Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

Justin Schwab
Jakob-Schunk-Straße 38
66953 Pirmasens
Deutschland
E-Mail: kontakt@matchmyday.de

Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen nach Art. 37 DSGVO nicht vorliegen.

2. Übersicht der Datenverarbeitungen

Die folgenden Übersichten fassen die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweisen auf die betroffenen Personen.

Arten der verarbeiteten Daten

  • Bestandsdaten (z. B. Namen, Nickname)
  • Kontaktdaten (z. B. E-Mail-Adresse via Google-Konto oder Apple-ID)
  • Inhaltsdaten (z. B. Aktivitäten, Nachrichten, Notizen)
  • Nutzungsdaten (z. B. Zugriffszeiten, Interaktionen)
  • Standortdaten (z. B. GPS-Koordinaten, auf ~1,1 km gerundet)
  • Meta-/Kommunikationsdaten (z. B. Geräte-Informationen)
  • Geburtsdatum (zur Altersverifikation, Mindestalter 16 Jahre)

Betroffene Personen

  • Nutzer der App (registrierte Nutzer via Google Sign-In oder Sign in with Apple)

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Grundlage folgender Rechtsgrundlagen der DSGVO:

  • Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) — Standortzugriff (GPS), Kalender-Synchronisation, Push-Benachrichtigungen. Die Einwilligung kann jederzeit widerrufen werden (siehe Abschnitt 10).
  • Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) — Registrierung, Profilverwaltung, Aktivitätserstellung, Matching, Chat, Freunde-System, Einladungen, Vorlagen.
  • Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) — Betrugsprävention (Rate-Limiting), Anzeige regionaler Partner-Werbung, App-Verbesserung, technische Sicherheit. Sie können der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen (siehe Abschnitt 10).

4. Welche Daten wir erheben und warum

4.1 Registrierung und Authentifizierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Wir nutzen Google Sign-In und Sign in with Apple über Firebase Authentication. Dabei werden folgende Daten vom jeweiligen Anbieter an uns übermittelt:

  • Anzeigename (Google-Profilname bzw. Apple-ID-Name)
  • E-Mail-Adresse (bei Apple optional vom Nutzer verborgen — Apple stellt dann eine Relay-Adresse bereit)
  • Profilbild-URL (nur bei Google)
  • User-ID (UID)

Bei der Anmeldung mit Apple werden ausschließlich die vom Nutzer freigegebenen Daten übermittelt. Apple bietet die Möglichkeit, die E-Mail-Adresse zu verbergen („Hide My Email“).

Zusätzlich erheben wir bei der Registrierung:

  • Nickname (frei wählbar, eindeutig, 3–20 Zeichen)
  • Geburtsdatum (zur Altersverifikation, Mindestalter: 16 Jahre)
  • Zustimmung zu den Nutzungsbedingungen (Zeitstempel)

4.2 Aktivitäten und Matching

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Wenn Sie eine Aktivität erstellen, speichern wir:

  • Aktivitätstyp und -kategorie, Ort, Zeitslot, Datum
  • Sichtbarkeit (öffentlich / nur Freunde / privat)
  • Notizen (optional, können als privat markiert werden)
  • GPS-Koordinaten (optional, auf 2 Dezimalstellen gerundet — ca. 1,1 km Genauigkeit)

Das Matching läuft serverseitig über eine Cloud Function (Firebase, Region europe-west3). Ihre öffentlichen Aktivitäten werden mit denen anderer Nutzer verglichen. Wir verwenden die Haversine-Formel für die Umkreissuche. Die Rundung der Koordinaten dient dem Datenschutz — Ihr genauer Standort wird nie gespeichert. GPS-Koordinaten werden ausschließlich serverseitig für die Entfernungsberechnung verwendet und nicht in Match-Dokumenten an andere Nutzer weitergegeben.

Beim Matching wird ein Relevanz-Score berechnet (0,0–1,0), basierend auf Entfernung, Zeitslot-Übereinstimmung, Freundschaftsstatus und Aktivitätstyp. Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt — das Matching dient ausschließlich der Anzeige potenziell passender Aktivitäten.

4.3 Chat-Nachrichten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Chat-Nachrichten werden in Firebase Firestore gespeichert. Nachrichten sind auf 2.000 Zeichen begrenzt. Nutzer können unangemessene Inhalte über das in der App integrierte Meldesystem melden (Art. 16 DSA). Gemeldete Inhalte werden vom Betreiber geprüft und bei Verstoß gegen die Nutzungsbedingungen entfernt.

Hinweis: Nachrichten werden derzeit als Klartext in Firestore gespeichert. Der Zugriff ist durch Firestore Security Rules auf die jeweiligen Konversationsteilnehmer und den Betreiber beschränkt. Die Übertragung erfolgt verschlüsselt über TLS. Eine Ende-zu-Ende-Verschlüsselung ist für eine spätere Version geplant.

4.4 Standortdaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Die App kann optional auf Ihren Gerätestandort zugreifen (GPS). Dieser wird ausschließlich für folgende Zwecke verwendet:

  • Standort-Vorauswahl beim Erstellen einer Aktivität
  • Umkreissuche für Matches (konfigurierbar: 5/10/25/50 km)
  • Anzeige regionaler Partner-Anzeigen (siehe 4.8)

Koordinaten werden vor der Speicherung auf 2 Dezimalstellen gerundet. Der Standortzugriff kann jederzeit über die Geräteeinstellungen widerrufen werden.

4.5 Freunde-System

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Im Rahmen des Freunde-Systems werden gespeichert: Freundesliste, Freundschaftsanfragen (eingehend und ausgehend), Nickname und Anzeigename. Freunde können per Nickname-Suche oder QR-Code gefunden werden.

4.6 Einladungen (Invite-System)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Beim Teilen einer Aktivität wird ein Einladungslink erstellt, der folgende Daten enthält: Aktivitätstyp, Ort, Datum, Zeitslot und Ersteller-Name. Der Link ist bis zum Ende des Aktivitätstags gültig. Pro Nutzer sind maximal 10 aktive Einladungen möglich.

4.7 Benachrichtigungen und Hintergrund-Sync

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, für Push-Benachrichtigungen) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, für In-App-Benachrichtigungen)

Die App kann lokale Push-Benachrichtigungen senden (Erinnerungen, Matches, Nachrichten, Freundschaftsanfragen). Ein optionaler Hintergrund-Sync prüft alle 15 Minuten auf neue Ereignisse. Eine konfigurierbare Nachtruhe (Standard: 23–07 Uhr) unterdrückt Benachrichtigungen in diesem Zeitraum. Beide Funktionen können in den Einstellungen deaktiviert werden.

4.8 Regionale Partner-Anzeigen

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Basierend auf Ihrem Standort und der gewählten Aktivität können Ihnen Anzeigen regionaler Partner angezeigt werden (z. B. nahegelegene Fitnessstudios bei der Tätigkeit „Krafttraining"). Die Anzeigen sind klar als „Anzeige" gekennzeichnet.

Dabei werden folgende Daten verarbeitet:

  • Ihr GPS-Standort (nur im Arbeitsspeicher, für Entfernungsberechnung)
  • Die gewählte Aktivitätsart
  • Impressionen und Interaktionen (anonyme Zähler pro Partner, nicht personenbezogen)

Es findet kein Profiling und keine Weitergabe Ihrer Daten an Partner statt. Partner erhalten ausschließlich anonyme, aggregierte Statistiken (Anzahl Impressionen, Annahmen, Ablehnungen).

Sie können regionale Anzeigen jederzeit in den Einstellungen deaktivieren, einzelne Partner für 30 Tage ausblenden oder alle Anzeigen für 30 Tage pausieren.

4.9 Kalender-Synchronisation

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Optional können Aktivitäten in Ihren Gerätekalender synchronisiert werden. Dazu wird der Zugriff auf den Kalender angefragt. Kalender-Daten werden ausschließlich lokal auf dem Gerät verarbeitet und nicht an unsere Server übermittelt.

4.10 Statistiken

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Die App berechnet persönliche Statistiken (Aktivitätsanzahl, Match-Rate, Streak, Wochentagverteilung) ausschließlich aus Ihren eigenen Daten. Diese Statistiken werden nicht an Dritte weitergegeben.

4.11 Partner-Portal (Website)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Das Partner-Portal auf der Website richtet sich an Geschäftspartner (z. B. lokale Unternehmen), die regionale Anzeigen in der App schalten. Bei der Registrierung und Nutzung des Partner-Portals werden folgende Daten erhoben:

  • Authentifizierungsdaten (via Google Sign-In oder Sign in with Apple)
  • Unternehmensdaten (Name, Anschrift, Kontaktdaten der Venues)
  • Kampagnendaten (Anzeigeninhalt, Laufzeit, Zielkategorien)
  • Abrechnungsdaten (Rechnungsadresse, Zahlungsstatus)
  • Nutzungsstatistiken (Impressionen, Klicks — anonymisiert und aggregiert)

Partner-Daten werden in Firebase Firestore (EU, europe-west) gespeichert. Es gelten dieselben technischen und organisatorischen Maßnahmen wie für App-Nutzerdaten (siehe Abschnitt 5.1). Partner-Daten werden gespeichert, solange das Geschäftsverhältnis besteht, und nach Beendigung gemäß handels- und steuerrechtlichen Aufbewahrungsfristen (bis zu 10 Jahre) aufbewahrt.

5. Empfänger und Auftragsverarbeitung

5.1 Firebase / Google Cloud

Wir nutzen folgende Firebase-Dienste von Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland):

  • Firebase Authentication — Nutzerverwaltung und Login
  • Cloud Firestore — Datenspeicherung (Aktivitäten, Nachrichten, Profile, Benachrichtigungen)
  • Firebase Storage — Speicherung von Profilbildern und Chat-Bildern
  • Firebase Cloud Messaging (FCM) — Push-Benachrichtigungen
  • Cloud Functions — Serverseitige Verarbeitung (Matching, Kontolöschung)

Google verarbeitet Daten gemäß den Firebase Data Processing and Security Terms. Server-Standort: EU (europe-west).

5.2 Apple Inc.

Bei Nutzung von Sign in with Apple werden Authentifizierungsdaten über Apple Inc. (One Apple Park Way, Cupertino, CA 95014, USA) verarbeitet. Die Datenverarbeitung erfolgt gemäß den Apple-Datenschutzrichtlinien. Es werden nur die vom Nutzer freigegebenen Daten übermittelt.

5.3 Photon (Komoot) / OpenStreetMap

Für die Orts-Suche (Autocomplete) nutzen wir die Photon-API von Komoot GmbH (Friedrich-Wilhelm-Boelcke-Straße 2, 14473 Potsdam, Deutschland). Dabei werden Ihre Suchanfrage (Ortsname) und Ihre IP-Adresse an die Photon-Server übertragen. Photon basiert auf OpenStreetMap-Daten und wird von Komoot als kostenloser Community-Service betrieben. Die Datenschutzrichtlinie von Komoot finden Sie unter komoot.com/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionierenden Orts-Suche).

Für die Rückwärts-Auflösung von GPS-Koordinaten in Ortsnamen (Reverse Geocoding) nutzen wir die Nominatim-API von OpenStreetMap. Dabei wird ausschließlich die (bereits gerundete) Koordinate übertragen. Ihre IP-Adresse wird im Rahmen der HTTP-Verbindung technisch bedingt übertragen.

5.4 Google Maps (Routenplanung)

Beim Nutzen der Routen-Funktion bei Partner-Anzeigen wird Google Maps im externen Browser geöffnet. Es gelten dann die Datenschutzbestimmungen von Google.

5.5 Vercel Inc. (Website-Hosting)

Die Website (einschließlich des Partner-Portals) wird über Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) gehostet. Beim Aufruf der Website werden folgende Daten technisch bedingt an Vercel-Server übertragen:

  • IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • Browsertyp und -version, Betriebssystem
  • Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen und performanten Bereitstellung der Website).

Vercel setzt Edge-Server in der EU (u. a. Frankfurt) ein, sodass Anfragen aus der EU in der Regel über europäische Server ausgeliefert werden. Die Datenverarbeitung erfolgt gemäß dem Vercel Data Processing Addendum (DPA).

6. Datenübermittlung in Drittländer

Firebase-Daten werden auf Servern in der EU (europe-west) gespeichert. Google kann im Rahmen der Wartung und des Supports jedoch auf Daten aus Drittländern (insbesondere den USA) zugreifen. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), die Bestandteil der Firebase Data Processing Terms sind.

Bei Nutzung von Sign in with Apple können Daten an Apple Inc. in den USA übermittelt werden. Apple ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

Die Website wird über Vercel Inc. (USA) gehostet. Vercel nutzt Edge-Server in der EU, sodass Anfragen aus der EU in der Regel über europäische Server verarbeitet werden. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), die Bestandteil des Vercel DPA sind. Vercel ist zudem unter dem EU-U.S. Data Privacy Framework zertifiziert.

7. Speicherdauer

Ihre Daten werden gespeichert, solange Ihr Konto besteht. Bei Kontolöschung (jederzeit in der App möglich) werden alle personenbezogenen Daten durch eine serverseitige Cloud Function vollständig und unwiderruflich entfernt:

  • Profildaten und Nickname-Eintrag
  • Alle Aktivitäten
  • Chat-Nachrichten und Konversationen
  • Freundesliste und Freundschaftsanfragen
  • Benachrichtigungen
  • Vorlagen und Einstellungen
  • Einladungen
  • Profilbild und hochgeladene Chat-Bilder (Firebase Storage)
  • Match-Dokumente
  • Gesendete Vorschläge (Feedback)
  • Firebase Authentication Account

Einladungslinks laufen automatisch am Ende des Aktivitätstags ab (23:59 Uhr). Anonyme, aggregierte Statistiken der Partner-Anzeigen (Impressionen, Klicks) bleiben nach Kontolöschung erhalten, da sie keinen Personenbezug haben.

Moderationsdaten: Meldungen, Moderationsentscheidungen und Sperrinformationen werden für bis zu 24 Monate nach Abschluss des Vorgangs aufbewahrt, um wiederholte Verstöße nachverfolgen und gesetzliche Dokumentationspflichten (insbesondere Art. 16, 17 DSA) erfüllen zu können. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Plattformsicherheit).

8. Cookies und Tracking

Die App verwendet keine Cookies, keine Tracking-Pixel und keine Analyse-Tools (wie Google Analytics). Einstellungen werden lokal auf dem Gerät gespeichert (SharedPreferences). Die Website verwendet ausschließlich localStorage zur Speicherung der Dark-Mode-Präferenz. Diese Speicherung ist gemäß § 25 Abs. 2 Nr. 2 TDDDG ohne Einwilligung zulässig, da sie ausschließlich zur Erbringung eines vom Nutzer ausdrücklich gewünschten Dienstes (Darstellungspräferenz) erforderlich ist. Es werden keine personenbezogenen Daten gespeichert oder an Server übertragen.

9. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt. Das Matching und die Anzeige regionaler Partner-Anzeigen basieren auf einfachen Filterkriterien (Aktivitätstyp, Standort, Datum) und haben keine rechtliche Wirkung.

10. Ihre Rechte

Sie haben folgende Rechte nach der DSGVO:

  • Auskunftsrecht (Art. 15 DSGVO) — Welche Daten wir über Sie speichern
  • Recht auf Berichtigung (Art. 16 DSGVO) — Änderung unrichtiger Daten
  • Recht auf Löschung (Art. 17 DSGVO) — direkt in der App umsetzbar über die Kontolöschung
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO) — insbesondere gegen Verarbeitungen auf Grundlage berechtigter Interessen (z. B. Partner-Anzeigen)

Widerrufsrecht bei Einwilligung

Sofern Sie uns eine Einwilligung erteilt haben (z. B. für Standortzugriff, Kalender-Synchronisation oder Push-Benachrichtigungen), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Möglichkeiten:

  • Standortzugriff: über die Geräteeinstellungen (App-Berechtigungen)
  • Push-Benachrichtigungen: über die Einstellungen in der App oder die Geräteeinstellungen
  • Kalender-Synchronisation: über die Einstellungen in der App
  • Regionale Anzeigen: über die Einstellungen in der App

Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns über unsere Kontaktseite oder direkt unter: kontakt@matchmyday.de

11. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34, 55116 Mainz
https://www.datenschutz.rlp.de

12. Pflicht zur Bereitstellung von Daten

Für die Registrierung und Nutzung der App sind bestimmte Daten erforderlich (Anmeldung via Google/Apple, Nickname, Geburtsdatum). Ohne diese Daten kann die App nicht genutzt werden. Die Angabe von Standortdaten, Notizen und weiteren optionalen Feldern ist freiwillig. Ohne Standortdaten ist die Umkreissuche nicht verfügbar.

13. Minderjährigenschutz

Die App richtet sich an Personen ab 16 Jahren. Bei der Registrierung wird das Geburtsdatum abgefragt, um die Einhaltung des Mindestalters zu verifizieren. Personen unter 16 Jahren dürfen die App nicht nutzen.

Die Geburtsdatumsangabe ist an die authentifizierte Google- bzw. Apple-ID gebunden und kann nach der Registrierung nicht mehr geändert werden. Wird nachträglich festgestellt, dass ein Nutzer das Mindestalter bei der Registrierung nicht erreicht hatte, wird das Konto gesperrt und alle personenbezogenen Daten gelöscht.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Datenschutzerklärung.