Datenschutzerklärung
Zuletzt aktualisiert: 2026-07-03
Wir nehmen den Schutz Ihrer personenbezogenen Daten ernst und behandeln Ihre Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften (DSGVO, BDSG, TDDDG) sowie dieser Datenschutzerklärung.
§1 — Verantwortlicher (Art. 4 Nr. 7 DSGVO)
Michael Kurenkov Moislinger Allee 13 23558 Lübeck Deutschland E-Mail: contact@fiturbia.com
§2 — Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich (Art. 37 DSGVO i. V. m. § 38 BDSG). Für Anfragen zum Datenschutz wenden Sie sich bitte direkt an den Verantwortlichen unter den oben genannten Kontaktdaten.
§3 — Allgemeines zur Datenverarbeitung
Umfang der Verarbeitung: Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung der Nutzer oder zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder sofern die Verarbeitung durch gesetzliche Vorschriften gestattet ist. Grundsätze: Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO), Transparenz (Art. 5 Abs. 1 lit. a DSGVO), Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO), Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO).
§4 — Rechtsgrundlagen der Verarbeitung
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung der betroffenen Person - Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung und vorvertragliche Maßnahmen (Nutzungsvertrag) - Art. 6 Abs. 1 lit. c DSGVO — Erfüllung einer rechtlichen Verpflichtung - Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen (Sicherheit, Betrugsprävention, Reichweitenmessung, Produktverbesserung)
§5 — Einzelne Verarbeitungstätigkeiten
Für jede Verarbeitungstätigkeit: Zweck, Datenkategorien, Rechtsgrundlage, Speicherdauer.
5.1 Registrierung und Nutzerkonto
Zweck: Bereitstellung und Nutzung des Nutzerkontos. Daten: E-Mail-Adresse, Passwort (gehasht mittels bcrypt), Anzeigename, Registrierungszeitpunkt, Zeitstempel und Version der akzeptierten AGB/Datenschutzerklärung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Nachweis der Einwilligung bzw. Kenntnisnahme Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 7 Abs. 1 DSGVO. Speicherdauer: Bei Kontolöschung werden personenbezogene Daten unverzüglich pseudonymisiert (Soft-Delete). Der Soft-Delete-Marker bleibt zur Reversibilität bei technischen Fehlern für 30 Tage erhalten und wird anschließend zusammen mit Backups vollständig entfernt.
5.2 E-Mail-Verifikation
Zweck: Verifikation der E-Mail-Adresse zum Schutz vor Fake-Accounts. Daten: Einmal-Token, Versandzeitpunkt, Verifikationszeitpunkt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit). Speicherdauer: Token 24 Stunden; Verifikationsstatus dauerhaft mit dem Konto.
5.3 Profilangaben
Zweck: Darstellung im Profil, Auffindbarkeit in der Community, Matching mit Aktivitäten und anderen Nutzern. Daten (freiwillig): Profilbild, Biografie, Sportarten, Fitness-Level, Geschlecht, Stadt/Land. Öffentliche Profile zeigen grundsätzlich Anzeigename, Profilbild, Biografie und Sportarten; Stadt/Land wird anderen Nutzern nur angezeigt, wenn dies zur jeweiligen Funktion gehört (z. B. Crew-Verbindung). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch freiwillige Eingabe) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Bis zur Änderung oder Löschung durch den Nutzer bzw. Kontolöschung.
5.4 Standort, Karten und Umkreissuche
Zweck: Anzeige von Spots und Aktivitäten in der Nähe, Standortauswahl beim Erstellen von Spots/Aktivitäten, Karten- und Suchfunktionen. Daten: Standortkoordinaten (GPS-Freigabe, manuelle Kartenauswahl oder gespeicherter Profilstandort), Stadt/Land, Suchanfragen an die Standortsuche, Kartenausschnitte und technische Abrufdaten beim Laden von Kartenkacheln. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO für Geräte-Standortfreigaben; Art. 6 Abs. 1 lit. b DSGVO für gespeicherte Profil-/Spot-/Aktivitätsstandorte; Art. 6 Abs. 1 lit. a DSGVO für das Laden von Kartenkacheln im Web (Zwei-Klick-Einwilligung, jederzeit widerruflich, siehe §7); Art. 6 Abs. 1 lit. f DSGVO für die Bereitstellung performanter Karten in der App. Empfänger: Geoapify, CARTO und OpenFreeMap (siehe §6). Speicherdauer: Gespeicherte Profilstandorte bis zur Änderung oder Kontolöschung; Spot-/Aktivitätsstandorte bis zur Löschung oder Anonymisierung der jeweiligen Inhalte; reine Suchanfragen werden von uns nicht dauerhaft gespeichert.
5.5 Crew-Verbindungen und QR-Codes
Zweck: Gegenseitiges Hinzufügen von Nutzern zur persönlichen Crew per kurzlebigem QR-Code sowie Anzeige der Crew-Liste. Daten: Nutzer-IDs beider Crew-Mitglieder, Verbindungszeitpunkt, QR-Scan-Session-ID, kryptografischer QR-Token, Erstellungs-/Ablauf-/Einlösezeitpunkt, ID des scannenden Nutzers sowie die zur Anzeige erforderlichen Profilangaben (Anzeigename, Profilbild, Bio, Sportarten). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Crew-Funktion) und Art. 6 Abs. 1 lit. f DSGVO (Missbrauchsschutz, Rate-Limiting). Speicherdauer: QR-Scan-Sessions laufen nach 60 Sekunden ab und werden regelmäßig, spätestens nach 24 Stunden, gelöscht. Crew-Verbindungen bestehen bis zur Entfernung durch einen der Nutzer oder bis zur Kontolöschung.
5.6 Spots, Aktivitäten, Gruppen (nutzergenerierte Inhalte)
Zweck: Bereitstellung der Kernfunktion (Entdecken und Organisieren von Sportorten und -aktivitäten). Daten: Textbeschreibungen, Standortkoordinaten, Adressen, Zeitangaben, Sportarten, Skill-Level, Teilnehmerlisten, Rollen (z. B. Host/Mitglied/Warteliste), wiederkehrende Termine und Fotos. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Bis zur Löschung durch den Ersteller bzw. Kontolöschung. Community-Inhalte, die auch für andere Nutzer relevant sind (z. B. verifizierte Spots, Bewertungen, Fotos), können bei Kontolöschung anonymisiert weiterbestehen, indem der Personenbezug zum Nutzer entfernt wird.
5.7 Gespeicherte Spots, Bewertungen und Rezensionen
Zweck: Persönliche Merkliste, Qualitätsbewertung von Spots und Anzeige von Community-Feedback. Daten: gespeicherter Spot, Speicherzeitpunkt, Sternebewertung, optionaler Rezensionstext, Status der Bewertung (aktiv/ausgeblendet), Nutzer-ID bis zur Anonymisierung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Gespeicherte Spots bis zur Entfernung aus der Merkliste oder Kontolöschung. Bewertungen/Rezensionen bis zur Löschung, Ausblendung durch Moderation oder Anonymisierung bei Kontolöschung.
5.8 Chat und Direktnachrichten
Zweck: Kommunikation zwischen Nutzern und Aktivitätsgruppen. Daten: Nachrichteninhalt, Absender, Thread-Mitglieder, Kontext (Direktchat/Aktivität/Gruppe), Zeitstempel, Lesestatus, Stummschaltung und Archivstatus. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: 24 Monate ab Versand oder bis zur Löschung/Archivierung nach Funktionslogik; bei Kontolöschung werden vom Nutzer gesendete Nachrichten und Mitgliedschaften gelöscht.
5.9 Meldungen, Moderation und DSA-Beschwerden
Zweck: Entgegennahme und Bearbeitung von Meldungen rechtswidriger oder regelwidriger Inhalte, Missbrauchsabwehr und Erfüllung gesetzlicher Pflichten nach dem Digital Services Act. Daten: meldender Nutzer oder Kontakt-E-Mail bei öffentlichen Meldungen, gemeldeter Inhalt (Typ, ID oder URL), Meldegrund, Beschreibung, Moderationsstatus, Bearbeiter, Bearbeitungszeitpunkt, Begründung der Entscheidung; bei öffentlichen Meldungen zusätzlich Turnstile-Prüfdaten und IP-Adresse zur Bot-/Spam-Abwehr. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, insbesondere DSA) und Art. 6 Abs. 1 lit. f DSGVO (Schutz der Plattform und Rechtsverteidigung). Empfänger: Cloudflare Turnstile zur Bot-Prüfung (siehe §6). Speicherdauer: Solange dies zur Bearbeitung, Dokumentation, Rechtsverteidigung und Erfüllung gesetzlicher Pflichten erforderlich ist; Nutzerbezüge werden bei Kontolöschung anonymisiert, soweit keine zwingenden Gründe entgegenstehen.
5.10 In-App-Benachrichtigungen und Einstellungen
Zweck: Information über relevante Ereignisse wie neue Nachrichten, Event-Beitritte, Event-Starts, Absagen, Foto-/Spot-Moderation und ähnliche Plattformereignisse. Daten: Nutzer-ID, Benachrichtigungstyp, Titel, Inhalt, Kontextdaten (z. B. Aktivitäts- oder Chat-ID), Erstellungszeitpunkt, Lesestatus, Benachrichtigungseinstellungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für servicebezogene Benachrichtigungen; Art. 6 Abs. 1 lit. a DSGVO für optionale Kanäle wie Push oder E-Mail-Digest. Speicherdauer: Bis zur Kontolöschung oder bis die Benachrichtigung nach zukünftiger Löschfunktion entfernt wird; Einstellungen bis zur Änderung oder Kontolöschung.
5.11 Push-Benachrichtigungen (Firebase Cloud Messaging / Apple Push Notification service)
Zweck: Versand von Push-Benachrichtigungen auf Endgeräte. Daten: Device-Token (FCM bzw. APNs), Benachrichtigungsinhalt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung beim ersten Aktivieren der Benachrichtigungen). Empfänger: Google Ireland Ltd. / Google LLC (Firebase Cloud Messaging); auf iOS-Geräten erfolgt die Zustellung zusätzlich über Apple Inc. / Apple Distribution International Ltd. (Apple Push Notification service) (siehe §6). Speicherdauer: Bis zum Widerruf der Einwilligung oder Entfernen des Endgeräts.
5.12 Bildupload (Cloudflare R2)
Zweck: Speicherung und Auslieferung von Spot- und Profilbildern. Daten: Bilddateien (EXIF-Metadaten werden serverseitig beim Empfang entfernt, insbesondere GPS-Koordinaten), objektbezogene Metadaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Empfänger: Cloudflare, Inc. (siehe §6). Speicherdauer: Bis zur Löschung durch den Nutzer bzw. Kontolöschung.
5.13 Fehler-Monitoring (Sentry)
Zweck: Fehlerdiagnose und Stabilisierung der Plattform. Daten: Fehlermeldungen, Stack-Traces, anonymisierte Nutzer-ID (keine E-Mail, keine IP-Adresse), grobe Geräteinformationen, URL des Fehlerereignisses. Request-Header, Cookies, Passwörter, Tokens und Verifikationscodes werden vor dem Versand bereinigt; Session Replay ist deaktiviert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit). Empfänger: Sentry GmbH / Functional Software, Inc. (siehe §6). Speicherdauer: 30 Tage (Sentry-Standard), danach Löschung.
5.14 Reichweiten- und Performance-Messung (Vercel Analytics + Speed Insights)
Zweck: Aggregierte, anonyme Nutzungsstatistiken zur Produktverbesserung und Messung der Seitenperformance. Daten: Anonymisierte Seitenaufrufe, aggregierte Performance-Kennzahlen. Es werden keine Cookies gesetzt und keine Endgeräte wiedererkannt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Aufgrund der Cookie-Freiheit und der fehlenden Nutzerwiedererkennung ist eine Einwilligung nach § 25 TDDDG nicht erforderlich. Empfänger: Vercel Inc. (siehe §6). Speicherdauer: Aggregierte Statistiken dauerhaft ohne Personenbezug.
5.15 Mobile Produktanalyse und Feature Flags (PostHog, sofern aktiviert)
Zweck: Pseudonyme Messung, wie Nutzer durch Registrierung, E-Mail-Verifikation, Passwort-Zurücksetzung und Onboarding gelangen, sowie sichere schrittweise Freischaltung einzelner Mobile-App-Funktionen. Daten: interne pseudonyme Nutzer-ID, temporäre technische App-Sitzungskennung, Ereignisnamen, Zeitstempel, Onboarding-Schrittnamen, Ergebnis der Benachrichtigungsabfrage, grobe App-/SDK-/Geräte-Metadaten und aggregierte Funnel-Kennzahlen. Wir senden keine E-Mail-Adressen, Anzeigenamen, Freitexte, exakten Standortkoordinaten, Suchbegriffe, Chat-Inhalte oder hochgeladenen Inhalte an PostHog. App-Lifecycle-Tracking, Touch-/Screen-Autocapture und Session Replay sind in unserer Konfiguration deaktiviert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung, sicherem Rollout und Produktstabilität). Empfänger: PostHog (siehe §6), nur wenn ein PostHog-Schlüssel in der Mobile-App-Konfiguration aktiv ist. Speicherdauer: In der App nur im Arbeitsspeicher während der Sitzung; beim Anbieter gemäß dessen Vertrags- und Produkteinstellungen.
5.16 Transaktionale E-Mails (Verifikation, Passwort-Reset, Benachrichtigungen)
Zweck: Versand betriebsnotwendiger E-Mails. Daten: E-Mail-Adresse, Nachrichteninhalt, Versandzeitpunkt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Empfänger: SMTP2GO Pte. Ltd. (siehe §6). Speicherdauer: Versandprotokoll 30 Tage.
5.17 Server-Logfiles
Zweck: Betriebs- und Fehlerdiagnose, Abwehr von Missbrauch. Speicherort: Beim Aufruf der Plattform speichern unsere Hosting-Anbieter (Vercel, Cloudflare, Netcup) in ihren Server-Logs Zeitstempel, IP-Adresse, HTTP-Methode, URL, Status-Code und User-Agent. Speicherdauer richtet sich nach den Datenschutzerklärungen der Anbieter, in der Regel maximal 14 Tage. Anwendungs-Logs: Innerhalb unserer eigenen Anwendungs-Logs werden keine IP-Adressen geloggt; lediglich Methode, Pfad, Status, Antwortzeit und eine technische Korrelations-ID. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
5.18 Rate-Limiting und Missbrauchsschutz
Zweck: Schutz vor Brute-Force-Angriffen, Spam, übermäßigen Uploads, QR-Token-Missbrauch und missbräuchlichen Meldungen. Daten: IP-Adresse oder Nutzer-ID, angefragter Endpunkt, Zeitfenster, Zählerstand und Ablaufzeitpunkt des Rate-Limit-Schlüssels; bei Crew-Connect-Versuchen der Nutzerbezug des angemeldeten Kontos. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit und Missbrauchsabwehr). Speicherdauer: Entsprechend dem jeweiligen Zeitfenster, typischerweise 60 Sekunden bis 24 Stunden; danach automatische Löschung aus Redis.
5.19 Registrierung und Anmeldung über Drittanbieter (Google, Apple)
Zweck: Registrierung und Anmeldung über die Single-Sign-On-Funktionen von Google und Apple (Mit Google anmelden / Mit Apple anmelden). Daten: Der jeweilige Anbieter übermittelt nach erfolgreicher Authentifizierung ein signiertes Identitäts-Token (ID-Token) mit einer eindeutigen Anbieter-Nutzerkennung und Ihrer E-Mail-Adresse; bei der erstmaligen Anmeldung zusätzlich Ihr Name. Apple kann statt Ihrer echten Adresse eine anonymisierte Relay-E-Mail-Adresse (Hide My Email) bereitstellen. Wir speichern E-Mail-Adresse, Anzeigename, die Anbieter-Kennung (zur Verknüpfung Ihres Kontos) sowie den genutzten Anbieter. Übermittlung an den Anbieter: Im Web wird das Anmelde-SDK von Google bzw. Apple auf der Anmelde- und Registrierungsseite geladen, wodurch Ihre IP-Adresse an den jeweiligen Anbieter übermittelt wird; in der Mobile-App erfolgt eine Übermittlung erst, wenn Sie die Anmeldung über Google bzw. Apple aktiv starten (siehe §6 und §7). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags bzw. Durchführung vorvertraglicher Maßnahmen auf Ihre Anfrage). Die vom Anbieter bestätigte E-Mail-Adresse gilt als verifiziert; eine gesonderte E-Mail-Verifikation entfällt. Empfänger: Google Ireland Ltd. / Google LLC bzw. Apple Distribution International Ltd. / Apple Inc. als eigenständig Verantwortliche für den Anmeldevorgang (siehe §6). Speicherdauer: wie beim Nutzerkonto (siehe 5.1).
5.20 Check-ins, Standort-Verifikation und Anwesenheits-Zähler
Zweck: Protokollierung deines Trainings an Spots und deiner Teilnahme an Events per Check-in, Verifikation der Anwesenheit durch einen einmaligen Standort-Abgleich, anonymer Anwesenheits-Zähler am Spot („N Athleten in der letzten Stunde“) sowie Anzeige verifizierter Teilnahmen als Statistik im Profil. Daten: Nutzer-ID, Spot- bzw. Event-ID, Sportart, Zeitpunkt des Check-ins, Verifikationsstatus (ja/nein) und Verifikationsmethode (Standort-Abgleich oder Bestätigung durch den Event-Host), optional eine von dir abgegebene Zustandsmeldung zum Spot (Kategorien und Freitext-Kommentar). Standortdaten: Die beim Check-in übermittelten Gerätekoordinaten werden ausschließlich transient für eine einmalige Distanzberechnung zum Spot bzw. Event-Ort verarbeitet und weder gespeichert noch protokolliert. Gespeichert wird nur das Ja/Nein-Ergebnis der Prüfung. Es findet kein fortlaufendes Standort-Tracking statt. Anwesenheits-Zähler: Der Zähler ist ein rein aggregierter Wert (Anzahl unterschiedlicher Nutzer mit verifiziertem Check-in in den letzten 60 Minuten). Es werden keine Identitäten, Profile oder Zeitstempel einzelner Personen am Spot angezeigt. No-Show-Vermerke: Bleibt ein angemeldeter Event-Teilnehmer ohne verifizierten Check-in, vermerken wir dies intern zur Missbrauchs- und Qualitätssicherung. Dieser Vermerk wird niemandem angezeigt und nach 12 Monaten automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO für die freiwillige Geräte-Standortfreigabe zum Verifikations-Abgleich; Art. 6 Abs. 1 lit. b DSGVO für die Bereitstellung der Check-in-Funktion; Art. 6 Abs. 1 lit. f DSGVO für Missbrauchsschutz (Rate-Limits, Dubletten-Schutz) und interne No-Show-Vermerke. Trainingskalender: Deine Check-ins werden als Tages-Zähler in einem Trainingskalender dargestellt. In den Einstellungen legst du fest, wer diesen Kalender auf deinem Profil sehen darf (alle Nutzer, nur deine Crew oder niemand); für andere sichtbar sind ausschließlich Tages-Summen ohne Orte, Sportarten oder Uhrzeiten. Bestenlisten: Verifizierte Check-ins fließen zusätzlich in Community-Bestenlisten ein (aktivste Athleten an einem Spot und in deiner Umgebung, meistbesuchte Spots sowie Check-ins pro Sportart). Bestenlisten-Einträge zeigen Anzeigename, Profilbild und Check-in-Anzahl in einer Rangfolge. Du erscheinst nur, wenn deine Sichtbarkeitseinstellung auf alle Nutzer steht; bei nur Crew oder niemand wirst du vollständig ausgelassen und nie anonymisiert angezeigt. Deine eigene Check-in-Anzahl siehst ausschließlich du selbst. Statistiken pro Sportart sind aggregierte Summen ohne Personenbezug. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für die Bereitstellung der Bestenlisten-Funktion in Verbindung mit deiner Sichtbarkeitseinstellung. Speicherdauer: Check-ins bis zur Löschung durch dich oder zur Kontolöschung; No-Show-Vermerke 12 Monate; technische Verarbeitungs-Ereignisse (Event-Journal) werden bei Kontolöschung anonymisiert.
5.21 Trainingspartner-Markierungen (Buddy-Tags)
Zweck: Markieren von Trainingspartnern an einem Check-in („Ich habe mit X trainiert“) und — nach beidseitiger Bestätigung — Vorschlag, sich als Crew zu verbinden. Daten: Nutzer-IDs der markierenden und der markierten Person, zugehörige Check-in-ID, Status der Markierung (offen, bestätigt, abgelehnt, abgelaufen) und Zeitpunkte. Sichtbarkeit und Schutzmechanismen: Eine Markierung ist vor der Bestätigung ausschließlich für die markierte Person sichtbar; eine Ablehnung wird der markierenden Person nicht mitgeteilt. In den Einstellungen legst du fest, wer dich markieren darf (alle Nutzer, nur deine Crew oder niemand). Unbeantwortete Markierungen laufen nach 72 Stunden automatisch ab; Rate-Limits und Sperrfristen nach Ablehnungen verhindern wiederholtes unerwünschtes Markieren. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Funktion) und Art. 6 Abs. 1 lit. f DSGVO (Missbrauchsschutz). Speicherdauer: Bis zur Kontolöschung eines der beiden Nutzer; mit dem Check-in gelöschte Markierungen werden mitgelöscht.
§6 — Empfänger (Auftragsverarbeiter und Drittanbieter)
Wir übermitteln personenbezogene Daten nur, soweit dies für Betrieb, Sicherheit, Kommunikation, Kartenfunktionen oder gesetzliche Pflichten erforderlich ist. Auftragsverarbeiter werden im Rahmen von Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO eingebunden. Einzelne Anbieter – insbesondere Google und Apple bei der Anmeldung über deren Single-Sign-On-Dienste – handeln dabei als eigenständig Verantwortliche und nicht als Auftragsverarbeiter. Für Übermittlungen außerhalb der EU/EWR nutzen wir Angemessenheitsbeschlüsse, Standardvertragsklauseln der Europäischen Kommission (Art. 46 Abs. 2 lit. c DSGVO) und — soweit anwendbar — das EU-US Data Privacy Framework.
| Empfänger | Zweck | Sitz | Rechtsgrundlage der Übermittlung |
|---|---|---|---|
| Netcup GmbH | Backend-Hosting (via Dokploy) | Nürnberg, Deutschland | AVV (Art. 28 DSGVO), EU — keine SCC erforderlich |
| Cloudflare, Inc. | CDN, R2-Objektspeicher | San Francisco, USA (EU-Edge-Server) | AVV + Standardvertragsklauseln (Art. 46 DSGVO) |
| Cloudflare, Inc. (Turnstile) | Bot-/Spam-Schutz für öffentliche DSA-Meldungen | USA / weltweit | Art. 6 Abs. 1 lit. f DSGVO; AVV bzw. Cloudflare Datenschutzbedingungen + SCC/DPF, soweit anwendbar |
| Vercel Inc. | Web-Hosting, Analytics, Speed Insights | San Francisco, USA | AVV + Standardvertragsklauseln (Art. 46 DSGVO) |
| Functional Software, Inc. (Sentry) / Sentry GmbH | Fehler-Monitoring | USA / Deutschland | AVV + Standardvertragsklauseln für den US-Teil |
| Google Ireland Ltd. / Google LLC (Firebase Cloud Messaging) | Push-Benachrichtigungen | Dublin, Irland / USA | AVV + Standardvertragsklauseln |
| Google Ireland Ltd. / Google LLC (Google Sign-In / Identity Services) | Authentifizierung / Single Sign-On bei der Anmeldung über Google | Dublin, Irland / USA | Eigenständig Verantwortlicher; Übermittlung gestützt auf Art. 6 Abs. 1 lit. b DSGVO, Drittlandübermittlung auf SCC bzw. EU-US Data Privacy Framework |
| Apple Distribution International Ltd. / Apple Inc. (Sign in with Apple, Apple Push Notification service) | Authentifizierung / Single Sign-On bei der Anmeldung über Apple; Zustellung von Push-Benachrichtigungen auf iOS | Cork, Irland / USA | Eigenständig Verantwortlicher; Übermittlung gestützt auf Art. 6 Abs. 1 lit. b bzw. lit. a DSGVO, Drittlandübermittlung auf SCC bzw. EU-US Data Privacy Framework |
| SMTP2GO Pte. Ltd. | Versand transaktionaler E-Mails | Singapur (mit EU-Servern) | AVV + Standardvertragsklauseln (Art. 46 DSGVO) |
| Geoapify / KEPTAGO LTD | Adress- und Standortsuche, Autocomplete und Reverse-Geocoding | Zypern / EU-Rechenzentren | Art. 6 Abs. 1 lit. b/f DSGVO; EU — keine SCC erforderlich |
| CARTO (basemaps.cartocdn.com) | Auslieferung von Kartenkacheln im Web | Madrid, Spanien | Art. 6 Abs. 1 lit. a DSGVO (Zwei-Klick-Einwilligung vor dem Kartenladen); EU — keine SCC erforderlich |
| Hyperknot Software Kft. (OpenFreeMap) | Auslieferung von Kartenkacheln in der Mobile-App | Ungarn | Art. 6 Abs. 1 lit. f DSGVO; EU — keine SCC erforderlich |
| PostHog | Mobile Produktanalyse, Funnel-Messung und Feature Flags, sofern aktiviert | EU/USA | AVV + Standardvertragsklauseln bzw. DPF, soweit anwendbar |
Hinweis: Wenn wir in Zukunft weitere Auftragsverarbeiter hinzuziehen (z. B. Zahlungsdienstleister bei Einführung kostenpflichtiger Funktionen), aktualisieren wir diese Liste und informieren Sie hierüber.
§7 — Cookies und vergleichbare Technologien (§ 25 TDDDG)
Wir setzen keine Marketing-Cookies ein. Für den ausdrücklich gewünschten Login, Spracheinstellungen, Theme-Auswahl und App-Funktionalität verwenden wir technisch notwendige Cookies bzw. vergleichbare Speichertechnologien wie Local Storage, SecureStore und AsyncStorage. Diese sind gemäß § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei, soweit sie für die Bereitstellung des gewünschten digitalen Dienstes erforderlich sind. Vercel Analytics und Speed Insights arbeiten cookiefrei und ohne Nutzerwiedererkennung. Mobile Produktanalyse mit PostHog arbeitet in unserer App-Konfiguration ohne dauerhafte SDK-Speicherung auf dem Endgerät; die SDK-Persistenz ist auf Arbeitsspeicher gesetzt. Soweit künftig Analyse-Cookies oder vergleichbare dauerhafte Tracking-Speicher eingesetzt würden, holen wir vorher eine Einwilligung ein. Für die Anmeldung über Google bzw. Apple werden im Web die offiziellen Anmelde-SDKs der Anbieter auf der Anmelde- und Registrierungsseite geladen, die Sie gezielt zur Authentifizierung aufrufen; sie können dabei für die Durchführung der von Ihnen gewünschten Anmeldung technisch notwendige Cookies oder Speichertechnologien des jeweiligen Anbieters setzen. Eine Verwendung zu Marketing- oder geräteübergreifenden Trackingzwecken durch uns erfolgt nicht.
| Cookie/Speicher | Zweck | Speicherdauer | Typ |
|---|---|---|---|
| Web Local Storage | Authentifizierung und Session-Verlängerung im Web | Bis Logout, Kontolöschung oder lokale Löschung; Refresh-Token serverseitig maximal 30 Tage | Notwendig |
| Mobile SecureStore | Sichere Speicherung von Access-/Refresh-Token in der Mobile-App | Bis Logout, Kontolöschung oder App-Löschung; Refresh-Token serverseitig maximal 30 Tage | Notwendig |
| Local/Async Storage für Theme, Sprache, Intro-Status, Suchverlauf und lokale Karten-/Discover-Präferenzen | Speicherung ausdrücklich gewünschter App-Einstellungen | Bis Änderung oder lokale Löschung | Notwendig/Funktional |
| PostHog SDK Memory Storage | Pseudonyme Mobile-Produktanalyse und Feature Flags | Nur während der laufenden App-Sitzung | Analyse/Funktional |
| Web Local Storage (`usc.map-tiles-consent`) | Speichert Ihre Einwilligung zum Laden von Kartenkacheln von CARTO (Zwei-Klick-Lösung) | Bis zum Widerruf oder zur lokalen Löschung | Notwendig (Einwilligungsspeicher, § 25 Abs. 2 Nr. 2 TDDDG) |
Karten-Einwilligung: Karten auf dieser Website werden erst geladen, nachdem Sie auf „Karte laden“ geklickt haben (Zwei-Klick-Lösung). Erst dann werden Kartenkacheln bei CARTO angefragt und Ihre IP-Adresse übertragen. Ihre Auswahl wird lokal in Ihrem Browser gespeichert und kann hier jederzeit geändert werden:
Das Laden von Karten ist derzeit blockiert. Karten werden erst nach Ihrer Einwilligung geladen.
§8 — Übermittlung in Drittländer
Einzelne Auftragsverarbeiter oder Drittanbieter (insbesondere Cloudflare, Vercel, Google (Firebase und Google Sign-In), Apple, Sentry-US und ggf. PostHog) sitzen in den Vereinigten Staaten von Amerika oder verarbeiten Daten dort. Die Übermittlung personenbezogener Daten erfolgt auf Grundlage der Standardvertragsklauseln der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/914) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie — soweit anwendbar — auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der Kommission vom 10. Juli 2023).
§9 — Speicherdauer
Personenbezogene Daten werden gelöscht, sobald der Zweck ihrer Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Konkrete Speicherdauern sind in §5 pro Verarbeitungstätigkeit angegeben. Allgemeine Übersicht:
| Datenkategorie | Speicherdauer |
|---|---|
| Nutzerkonto | Bis Löschung + 30 Tage Grace |
| Crew-QR-Scan-Sessions | 60 Sekunden gültig; Löschung spätestens nach 24 Stunden |
| Crew-Verbindungen | Bis Entfernung durch Nutzer oder Kontolöschung |
| Nutzerinhalte (Spots, Aktivitäten, Fotos, Bewertungen) | Bis Löschung, Moderation oder Anonymisierung bei Kontolöschung |
| Gespeicherte Spots | Bis Entfernen aus der Merkliste oder Kontolöschung |
| Chat-Nachrichten | 24 Monate |
| Meldungen/Moderationsdaten | Solange für Bearbeitung, Nachweis, Rechtsverteidigung oder gesetzliche Pflichten erforderlich |
| In-App-Benachrichtigungen | Bis Kontolöschung oder zukünftiger Löschfunktion |
| Rate-Limit-Schlüssel | 60 Sekunden bis 24 Stunden |
| Server-Logs | 14 Tage |
| PostHog Produktanalyse | Gemäß Anbieter-/Projektretention; lokale App-Speicherung nur im Arbeitsspeicher |
| Check-ins | Bis Löschung durch Nutzer oder Kontolöschung |
| Trainingspartner-Markierungen | Offene Anfragen laufen nach 72 Stunden ab; Datensätze bis Kontolöschung |
| Interne No-Show-Vermerke | 12 Monate |
| Sentry-Fehler | 30 Tage |
§10 — Rechte der betroffenen Person
Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten: - Recht auf Auskunft (Art. 15 DSGVO) - Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO) - Recht auf Löschung (Art. 17 DSGVO) - Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) - Recht auf Datenübertragbarkeit (Art. 20 DSGVO) - Recht auf Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO gestützt sind (Art. 21 DSGVO) - Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO) Zur Ausübung dieser Rechte wenden Sie sich an: contact@fiturbia.com Die Auskunfts- bzw. Löschungsfunktion ist zusätzlich direkt in den Kontoeinstellungen der Plattform verfügbar.
§11 — Beschwerderecht bei der Aufsichtsbehörde
Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde für uns ist: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Holstenstraße 98 24103 Kiel Telefon: +49 431 988-1200 E-Mail: mail@datenschutzzentrum.de Web: https://www.datenschutzzentrum.de
§12 — Automatisierte Entscheidungsfindung / Profiling
Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 Abs. 1 und 4 DSGVO findet nicht statt.
§13 — Datensicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten (Art. 32 DSGVO), insbesondere TLS-Verschlüsselung beim Transport, bcrypt-Hashing von Passwörtern, Zugriffsbeschränkungen nach dem Least-Privilege-Prinzip, regelmäßige Sicherheits-Audits und Dependency-Updates.
§14 — Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie stets an geänderte Gesetzeslagen oder Änderungen unseres Leistungsangebots anzupassen. Für Ihren erneuten Besuch gilt dann die jeweils aktuell gültige Fassung. Der Stand der aktuellen Fassung ist unten angegeben.