Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit NexoWOD ist:

NexoWOD eine Marke von: Rene Kopplin codevale web & it Am Bautzenwald 10/1 74229 Oedheim / DE E-Mail: contact@codevale.de

2. Arten der verarbeiteten Daten

Wir verarbeiten insbesondere folgende Kategorien personenbezogener Daten, soweit Sie uns diese im Rahmen der Nutzung von NexoWOD zur Verfügung stellen oder diese technisch anfallen:

• Stammdaten (z.B. Name, Vorname, E-Mail-Adresse, Passwort-Hash, Support-Code)
• Authentifizierungsdaten für Passkeys/WebAuthn (falls aktiviert): Credential-ID, öffentlicher Schlüssel (Public Key) und technische Metadaten (z.B. AAGUID/Authenticator-Typ, Zeitstempel der letzten Nutzung). Biometrische Merkmale (z.B. Fingerabdruck/Face-ID) werden nicht von uns verarbeitet oder gespeichert; die Verifikation erfolgt lokal auf Ihrem Gerät durch Betriebssystem/Browser.
• Vertrags- und Mitgliedsdaten (z.B. Box-Zugehörigkeit, Mitgliedschaften, Tarife, Trainingspläne)
• Nutzungsdaten (z.B. Logins, gebuchte Klassen, Check-ins, Chatnachrichten in der Box-Community, Beiträge/Kommentare/Reaktionen im Community-Feed, Support-Kommunikation)
• Technische Daten (z.B. IP-Adresse, Browser-Typ, Betriebssystem, Zeitstempel, Geräteinformationen)
• Bei Nutzung der Android-App zusätzlich App- und Geräteinformationen (z.B. App-Version, Push-Token, Android-Berechtigungsstatus), optional ausgewählter Android-Kalender sowie optional freigegebene Health-Connect-Daten (z.B. Schritte, Distanz, Kalorien, Herzfrequenz, Trainings- und Körpermessdaten).
• Abrechnungs- und Zahlungsdaten, soweit notwendig (z.B. Angaben zu gebuchten Paketen; Zahlungsabwicklung erfolgt in der Regel über externe Zahlungsdienstleister)

3. Zwecke der Verarbeitung und Rechtsgrundlagen

Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken gemäß Art. 6 DSGVO:

• Bereitstellung und Betrieb der NexoWOD-Plattform, Nutzerkonto-Verwaltung und Authentifizierung (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung)
• Optionale passwortlose Anmeldung per Passkeys/WebAuthn (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung; zusätzlich Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an einer sicheren Authentifizierung)
• Organisation und Verwaltung von Kursen, Mitgliedschaften, Trainingsplänen und Box-Verwaltung (Art. 6 Abs. 1 lit. b DSGVO)
• Kommunikation innerhalb der Box-Community (Chat, Community-Feed, Benachrichtigungen), Support-Anfragen und Service-Kommunikation (Art. 6 Abs. 1 lit. b und f DSGVO)
• Sicherheit der Systeme, Fehleranalyse, Missbrauchs- und Betrugserkennung (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an einem sicheren und stabilen Betrieb)
• Bereitstellung optionaler nativer Funktionen der Android-App wie Push-Benachrichtigungen, Kalenderintegration und Health Connect (Art. 6 Abs. 1 lit. a und b DSGVO; für Gesundheitsdaten zusätzlich Ihre ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO).
• Erfüllung gesetzlicher Pflichten (z.B. handels- und steuerrechtliche Aufbewahrungspflichten) (Art. 6 Abs. 1 lit. c DSGVO).

Soweit wir Sie im Einzelfall um Ihre Einwilligung bitten (z.B. für optionale Marketing-E-Mails oder bestimmte Cookies), erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Cookies & Einwilligungsverwaltung: Wir setzen technisch notwendige Cookies für die Bereitstellung, Sicherheit, Spracheinstellungen und Sitzungsverwaltung der Plattform ein. Zusätzlich können wir – nur nach Ihrer ausdrücklichen Einwilligung – Google Analytics 4 einsetzen, um Reichweite, Nutzung und technische Performance unserer Website auszuwerten. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. a DSGVO.

Wenn Sie in den Cookie-Einstellungen zustimmen, können dabei insbesondere Cookies wie `_ga` und ähnliche Kennungen gesetzt sowie Nutzungsdaten (z.B. aufgerufene Seiten, ungefähre Region, technische Informationen zum Browser/Gerät und gekürzte IP-Adresse) an Google übermittelt werden. Empfänger der Analytics-Daten sind insbesondere Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, sowie im Rahmen konzerninterner Verarbeitung auch Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft über die untenstehenden Cookie-Einstellungen widerrufen oder ändern. Wir fragen diese Einwilligung spätestens nach 12 Monaten erneut ab.

4. Community-Funktionen (Feed, Direktnachrichten, Freunde, Leaderboard & Push)

Wir verarbeiten Daten, um Community-Funktionen bereitzustellen: den Community-Feed mit Beiträgen, Kommentaren, Reaktionen, Fistbumps und optionalen Bild-/Profilmedien, Direktnachrichten zwischen Mitgliedern, Freundesbeziehungen, Leaderboard-Anzeigen und Push-Benachrichtigungen.

• Datenkategorien: Feed-Inhalte und Metadaten (Beiträge, Kommentare, Reaktionen, Fistbumps, Zeitstempel, Sichtbarkeits-/Beziehungsbezug), optional hochgeladene Feed-Bilder sowie freigegebene Profilmedien im Feed, DM-Inhalt und Metadaten (Absender/Empfänger, Zeitstempel, Lesestatus), Freundesbeziehungen, Leaderboard-Daten (Name/Profil und Leistungswerte), Push-Subscription (Endpoint/Keys).
• Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an Community-Funktionen; Widerspruch möglich. Soweit Feed-Beiträge, Kommentare oder Uploads von Ihnen aktiv erstellt werden, erfolgt die Verarbeitung zusätzlich zur Erfüllung der von Ihnen angeforderten Funktion bzw. Ihres Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO). Push-Benachrichtigungen auf Basis einer Einwilligung (Opt‑in), jederzeit widerrufbar.
• Speicherdauer: Feed-Beiträge, Kommentare, Reaktionen und Fistbumps bleiben grundsätzlich gespeichert, bis sie von Ihnen gelöscht werden, die zugrunde liegende Beziehung/Funktion entfällt oder Ihr Konto gelöscht wird, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Gelesene Direktnachrichten werden in der Regel nach 14 Tagen automatisch gelöscht. Ungelesene bleiben bis zum Lesen gespeichert. Freundesbeziehungen bis Widerruf/Entfernung; Leaderboard-Daten bis Opt‑out oder Kontolöschung; Push-Subscriptions bis Widerruf oder Inaktivität.
• Sicherheit: Transportverschlüsselung (TLS) und serverseitige Verschlüsselung gespeicherter Direktnachrichten (AES‑256‑GCM). Keine Ende‑zu‑Ende‑Verschlüsselung.
• Sichtbarkeit & Opt‑outs: Der Community-Feed ist nur für berechtigte Nutzer innerhalb der Community-/Freundes-Funktion sichtbar; Feed-Inhalte, Kommentare und Reaktionen sind für Nutzer sichtbar, die den jeweiligen Beitrag im Rahmen der App sehen dürfen. Leaderboard ist für Mitglieder der jeweiligen Box sichtbar; anonyme Anzeige/Opt‑out möglich. Direktnachrichten sind nur für beteiligte Nutzer sichtbar; Erreichbarkeit kann eingeschränkt werden (z.B. nur Freunde). Push-Opt‑in kann jederzeit widerrufen werden.

5. Android-App, Google Play, Kalender & Health Connect

Neben der browserbasierten Nutzung stellen wir NexoWOD auch als Android-App bereit. Die App lädt die NexoWOD-Plattform in einer abgesicherten WebView und ergänzt diese um native Android-Funktionen. Dabei fallen zusätzlich technische App- und Geräteinformationen an, insbesondere App-Version, Berechtigungsstatus, Push-Token und gegebenenfalls ausgewählte lokale Einstellungen auf dem Gerät.

• Google Play: Beim Download, bei Updates und der Verteilung der Android-App verarbeitet Google als Betreiber des Google Play Store eigene technische Daten. Auf diese Verarbeitung haben wir nur begrenzten Einfluss; ergänzend gelten die Datenschutzinformationen von Google.
• Android-Push: Wenn Sie Push-Benachrichtigungen in der Android-App aktivieren, wird ein gerätespezifischer Firebase-Token verarbeitet und an unsere Server übermittelt, damit Benachrichtigungen an Ihr Gerät zugestellt werden können. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
• Android-Kalender: Wenn Sie den Kalenderzugriff aktivieren, liest die App die auf dem Gerät verfügbaren Kalender aus und speichert die Auswahl des gewünschten Zielkalenders. Gebuchte Kurse können anschließend direkt in den ausgewählten Android-Kalender eingetragen werden. Rechtsgrundlage ist Ihre Einwilligung bzw. Ihre Anforderung zur Nutzung dieser Funktion (Art. 6 Abs. 1 lit. a und b DSGVO).
• Health Connect: Wenn Sie Health Connect verbinden und die entsprechenden Berechtigungen erteilen, liest NexoWOD die von Ihnen freigegebenen Gesundheits- und Workout-Daten direkt auf dem Gerät aus. Je nach Freigabe können hierzu insbesondere Schritte, Distanz, aktive und gesamte Kalorien, Trainings-/Exercise-Sessions, Herzfrequenz, Gewicht und Körperfett gehören. Diese Verarbeitung erfolgt ausschließlich auf Basis Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a i.V.m. Art. 9 Abs. 2 lit. a DSGVO).
• Widerruf & Kontrolle: Android-Berechtigungen für Push, Kalender und Health Connect können Sie jederzeit in der App oder in den Android-Systemeinstellungen widerrufen. Bereits gespeicherte Push-Geräte können Sie in Ihrem Profil entfernen; lokale Kalendereinträge und Health-Connect-Freigaben verwalten Sie zusätzlich direkt auf Ihrem Gerät.

6. Empfänger der Daten

Wir geben Ihre personenbezogenen Daten nur an Dritte weiter, soweit dies für die genannten Zwecke erforderlich ist, eine gesetzliche Verpflichtung besteht oder Sie eingewilligt haben. Mögliche Kategorien von Empfängern sind insbesondere:

• Box-Betreiber und Coaches, soweit dies zur Verwaltung Ihrer Mitgliedschaft und zur Durchführung von Kursen erforderlich ist
• IT-Dienstleister sowie Hosting- und Storage-Provider (insbesondere Hetzner Online GmbH), die wir für den Betrieb unserer Root-Server und die Speicherung von Bilddateien (z.B. Avatare, Box- und Chat-Bilder) einsetzen
• Content Delivery Network (CDN) BunnyCDN (BunnyWay d.o.o.) zur Auslieferung und Zwischenspeicherung von Bilddateien, um Ladezeiten und Verfügbarkeit zu verbessern. Dabei können technisch notwendige Zugriffsdaten (z.B. angeforderte URL, Zeitstempel, User-Agent sowie eine anonymisierte/gekürzte IP-Adresse) verarbeitet werden. Wir nutzen ausschließlich EU-Standorte; Server-Logs sind deaktiviert (keine dauerhafte Speicherung von Zugriffslogs).
• Webanalyse mit Google Analytics 4, angeboten von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Empfänger der Daten ist Google Ireland Limited; im Rahmen der Leistungserbringung kann auch Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, Zugriff auf die Daten erhalten.
• Google Ireland Limited / Google LLC, soweit dies technisch für die Verteilung der Android-App über Google Play sowie für Android-Push-Benachrichtigungen über Firebase Cloud Messaging erforderlich ist.
• YouTube / Google Ireland Limited / Google LLC, soweit im Members-Stream eingebettete YouTube-Videos ueber die Domain youtube-nocookie.com geladen werden. Beim Laden des Players koennen insbesondere IP-Adresse, Browser-/Geraeteinformationen und Nutzungsdaten an YouTube bzw. Google uebermittelt werden.
• Zahlungsdienstleister, sofern Sie kostenpflichtige Leistungen in Anspruch nehmen
• Zahlungsdienstleister Stripe (Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland) zur Abwicklung von Zahlungen (z.B. Mitgliedsbeiträge, Buchungen). Hierbei werden insbesondere Identifikations-, Vertrags- und Zahlungsdaten an Stripe übermittelt, soweit dies zur Durchführung der Transaktion erforderlich ist. Weitere Informationen zur Datenverarbeitung durch Stripe finden Sie in der Datenschutzerklärung von Stripe unter https://stripe.com/de/privacy.
• Berater (z.B. Steuerberater), soweit erforderlich

7. Kartendienste & Geocoding (OpenStreetMap)

Wir nutzen Daten von OpenStreetMap (OSM) für die Kartendarstellung und Geocoding-Funktionen (z. B. Anzeige von Box-Standorten, Umkreissuche, Wegbeschreibungen).

• DSGVO-konform: Kartenkacheln und der Kartenviewer werden von uns selbst in der EU/EWR gehostet (z. B. auf eigener Infrastruktur/Hetzner). Es werden keine Drittanbieter-Cookies gesetzt und keine Tracking-Skripte geladen.
• Geocoding: Die Anfragen erfolgen vorzugsweise über von uns kontrollierte Infrastruktur. Sofern aus technischen Gründen die OSM-Infrastruktur genutzt wird, übertragen wir ausschließlich die zur Geokodierung notwendigen Suchbegriffe (z. B. Stadt-/Adressangaben). Personenbezogene Nutzungsprofile werden nicht erstellt.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer komfortablen Standortsuche und Darstellung von Trainingsorten). Geben Sie eine Adresse zur konkreten Anfahrtsplanung ein, kann die Verarbeitung zudem der Vertragserfüllung bzw. vorvertraglichen Maßnahmen dienen (Art. 6 Abs. 1 lit. b DSGVO).
• Speicherung: Technische Protokolle zur Sicherstellung des Betriebs (z. B. Fehlermeldungen) werden nur kurzfristig gespeichert und anschließend gelöscht oder anonymisiert.

8. Web-Push-Benachrichtigungen

Wenn Sie Push-Benachrichtigungen aktivieren, wird ein gerätespezifisches Token (Endpoint) gespeichert, um Nachrichten an Ihr Gerät zu senden. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können die Einwilligung jederzeit in den Einstellungen oder über die Browser-Systemeinstellungen widerrufen.

9. Datenübermittlung in Drittländer

Die Verarbeitung und Speicherung Ihrer Daten erfolgt derzeit ausschließlich auf Servern innerhalb der Europäischen Union. Hierzu setzen wir unter anderem Root-Server und Storage-Lösungen der Hetzner Online GmbH (Deutschland) ein. Eine Übermittlung in Drittländer (außerhalb der EU bzw. des EWR) findet grundsätzlich nicht statt, es sei denn, dies ist in dieser Datenschutzerklärung ausdrücklich angegeben oder gesetzlich vorgeschrieben.

Soweit wir den Zahlungsdienstleister Stripe einsetzen, kann eine Übermittlung personenbezogener Daten in die USA erfolgen. Stripe stützt sich hierbei u.a. auf den EU-US Data Privacy Framework bzw. auf geeignete Garantien im Sinne der Art. 44 ff. DSGVO (z.B. EU-Standardvertragsklauseln). Weitere Informationen hierzu finden Sie in den Datenschutzinformationen von Stripe. Wir achten darauf, nur die für die Zahlungsabwicklung unbedingt erforderlichen Daten zu übermitteln.

Soweit Google Analytics 4 eingesetzt wird, kann ebenfalls eine Übermittlung personenbezogener Daten in die USA erfolgen. Diese Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework, soweit Google LLC entsprechend zertifiziert ist. Ergänzend können – soweit erforderlich – weitere geeignete Garantien nach Art. 44 ff. DSGVO vereinbart werden.

Bei Nutzung der Android-App können im Zusammenhang mit Google Play und Firebase Cloud Messaging ebenfalls Daten an Google-Unternehmen übermittelt werden. Soweit hierbei Empfänger in den USA beteiligt sind, erfolgt dies auf Grundlage des EU-US Data Privacy Framework bzw. ergänzender geeigneter Garantien nach Art. 44 ff. DSGVO.

Wenn Sie im Members-Stream eingebettete YouTube-Videos aufrufen, werden Inhalte von YouTube ueber youtube-nocookie.com nachgeladen. Dabei kann es ebenfalls zu einer Uebermittlung personenbezogener Daten an Google-Unternehmen und damit in die USA kommen. Diese Verarbeitung erfolgt ausschließlich im Zusammenhang mit dem Abruf des eingebetteten Videos.

10. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie dies für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Chatnachrichten werden derzeit in der Regel nach spätestens 7 Tagen automatisiert gelöscht. Vertrags- und Abrechnungsdaten bewahren wir entsprechend der gesetzlichen Fristen (insbesondere nach Handels- und Steuerrecht) auf.

Protokolle zur Sicherheit und Fehleranalyse (z.B. Server-Logs) werden in der Regel zwischen 7 und 30 Tagen aufbewahrt und anschließend gelöscht oder anonymisiert. Backups können aus technischen Gründen bis zu 30 Tage vorgehalten werden; ein produktiver Zugriff erfolgt nur zu Wiederherstellungszwecken.

Passkeys/WebAuthn: Wir speichern Ihre registrierten Passkey-Credentials (Credential-ID/öffentlicher Schlüssel) bis Sie diese in Ihrem Konto entfernen oder Ihr Konto löschen. Technische Metadaten (z.B. letzte Nutzung) dienen der Kontosicherheit und Fehleranalyse und werden nur so lange vorgehalten, wie es hierfür erforderlich ist.

Google-Analytics-Daten speichern wir nur so lange, wie dies für Reichweitenanalyse, technische Auswertung und Vergleichszeiträume erforderlich ist. Soweit keine zwingenden Gründe entgegenstehen, orientieren wir uns an den in Google Analytics konfigurierten Aufbewahrungsfristen; Nutzer- und Ereignisdaten werden dort in der Regel nach 2 bis maximal 14 Monaten gelöscht bzw. anonymisiert. Die Speicherdauer Ihrer Consent-Entscheidung beträgt 12 Monate; danach holen wir Ihre Einwilligung erneut ein.

11. Ihre Rechte

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf:

• Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten (Art. 17 DSGVO), sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Widerspruch gegen die Verarbeitung personenbezogener Daten (Art. 21 DSGVO), soweit die Verarbeitung auf berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO beruht
• Datenübertragbarkeit (Art. 20 DSGVO), sofern die Verarbeitung auf Ihrer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt

Zur Ausübung Ihrer Rechte können Sie sich jederzeit an die oben genannten Kontaktdaten wenden. Zudem haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

12. Pflicht zur Bereitstellung von Daten

Die Bereitstellung bestimmter personenbezogener Daten ist für die Nutzung von NexoWOD und den Abschluss bzw. die Durchführung von Mitgliedschaften und Kursbuchungen erforderlich. Ohne diese Daten kann die Plattform nur eingeschränkt oder gar nicht genutzt werden. Die Angabe von Daten für optionale Funktionen (z.B. bestimmte Profilangaben oder Marketing-Kommunikation) ist freiwillig.

Passkeys/WebAuthn sind optional. Wenn Sie keine Passkeys nutzen möchten, können Sie sich weiterhin mit E-Mail/Passwort anmelden.

Kinder/Minoren: Sofern Sie Profile für Kinder hinzufügen, verarbeiten wir nur minimale Daten (z.B. Name, Geburtsdatum) zur Verwaltung von Kursen. Die Verarbeitung erfolgt im Rahmen der Mitgliedschaft durch die Erziehungsberechtigten.

13. Cookies und Tracking-Technologien

NexoWOD verwendet Cookies und ähnliche Technologien, um die Nutzung der Website und App zu ermöglichen, Sitzungen aufrechtzuerhalten und bestimmte Funktionen bereitzustellen (z.B. Login-Status, bevorzugte Sprache).

Soweit diese Cookies für den Betrieb technisch erforderlich sind, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Für nicht notwendige Cookies (z.B. Statistik- oder Marketing-Cookies), sofern solche zum Einsatz kommen, holen wir vorab Ihre Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO). Beim Einsatz von Google Analytics handelt es sich um eine Statistik-/Analyse-Technologie von Google Ireland Limited; dabei kann auch Google LLC in den USA Empfänger sein. Details zu den eingesetzten Cookies, Empfängern, Speicherdauern und Ihren Einstellungsoptionen erhalten Sie in unserem Cookie-Hinweis bzw. im entsprechenden Einstellungsbereich.

Eingebettete YouTube-Videos im Members-Stream verwenden nach Moeglichkeit den erweiterten Datenschutzmodus ueber youtube-nocookie.com. Dennoch kann YouTube beim Laden des Players oder waehrend der Wiedergabe auf Endgeraeteinformationen zugreifen oder aehnliche Technologien einsetzen, auf die wir keinen vollstaendigen Einfluss haben.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, insbesondere wenn wir neue Funktionen einführen oder gesetzliche bzw. behördliche Anforderungen sich ändern. Die jeweils aktuelle Fassung ist jederzeit in der App bzw. auf der Website abrufbar.