Datenschutzerklärung

Verantwortlicher

Verantwortlicher im Sinne der Art. 4 Nr. 7, 24 DSGVO:
Sam Amorinejad
Marie-Henning-Weg 143, 21035 Hamburg, Deutschland

Kontakt Datenschutz

Für Anfragen zu dieser Erklärung sowie zur Ausübung Ihrer Rechte (Auskunft, Löschung, Berichtigung, Einschränkung, Widerspruch, Datenübertragbarkeit, Widerruf erteilter Einwilligungen) wenden Sie sich bitte an: sam.amorinejad@gmail.com

Es ist kein betrieblicher Datenschutzbeauftragter bestellt. Soweit gesetzlich erforderlich, erreichen Sie uns über die genannte E-Mail-Adresse.

Überblick: welche Daten fallen an?

Project Trace ist eine Trainings- und Gamification-Plattform. Je nach Nutzung können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

• Stammdaten / Konto: Anzeigename, E-Mail-Adresse, Passwort (als sicherer Hash, nicht im Klartext), interne Nutzer-ID, Rolle (z. B. Nutzer oder Administrator), Status des Kontos, ggf. öffentlicher Kenn-Code („Trace Operator Code“), Zeitpunkt der Registrierung.
• Zugang und Sicherheit: Sitzungsinformationen über Cookies bzw. vergleichbare Technologien (z. B. NextAuth/Auth.js), ggf. Einträge zu Anmeldeereignissen (Zeitstempel, technische Quelle, soweit konfiguriert IP-Adresse und User-Agent) zur Missbrauchserkennung.
• Trainings- und Spielfortschritt: selbst erfasste oder in der App bestätigte Aktivitäten (z. B. Missionen, Standards, Skill-Knoten, XP, Streaks, Pfade, Protokollzeilen, Leistungskennzahlen wie Distanz/Zeit/Wiederholungen in strukturierter Form). Diese Daten dienen der Darstellung Ihres Fortschritts und der Spielmechanik; sie sind in der Regel selbstberichtend und werden nicht durch uns inhaltlich auf faktische Richtigkeit geprüft.
• Nachweise (Fotos): optional hochgeladene Bilder zu Workouts oder Community-Events (inkl. Speicherort-URL, Prüfstatus, Bearbeitungszeitpunkt durch berechtigte Administratoren).
• Profil- und Inhaltsmedien: optional Profilbild sowie von Administratoren gepflegte Medien (z. B. Missions-Badges), sofern genutzt.
• Community & Ranglisten: Teilnahme an Events, eingetragene Werte, Rangfolgen und sichtbare Darstellung in der App (z. B. Leaderboard) mit Bezug zu Ihrem Anzeigenamen.
• Laden & virtuelle Güter: Freischaltungen und virtuelle Artikel im internen Store (reine App-interne Statusdaten).
• Abonnement / Zahlung (optional): wenn aktiviert, technische Kennungen bei Stripe (Kunden- und Abonnement-IDs), Abonnementstatus und Zahlungsbezogene Metadaten über Stripe; Zahlungsmitteldaten werden durch Stripe verarbeitet, nicht durch uns gespeichert.
• E-Mail-Kommunikation: Empfängeradresse, Betreff und Versandstatus für transaktionale oder administrative Nachrichten (z. B. Passwort zurücksetzen, Missionshinweise, Einladungen, ggf. Newsletter nur mit gesonderter Einwilligung bzw. im gesetzlich zulässigen Rahmen).
• Mobile API: bei Nutzung einer mobilen App: Authentisierung über Zugriffstoken und serverseitig gespeicherte Refresh-Token zur Sitzungsführung.
• Technische Protokolle: beim Aufruf der Website/Server-Schnittstellen u. a. IP-Adresse, Zeitpunkt, angeforderte Ressource, Fehlercodes, ggf. User-Agent — zur Bereitstellung, Stabilität und IT-Sicherheit.
• Cookie-Einstellungen: Ihre Auswahl zu optionalen Cookies wird lokal im Browser (localStorage) gespeichert, damit der Hinweis nicht bei jedem Besuch erneut erscheint.

Zwecke und Rechtsgrundlagen

Wir verarbeiten Daten zu folgenden Zwecken:

• Vertrag und vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung des Nutzerkontos, Authentifizierung, Speicherung und Anzeige Ihrer Trainings-/Fortschrittsdaten, Abwicklung optionaler Mitgliedschaften über Stripe.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Betrieb, IT-Sicherheit, Missbrauchsbekämpfung, Fehleranalyse, begrenzte Protokollierung, Messung der technischen Performance (siehe Vercel Speed Insights), interne Auswertungen aus bereits vorhandenen Nutzungsdaten (z. B. Statistik-Ansichten in Ihrem Konto ohne Drittanbieter-Marketing-Profile).
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): soweit wir Sie ausdrücklich um Einwilligung bitten (z. B. optionale Cookies, Newsletter, besondere Funktionen) und Sie zustimmen.
• Rechtspflichten (Art. 6 Abs. 1 lit. c DSGVO): z. B. Aufbewahrungspflichten aus Handels- oder Steuerrecht, soweit einschlägig.

Auftragsverarbeitung und Drittanbieter (Hosting & Infrastruktur)

Wir setzen professionelle Dienstleister ein, die Daten in unserem Auftrag bzw. als eigenständige Verantwortliche verarbeiten. Je nach Konfiguration Ihrer Produktivumgebung kommen insbesondere in Betracht:

• Vercel Inc. (USA / globales Edge-Netzwerk): Hosting und Auslieferung der Webanwendung. Es können insbesondere Performance- und Nutzungsmetriken über das Produkt „Speed Insights“ verarbeitet werden. Informationen: vercel.com/legal/privacy-policy, zu Speed Insights: vercel.com/docs/speed-insights/privacy-policy.
• Datenbank (PostgreSQL): Speicherung der Anwendungsdaten; in vielen Installationen z. B. über Supabase oder einen anderen gehosteten Datenbankdienst. Speicherort und Unterauftragsverarbeiter ergeben sich aus Ihrer konkreten Anbieterwahl.
• Vercel Blob (optional): Speicherung größerer Mediendateien (z. B. Nachweisfotos, Profilbilder), soweit aktiviert.
• Resend (optional): Versand transaktionaler und administrativer E-Mails über die Infrastruktur von Resend, Inc.; Inhalte und Empfängeradressen werden zur Zustellung verarbeitet.
• Stripe (optional): Zahlungsabwicklung und Abonnementverwaltung; Verarbeitung personenbezogener Daten durch Stripe Payments Europe Ltd. bzw. verbundene Unternehmen gemäß der Stripe-Datenschutzerklärung.
• OpenAI (optional, nur bestimmte Admin-Funktionen): Wenn Administratoren in der Anwendung KI-gestützte Generierung auslösen, können strukturierte Texte/Trainingsplanungsdaten an OpenAI, L.L.C. (USA) übermittelt werden. Endnutzer:innen werden nicht automatisch von sämtlichen KI-Anfragen erfasst; es hängt von der Nutzung der Admin-Funktionen ab.

Eine Übermittlung in Drittländer (z. B. USA) kann erfolgen, soweit die jeweiligen Anbieter dort verarbeiten. Stützen wir uns auf geeignete Garantien (z. B. EU-Standardvertragsklauseln) oder Angemessenheitsbeschlüsse, informieren die Anbieter in ihren Datenschutzhinweisen über die Details.

Cookies und Local Storage

Für die Anmeldung und Sitzungsführung sind technisch notwendige Cookies bzw. vergleichbare Speicher (je nach eingesetztem Authentifizierungs-Setup) erforderlich. Ohne diese Funktionen ist eine sichere Nutzung des geschützten Bereichs nicht möglich.

Nicht notwendige / Marketing-Tracking-Cookies von Drittanbietern setzen wir derzeit nicht ein. In den Cookie-Einstellungen können Sie optionale Kategorien steuern, sofern künftig ergänzt; Ihre Auswahl wird im Browser (localStorage) abgelegt.

Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder eine gesetzliche Pflicht besteht. Nach Löschung des Nutzerkontos werden personenbezogene Daten grundsätzlich gelöscht oder anonymisiert, soweit keine Aufbewahrungspflichten (z. B. handels- oder steuerrechtlich) oder berechtigte Interessen an einer eingeschränkten Aufbewahrung (z. B. Beweisführung bei Missbrauch) entgegenstehen.

Server- und Sicherheitsprotokolle werden in der Regel nur für einen begrenzten Zeitraum (typischerweise Tage bis wenige Wochen) vorgehalten, sofern nicht im Einzelfall eine längere Aufbewahrung zur Aufklärung von Vorfällen erforderlich ist.

Ihre Rechte

Sie haben — unter den gesetzlichen Voraussetzungen — insbesondere:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch gegen bestimmte Verarbeitungen (Art. 21 DSGVO)
• Recht, eine erteilte Einwilligung mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO)

Sie haben zudem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist insbesondere die Behörde Ihres gewöhnlichen Aufenthaltsorts oder des Ortes des mutmaßlichen Verstoßes.

Automatisierte Entscheidungen / Profiling

Es findet keine ausschließlich automatisierte Entscheidfindung mit Rechtswirkung oder vergleichbarer erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO statt. Spielmechaniken (XP, Ränge) sind regelbasierte Darstellungen Ihrer in der App erfassten Daten, keine scoring-relevante Bonitätsprüfung.

Änderungen

Wir können diese Datenschutzerklärung anpassen, wenn sich Funktionen, Rechtslage oder unsere Verarbeitung ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar; bei wesentlichen Änderungen informieren wir Sie, soweit erforderlich, in geeigneter Form (z. B. Hinweis in der App oder per E-Mail).