Datenschutzerklärung

Stand: [Datum der letzten Aktualisierung]

Hinweis zu Platzhaltern: Gelb hervorgehobene Felder sind vor der Veröffentlichung durch die tatsächlichen Angaben des Verantwortlichen zu ersetzen. Diese Datenschutzerklärung wurde sorgfältig auf Grundlage der DSGVO, des BDSG, des TDDDG und des DDG (Stand 2026) erstellt; eine anwaltliche oder datenschutzrechtliche Einzelfallprüfung wird dennoch empfohlen.

Wir freuen uns über dein Interesse an unserer Website und unserer mobilen Anwendung „Sponti" (nachfolgend zusammen „Sponti" oder „Dienst"). Der Schutz deiner personenbezogenen Daten ist uns wichtig. Nachfolgend informieren wir dich gemäß Art. 13, 14 der Datenschutz-Grundverordnung (DSGVO) und den ergänzenden Bestimmungen des Bundesdatenschutzgesetzes (BDSG) sowie des Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (TDDDG) über die Verarbeitung deiner personenbezogenen Daten.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und in der Sponti-App im Sinne des Art. 4 Nr. 7 DSGVO ist:

[Vollständiger Name / Firma inkl. Rechtsform]
[Straße und Hausnummer]
[Postleitzahl und Ort]
Deutschland
Telefon: [Telefonnummer]
E-Mail: [E-Mail-Adresse für Datenschutzanfragen]

2. Datenschutzbeauftragte:r

Falls gesetzlich vorgeschrieben (insb. § 38 BDSG) einzufügen; andernfalls kann dieser Abschnitt entfallen.
[Name, Anschrift und Kontaktdaten des/der Datenschutzbeauftragten]

3. Begriffsbestimmungen

Diese Datenschutzerklärung verwendet die Begriffe aus Art. 4 DSGVO (u. a. „personenbezogene Daten", „Verarbeitung", „Verantwortlicher", „Auftragsverarbeiter", „Einwilligung", „Empfänger", „Dritter"). Eine verständliche Übersicht findest du auf der Website der Europäischen Union unter eur-lex.europa.eu.

4. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten nur auf einer der folgenden Rechtsgrundlagen:

Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z. B. Standortfreigabe, Push-Benachrichtigungen);
Art. 6 Abs. 1 lit. b DSGVO — Erfüllung oder Anbahnung eines Vertrags (z. B. Bereitstellung der App-Funktionen nach Registrierung);
Art. 6 Abs. 1 lit. c DSGVO — Erfüllung einer rechtlichen Verpflichtung (z. B. steuerliche Aufbewahrungspflichten);
Art. 6 Abs. 1 lit. f DSGVO — Wahrung berechtigter Interessen (z. B. IT-Sicherheit, Missbrauchsabwehr);
§ 25 Abs. 1 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO — Zugriff auf oder Speicherung von Informationen auf Endgeräten (z. B. Push-Token).

5. Datenverarbeitung beim Besuch unserer Website

5.1 Server-Logfiles

Beim Aufruf unserer Website werden durch den eingesetzten Browser automatisch Informationen an den Server unseres Hosters übermittelt und temporär in sogenannten Logfiles gespeichert. Folgende Daten werden dabei ohne dein Zutun erfasst und bis zur automatisierten Löschung gespeichert:

IP-Adresse des anfragenden Endgeräts (gekürzt/anonymisiert, soweit technisch möglich),
Datum und Uhrzeit des Zugriffs,
Name und URL der abgerufenen Datei,
Website, von der aus der Zugriff erfolgt (Referrer-URL),
verwendeter Browser und ggf. das Betriebssystem deines Endgeräts sowie der Name deines Access-Providers,
HTTP-Statuscode und übertragene Datenmenge.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Gewährleistung eines störungsfreien Verbindungsaufbaus, einer komfortablen Nutzung, der Auswertung der Systemsicherheit und -stabilität sowie der Abwehr von Angriffen. Die Daten werden spätestens nach 14 Tagen gelöscht, es sei denn, eine weitere Speicherung ist zu Beweiszwecken erforderlich.

5.2 Hosting der Website

Unsere Website wird bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, gehostet. Alle Verarbeitungen finden ausschließlich auf Servern innerhalb der Bundesrepublik Deutschland statt. Mit Hetzner besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am technisch sicheren Betrieb).

5.3 Cookies und lokale Speicherung

Unsere Website verwendet keine Cookies zu Analyse- oder Werbezwecken. Ein Einwilligungsbanner ist daher nicht erforderlich. Technisch zwingend notwendige Speichervorgänge (z. B. kurzfristige Session-Informationen) sind gemäß § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei.

6. Datenverarbeitung bei Nutzung der Sponti-App

Zur Erbringung der App-Funktionen verarbeiten wir die nachfolgend aufgeführten Daten. Rechtsgrundlage ist, soweit nicht anders angegeben, Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6.1 Account- und Profildaten

bei Registrierung mit E-Mail: E-Mail-Adresse, gewählter Anzeigename, verschlüsselt gespeichertes Passwort (wir selbst haben keine Kenntnis des Klartextes);
bei „Mit Google anmelden": E-Mail-Adresse, Anzeigename und — soweit freigegeben — Profilbild-URL;
eindeutige Nutzer-ID (UID), erzeugt durch Firebase Authentication;
vierstelliger Sponti-Freundescode, den du mit deinen Kontakten teilen kannst.

6.2 Inhalte (Spontis)

von dir erstellte Spontis (Titel, Uhrzeit, optional Ort und Beschreibung);
Reaktionen auf Spontis deiner Freunde („Dabei“, „Doch nicht dabei“);
optional angegebener Absagegrund.

6.3 Standortdaten

Sponti greift auf deinen Standort nur dann zu, wenn du der App hierfür die Berechtigung erteilst (iOS-Systemdialog) und wenn du einen Ort aktiv in einem Sponti teilst oder die Karte auf deine Position zentrierst. Ein permanentes Hintergrund-Tracking findet nicht statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie § 25 Abs. 1 TDDDG. Die Einwilligung kannst du jederzeit in den iOS-Einstellungen widerrufen.

6.4 Freundeskreis

Sponti verfügt über kein Verzeichnis und keine Adressbuch-Synchronisation. Freundschaften entstehen ausschließlich durch Eingabe eines Freundescodes. Gespeichert wird ausschließlich die Verknüpfung zweier Nutzer-IDs.

6.5 Push-Benachrichtigungen

Sofern du Push-Benachrichtigungen in der App aktivierst, übermitteln wir den von Apple ausgegebenen Gerätetoken (APNs) an unseren Backend-Dienst, um dir Hinweise zu Spontis deiner Freunde senden zu können. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 25 Abs. 1 TDDDG. Du kannst die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem du Benachrichtigungen in den iOS-Einstellungen deaktivierst.

6.6 Diagnose- und Stabilitätsdaten

Zur Behebung technischer Fehler verarbeiten wir in begrenztem Umfang Absturz- und Stabilitätsberichte (z. B. betroffene Code-Stelle, iOS-Version, Gerätemodell). Diese Daten enthalten keine Inhalte deiner Spontis und keinen Standort. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen Dienst).

7. Empfänger und Auftragsverarbeiter

Eine Weitergabe deiner Daten an Dritte erfolgt nur, soweit dies zur Erbringung des Dienstes erforderlich ist, du eingewilligt hast oder wir hierzu gesetzlich verpflichtet sind. Folgende sorgfältig ausgewählte Auftragsverarbeiter unterstützen uns:

7.1 Google Firebase (Authentication, Firestore, Storage)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (im Auftrag für die Google LLC, USA). Die App nutzt Firebase für die Nutzer-Authentifizierung, die Datenbank und den Dateispeicher. Die Datenhaltung erfolgt in der Region europe-west10 (Berlin, Deutschland). Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Trotz Serverstandort in der EU kann ein Zugriff durch die US-amerikanische Muttergesellschaft nicht vollständig ausgeschlossen werden; Übermittlungen in die USA erfolgen ausschließlich auf Grundlage des EU-US Data Privacy Framework (Adequacy Decision vom 10. Juli 2023) sowie ergänzend auf Grundlage der EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914). Weitere Informationen: firebase.google.com/support/privacy.

7.2 Apple MapKit

Anbieter: Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland. Zur Darstellung der Karte, zur Standortsuche und zum Laden von Karteninhalten kommuniziert die App mit Apples MapKit-Diensten. Dabei werden insbesondere IP-Adresse und Kartenausschnitt an Apple übermittelt. Apple anonymisiert entsprechende Anfragen laut eigenen Angaben; Sponti erhält von Apple keine personenbezogenen Auswertungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Weitere Informationen: apple.com/legal/privacy/data/en/maps-services.

7.3 Apple App Store (Vertrieb der App)

Download, Installation und Aktualisierung der App erfolgen über den Apple App Store, betrieben durch Apple Distribution International Ltd., Irland. Die bei der Installation und beim Betrieb anfallenden Daten (z. B. Apple-ID, IP-Adresse, Download-Zeitpunkt, Gerät) werden ausschließlich durch Apple verarbeitet; Sponti hat hierauf keinen Einfluss. Näheres: Apple-Datenschutzrichtlinie unter apple.com/legal/privacy.

7.4 „Mit Google anmelden" (Google Sign-In)

Nutzt du die Option „Mit Google anmelden", erfolgt die Authentifizierung über Google Ireland Limited. Google erhält dabei die Information, dass und zu welchem Zeitpunkt du dich bei Sponti anmeldest, sowie die technische Kommunikationskennung. Sponti erhält die in Abschnitt 6.1 genannten Profildaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Die Nutzung ist optional.

8. Drittlandübermittlung

Eine Übermittlung personenbezogener Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums findet nur unter den in Kapitel V der DSGVO geregelten Voraussetzungen statt. Soweit von unseren Auftragsverarbeitern (insbesondere Google LLC) Daten in die USA übermittelt werden, stützen wir uns auf den EU-US Data Privacy Framework-Angemessenheitsbeschluss sowie ergänzend auf EU-Standardvertragsklauseln und geeignete zusätzliche Schutzmaßnahmen (z. B. Verschlüsselung, Zugriffskontrollen, europäische Serverregion).

9. Speicherdauer

Account- und Profildaten: für die Dauer des bestehenden Nutzungsverhältnisses;
Spontis und Reaktionen: bis zur Löschung durch dich bzw. spätestens 90 Tage nach Ablauf des geplanten Treffens;
Server-Logfiles: maximal 14 Tage;
Diagnose- und Stabilitätsdaten: maximal 90 Tage;
Steuerlich oder handelsrechtlich aufbewahrungspflichtige Daten: bis zu 10 Jahre (§ 147 AO, § 257 HGB).

Nach Ablauf der Speicherdauer bzw. nach Accountlöschung werden die betroffenen Daten binnen 30 Tagen unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

10. Kinder und Jugendliche

Sponti richtet sich nicht an Kinder unter 16 Jahren. Erziehungsberechtigte sollten die Nutzung durch Minderjährige begleiten. Sofern wir Kenntnis erlangen, dass ein Account von einer Person unter 16 Jahren ohne Zustimmung der Erziehungsberechtigten angelegt wurde, löschen wir diesen unverzüglich.

11. Automatisierte Entscheidungsfindung, Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO einschließlich Profiling findet nicht statt.

12. Werbung, Tracking, Verkauf von Daten

Sponti verwendet keine Werbung, kein Drittanbieter-Tracking, keine Analyse-Cookies und keine Identifier for Advertisers (IDFA). Wir verkaufen keine personenbezogenen Daten an Dritte.

13. Datensicherheit

Alle Verbindungen zwischen App, Website und unseren Backend-Systemen sind mittels Transport Layer Security (TLS, mind. 1.2) verschlüsselt. Passwörter werden ausschließlich als kryptographischer Hash gespeichert (über Firebase Authentication). Wir treffen nach dem Stand der Technik angemessene technische und organisatorische Maßnahmen (Art. 32 DSGVO) zum Schutz vor Verlust, Zerstörung, Zugriff, Veränderung oder Weitergabe.

14. Deine Rechte als betroffene Person

Dir stehen nach der DSGVO die folgenden Rechte zu:

Recht auf Auskunft (Art. 15 DSGVO),
Recht auf Berichtigung (Art. 16 DSGVO),
Recht auf Löschung (Art. 17 DSGVO),
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
Recht auf Widerspruch (Art. 21 DSGVO),
Recht auf jederzeitigen Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO),
Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO), insbesondere beim für deinen Wohnsitz zuständigen Landesdatenschutzbeauftragten.

Zur Ausübung deiner Rechte genügt eine formlose Mitteilung an den in Abschnitt 1 genannten Verantwortlichen. Zusätzlich kannst du deinen Account jederzeit in der App unter Profil → Account löschen vollständig entfernen; sämtliche zugehörigen personenbezogenen Daten werden dadurch innerhalb der in Abschnitt 9 genannten Frist gelöscht.

15. Widerspruchsrecht gegen Verarbeitungen auf Grundlage berechtigter Interessen

Soweit wir Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, kannst du hiergegen aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit Widerspruch einlegen. Wir verarbeiten die Daten sodann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die deine Interessen, Rechte und Freiheiten überwiegen.

16. Pflicht zur Bereitstellung von Daten

Die Bereitstellung deiner Daten ist weder gesetzlich noch vertraglich verpflichtend. Ohne Angabe einer E-Mail-Adresse und die Vergabe eines Passworts bzw. ohne Nutzung von „Mit Google anmelden" kann jedoch kein Account erstellt und die App nicht genutzt werden.

17. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage, die Technik oder unsere Dienstleistungen ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar. Bei wesentlichen Änderungen informieren wir aktive Nutzer:innen zusätzlich per App-Benachrichtigung oder E-Mail.

Datenschutz­erklärung