Zum Hauptinhalt springen
Zurück

Datenschutzerklärung

Letzte Aktualisierung: 10. Juni 2026

Diese Datenschutzerklärung informiert dich gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) und der gleichwertigen internationalen Vorschriften (UK-DSGVO, Schweizer DSG, kalifornischer CCPA/CPRA, brasilianischer LGPD, kanadischer PIPEDA) über die Verarbeitung deiner personenbezogenen Daten, wenn du unsere Website MyArea365.de sowie die zugehörige Web-App und Mobile-App (zusammen der «Dienst») nutzt.

1. Verantwortlicher

Verantwortlicher gemäß DSGVO, Controller gemäß UK-DSGVO, Verantwortlicher gemäß FADP, Business gemäß CCPA und Controlador gemäß LGPD ist:

Andre Meierholz
Kolonnenstr. 8
10827 Berlin
Deutschland
E-Mail: support@myarea365.de

Vollständige rechtliche Angaben siehe /impressum.

2. Kontakt für Datenschutzanfragen

Privacy.s2.body

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (Newsletter, Push-Benachrichtigungen, Standortfreigabe, optionale Analyse-Cookies, Marketing-Kommunikation)
  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung oder vorvertragliche Maßnahmen (Nutzerkonto, Gamification, Einlösung von Angeboten, Zahlungsabwicklung)
  • Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung (handels- und steuerrechtliche Aufbewahrungspflichten, Meldepflichten gemäß § 146a AO, Geldwäschegesetze)
  • Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse (IT-Sicherheit, Missbrauchsprävention, Fehleranalyse, Qualitätsverbesserung des Dienstes)
  • Art. 9 Abs. 2 lit. a DSGVO – ausdrückliche Einwilligung, sofern wir besondere Kategorien personenbezogener Daten verarbeiten (z. B. aus Bewegungsprofilen abgeleitete Gesundheitsdaten in aggregierter Form – ausschließlich mit deiner Einwilligung)
  • § 25 TDDDG (Nachfolger des TTDSG seit 14. Mai 2024) – Speicherung und Zugriff auf Informationen in Endgeräten (Cookies, LocalStorage)

4. Konkret: welche Daten wir speichern und tracken

Nachfolgend findest du eine vollständige Liste aller personenbezogenen Datenfelder, die in unseren Systemen gespeichert oder verarbeitet werden. Wir folgen dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und erheben keine Daten «für den Fall der Fälle».

4.1 Konto- und Profildaten

  • E-Mail-Adresse (Login-Kennung, Kommunikation)
  • Benutzername (öffentliche Kennung)
  • Anzeigename (frei wählbarer Text)
  • Passwort als gesalzener Hash (nie im Klartext; Argon2/bcrypt)
  • Rollen-/Berechtigungskennzeichen (Nutzer, Support, Marketing, Sales, Admin)
  • Sperrstatus und ggf. Begründung
  • Fraktionszugehörigkeit (Wächter der Krone oder Liga der Kanalisation)
  • Klasse und Rolle des aktiven Wächters (Tank/Support/Distanz/Nahkampf + Sub-Archetyp)
  • PLZ deines Wohnorts (optional, 5-stellig, für Quartier-Funktionen)
  • Aktuelle Crew-Zugehörigkeit (Fremdschlüssel zur Crew)
  • Avatar-URL (selbst hochgeladen, öffentlich nach Moderation)
  • Banner-URL (selbst hochgeladen, öffentlich nach Moderation)
  • Spieler-Statistiken: Level, Gesamt-XP, Gesamt-Distanz, Anzahl Läufe
  • Gewählte Sprache, Team-Farbe, Profil-Lore-Text
  • Zeitstempel: Registrierung, letzte Aktivität
  • Ungefähre Position: Land, Stadt (sofern freiwillig im Profil angegeben)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4.2 Standort- und Bewegungsdaten

  • GPS-Koordinaten (Breite, Länge, Höhe, Genauigkeit) während einer aktiven Lauf-Session
  • Zeitstempel jedes GPS-Punkts
  • Berechnete Zeit und Distanz zwischen den Punkten
  • Mapping der Punkte auf Straßensegmente (Snap-to-Road)
  • Zurückgelegte Strecke als geometrisches Objekt (PostGIS)
  • Eroberte Gebiete als Polygon-Geometrie
  • Zeitstempel der Gebiets-Eroberung und vergebene XP

Wird ausschließlich während einer aktiven Lauf-Session erfasst, nur nach ausdrücklicher Erlaubnis durch Browser oder Betriebssystem. Es werden keine Standortdaten im Hintergrund erhoben. Rechtsgrundlage: Art. 6 Abs. 1 lit. a und b DSGVO.

4.3 Gamification-, Wächter- und Spielstanddaten

  • Liste deiner Wächter-Archetypen, Level, Wegemünzen, Siege, Niederlagen, Verletzungsstatus
  • Talentpunkte, Fähigkeitsstufen, in Knoten investierte Punkte
  • Ausrüstungs-Inventar: Items, Slots, Seltenheit, Upgrade-Stufe, erhaltene Materialien (Schrott, Kristall, Essenz, Reliquien-Fragmente)
  • Teilnahme an Arena-Saisons und finale Ranglisten
  • Prestige-Verlauf: Punkte, Titel, Rang pro abgeschlossener Saison
  • Erlangte Siegel (Tank, Support, Distanz, Nahkampf, Universal)
  • Streak-Zähler (aufeinanderfolgende Tage mit Aktivität)
  • Tageslimitierte Aktionen (Arena-Kampf-Zähler, Tagesangebote)
  • Wertung / Elo (Ranglisten-Modus), Wertungs-Höchststand, Sieg-/Niederlagen-Verlauf

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4.4 Arena-Kämpfe (PvP)

  • Kennungen von Angreifer, Verteidiger, Sieger
  • Eingesetzte Diamanten (kostenpflichtige Kämpfe über das Tageskontingent hinaus)
  • Runden-Protokoll mit Aktionen, Schadenswerten, kritischen Treffern
  • Seed für deterministische Wiedergabe des Kampfes
  • Zeitstempel des Kampfes und zugewiesene Saison
  • Wertungs-Änderung (Delta) für Angreifer und Verteidiger

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4.5 Crew- und Kommunikationsdaten

  • Crew-Name, Farbe, Emblem, Motto
  • Mitgliedschaft: wer ist Mitglied, Rolle (Mitglied, Admin)
  • Offene und angenommene Einladungen
  • Crew-Chatnachrichten: Inhalt, Absender, Zeitstempel
  • Crew-Events, Feed-Posts, Herausforderungen

Chatnachrichten sind nur für Crew-Mitglieder sichtbar und werden serverseitig zur Moderation gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4.6 Check-ins bei Partner-Shops und Einlösen von Angeboten

  • Uhrzeit des Check-ins
  • ID des Partner-Shops und eingelöstes Angebot
  • ID des QR-Codes (sofern gescannt)
  • Hochgeladener Beleg (nur bei Promotions mit Beute-Bonus, kurzfristig)
  • Per OCR erkannter Belegbetrag
  • Kennzeichen «Beleg verifiziert» (nach automatischer Prüfung)

Der Shop-Betreiber sieht nur deinen anonymen Runner-Namen und die Tatsache der Einlösung – keine E-Mail, keinen Klarnamen, keine Profildaten. Belegbilder werden 7 Tage nach OCR-Prüfung gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4.7 Zahlungsdaten

  • Kaufhistorie: Zeitstempel, Produkt-SKU, Betrag, Währung
  • Salden und Transaktionen von Wegemünzen und Diamanten (Gutschrift, Verbrauch, Grund)
  • Referenz zum Zahlungsanbieter (Stripe Payment Intent, Checkout-Session-ID)
  • Abo-Status und Verlängerungsdaten (MyArea+, Supporter-Badge Bronze/Silber/Gold, Crew Pro, Shop-Pakete, Arena-Pass)
  • Supporter-Stufe (Bronze / Silber / Gold) bei aktivem entsprechendem Abo
  • Rechnungs- und Quittungsdaten gemäß §§ 14, 14a UStG

Wir erhalten keine Kreditkartennummern, Bankdaten oder vollständigen Zahlungsmittel-Identifier – diese verbleiben beim Zahlungsanbieter. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und c DSGVO.

4.8 Support-Anfragen und Tickets

  • E-Mail-Adresse und Name (sofern angegeben)
  • Text der Anfrage und sämtliche Folgekommunikation
  • Interne Notizen des Support-Teams
  • Status, Priorität, Kategorie, Zuweisung an Mitarbeiter:in
  • Herkunft der Anfrage (Kontaktformular, E-Mail, In-App)
  • User-Agent des Browsers, sofern verfügbar

Rechtsgrundlage: Art. 6 Abs. 1 lit. b oder f DSGVO.

4.9 Nutzer-Uploads und KI-Moderation

  • Hochgeladenes Bild (Avatar, Banner, Artwork-Entwürfe)
  • Hochgeladener Beleg (Truhen-Beleg für Beute-Bonus)
  • Prüfungsergebnis (akzeptiert, abgelehnt, Grund)
  • Zeitstempel der Prüfung und genutztes Modell (KI-Dienst)

Uploads werden vor der Veröffentlichung automatisch auf verbotene Inhalte geprüft (siehe Abschnitt 5). Abgelehnte Uploads werden 30 Tage zur Nachprüfung aufbewahrt und dann gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

4.10 Technische Daten und Server-Logs

  • IP-Adresse (nach 7 Tagen anonymisiert durch Kürzung der letzten 8 Bit)
  • User-Agent (Browser-Typ und -Version)
  • Betriebssystem und Version
  • Referrer-URL (von wo der Besuch kam)
  • Angeforderte URL und HTTP-Statuscode
  • Zeitpunkt des Zugriffs und Antwortzeit
  • Gerätetyp (Desktop, Mobil, Tablet)
  • App-Version (nur Mobile-App)
  • Geräte-Sprache

Technische Daten sind erforderlich, um den Dienst bereitzustellen und Missbrauch zu verhindern. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

4.11 Marketing, Push und In-App-Nachrichten

  • E-Mail-Adresse für Newsletter (nur Opt-in)
  • Push-Token des Geräts für mobile Push-Benachrichtigungen (nur Opt-in)
  • Zustellungs-Statistiken: zugestellt, geöffnet, geklickt, abgesprungen
  • Einwilligungs-Aufzeichnung: Zeitstempel, IP, Version des Einwilligungs-Texts
  • Segment-Zuordnung für zielgerichtete Kampagnen (Fraktion, Land, Level)
  • App-Posteingang: Broadcast-ID, Lesedatum

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Du kannst die Einwilligung jederzeit über den Abmeldelink, die Benachrichtigungs-Einstellungen oder den Betriebssystem-Dialog widerrufen.

4.12 A/B-Tests und Experimente

Privacy.s4.s12.body

4.13 Moderations- und Meldesystem

  • Gemeldeter Inhalt oder Nutzer, Meldegrund
  • ID des Meldenden, Zeitstempel
  • Prüfstatus, Entscheidung, interne Notiz

Meldungen werden 24 Monate aufbewahrt, um wiederkehrende Fälle zu erkennen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

4.14 Admin-Audit-Log

  • Zeitstempel jeder administrativen Aktion
  • ID und Rolle des Mitarbeiters
  • Aktionstyp (z. B. Nutzer-Sperre, Daten-Export, Impersonation)
  • Zielobjekt und relevante Metadaten

Das Audit-Log dient der Nachvollziehbarkeit und Sicherheit. Auf dich bezogene Einträge können im Rahmen deines Auskunftsrechts angefordert werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. c und f DSGVO.

4.15 Öffentlich sichtbare Inhalte

  • Benutzername, Anzeigename, Avatar, Banner
  • Level, Fraktion, Crew-Zugehörigkeit
  • Position in der Rangliste (global, regional, kategoriespezifisch)
  • Prestige-Titel aus abgeschlossenen Saisons (Hall of Fame)
  • Errungene Siegel und Erfolge
  • Auf dem öffentlichen Profil ausgewählter aktiver Wächter
  • Aggregierte Heatmap deiner Lauf-Aktivität (nur auf Straßenebene, nicht auf Personen rückführbar)

In den Einstellungen deines Profils kannst du entscheiden, welche dieser Daten öffentlich sichtbar sind. Chatnachrichten, E-Mail-Adresse, präzise GPS-Spuren, Zahlungsdaten und Support-Tickets sind niemals öffentlich.

4.16 Einladungen und Teilen

  • Crew-Einladungs-Codes (enthält Crew-ID, Token mit Ablaufdatum)
  • Profil-Sharelink (/u/[username]) mit generiertem Sharing-Tab
  • UTM-Parameter geteilter Links zur Erfolgsmessung von Kampagnen
  • Empfänger-E-Mail bei Einladungen unter Freunden (einmalig verwendet, nicht gespeichert)

Wenn du einen Freund per E-Mail einlädst, speichern wir dessen Adresse nicht dauerhaft; sie wird nur zum Versand der Einladung genutzt und danach verworfen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

4.17 Beta-Programme und Feedback

  • Teilnahme-Status an Beta-Funktionen
  • Einträge des Feedback-Formulars inkl. Text, Bewertung, Kontext (URL, User-Agent)

Feedback wird 24 Monate aufbewahrt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Automatisches Crash-Reporting ist aktuell nicht aktiv; sobald es eingeführt wird, wird diese Erklärung aktualisiert.

4.18 Vorschläge für Partner-Shops durch Nutzer

Wenn du einen neuen Partner-Shop vorschlägst, speichern wir die Shop-Informationen (Name, Adresse, Kategorie) und deine ID als Vorschlagender für Follow-up-Zwecke. Dein Name wird nicht an den Shop-Betreiber weitergegeben.

Vorschläge werden bis zur Prüfung gespeichert und danach 12 Monate als Referenz aufbewahrt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

4.19 Telemetrie und Performance-Monitoring

Vercel Analytics und Vercel Speed Insights sind aktiv, werden aber ausschließlich nach deiner ausdrücklichen Einwilligung über das Cookie-Banner geladen (Kategorie «Analyse»). Ohne Einwilligung erfolgt kein Skript-Load und keine Datenübertragung. Die Daten werden anonymisiert verarbeitet (keine Cookies, keine IDs); Anbieter ist Vercel Inc., USA. Sentry ist nicht aktiv.

4.20 Anti-Cheat und Missbrauchserkennung

  • Verdächtige Tempo-Werte (z. B. Teleport-Verdacht, Fahrzeug-Erkennung)
  • Mehrfach-Registrierungs-Muster vom selben Gerät
  • Verdächtiges Kampfverhalten (Bot-Verdacht)
  • Rate-Limit-Überschreitungen und Throttling
  • Verdachtsfälle mit Zeitstempel, Grund und Reaktion

Anti-Cheat-Logs werden 24 Monate aufbewahrt, um wiederkehrende Muster zu erkennen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Schutz der Integrität des Dienstes).

4.21 Chat- und Inhalts-Moderation

  • Automatisierte Wortfilter für bekannte AGB-verbotene Begriffe
  • KI-gestützte Moderation für hochgeladene Bilder (Anthropic Claude)
  • Nutzer-Meldungen mit Grund und Zeitstempel
  • Moderations-Entscheidungen (Verwarnung, Löschung, Sperre) mit Begründung

Moderations-Logs werden 24 Monate aufbewahrt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Schutz der Community und Erfüllung gesetzlicher Anforderungen, insbesondere EU-Verordnung 2022/2065 «Digital Services Act»).

4.22 Werbung (Google AdSense / AdMob / DoubleClick)

Wir finanzieren Teile des kostenlosen Dienstes über Werbung von Google Ireland Ltd. (Google AdSense im Web, Google AdMob in der Mobile-App). Personalisierte Werbung wird nur mit ausdrücklicher Einwilligung über unser Einwilligungs-Management (Google User Messaging Platform, UMP) ausgespielt. Ohne Einwilligung wird ausschließlich nicht-personalisierte Werbung ausgespielt. Hierbei kommen u. a. der DoubleClick-DART-Cookie und vergleichbare Geräte-IDs zum Einsatz, die es Google ermöglichen, Anzeigen auf Basis vorheriger Besuche auf dieser oder anderen Websites einzublenden. Detaillierte Informationen zur Werbe-Datenverarbeitung durch Google: policies.google.com/technologies/ads.

Google kann dabei IP-Adresse, Geräte-Kennung, ungefähren Standort und Interaktionsdaten verarbeiten. Die Verarbeitung erfolgt teilweise in den USA. Rechtsgrundlage für den Drittland-Transfer: EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, ABl. L 231/118) sowie Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO, soweit Empfänger außerhalb des DPF-zertifizierten Bereichs liegen. Allgemeine Datenschutz-Informationen: policies.google.com/privacy. Opt-out der personalisierten Werbung: adssettings.google.com oder via youronlinechoices.eu.

Nutzer mit aktivem Abo MyArea+ oder Supporter-Badge sehen keine Werbung oder nur reduzierte Werbung, soweit technisch möglich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (Einwilligung für Werbe-Cookies/DoubleClick-DART-Cookie/Geräte-IDs) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Refinanzierung des Dienstes durch nicht-personalisierte Werbung).

4.23 Was wir NICHT tracken

  • Keine Cross-Device-Cookies oder Werbe-Pixel ohne Einwilligung
  • Keine Fingerprinting-Analysen (Canvas, WebGL, Audio)
  • Kein Weiterverkauf deiner Daten an Dritte
  • Kein Profiling für Werbung Dritter ohne Einwilligung
  • Keine Standortdaten außerhalb aktiver Lauf-Sessions
  • Kein Zugriff auf Kontakte, Kalender, Fotos oder Dateien deines Geräts
  • Keine biometrischen Daten (Gesichtserkennung, Stimmanalyse)
  • Keine Beobachtung anderer Apps oder Browserverlauf
  • Keine Hintergrund-Erfassung bei geschlossener App
  • Kein Verkauf oder Tausch von E-Mail-Listen

5. Automatisierte Entscheidungen und Profiling

Privacy.s5.p1

Privacy.s5.p2

6. Empfänger und Auftragsverarbeiter

Wir nutzen folgende Dienstleister auf Basis von Verträgen gemäß Art. 28 DSGVO. Für Datenübermittlungen in Drittländer setzen wir EU-Standardvertragsklauseln (SCC) und zusätzliche technische Garantien ein.

DienstZweckSitz / Garantien
Supabase Inc.Authentifizierung, Datenbank, Datei-SpeicherEU (Frankfurt, eu-central-1)
Vercel Inc.Hosting, CDN, Edge-FunctionsEU (fra1, Frankfurt)
Mapbox Inc.Karten-Darstellung, Geocoding, Snap-to-RoadUSA – SCC + DPF
Resend Inc.Transaktions-E-Mails und NewsletterUSA – SCC + DPF
Anthropic PBCKI-Moderation und Beleg-ErkennungUSA – SCC; Zero-Retention gemäß Anbieter-Richtlinie, DPA in Finalisierung
Stripe Payments Europe Ltd.ZahlungsabwicklungEU (Irland) – US-Sub-Processor mit SCC
Apple Push Notification ServicePush-Benachrichtigungen (iOS)USA – SCC
Google Firebase Cloud MessagingPush-Benachrichtigungen (Android, Web)USA – SCC + DPF
Google AdSenseWerbung Web (nur mit Einwilligung)USA – SCC + DPF
Google AdMobWerbung in der Mobile-App (nur mit Einwilligung)USA – SCC + DPF
Nominatim / OpenStreetMapReverse-Geocoding (PLZ-Suche)EU (Frankreich, Deutschland)

SCC = EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 DSGVO. DPF = EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10. Juli 2023).

7. Internationale Datenübermittlung

Wenn Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums übermittelt werden, gewährleisten wir ein angemessenes Schutzniveau durch folgende Mechanismen:

  • Angemessenheitsbeschluss der Europäischen Kommission (z. B. EU-US DPF, Vereinigtes Königreich, Schweiz)
  • EU-Standardvertragsklauseln (SCC) in der aktuellen Fassung von Juni 2021
  • Übermittlungs-Folgenabschätzung (TIA) für jeden US-Anbieter
  • Zusätzliche technische Garantien (Verschlüsselung bei Transport und Speicherung, Pseudonymisierung)
  • Vertragliche Beschränkungen mit dem jeweiligen Anbieter (z. B. Zero-Retention, No-Training-on-User-Data mit Anthropic — DPA in Finalisierung)

Kopien der SCC und weiterer Garantien sind auf Anfrage verfügbar.

8. Aufbewahrungsfristen und Löschkonzept

DatenkategorieAufbewahrungsfrist
Konto- und Profildatenbis zur Konto-Löschung + 30 Tage Backup
Standort und GPS-Spurenmax. 24 Monate, danach Anonymisierung in Heatmap
Wächter, Inventar, Spielstandbis zur Konto-Löschung
Arena-Kämpfe (Runden-Protokoll)6 Monate, danach aggregierte Statistiken
Saison- und Prestige-Historieunbegrenzt (Hall of Fame) oder bis zur Konto-Löschung
Crew-Chatnachrichten12 Monate oder bis zur Auflösung der Crew
Shop-Check-ins, eingelöste Angebote24 Monate als Missbrauchs-Nachweis
Belegbilder7 Tage (nur für OCR-Prüfung)
Rechnungen und Zahlungsdaten10 Jahre (§ 147 AO, § 257 HGB)
Einwilligungs-Aufzeichnungenbis zu 3 Jahre nach Widerruf
Server-Logs mit IP7 Tage, danach IP-Kürzung
Admin-Audit-Log36 Monate
Abgelehnte Uploads30 Tage zur Nachprüfung
Moderations-Meldungen24 Monate
Support-Tickets36 Monate nach Schließung
A/B-Test-ZuordnungenExperiment-Dauer + 90 Tage zur Auswertung
Newsletter-Ereignisse24 Monate
B2B-Leads36 Monate ab letztem Kontakt
Verarbeitungsverzeichnissedauerhaft als interner Nachweis

9. Cookies, LocalStorage und ähnliche Technologien

Der Dienst nutzt nur unbedingt erforderliche Cookies bzw. LocalStorage-Einträge, die ohne Einwilligung gemäß § 25 Abs. 2 Nr. 2 TDDDG (vormals TTDSG) zulässig sind:

NameZweckDauer
sb-access-tokenAuthentifizierung (Supabase)1 Stunde
sb-refresh-tokenSession-Erneuerung30 Tage
ma365-localeSprach-Präferenz1 Jahr
ma365-consentEinwilligungs-Status für optionale Funktionen6 Monate
ma365-themePräferenz für dunklen/hellen Modus1 Jahr

Wir nutzen keine Tracking-Pixel, Werbe-Cookies oder Cross-Device-Identifier. Sollten künftig optionale Analyse- oder Marketing-Cookies hinzukommen, geschieht dies ausschließlich nach Einwilligung über ein Einwilligungs-Banner.

10. Kinder und Jugendliche

Der Dienst richtet sich an Personen ab 16 Jahren (EU), 13 Jahren (USA, gemäß COPPA — 15 U.S.C. § 6501 ff.) bzw. an das jeweilige Mindestalter nach nationalem Recht. Personen unterhalb dieser Altersgrenze dürfen den Dienst nur mit ausdrücklicher Einwilligung der Erziehungsberechtigten nutzen (Art. 8 DSGVO, COPPA Rule 16 CFR Part 312). Erlangen wir Kenntnis darüber, dass Daten von Kindern ohne die erforderliche Einwilligung verarbeitet werden, löschen wir diese unverzüglich.

11. Datensicherheit und technische Maßnahmen

  • Transport-Verschlüsselung HTTPS mit TLS 1.2+ an allen Endpunkten
  • Verschlüsselung im Ruhezustand für sämtliche Datenbank- und Speicher-Inhalte (AES-256)
  • Passwort-Hashing nach aktuellem Stand der Technik (Argon2id / bcrypt mit Salt)
  • Row-Level-Security in der Datenbank für nutzerbezogene Tabellen
  • Mitarbeiterzugriff nur über ein dediziertes Rollensystem mit vollständigem Audit-Log
  • Zwei-Faktor-Authentifizierung für Admin-Konten
  • Regelmäßige Backups mit begrenzter Aufbewahrung und verschlüsselter Speicherung
  • Automatisierte Security-Scans der Codebasis und Abhängigkeiten
  • Incident-Management mit Meldepflichten nach Art. 33/34 DSGVO (Frist 72 Stunden)

12. Zusätzliche Regelungen für bestimmte Rechtsräume

12.1 Vereinigtes Königreich (UK-DSGVO)

Für Nutzer mit Wohnsitz im Vereinigten Königreich gilt die UK-DSGVO zusätzlich zum Data Protection Act 2018. Deine Rechte entsprechen im Wesentlichen denen aus Abschnitt 14. Zuständige Aufsichtsbehörde ist das Information Commissioner's Office (ICO).

12.2 Schweiz (FADP / revDSG)

Für Nutzer mit Wohnsitz in der Schweiz gilt das revidierte Bundesgesetz über den Datenschutz (revDSG, in Kraft seit 1. September 2023). Deine Rechte entsprechen denen der DSGVO. Zuständige Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).

12.3 Kalifornien (CCPA / CPRA)

Nutzer mit Wohnsitz in Kalifornien haben zusätzliche Rechte gemäß California Consumer Privacy Act (CCPA) in der Fassung des California Privacy Rights Act (CPRA):

  • Right to Know – welche Kategorien personenbezogener Informationen erhoben werden
  • Right to Delete – Löschung personenbezogener Informationen
  • Right to Correct – Berichtigung unrichtiger Informationen
  • Right to Opt-Out of Sale/Sharing – Widerspruch gegen Verkauf/Weitergabe
  • Right to Limit Use of Sensitive Personal Information
  • Right to Non-Discrimination bei Wahrnehmung dieser Rechte
  • Vertretung durch autorisierten Bevollmächtigten ist möglich

Privacy.s12.s3.note

12.4 Brasilien (LGPD)

Für Nutzer mit Wohnsitz in Brasilien gilt die Lei Geral de Proteção de Dados (LGPD). Deine Rechte gemäß Art. 18 LGPD umfassen Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerruf der Einwilligung und Beschwerde bei der Autoridade Nacional de Proteção de Dados (ANPD).

12.5 Kanada (PIPEDA) und Australien (Privacy Act)

Für Nutzer mit Wohnsitz in Kanada oder Australien gelten die jeweiligen lokalen Datenschutzgesetze (PIPEDA bzw. Australian Privacy Act 1988). Die in dieser Erklärung gewährten Rechte entsprechen den lokalen Anforderungen oder gehen darüber hinaus. Beschwerden können beim Office of the Privacy Commissioner of Canada oder beim Office of the Australian Information Commissioner eingereicht werden.

13. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

GPS-Bewegungsdaten im Kontext sportlicher Aktivität können Rückschlüsse auf Gesundheitsdaten zulassen. Wir behandeln diese Daten daher mit besonderer Sorgfalt:

  • Keine Weitergabe an Dritte zu Gesundheits-Analysezwecken
  • Keine Verknüpfung mit Krankenversicherungen, Arbeitgebern oder ähnlichen Stellen
  • Aggregation in Heatmaps nur in anonymisierter Form auf Straßensegment-Ebene
  • Verarbeitung nur auf Basis deiner ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO)

14. Deine Rechte im Überblick

Du hast folgende Rechte gemäß DSGVO:

  • Auskunft über die zu deiner Person verarbeiteten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO)
  • Löschung – das «Recht auf Vergessenwerden» (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit in einem strukturierten, gängigen Format (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitung auf Basis berechtigten Interesses (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO). Zuständig für Berlin ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit.

Privacy.s14.note

15. Datenpannen und Benachrichtigung

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein hohes Risiko für deine Rechte und Freiheiten zur Folge hat, benachrichtigen wir dich unverzüglich gemäß Art. 34 DSGVO. Die zuständige Aufsichtsbehörde informieren wir spätestens innerhalb von 72 Stunden (Art. 33 DSGVO).

Wir führen ein internes Register aller Vorfälle, einschließlich derer unterhalb der Meldeschwelle, um unser Sicherheitsniveau kontinuierlich zu verbessern. Betroffene Nutzer werden direkt per E-Mail und In-App-Benachrichtigung informiert, wenn ihre Daten konkret betroffen sind.

16. Konto-Löschung und Deaktivierung im Detail

Privacy.s16.intro

  • Sofort: Zugriff deaktiviert, Profil als «gelöscht» angezeigt
  • Nach 14 Tagen: Löschung aller personenbezogenen Daten (Widerrufsfrist)
  • Verbleibend: aggregierte, nicht personenbezogene Statistiken (z. B. «100 km in Kreuzberg gelaufen»)
  • Pflichtaufbewahrung: Rechnungs- und Zahlungsdaten werden 10 Jahre aufbewahrt (§ 147 AO)
  • Chatnachrichten: bleiben für andere Crew-Mitglieder unter «[Nutzer gelöscht]» sichtbar
  • Errungene Crew-/Saison-Titel: werden in der Hall of Fame anonymisiert
  • Einwilligungen: bleiben als Widerrufs-Nachweis bis zu 3 Jahre erhalten

Eine Wiederherstellung nach Ablauf der 14-Tages-Frist ist technisch nicht möglich.

17. Auskunft an Behörden und gesetzliche Offenlegung

Wir geben deine Daten nur dann an staatliche Stellen weiter, wenn wir gesetzlich dazu verpflichtet sind, etwa auf Basis einer richterlichen Anordnung, von Ermittlungsmaßnahmen im Strafverfahren (z. B. §§ 100a, 100g StPO) oder einer Anordnung gemäß EU-Verordnung 2022/2065 (Digital Services Act, Art. 9/10).

Jede Offenlegung wird dokumentiert. Wir prüfen die Rechtmäßigkeit jeder Auskunftsanfrage und geben nur die ausdrücklich angeforderten Daten heraus. Soweit gesetzlich zulässig, informieren wir den betroffenen Nutzer über die Anfrage.

18. Erbfall und Tod eines Nutzers

Erben können auf Anfrage Zugriff auf das Konto einer verstorbenen Person erhalten (BGH-Urteil vom 12. Juli 2018, Az. III ZR 183/17). Erforderlich sind folgende Nachweise:

  • Sterbeurkunde (beglaubigte Kopie)
  • Erbschein oder notarielles Testament
  • Kopie des Ausweisdokuments des Antragstellers

Privacy.s18.note

19. Verlinkte externe Dienste und Inhalte

Unser Dienst enthält Links zu externen Websites, deren Inhalte wir nicht kontrollieren. Wir übernehmen keine Verantwortung für die Datenschutzpraktiken dieser Dritten. Dies gilt insbesondere für:

  • Verlinkte Websites von Partner-Shops
  • Social-Media-Plattformen beim Teilen von Profilen
  • App-Store-Links zu Apple App Store und Google Play
  • Karten-Dienste (OpenStreetMap, Mapbox)

Bitte lies die jeweiligen Datenschutzerklärungen separat.

20. Datenschutz-Folgenabschätzung (DSFA / DPIA)

Da unser Dienst in großem Umfang GPS-Bewegungsdaten verarbeitet und öffentliche Ranglisten erstellt, haben wir eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchgeführt. Die DSFA dokumentiert:

  • Systematische Beschreibung der Verarbeitungsvorgänge
  • Bewertung der Erforderlichkeit und Verhältnismäßigkeit
  • Identifizierte Risiken für die Betroffenen
  • Abhilfemaßnahmen (Pseudonymisierung, Verschlüsselung, Zugriffsbeschränkungen)

Eine Zusammenfassung ist auf Anfrage verfügbar. Die vollständige DSFA unterliegt dem Geschäftsgeheimnisschutz.

21. Datenübertragbarkeit und Export

Gemäß Art. 20 DSGVO hast du das Recht, deine Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Wir bieten folgende Optionen:

  • Self-Service-Export in den Einstellungen deines Kontos (JSON)
  • Auf Anfrage auch CSV pro Datenkategorie
  • Enthaltene Daten: Profil, Läufe, Gebiete, XP, Erfolge, Einlösungen, Wächter, Items, Prestige, Kämpfe

Der Export ist einmal pro Monat kostenfrei. Bei offensichtlich unbegründeten oder exzessiven Anfragen (Art. 12 Abs. 5 DSGVO) behalten wir uns vor, ein angemessenes Entgelt zu erheben oder die Bearbeitung abzulehnen.

22. Anwendbares Recht und Gerichtsstand

Auf diese Datenschutzerklärung und die Verarbeitung deiner personenbezogenen Daten findet deutsches Recht Anwendung, unter Ausschluss des UN-Kaufrechts. Zwingende Verbraucherschutzbestimmungen deines Wohnsitzlandes bleiben unberührt.

Gerichtsstand für Streitigkeiten mit Unternehmern und Personen ohne allgemeinen Gerichtsstand in Deutschland ist Berlin. Verbraucher können auch Klage an ihrem Wohnort erheben.

23. Nutzung durch Vertragspartner und Business-Kunden (B2B)

Wenn du unseren Dienst als Partner-Shop, Werbetreibender oder Geschäftspartner nutzt, gelten die Regeln dieser Erklärung sinngemäß. Für Daten, die du uns über deine Kunden oder Mitarbeiter übermittelst, schließen wir bei Bedarf einen separaten Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ab.

24. Beschwerden und alternative Streitbeilegung

Wenn du der Meinung bist, dass wir deine Daten nicht korrekt verarbeiten, kannst du:

  • Privacy.s24.li1
  • Eine Beschwerde bei deiner zuständigen Aufsichtsbehörde einreichen (Übersicht siehe Abschnitte 12 und 14)
  • Die EU-Online-Streitbeilegungs-Plattform nutzen: ec.europa.eu/consumers/odr
  • Gerichtlichen Rechtsschutz gemäß Art. 79 DSGVO suchen

Die Teilnahme an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle ist nicht verpflichtend.

25. Änderungen dieser Datenschutzerklärung

Wir passen diese Erklärung bei technischen oder rechtlichen Änderungen an. Die aktuelle Version ist stets unter MyArea365.de/datenschutz verfügbar. Bei wesentlichen Änderungen, die deine Rechte betreffen, informieren wir dich zusätzlich per E-Mail oder In-App-Benachrichtigung. Frühere Versionen werden archiviert und sind auf Anfrage verfügbar.

Diese Datenschutzerklärung wurde mit größter Sorgfalt und unter Berücksichtigung der internationalen Vorschriften (DSGVO, UK-DSGVO, FADP, CCPA/CPRA, LGPD, PIPEDA, australischer Privacy Act) erstellt. Sie beschreibt den aktuellen Stand unserer Datenverarbeitung. Vor dem Live-Gang und der Einführung wesentlicher neuer Funktionen empfehlen wir eine abschließende Prüfung durch einen auf IT-Recht und Datenschutz spezialisierten Anwalt.