Datenschutzerklärung für Movana

Stand: 09.02.2026

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei der Nutzung der Movana-App und zugehöriger Webfunktionen unter movana.app.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Robin Brockhaus
Bleichstraße 18
33102 Paderborn
Deutschland
E-Mail: info@movana.app

2. Welche Daten wir verarbeiten

Wir verarbeiten personenbezogene Daten nur, soweit dies für den Betrieb der App, die Bereitstellung der Funktionen und die Sicherheit der Plattform erforderlich ist.

2.1 Kontodaten und Authentifizierung

Verarbeitete Daten:

  • E-Mail-Adresse
  • Anmeldedaten (Passwort-Hash bei passwortbasierter Anmeldung)
  • Sitzungs- und Authentifizierungsinformationen

Zweck:

  • Registrierung, Login, Kontoverwaltung, Kontosicherheit

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. f DSGVO (Missbrauchsprävention, IT-Sicherheit)

2.2 Profil- und Communitydaten

Verarbeitete Daten (abhängig von deinen Eingaben):

  • Name, Benutzername, Profilbild
  • Profilbeschreibung, Stadt, Sportarten, Skill-Level, Präferenzen
  • Organisationsangaben (bei Organisationskonto)
  • Soziale Interaktionen (Follower, Follow-Anfragen, Freundesbeziehungen)

Zweck:

  • Darstellung deines Profils in der App
  • Matching, Nutzervernetzung und Communityfunktionen

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO

2.3 Private Profildaten

Verarbeitete Daten (nur für berechtigte Zwecke):

  • Geburtsdatum
  • Optional: Telefonnummer
  • Optional: genauere Standortdaten (z. B. gespeicherte Koordinaten)

Zweck:

  • Altersbezogene Funktionen, Kontoverwaltung, Standortfunktionen

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO
  • Art. 6 Abs. 1 lit. a DSGVO (soweit Einwilligung erforderlich, z. B. Standortfreigabe im Gerät)

2.4 Aktivitäten- und Eventdaten

Verarbeitete Daten:

  • Eventtitel, Beschreibung, Sportbezug, Zeit, Ort/Koordinaten
  • Teilnehmerstatus (pending/approved/rejected)
  • Eventbezogene Einstellungen (z. B. Freigaben, Kapazitäten)

Zweck:

  • Organisation und Teilnahme an Sportaktivitäten
  • Anzeige passender Events und Event-Kommunikation

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO

2.5 Chat- und Kommunikationsdaten

Verarbeitete Daten:

  • Nachrichteninhalte (Text, ggf. Bild-/Metadaten)
  • Konversations- und Teilnehmerdaten
  • Zustell- und Leseinformationen (z. B. read_at)

Zweck:

  • Kommunikation zwischen Nutzern (Direkt- und Gruppenchat)

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO

2.6 Moderations-, Sicherheits- und Vertrauensdaten

Verarbeitete Daten:

  • Meldungen (Reports), Blocklisten, Moderationsstatus
  • Bewertungen/Zuverlässigkeits- und Karma-Merkmale
  • Technische Sicherheitsereignisse

Zweck:

  • Prävention von Missbrauch
  • Durchsetzung der Communityregeln
  • Schutz der Nutzer und Plattformintegrität

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Plattformbetrieb)
  • Art. 6 Abs. 1 lit. b DSGVO (vertragliche Bereitstellung sicherer Plattformfunktionen)

2.7 Push-Benachrichtigungen

Verarbeitete Daten:

  • Push-Token (FCM Token)
  • Benachrichtigungsinhalte (Titel, Text, Typ, technische IDs)

Zweck:

  • Zustellung von App-Benachrichtigungen (z. B. neue Nachricht, Event-Update)

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung im Betriebssystem für Push)
  • Art. 6 Abs. 1 lit. b DSGVO (Benachrichtigungsfunktion als Teil des Dienstes)

2.8 Analyse- und Nutzungsdaten (Google Analytics for Firebase)

Verarbeitete Daten:

  • Ereignisdaten zur App-Nutzung (z. B. Screen-Aufrufe, Interaktionsereignisse)
  • App-Instanz-/Installationskennungen
  • technische Geräte- und App-Metadaten (z. B. Betriebssystem, App-Version)
  • ggf. abgeleitete Nutzungs-/Zielgruppeninformationen innerhalb der Analytics-Berichte

Konkrete Event-Beispiele aus der App:

  • search_performed
  • matching_feed_impression
  • activity_joined
  • activity_detail_viewed
  • automatisches Screen-Tracking über Analytics-Observer

Zweck:

  • Fehleranalyse, Produktverbesserung, Nutzungsstatistik

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
  • Section 25 Abs. 1 TDDDG, soweit Informationen im Endgerät gespeichert oder ausgelesen werden

Wichtiger Umsetzungshinweis:

  • Analytics sollte erst nach gültiger Einwilligung aktiviert werden. Ohne Einwilligungs-Mechanismus besteht ein Compliance-Risiko.

2.8a Website-Analyse (Umami, self-hosted)

Auf unserer Website movana.app nutzen wir Umami in einer selbst betriebenen Instanz unter analytics.movana.app.

Verarbeitete Daten:

  • aufgerufene Seiten-URL und Zeitpunkt
  • Referrer-Information (Herkunftsseite)
  • technische Browser-/Geräteinformationen (z. B. Browsertyp, Betriebssystem, Gerätetyp)
  • gekürzte bzw. technisch bedingt verarbeitete Verbindungsinformationen (z. B. IP-Adresse in pseudonymisierter Form)

Zweck:

  • Reichweitenmessung der Website
  • technische und inhaltliche Optimierung der Website

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an statistischer Auswertung und sicherem Websitebetrieb)
  • Sofern in einer abweichenden technischen Konfiguration Informationen im Endgerät gespeichert oder ausgelesen werden, erfolgt dies nur auf Basis einer Einwilligung nach Section 25 Abs. 1 TDDDG.

2.9 Endgeräte-Berechtigungen und lokale Speicherung

Wir nutzen, je nach Funktion und deiner Auswahl:

  • Standortberechtigung (z. B. für Ortsauswahl und Distanzfunktionen)
  • Fotogalerie/Kamerazugriff (z. B. für Profil- und Gruppenbilder)
  • Lokale App-Speicherwerte (z. B. UI-Hinweise, Dialogstatus)

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Betriebssystem, soweit erforderlich)
  • Art. 6 Abs. 1 lit. b DSGVO (funktional notwendige Speicherung)
  • In Deutschland zusätzlich ggf. Section 25 TDDDG

2.10 Standorterfassung, Kartendarstellung und Ortssuche (inkl. Google Maps/Komoot)

Wenn du in der App die Standortfunktion nutzt, unterscheiden wir zwischen:

  1. Aktiv abgefragter Gerätestandort (GPS)
  • Die App ermittelt deinen aktuellen Standort nur nach deiner Freigabe im Betriebssystem.
  • Verarbeitete Daten: Breiten-/Längengrad (ggf. mit hoher Genauigkeit), abgeleiteter Ortsname.
  • Zweck: Standortvorschlag, Distanz-/Umkreisfunktionen, Event-Ortsauswahl.
  1. Ortssuche über Texteingabe (Komoot Photon API)
  • Bei der Suche nach Orten/Adressen werden deine Suchbegriffe an photon.komoot.io übermittelt.
  • Verarbeitete Daten: Suchtext, technische Verbindungsdaten (z. B. IP-Adresse, Header/User-Agent), Antwortdaten mit Ortsvorschlägen (inkl. Koordinaten und Adressbestandteilen).
  • Zweck: Bereitstellung von Ortsvorschlägen für die Standort-/Eventauswahl.
  1. Kartendarstellung (Google Maps)
  • Für die Anzeige einer Karte in der App werden Ressourcen von Google Maps geladen.
  • Verarbeitete Daten: technische Verbindungsdaten (z. B. IP-Adresse, Header/User-Agent), Karten-/API-Anfragen, Zeitstempel sowie gerätebezogene Metadaten.
  • Zweck: Bereitstellung der Kartenansicht in der App.
  1. Reverse-Geocoding des aktuellen Standorts
  • Für die Umwandlung von Koordinaten in lesbare Orts-/Adressangaben können Geocoding-Dienste von Google Maps sowie ggf. der Betriebssystemanbieter genutzt werden (z. B. Apple/Google, abhängig vom Endgerät).

Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO (Standortfreigabe/Berechtigung im Gerät)
  • Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der angeforderten App-Funktion)
  • Art. 6 Abs. 1 lit. f DSGVO (stabile und nutzerfreundliche Ortssuche)

2.11 Datenquellen, wenn Daten nicht direkt bei dir erhoben werden (Art. 14 DSGVO)

Bestimmte Daten erhalten wir nicht direkt von dir, sondern von anderen Nutzern, insbesondere wenn:

  • du von anderen Nutzern gemeldet wirst
  • dich ein anderer Nutzer blockiert
  • dich ein anderer Nutzer in soziale/interaktive Funktionen einbezieht (z. B. Follow-Anfragen, Gruppen-/Einladungsfunktionen)

Betroffene Datenkategorien:

  • Nutzer-IDs der beteiligten Personen
  • Meldungsgrund, Freitextangaben, Status- und Bearbeitungsvermerke
  • Beziehungs- und Interaktionsdaten (z. B. blockiert, eingeladen, angefragt)

Zwecke und Rechtsgrundlagen:

  • Missbrauchsprävention und Moderation (Art. 6 Abs. 1 lit. f DSGVO)
  • Bereitstellung sicherer Communityfunktionen (Art. 6 Abs. 1 lit. b DSGVO)

3. Empfänger und Auftragsverarbeiter

Wir setzen technische Dienstleister ein, die Daten in unserem Auftrag verarbeiten oder als eigenständig Verantwortliche eingebunden sind.

3.1 Konkrete Empfänger (aktueller Stand)

  1. Hosting-Provider für self-hosted Infrastruktur
  • Anbieter: dashserv.io / Felix Gassan (Realtox Media), Talweg 4s, 21149 Hamburg, Deutschland
  • Zweck: Server- und Hostingbetrieb für App-Backend (self-hosted Supabase-Stack)
  • Kategorien: Kontodaten, Profil-/Event-/Chat-/Moderationsdaten, technische Betriebsdaten
  • Serverstandort laut Anbieter: Deutschland
  1. Supabase (self-hosted Software-Stack)
  • Rolle: von uns selbst betriebenes Open-Source-System für Datenbank, Authentifizierung, Realtime und Storage
  • Hinweis: Bei self-hosted Betrieb ist Supabase regelmäßig kein zusätzlicher externer Empfänger; primärer Empfänger ist der eingesetzte Hosting-Provider
  • Nur falls einzelne managed Komponenten genutzt werden:
  • Anbieter: Supabase Pte. Ltd., 65 Chulia Street, #46-01 OCBC Centre, Singapore 049513
  1. Google Firebase Cloud Messaging (FCM)
  • Anbieter:
  • Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
  • ggf. Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
  • Zweck: Push-Benachrichtigungen
  • Kategorien: Push-Token, Zustellmetadaten, Benachrichtigungsinhalte
  1. Google Analytics for Firebase
  • Anbieter:
  • Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
  • ggf. Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
  • Zweck: Nutzungsanalyse und Produktoptimierung
  • Kategorien: siehe Abschnitt 2.8
  1. Umami Analytics (Website, self-hosted)
  • Betreiber: Robin Brockhaus (eigene Instanz unter analytics.movana.app)
  • Zweck: Website-Reichweitenanalyse und Optimierung
  • Kategorien: siehe Abschnitt 2.8a
  1. Karten-/Geodienste
  • OpenStreetMap Foundation (OSMF), St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, United Kingdom (Tile-Infrastruktur)
  • Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland und ggf. Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (Google Maps Plattform: Kartendarstellung/Geocoding)
  • Komoot GmbH (Photon API über photon.komoot.io) für Ortssuche/Geocoding per Sucheingabe
  • ggf. Geocoding-Dienste der Betriebssystemanbieter (z. B. Apple/Google), sofern durch Gerätefunktionen verwendet

Mit Dienstleistern werden, soweit erforderlich, Auftragsverarbeitungsverträge abgeschlossen.

3.2 Empfänger innerhalb der App (Sichtbarkeit)

Je nach Privatsphäre-Einstellung und Funktion können andere angemeldete Nutzer insbesondere folgende Daten sehen:

  • Profilinformationen (z. B. Name/Username, Profilbild, Beschreibung, Sportbezug, Stadt)
  • von dir erstellte Eventinformationen
  • Interaktionsdaten, soweit funktional erforderlich (z. B. Teilnahme-/Follow-Status)

Nicht für andere Nutzer vorgesehen sind insbesondere private Profildaten (z. B. Telefonnummer, exakter Standort aus privaten Tabellen), sofern nicht von dir aktiv in Inhalten freigegeben.

3.3 Dienstespezifische Dokumentation

  • dashserv Impressum: https://dashserv.io/legal/impressum
  • dashserv Datenschutz: https://dashserv.io/legal/datenschutz
  • Firebase Analytics: https://firebase.google.com/docs/analytics
  • Firebase Analytics Data Collection: https://firebase.google.com/docs/analytics/configure-data-collection
  • Umami: https://umami.is/
  • Umami Docs: https://umami.is/docs
  • Google Maps Platform Terms: https://cloud.google.com/maps-platform/terms
  • Google Datenschutzerklärung: https://policies.google.com/privacy
  • Komoot Photon API: https://photon.komoot.io/
  • Komoot Datenschutz: https://www.komoot.com/de-de/privacy
  • Supabase Data Processing Addendum (nur bei managed Supabase-Komponenten): https://supabase.com/legal/dpa
  • Supabase Terms (nur bei managed Supabase-Komponenten): https://supabase.com/terms

4. Drittlandübermittlungen

Soweit Daten an Empfänger ausserhalb der EU/des EWR übermittelt werden (z. B. durch globale Cloud- oder Push/Analyse-Dienste), erfolgt dies nur unter Beachtung der DSGVO-Vorgaben, insbesondere auf Basis:

  • Angemessenheitsbeschlüssen (soweit vorhanden)
  • Standardvertragsklauseln (SCC) und zusätzlicher Schutzmassnahmen

Bei Google/Firebase kann eine Verarbeitung in den USA nicht ausgeschlossen werden.
Bei eingebundenen Karten-/Geosuchdiensten (z. B. Google Maps Plattform, Komoot Photon API, Apple/Google-Geocoding) kann eine Verarbeitung ausserhalb der EU je nach Dienstkonfiguration ebenfalls nicht vollständig ausgeschlossen werden.
Beim self-hosted Betrieb von Umami unter analytics.movana.app erfolgt die Verarbeitung grundsätzlich über die von uns kontrollierte Hosting-Infrastruktur in Deutschland/EU.

Im self-hosted Betrieb bei einem deutschen Hoster erfolgt die Kernverarbeitung des App-Backends grundsätzlich in Deutschland/EU; Drittlandtransfers können dennoch über eingebundene Drittanbieter-Dienste (z. B. Push, Analytics, Geocoding) entstehen.

5. Speicherdauer und Löschung

Derzeit gelten folgende Aufbewahrungsregeln:

  1. Kontodaten (Auth/Account)
  • Speicherung: bis Konto-Löschung
  1. Profil-, Event-, Teilnahme-, Follow- und Chatdaten
  • Speicherung: bis inhaltliche Löschung durch Nutzer oder Konto-Löschung
  • Hinweis: Technische Wiederherstellungsdaten in Backups können noch für eine begrenzte Zeit fortbestehen (siehe Punkt 6)
  1. Moderationsdaten (Reports/Blocklisten)
  • Speicherung: bis Wegfall des Moderationszwecks und darüber hinaus nur, soweit zur Rechtsdurchsetzung/Missbrauchsprävention erforderlich
  • Regel: regelmäßige Prüfung auf Erforderlichkeit
  1. Push-Token
  • Speicherung: bis Tokenwechsel, Logout, Deaktivierung oder Konto-Löschung
  1. Lokale App-Daten auf dem Endgerät
  • Speicherung: bis App-Löschung, Cache-Löschung oder Zurücksetzen durch den Nutzer
  1. Server-Logs und Backups (self-hosted Betrieb)
  • konkrete Fristen:
  • Log-Retention: nach Erforderlichkeit für Betriebssicherheit und Fehleranalyse
  • Backup-Retention: nach Erforderlichkeit für Ausfallsicherheit und Wiederherstellung
  1. Analytics-Daten (Google/Firebase)
  • Speicherung: gemäß den Einstellungen im eingesetzten Firebase-/Google-Analytics-Projekt
  • konkrete Retention:
  • gemäß der im eingesetzten Firebase-/Google-Analytics-Projekt hinterlegten Retention-Einstellung
  1. Analytics-Daten (Website/Umami)
  • Speicherung: gemäß der in der selbst betriebenen Umami-Instanz konfigurierten Aufbewahrungsdauer
  • konkrete Retention:
  • gemäß lokaler Retention-Konfiguration der Instanz analytics.movana.app

6. Pflicht zur Bereitstellung von Daten

  1. Für Registrierung und vertragliche Nutzung sind bestimmte Daten erforderlich (insbesondere E-Mail-Adresse, Login-/Sessiondaten sowie notwendige Basisdaten für Kontoführung).
  2. Ohne diese Pflichtdaten kann kein Nutzerkonto bereitgestellt oder aufrechterhalten werden.
  3. Zusätzliche Angaben (z. B. Profilbeschreibung, Bilder, optionale Standort-/Kontaktdaten) sind grundsätzlich freiwillig, können aber für einzelne Funktionen erforderlich sein.

7. Deine Rechte

Du hast nach der DSGVO insbesondere folgende Rechte:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung deiner Rechte kontaktiere uns unter: info@movana.app.

7.1 Widerruf und Opt-out in der Praxis

  1. Push-Benachrichtigungen:
  • Widerruf über die Betriebssystem-Einstellungen (iOS/Android) und zusätzlich über App-Funktionen, soweit vorhanden.
  1. Standortberechtigungen:
  • Widerruf jederzeit über die Betriebssystem-Einstellungen.
  1. Analytics-Einwilligung:
  • Widerruf sollte über ein In-App-Consent-Management möglich sein.
  • Falls noch kein Consent-Management implementiert ist, besteht diesbezüglich ein Umsetzungsbedarf.
  1. Website-Analyse (Umami):
  • Du kannst die Erfassung über Browser-/Geräteeinstellungen (z. B. Script-Blocker oder deaktiviertes JavaScript) technisch unterbinden.

8. Beschwerderecht bei einer Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat deines gewöhnlichen Aufenthalts, deines Arbeitsplatzes oder des Orts des mutmasslichen Verstosses.

Zuständige Aufsichtsbehörde:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestr. 2-4
40213 Düsseldorf
Deutschland
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Web: https://www.ldi.nrw.de/

9. Automatisierte Entscheidungsfindung und Matching

Movana nutzt regelbasierte Bewertungs- und Matchinglogiken (z. B. zur Vorschlagserstellung von Sportpartnern/Events). Es findet keine ausschliesslich automatisierte Entscheidung im Sinne von Art. 22 DSGVO statt, die dir gegenüber rechtliche Wirkung entfaltet oder dich in vergleichbarer Weise erheblich beeinträchtigt.

10. Datensicherheit

Wir treffen technische und organisatorische Massnahmen nach dem Stand der Technik, um personenbezogene Daten gegen Verlust, Missbrauch und unbefugten Zugriff zu schützen.

11. Konto-Löschung

Du kannst dein Konto in den App-Einstellungen löschen. Dabei werden zugeordnete Daten nach den technischen und gesetzlichen Vorgaben entfernt bzw. gesperrt, soweit keine Aufbewahrungspflichten oder berechtigten Gründe entgegenstehen.

Hinweis zu Analytics-Daten:

  • App-bezogene Analytics-Daten können in Systemen von Google/Firebase nach deren technischen Prozessen und konfigurierten Aufbewahrungsfristen fortbestehen.
  • Website-bezogene Umami-Daten sind in der Regel nicht direkt konto-bezogen und werden gemäß lokaler Umami-Retention gelöscht.

12. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich rechtliche, technische oder produktbezogene Rahmenbedingungen ändern. Es gilt die jeweils aktuelle, in der App oder auf movana.app/datenschutz veröffentlichte Fassung.