Datenschutzerklärung

1. Verantwortlicher

Dr. med. Paul Lüdicke, Bahnhofstraße 90, 64823 Groß-Umstadt, Deutschland. E-Mail: p.luedicke@myoneaction.de

2. Datenschutzbeauftragter

Die gesetzlichen Voraussetzungen für die Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO, § 38 BDSG) liegen derzeit nicht vor. In allen Fragen zum Datenschutz erreichen Sie uns unter der oben genannten E-Mail-Adresse.

3. Zugriffsdaten / Server-Logfiles / Hosting

Beim Aufruf unserer Website und App verarbeitet unser Hosting-Anbieter automatisch technische Informationen (Server-Logfiles): gekürzte IP-Adresse, Datum und Uhrzeit der Anfrage, aufgerufene Seite/URL, übertragene Datenmenge, Referrer-URL, Browser und Betriebssystem. Zweck: reibungsloser Betrieb, IT-Sicherheit, Angriffsabwehr. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: in der Regel maximal 14 Tage. Hosting-Anbieter: Lovable / Cloudflare Workers (Edge-Hosting, weltweit verteilte Rechenzentren). Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; bei einem Drittlandbezug erfolgt die Übermittlung auf Grundlage von Standardvertragsklauseln.

4. Registrierung und Nutzerkonto

Zur Nutzung von Moa legen Sie ein Nutzerkonto an. Verarbeitet werden: E-Mail-Adresse, Authentifizierungsdaten (verschlüsseltes Passwort oder Anmeldung per „Magic Link"), Spracheinstellung, Kontostatus sowie Zeitpunkt von Registrierung und Einwilligungen. Zweck: Bereitstellung des Kontos, Authentifizierung, Vertragsabwicklung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Auftragsverarbeiter: Supabase Inc. (USA) für Datenbank, Authentifizierung und Speicher; die Daten werden in einem Rechenzentrum innerhalb der EU (Region Frankfurt) gespeichert. Es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; ein etwaiger Drittlandtransfer erfolgt auf Grundlage von Standardvertragsklauseln.

5. Challenge-Daten

Wir verarbeiten die von Ihnen gewählten Angaben: Challenge-Art (Moa Move / Moa Focus), Ziel (Schritte oder Minuten), Einsatz pro verfehltem Tag, Nachweisfrist, Zeitzone, Tagesstatus (erfüllt / kein Nachweis) sowie den aufgelaufenen Betrag. Zweck: Erbringung des Dienstes, Anzeige Ihres Fortschritts und Betrags. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

6. Screenshot-Nachweise

Zur Erfüllung Ihrer täglichen Challenge laden Sie selbst Screenshots hoch (z. B. aus einer Schritt- oder Bildschirmzeit-Anzeige). Diese Bilder können je nach Inhalt gesundheitsbezogene Angaben enthalten (z. B. Schrittzahlen). Zweck: Dokumentation des täglichen Nachweises. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; soweit die Bilder gesundheitsbezogene Daten im Sinne von Art. 9 DSGVO enthalten, zusätzlich Art. 9 Abs. 2 lit. a DSGVO (Ihre ausdrückliche Einwilligung, die Sie mit dem Hochladen erteilen). Datensparsamkeit: Bitte laden Sie nur die erforderlichen Bildausschnitte hoch und schwärzen Sie nicht benötigte personenbezogene Inhalte. Speicherung: in einem privaten, zugriffsbeschränkten Speicher (Supabase Storage, EU-Region); der Zugriff ist auf Ihr Konto und den Betreiber beschränkt. Speicherdauer: Die hochgeladenen Screenshot-Dateien werden innerhalb von 24 Stunden nach dem Upload automatisch gelöscht. Erhalten bleibt lediglich die Information, ob für den jeweiligen Tag fristgerecht ein Nachweis eingereicht wurde (Status und Zeitstempel), nicht jedoch die Bilddatei. Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen; die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt.

7. Zahlungsdaten

Zur Hinterlegung eines Zahlungsmittels und für die spätere Abrechnung verfehlter Tage nutzen wir den Zahlungsdienstleister Stripe. Zahlungsdaten (z. B. Kartendaten) geben Sie direkt bei Stripe ein; wir speichern keine vollständigen Kartendaten. Wir erhalten von Stripe eine Kundenkennung sowie den Status hinterlegter Zahlungsmittel und Abrechnungen. Zweck: Hinterlegung des Zahlungsmittels, Abrechnung verfehlter Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Anbieter: Stripe Payments Europe, Ltd., Irland; eine etwaige Übermittlung an die Stripe, Inc. (USA) erfolgt auf Grundlage von Standardvertragsklauseln.

8. E-Mail-Versand

Für system- und vertragsbezogene Nachrichten (z. B. Anmeldebestätigung, „Magic Link", Statusbenachrichtigungen) versenden wir E-Mails. Zweck: Kontoverwaltung, Vertragskommunikation. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Anbieter: Supabase Inc. (USA); Datenverarbeitung über die in Supabase integrierten Auth- und E-Mail-Funktionen. Es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; ein etwaiger Drittlandtransfer erfolgt auf Grundlage von Standardvertragsklauseln.

9. Cookies und lokale Speicherung

Wir verwenden technisch notwendige Cookies bzw. vergleichbare Speichertechniken (z. B. zur Aufrechterhaltung Ihrer Anmeldesitzung und zum Speichern Ihrer Spracheinstellung). Rechtsgrundlage: § 25 Abs. 2 TTDSG (technisch notwendig) sowie Art. 6 Abs. 1 lit. f DSGVO. Wir setzen kein Tracking, keine Reichweitenmessung und keine Werbe-Cookies ein.

10. Empfänger und Drittlandübermittlung

Empfänger personenbezogener Daten sind die in dieser Erklärung genannten Auftragsverarbeiter (Hosting, Supabase, Stripe, E-Mail-Versand). Soweit eine Übermittlung in ein Drittland (insbesondere USA) erfolgt, geschieht dies auf Grundlage geeigneter Garantien, insbesondere Standardvertragsklauseln gemäß Art. 46 DSGVO bzw. einer Zertifizierung nach dem EU-US Data Privacy Framework.

11. Übersicht der Datenverarbeitungen

12. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen (insbesondere handels- und steuerrechtlich) bestehen. Nach Wegfall des Zwecks werden die Daten gelöscht. Bei Löschung Ihres Kontos werden Ihre Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) sowie das Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO). Zur Ausübung genügt eine formlose E-Mail an p.luedicke@myoneaction.de.

14. Beschwerderecht bei der Aufsichtsbehörde

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Gustav-Stresemann-Ring 1, 65189 Wiesbaden, datenschutz.hessen.de

15. Erforderlichkeit der Bereitstellung

Die Bereitstellung von E-Mail-Adresse, Challenge-Angaben, Screenshot-Nachweisen und Zahlungsmittel ist für die Nutzung des Dienstes erforderlich. Ohne diese Angaben können wir den Vertrag nicht erfüllen.

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.