Datenschutzerklärung

Information gemäß Art. 13, 14 DSGVO. Stand: 17. Mai 2026 · Version 2.

Verantwortlicher
Welche Daten wir verarbeiten
Zwecke und Rechtsgrundlagen
Empfänger und Subprozessoren
Übermittlung in Drittländer
Speicherdauer und Löschung
Ihre Rechte
Sicherheit
Änderungen dieser Erklärung

1. Verantwortlicher

Verantwortlich im Sinne des Art. 4 Nr. 7 DSGVO ist die im Impressum genannte natürliche Person.

Für datenschutzrechtliche Anfragen erreichen Sie uns unter: privacy@fittery.app.

TODO: Wenn die Alias-Adresse privacy@fittery.app noch nicht eingerichtet ist, hier die tatsächliche E-Mail eintragen (z.B. hello@fittery.app). Die Adresse sollte aktiv abgerufen werden — DSGVO-Anfragen müssen innerhalb eines Monats beantwortet werden (Art. 12 Abs. 3 DSGVO).

Einen Datenschutzbeauftragten haben wir nicht bestellt, da die Voraussetzungen des § 38 BDSG nicht erfüllt sind (weniger als 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind).

2. Welche Daten wir verarbeiten

2.1 Bei Nutzung als Gast (ohne Konto)

Geräte-Identifier (UUID, lokal im iOS-Schlüsselbund erzeugt) — zur Wiedererkennung des Geräts zwischen App-Sitzungen.
FCM-Push-Token (von Apple/Firebase erzeugt) — für Benachrichtigungen zu gebuchten Sessions.
Standortdaten (nur auf Ihre Zustimmung hin, zur Anzeige naher Trainings) — nicht dauerhaft gespeichert.

2.2 Bei Registrierung als Schüler:in

E-Mail-Adresse
Anzeigename (optional)
Passwort (gehashtes Verfahren bei Firebase Auth)
Stadt-ID (z.B. "Munich")
Einwilligungs-Status (Versionsnummer, Zeitpunkt)
Account-Erstellungszeitpunkt

2.3 Zusätzlich als Trainer:in

Profil-Daten (Bio EN/DE, Spezialisierungen, Profilfoto)
Telefonnummer (intern, nicht öffentlich sichtbar)
Verifizierungsdokument (Personalausweis, Gewerbeanmeldung o.ä. — gespeichert in einem nur für unser Support-Team zugänglichen Bereich)
Zahlungs-Handle (PayPal.me / PayPal-E-Mail)
Status (pending / approved / banned)

2.4 Bei jeder Buchung

Session-ID, Trainer-ID, Schüler-ID (oder Geräte-ID bei Gästen)
Zeitpunkt, Status, Zahlungscode (9-stellig)
Betrag in EUR (zum Zwecke der Anzeige; keine Zahlung über uns)
Check-in-Zeitpunkt (sofern Trainer den Code gescannt hat)

2.5 Diagnose- und Nutzungsdaten

Absturzberichte über Firebase Crashlytics (anonymisiert: Gerätemodell, iOS-Version, App-Version, Stack-Trace; keine personenbezogenen Inhalte)
Anonyme Nutzungsstatistiken über Firebase Analytics (welche Bildschirme aufgerufen werden, ob Buchungen erfolgreich abschließen) — nur mit Ihrer Einwilligung

3. Zwecke und Rechtsgrundlagen

Verarbeitung	Zweck	Rechtsgrundlage
Konto & Profil	Bereitstellung der App-Funktionen	Art. 6 (1) b DSGVO (Vertrag)
Buchungen	Vermittlung zwischen Trainer und Schüler	Art. 6 (1) b DSGVO (Vertrag)
Geräte-Identifier	Wiedererkennung, Missbrauchsabwehr, Anti-Spam	Art. 6 (1) f DSGVO (berechtigtes Interesse)
Trainer-Verifizierung	Prüfung der Eignung, Schutz der Schüler	Art. 6 (1) b + f DSGVO
Push-Benachrichtigungen	Status-Updates zu Buchungen	Art. 6 (1) b DSGVO (Vertrag) bzw. Einwilligung iOS-System
E-Mail (z.B. Verifizierung)	Bestätigung der E-Mail-Adresse, Passwort-Reset	Art. 6 (1) b DSGVO
Crash-Reports	Fehlerbehebung, Verbesserung der Stabilität	Art. 6 (1) f DSGVO
Analytics / Marketing	Produktverbesserung, Marketing-Mitteilungen	Art. 6 (1) a DSGVO (Einwilligung, jederzeit widerrufbar)
Block- und Report-Mechanismen	Plattformsicherheit, Schutz anderer Nutzer	Art. 6 (1) f DSGVO

4. Empfänger und Subprozessoren

Wir nutzen folgende Dienste zur technischen Bereitstellung der Plattform. Mit diesen Anbietern bestehen, sofern erforderlich, Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO bzw. die Anbieter agieren auf Basis ihrer eigenen, von der EU-Kommission anerkannten Garantien.

Anbieter	Zweck	Sitz / Datenfluss
Google Firebase (Auth, Firestore, Functions, Storage, FCM, Crashlytics, Analytics)	Backend-Infrastruktur, Authentifizierung, Push, Diagnose	Google Ireland Ltd / Google LLC (USA), Region eur3 für Daten-at-rest
Apple Inc. (APNs)	Auslieferung von Push-Benachrichtigungen	USA
Resend	Versand von Transaktions- und System-E-Mails	Resend, Inc., USA
PayPal (Holdings) S.à r.l. et Cie, S.C.A.	Zahlungsabwicklung (zwischen Schüler und Trainer, ohne uns)	Luxemburg / global

PayPal verarbeitet Zahlungsdaten als eigenständig Verantwortlicher auf Basis seiner eigenen Datenschutzerklärung (paypal.com/de/legalhub/privacy-full), nicht in unserem Auftrag.

5. Übermittlung in Drittländer

Einige der oben genannten Dienste (insbesondere Google Firebase, Apple APNs, Resend) verarbeiten Daten auch in den USA oder können Support- und Diagnosezugriffe aus den USA ermöglichen.

Die Übermittlung erfolgt auf Grundlage:

des EU-US Data Privacy Framework (für zertifizierte Anbieter wie Google LLC und Apple Inc.), sowie
ergänzend der EU-Standardvertragsklauseln (SCC, Art. 46 Abs. 2 lit. c DSGVO).

Aktuelle Angaben zur Zertifizierung finden Sie unter dataprivacyframework.gov/list.

6. Speicherdauer und Löschung

Datenkategorie	Aufbewahrung
Konto-Stammdaten	Bis zur Löschung des Kontos durch den Nutzer
Buchungs-Historie	Bei Konto-Löschung anonymisiert (Trainer-Statistiken bleiben ohne Personenbezug erhalten)
Geräte-Identifier	Bis zur App-Deinstallation oder iOS-Schlüsselbund-Reset
Trainer-Verifizierungsdokument	Bis zur Konto-Löschung; im Falle eines abgelehnten Antrags spätestens nach 90 Tagen
Push-Token	Bis zur App-Deinstallation oder Widerruf der Push-Erlaubnis
Crash-Reports	90 Tage (Firebase-Standard)
Analytics-Events	14 Monate (Firebase-Standard)
Support-Korrespondenz	Bis zu 3 Jahre nach letztem Kontakt (gesetzliche Aufbewahrung)

7. Ihre Rechte

Sie haben jederzeit das Recht auf:

Auskunft über die zu Ihnen gespeicherten Daten (Art. 15 DSGVO)
Berichtigung unrichtiger Daten (Art. 16 DSGVO)
Löschung ("Recht auf Vergessenwerden", Art. 17 DSGVO) — direkt in der App über "Delete account" ausführbar
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch gegen Verarbeitungen auf Basis berechtigten Interesses (Art. 21 DSGVO)
Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO) — über die Einstellungen der App
Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Zuständig für uns ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de

Anfragen richten Sie bitte an privacy@fittery.app. Wir antworten innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

8. Sicherheit

Wir verwenden HTTPS / TLS für alle Übertragungen, Verschlüsselung at-rest auf Server-Seite (Firebase-Standard), und Geräte-Schlüssel werden im iOS-Schlüsselbund gespeichert. Passwörter werden niemals im Klartext gespeichert oder übertragen.

9. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslage oder bei Änderungen unserer Dienste anzupassen. Über wesentliche Änderungen informieren wir unsere registrierten Nutzer per E-Mail oder In-App-Mitteilung.

EN — Courtesy translation

Privacy Policy

Non-binding English summary of the German Datenschutzerklärung above. In case of any conflict, the German version prevails. Effective 17 May 2026 · v2.

1. Controller

The natural person named in the Site Notice is the controller within the meaning of Art. 4(7) GDPR. Privacy contact: privacy@fittery.app.

2. Data we process

Guest use: device identifier (Keychain UUID), push token, optional location. Registered users: email, display name, hashed password, city, consent state. Trainers: profile, phone, verification document (private), payment handle, status. Per booking: session, trainer, rider, time, status, payment code, amount. Diagnostics: anonymous crash reports (Crashlytics) and — only with your consent — Firebase Analytics events.

3. Purposes and legal bases

Account, profile, bookings: contract (Art. 6(1)(b) GDPR). Device identifier, abuse prevention: legitimate interest (Art. 6(1)(f)). Analytics and marketing: consent (Art. 6(1)(a)), revocable at any time.

4. Recipients / subprocessors

Google Firebase (backend, push, diagnostics; Google Ireland / Google LLC, USA), Apple Inc. (APNs, USA), Resend (transactional email, USA), PayPal (payments — independent controller, Luxembourg / global).

5. International transfers

Some processing happens in the USA. Legal basis: EU-US Data Privacy Framework (where certified) plus EU Standard Contractual Clauses (Art. 46(2)(c) GDPR).

6. Retention

Account data: until you delete the account. Booking history: anonymised on account deletion. Trainer verification documents: until account deletion or 90 days after a rejected application. Crash reports: 90 days. Analytics: 14 months. Support correspondence: up to 3 years.

7. Your rights

You have the rights of access, rectification, erasure (use "Delete account" in the app), restriction, portability, objection, withdrawal of consent, and to lodge a complaint with the competent supervisory authority — for us: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Ansbach. Contact us at privacy@fittery.app; we reply within one month.

8. Security

HTTPS/TLS for all transfers, server-side encryption at rest (Firebase default), device keys in iOS Keychain. Passwords are never stored or transmitted in cleartext.

9. Changes

We may amend this policy. Material changes are notified by email or in-app message.