Workout Together

Privacy notice

Responsible: David Wiegmann — contact: info@workouttogether.de
Purpose: Coordination of training sessions between members.
Legal basis: Art. 6(1)(a) GDPR (consent) for toggle-gated disclosure of your name and email to other members. Art. 6(1)(f) GDPR (legitimate interest) for baseline partner-gated training coordination. Art. 6(1)(a) GDPR (consent) additionally applies to the optional activation of push notifications (R11 v9 extension; in-app toggle as the first consent action; browser permission prompt as the technical confirmation).
Recipients: Other members see your city and upcoming workouts on workout detail pages. Your name appears in partnership search and city browse only if you explicitly enable this in your profile (off by default). Partner profiles: your accepted training partners can see your full profile page, including your full-size profile photo. Every other signed-in member who reaches your profile sees only a minimal stub — your display name, your city, and a small downscaled thumbnail of your profile photo; they never see your full-size photo, which is technically restricted to your accepted partners at the image endpoint, nor any of your workouts. This stub no longer depends on the "appear in partner search" setting; it exists so an internal link to your profile (e.g. from a club roster or people-discovery) does not dead-end and a member can send you a partner request. If you set your profile visibility to "only yourself" (nobody) or you pause your visibility (Art. 21 GDPR objection), your profile is hidden entirely from non-partners (it returns "not found"). Legal basis: Art. 6(1)(f) GDPR (legitimate interest in letting members find and connect with one another), consistent with the name-and-city of workout joiners that is already shown on workout detail pages. If you enable the toggle \u201CAppear on my partners' public profiles,\u201D people viewing the profile pages of your accepted partners will see your name in a list of their training partners. You can revoke this at any time under Profile \u2192 Privacy. You can also control who may view your profile page at three levels (only yourself, your accepted partners, or any signed-in member) under Profile \u2192 Privacy. Workout comments are visible to the host, the accepted joiners of that workout, and the host's accepted training partners, and the active members of any club the workout is shared with. Completed-training activity: if you explicitly confirm a completed workout, shared partners see this confirmation in the activity feed; the confirmation is retractable by you at any time. If you haven't yet confirmed attendance a few hours after a workout ended, we send you a single reminder email and an in-app notification; you can turn this reminder off in your email-preference settings. The reminder is scheduled by our hosting provider Railway (Railway Cron). Email notifications are sent by our email processor. Map tile delivery: when you grant consent to load map tiles (in the in-place placeholder on any map surface, or via the toggle under Profile → Privacy → Third-party content), the meeting-point map fetches its tiles directly from MapTiler AG (Switzerland), our map-tile provider; in that moment your IP address is disclosed to MapTiler and they may set their own cookies on your browser. Without your consent no map data is requested at all and a placeholder is shown instead. Map pre-centring (Geocoding API): when you search for your city during registration or profile edit, MapTiler receives the letter sequences you type as a search query — and only while you are actively typing. This is a server-to-server request (no browser cookies are involved and no map tiles load at this point). The search is restricted to Germany (country=de). Legal basis: Art. 6(1)(f) GDPR (legitimate interest in fulfilling the pre-centred-map UX — reliable city identification). The Switzerland transfer is covered by the Art. 45 GDPR Adequacy Decision cited in the International transfers section below. Host nudges (R10 v8 amendment): within the platform, the host of a workout can fire a direct notification (“nudge”) at one of their accepted training partners pointing them to the host's own workout. The resulting notification — in-app and via email — carries the host's first name and the workout reference; it is delivered only to the accepted training partners the host explicitly selects. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in coordinating with already-connected training partners). Recipients can disable the email channel via the profile notifications settings (Art. 21 GDPR opt-out). Repeated unanswered nudges to the same person are moderated (see Terms of Use §3). Saved places (R10 v8 amendment): you can save your regular meeting points under your profile so you can pick them in one tap when posting a new workout. The saved-places list is private to you — no other member can see, query, or receive a copy of your saved places. Same legal basis as workout meeting-point storage (Art. 6(1)(b) GDPR contract performance plus Art. 6(1)(f) GDPR legitimate interest in workout coordination). Deleting your account removes every saved place immediately via the account-deletion cascade; you can also delete individual entries at any time under Profile → My places. Push notifications (R11 v9 extension): When you enable push notifications (by toggling the setting in Profile + confirming the browser permission prompt), your browser generates a unique anonymous subscription identifier with its respective vendor's push service (e.g. for Google Chrome: Google FCM; for Mozilla Firefox: Mozilla Autopush; for Apple Safari: Apple APNs; for Samsung Internet: Samsung Push). We only store this browser-provided URL — we do not communicate directly with the push service vendor and do not enter a controller-processor relationship with them. The push notification itself is end-to-end-encrypted before dispatch using cryptographic keys held exclusively by your browser (RFC 8291); the push service vendor cannot read the notification content. Legal basis: Art. 6(1)(a) GDPR (consent). You can revoke this at any time by toggling the setting off under Profile → Privacy. You can additionally choose which categories of push notifications you wish to receive (partnership events, your hosted workouts, workouts you joined, conversations) under the same Profile → Privacy panel; the master toggle vetoes every category. Push notification content is designed so that even in lockscreen context it does not expose more information than is necessary for the notification: push notifications use event-class labels instead of free-text content; comment text is never rendered in the push payload itself (only a count). R13 v10 transfer-mechanism precision (DSGVO C-8): personal data transfers from the EU to our US-based processors Railway Corporation (hosting) and Resend Inc. / Plus Five Five, Inc. (email) are covered by the EU Standard Contractual Clauses pursuant to Module 2 of the Annex to the Commission's Implementing Decision (EU) 2021/914 of 4 June 2021. Both processors additionally name the EU-U.S. Data Privacy Framework (Commission Adequacy Decision 2023/1795) as the primary transfer mechanism in their DPAs. R14 inbound-mail processor (R14-LEGAL-2): inbound emails sent to info@workouttogether.de are processed by mailbox.org (Heinlein Support GmbH, Berlin) — details on the sub-processor page below; jurisdiction Berlin/DE, DPA signed, no third-country transfer. Joiner-cascade visibility (R15 v12 extension; host-controlled 1-hop expansion): when a host opts in to the "Open workout" toggle on a workout they post, that workout becomes additionally visible to the accepted training partners of every active joiner — a 1-hop cascade beyond the host's own partner graph. We never walk further than one hop: a partner of a partner of a joiner does NOT see the workout. The cascade-tier joiner list shows ALL accepted joiners (parity with direct-tier visibility — Datenminimierung is covered through this disclosure rather than through joiner-list truncation). The host's per-workout whitelist (if set) keeps absolute veto authority: a member explicitly excluded from the whitelist does NOT see the workout, regardless of any cascade path. Cascade visibility surfaces on workout-detail, the feed, profile-upcoming, and community-feed — wherever the workout would otherwise be partner-gated. Comments stay restricted to host plus accepted joiners plus the host's accepted training partners (and, for a club-shared workout, the active members of those clubs) and are NOT extended to the cascade tier (Art. 5(1)(c) GDPR data minimisation). Legal basis: Art. 6(1)(f) GDPR (legitimate interest in coordinating with already-connected training partners — same basis as the direct-partner tier). The host can revoke cascade visibility for future workouts by leaving the toggle off; once a workout has been posted, the cascade scope is fixed for that workout. Club-shared workouts (R16 v13 extension): in addition to the partner-based surfaces above, you can choose at workout creation or edit to share a workout you host with one or more clubs you are an active member of. When you do, the active members of those clubs — including members who are NOT your accepted training partners — can see that workout: its time, its meeting point / location, and your identity as the host, and they can join it and take part in its comment conversation. Sharing with a club and using a per-workout partner whitelist are mutually exclusive — a workout never has both at once. Legal basis: Art. 6(1)(f) GDPR (legitimate interest): sharing a workout with a club is your own deliberate, scoped choice to find training company, and the disclosure is balanced because it reaches only the active members of the specific clubs you select, those members joined the club by their own affirmative act, and you control the share (you can remove a club from a workout at any time; removing it stops future disclosure but does not retroactively un-disclose a workout a member already saw). If you have paused your visibility (Art. 21 GDPR objection — see Your rights below), your own club-shares are suppressed. Club membership (R16 v13 extension, with R16 v13.1 narrative amendment 2026-05-28): joining a club discloses your identity to that club. The other active members of a club see the full name (first and last name) of every active member, and the Club Captain additionally sees and manages the club's members, join requests, and invitations. For OPEN clubs (anyone joins with one click), the active-member list is additionally visible to any signed-in member who browses the club's detail page, so prospective joiners can evaluate the club before joining; for CLOSED clubs (joining needs Captain approval), the active-member list stays visible only to active members and the Captain. The Captain's name is visible to any signed-in viewer in both club types, so any member can see who runs a club they are considering joining. Your open-club memberships are additionally surfaced as a linked list on your public profile page — same data scope as the open-club member list, surfaced from a different entry point so a viewer who reaches your profile can see which clubs you are an active member of without having to walk every club detail page individually. Joining is your own affirmative act and is the basis for this disclosure; membership in the operator-seeded Beta Community is opt-in (legal basis: Art. 6(1)(a) GDPR consent — you choose to join). Before you join or accept an invitation, we tell you that club members will see your full name, so your decision is informed consent. Pending join requests and pending invitations are visible only to the Club Captain, not to ordinary members. Leaving a club removes your membership and stops future disclosure; it does not retroactively un-disclose workouts a co-member already saw. Club hometown geocoding (R16 v13 — new purpose, existing processor): when a club is created or its hometown is edited, the typed hometown text is sent to MapTiler AG (Switzerland), our existing map provider, to convert it into coordinates. This is a NEW purpose on a processor we already use (no new recipient): the coordinates let the Clubs area rank clubs by their distance from your own city. The Switzerland transfer is covered by the Art. 45 GDPR Adequacy Decision cited in the International transfers section below; geocoding fails gracefully — a club without coordinates still works and simply ranks last by distance. Profile photos (R18 v15 extension): you can optionally upload a profile photo (avatar) and, as a Club Captain, a club image. When you upload an image, we re-encode it on our own server with the image library "sharp", which strips embedded metadata including EXIF and any GPS location tags, before we store it; we store only the re-encoded image, never the original file. The image bytes are stored on our own infrastructure (a storage volume at our hosting provider Railway) — there is NO new recipient or processor for your images. An avatar is visible wherever your name is already shown to a member who may see it; a club image is visible wherever the club is shown. Legal basis: Art. 6(1)(a) GDPR (consent — uploading is your own affirmative act) and, for a club image set by the Captain, Art. 6(1)(f) GDPR (legitimate interest in giving the club a recognisable identity). You can remove an image at any time; deleting your account deletes your avatar bytes via the account-deletion cascade, and the retention sweep also purges image bytes that are no longer referenced. An avatar or club image can be reported via the contact form (report type "report_image"); an administrator reviews and may remove an image that breaches the Terms of Use. Profile self-description (R18 v15 extension): you can optionally add a free-text self-description to your profile — a short bio plus your sport. This content is optional, written by you, and visible to anyone who may already view your profile (per the profile-visibility levels above). Legal basis: Art. 6(1)(a) GDPR (consent). It is included in your data export and deleted with your account. Blocking other members (R18 v15 extension): you can block another member. A block makes the two of you mutually invisible to each other across the platform (discovery, feeds, profiles, club rosters, workout visibility, and any outreach) and severs any partnership or pending request between you. The block list is YOUR own data: the person you block is NOT notified, and we do not show them that they were blocked. You can manage and undo your blocks at any time under Profile → Privacy → Blocked members. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in protecting yourself from unwanted contact). Your block list is included in your data export and deleted with your account. Honest limit: a block binds the account it was made against; it does not by itself stop someone from creating a brand-new account — that is mitigated by email verification, disposable-domain blocking, and the registration cap, not by the block. Optional outreach notes (R18 v15 extension): when you send a training-partner request, a club invitation, or a nudge, you may optionally add a short free-text note (up to 280 characters). The note is optional, sanitised, and shown to the recipient of that outreach only; if a block exists between you and the recipient, the note is not delivered. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in contextualising an outreach you yourself initiate). Notes are included in your data export and deleted with your account. Security-event store (R18 v15 extension): to keep the platform secure and to investigate abuse, we keep a durable log of security-relevant events (for example, sign-in attempts, rate-limit hits, and moderation actions). These records are pseudonymous: the acting account is stored as a salted hash rather than as a directly readable identifier, the records contain no free-text content, and they are automatically deleted after at most 90 days. They are stored in the same database on the same hosting (Railway) — there is NO new recipient or processor. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in the security and abuse-prevention of the service) and Art. 6(1)(c) GDPR (compliance with a legal obligation) where a security record is required. People discovery (R18 v15 extension, opt-in, profiles only): if — and only if — you switch on discoverability under Profile → Privacy (off by default), other members in your city may find you in a people-discovery surface that shows PROFILE FIELDS ONLY: your name, sport, city, and avatar. It NEVER discloses your workouts — not their time, not their place, not their details — to a member who is not already permitted to see them. This is the same default-FALSE discoverability consent and Art. 21 objection described above. Legal basis: Art. 6(1)(a) GDPR (consent). The full list of sub-processors and DPA archive paths is published at /privacy/processors (bookmark-able, updates without a privacy-version bump).
Operator and administrator access: The platform operator (currently the Responsible person named at the top of this notice) holds an administrator role inside the application. In this role, we have read-access to user profile data (including your email, city, workouts, and partnership records) and to all contact-form submissions (including content you reported or content reported about you). We use this access exclusively for operational purposes: moderation of reported content, user support, fulfilment of your data-protection rights (access, rectification, erasure, portability, objection), and abuse prevention. Administrator actions that modify user data are recorded in an internal audit log. Legal basis: Art. 6(1)(f) GDPR (legitimate interest) for moderation, support, and abuse prevention; Art. 6(1)(c) GDPR (compliance with a legal obligation) for the fulfilment of your GDPR requests.
Location data: If you place a meeting-point pin on a workout you post, the precise coordinates are stored. Accepted training partners see the exact meeting point on the feed and on the workout detail page. Other members do not see your workouts. After the workout date passes, the precise coordinates are deleted; only the optional location label remains. Flexible start time: when you post a workout you can choose to declare a flexible window (an earliest and a latest start time) instead of a single fixed time; the first partner who joins picks a concrete time inside your window and the workout time is then locked to that point. Both the original window and the chosen concrete time are stored as ordinary workout-time data; no new recipients or processors are involved.
Workout comments: If you post a comment on a workout, the content plus your name and a timestamp are visible to the host, the accepted joiners of that workout, and the host’s accepted training partners, and the active members of any club the workout is shared with. Cascade-tier viewers (training partners of joiners when the host has enabled "Open workout") see the workout itself but not the comments. Comments are retained for 90 days after the workout completes and then soft-deleted; on a GDPR Art. 17 erasure request they are hard-deleted immediately. Any comment can be reported via the contact form; an administrator reviews and may delete reported comments that violate the terms of use.
Email preferences: Operational workout emails (new joiner on your workout, joiner cancellation, host cancellation of a workout you joined, attendance-confirmation reminder) are sent by default to keep the coordination loop intact. You can disable them by the same four categories as push notifications (partnership events, your hosted workouts, workouts you joined, conversations) under Profile → Privacy → Notifications (right to object, Art. 21 GDPR). Transactional emails (email verification, password reset) always send because they secure your own account. Transactional emails also include notifications about changes to this Privacy Notice or the Terms of Use — these cannot be disabled.
Contact form and reports: When you submit the in-app contact form (bug report, feature request, feedback, account issue, or comment-report), the submission content plus your user ID plus optional diagnostic context are stored for administrative follow-up. Submissions are retained for 180 days then anonymised or deleted. Report submissions about other users may contain a copy of the reported content solely for moderation purposes.
Data export: You can download your personal data as a JSON file under Profile → Privacy → Data. The export contains your own profile, workouts, partnerships, comments, and acknowledgement history. References to other users (partners, joiners, comment authors) appear as the literal string "[redacted]" in the export to protect the personal data of third parties.
Cookies and browser storage: We use three browser-storage items. None of them are advertising or tracking cookies. We store a minimal set of items in your browser; we do not use advertising cookies, analytics trackers, or third-party tracking services. (1) Session cookie — our sign-in cookie, HttpOnly, Secure, SameSite=Lax, lifespan up to 30 days unless you log out earlier: set when you log in, keeps you signed in during your session, cleared on logout or cookie-expiry. Strictly necessary under § 25(2) No. 2 TTDSG — without it you could not use the service. (2) Session-scoped browser storage (sessionStorage): we use a small set of in-browser values that exist only for the lifetime of a tab (cleared when you close the tab). Currently: (a) a one-time indicator that prevents a single internal quality-metric from being recorded twice in the same tab; (b) from R9 onward, a random opaque session identifier used only to group error reports belonging to the same tab so we can fix bugs — this identifier does not leave your browser except attached to error reports, is not linked to your user ID, and resets on every new tab. The error-diagnostic identifier (b) is only written to your browser when you have NOT opted out of diagnostic error capture; you can turn it off entirely under Profile → Privacy. Anonymised server-side error records continue to be captured to keep the service operational; your opt-out controls only the in-browser diagnostic identifier and the client-side error submission. Error reports are stored for up to 7 days as structured log lines by our hosting provider Railway Corp. (USA) — the same provider that hosts the app itself; data transfer to the USA is based on the EU Standard Contractual Clauses. See the Recipients section above for the processor relationship. (3) No advertising, analytics, or social-media tracking cookies. If this changes in the future — for example if we introduce product analytics — we will update this notice and, where legally required, ask for your consent before storing anything new. (4) MapTiler third-party cookies (consent-gated, off by default): the meeting-point map on individual workout detail pages, on the feed, and in the workout-create / edit form is rendered with map tiles served by MapTiler AG (Heinrichsgasse 4, 1010 Wien / operated from Switzerland). When you press [Karte aktivieren] on the in-place placeholder OR turn on Profile → Privacy → Third-party content → “Map tiles (MapTiler)”, the map starts loading tiles from `api.maptiler.com`. As part of this request, MapTiler receives your IP address and may set its own cookies (functional cookies for tile rendering and performance). The legal basis is your consent under Art. 6(1)(a) GDPR + § 25(1) TTDSG; the § 25(2) No. 2 “strictly necessary” exception does NOT apply because the platform is fully usable without a map. You can withdraw your consent at any time and as easily as you granted it: the same toggle in your privacy settings flips it off, and any new map surface will then render the placeholder again on first sight. Persistent storage on the server side: a single timestamp `mapTilesConsentedAt` on your user row records when you turned the toggle on; turning it off resets the timestamp to NULL. We additionally keep an append-only audit row in our `ConsentEvent` table (one row per grant or withdrawal, no PII beyond your user ID and the consent decision) for the duration of your account, as required by Art. 7(1) GDPR. See the section “Recipients” above for the cross-link to the MapTiler processor relationship and “Your rights” below for the withdrawal pointer. Anchor: see the per-section deep link `#map-tiles` below for in-app cross-references. (5) Push subscription state (R11 v9 extension; consent-gated, default off): When you enable push notifications, your browser stores a subscription state (W3C Push API) locally in its internal storage — it contains the anonymous endpoint URL and the cryptographic keys required to receive encrypted push notifications. This storage is "strictly necessary for a service explicitly requested by the user" per § 25(2) No. 2 TTDSG (you explicitly requested push notifications) and therefore does not require an additional consent banner beyond the W3C browser permission already granted. You can end the subscription at any time by disabling the toggle in Profile settings or by resetting the browser’s push permission — your browser will then locally delete the subscription state.
International transfers: MapTiler AG is a Swiss company operated from Switzerland. Personal data transfers to Switzerland are based on the European Commission Adequacy Decision under Art. 45 GDPR (Commission Decision of 26 July 2000 on the adequate protection of personal data in Switzerland, as upheld by subsequent reviews). No additional safeguards (Standard Contractual Clauses) are required for this transfer. The transfer happens only after you have given your consent under the cookies clause above.
Retention: Duration of the beta phase; account deletion on request within 30 days per GDPR Art. 17. Meeting-point coordinates are deleted within 24 hours of the workout date passing. Workout comments are retained 90 days post-workout. Contact-form submissions (bug, feature request, feedback, account issue, comment-report) are retained 180 days. Push subscription data (R11 v9 extension): endpoint URL + encryption keys + optional device identifier are stored as long as you have enabled push notifications for that device. They are deleted when (a) you disable push notifications for the device, (b) your browser informs us that the subscription is no longer valid (HTTP 410/404), (c) you delete your account, or (d) we have not recorded a successful delivery attempt for 12 months.
Your rights: Access, correction, deletion, data portability (Art. 20 GDPR — see the in-app data export), and right to object (Art. 21 GDPR — see email preferences AND the dedicated “Pause my visibility (feed, partner search, notifications)” toggle under Profile → Privacy, which suppresses every operational-coordination surface; legal-change notices are excluded from the suppression because Art. 12 transparency overrides Art. 21). Withdrawal of consent (Art. 7(3) GDPR): for the third-party MapTiler tile loading (cookies clause above), turn the toggle “Map tiles (MapTiler)” off under Profile → Privacy → Third-party content. Withdrawal is as easy as the original grant. The full list of recipients and sub-processors lives at /privacy/processors — that page is bookmark-able and updates without a privacy-version bump. Email us to exit or to exercise any GDPR right.

This English text is a courtesy translation. The German version is authoritative.

Datenschutzhinweis

Verantwortlich: David Wiegmann — Kontakt: info@workouttogether.de
Zweck: Koordination gemeinsamer Trainingseinheiten unter Mitgliedern.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für die schalterbasierte Offenlegung deines Namens und deiner E-Mail-Adresse gegenüber anderen Mitgliedern. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für die grundlegende, auf akzeptierte Partner beschränkte Koordination von Trainingseinheiten. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) gilt zusätzlich für die optionale Aktivierung von Push-Benachrichtigungen (R11 v9 Erweiterung; In-App-Toggle als Erst-Einwilligungs-Akt; Browser-Permission-Prompt als technische Bestätigung).
Empfänger: Andere Mitglieder sehen Stadt und anstehende Trainings auf den Detailseiten. Dein Name erscheint in der Partner-Suche und beim Stadt-Browse nur, wenn du dies in deinem Profil ausdrücklich aktivierst (Standard: aus). Partnerprofile: deine akzeptierten Trainingspartner sehen deine vollständige Profilseite einschließlich deines Profilbilds in voller Größe. Jedes andere angemeldete Mitglied, das auf deine Profilseite gelangt, sieht ausschließlich einen minimalen Stub — deinen Anzeigenamen, deine Stadt und ein kleines, herunterskaliertes Vorschaubild deines Profilbilds; es sieht niemals dein Profilbild in voller Größe (dieses ist am Bild-Endpunkt technisch auf deine akzeptierten Partner beschränkt) und keines deiner Trainings. Dieser Stub hängt nicht mehr von der Einstellung „In Partner-Suche auffindbar“ ab; er existiert, damit ein interner Link auf dein Profil (z. B. aus einer Club-Mitgliederliste oder der Personen-Entdeckung) nicht ins Leere läuft und ein Mitglied dir eine Partner-Anfrage senden kann. Wenn du deine Profil-Sichtbarkeit auf „nur du selbst“ (nobody) stellst oder deine Sichtbarkeit pausierst (Widerspruch nach Art. 21 DSGVO), ist dein Profil für Nicht-Partner vollständig verborgen (es wird „nicht gefunden“ zurückgegeben). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, Mitgliedern das gegenseitige Finden und Verbinden zu ermöglichen), im Einklang mit dem ohnehin auf Trainings-Detailseiten gezeigten Namen und der Stadt von Trainings-Beigetretenen. Wenn du dem Schalter „Auf Profilen meiner Trainingspartner sichtbar sein“ zustimmst, sehen Besucher:innen der Profilseiten deiner akzeptierten Partner deinen Namen in einer Liste ihrer Trainingspartner. Widerruf jederzeit über den Schalter in den Privatsphäre-Einstellungen. Du kannst außerdem unter Profil → Privatsphäre auf drei Stufen steuern, wer deine Profilseite sehen darf (nur du selbst, deine akzeptierten Partner, oder jedes eingeloggte Mitglied). Workout-Kommentare sind für Host, akzeptierte Beigetretene des jeweiligen Workouts und die akzeptierten Trainingspartner des/der Host:in sowie die aktiven Mitglieder eines Clubs, mit dem das Workout geteilt ist, sichtbar. Bestätigte Trainingsaktivität: wenn du eine abgeschlossene Trainingseinheit ausdrücklich bestätigst, sehen geteilte Partner diese Bestätigung im Aktivitäts-Feed; du kannst die Bestätigung jederzeit zurückziehen. Wenn du einige Stunden nach Ende eines Workouts noch keine Teilnahmebestätigung abgegeben hast, senden wir dir einmalig eine Erinnerungs-E-Mail sowie eine In-App-Benachrichtigung; diese Erinnerung lässt sich in den E-Mail-Einstellungen abschalten. Die zeitliche Auslösung erfolgt über unseren Hosting-Anbieter Railway (Railway Cron). E-Mail-Benachrichtigungen werden durch unseren E-Mail-Dienstleister versendet. Auslieferung von Kartenkacheln: sobald du der Kartenanzeige zustimmst (über die in-Karten-Platzhalter-Schaltfläche oder den Schalter unter Profil → Privatsphäre → Inhalte Dritter), lädt der Treffpunkt-Kartenausschnitt seine Kacheln direkt von der MapTiler AG (Schweiz), unserem Karten-Anbieter; in diesem Moment wird deine IP-Adresse an MapTiler übermittelt und MapTiler kann eigene Cookies in deinem Browser setzen. Ohne deine Einwilligung werden keinerlei Kartendaten angefordert; stattdessen wird ein Platzhalter angezeigt. Vorzentrierung der Karte (Geocoding-API): MapTiler erhält bei deiner Stadt-Suche während der Registrierung oder Profil-Bearbeitung deine eingetippten Buchstabenfolgen als Suchanfrage. Die Anfrage erfolgt server-seitig (kein Browser-Cookie wird gesetzt und keine Kartenkacheln geladen) und nur, wenn du aktiv tippst. Die Suche ist auf Deutschland beschränkt (country=de). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Erfüllung der vorzentrierten Karten-UX — zuverlässige Stadt-Identifikation für Karten-Vorzentrierung). Die Übermittlung in die Schweiz ist durch den unten unter „Internationale Übermittlungen“ genannten Angemessenheitsbeschluss nach Art. 45 DSGVO gedeckt. Hinweise an Trainingspartner („Nudge“, R10 v8 Erweiterung): Innerhalb der Plattform kann der Ersteller eines Trainings einem von ihm akzeptierten Trainingspartner einen direkten Hinweis („Nudge“) auf sein eigenes Training schicken. Die resultierende Benachrichtigung — sowohl in der App als auch per E-Mail — enthält den Vornamen des Erstellers sowie die Referenz auf das jeweilige Training; sie wird nur an die vom Ersteller ausgewählten akzeptierten Trainingspartner zugestellt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Koordination zwischen bereits miteinander verbundenen Trainingspartnern). Empfänger können den E-Mail-Kanal über die Profil-Notifications-Einstellungen deaktivieren (Art. 21 DSGVO Widerspruch). Wiederholte Nudges derselben Person ohne Reaktion werden moderativ behandelt (siehe Nutzungsbedingungen §3). Gespeicherte Orte (R10 v8 Erweiterung): du kannst deine regelmäßigen Treffpunkte unter deinem Profil speichern, um sie beim nächsten Training in einem Schritt auszuwählen. Die Liste ist nur für dich sichtbar — kein anderes Mitglied kann deine gespeicherten Orte einsehen, abfragen oder eine Kopie davon erhalten. Rechtsgrundlage wie für die Treffpunkt-Speicherung am Training selbst: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Trainings-Koordination). Beim Löschen deines Kontos werden alle gespeicherten Orte sofort über den Kontolösch-Cascade entfernt; einzelne Einträge kannst du jederzeit unter Profil → Meine Orte löschen. Push-Benachrichtigungen (R11 v9 Erweiterung): Wenn du Push-Benachrichtigungen aktivierst (durch Aktivierung des Schalters in den Profil-Einstellungen plus Bestätigung der Browser-Berechtigungs-Abfrage), erzeugt dein Browser eine eindeutige, anonyme Subscription-Kennung beim jeweiligen Push-Dienst seines Anbieters (z. B. bei Google Chrome: Google FCM; bei Mozilla Firefox: Mozilla Autopush; bei Apple Safari: Apple APNs; bei Samsung Internet: Samsung-Push). Wir speichern ausschließlich diese vom Browser gelieferte URL — wir kommunizieren nicht direkt mit dem jeweiligen Push-Dienst-Anbieter und treten zu diesem nicht in eine Auftragsverarbeitungs-Beziehung. Die Push-Benachrichtigung selbst wird vor dem Versand mit kryptographischen Schlüsseln (RFC 8291), die ausschließlich dein Browser hält, ende-zu-ende-verschlüsselt; der Push-Dienst-Anbieter kann den Inhalt der Benachrichtigung nicht lesen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Den Empfang kannst du jederzeit durch Deaktivieren des Schalters in den Profil-Einstellungen widerrufen. Zusätzlich kannst du unter denselben Profil-Einstellungen auswählen, welche Kategorien von Push-Benachrichtigungen du erhalten möchtest (Partnerschafts-Ereignisse, deine eigenen Trainings, Trainings denen du beigetreten bist, Konversationen); der Hauptschalter setzt jede Kategorie außer Kraft. Push-Inhalte sind so gestaltet, dass sie auch im Sperrbildschirm-Kontext nicht mehr Information offenlegen, als für die Benachrichtigung notwendig ist: Push-Benachrichtigungen verwenden Ereignis-Klassen-Bezeichnungen statt Frei-Text-Inhalte; Kommentar-Inhalte werden nicht in der Push-Nachricht selbst dargestellt (nur eine Anzahl). R13 v10 Übermittlungs-Mechanismus-Präzisierung (DSGVO C-8): Übermittlungen personenbezogener Daten aus der EU an unsere US-Auftragsverarbeiter Railway Corporation (Hosting) und Resend Inc. / Plus Five Five, Inc. (E-Mail) erfolgen auf Grundlage der Standardvertragsklauseln gem. Modul 2 des Anhangs zum Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021. Beide Auftragsverarbeiter benennen darüber hinaus den EU-U.S. Data Privacy Framework (Kommissions-Angemessenheitsbeschluss 2023/1795) als primären Übermittlungs-Mechanismus in ihren AVV. R14 Eingangs-Mail-Verarbeiter (R14-LEGAL-2): Eingehende E-Mails an info@workouttogether.de werden bei mailbox.org (Heinlein Support GmbH, Berlin) verarbeitet — Details siehe Unterseite Auftragsverarbeiter unten; Inland (Berlin/DE), AVV unterzeichnet, keine Drittlandübermittlung. Joiner-Cascade-Sichtbarkeit (R15 v12 Erweiterung; host-gesteuerte 1-Hop-Erweiterung): Wenn der/die Host:in bei einem von ihm/ihr erstellten Training den Schalter „Offenes Workout" aktiviert, wird dieses Training zusätzlich für die akzeptierten Trainingspartner aller aktiven Beigetretenen sichtbar — eine 1-Hop-Erweiterung über den eigenen Partner-Graphen des/der Host:in hinaus. Wir laufen niemals weiter als einen Hop: Trainingspartner von Trainingspartnern einer beigetretenen Person sehen das Training NICHT. Auf der Cascade-Ebene zeigt die Teilnahmeliste ALLE akzeptierten Beigetretenen (Parität mit der Direkt-Ebene — die Datenminimierung wird durch diesen Hinweis hier offengelegt und nicht durch eine Kürzung der Teilnahmeliste). Die per-Training-Whitelist des/der Host:in (falls gesetzt) behält absolute Veto-Autorität: Mitglieder, die ausdrücklich von der Whitelist ausgeschlossen sind, sehen das Training NICHT — unabhängig von jedem Cascade-Pfad. Die Cascade-Sichtbarkeit greift überall dort, wo das Training andernfalls partner-gegated wäre: Workout-Detail, Feed, Profil-Upcoming und Community-Feed. Kommentare bleiben auf Host, akzeptierte Beigetretene und die akzeptierten Trainingspartner des/der Host:in beschränkt (bei einem mit einem Club geteilten Workout zusätzlich die aktiven Mitglieder dieser Clubs) und werden NICHT auf die Cascade-Ebene erweitert (Art. 5 Abs. 1 lit. c DSGVO Datenminimierung). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Koordination zwischen bereits miteinander verbundenen Trainingspartnern — dieselbe Grundlage wie auf der Direkt-Partner-Ebene). Der/die Host:in kann die Cascade-Sichtbarkeit für künftige Trainings widerrufen, indem der Schalter ausgelassen wird; für ein bereits gepostetes Training ist die Cascade-Reichweite fixiert. Mit einem Club geteilte Trainings (R16 v13 Erweiterung): Zusätzlich zu den oben genannten partnerbasierten Oberflächen kannst du beim Erstellen oder Bearbeiten eines von dir erstellten Trainings dieses mit einem oder mehreren Clubs teilen, in denen du aktives Mitglied bist. Wenn du das tust, sehen die aktiven Mitglieder dieser Clubs — einschließlich Mitgliedern, die NICHT deine akzeptierten Trainingspartner sind — dieses Training: seine Zeit, seinen Treffpunkt / Ort sowie deine Identität als Host:in, und sie können dem Training beitreten und an dessen Kommentar-Konversation teilnehmen. Das Teilen mit einem Club und eine pro-Training-Partner-Whitelist schließen sich gegenseitig aus — ein Training hat niemals beides gleichzeitig. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Das Teilen eines Trainings mit einem Club ist deine eigene bewusste, begrenzte Entscheidung, Trainingsgesellschaft zu finden; die Offenlegung ist ausgewogen, weil sie nur die aktiven Mitglieder der von dir ausgewählten Clubs erreicht, diese Mitglieder dem Club durch eigene affirmative Handlung beigetreten sind und du die Freigabe kontrollierst (du kannst einen Club jederzeit von einem Training entfernen; das Entfernen beendet die künftige Offenlegung, hebt aber eine bereits erfolgte Einsicht eines Mitglieds nicht rückwirkend auf). Wenn du deine Sichtbarkeit pausiert hast (Widerspruch nach Art. 21 DSGVO — siehe „Ihre Rechte“ unten), werden deine eigenen Club-Freigaben unterdrückt. Club-Mitgliedschaft (R16 v13 Erweiterung, mit R16 v13.1 narrative Klarstellung 2026-05-28): Der Beitritt zu einem Club legt deine Identität gegenüber diesem Club offen. Die anderen aktiven Mitglieder eines Clubs sehen den vollständigen Namen (Vor- und Nachname) jedes aktiven Mitglieds, und der Club-Captain sieht und verwaltet zusätzlich die Mitglieder, Beitrittsanfragen und Einladungen des Clubs. Bei OFFENEN Clubs (jede:r tritt mit einem Klick bei) ist die aktive Mitgliederliste zusätzlich für jedes angemeldete Mitglied sichtbar, das die Detailseite des Clubs aufruft, damit Beitritts-Interessierte den Club vorher einschätzen können. Bei GESCHLOSSENEN Clubs (Beitritt braucht Freigabe durch den Captain) bleibt die aktive Mitgliederliste nur für aktive Mitglieder und den Captain sichtbar. Der Name des Club-Captains ist in beiden Club-Typen für jedes angemeldete Mitglied sichtbar, sodass jede:r sehen kann, wer einen Club führt, dem ein Beitritt erwogen wird. Deine Mitgliedschaften in offenen Clubs werden zusätzlich als verlinkte Liste auf deiner öffentlichen Profilseite angezeigt — derselbe Datenumfang wie die offene Club-Mitgliederliste, nur über einen anderen Einstiegspunkt sichtbar, sodass eine Betrachterin deines Profils direkt sieht, in welchen Clubs du aktives Mitglied bist, ohne jede Club-Detailseite einzeln aufrufen zu müssen. Der Beitritt ist deine eigene affirmative Handlung und die Grundlage für diese Offenlegung; die Mitgliedschaft in der betreiberseitig angelegten Beta-Community ist Opt-in (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO Einwilligung — du entscheidest dich zum Beitritt). Bevor du beitrittst oder eine Einladung annimmst, weisen wir dich darauf hin, dass Club-Mitglieder deinen vollständigen Namen sehen, damit deine Entscheidung eine informierte Einwilligung ist. Offene Beitrittsanfragen und offene Einladungen sind nur für den Club-Captain sichtbar, nicht für gewöhnliche Mitglieder. Das Verlassen eines Clubs entfernt deine Mitgliedschaft und beendet die künftige Offenlegung; eine bereits erfolgte Einsicht eines Co-Mitglieds wird nicht rückwirkend aufgehoben. Geocodierung des Club-Heimatorts (R16 v13 — neuer Zweck, bestehender Verarbeiter): Beim Erstellen eines Clubs oder beim Bearbeiten seines Heimatorts wird der eingetippte Heimatort-Text an die MapTiler AG (Schweiz), unseren bestehenden Karten-Anbieter, übermittelt, um ihn in Koordinaten umzuwandeln. Dies ist ein NEUER Zweck bei einem bereits genutzten Verarbeiter (kein neuer Empfänger): Die Koordinaten ermöglichen es dem Clubs-Bereich, Clubs nach ihrer Entfernung zu deiner eigenen Stadt zu sortieren. Die Übermittlung in die Schweiz ist durch den unten unter „Internationale Übermittlungen“ genannten Angemessenheitsbeschluss nach Art. 45 DSGVO gedeckt; die Geocodierung schlägt fehlertolerant fehl — ein Club ohne Koordinaten funktioniert weiterhin und wird lediglich nach Entfernung zuletzt einsortiert. Profilbilder (R18 v15 Erweiterung): du kannst optional ein Profilbild (Avatar) und — als Club-Captain — ein Club-Bild hochladen. Wenn du ein Bild hochlädst, kodieren wir es auf unserem eigenen Server mit der Bild-Bibliothek „sharp" neu, wobei eingebettete Metadaten einschließlich EXIF und etwaiger GPS-Standort-Tags entfernt werden, bevor wir es speichern; wir speichern ausschließlich das neu kodierte Bild, niemals die Originaldatei. Die Bilddaten werden auf unserer eigenen Infrastruktur (einem Speicher-Volume bei unserem Hosting-Anbieter Railway) gespeichert — es entsteht KEIN neuer Empfänger und kein neuer Verarbeiter für deine Bilder. Ein Avatar ist überall dort sichtbar, wo dein Name ohnehin einem Mitglied angezeigt wird, das ihn sehen darf; ein Club-Bild ist überall dort sichtbar, wo der Club angezeigt wird. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — das Hochladen ist deine eigene affirmative Handlung) und für ein vom Captain gesetztes Club-Bild Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, dem Club eine erkennbare Identität zu geben). Du kannst ein Bild jederzeit entfernen; beim Löschen deines Kontos werden deine Avatar-Daten über den Kontolösch-Cascade gelöscht, und die Aufbewahrungs-Bereinigung entfernt zusätzlich nicht mehr referenzierte Bilddaten. Ein Avatar oder Club-Bild kann über das Kontaktformular gemeldet werden (Meldungstyp „report_image"); die Administration prüft und kann ein Bild entfernen, das gegen die Nutzungsbedingungen verstößt. Profil-Selbstbeschreibung (R18 v15 Erweiterung): du kannst deinem Profil optional eine Freitext-Selbstbeschreibung hinzufügen — eine kurze Bio sowie deine Sportart. Dieser Inhalt ist optional, von dir verfasst und für alle sichtbar, die dein Profil ohnehin sehen dürfen (gemäß den oben genannten Profil-Sichtbarkeitsstufen). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Er ist im Datenexport enthalten und wird mit deinem Konto gelöscht. Mitglieder blockieren (R18 v15 Erweiterung): du kannst ein anderes Mitglied blockieren. Eine Blockierung macht euch beide plattformweit füreinander unsichtbar (Entdeckung, Feeds, Profile, Club-Mitgliederlisten, Trainings-Sichtbarkeit und jegliche Kontaktaufnahme) und trennt eine bestehende Partnerschaft oder offene Anfrage zwischen euch. Die Blockierliste ist DEINE eigene Information: die blockierte Person wird NICHT benachrichtigt, und wir zeigen ihr nicht an, dass sie blockiert wurde. Du kannst deine Blockierungen jederzeit unter Profil → Privatsphäre → Blockierte Mitglieder verwalten und aufheben. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor unerwünschtem Kontakt). Deine Blockierliste ist im Datenexport enthalten und wird mit deinem Konto gelöscht. Ehrliche Grenze: eine Blockierung bindet das Konto, gegen das sie ausgesprochen wurde; sie verhindert für sich genommen nicht, dass jemand ein ganz neues Konto anlegt — dem begegnen E-Mail-Verifikation, das Sperren von Wegwerf-Domains und die Registrierungs-Obergrenze, nicht die Blockierung. Optionale Kontakt-Notizen (R18 v15 Erweiterung): wenn du eine Trainingspartner-Anfrage, eine Club-Einladung oder einen Nudge sendest, kannst du optional eine kurze Freitext-Notiz (bis zu 280 Zeichen) hinzufügen. Die Notiz ist optional, wird bereinigt und nur dem Empfänger dieser Kontaktaufnahme angezeigt; besteht zwischen dir und dem Empfänger eine Blockierung, wird die Notiz nicht zugestellt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Einordnung einer von dir selbst initiierten Kontaktaufnahme). Notizen sind im Datenexport enthalten und werden mit deinem Konto gelöscht. Sicherheits-Ereignis-Speicher (R18 v15 Erweiterung): um die Plattform sicher zu halten und Missbrauch zu untersuchen, führen wir ein dauerhaftes Protokoll sicherheitsrelevanter Ereignisse (z. B. Anmeldeversuche, Rate-Limit-Treffer und Moderations-Aktionen). Diese Einträge sind pseudonym: das handelnde Konto wird als gesalzener Hash statt als direkt lesbare Kennung gespeichert, die Einträge enthalten keine Freitext-Inhalte und werden nach höchstens 90 Tagen automatisch gelöscht. Sie werden in derselben Datenbank auf demselben Hosting (Railway) gespeichert — es entsteht KEIN neuer Empfänger und kein neuer Verarbeiter. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Missbrauchsabwehr des Dienstes) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung), soweit ein Sicherheits-Eintrag erforderlich ist. Personen-Entdeckung (R18 v15 Erweiterung, Opt-in, nur Profile): wenn — und nur wenn — du die Auffindbarkeit unter Profil → Privatsphäre aktivierst (Standard: aus), können andere Mitglieder in deiner Stadt dich in einer Personen-Entdeckungs-Oberfläche finden, die AUSSCHLIESSLICH PROFIL-FELDER zeigt: deinen Namen, deine Sportart, deine Stadt und deinen Avatar. Sie legt NIEMALS deine Trainings offen — weder Zeit noch Ort noch Details — gegenüber einem Mitglied, das sie nicht ohnehin sehen darf. Es gilt dieselbe standardmäßig deaktivierte Auffindbarkeits-Einwilligung und das Art.-21-Widerspruchsrecht wie oben beschrieben. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die vollständige Liste der Sub-Auftragsverarbeiter und der archivierten AVV-Pfade ist unter /privacy/processors veröffentlicht (bookmark-fähig, Aktualisierung ohne Datenschutz-Versionssprung).
Zugriff durch Betreiber und Administration: Der Plattform-Betreiber (derzeit die oben genannte verantwortliche Person) verfügt innerhalb der Anwendung über eine Administrator-Rolle. In dieser Rolle haben wir Lesezugriff auf Nutzerprofil-Daten (einschließlich deiner E-Mail-Adresse, Stadt, Workouts und Partnerschafts-Einträge) sowie auf alle Einsendungen des Kontaktformulars (einschließlich der von dir oder über dich gemeldeten Inhalte). Dieser Zugriff dient ausschließlich operativen Zwecken: Moderation gemeldeter Inhalte, Nutzer-Support, Erfüllung deiner Datenschutzrechte (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch) sowie Missbrauchsvermeidung. Administrator-Aktionen, die Nutzerdaten verändern, werden in einem internen Audit-Log protokolliert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Moderation, Support und Missbrauchsvermeidung; Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für die Erfüllung deiner DSGVO-Anfragen.
Standortdaten: Wenn bei einem Training ein Treffpunkt gesetzt wird, werden die genauen Koordinaten gespeichert. Akzeptierte Trainingspartner sehen den exakten Treffpunkt im Feed und auf der Detailseite. Andere Mitglieder sehen deine Trainings nicht. Nach Ablauf des Trainingsdatums werden die genauen Koordinaten gelöscht; lediglich die optionale Treffpunkt-Notiz bleibt erhalten. Flexible Startzeit: Beim Erstellen eines Trainings kannst du statt einer festen Startzeit ein flexibles Zeitfenster (frühester und spätester Start) angeben; sobald sich der erste Partner mit einer konkreten Zeit innerhalb deines Fensters einträgt, wird die Trainingszeit auf diesen Wert festgelegt. Sowohl das ursprüngliche Fenster als auch die gewählte konkrete Zeit werden als gewöhnliche Trainingszeit-Daten gespeichert; es kommen keine neuen Empfänger oder Verarbeiter hinzu.
Workout-Kommentare: Wenn du einen Kommentar zu einem Workout schreibst, sind Inhalt, dein Name und ein Zeitstempel für Host, die akzeptierten Beigetretenen dieses Workouts und die akzeptierten Trainingspartner des/der Host:in sowie die aktiven Mitglieder eines Clubs, mit dem das Workout geteilt ist, sichtbar. Auf der Cascade-Ebene (Trainingspartner von Beigetretenen, wenn der/die Host:in „Offenes Workout" aktiviert hat) ist nur das Training selbst sichtbar, nicht die Kommentare. Kommentare werden 90 Tage nach Abschluss des Workouts aufbewahrt und danach weich gelöscht; auf ein Löschverlangen nach Art. 17 DSGVO werden sie sofort vollständig gelöscht. Jeder Kommentar kann über das Kontaktformular gemeldet werden; die Administration prüft und kann gegen die Nutzungsbedingungen verstoßende Kommentare löschen.
E-Mail-Benachrichtigungen: Operative Workout-Mails (neue:r Joiner in deinem Workout, Absage einer Joinerin, Absage eines Workouts, das du gejoint hast, Erinnerung zur Teilnahmebestätigung) werden standardmäßig versendet, um die Koordinationsschleife intakt zu halten. Du kannst sie nach denselben vier Kategorien deaktivieren wie die Push-Benachrichtigungen (Partnerschafts-Ereignisse, deine eigenen Trainings, Trainings denen du beigetreten bist, Konversationen) unter Profil → Privatsphäre → Benachrichtigungen (Widerspruchsrecht, Art. 21 DSGVO). Transaktionale Mails (E-Mail-Verifikation, Passwort-Reset) werden immer versendet, weil sie die Sicherheit deines eigenen Accounts betreffen. Transaktionale Mails umfassen auch Benachrichtigungen über Änderungen dieses Datenschutzhinweises oder der Nutzungsbedingungen — diese sind nicht deaktivierbar.
Kontaktformular und Meldungen: Wenn du das In-App-Kontaktformular verwendest (Bug-Report, Feature-Wunsch, Feedback, Konto-Problem oder eine Kommentar-Meldung), werden Inhalt, deine User-ID sowie optional diagnostische Kontextinformationen zur administrativen Bearbeitung gespeichert. Einsendungen werden 180 Tage aufbewahrt und danach anonymisiert oder gelöscht. Meldungen zu anderen Nutzer:innen können eine Kopie des gemeldeten Inhalts enthalten, ausschließlich zum Zweck der Moderation.
Datenexport: Du kannst deine personenbezogenen Daten als JSON-Datei unter Profil → Privatsphäre → Daten herunterladen. Der Export enthält dein eigenes Profil, deine Workouts, Partnerschaften, Kommentare und Bestätigungshistorie. Verweise auf andere Nutzer:innen (Partner:innen, Joiner, Kommentar-Autor:innen) erscheinen im Export als wörtlicher Platzhalter „[geschwärzt]", um die personenbezogenen Daten Dritter zu schützen.
Cookies und Speicherung in deinem Browser: Wir verwenden drei Browser-Speicher-Einträge. Keiner davon ist ein Werbe- oder Tracking-Cookie. Wir speichern nur wenige Einträge in deinem Browser; wir verwenden keine Werbe-Cookies, keine Analyse-Tracker und keine Drittanbieter-Trackingdienste. (1) Sitzungs-Cookie — unser Anmelde-Cookie, HttpOnly, Secure, SameSite=Lax, Lebensdauer bis zu 30 Tagen, sofern du dich nicht vorher abmeldest: wird beim Login gesetzt, hält dich während deiner Sitzung angemeldet, wird beim Logout oder bei Ablauf des Cookies gelöscht. Unbedingt erforderlich nach § 25 Abs. 2 Nr. 2 TTDSG — ohne dieses Cookie könntest du den Dienst nicht nutzen. (2) Tab-gebundener Browser-Speicher (sessionStorage): wir verwenden einige wenige Werte, die nur für die Lebensdauer eines Tabs existieren (werden beim Schließen des Tabs gelöscht). Aktuell: (a) eine einmalige Markierung, die verhindert, dass eine interne Qualitätskennzahl im selben Tab doppelt erfasst wird; (b) ab Revision 9 eine zufällige, nicht auf dich zurückführbare Sitzungs-Kennung, die ausschließlich dazu verwendet wird, Fehlermeldungen desselben Tabs zusammenzufassen, um Bugs beheben zu können — diese Kennung verlässt deinen Browser nur gemeinsam mit einer Fehlermeldung, ist nicht mit deiner Benutzer-ID verknüpft und wird mit jedem neuen Tab neu erzeugt. Die Fehlerdiagnose-Kennung (b) wird nur dann in deinem Browser abgelegt, wenn du der Fehlerdiagnose NICHT widersprochen hast; du kannst sie jederzeit unter Profil → Privatsphäre vollständig abschalten. Anonymisierte serverseitige Fehlereinträge werden weiterhin erfasst, um den Betrieb sicherzustellen; dein Widerspruch steuert ausschließlich die in-Browser-Diagnose-Kennung und die clientseitige Fehlerübermittlung. Fehlerberichte werden bis zu 7 Tage als strukturierte Log-Zeilen bei unserem Hosting-Anbieter Railway Corp. (USA) gespeichert — demselben Anbieter, der auch die Anwendung hostet; die Datenübermittlung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln. Siehe auch den Abschnitt Empfänger oben zur Verarbeiter-Beziehung. (3) Keine Werbe-, Analyse- oder Social-Media-Tracking-Cookies. Sollte sich dies zukünftig ändern — beispielsweise bei Einführung von Produkt-Analytik — aktualisieren wir diesen Hinweis und holen, soweit gesetzlich erforderlich, deine Einwilligung ein, bevor wir Neues speichern. (4) MapTiler-Drittanbieter-Cookies (einwilligungsgesteuert, Standard: aus): der Treffpunkt-Kartenausschnitt auf den Trainings-Detailseiten, im Feed und im Trainings-Erstell-/Bearbeitungs-Formular wird mit Kartenkacheln des Anbieters MapTiler AG (Heinrichsgasse 4, 1010 Wien / operativer Sitz Schweiz) gerendert. Wenn du auf der in-Karten-Platzhalter-Schaltfläche [Karte aktivieren] drückst ODER unter Profil → Privatsphäre → Inhalte Dritter → „Kartenkacheln (MapTiler)“ den Schalter aktivierst, beginnt der Kartenausschnitt, Kacheln von api.maptiler.com zu laden. Im Rahmen dieser Anfrage erhält MapTiler deine IP-Adresse und kann eigene Cookies setzen (funktionale Cookies für Kartenanzeige und Performance). Rechtsgrundlage ist deine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG; die Ausnahme nach § 25 Abs. 2 Nr. 2 TTDSG („unbedingt erforderlich“) trifft hier NICHT zu, da die Plattform ohne Karte vollständig nutzbar ist. Du kannst deine Einwilligung jederzeit und ebenso einfach widerrufen, wie du sie erteilt hast: derselbe Schalter in deinen Privatsphäre-Einstellungen deaktiviert sie wieder; jede neue Kartenoberfläche zeigt anschließend wieder den Platzhalter an. Serverseitige Speicherung: ein einzelner Zeitstempel mapTilesConsentedAt an deinem Nutzerdatensatz erfasst, wann du den Schalter aktiviert hast; beim Ausschalten wird dieser Zeitstempel auf NULL zurückgesetzt. Zusätzlich speichern wir eine nicht veränderbare Audit-Zeile in unserer ConsentEvent-Tabelle (eine Zeile je Erteilung oder Widerruf, ohne weitere personenbezogene Daten außer deiner Nutzer-ID und der Entscheidung) für die Dauer deines Kontos, wie es Art. 7 Abs. 1 DSGVO verlangt. Siehe oben den Abschnitt „Empfänger“ für die Verarbeiter-Beziehung zu MapTiler und unten „Ihre Rechte“ für den Widerrufs-Pfad. (5) Push-Subscription-State (R11 v9 Erweiterung; einwilligungsgesteuert, Standard: aus): Wenn du Push-Benachrichtigungen aktivierst, speichert dein Browser eine Subscription-State (W3C Push API) lokal in seinem internen Speicher — er enthält die anonyme Endpunkt-URL und die kryptographischen Schlüssel, die zum Empfang verschlüsselter Push-Benachrichtigungen erforderlich sind. Diese Speicherung ist gemäß § 25 Abs. 2 Nr. 2 TTDSG „unbedingt erforderlich für einen vom Nutzer ausdrücklich gewünschten Telemediendienst“ (du hast Push-Benachrichtigungen ausdrücklich angefordert) und benötigt daher kein zusätzliches Einwilligungs-Banner über die bereits erteilte W3C-Browser-Berechtigung hinaus. Du kannst die Subscription jederzeit durch Deaktivieren des Schalters in den Profil-Einstellungen oder durch Zurücksetzen der Browser-Push-Berechtigung beenden — der Browser löscht den Subscription-State daraufhin lokal.
Internationale Übermittlungen: Die MapTiler AG ist ein Schweizer Unternehmen mit operativem Sitz in der Schweiz. Übermittlungen personenbezogener Daten in die Schweiz erfolgen auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission gemäß Art. 45 DSGVO (Beschluss vom 26. Juli 2000 zur Angemessenheit des Schutzniveaus personenbezogener Daten in der Schweiz, bestätigt durch nachfolgende Überprüfungen). Zusätzliche Garantien (Standardvertragsklauseln) sind für diese Übermittlung nicht erforderlich. Die Übermittlung erfolgt erst, nachdem du nach dem Cookies-Abschnitt oben deine Einwilligung erteilt hast.
Speicherdauer: Für die Dauer der Beta-Phase; Kontolöschung auf Anfrage innerhalb von 30 Tagen gemäß Art. 17 DSGVO. Treffpunkt-Koordinaten werden innerhalb von 24 Stunden nach Ablauf des Trainingsdatums gelöscht. Workout-Kommentare werden 90 Tage nach dem Workout-Datum aufbewahrt. Einsendungen des Kontaktformulars (Bug, Feature-Wunsch, Feedback, Konto-Problem, Kommentar-Meldung) werden 180 Tage aufbewahrt. Push-Subscription-Daten (R11 v9 Erweiterung; Endpunkt-URL + Verschlüsselungsschlüssel + optionale Geräte-Kennung) werden gespeichert, solange du Push-Benachrichtigungen für dieses Gerät aktiviert hast. Sie werden gelöscht, wenn (a) du Push-Benachrichtigungen für das Gerät deaktivierst, (b) dein Browser uns mitteilt, dass die Subscription nicht mehr gültig ist (HTTP 410/404), (c) du dein Konto löschst, oder (d) wir 12 Monate lang keinen erfolgreichen Zustellversuch verzeichnen konnten.
Ihre Rechte: Auskunft, Berichtigung, Löschung, Datenübertragbarkeit (Art. 20 DSGVO — siehe In-App-Datenexport) und Widerspruch (Art. 21 DSGVO — siehe E-Mail-Einstellungen UND den eigenen Schalter „Aus Feed und Partnersuche zurückziehen“ unter Profil → Privatsphäre, der jede operative Koordinations-Oberfläche pausiert; rechtliche Änderungs-Hinweise sind von der Pause ausgenommen, weil Art. 12 Transparenz Vorrang vor Art. 21 hat). Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): für die einwilligungsgesteuerte MapTiler-Kartenkachel-Auslieferung (siehe Cookies-Abschnitt) deaktivierst du den Schalter „Kartenkacheln (MapTiler)“ unter Profil → Privatsphäre → Inhalte Dritter. Der Widerruf ist genauso einfach wie die Erteilung. Die vollständige Liste der Empfänger und Auftragsverarbeiter findest du unter /privacy/processors — diese Seite ist bookmark-fähig und wird ohne Datenschutz-Versionssprung aktualisiert. Schreiben Sie uns eine E-Mail, um Ihr Konto zu schließen oder ein DSGVO-Recht auszuüben.