Datenschutzerklärung

Stand: März 2026 (aktualisiert: 04.04.2026, Ende-zu-Ende-Verschlüsselung)

1. Verantwortlicher

Justin Schwab
Jakob-Schunk-Straße 38
66953 Pirmasens
Deutschland
E-Mail: kontakt@matchmyday.de

Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen nach Art. 37 DSGVO nicht vorliegen.

2. Übersicht der Datenverarbeitungen

Die folgenden Übersichten fassen die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweisen auf die betroffenen Personen.

Arten der verarbeiteten Daten

  • Bestandsdaten (z. B. Namen, Nickname)
  • Kontaktdaten (z. B. E-Mail-Adresse via Google-Konto oder Apple-ID)
  • Inhaltsdaten (z. B. Aktivitäten, Nachrichten, Notizen, Stories mit Fotos und Text, Sprachnachrichten)
  • Biometrische Daten (Stimme in Sprachnachrichten)
  • Nutzungsdaten (z. B. Zugriffszeiten, Interaktionen)
  • Standortdaten (z. B. GPS-Koordinaten, auf 2 Dezimalstellen gerundet — ca. 1,1 km Genauigkeit)
  • Meta-/Kommunikationsdaten (z. B. Geräte-Informationen)
  • Geburtsdatum (zur Altersverifikation, Mindestalter 16 Jahre)
  • Gamification-Daten (z. B. aktuelle Streaks, längste Streak, letzte Aktivität)

Betroffene Personen

  • Nutzer der App (registrierte Nutzer via Google Sign-In oder Sign in with Apple)

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Grundlage folgender Rechtsgrundlagen der DSGVO:

  • Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) — Standortzugriff (GPS), Kalender-Synchronisation, Push-Benachrichtigungen. Die Einwilligung kann jederzeit widerrufen werden (siehe Abschnitt 10).
  • Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) — Registrierung, Profilverwaltung, Aktivitätserstellung, Matching, Chat, Freunde-System, Einladungen, Vorlagen.
  • Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) — Betrugsprävention (Rate-Limiting), Anzeige regionaler Partner-Werbung, App-Verbesserung, technische Sicherheit. Sie können der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen (siehe Abschnitt 10).

4. Welche Daten wir erheben und warum

4.1 Registrierung und Authentifizierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Wir nutzen Google Sign-In und Sign in with Apple über Firebase Authentication. Dabei werden folgende Daten vom jeweiligen Anbieter an uns übermittelt:

  • Anzeigename (Google-Profilname bzw. Apple-ID-Name)
  • E-Mail-Adresse (bei Apple optional vom Nutzer verborgen — Apple stellt dann eine Relay-Adresse bereit)
  • Profilbild-URL (nur bei Google)
  • User-ID (UID)

Bei der Anmeldung mit Apple werden ausschließlich die vom Nutzer freigegebenen Daten übermittelt. Apple bietet die Möglichkeit, die E-Mail-Adresse zu verbergen („Hide My Email“).

Zusätzlich erheben wir bei der Registrierung:

  • Nickname (frei wählbar, eindeutig, 3–20 Zeichen)
  • Geburtsdatum (zur Altersverifikation, Mindestalter: 16 Jahre)
  • Zustimmung zu den Nutzungsbedingungen (Zeitstempel)

4.2 Aktivitäten und Matching

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Wenn du eine Aktivität erstellst, speichern wir:

  • Aktivitätstyp und -kategorie, Ort, Zeitslot, Datum
  • Sichtbarkeit (öffentlich / nur Freunde / privat)
  • Sichtbarkeit in Feed (je Aktivität einstellbar, steuerbar via „showInFeed“)
  • Notizen (optional, können als privat markiert werden)
  • GPS-Koordinaten (optional, auf 2 Dezimalstellen gerundet — ca. 1,1 km Genauigkeit)

Das Matching läuft serverseitig über eine Cloud Function (Firebase, Region europe-west3). Deine öffentlichen Aktivitäten werden mit denen anderer Nutzer verglichen. Wir verwenden die Haversine-Formel für die Umkreissuche. Die Rundung der Koordinaten dient dem Datenschutz — dein genauer Standort wird nie gespeichert. GPS-Koordinaten werden ausschließlich serverseitig für die Entfernungsberechnung verwendet und nicht in Match-Dokumenten an andere Nutzer weitergegeben.

Beim Matching wird ein Relevanz-Score berechnet (0,0–1,0), basierend auf Entfernung, Zeitslot-Übereinstimmung, Freundschaftsstatus und Aktivitätstyp. Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt — das Matching dient ausschließlich der Anzeige potenziell passender Aktivitäten.

4.3 Chat-Nachrichten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Chat-Nachrichten werden in Firebase Firestore gespeichert. Nachrichten sind auf 2.000 Zeichen begrenzt. Nutzer können unangemessene Inhalte über das in der App integrierte Meldesystem melden (Art. 16 DSA). Gemeldete Inhalte werden vom Betreiber geprüft und bei Verstoß gegen die Nutzungsbedingungen entfernt.

Ende-zu-Ende-Verschlüsselung

Chat-Nachrichten werden Ende-zu-Ende-verschlüsselt übertragen und gespeichert. Weder Match My Day noch Dritte können den Inhalt der Nachrichten lesen.

  • Technologie: Die Verschlüsselung basiert auf dem Signal-Protokoll für 1:1-Chats und NaCl/XSalsa20-Poly1305 für Gruppenchats.
  • Schlüsselspeicherung: Kryptographische Schlüssel werden ausschließlich auf dem Endgerät des Nutzers gespeichert — in der iOS Keychain (iPhone/iPad) bzw. im Android Keystore.
  • Gerätewechsel / Neuinstallation: Bei einem Gerätewechsel oder einer Neuinstallation der App gehen die Schlüssel und damit der Zugriff auf bereits verschlüsselte Nachrichten unwiderruflich verloren.
  • Metadaten: Metadaten (wer mit wem kommuniziert, Zeitpunkte, Nachrichtenanzahl) werden weiterhin serverseitig in Firebase Firestore verarbeitet, um den Dienst bereitzustellen.

Moderation und Meldesystem

Die Moderation von Inhalten erfolgt ausschließlich auf Basis von Nutzer-Meldungen.

  • Match My Day hat ohne eine Nutzer-Meldung keinen Zugriff auf Chat-Inhalte.
  • Wenn ein Nutzer eine Nachricht meldet, wird der entschlüsselte Inhalt der gemeldeten Nachricht zusammen mit der Meldung an Match My Day übermittelt und vom Betreiber geprüft.
  • Ein clientseitiger Inhaltsfilter prüft Nachrichten vor der Verschlüsselung auf offensichtliche Regelverstöße (z. B. bekannte Spam-Muster).

4.3a Sprachnachrichten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Du kannst Sprachnachrichten aufnehmen und in Konversationen versenden. Dabei werden folgende Daten verarbeitet:

  • Audio-Aufnahme: Über das Mikrofon deines Geräts, mit einer Maximallänge von 60 Sekunden
  • Dateiformat und Größe: m4a-Format, maximal 5 MB pro Nachricht
  • Speicherort: Firebase Storage (Google Cloud, EU-Region europe-west3) unter dem Pfad chatAudio/{conversationId}/{uid}_{messageId}.m4a
  • Biometrische Daten: Die Sprachnachricht enthält biometrische Daten in Form deiner Stimme

Zugriff und Sichtbarkeit

Sprachnachrichten können ausschließlich von den Teilnehmern der Konversation angehört werden. Es findet keine Weitergabe an Dritte statt.

Löschung von Sprachnachrichten

Sprachnachrichten werden nach den gleichen Regeln gelöscht wie Textnachrichten (siehe 4.3c).

  • Bei Kontolöschung: Alle zugehörigen Audio-Dateien werden vollständig aus Firebase Storage gelöscht.
  • Bei „Für alle löschen“: Die Audio-Datei wird entfernt und die Referenz aus der Nachricht gelöscht.

4.3b Nachrichten bearbeiten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Du kannst deine eigenen Textnachrichten innerhalb von 48 Stunden nach dem Versenden bearbeiten. Dabei gelten folgende Regeln:

  • Bearbeitungsfenster: Nur innerhalb von 48 Stunden nach Versenden möglich
  • Nachrichteninhalt: Der aktuelle Text der Nachricht wird in Firestore gespeichert und überschrieben
  • Kein Edit-History: Der ursprüngliche Nachrichtentext wird nicht archiviert oder gespeichert
  • Sichtbare Kennzeichnung: Alle Konversationsteilnehmer sehen, dass die Nachricht bearbeitet wurde (Kennzeichnung „Bearbeitet“)
  • Nur eigene Nachrichten: Du kannst ausschließlich deine eigenen Nachrichten bearbeiten, nicht die von anderen Teilnehmern

4.3c Nachrichten löschen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Du hast zwei Optionen zum Löschen von Nachrichten. Beide sind nur für deine eigenen Nachrichten verfügbar:

„Für mich löschen“

Die Nachricht wird nur in deiner Ansicht der Konversation ausgeblendet. Sie bleibt für andere Teilnehmer sichtbar. Die Daten bleiben in Firestore gespeichert.

„Für alle löschen“

Die Nachricht wird für alle Konversationsteilnehmer entfernt (sofern die Löschung innerhalb von 48 Stunden nach Versenden erfolgt). Dabei werden gelöscht:

  • Der Nachrichtentext (bei Textnachrichten)
  • Eingebettete Bilder (falls vorhanden)
  • Sprachnachrichten und zugehörige Audio-Dateien in Firebase Storage (falls vorhanden)

Nach dem Löschen wird die Nachricht durch den Platzhalter „Diese Nachricht wurde gelöscht“ ersetzt, damit die Gesprächsstruktur erhalten bleibt.

Hinweis: Nach 48 Stunden ist das „Für alle löschen“-Feature nicht mehr verfügbar. Die Nachricht kann dann nur noch für dich selbst ausgeblendet werden.

4.4 Standortdaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Die App kann optional auf Ihren Gerätestandort zugreifen (GPS). Dieser wird ausschließlich für folgende Zwecke verwendet:

  • Standort-Vorauswahl beim Erstellen einer Aktivität
  • Umkreissuche für Matches (konfigurierbar: 5/10/25/50 km)
  • Anzeige regionaler Partner-Anzeigen (siehe 4.8)

Koordinaten werden vor der Speicherung auf 2 Dezimalstellen gerundet. Der Standortzugriff kann jederzeit über die Geräteeinstellungen widerrufen werden.

4.5 Freunde-System

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Im Rahmen des Freunde-Systems werden gespeichert: Freundesliste, Freundschaftsanfragen (eingehend und ausgehend), Nickname und Anzeigename. Freunde können per Nickname-Suche oder QR-Code gefunden werden.

Wenn du einen Profil-Link (matchmyday.de/profile/@nickname) öffnest, wird der enthaltene Nickname in unserer Datenbank nachgeschlagen, um die zugehörige Nutzer-ID zu ermitteln. Dies dient ausschließlich der Zustellung deiner Freundschaftsanfrage. Es werden keine weiteren Profildaten abgerufen.

Beim Teilen deines Profils wird eine öffentlich zugängliche Seite mit deinem Nickname erstellt. Diese Seite ist für Suchmaschinen nicht indexierbar (noindex). Es werden keine weiteren Profildaten auf der Website angezeigt.

4.6 Einladungen (Invite-System)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Beim Teilen einer Aktivität wird ein Einladungslink erstellt, der folgende Daten enthält: Aktivitätstyp, Ort, Datum, Zeitslot und Ersteller-Name. Der Link ist bis zum Ende des Aktivitätstags gültig. Pro Nutzer sind maximal 10 aktive Einladungen möglich.

4.6a Streaks

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Die App berechnet und speichert Streak-Daten auf deinem Profil. Diese dienen der Gamification und motivieren dich zu regelmäßiger Aktivität. Folgende Daten werden erfasst:

  • Aktuelle Streak (Anzahl der Tage in Folge mit mindestens einer Aktivität)
  • Längste Streak (Rekord während deiner Nutzung)
  • Letztes Aktivitätsdatum (für die Berechnung der aktuellen Streak)

Diese Daten werden auf deinem Profil angezeigt und dienen ausschließlich zu Motivationszwecken. Bei Kontolöschung werden alle Streak-Daten vollständig entfernt.

4.6b Post-Activity Stories

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Nach Erstellung einer Aktivität kannst du optional eine Story hinzufügen, um deine Aktivität mit anderen zu teilen. Stories bestehen aus:

  • Foto (optional, maximal 3 MB)
  • Text (optional, maximal 200 Zeichen)
  • Metadaten (Erstellungszeit, Sichtbarkeitsstufe)

Wer sieht deine Stories?

Die Sichtbarkeit deiner Story ist an die Aktivitätseinstellung gekoppelt:

  • Öffentliche Aktivität: Deine Story ist für alle registrierten Nutzer sichtbar.
  • Nur-Freunde-Aktivität: Deine Story ist nur für deine Freunde sichtbar (basierend auf der Freundesliste zum Zeitpunkt der Story-Erstellung).
  • Private Aktivität: Deine Story ist nur für dich selbst sichtbar.

Foto-Speicherung und Löschung

Fotos in Stories werden in Firebase Storage (Google Cloud, EU-Region) gespeichert.

  • Deine Fotos werden nicht mit iCloud, Google Drive oder Geräte-Backup synchronisiert.
  • Story-Fotos werden automatisch nach 48 Stunden gelöscht – einschließlich der physischen Datei im Cloud-Speicher.
  • Die Text- und Metadaten der Story werden ebenfalls nach 48 Stunden gelöscht.
  • Bei Kontolöschung werden alle Stories und Story-Fotos sofort entfernt.

4.7 Benachrichtigungen und Hintergrund-Sync

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, für Push-Benachrichtigungen) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, für In-App-Benachrichtigungen)

Die App kann lokale und serverseitige Push-Benachrichtigungen senden:

  • Lokale Benachrichtigungen: Erinnerungen, Matches, Nachrichten, Freundschaftsanfragen. Diese werden ausschließlich auf deinem Gerät berechnet und angezeigt.
  • Serverseitige Benachrichtigungen: Streak-Erinnerungen jeden Tag um 12:30 UTC, um dich an deine Aktivität zu erinnern (über Firebase Cloud Messaging).

Ein optionaler Hintergrund-Sync prüft alle 15 Minuten auf neue Ereignisse. Eine konfigurierbare Nachtruhe (Standard: 23–07 Uhr) unterdrückt Benachrichtigungen in diesem Zeitraum. Alle Benachrichtigungen können in den Einstellungen deaktiviert werden.

Push-Benachrichtigungen und Datenübermittlung

  • Keine Benachrichtigungs-Logs: Push-Benachrichtigungen werden weder lokal noch serverseitig geloggt oder gespeichert.
  • Activity-Namen bleiben privat: Activity-Namen in Benachrichtigungen werden ausschließlich lokal auf deinem Gerät verarbeitet und angezeigt – sie werden nicht an Firebase, Drittservices oder andere Nutzer übermittelt.
  • Serverseitige Streak-Erinnerungen: Nur die Tatsache, dass eine Streak-Erinnerung gesendet wird, wird serverseitig protokolliert. Der Inhalt der Benachrichtigung selbst wird nicht protokolliert.

4.8 Live-Feed

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Der Live-Feed zeigt öffentliche und von deinen Freunden erstellte Aktivitäten in Echtzeit. Der Feed wird angepasst basierend auf:

  • Sichtbarkeitsstufe der Aktivität (öffentlich, nur Freunde, privat)
  • Aktivitätstyp und Ort
  • Entfernung (Standort wird auf 2 Dezimalstellen gerundet für die Berechnung)
  • Deine Einstellung „In Feed zeigen“ (steuerbar pro Nutzer, Default: aktiviert)

Der Standort wird ausschließlich für die Entfernungsberechnung und Filterung verwendet. Es findet keine Weitergabe an andere Nutzer statt, außer die bereits in der Aktivität angegebene Lokalisierung.

4.9 Regionale Partner-Anzeigen

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Basierend auf deinem Standort und der gewählten Aktivität können dir Anzeigen regionaler Partner angezeigt werden (z. B. nahegelegene Fitnessstudios bei der Tätigkeit „Krafttraining"). Die Anzeigen sind klar als „Anzeige" gekennzeichnet.

Dabei werden folgende Daten verarbeitet:

  • Dein GPS-Standort (nur im Arbeitsspeicher, für Entfernungsberechnung)
  • Die gewählte Aktivitätsart
  • Impressionen und Interaktionen (anonyme Zähler pro Partner, nicht personenbezogen)

Es findet kein Profiling und keine Weitergabe Ihrer Daten an Partner statt. Partner erhalten ausschließlich anonyme, aggregierte Statistiken (Anzahl Impressionen, Annahmen, Ablehnungen).

Du kannst regionale Anzeigen jederzeit in den Einstellungen deaktivieren, einzelne Partner für 30 Tage ausblenden oder alle Anzeigen für 30 Tage pausieren.

4.10 Teilen-Funktion

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Wenn du eine Aktivität, dein Profil oder eine andere Inhalte teilst, öffnet sich die Share-Sheet deines Geräts. Dabei werden die Daten ausschließlich lokal auf deinem Gerät verarbeitet und an deine ausgewählte Zielanwendung (Messenger, E-Mail, etc.) weitergegeben.

Im geteilten Text werden keine personenbezogenen Daten (E-Mail, Geburtsdatum, Chat-Nachrichten) enthalten. Der gemeinsame Link kann einen eindeutigen Code oder deinen Nickname enthalten, um die Aktivität oder dein Profil zu identifizieren.

4.11 Kalender-Synchronisation

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Optional können Aktivitäten in deinen Gerätekalender synchronisiert werden. Dazu wird der Zugriff auf den Kalender angefragt. Kalender-Daten werden ausschließlich lokal auf dem Gerät verarbeitet und nicht an unsere Server übermittelt.

4.12 Statistiken

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Die App berechnet persönliche Statistiken (Aktivitätsanzahl, Match-Rate, Streak, Wochentagverteilung) ausschließlich aus deinen eigenen Daten. Diese Statistiken werden nicht an Dritte weitergegeben.

4.13 Partner-Portal (Website)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Das Partner-Portal auf der Website richtet sich an Geschäftspartner (z. B. lokale Unternehmen), die regionale Anzeigen in der App schalten. Bei der Registrierung und Nutzung des Partner-Portals werden folgende Daten erhoben:

  • Authentifizierungsdaten (via Google Sign-In oder Sign in with Apple)
  • Unternehmensdaten (Name, Anschrift, Kontaktdaten der Venues)
  • Kampagnendaten (Anzeigeninhalt, Laufzeit, Zielkategorien)
  • Abrechnungsdaten (Rechnungsadresse, Zahlungsstatus)
  • Nutzungsstatistiken (Impressionen, Klicks — anonymisiert und aggregiert)

Partner-Daten werden in Firebase Firestore (EU, europe-west) gespeichert. Es gelten dieselben technischen und organisatorischen Maßnahmen wie für App-Nutzerdaten (siehe Abschnitt 5.1). Partner-Daten werden gespeichert, solange das Geschäftsverhältnis besteht, und nach Beendigung gemäß handels- und steuerrechtlichen Aufbewahrungsfristen (bis zu 10 Jahre) aufbewahrt.

5. Empfänger und Auftragsverarbeitung

5.1 Firebase / Google Cloud

Wir nutzen folgende Firebase-Dienste von Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland):

  • Firebase Authentication — Nutzerverwaltung und Login
  • Cloud Firestore — Datenspeicherung (Aktivitäten, Nachrichten, Profile, Benachrichtigungen, Streaks, Stories, Live-Feed-Daten)
  • Firebase Storage — Speicherung von Profilbildern, Chat-Bildern, Story-Fotos und Sprachnachrichten (Pfad: chatAudio/{conversationId}/{uid}_{messageId}.m4a)
  • Firebase Cloud Messaging (FCM) — Push-Benachrichtigungen und Streak-Reminder
  • Cloud Functions — Serverseitige Verarbeitung (Matching, Kontolöschung, automatische Story-Löschung nach 48h, Nachrichtenlöschung)

Google verarbeitet Daten gemäß den Firebase Data Processing and Security Terms. Server-Standort: EU (europe-west).

5.2 Apple Inc.

Bei Nutzung von Sign in with Apple werden Authentifizierungsdaten über Apple Inc. (One Apple Park Way, Cupertino, CA 95014, USA) verarbeitet. Die Datenverarbeitung erfolgt gemäß den Apple-Datenschutzrichtlinien. Es werden nur die vom Nutzer freigegebenen Daten übermittelt.

5.3 Photon (Komoot) / OpenStreetMap

Für die Orts-Suche (Autocomplete) nutzen wir die Photon-API von Komoot GmbH (Friedrich-Wilhelm-Boelcke-Straße 2, 14473 Potsdam, Deutschland). Dabei werden Ihre Suchanfrage (Ortsname) und Ihre IP-Adresse an die Photon-Server übertragen. Photon basiert auf OpenStreetMap-Daten und wird von Komoot als kostenloser Community-Service betrieben. Die Datenschutzrichtlinie von Komoot finden Sie unter komoot.com/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionierenden Orts-Suche).

Für die Rückwärts-Auflösung von GPS-Koordinaten in Ortsnamen (Reverse Geocoding) nutzen wir die Nominatim-API von OpenStreetMap. Dabei wird ausschließlich die (bereits gerundete) Koordinate übertragen. Ihre IP-Adresse wird im Rahmen der HTTP-Verbindung technisch bedingt übertragen.

5.4 Google Maps (Routenplanung)

Beim Nutzen der Routen-Funktion bei Partner-Anzeigen wird Google Maps im externen Browser geöffnet. Es gelten dann die Datenschutzbestimmungen von Google.

5.5 Vercel Inc. (Website-Hosting)

Die Website (einschließlich des Partner-Portals) wird über Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) gehostet. Beim Aufruf der Website werden folgende Daten technisch bedingt an Vercel-Server übertragen:

  • IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • Browsertyp und -version, Betriebssystem
  • Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen und performanten Bereitstellung der Website).

Vercel setzt Edge-Server in der EU (u. a. Frankfurt) ein, sodass Anfragen aus der EU in der Regel über europäische Server ausgeliefert werden. Die Datenverarbeitung erfolgt gemäß dem Vercel Data Processing Addendum (DPA).

6. Datenübermittlung in Drittländer

Firebase-Daten werden auf Servern in der EU (europe-west) gespeichert. Google kann im Rahmen der Wartung und des Supports jedoch auf Daten aus Drittländern (insbesondere den USA) zugreifen. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), die Bestandteil der Firebase Data Processing Terms sind.

Bei Nutzung von Sign in with Apple können Daten an Apple Inc. in den USA übermittelt werden. Apple ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

Die Website wird über Vercel Inc. (USA) gehostet. Vercel nutzt Edge-Server in der EU, sodass Anfragen aus der EU in der Regel über europäische Server verarbeitet werden. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), die Bestandteil des Vercel DPA sind. Vercel ist zudem unter dem EU-U.S. Data Privacy Framework zertifiziert.

7. Speicherdauer

Deine Daten werden gespeichert, solange dein Konto besteht. Bei Kontolöschung (jederzeit in der App möglich) werden alle personenbezogenen Daten durch eine serverseitige Cloud Function vollständig und unwiderruflich entfernt:

  • Profildaten und Nickname-Eintrag
  • Alle Aktivitäten
  • Streak-Daten (aktuelle Streak, längste Streak, letzte Aktivität)
  • Stories und Story-Fotos (Firebase Storage)
  • Chat-Nachrichten und Konversationen
  • Sprachnachrichten und Audio-Dateien in Firebase Storage
  • Freundesliste und Freundschaftsanfragen
  • Benachrichtigungen
  • Vorlagen und Einstellungen
  • Einladungen
  • Profilbild und hochgeladene Chat-Bilder (Firebase Storage)
  • Match-Dokumente
  • Gesendete Vorschläge (Feedback)
  • Firebase Authentication Account

Automatische Löschungen:

  • Stories werden automatisch nach 48 Stunden gelöscht (serverseitig durch Cloud Function)
  • Einladungslinks laufen automatisch am Ende des Aktivitätstags ab (23:59 Uhr)

Anonyme, aggregierte Statistiken der Partner-Anzeigen (Impressionen, Klicks) bleiben nach Kontolöschung erhalten, da sie keinen Personenbezug haben.

Moderationsdaten: Meldungen, Moderationsentscheidungen und Sperrinformationen werden für bis zu 24 Monate nach Abschluss des Vorgangs aufbewahrt, um wiederholte Verstöße nachverfolgen und gesetzliche Dokumentationspflichten (insbesondere Art. 16, 17 DSA) erfüllen zu können. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Plattformsicherheit).

8. Cookies und Tracking

Die App verwendet keine Cookies, keine Tracking-Pixel und keine Analyse-Tools (wie Google Analytics). Einstellungen werden lokal auf dem Gerät gespeichert (SharedPreferences). Die Website verwendet ausschließlich localStorage zur Speicherung der Dark-Mode-Präferenz. Diese Speicherung ist gemäß § 25 Abs. 2 Nr. 2 TDDDG ohne Einwilligung zulässig, da sie ausschließlich zur Erbringung eines vom Nutzer ausdrücklich gewünschten Dienstes (Darstellungspräferenz) erforderlich ist. Es werden keine personenbezogenen Daten gespeichert oder an Server übertragen.

9. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt. Das Matching und die Anzeige regionaler Partner-Anzeigen basieren auf einfachen Filterkriterien (Aktivitätstyp, Standort, Datum) und haben keine rechtliche Wirkung.

10. Ihre Rechte

Sie haben folgende Rechte nach der DSGVO:

  • Auskunftsrecht (Art. 15 DSGVO) — Welche Daten wir über Sie speichern
  • Recht auf Berichtigung (Art. 16 DSGVO) — Änderung unrichtiger Daten
  • Recht auf Löschung (Art. 17 DSGVO) — direkt in der App umsetzbar über die Kontolöschung
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO) — insbesondere gegen Verarbeitungen auf Grundlage berechtigter Interessen (z. B. Partner-Anzeigen)

Widerrufsrecht bei Einwilligung

Sofern Sie uns eine Einwilligung erteilt haben (z. B. für Standortzugriff, Kalender-Synchronisation oder Push-Benachrichtigungen), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Möglichkeiten:

  • Standortzugriff: über die Geräteeinstellungen (App-Berechtigungen)
  • Push-Benachrichtigungen: über die Einstellungen in der App oder die Geräteeinstellungen
  • Kalender-Synchronisation: über die Einstellungen in der App
  • Regionale Anzeigen: über die Einstellungen in der App

Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns über unsere Kontaktseite oder direkt unter: kontakt@matchmyday.de

11. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34, 55116 Mainz
https://www.datenschutz.rlp.de

12. Pflicht zur Bereitstellung von Daten

Für die Registrierung und Nutzung der App sind bestimmte Daten erforderlich (Anmeldung via Google/Apple, Nickname, Geburtsdatum). Ohne diese Daten kann die App nicht genutzt werden. Die Angabe von Standortdaten, Notizen und weiteren optionalen Feldern ist freiwillig. Ohne Standortdaten ist die Umkreissuche nicht verfügbar.

13. Minderjährigenschutz

Die App richtet sich an Personen ab 16 Jahren. Bei der Registrierung wird das Geburtsdatum abgefragt, um die Einhaltung des Mindestalters zu verifizieren. Personen unter 16 Jahren dürfen die App nicht nutzen.

Die Geburtsdatumsangabe ist an die authentifizierte Google- bzw. Apple-ID gebunden und kann nach der Registrierung nicht mehr geändert werden. Wird nachträglich festgestellt, dass ein Nutzer das Mindestalter bei der Registrierung nicht erreicht hatte, wird das Konto gesperrt und alle personenbezogenen Daten gelöscht.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Datenschutzerklärung.