Datenschutzerklärung

Stand: Juni 2026

Diese Datenschutzerklärung informiert gemäß Art. 13 DSGVO über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen der Nutzung der SocialSipClub App, der zugehörigen Websites (insbesondere socialsipclub.de) sowie aller darüber zugänglichen Dienste (nachfolgend gemeinsam „Plattform").

§ 1 Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Christoph Heberle & Fabian Knabe GbR
Spilhofstraße 3, 81927 München, Deutschland
E-Mail: hallo@socialsipclub.de
Telefon: +49 178 2316306

§ 2 Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist aufgrund der Unternehmensgröße nach § 38 BDSG derzeit nicht zu bestellen. Anfragen zum Datenschutz richten Sie bitte an die oben genannte E-Mail-Adresse mit dem Betreff „Datenschutz".

§ 3 Zuständige Aufsichtsbehörde

Zuständige Aufsichtsbehörde ist das

Bayerische Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
Telefon: +49 981 180093-0
E-Mail: poststelle@lda.bayern.de
Web: www.lda.bayern.de

§ 4 Grundsätze und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage der einschlägigen Vorschriften, insbesondere der DSGVO, des BDSG und des TDDDG (vormals TTDSG). Die Verarbeitung erfolgt auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. Standortdaten, Marketing-Kommunikation)
• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung und vorvertragliche Maßnahmen (Betrieb der App, Nutzerkonto, Abonnements)
• Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtungen (z. B. steuer-/handelsrechtliche Aufbewahrungspflichten)
• Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen (z. B. Missbrauchs-/Betrugsprävention, Sicherheit der Plattform, Fehleranalyse, Produktverbesserung auf Basis eigener Daten)
• § 25 Abs. 2 Nr. 2 TDDDG – Ausnahme von der Einwilligungspflicht bei unbedingt erforderlichen Zugriffen auf Endeinrichtungen

§ 5 Übersicht der verarbeiteten Daten

Im Rahmen der Nutzung der Plattform verarbeiten wir folgende Kategorien personenbezogener Daten:

• Stammdaten: E-Mail-Adresse, Anzeigename, Initialen, Profilbild, Spracheinstellung, Einladungscode
• Authentifizierungsdaten: Clerk-ID, OAuth-Tokens (Apple/Google), Passwort-Hashes (verschlüsselt, nur bei E-Mail-Registrierung)
• Geräte- und Nutzungsdaten: Geräte-ID bzw. pseudonyme Gerätekennung, Betriebssystem, OS-Version, App-Version, Sprache, Zeitzone, IP-Adresse
• Standortdaten: GPS-Koordinaten (genauer Ort) bei Einlösung, IP-basierter Näherungsstandort, Entfernungs- und Genauigkeits-Audit-Logs
• Aktivitätsdaten: Check-ins, Einlösungen, Aktivitätsfeed-Einträge, Badge- und Level-Fortschritt, gesammelte Credits
• Kommunikationsdaten: Chat-Nachrichten, Freundschaftsanfragen, Broadcasts, gemeldete Inhalte
• Nutzerinhalte: Profilbilder, Rezensionen, Chat-/Broadcast-Inhalte, hochgeladene Bilder und Videos
• Push-Daten: Expo/APNs/FCM-Tokens, Benachrichtigungseinstellungen pro Kategorie, technische Öffnungs-/Tap-Ereignisse
• Zahlungsdaten (bei Einführung kostenpflichtiger Leistungen): Abonnement-Status, Rechnungsadresse, Zahlungsmittel-Token (wir speichern keine Kartendaten selbst)
• Analyse- und Diagnostikdaten: Produktinteraktionen, Bildschirmaufrufe, Crash- und Fehlerberichte, Performance-Daten, jeweils ohne Klarname/E-Mail in Analyseevents
• Sicherheits- und Audit-Daten: Zeitstempel, Anti-Missbrauchs-Signale, Geräte-Hashes, App-Attest-/Play-Integrity-Nachweise, Cooldown-/Einlöse-Historie

§ 6 Registrierung und Authentifizierung (Clerk, Apple, Google)

Für die Authentifizierung setzen wir den Dienst Clerk (Clerk, Inc., 660 King St Floor 4, San Francisco, CA 94107, USA) ein. Clerk verarbeitet im Auftrag von uns:

• E-Mail-Adresse, ggf. Name und Profilbild (bei OAuth)
• Passwort-Hashes (bei E-Mail-Registrierung)
• Sitzungs- und Auth-Tokens
• IP-Adresse und Geräteinformationen zur Sitzungs- und Missbrauchsverwaltung

Bei der Anmeldung über Sign in with Apple (Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA) oder Google Sign-In (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) werden nach Ihrer Zustimmung im jeweiligen Dialog die dort freigegebenen Daten (E-Mail, Name, ggf. Profilbild) an Clerk übermittelt.

Zweck: Authentifizierung, Identitätsverwaltung, Schutz vor unbefugtem Zugriff.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Drittlandübermittlung: USA. Die Übermittlung erfolgt auf Grundlage der Standardvertragsklauseln der EU-Kommission (Art. 46 DSGVO) sowie der Zertifizierung unter dem EU-US Data Privacy Framework.
Speicherdauer: Bis zur Löschung des Kontos zuzüglich kurzer technischer Reservefrist für Sicherungen; anschließend Löschung durch Clerk auf Zuruf von uns.

§ 7 Betrieb der Plattform (Convex)

Die Anwendungs- und Datenbankinfrastruktur wird von Convex (Convex Inc., 444 De Haro Street, Suite 206, San Francisco, CA 94107, USA) als Auftragsverarbeiter bereitgestellt. Convex speichert sämtliche Inhalts-, Kommunikations- und Aktivitätsdaten der Plattform, insbesondere:

• Nutzerprofile, Einstellungen und Beziehungen (Freundschaften, Blöcke)
• Check-ins, Einlösungen, Aktivitätsfeed und Badge-Fortschritt
• Chat-Nachrichten, Anfragen und Broadcasts
• Melde- und Moderationsdaten
• Push-Tokens (vor Zustellung an Apple/Google)
• Standort- und Einlöse-Audit-Logs

Zweck: Bereitstellung sämtlicher Kernfunktionen der Plattform.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Drittlandübermittlung: USA, Standardvertragsklauseln gemäß Art. 46 DSGVO.
Speicherdauer: Siehe § 20 (Speicherdauer).

§ 8 Standortdaten (GPS, IP-Geolokalisierung)

Die Einlösung standortgebundener Angebote und bestimmte Check-in-Funktionen setzen die Verarbeitung Ihres genauen Gerätestandorts voraus. Wir verarbeiten:

• GPS-Koordinaten (Breiten- und Längengrad) beim Einlösen, Check-in oder Auto-Check-in-Hinweis; wir prüfen die Entfernung zur jeweiligen Location (Proximity-Check)
• Audit-Log-Daten pro Einlösung bzw. Check-in: Entfernung zum Spot/Event/POI, Genauigkeit (accuracy), Alter der Standortmessung, H3-Index bzw. Ortsbezug
• Grobe Ortsdaten für ausgewählte soziale Funktionen, z. B. zeitlich begrenzte "Ich bin unterwegs"-Statusmeldungen auf Basis eines groben H3-Zellmittelpunkts statt exakter GPS-Koordinaten
• IP-basierten Näherungsstandort als Fallback im Onboarding, wenn keine GPS-Freigabe erteilt wurde (über den Dienst ipapi.co, Kosoma LLC, 11 E Loop 820 S Ste 224, Fort Worth, TX 76112, USA)

Zweck: Verifikation der Anwesenheit in einer Partner-Location, Missbrauchs-/Manipulationsschutz (Erkennung von GPS-Spoofing), Bereitstellung standortbezogener Funktionen (Karte, Entdecken, Auto-Check-in-Hinweise, Stadt-/Umgebungsauswahl).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über die Systemabfrage des Betriebssystems) i. V. m. § 25 Abs. 1 TDDDG; für Missbrauchsprävention zusätzlich Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Plattform-Integrität).
Drittlandübermittlung: USA (ipapi.co), Standardvertragsklauseln.
Speicherdauer: GPS-Koordinaten werden nach Einlösung oder Check-in nicht dauerhaft als exakte Koordinaten gespeichert; Audit-Log-Daten werden zu Einlösungen bzw. Check-ins zugeordnet und gemäß § 20 aufbewahrt. Sie können die Standortfreigabe in den Geräteeinstellungen jederzeit widerrufen; in diesem Fall ist eine Einlösung standortgebundener Angebote technisch nicht möglich.

§ 9 Profilbilder und Medien (Cloudflare R2 / Cloudflare Stream)

Von Nutzern, Partnern oder Administratoren hochgeladene Bilder werden auf Cloudflare R2, Videos über Cloudflare Stream(jeweils Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA) gespeichert und ausgeliefert. Wir verwenden S3-kompatible APIs für Bilder und direkte Upload- bzw. Streaming-Funktionen für Videos. Bei Upload, Abruf und Auslieferung werden IP-Adresse, technische Request-Daten und ggf. Metadaten wie Dateigröße, Dateityp und Upload-Zeitpunkt an Cloudflare übermittelt.

Zweck: Bereitstellung von Nutzer-Medien.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Drittlandübermittlung: weltweit (CDN-Auslieferung); Standardvertragsklauseln, Cloudflare ist Self-Certified unter dem EU-US Data Privacy Framework.
Speicherdauer: Bis zur Löschung durch den Nutzer bzw. im Zuge der Kontolöschung (siehe § 21).

§ 10 Push-Benachrichtigungen (Expo, Apple APNs, Firebase FCM)

Zur Zustellung von Push-Benachrichtigungen setzen wir folgende Dienste ein:

• Expo Push Service (650 Industries, Inc., 650 Castro Street, Suite 120-210, Mountain View, CA 94041, USA)
• Apple Push Notification service (APNs) (Apple Inc., USA) – für iOS
• Firebase Cloud Messaging (FCM) (Google Ireland Limited, Irland / Google LLC, USA) – für Android

Wir speichern pro Gerät einen Push-Token, eine pseudonyme Gerätekennung, die Plattform, OS-Version und Sprache, um Benachrichtigungen zielgerichtet zustellen zu können. Bei bestimmten Push-Benachrichtigungen speichern wir technische Zustell- und Öffnungsdaten (z. B. eine zufällige Sendungs-ID), um Fehler zu beheben und Missbrauch zu verhindern. Benachrichtigungen sind in die folgenden Kategorien unterteilt:

• Transaktionale Benachrichtigungen (z. B. Konto-, Sicherheits- und Einlöse-Informationen): zur Vertragserfüllung erforderlich, nicht abschaltbar solange die App genutzt wird
• Soziale Benachrichtigungen (z. B. Freundschaftsanfragen, Chats): abschaltbar
• Marketing- und Werbe-Benachrichtigungen (z. B. neue Partner, Aktionen): nur nach ausdrücklicher Einwilligung; jederzeit abschaltbar

Zweck: Information und Kommunikation mit dem Nutzer.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (transaktional, sozial zur Funktionsbereitstellung); Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 7 Abs. 2 UWG (Marketing).
Drittlandübermittlung: USA (Expo, APNs, FCM); Standardvertragsklauseln bzw. EU-US Data Privacy Framework.
Speicherdauer: Push-Tokens werden bei Abmeldung, Kontolöschung oder Widerruf sofort gelöscht.

§ 11 E-Mail-Kommunikation (Brevo)

Für den Versand transaktionaler E-Mails (z. B. Bestätigungen, Widerrufsbelehrungen, Rechnungen, Sicherheitshinweise) setzen wir Brevo (Sendinblue SAS, 106 Boulevard Haussmann, 75008 Paris, Frankreich) ein. Übermittelt werden E-Mail-Adresse, Name und der jeweilige Nachrichteninhalt. Brevo hostet die Daten innerhalb der EU.

Zweck: Kommunikation im Rahmen des Nutzungsverhältnisses.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (transaktional); Art. 6 Abs. 1 lit. a DSGVO (werbliche Kommunikation, sofern eingewilligt).
Drittlandübermittlung: keine (EU).
Speicherdauer: bis zum Zweckwegfall bzw. Widerruf der Einwilligung, längstens bis zum Ablauf gesetzlicher Aufbewahrungsfristen.

§ 12 Zahlungsabwicklung (Stripe)

Sobald kostenpflichtige Leistungen aktiviert werden, setzen wir zur Zahlungsabwicklung Stripe (Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland; mit Konzernverbindung zu Stripe, Inc., USA) ein. Übermittelt werden u. a. Name, E-Mail-Adresse, Rechnungsland, Zahlungsmittel-Token (keine Kartendaten), IP-Adresse sowie Transaktions- und Abonnement-Informationen. Wir selbst speichern keine vollständigen Karten- oder Kontodaten.

Abhängig vom Vertriebsweg erfolgt die Zahlung alternativ über Apple Media Services (Apple Distribution International Limited, Irland) oder Google Payments (Google Payment Ireland Limited, Irland). Apple/Google geben uns in diesem Fall lediglich aggregierte Informationen zum Abonnementstatus weiter.

Zweck: Vertragsschluss und Abwicklung kostenpflichtiger Leistungen, Missbrauchs- und Betrugsprävention.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. c DSGVO (steuer-/handelsrechtliche Pflichten); Art. 6 Abs. 1 lit. f DSGVO (Betrugsprävention).
Drittlandübermittlung: Kernverarbeitung in der EU; konzernintern auch USA, Standardvertragsklauseln; Stripe ist Self-Certified unter dem EU-US Data Privacy Framework.
Speicherdauer: Abrechnungsdaten 10 Jahre (§ 147 AO); Transaktionsdaten gemäß Vorgaben des Zahlungsdienstleisters.

§ 13 Soziale Funktionen (Freunde, Chats, Broadcasts, Aktivitätsfeed)

Soweit Sie soziale Funktionen nutzen, verarbeiten wir insbesondere:

• Freundschaftsbeziehungen, Anfragen, Blockierungen
• Chat-Nachrichten und Nachrichtenanfragen (Ende-zu-Ende nicht verschlüsselt – zur Moderation technisch zugänglich)
• Broadcasts („Ich will ausgehen" u. a.) und deren Empfängerkreise
• Aktivitätsfeed-Einträge (z. B. eigene Check-ins, Level-ups, Einlösungen – für Freunde/Follower)
• Sichtbarkeitseinstellungen des Profils (entdeckbar/privat)

Die Sichtbarkeit bestimmter Inhalte hängt von Ihren Profil- und Privatsphäre-Einstellungen ab. Dritte erhalten niemals Ihre genauen GPS-Koordinaten, sondern allenfalls den Zusammenhang zu einer Partner-Location, bei der Sie eingecheckt sind.

Zweck: Bereitstellung sozialer Funktionen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Chat-Nachrichten werden regelmäßig nach ca. 90 Tagen automatisch gelöscht (Cron-Jobs); Feed-Einträge nach 30 Tagen; Freundschaften bis zum Abbruch oder zur Kontolöschung.

§ 14 Inhalts-Moderation, Meldungen und Sperren

Zur Durchsetzung der AGB, zum Schutz anderer Nutzer und zur Einhaltung gesetzlicher Pflichten (u. a. TMG, Digital Services Act) verarbeiten wir Meldungen über rechtsverletzende oder missbräuchliche Inhalte, Blocks, Sperrvorgänge und zugehörige Entscheidungsdaten.

Zweck: Sicherheit, Vertragsdurchsetzung, Rechtspflichten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c und f DSGVO.
Speicherdauer: Bis zum Abschluss des Moderationsvorgangs zuzüglich Verjährungsfristen; anonymisiert auch darüber hinaus zu statistischen Zwecken.

§ 15 Karten- und Geocoding-Dienste (Mapbox)

Die Karten-Ansicht wird über Mapbox (Mapbox, Inc., 740 15th St NW, 5th Floor, Washington, DC 20005, USA) bereitgestellt. Beim Laden der Karte werden IP-Adresse, Geräteinformationen, ggf. Standortdaten (bei aktivierter Freigabe) sowie der angezeigte Kartenausschnitt an Mapbox übermittelt. Mapbox kann zudem aggregierte Telemetriedaten zur Karten-Nutzung verarbeiten; die App bietet hierfür in der Kartenansicht eine Abschaltmöglichkeit.

Zweck: Darstellung einer interaktiven Karte, Entdecken von Partner-Locations.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Drittlandübermittlung: USA, Standardvertragsklauseln; Mapbox ist Self-Certified unter dem EU-US Data Privacy Framework.
Speicherdauer: gemäß Mapbox-Richtlinien (aggregierte Metriken).

§ 16 Fehlermonitoring (Sentry)

Zur Stabilisierung und Fehleranalyse setzen wir Sentry (Functional Software, Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA) ein. Wir nutzen Sentry mit EU-Servern (eu.sentry.io, Datenverarbeitung in Frankfurt/Deutschland). Verarbeitet werden insbesondere:

• Fehler- und Stacktrace-Daten
• Performance-Daten, z. B. Start-, Lade- und Navigationszeiten
• App-Version, Build-/Update-Kennung, OS-Version, Geräteinformationen, anonymisierte IP-Adresse
• Eine technische Nutzer-ID bzw. Sitzungskennung (pseudonymisiert), um Fehler einzelnen Sitzungen zuordnen zu können
• Technische Breadcrumbs und Kontextdaten, z. B. Authentifizierungsphase oder betroffener App-Bereich, soweit für die Fehleranalyse erforderlich

Wir konfigurieren Sentry mit deaktivierter Standard-PII-Übermittlung. Personenbezogene Inhalte wie Klartext-E-Mail-Adressen werden, soweit technisch möglich, nicht erfasst oder vor dem Versand maskiert. Session-Replay-Funktionen werden nicht eingesetzt.

Zweck: Erkennung, Analyse und Behebung von Fehlern; Sicherstellung der Plattform-Stabilität.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stabilen und sicheren Betrieb); § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlicher Zugriff zur Bereitstellung eines funktionsfähigen Dienstes).
Drittlandübermittlung: Verarbeitung in der EU; administrativer Zugriff durch Sentry-Unternehmen außerhalb der EU kann nicht vollständig ausgeschlossen werden und erfolgt auf Grundlage geeigneter Garantien, insbesondere Standardvertragsklauseln und ggf. EU-US Data Privacy Framework.
Speicherdauer: 90 Tage (Default); danach automatische Löschung.

§ 17 Produktanalyse (PostHog, Vercel Analytics und eigene Nutzungsstatistiken)

Zur Weiterentwicklung der Plattform, zur Qualitätssicherung und zur Verbesserung der Nutzerführung verwenden wir in der App PostHog (PostHog Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA) mit EU-Hosting unter eu.i.posthog.com. Auf der Website nutzen wir Vercel Analytics (Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA). Zusätzlich werten wir aggregierte Kennzahlen aus Daten aus, die ohnehin im Rahmen der Vertragserfüllung auf unserer Convex-Infrastruktur (siehe § 7) gespeichert sind.

In der App erfassen wir über PostHog insbesondere Bildschirmaufrufe, App-Start- und Lebenszyklusereignisse, Onboarding-Fortschritt, genutzte Funktionen, Push-Öffnungen, Einladungs-/Share-Ereignisse und technische Eigenschaften wie App-Version, Plattform und Sprache. Wir senden keine Klarnamen, E-Mail-Adressen, Passwörter, Tokens, Einladungscodes oder ungefilterten Links an PostHog. Session-Replay ist deaktiviert, Geo-IP-Anreicherung ist deaktiviert; Nutzer werden nur über eine pseudonyme interne Nutzer-ID identifiziert.

Auf der Website verarbeitet Vercel Analytics technische Nutzungsdaten wie Seitenaufrufe, Referrer, Gerätetyp, Browser, Land/Region auf Basis technischer Request-Daten und ähnliche aggregierte Metriken. Unsere Website setzt hierfür keine eigenen nicht erforderlichen Cookies.

Ausgewertet werden insbesondere aggregierte Kennzahlen zu:

• Anzahl registrierter und aktiver Nutzer (DAU/WAU/MAU)
• Anteil der Nutzer mit aktivierten Push-Benachrichtigungen, Standortfreigabe oder Profilbild
• Check-in- und Einlöse-Volumina je Zeitraum und Partner-Location
• Onboarding-Fortschritt und Retention-Kohorten
• Empfehlungs- und Conversion-Raten
• Nutzungstrends zur Priorisierung neuer Funktionen

Ergebnisse werden vorrangig in aggregierter Form genutzt. Einzelne Analyseevents werden – soweit für die Auswertung erforderlich – pseudonymisiert verarbeitet.

Zweck: Produkt- und Qualitätsverbesserung, Missbrauchs- und Betrugsprävention, Stabilitätsmonitoring.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Verbesserung und Sicherheit der Plattform). Soweit für nicht zwingend erforderliche Analysefunktionen eine Einwilligung erforderlich ist, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG; die Analysefunktion kann in der App unter "Datenschutz" deaktiviert werden.
Drittlandübermittlung: PostHog und Vercel verarbeiten die genannten Daten vorrangig in der EU bzw. datenschutzfreundlich aggregiert; administrativer Zugriff durch Unternehmen außerhalb der EU kann nicht vollständig ausgeschlossen werden und erfolgt auf Grundlage geeigneter Garantien, insbesondere Standardvertragsklauseln und ggf. EU-US Data Privacy Framework.
Speicherdauer: Analyseevents werden nur so lange gespeichert, wie dies für Produktanalyse und Qualitätssicherung erforderlich ist; aggregierte Statistiken werden zeitlich unbegrenzt in anonymer Form aufbewahrt.

§ 18 App-Updates und OTA (Expo / EAS)

Für die Auslieferung von Softwareaktualisierungen (Over-the-Air-Updates) verwenden wir Expo / EAS Update (650 Industries, Inc., USA). Bei Update-Abrufen übermittelt die App: App-Version, Build-Kanal, Plattform, OS-Version, Geräte-ID sowie IP-Adresse.

Zweck: sichere Auslieferung von Programmaktualisierungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit).
Drittlandübermittlung: USA, Standardvertragsklauseln.
Speicherdauer: aggregiert bis zu 90 Tage.

§ 19 Automatisierte Entscheidungen und Profiling

Zur Sicherstellung der Plattform-Integrität setzen wir automatisierte Regelprüfungenein, insbesondere:

• Cooldown-/Reuse-Limits bei Einlösungen (pro Konto und pro Gerät)
• Proximity-Checks zur Validierung der Anwesenheit in einer Partner-Location
• Gerätebezogene Betrugsprävention über pseudonyme Geräte-Hashes, Apple App Attest und Google Play Integrity
• Muster-basierte Missbrauchs-/Betrugserkennung (z. B. GPS-Spoofing, Mehrfach-Accounts, Selbstempfehlungen)
• Anti-Spam-Regeln in Chat- und Broadcast-Funktionen

Diese Prüfungen führen in der Regel zu einer technischen Einschränkung der jeweiligen Funktion (z. B. Sperre einer Einlösung). Sie stellen keine automatisierte Entscheidungsfindung mit erheblichen rechtlichen Auswirkungen im Sinne von Art. 22 Abs. 1 DSGVO dar; im Falle einer Kontosperrung können Sie uns jederzeit kontaktieren, um eine manuelle Überprüfung zu verlangen.

§ 20 Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie dies zur Zweckerreichung erforderlich ist. Richtwerte:

• Nutzerkonto: bis zur Kontolöschung (siehe § 21)
• Chat-Nachrichten / Anfragen: ca. 90 Tage ab letzter Aktivität (automatische Bereinigung)
• Aktivitätsfeed: 30 Tage ab Erstellung
• Push-Tokens: bis zur Abmeldung des Geräts, Widerruf oder Kontolöschung
• Einlöse- und Check-in-Daten: anonymisiert über die Kontolöschung hinaus, solange es der Abrechnung mit Partnern oder steuer-/handelsrechtlichen Pflichten dient
• Geräte- und Attestierungsdaten: solange dies zur Missbrauchs- und Betrugsprävention erforderlich ist
• Abrechnungsdaten: 10 Jahre (§ 147 AO, § 257 HGB)
• Sentry-Fehlerdaten: 90 Tage
• Analyseevents: nach Zweckfortfall bzw. gemäß den Einstellungen der eingesetzten Analysedienste; aggregierte Nutzungsstatistiken zeitlich unbegrenzt in anonymer Form
• Moderations-/Sperrdaten: bis zur Beendigung des Falls zuzüglich Verjährungsfristen

§ 21 Kontolöschung und Tombstone-Verfahren

Sie können Ihr Konto jederzeit in den Einstellungen der App löschen. Nach Auslösung wird das Konto zunächst für 14 Tage deaktiviert („Grace Period"); in dieser Zeit kann die Löschung durch erneute Anmeldung rückgängig gemacht werden. Nach Ablauf der Frist werden folgende Daten endgültig gelöscht:

• Profil- und Stammdaten (bei Clerk und bei Convex)
• Profilbilder und Medien (Cloudflare R2 / Cloudflare Stream)
• Chat-Nachrichten, Anfragen, Freundschaftsbeziehungen, Blöcke
• Push-Tokens
• Aktivitätsfeed-Einträge, Broadcasts, Empfehlungsdaten
• Geräte- und Sitzungsdaten bei Clerk

Bestimmte Einlöse- und Transaktionsdaten werden in anonymisierter Formweiter vorgehalten (insbesondere zur Abrechnung mit Partnern, zur Erfüllung steuer- und handelsrechtlicher Aufbewahrungspflichten sowie zur Missbrauchsprävention). Die Zuordnung zu Ihrer Person ist nach der Anonymisierung technisch nicht mehr möglich.

§ 22 Lokale Speicherung und Geräte-Zugriffe

Im Rahmen der App werden Informationen lokal auf dem Endgerät gespeichert (AsyncStorage, Keychain, Expo SecureStore), soweit dies für den Betrieb erforderlich ist (Sitzungen, Spracheinstellung, Präferenzen, Authentifizierungs-Token, pseudonyme Gerätekennung, Push-Token-Synchronisierung, Analyse-Opt-out, Karten- Telemetriepräferenz). Diese Zugriffe sind von der Einwilligungspflicht des § 25 Abs. 1 TDDDG nach § 25 Abs. 2 Nr. 2 TDDDG ausgenommen, soweit sie zur Erbringung des Dienstes zwingend notwendig sind. Nicht zwingend erforderliche Präferenzen dienen der Umsetzung Ihrer Auswahl.

Die App kann Zugriff auf Kamera und Fotomediathek anfordern, wenn Sie ein Profilbild aufnehmen oder auswählen, QR-Codes von Freunden scannen oder einen QR-Code aus Ihrer Galerie lesen möchten. Ein Zugriff erfolgt nur nach Ihrer Freigabe über die Betriebssystemabfrage. Sie können diese Berechtigungen jederzeit in den Geräteeinstellungen widerrufen.

Unsere Website (socialsipclub.de) verzichtet auf nicht unbedingt erforderliche Cookies und Tracker.

§ 23 Sicherheit der Verarbeitung

Wir setzen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, u. a.:

• Transportverschlüsselung (TLS) zwischen App, Backend und Drittdiensten
• Verschlüsselung sensibler lokaler Daten (SecureStore, Keychain)
• Zugriffsbeschränkungen auf Backend und Admin-Funktionen (Rollen-/Berechtigungssystem, MFA)
• App-Attest-/Play-Integrity-Prüfungen und pseudonyme Geräte-Hashes zur Betrugsprävention
• Logging, Monitoring und Alerting zu sicherheitsrelevanten Ereignissen
• Regelmäßige Überprüfungen und Aktualisierungen

§ 24 Jugendschutz und Mindestalter

Die Plattform richtet sich ausschließlich an Personen ab 18 Jahren. Mit der Registrierung versichert der Nutzer die Volljährigkeit. Wir erheben wissentlich keine Daten von Personen unter 18 Jahren. Erhalten wir Kenntnis, dass Daten von Minderjährigen verarbeitet wurden, löschen wir diese unverzüglich. Die Einhaltung des § 9 JuSchG bei der Abgabe alkoholischer Getränke obliegt ausschließlich der Partner-Location.

§ 25 Ihre Rechte

Sie haben nach Maßgabe der DSGVO jederzeit das Recht auf:

• Auskunft über die zu Ihrer Person verarbeiteten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen eine auf Art. 6 Abs. 1 lit. e oder f DSGVO gestützte Verarbeitung (Art. 21 DSGVO)

Zur Ausübung genügt eine formlose Mitteilung an hallo@socialsipclub.de. Wir werden Ihre Anfrage gemäß den gesetzlichen Vorgaben innerhalb eines Monats beantworten.

§ 26 Widerruf von Einwilligungen

Soweit die Verarbeitung auf Ihrer Einwilligung beruht (insbesondere Standortdaten, Marketing-Kommunikation sowie nicht zwingend erforderliche Analysefunktionen), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen – in den App-Einstellungen, in den Geräteeinstellungen (Standort/Push) oder per E-Mail an hallo@socialsipclub.de. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

§ 27 Beschwerderecht

Unabhängig von einer Beschwerde bei uns haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren – insbesondere beim in § 3 genannten BayLDA oder bei der Aufsichtsbehörde Ihres Heimat- bzw. Arbeitsstaates.

§ 28 Freiwilligkeit; Folgen der Nichtbereitstellung

Die Bereitstellung Ihrer Daten ist grundsätzlich freiwillig. Für den Abschluss und die Durchführung des Nutzungsvertrags sind jedoch bestimmte Daten (E-Mail, Authentifizierung, ggf. Standort) erforderlich. Ohne diese Daten können Sie die entsprechenden Funktionen der Plattform nicht oder nicht vollständig nutzen. Rechtliche oder vertragliche Nachteile ergeben sich aus der Nichtbereitstellung nicht.

§ 29 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei rechtlichen oder tatsächlichen Änderungen anzupassen. Die jeweils aktuelle Fassung ist unter socialsipclub.de/datenschutz abrufbar. Wesentliche Änderungen kündigen wir zusätzlich in der App oder per E-Mail an.

Kontakt

Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich an:
Christoph Heberle & Fabian Knabe GbR
Spilhofstraße 3, 81927 München
E-Mail: hallo@socialsipclub.de