Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

mITup e.V.
Nelly-Sachs-Straße 4
76646 Bruchsal
Deutschland

Vertreten durch den Vorstand: Yevgen Nebesov (1. Vorsitzender), Raffael Sheikh (2. Vorsitzende), Oksana Palagniuk (3. Vorsitzende).

E-Mail: info@mitup.de
Registergericht: Amtsgericht Mannheim, Vereinsregister VR 704618

Ein Datenschutzbeauftragter ist gesetzlich nicht vorgeschrieben, da weniger als 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Nutzung der Community-Plattform mITapp, bestehend aus der Web-Version unter mitapp.mitup.de sowie den nativen Apps für iOS und Android. Alle drei Oberflächen greifen auf dasselbe Backend und denselben Datenbestand zu und werden technisch identisch betrieben.

3. Erhobene Daten und Zwecke der Verarbeitung

3.1 Registrierung und Account

Für die Nutzung eines Accounts werden folgende Pflichtangaben erhoben: E-Mail-Adresse, Name, Passwort (ausschließlich als bcrypt-Hash gespeichert, uns nicht im Klartext bekannt).

Freiwillig können zusätzlich angegeben werden: Anzeigename, Biografie, Profilbild, Geburtstag, Jobtitel, Position, Firma, LinkedIn-Profil-URL sowie Zustimmungen zu Gamification- und Newsletter-Kommunikation.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Mitgliedschaft) für Pflichtfelder; Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für freiwillige Felder und optionale Kommunikationseinwilligungen.

3.2 Authentifizierung und Sitzung

Zum Erhalt deines Logins wird ein Sitzungs-Token gespeichert: im Webbrowser als HTTP-only-Cookie, in der mobilen App in einem sicheren Speicher (iOS Keychain / Android Keystore). Der Token wird bei Abmeldung oder Ablauf gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (technisch erforderlich für den Login).

3.3 Server-Logs und IP-Adresse

Bei jedem Aufruf verarbeitet unser Hosting-Provider technische Daten (IP-Adresse, Zeitstempel, Pfad, User-Agent) zur Bereitstellung des Dienstes und zum Schutz vor Missbrauch (Rate-Limiting, Abwehr von automatisierten Angriffen). Die IP-Adresse wird dabei kurzzeitig im Arbeitsspeicher verarbeitet und in Server-Logs für höchstens 14 Tage aufbewahrt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Betrieb).

3.4 Teilnahme an Meetups (Check-in)

Beim Check-in an einem Event werden die zugehörige Event-ID, dein Account und der Zeitstempel gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.5 Gamification

Sofern Gamification aktiv ist, werden XP-Ereignisse (Typ, Betrag, Zeitpunkt, ggf. zugehörige Event-ID), verliehene Badges sowie Streak-Stände gespeichert. Die Teilnahme ist optional und kann in den Profil-Einstellungen ein- und ausgeschaltet werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, Opt-in).

3.6 Event-Feed und Fotos

Nachrichten, die du im Event-Feed postest, sowie hochgeladene Fotos werden gespeichert und anderen Teilnehmenden angezeigt. Fotos durchlaufen vor Veröffentlichung eine Admin-Freigabe.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch freiwilliges Veröffentlichen). Ein Widerruf ist jederzeit durch Löschen des Posts/Fotos oder Löschen des Accounts möglich.

3.7 Follower / Folge-Beziehungen

Wenn du anderen Mitgliedern folgst, wird diese Beziehung mit Zeitstempel gespeichert und ist für beide Seiten sichtbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

3.8 Umfragen

Antworten auf Meetup-Umfragen werden mit einer Besucher-Kennung und optional deinem Namen gespeichert. Ist die Umfrage als anonym gekennzeichnet, wird dein Name nicht mit der Antwort gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

3.9 Schnitzeljagd

Gescannte Schnitzeljagd-Codes werden mit deinem Account und einem Zeitstempel gespeichert, um Mehrfach-Scans zu verhindern und verdiente XP zu vergeben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.10 E-Mail-Kommunikation

Wir versenden transaktionale E-Mails (Registrierungs-Bestätigung, Passwort-Zurücksetzen) zwingend zum Betrieb des Dienstes. Weitere E-Mails (Gamification-Nachrichten, Newsletter, Event-Erinnerungen) werden nur versendet, wenn du eingewilligt hast. Jede Einwilligung ist jederzeit mit Wirkung für die Zukunft widerrufbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für transaktionale Mails; Art. 6 Abs. 1 lit. a DSGVO für optionale Kommunikation.

4. Cookies und lokale Speicherung

Im Web setzen wir ausschließlich technisch notwendige Cookies (Sitzungs-Token). Es werden keine Analyse-, Tracking- oder Werbe-Cookies gesetzt und keine Drittanbieter-Skripte eingebunden. Aus diesem Grund ist kein Einwilligungs-Banner erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG).

In der mobilen App werden keine Cookies verwendet; der Sitzungs-Token liegt sicher im Schlüsselbund des Betriebssystems.

5. Auftragsverarbeiter

Für den Betrieb setzen wir folgende Dienstleister ein, mit denen wir Auftragsverarbeitungs-Verträge nach Art. 28 DSGVO abgeschlossen haben (AVV):

5.1 Scaleway SAS (Hosting)

8 rue de la Ville l'Évêque, 75008 Paris, Frankreich. Scaleway stellt die Server bereit, auf denen die Anwendung und die Datenbank laufen. Die Datenverarbeitung findet innerhalb der Europäischen Union statt.

AVV: scaleway.com/data-protection-agreement

5.2 MailerSend (E-Mail-Versand)

MailerSend, betrieben von MailerLite, Inc., 548 Market Street, PMB 81278, San Francisco, CA 94104-5401, USA. MailerSend versendet unsere transaktionalen und — nach Einwilligung — optionalen E-Mails. Dafür werden die Empfängeradresse sowie der Mail-Inhalt übermittelt. Da der Dienstleister in den USA sitzt, erfolgt eine Übermittlung in ein Drittland. Die Rechtmäßigkeit ist durch die EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO abgesichert. DPA: mailersend.com/legal/dpa.

6. Speicherdauer

• Account-Daten: solange der Account besteht. Nach Löschung des Accounts werden die Daten unverzüglich gelöscht; gesetzlich erforderliche Nachweise werden gesondert aufbewahrt.
• Server-Logs / IP-Adressen: bis zu 14 Tage.
• Feed-Posts, Fotos, XP-Ereignisse: solange dein Account besteht oder bis zur Löschung des einzelnen Eintrags.
• Umfrage-Antworten: bis zur Löschung durch den Verantwortlichen oder nach Zweckerreichung.
• Schnitzeljagd-Scans: solange das zugehörige Event aktiv ist.

7. Deine Rechte

Du hast als betroffene Person jederzeit folgende Rechte:

• Auskunft über die zu dir gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung deiner Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Zuständig für uns ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Königstraße 10a, 70173 Stuttgart, poststelle@lfdi.bwl.de.

Anfragen zu deinen Rechten richtest du formlos per E-Mail an info@mitup.de.

8. Pflicht zur Bereitstellung

Die Bereitstellung deiner Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne die in Abschnitt 3.1 genannten Pflichtangaben ist die Erstellung eines Accounts allerdings nicht möglich.

9. Automatisierte Entscheidungsfindung

Wir setzen keine automatisierten Entscheidungsfindungen oder Profiling im Sinne von Art. 22 DSGVO ein.

10. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich an der zugrundeliegenden Verarbeitung etwas ändert. Die jeweils aktuelle Fassung findest du hier unter mitapp.mitup.de/datenschutz.