach einem Verbindungsabbruch nachgeliefert werden können. Zwischengespeicherte Ereignisse werden unmittelbar nach erfolgreicher Zustellung oder nach Wiederaufbau der Verbindung aus dem Puffer gelöscht; eine Aufbewahrung über den für die Zustellung erforderlichen Zeitraum hinaus findet nicht statt.

Zweck: Technisch notwendige Funktion zur Bereitstellung der Echtzeit-Kollaborationsfähigkeit des Dienstes.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

11. Webanalyse und Tracking

Courthaus setzt derzeit keine Webanalyse-Tools, keine Tracking-Dienste und keine Dienste zur Erstellung von Nutzerprofilen ein. Es werden keine Daten an Analyse- oder Werbedienste übermittelt.

12. Auftragsverarbeitungsvertrag (AVV)

12.1 Pflicht zum Abschluss eines AVV

Da der Anbieter im Rahmen der Bereitstellung von Courthaus personenbezogene Daten der Gäste von Tenant-Nutzern verarbeitet, ist zwischen dem Anbieter (als Auftragsverarbeiter) und jedem Mandanten (als Verantwortlichem) ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO erforderlich. Die Nutzung von Courthaus zur Verarbeitung von Gästedaten ohne einen gültigen AVV ist datenschutzrechtlich unzulässig.

12.2 Inhalt des AVV

Der AVV regelt insbesondere:

• den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung;
• die Art der personenbezogenen Daten (Namen, Telefonnummern von Gästen) und die Kategorien betroffener Personen (Gäste der Sportanlage);
• die Pflichten und Rechte des Verantwortlichen (Mandanten) und des Auftragsverarbeiters (Anbieter);
• Anforderungen an die technischen und organisatorischen Maßnahmen (TOMs) zur Datensicherheit;
• Regelungen zur Unterauftragsverarbeitung (insbesondere Hosting- und Infrastrukturdienstleister);
• Pflichten bei Datenpannen (Art. 33, 34 DSGVO);
• Weisungsrechte des Verantwortlichen und Pflichten des Auftragsverarbeiters.

12.3 Abschluss des AVV

Der Auftragsverarbeitungsvertrag wird Mandanten im Rahmen der Konto-Erstellung zur Annahme vorgelegt. Durch die Annahme bei der Mandanten-Erstellung wird der AVV verbindlich geschlossen. Eine gesonderte Anforderung per E-Mail ist nicht erforderlich. Für Fragen zum AVV steht der Anbieter unter [email protected] zur Verfügung.

13. Weitergabe von Daten an Dritte

Der Anbieter gibt personenbezogene Daten von Tenant-Nutzern grundsätzlich nicht an Dritte weiter, außer in folgenden Fällen:

• Paddle: Soweit zur Abonnementabwicklung erforderlich (vgl. Abschnitt 8). Paddle ist als eigenverantwortlicher Verantwortlicher tätig.
• Google: Im Rahmen des OAuth-Anmeldevorgangs (vgl. Abschnitt 9). Google ist als eigenverantwortlicher Verantwortlicher tätig.
• Rechtliche Verpflichtungen: Wenn der Anbieter gesetzlich verpflichtet ist, Daten an Behörden oder Gerichte zu übermitteln (z. B. auf Grundlage einer richterlichen Anordnung), werden die betroffenen Personen — soweit gesetzlich zulässig — vorab informiert.
• Unterauftragsverarbeiter: Der Anbieter setzt für den Betrieb der Infrastruktur (z. B. Datenbankhosting, Serverhosting) Unterauftragsverarbeiter ein. Diese werden sorgfältig ausgewählt und sind vertraglich zur Einhaltung der DSGVO verpflichtet. Einzelheiten werden im AVV geregelt. [Name und Sitz des Hosting-Dienstleisters — vor Veröffentlichung einzutragen.] Der Hosting-Dienstleister verfügt im Rahmen seiner Infrastrukturleistungen über technischen Zugang zu den auf den Servern gespeicherten Daten; die eigene Unterauftragsverarbeiterkette des Hosting-Dienstleisters unterliegt vertraglichen Verpflichtungen, die den Anforderungen des AVV gleichwertig sind und EWR-äquivalente Datenschutzstandards gewährleisten.
• Externe Buchungs-API: Für die Verwaltung von Verfügbarkeiten und Zeitfenstern setzt der Anbieter einen externen Buchungs-API-Dienst ein. Die datenschutzrechtliche Einordnung dieses Dienstleisters als Unterauftragsverarbeiter wird derzeit geprüft. [Name und Sitz des Anbieters — vor Veröffentlichung einzutragen, sobald die Bewertung abgeschlossen ist.]

14. Drittlandübermittlungen

Im Rahmen der Nutzung von Google OAuth können personenbezogene Daten in Drittländer (insbesondere in die USA) übermittelt werden. Google verarbeitet Daten auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023). Sollte der Angemessenheitsbeschluss zum EU-US Data Privacy Framework seine Wirkung verlieren, stützt sich die Übermittlung auf EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, die Google unabhängig vom Angemessenheitsbeschluss unterhält. Beide Übermittlungsmechanismen — der Angemessenheitsbeschluss und die Standardvertragsklauseln — bestehen damit nebeneinander; die Standardvertragsklauseln greifen als Rückfallmechanismus, ohne dass ein gesonderter Schritt des Anbieters erforderlich ist. Der Angemessenheitsbeschluss gilt für Googles Verarbeitung sowohl in der vorvertraglichen Phase (wenn die OAuth-Weiterleitung vor dem Abschluss eines Vertrags mit dem Anbieter eingeleitet wird) als auch nach Vertragsschluss. Rechtsgrundlage für die Übermittlung in der vorvertraglichen Phase ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen auf Veranlassung der betroffenen Person). Weitere Informationen sind in der Datenschutzerklärung von Google abrufbar.

Paddle (Paddle.com Market Limited) ist in Dublin, Irland, ansässig und damit innerhalb des Europäischen Wirtschaftsraums (EWR) tätig. Die Übermittlung von Daten an Paddle ist eine innereuropäische Übermittlung und erfordert keine besonderen Schutzmaßnahmen gemäß Art. 46 DSGVO. Etwaige Weiterübermittlungen von Paddle an eigene Unterauftragsverarbeiter unterliegen den Datenschutzvereinbarungen von Paddle.

Die vom Anbieter selbst betriebene Court-Manager-Infrastruktur (Datenbankserver, Webserver) wird innerhalb des Europäischen Wirtschaftsraums (EWR) betrieben.

15. Datensicherheit

Der Anbieter trifft angemessene technische und organisatorische Maßnahmen (TOMs), um personenbezogene Daten vor unbefugtem Zugriff, Verlust, Zerstörung oder Veränderung zu schützen. Dazu gehören insbesondere:

• Verschlüsselung der Datenübertragung: Alle Verbindungen zur Plattform erfolgen ausschließlich über HTTPS (TLS-Verschlüsselung).
• Sicheres Sitzungsmanagement: Sitzungs-Tokens werden kryptographisch gesichert und als gehashte Werte in der Datenbank gespeichert. Das Sitzungs-Cookie ist als HttpOnly, Secure und SameSite=Strict konfiguriert, sodass es für JavaScript im Browser nicht zugänglich ist und nicht bei Cross-Site-Anfragen mitgesendet wird.
• Verschlüsselung sensibler Daten: Sicherheitskritische Inhalte werden mit starken kryptographischen Verfahren (AES-256-GCM) verschlüsselt gespeichert.
• Zugriffskontrolle: Der Zugriff auf Daten ist auf die jeweils berechtigten Mandanten beschränkt; Mitarbeiterinnen und Mitarbeiter können nur auf die Daten ihres eigenen Mandanten-Accounts zugreifen.
• Datenbankabsicherung: Datenbankzugriffe erfolgen ausschließlich über gesicherte, authentifizierte Verbindungen.
• Datensicherungen (Backups): Regelmäßige Datensicherungen werden vom Hosting-Dienstleister innerhalb des EWR durchgeführt. Der Hosting-Dienstleister hat dabei Zugriff auf alle gespeicherten personenbezogenen Daten; er ist als Unterauftragsverarbeiter in Abschnitt 13 aufgeführt.

15.1 Datenpannen betreffend Tenant-Nutzerdaten (Anbieter als Verantwortlicher)

Soweit eine Datenpanne personenbezogene Daten von Tenant-Nutzern betrifft, für die der Anbieter als Verantwortlicher tätig ist (vgl. Abschnitt 4), wird der Anbieter die zuständige Datenschutzbehörde innerhalb der gesetzlichen Frist von 72 Stunden nach Bekanntwerden gemäß Art. 33 DSGVO benachrichtigen. Betroffene Personen werden gemäß Art. 34 DSGVO informiert, soweit dies gesetzlich erforderlich ist.

15.2 Datenpannen betreffend Gästedaten (Anbieter als Auftragsverarbeiter)

Für Gästedaten, die der Anbieter im Auftrag von Mandanten als Auftragsverarbeiter verarbeitet, informiert der Anbieter den betroffenen Mandanten (als Verantwortlichen) unverzüglich über Datenpannen, die diese Daten betreffen (vgl. AVV §11). Die Beurteilung, ob eine Meldung an die Datenschutzbehörde gemäß Art. 33 DSGVO oder eine Benachrichtigung betroffener Personen gemäß Art. 34 DSGVO erforderlich ist, obliegt dem jeweiligen Mandanten als Verantwortlichem. Die Pflicht zur Meldung an die Aufsichtsbehörde und zur Benachrichtigung betroffener Personen liegt damit beim Mandanten, nicht beim Anbieter.

16. Speicherdauer und Löschung

Der Anbieter speichert personenbezogene Daten nur so lange, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Einwilligungsnachweise: Aufzeichnungen über die Zustimmung zu Nutzungsbedingungen und Datenschutzerklärung (einschließlich impliziter Zustimmung durch fortgesetzte Nutzung nach Aktualisierungen) werden für mindestens drei Jahre nach Beendigung des Vertragsverhältnisses aufbewahrt. Diese Aufzeichnungen dienen dem Nachweis der Vertragsgrundlage und sind gemäß Art. 17 Abs. 3 lit. b DSGVO (Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen) von der Löschpflicht ausgenommen. Rechtsgrundlage für die Aufbewahrung über das Vertragsende hinaus: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Dokumentation der erteilten Einwilligung und an der Verteidigung von Rechtsansprüchen); Ausnahme vom Löschungsrecht: Art. 17 Abs. 3 lit. b DSGVO; die dreijährige Frist orientiert sich an § 1489 ABGB.

Daten nach Vertragsende: Gemäß den Nutzungsbedingungen bleiben Mandantendaten nach Vertragsende im eingeschränkten Lesemodus zugänglich, bis der Mandant eine Löschung veranlasst oder der Anbieter die Löschung nach schriftlicher Ankündigung vornimmt. Mandanten können über die in Courthaus integrierten Datenexport- und Löschfunktionen jederzeit eine vollständige Löschung veranlassen.

17. Ihre Rechte als betroffene Person

Als betroffene Person stehen Ihnen gegenüber dem Anbieter — soweit er als Verantwortlicher tätig ist — folgende Rechte nach der DSGVO zu:

17.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob der Anbieter personenbezogene Daten über Sie verarbeitet, sowie eine Kopie dieser Daten und ergänzende Informationen über die Verarbeitung.

17.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung unrichtiger personenbezogener Daten zu verlangen. Im Rahmen der Zwecke der Verarbeitung haben Sie außerdem das Recht, die Vervollständigung unvollständiger Daten zu verlangen.

17.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung personenbezogener Daten zu verlangen, sofern die gesetzlichen Voraussetzungen vorliegen — insbesondere wenn die Daten für die ursprünglichen Zwecke nicht mehr benötigt werden, wenn Sie eine Einwilligung widerrufen haben oder wenn Sie Widerspruch einlegen und keine vorrangigen berechtigten Gründe für die Verarbeitung bestehen.

17.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, unter den gesetzlichen Voraussetzungen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen — etwa wenn Sie die Richtigkeit der Daten bestreiten oder wenn die Verarbeitung unrechtmäßig ist, Sie aber der Löschung widersprechen.

17.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Soweit die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und automatisiert erfolgt, haben Sie das Recht, die Sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu verlangen. Courthaus stellt hierfür eine integrierte Datenexportfunktion bereit.

17.6 Widerspruchsrecht (Art. 21 DSGVO)

Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) gestützt wird, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung einzulegen. Der Anbieter wird die Daten dann nicht mehr verarbeiten, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen überwiegen. Dieses Widerspruchsrecht gilt insbesondere für die Verarbeitung im Rahmen der Serverprotokolle (§7), die auf Art. 6 Abs. 1 lit. f DSGVO gestützt wird, sowie für die Verarbeitung von Daten eingeladener Mitarbeiterinnen und Mitarbeiter (§4.4).

17.7 Widerruf einer Einwilligung

Soweit eine Datenverarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese Einwilligung jederzeit zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

17.8 Geltendmachung Ihrer Rechte

Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an:

[email protected]

Bitte kennzeichnen Sie Ihre Anfrage im Betreff mit dem Hinweis „Datenschutzanfrage", um eine fristgerechte Bearbeitung innerhalb der gesetzlichen Frist (Art. 12 Abs. 3 DSGVO: in der Regel ein Monat) sicherzustellen. Sie haben außerdem das Recht, bei der zuständigen Datenschutzbehörde Beschwerde einzulegen — vgl. Abschnitt 18.

Der Anbieter wird Ihre Anfrage unverzüglich, in der Regel innerhalb eines Monats, beantworten.

Hinweis für Gäste von Sportanlagen: Wenn Sie als Gast einer Sportanlage Auskunft über Ihre in Courthaus gespeicherten Daten erhalten oder die Löschung Ihrer Daten beantragen möchten, wenden Sie sich bitte direkt an den jeweiligen Sportanlagenbetreiber. Dieser ist als Verantwortlicher für Ihre Daten zuständig. Der Anbieter von Courthaus ist in diesem Verhältnis nur Auftragsverarbeiter und handelt nach Weisung des Betreibers.

18. Beschwerderecht bei der Datenschutzbehörde

Sie haben das Recht, bei der zuständigen Datenschutzaufsichtsbehörde Beschwerde einzulegen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO oder das österreichische Datenschutzgesetz (DSG) verstößt.

Die zuständige Aufsichtsbehörde in Österreich ist:

Österreichische Datenschutzbehörde (DSB) Barichgasse 40–42 1030 Wien Österreich Telefon: +43 1 52 152-0 E-Mail: [email protected] Website: https://www.dsb.gv.at

19. Änderungen dieser Datenschutzerklärung

Der Anbieter behält sich das Recht vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren — insbesondere um veränderten gesetzlichen Anforderungen, neuen Verarbeitungsvorgängen oder geänderten Produktfunktionen Rechnung zu tragen.

Wesentliche Änderungen werden Tenant-Nutzern über eine Benachrichtigung im Court-Manager-Konto mindestens 30 Tage vor ihrem Inkrafttreten angekündigt, entsprechend dem in den Nutzungsbedingungen beschriebenen Änderungsverfahren.

Sofern eine Änderung dieser Datenschutzerklärung den Umfang, den Zweck oder die Rechtsgrundlage einer auf Art. 6 Abs. 1 lit. f DSGVO gestützten Verarbeitung betrifft (derzeit: Serverprotokolle gemäß §7 und Daten eingeladener Mitarbeiterinnen und Mitarbeiter gemäß §4.4), enthält die Änderungsankündigung zusätzlich einen direkt zugänglichen Mechanismus zur Ausübung des Widerspruchsrechts gemäß Art. 21 DSGVO — nicht lediglich einen Hinweis auf das Bestehen dieses Rechts. Ein solcher Mechanismus ist z. B. ein vorausgefüllter Kontakt-Link oder ein dediziertes Widerspruchsformular, das ohne weiteren Navigationsaufwand aus der Ankündigung heraus erreichbar ist. Auf das Widerspruchsrecht gemäß Art. 21 DSGVO wird in der Ankündigung ausdrücklich und prominent hingewiesen.

Die jeweils aktuelle Version dieser Datenschutzerklärung ist auf der Court-Manager-Plattform abrufbar. Das Datum „Stand" am Anfang des Dokuments gibt den Zeitpunkt der letzten Aktualisierung an.

Courthaus — Datenschutzerklärung, Stand 4. März 2026 Verantwortlicher: Rudolph Gottesheim, Ein-Personen-Unternehmen, Österreich Marke: Midnight Design