Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

mITup e.V.
Nelly-Sachs-Straße 4
76646 Bruchsal
Deutschland

Vertreten durch den Vorstand: Yevgen Nebesov (1. Vorsitzender), Raffael Sheikh (2. Vorsitzende), Oksana Palagniuk (3. Vorsitzende).

E-Mail: info@mitup.de
Registergericht: Amtsgericht Mannheim, Vereinsregister VR 704618

Ein Datenschutzbeauftragter ist gesetzlich nicht vorgeschrieben, da weniger als 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Nutzung der Community-Plattform mITapp, bestehend aus der Web-Version unter mitapp.mitup.de sowie den nativen Apps für iOS und Android. Alle drei Oberflächen greifen auf dasselbe Backend und denselben Datenbestand zu und werden technisch identisch betrieben.

3. Erhobene Daten und Zwecke der Verarbeitung

3.1 Registrierung und Account

Für die Nutzung eines Accounts werden folgende Pflichtangaben erhoben: E-Mail-Adresse, Name, Passwort (ausschließlich als bcrypt-Hash gespeichert, uns nicht im Klartext bekannt).

Freiwillig können zusätzlich angegeben werden: Anzeigename, Biografie, Profilbild, Geburtstag, Jobtitel, Position, Firma und LinkedIn-Profil-URL. Diese Angaben können in den Profil-Einstellungen jederzeit geändert oder entfernt werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Mitgliedschaft) für Pflichtfelder; Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für freiwillige Felder.

3.2 Authentifizierung und Sitzung

Zum Erhalt deines Logins wird ein Sitzungs-Token gespeichert: im Webbrowser als HTTP-only-Cookie, in der mobilen App in einem sicheren Speicher (iOS Keychain / Android Keystore). Der Token wird bei Abmeldung oder Ablauf gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (technisch erforderlich für den Login).

3.3 Server-Logs und IP-Adresse

Bei jedem Aufruf verarbeitet unser Hosting-Provider technische Daten (IP-Adresse, Zeitstempel, Pfad, User-Agent) zur Bereitstellung des Dienstes und zum Schutz vor Missbrauch (Rate-Limiting, Abwehr von automatisierten Angriffen). Die IP-Adresse wird dabei kurzzeitig im Arbeitsspeicher verarbeitet und in Server-Logs für höchstens 14 Tage aufbewahrt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Betrieb).

3.4 Teilnahme an Meetups (Check-in)

Beim Check-in an einem Event werden die zugehörige Event-ID, dein Account und der Zeitstempel gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.5 Gamification

Sofern Gamification aktiv ist, werden XP-Ereignisse (Typ, Betrag, Zeitpunkt, ggf. zugehörige Event-ID), verliehene Badges sowie Streak-Stände gespeichert. Die Teilnahme ist optional und kann in den Profil-Einstellungen ein- und ausgeschaltet werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, Opt-in).

3.6 Event-Feed und Fotos

Nachrichten, die du im Event-Feed postest, sowie hochgeladene Fotos werden gespeichert und anderen Teilnehmenden angezeigt. Fotos durchlaufen vor Veröffentlichung eine Admin-Freigabe.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch freiwilliges Veröffentlichen). Ein Widerruf ist jederzeit durch Löschen des Posts/Fotos oder Löschen des Accounts möglich.

3.7 Follower / Folge-Beziehungen

Wenn du anderen Mitgliedern folgst, wird diese Beziehung mit Zeitstempel gespeichert und ist für beide Seiten sichtbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

3.8 Umfragen

Antworten auf Meetup-Umfragen werden mit einer Besucher-Kennung und optional deinem Namen gespeichert. Ist die Umfrage als anonym gekennzeichnet, wird dein Name nicht mit der Antwort gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

3.9 Schnitzeljagd

Gescannte Schnitzeljagd-Codes werden mit deinem Account und einem Zeitstempel gespeichert, um Mehrfach-Scans zu verhindern und verdiente XP zu vergeben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.10 Direkt-Nachrichten (1:1-Chat)

Du kannst andere registrierte Mitglieder über die Profilseite per Direkt-Nachricht kontaktieren. Wir verarbeiten dabei folgende Daten:

• Inhalt der Nachricht (Freitext, max. 2.000 Zeichen pro Nachricht)
• Sender- und Empfänger-User-IDs
• Zeitstempel des Versands und letzten Lesens

Zugriff: Auf den Inhalt einer Konversation haben nur die beiden beteiligten Personen Zugriff. Vereinsadministratoren erhalten Einsicht in eine Nachricht ausschließlich dann, wenn diese über die Melde-Funktion zur Prüfung übermittelt wurde.

Verschlüsselung: Nachrichten werden während der Übertragung (TLS) und im Backup verschlüsselt. Eine Ende-zu-Ende-Verschlüsselung findet derzeit nicht statt — Inhalte liegen auf unseren Servern (siehe Auftragsverarbeiter) im Klartext. Wir empfehlen, sensible oder vertrauliche Inhalte nicht über die Chat-Funktion zu teilen.

Aufbewahrung: Nachrichten bleiben gespeichert, bis du sie selbst löschst (kennzeichnet die Nachricht als „gelöscht", der Originaltext wird zu Moderations-Zwecken noch maximal 90 Tage aufbewahrt) oder bis dein Account gelöscht wird (dann werden alle deine Konversationen unwiderruflich entfernt).

Blockieren & Melden:Du kannst andere Mitglieder jederzeit blockieren (sie können dir dann keine Nachrichten mehr senden) und einzelne Nachrichten zur Prüfung melden. Bei rechtswidrigen oder gegen unsere Verhaltensregeln verstoßenden Inhalten reagieren wir in der Regel innerhalb von 48 Stunden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Bereitstellung des Chat ist Teil der Vereinsplattform), für die Aufbewahrung gemeldeter Inhalte zu Moderationszwecken zusätzlich Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren Plattform).

3.11 E-Mail-Kommunikation

Aktuell versenden wir ausschließlich transaktionale E-Mails, die zwingend zum Betrieb des Dienstes erforderlich sind (z. B. Begrüßungs-Mail nach Registrierung, Passwort-Zurücksetzen). Optionale Kommunikation wie Newsletter oder Gamification-Benachrichtigungen findet derzeit nicht statt. Sollten wir solche Mails in Zukunft anbieten, erfolgt der Versand ausschließlich nach ausdrücklicher, jederzeit widerrufbarer Einwilligung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für transaktionale Mails.

4. Cookies und lokale Speicherung

Im Web setzen wir ausschließlich technisch notwendige Cookies (Sitzungs-Token). Es werden keine Analyse-, Tracking- oder Werbe-Cookies gesetzt und keine Drittanbieter-Skripte eingebunden. Aus diesem Grund ist kein Einwilligungs-Banner erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG).

In der mobilen App werden keine Cookies verwendet; der Sitzungs-Token liegt sicher im Schlüsselbund des Betriebssystems.

5. Auftragsverarbeiter

Für den Betrieb setzen wir folgende Dienstleister ein, mit denen wir Auftragsverarbeitungs-Verträge nach Art. 28 DSGVO abgeschlossen haben (AVV):

5.1 Hetzner Online GmbH (Hosting)

Industriestr. 25, 91710 Gunzenhausen, Deutschland. Hetzner stellt die Server bereit, auf denen die Anwendung und die Datenbank laufen. Standort des eingesetzten Rechenzentrums ist Falkenstein (Deutschland); die Datenverarbeitung findet innerhalb der Europäischen Union statt.

AVV: hetzner.com/de/rechtliches/auftragsverarbeitung

5.2 MailerSend (E-Mail-Versand)

MailerSend, betrieben von MailerLite, Inc., 548 Market Street, PMB 81278, San Francisco, CA 94104-5401, USA. MailerSend versendet unsere transaktionalen und — nach Einwilligung — optionalen E-Mails. Dafür werden die Empfängeradresse sowie der Mail-Inhalt übermittelt. Da der Dienstleister in den USA sitzt, erfolgt eine Übermittlung in ein Drittland. Die Rechtmäßigkeit ist durch die EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO abgesichert. DPA: mailersend.com/legal/dpa.

6. Speicherdauer

• Account-Daten: solange der Account besteht. Nach Löschung des Accounts werden die Daten unverzüglich gelöscht; gesetzlich erforderliche Nachweise werden gesondert aufbewahrt.
• Server-Logs / IP-Adressen: bis zu 14 Tage.
• Feed-Posts, Fotos, XP-Ereignisse: solange dein Account besteht oder bis zur Löschung des einzelnen Eintrags.
• Umfrage-Antworten: bis zur Löschung durch den Verantwortlichen oder nach Zweckerreichung.
• Schnitzeljagd-Scans: solange das zugehörige Event aktiv ist.
• Direkt-Nachrichten: bis zur Löschung durch dich oder zur Account-Löschung. Soft-gelöschte (durch dich entfernte) Nachrichten bleiben max. 90 Tage zu Moderationszwecken im Originaltext erhalten.
• Gemeldete Nachrichten / Reports: 12 Monate nach Erledigung des Reports zur Nachvollziehbarkeit der Moderationsentscheidung.

7. Deine Rechte

Du hast als betroffene Person jederzeit folgende Rechte:

• Auskunft über die zu dir gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung deiner Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Zuständig für uns ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Königstraße 10a, 70173 Stuttgart, poststelle@lfdi.bwl.de.

Anfragen zu deinen Rechten richtest du formlos per E-Mail an info@mitup.de.

8. Pflicht zur Bereitstellung

Die Bereitstellung deiner Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne die in Abschnitt 3.1 genannten Pflichtangaben ist die Erstellung eines Accounts allerdings nicht möglich.

9. Automatisierte Entscheidungsfindung

Wir setzen keine automatisierten Entscheidungsfindungen oder Profiling im Sinne von Art. 22 DSGVO ein.

10. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich an der zugrundeliegenden Verarbeitung etwas ändert. Die jeweils aktuelle Fassung findest du hier unter mitapp.mitup.de/datenschutz.