HSG Varel Dauerkarten

Anker Sportmanagement
← Zum Saalplan

Rechtliches

Datenschutzerklärung

Stand: Mai 2026

1. Verantwortliche Stelle

Anker Sportmanagement — eine Marke der
HSG Varel-Friesland UG (haftungsbeschränkt)
Am Hafen 3, 26316 Varel
Telefon: 04451/3384
E-Mail: tickets@handball-varel.de

Vertretungsberechtigte Geschäftsführer: Christoph Deters, Frederik Stahmer.

2. Zweck der Datenverarbeitung

Wir verarbeiten personenbezogene Daten, soweit dies zur Abwicklung des Dauerkarten-Verkaufs erforderlich ist. Erhoben werden:

  • Vor- und Nachname, E-Mail-Adresse — Pflicht, für Vertragsabschluss und Ticket-Versand
  • Anschrift (Straße, PLZ, Ort) — für die Rechnungsstellung
  • Telefonnummer — optional, für Rückfragen
  • Abweichender Rechnungsempfänger (Feld „Rechnung an") — optional, falls die Rechnung auf eine andere Person oder Firma ausgestellt werden soll
  • Kategorie des Inhabers (privat / firma / intern) — für die korrekte Rechnungsstellung und interne Zuordnung
  • Besucher-Vorname / Besucher-Nachname (optional, auf Ebene der einzelnen Dauerkarte) — Personalisierung der Karte. Werden Namen Dritter angegeben, ist der Inhaber verpflichtet, diese Personen über die Verarbeitung zu informieren.
  • Freitextfeld „Kommentar zur Bestellung" (optional, max. 1000 Zeichen) — für Hinweise im Bestellprozess (z. B. Sitzplatz-Wünsche). Bitte gib in diesem Feld keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (z. B. Gesundheitsdaten) an.
  • IP-Adresse beim Klick auf den E-Mail-Bestätigungslink — für Audit-Zwecke (siehe Abschnitt 6)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Aufbewahrungspflichten nach HGB/AO).

3. Hosting

Diese Website wird bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland gehostet. Die Server stehen in Deutschland. Mit dem Hosting-Anbieter besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Der E-Mail-Versand erfolgt separat über die WebGo GmbH (siehe Abschnitt 8).

Von der Anwendungs-Datenbank wird täglich um ca. 03:00 Uhr ein Backup auf dem Server erstellt. Gelöschte Daten können daher zeitweise noch in einem Backup enthalten sein, bis dieses turnusmäßig überschrieben wird.

4. Zugriffsdaten / Server-Logs

Beim Aufruf dieser Website erhebt der Hoster in Server-Logfiles folgende Daten: IP-Adresse, Datum und Uhrzeit des Zugriffs, Referrer-URL, User-Agent (Browser und Betriebssystem), abgerufene Ressource und HTTP-Statuscode.

Zweck: Gewährleistung eines störungsfreien Betriebs und der Sicherheit der Systeme.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Speicherdauer: max. 7 Tage, danach automatisierte Löschung, sofern kein konkreter Missbrauchsverdacht eine längere Speicherung rechtfertigt.

Rate-Limiting zum Schutz vor Missbrauch

Zum Schutz vor Brute-Force-Versuchen und Bestellmissbrauch zählen wir in einem internen Server-Cache pro IP-Adresse (15-Minuten-Fenster) sowie pro Kombination aus Nachname und Platznummer (60-Minuten-Fenster) die Zahl bestimmter Anfragen. Bei Überschreitung der Schwelle wird ein entsprechender Log-Eintrag (Marker [RATELIMIT]) inklusive IP-Adresse erstellt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemsicherheit und Bestellintegrität).

5. Cookies / Session-Tracking

Wir setzen ausschließlich technisch notwendige Cookies ein, um den Bestellvorgang abzubilden:

  • sessionid — Session-Cookie zur Zuordnung Deiner Sitzung, Laufzeit max. 3 Stunden, HttpOnly, Secure, SameSite=Lax.
  • csrftoken — CSRF-Schutz-Cookie zur Abwehr von Cross-Site-Request-Forgery, Secure, SameSite=Lax.

Zusätzlich wird im lokalen Speicher (localStorage) Deines Browsers Dein aktueller Warenkorb (ausgewählte Sitzplatz-IDs, Anzahl Familienkarten) zwischengespeichert, damit die Auswahl beim Neuladen erhalten bleibt; diese Daten verbleiben ausschließlich in Deinem Browser und werden nicht an uns übertragen.

Die eigentliche Sitzplatz-Reservierung erfolgt serverseitig: Beim Auswählen eines Platzes speichern wir in der Datenbank einen Reservierungs-Datensatz mit einem anonymisierten Session-Schlüssel, der Sitzplatz-ID, der Saison und einem Ablaufzeitpunkt. Die Reservierung verfällt nach 10 Minuten automatisch; abgelaufene Einträge werden bei jedem weiteren Reservierungsvorgang entfernt.

Diese Cookies und der Reservierungs-Datensatz sind nach § 25 Abs. 2 TDDDG einwilligungsfrei. Wir setzen keine Tracking-, Analyse- oder Marketing-Cookies ein.

6. E-Mail-Verifikation und Audit-Logging

Zur Bestätigung der E-Mail-Adresse senden wir einen Link mit einem zeitlich befristeten Token (Gültigkeit 48 Stunden, einmalig verwendbar). Beim Klick auf den Bestätigungslink speichern wir im Verifikationstoken-Datensatz in der Datenbank zusätzlich die IP-Adresse sowie den Zeitpunkt der Bestätigung. Diese Speicherung dient dem Nachweis, dass die Bestätigung der E-Mail-Adresse tatsächlich erfolgt ist (Double-Opt-In).

Bei vertragsrelevanten Aktionen — insbesondere Änderung der Stammdaten im Rahmen einer Verlängerung sowie Ablehnung einer Verlängerung — protokollieren wir in den Server-Logs zusätzlich IP-Adresse und User-Agent (Marker [AUDIT]), um Missbrauch zu verhindern und nachträgliche Änderungen nachvollziehen zu können.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsprävention und Nachvollziehbarkeit).

7. Zahlungsabwicklung

Die Zahlung der Dauerkarten erfolgt per Banküberweisung an das Konto der HSG Varel-Friesland UG. Mit der Bestellbestätigung teilen wir Dir per E-Mail den individuellen Verwendungszweck im Format DK-YYYY-NNN mit. Diese Rechnungsnummer wird mit der Bestellung verknüpft und in den nachfolgenden E-Mails (Zahlungsaufforderung, Zahlungsbestätigung, Ticket-Versand) als Referenz mitgeführt.

Eine Online-Zahlung über externe Zahlungsdienstleister findet im Bestellprozess der Saison 2026/27 nicht statt. Im Bestellprozess werden insbesondere keine Kartendaten und keine SEPA-Mandate verarbeitet; die Zuordnung der Zahlung erfolgt ausschließlich über den Verwendungszweck.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8. E-Mail-Versand

Bestätigungs-, Zahlungs- und Ticket-Mails (einschließlich E-Mail-Bestätigung, Bestellbestätigung, Zahlungsaufforderung, Erinnerung, Zahlungsbestätigung, Ticket-Versand, Storno sowie Verlängerungs-Einladung/-Erinnerung) werden über den SMTP-Dienst der WebGo GmbH, Heidenkampsweg 81, 20097 Hamburg, Deutschland (nachfolgend „Webgo") versendet. Mit Webgo besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Es werden ausschließlich die für die Mail-Zustellung erforderlichen Daten (Empfänger-Adresse, Inhalt, ggf. als Anhang das Ticket-PDF) verarbeitet.

Magic-Link für die Verlängerung

Bestandskunden erhalten für die Verlängerung ihrer Dauerkarte einen personalisierten Magic-Link mit einem zeitlich befristeten Token (Gültigkeit 14 Tage, einmalig verwendbar). Zu diesem Token speichern wir in der Datenbank die Zuordnung zum Inhaber, die Saison, die E-Mail-Adresse, an die der Link versandt wurde, sowie Status-Zeitstempel (geöffnet/bestätigt/abgelehnt/verbraucht). Der Token dient dem passwortlosen Zugang zur Verlängerung und wird mit Abschluss der Bestellung entwertet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9. Aufbewahrungsfristen

Rechnungs- und Steuerunterlagen bewahren wir gemäß § 257 HGB und § 147 AO für 10 Jahre auf. Bestelldaten ohne abgeschlossenen Vertragsschluss werden spätestens nach Saisonende gelöscht.

Zur internen Nachvollziehbarkeit von Bestelländerungen führen wir je Bestellung Verwaltungsfelder (u. a. Zeitpunkt der Admin-Freigabe, Zeitpunkt und betroffene Felder einer durch den Inhaber angestoßenen Stammdatenänderung sowie eine interne Bemerkung zum Inhaber). Diese Audit-Daten dienen ausschließlich der internen Bestellverwaltung und teilen die genannten Aufbewahrungsfristen.

10. Weitergabe an Dritte

Eine Weitergabe Deiner Daten an Dritte erfolgt ausschließlich an die in dieser Erklärung genannten Auftragsverarbeiter (Hetzner als Hosting-Anbieter, Webgo als SMTP-Dienstleister) sowie soweit gesetzlich geboten (z. B. an Finanzbehörden im Rahmen der Umsatzsteuer-Meldung). Zur Einbindung von Webfonts siehe Abschnitt 12.

11. Kein Newsletter, kein Kontaktformular

Wir bieten bewusst keinen Newsletter und kein Kontaktformular an. Die Kontaktaufnahme per E-Mail oder Telefon erfolgt außerhalb dieser Website. Für E-Mail-Kommunikation gelten die üblichen Regeln der Kommunikationsverarbeitung (Art. 6 Abs. 1 lit. b/f DSGVO).

12. Schriftarten (Google Fonts)

Für die Darstellung verwenden wir die Webfonts „Inter" und „Barlow Condensed", die beim Seitenaufruf vom Anbieter Google (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) über fonts.googleapis.com geladen werden. Dabei wird die IP-Adresse Deines Endgeräts an Google übertragen; eine Übermittlung in Drittländer (USA) kann dabei nicht ausgeschlossen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen, performanten Darstellung der Website).

13. Deine Rechte als betroffene Person

Dir stehen gegenüber uns die folgenden Rechte bezüglich Deiner personenbezogenen Daten zu:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO) — soweit keine Aufbewahrungspflicht entgegensteht
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO)
  • Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Zur Ausübung genügt eine formlose Nachricht an tickets@handball-varel.de.

14. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, Dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Deiner personenbezogenen Daten zu beschweren. Zuständig ist für uns:

Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover
Telefon: 0511 120-4500
Web: lfd.niedersachsen.de

15. Aktualität dieser Erklärung

Wir passen diese Datenschutzerklärung an, sobald sich Dienste, Rechtslage oder technische Gegebenheiten ändern. Die jeweils aktuelle Fassung steht unter diesem Link zum Abruf bereit.