Datenschutzerklärung
Diese Datenschutzerklärung informiert Sie nach Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung Ihrer personenbezogenen Daten bei Nutzung der Angebote unter tenniix-robot.com, tenniix-robot.de und club.tenniix-robot.com (nachfolgend „Plattform") sowie im Rahmen von Kauf, Miete und Vereinsnutzung des Tenniix Tennisroboters.
1. Verantwortlicher
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:
Xing Handels GmbH Schumanstr. 12 52146 Würselen Telefon: +49 2405 6039810 E-Mail: info@xing-handels.de Vertreten durch: Herrn Zhenxing Wang
2. Datenschutzbeauftragter
Wir haben für unser Unternehmen einen Datenschutzbeauftragten bestellt. Bei Fragen zum Datenschutz sowie zur Ausübung Ihrer Betroffenenrechte erreichen Sie unseren Datenschutzbeauftragten unter:
Xing Handels GmbH – Datenschutzbeauftragter – Schumanstr. 12 52146 Würselen E-Mail: info@xing-handels.de
3. Allgemeines zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung der Nutzer oder soweit die Verarbeitung durch gesetzliche Vorschriften gestattet ist.
Rechtsgrundlagen (Übersicht):
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung
- Art. 6 Abs. 1 lit. b DSGVO – Vertrag / vorvertragliche Maßnahmen
- Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung (z. B. handels- und steuerrechtliche Aufbewahrung)
- Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse
Datenspeicherort / Drittland: Alle Daten werden ausschließlich auf Servern innerhalb der Bundesrepublik Deutschland bzw. der Europäischen Union verarbeitet und gespeichert. Eine Übermittlung in Drittländer außerhalb der EU/des EWR findet nicht statt.
4. Bereitstellung der Website und Server-Logfiles
Bei jedem Aufruf unserer Plattform erfasst unser System automatisiert Daten und Informationen des aufrufenden Endgeräts.
Verarbeitete Daten: Browsertyp und -version, verwendetes Betriebssystem, Referrer-URL, Datum und Uhrzeit des Zugriffs, übertragene Datenmenge, HTTP-Statuscode sowie eine gekürzte/anonymisierte IP-Adresse.
Zweck: Auslieferung der Website, Gewährleistung der Systemsicherheit und -stabilität, Abwehr und Aufklärung von Angriffen (z. B. DDoS, Brute-Force).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, störungsfreien Betrieb).
Speicherdauer: Server-Logfiles werden für maximal 7 Tage gespeichert und anschließend gelöscht. Logdaten, die zur Aufklärung eines konkreten Sicherheitsvorfalls erforderlich sind, werden bis zur abschließenden Klärung aufbewahrt.
5. Hosting
Unsere Plattform wird auf einem Server in Deutschland betrieben.
Auftragsverarbeiter: Hosting-Dienstleister mit Rechenzentrum in Deutschland
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Mit dem Hosting-Dienstleister besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.
Schriftarten (z. B. Poppins) und sonstige Assets werden ausschließlich lokal von unserem Server geladen (self-hosted). Ein Laden über Google Fonts oder Drittanbieter-CDNs findet nicht statt; es werden hierbei keine Daten an Dritte übertragen.
6. Cookies und Consent-Management
Wir setzen technisch notwendige Cookies ein, die für den Betrieb der Plattform erforderlich sind (z. B. Session-Verwaltung, Warenkorb, Sicherheits-/CSRF-Token, Speicherung Ihrer Cookie-Entscheidung).
Rechtsgrundlage technisch notwendiger Cookies: § 25 Abs. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f bzw. lit. b DSGVO.
Nicht notwendige Cookies und vergleichbare Technologien (z. B. Reichweitenmessung) setzen wir erst nach Ihrer ausdrücklichen Einwilligung über unser Consent-Banner ein.
Rechtsgrundlage einwilligungsbedürftiger Technologien: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft über die Cookie-Einstellungen widerrufen.
Consent-Protokoll: Zum Nachweis erteilter Einwilligungen protokollieren wir Zeitpunkt, Umfang und Version Ihrer Entscheidung. Speicherdauer: Nachweisdauer zzgl. 3 Jahre (Verjährung).
7. Reichweitenmessung / Analyse
Erst nach Einwilligung (Statistik): Zur Verbesserung unseres Angebots messen wir – ausschließlich nach Ihrer Einwilligung über das Consent-Banner (Kategorie „Statistik") – die Nutzung unserer Website (z. B. aufgerufene Seiten, Klicks auf Schaltflächen, Schritte im Kauf-/Mietprozess). Die Erfassung erfolgt pseudonym und datensparsam: Wir speichern keine Klarnamen, E-Mail-Adressen, vollständigen IP-Adressen oder sonstige Sie unmittelbar identifizierenden Daten in den Messereignissen. Vor Ihrer Einwilligung findet keinerlei Messung statt; es werden keine Analyse-Anfragen ausgelöst.
Self-hosted / EU, keine Dritt-CDN: Die Messung erfolgt über ein selbst gehostetes, EU-basiertes, cookieloses Analyse-Verfahren (vorgesehen: Matomo bzw. Plausible). Es werden keine Daten an Dritte und keine Skripte von Drittanbietern (z. B. Google) geladen. Solange kein Analyse-Werkzeug konfiguriert ist, werden Messereignisse nur in unseren eigenen Server-Protokollen ausgewertet (kein externer Versand).
Performance-Messung (Web Vitals / RUM): Ebenfalls nur nach Statistik-Einwilligung messen wir anonyme technische Leistungswerte Ihres Browsers (z. B. Ladezeit, Interaktionslatenz, Layout-Stabilität) und senden sie an unseren eigenen Endpunkt. Es werden ausschließlich anonyme Kennzahlen und der aufgerufene Pfad (ohne Suchparameter) verarbeitet – kein Personenbezug.
Marketing-Messung (gesonderte Einwilligung): Conversion-Ereignisse für die Erfolgsmessung von Werbung (z. B. abgeschlossener Kauf/abgeschlossene Miete) werden nur verarbeitet, wenn Sie zusätzlich der Kategorie „Marketing" zugestimmt haben (Consent-Mode-v2-Datenschicht vorbereitet, derzeit ohne aktiven Drittanbieter).
Speicherdauer: Aggregierte/pseudonyme Messdaten werden nur so lange gespeichert, wie es für die Auswertung erforderlich ist. Einen etwaigen technischen Sitzungs-Marker bilden wir nur in nicht umkehrbarer, täglich wechselnder Form (kein dauerhaftes Wiedererkennen).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (Einwilligung). Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft über die Cookie-Einstellungen widerrufen.
8. Kundenkonto / Registrierung
Sie können auf unserer Plattform ein Nutzerkonto anlegen (Kunde, Vereinsadministrator oder Partner).
Verarbeitete Daten: Name, E-Mail-Adresse, Passwort (ausschließlich als kryptografischer Hash, Verfahren argon2id, gespeichert), Rolle, ggf. Anschrift(en), Sprachpräferenz, Bestell-/Miet-/Buchungshistorie.
Zweck: Bereitstellung des Kontos, Verwaltung Ihrer Bestellungen, Mietvorgänge, Buchungen und Anrechnungsguthaben, Authentifizierung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Nutzungs-/Kaufvertrags).
Speicherdauer: Für die Dauer des Bestehens des Kontos. Nach Löschung des Kontos werden die Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten (insbesondere handels- und steuerrechtlich, 10 Jahre) entgegenstehen; solche Daten werden für die weitere Verarbeitung gesperrt.
9. Bestellung im Shop
Verarbeitete Daten: Name, Rechnungs- und Lieferadresse, E-Mail, Telefonnummer (optional), bestellte Artikel (SKUs), Zahlungsart, Rechnungsdaten, Bestell- und Rechnungsnummer, ggf. eingesetzter Rabatt-/Vereinscode und Mietanrechnungsguthaben.
Zweck: Abwicklung des Kaufvertrags, Rechnungsstellung, Versand, Gewährleistung, Buchhaltung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag); für die Aufbewahrung von Rechnungen Art. 6 Abs. 1 lit. c DSGVO (§ 147 AO, § 257 HGB).
Speicherdauer: Rechnungs- und buchungsrelevante Daten 10 Jahre. Übrige Bestelldaten werden gelöscht, sobald sie für die Vertragsabwicklung und etwaige Gewährleistungsansprüche nicht mehr erforderlich sind.
10. Mietbuchung (Versandmiete), Kaution und Sendungsverfolgung
Für die Buchung einer Versandmiete (z. B. Tenniix Basic/Pro) verarbeiten wir die zur Durchführung des Mietvertrags erforderlichen Daten.
Verarbeitete Daten: Name, Liefer-/Rechnungsadresse, E-Mail, Mietzeitraum und Verlängerungen, Versand- und Sendungsverfolgungsdaten (DHL-Zustell- und Annahme-Scans), Daten zur Kaution (Vorautorisierung), Schadensdokumentation bei Rückgabe.
Kaution (Pre-Authorisierung): Die Kaution (Basic 350 €, Pro 500 €) wird ausschließlich als Vorautorisierung (Pre-Auth) über unseren Zahlungsdienstleister reserviert; es erfolgt keine Abbuchung, sofern keine berechtigten Ansprüche (z. B. Schäden, verspätete Rückgabe) bestehen. Die Reservierung wird nach mängelfreier Rückgabeprüfung zügig freigegeben.
Sendungsverfolgung als Mietuhr: Der DHL-Zustell-Scan markiert den Mietbeginn, der DHL-Annahme-Scan (Rückgabe) das Mietende. Hierfür verarbeiten wir die Sendungsstatusdaten.
Zweck: Durchführung des Mietvertrags, Versand und Rücknahme, Kautionsmanagement, Schadensabwicklung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag); Schadens-/Forderungsdurchsetzung Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: Miet- und Rechnungsdaten 10 Jahre (steuerlich); Schadensfotos bis zur abschließenden Klärung etwaiger Ansprüche.
11. Schadensdokumentation (Fotos)
Bei Versand und Rückgabe von Mietgeräten erstellen wir Fotos zur Beweissicherung des Gerätezustands. Diese werden außerhalb des öffentlich erreichbaren Bereichs gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO (Durchführung des Mietvertrags, Sicherung von Ansprüchen).
Speicherdauer: Bis zur abschließenden Klärung des jeweiligen Vorgangs bzw. Ablauf der Verjährungsfrist.
12. Vereins-Integration (Auftragsverarbeitung)
Im Vereinsprogramm verwalten Vereine über das Vereinsportal (`club.tenniix-robot.com`) Buchungen ihrer Mitglieder/Gäste. Soweit wir personenbezogene Daten von Vereinsmitgliedern im Auftrag des jeweiligen Vereins verarbeiten (z. B. Buchungsdaten im Dashboard), handeln wir als Auftragsverarbeiter des Vereins gemäß Art. 28 DSGVO. Verantwortlicher für diese Mitgliederdaten ist insoweit der jeweilige Verein.
Mit jedem teilnehmenden Verein wird im Onboarding ein Auftragsverarbeitungsvertrag (AVV) geschlossen.
Verarbeitete Daten: Buchungsdaten (Zeitfenster, Preis, Zahlart, Status), ggf. Name/Kontaktdaten des buchenden Spielers.
Rechtsgrundlage: Für eigene Zwecke (Plattformbetrieb) Art. 6 Abs. 1 lit. b/f DSGVO; im Übrigen Verarbeitung im Auftrag nach Art. 28 DSGVO auf Grundlage der Rechtsgrundlage des Vereins.
Speicherdauer: Nach Maßgabe des AVV bzw. der Weisungen des Vereins sowie gesetzlicher Aufbewahrungspflichten (Abrechnungsdaten 10 Jahre).
13. Zahlungsabwicklung (Stripe) – bei Live-Betrieb
Hinweis: Die Zahlungsabwicklung wird erst mit Aktivierung des Zahlungsdienstleisters live geschaltet; im aktuellen Demo-/Testbetrieb werden keine echten Zahlungsdaten erhoben oder an Stripe übertragen.
Für die Zahlungsabwicklung (Kauf, Miete, Kaution, Vereinsbuchungen) nutzen wir den Zahlungsdienstleister Stripe Payments Europe, Ltd. (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland). Bei der Bezahlung werden die Zahlungsdaten (z. B. Karten-/SEPA-Daten) direkt an Stripe übertragen und von Stripe verarbeitet; vollständige Kartendaten gelangen nicht auf unsere Server.
Verarbeitete Daten (durch uns): Name, Betrag, Zahlungsstatus, Transaktions-/Vorgangsreferenzen.
Zweck: Zahlungsabwicklung, Kautions-Vorautorisierung, Vereinsauszahlungen (Stripe Connect), Betrugsprävention.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), Art. 6 Abs. 1 lit. f DSGVO (Betrugsprävention).
Empfänger / AVV: Mit Stripe besteht ein Vertrag zur Auftragsverarbeitung. Stripe verarbeitet die Daten innerhalb der EU/des EWR. Weitere Informationen: Datenschutzhinweise von Stripe.
14. Versand (DHL) – bei Live-Betrieb
Hinweis: Der Versand wird erst mit Aktivierung des Versanddienstleisters live geschaltet; im aktuellen Demo-/Testbetrieb erfolgt kein realer Versand und keine Übermittlung an DHL.
Für Versand und Rücksendung von Kauf- und Mietsendungen nutzen wir DHL (DHL Paket GmbH, Sträßchensweg 10, 53113 Bonn). Hierzu übermitteln wir die für Versand und Sendungsverfolgung erforderlichen Daten (Name, Lieferadresse, ggf. E-Mail/Telefon für Benachrichtigungen).
Zweck: Lieferung und Rücknahme, Sendungsverfolgung (Mietuhr-Start/-Ende).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
Empfänger / AVV: DHL als Empfänger der Versanddaten; soweit erforderlich besteht ein Auftragsverarbeitungsvertrag.
15. E-Mail-Versand (transaktional) – bei Live-Betrieb
Für den Versand transaktionaler E-Mails (Bestell-/Mietbestätigungen, Rückgabe-Erinnerungen, Anrechnungs-Countdown) nutzen wir den E-Mail-Dienst unseres Providers hashfox (SMTP-Server mail1.hashfox.com, Serverstandort EU/Deutschland); mit dem Anbieter besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.
Verarbeitete Daten: E-Mail-Adresse, Name, Inhalt der jeweiligen Transaktionsnachricht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
Empfänger / AVV: E-Mail-Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO), EU-Verarbeitung.
16. Newsletter / Marketing (Double-Opt-in)
Wenn Sie unseren Newsletter abonnieren, verarbeiten wir Ihre E-Mail-Adresse (und ggf. Ihren Namen) zum Versand von Werbung zu eigenen Produkten und Angeboten.
Double-Opt-in: Nach Ihrer Anmeldung erhalten Sie eine Bestätigungs-E-Mail; erst nach Bestätigung des Links sind Sie eingetragen. Zum Nachweis protokollieren wir Anmelde- und Bestätigungszeitpunkt sowie die verwendete IP-Adresse.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); für Bestandskundenwerbung ggf. § 7 Abs. 3 UWG.
Speicherdauer: Bis zum Widerruf der Einwilligung bzw. Abmeldung. Sie können den Newsletter jederzeit über den Abmeldelink in jeder E-Mail oder per Nachricht an info@xing-handels.de abbestellen.
17. Kontaktaufnahme
Wenn Sie uns per E-Mail, Telefon oder Kontaktformular kontaktieren, verarbeiten wir Ihre Angaben zur Bearbeitung Ihrer Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (bei vertragsbezogenen Anfragen) bzw. Art. 6 Abs. 1 lit. f DSGVO (sonstige Anfragen).
Speicherdauer: Bis zur abschließenden Bearbeitung; anschließend Löschung, soweit keine Aufbewahrungspflichten bestehen.
18. Kamera am Tenniix-Gerät (On-Device-Verarbeitung)
Der Tenniix Tennisroboter verfügt über eine Kameratechnik zur Erkennung von Ball- und Bewegungsdaten für das Training (Vision-/Tracking-Funktion).
Wichtig – On-Device-Verarbeitung: Die Bild-/Videoauswertung erfolgt ausschließlich lokal auf dem Gerät (on-device). Es werden durch uns keine Videoaufnahmen erhoben, an uns übertragen oder bei uns gespeichert.
Keine Biometrie / keine Gesichtserkennung: Es findet keine Gesichtserkennung, keine biometrische Identifizierung und keine Emotionserkennung statt. Es werden keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO verarbeitet. Die Funktion dient ausschließlich dem Ball-/Bewegungstracking zu Trainingszwecken und ist im Sinne des EU-KI-Verordnung (Verordnung (EU) 2024/1689) als Anwendung mit minimalem Risiko einzuordnen.
Mitspieler / Dritte: Wird das Gerät im Verein oder öffentlich genutzt, können Dritte ins Blickfeld geraten. Da keine Aufzeichnung oder Identifizierung erfolgt, ist die Verarbeitung auf das technisch Notwendige beschränkt. Vereine erhalten von uns ein Beschilderungs-Kit („KI-Trainingsgerät mit Kamera in Betrieb") zur Information.
Telemetrie: Vom Gerät werden zu Betriebs- und Wartungszwecken technische Telemetriedaten verarbeitet (z. B. Betriebsstunden, Akkustand, Fehlercodes, Seriennummer). Diese enthalten keine Bild-/Videoinhalte.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung/Trainingsfunktion) sowie Art. 6 Abs. 1 lit. f DSGVO (Wartung, Sicherheit, Flottenmanagement).
Speicherdauer Telemetrie: 12 Monate, danach Löschung bzw. Anonymisierung.
Datenschutz-Folgenabschätzung (DSFA): Für den Einsatz der kamerabasierten Vision-/Tracking-Technik haben wir geprüft, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist. Da die Auswertung ausschließlich on-device erfolgt, keine Aufzeichnung, keine biometrische Identifizierung und keine Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO) stattfindet, ist nach derzeitiger Einschätzung kein hohes Risiko für die Rechte und Freiheiten betroffener Personen anzunehmen. Status der DSFA: als nicht erforderlich bewertet (siehe vorstehende Begründung); die Bewertung wird bei wesentlichen Änderungen der Verarbeitung erneut geprüft.
19. Empfänger / Auftragsverarbeiter (Übersicht)
Ihre Daten werden nur an Empfänger weitergegeben, soweit dies zur Vertragserfüllung oder aufgrund gesetzlicher Pflichten erforderlich ist. Dies sind insbesondere:
- Hosting-Dienstleister (EU/DE) – Auftragsverarbeiter
- Zahlungsdienstleister Stripe (EU) – bei Live-Betrieb
- Versanddienstleister DHL (EU/DE) – bei Live-Betrieb
- E-Mail-Dienstleister (EU) – bei Live-Betrieb
- Steuerberater / Buchhaltung sowie Finanzbehörden – im gesetzlichen Rahmen
- Teilnehmende Vereine – nur im Rahmen der Auftragsverarbeitung gemäß Ziffer 12
Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Eine Übermittlung in Drittländer findet nicht statt.
20. Speicherdauer (Zusammenfassung)
| Datenkategorie | Speicherdauer |
|---|---|
| Bestellungen, Rechnungen, Mietverträge (steuerrelevant) | 10 Jahre |
| Gerätetelemetrie | 12 Monate |
| Newsletter / Marketing | bis Widerruf |
| Leads / Anfragen ohne Abschluss | bis zu 12 Monate, dann anonymisieren |
| Consent-Nachweise | Nachweisdauer + 3 Jahre |
| Server-Logfiles | max. 7 Tage |
| Sessions | TTL / bis Logout |
21. Ihre Rechte als betroffene Person
Sie haben nach der DSGVO folgende Rechte:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Zur Ausübung Ihrer Rechte wenden Sie sich an info@xing-handels.de. In Ihrem Kundenkonto stellen wir zudem Funktionen zum Datenexport und zur Beantragung der Kontolöschung bereit.
22. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist u. a. die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts oder die für uns zuständige Behörde:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Kavalleriestraße 2–4 40213 Düsseldorf Telefon: +49 (0) 211 38424-0 E-Mail: poststelle@ldi.nrw.de
23. Pflicht zur Bereitstellung / automatisierte Entscheidungen
Die Bereitstellung bestimmter Daten ist für den Vertragsschluss erforderlich; ohne diese Daten können wir den Vertrag (Kauf/Miete) nicht abschließen. Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt.