Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit NexoWOD ist:

NexoWOD eine Marke von: Rene Kopplin codevale web & it Am Bautzenwald 10/1 74229 Oedheim / DE E-Mail: contact@codevale.de

2. Arten der verarbeiteten Daten

Wir verarbeiten insbesondere folgende Kategorien personenbezogener Daten, soweit Sie uns diese im Rahmen der Nutzung von NexoWOD zur Verfügung stellen oder diese technisch anfallen:

• Stammdaten (z.B. Name, Vorname, E-Mail-Adresse, Passwort-Hash, Support-Code)
• Authentifizierungsdaten für Passkeys/WebAuthn (falls aktiviert): Credential-ID, öffentlicher Schlüssel (Public Key) und technische Metadaten (z.B. AAGUID/Authenticator-Typ, Zeitstempel der letzten Nutzung). Biometrische Merkmale (z.B. Fingerabdruck/Face-ID) werden nicht von uns verarbeitet oder gespeichert; die Verifikation erfolgt lokal auf Ihrem Gerät durch Betriebssystem/Browser.
• Vertrags- und Mitgliedsdaten (z.B. Box-Zugehörigkeit, Mitgliedschaften, Tarife, Trainingspläne)
• Nutzungsdaten (z.B. Logins, gebuchte Klassen, Check-ins, Chatnachrichten in der Box-Community, Support-Kommunikation)
• Technische Daten (z.B. IP-Adresse, Browser-Typ, Betriebssystem, Zeitstempel, Geräteinformationen)
• Abrechnungs- und Zahlungsdaten, soweit notwendig (z.B. Angaben zu gebuchten Paketen; Zahlungsabwicklung erfolgt in der Regel über externe Zahlungsdienstleister)

3. Zwecke der Verarbeitung und Rechtsgrundlagen

Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken gemäß Art. 6 DSGVO:

• Bereitstellung und Betrieb der NexoWOD-Plattform, Nutzerkonto-Verwaltung und Authentifizierung (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung)
• Optionale passwortlose Anmeldung per Passkeys/WebAuthn (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung; zusätzlich Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an einer sicheren Authentifizierung)
• Organisation und Verwaltung von Kursen, Mitgliedschaften, Trainingsplänen und Box-Verwaltung (Art. 6 Abs. 1 lit. b DSGVO)
• Kommunikation innerhalb der Box-Community (Chat, Benachrichtigungen), Support-Anfragen und Service-Kommunikation (Art. 6 Abs. 1 lit. b und f DSGVO)
• Sicherheit der Systeme, Fehleranalyse, Missbrauchs- und Betrugserkennung (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an einem sicheren und stabilen Betrieb)
• Erfüllung gesetzlicher Pflichten (z.B. handels- und steuerrechtliche Aufbewahrungspflichten) (Art. 6 Abs. 1 lit. c DSGVO).

Soweit wir Sie im Einzelfall um Ihre Einwilligung bitten (z.B. für optionale Marketing-E-Mails oder bestimmte Cookies), erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Cookies & Einwilligungsverwaltung: Wir setzen technisch notwendige Cookies für die Bereitstellung, Sicherheit, Spracheinstellungen und Sitzungsverwaltung der Plattform ein. Zusätzlich können wir – nur nach Ihrer ausdrücklichen Einwilligung – Google Analytics 4 einsetzen, um Reichweite, Nutzung und technische Performance unserer Website auszuwerten. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. a DSGVO.

Wenn Sie in den Cookie-Einstellungen zustimmen, können dabei insbesondere Cookies wie `_ga` und ähnliche Kennungen gesetzt sowie Nutzungsdaten (z.B. aufgerufene Seiten, ungefähre Region, technische Informationen zum Browser/Gerät und gekürzte IP-Adresse) an Google übermittelt werden. Empfänger der Analytics-Daten sind insbesondere Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, sowie im Rahmen konzerninterner Verarbeitung auch Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft über die untenstehenden Cookie-Einstellungen widerrufen oder ändern. Wir fragen diese Einwilligung spätestens nach 12 Monaten erneut ab.

4. Community-Funktionen (Direktnachrichten, Freunde, Leaderboard & Push)

Wir verarbeiten Daten, um Community-Funktionen bereitzustellen: Direktnachrichten zwischen Mitgliedern, Freundesbeziehungen, Leaderboard-Anzeigen und Push-Benachrichtigungen.

• Datenkategorien: DM-Inhalt und Metadaten (Absender/Empfänger, Zeitstempel, Lesestatus), Freundesbeziehungen, Leaderboard-Daten (Name/Profil und Leistungswerte), Push-Subscription (Endpoint/Keys).
• Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an Community-Funktionen; Widerspruch möglich. Push-Benachrichtigungen auf Basis einer Einwilligung (Opt‑in), jederzeit widerrufbar.
• Speicherdauer: Gelesene Direktnachrichten werden in der Regel nach 14 Tagen automatisch gelöscht. Ungelesene bleiben bis zum Lesen gespeichert. Freundesbeziehungen bis Widerruf/Entfernung; Leaderboard-Daten bis Opt‑out oder Kontolöschung; Push-Subscriptions bis Widerruf oder Inaktivität.
• Sicherheit: Transportverschlüsselung (TLS) und serverseitige Verschlüsselung gespeicherter Direktnachrichten (AES‑256‑GCM). Keine Ende‑zu‑Ende‑Verschlüsselung.
• Sichtbarkeit & Opt‑outs: Leaderboard ist für Mitglieder der jeweiligen Box sichtbar; anonyme Anzeige/Opt‑out möglich. Direktnachrichten sind nur für beteiligte Nutzer sichtbar; Erreichbarkeit kann eingeschränkt werden (z.B. nur Freunde). Push-Opt‑in kann jederzeit widerrufen werden.

5. Empfänger der Daten

Wir geben Ihre personenbezogenen Daten nur an Dritte weiter, soweit dies für die genannten Zwecke erforderlich ist, eine gesetzliche Verpflichtung besteht oder Sie eingewilligt haben. Mögliche Kategorien von Empfängern sind insbesondere:

• Box-Betreiber und Coaches, soweit dies zur Verwaltung Ihrer Mitgliedschaft und zur Durchführung von Kursen erforderlich ist
• IT-Dienstleister sowie Hosting- und Storage-Provider (insbesondere Hetzner Online GmbH), die wir für den Betrieb unserer Root-Server und die Speicherung von Bilddateien (z.B. Avatare, Box- und Chat-Bilder) einsetzen
• Content Delivery Network (CDN) BunnyCDN (BunnyWay d.o.o.) zur Auslieferung und Zwischenspeicherung von Bilddateien, um Ladezeiten und Verfügbarkeit zu verbessern. Dabei können technisch notwendige Zugriffsdaten (z.B. angeforderte URL, Zeitstempel, User-Agent sowie eine anonymisierte/gekürzte IP-Adresse) verarbeitet werden. Wir nutzen ausschließlich EU-Standorte; Server-Logs sind deaktiviert (keine dauerhafte Speicherung von Zugriffslogs).
• Webanalyse mit Google Analytics 4, angeboten von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Empfänger der Daten ist Google Ireland Limited; im Rahmen der Leistungserbringung kann auch Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, Zugriff auf die Daten erhalten.
• Zahlungsdienstleister, sofern Sie kostenpflichtige Leistungen in Anspruch nehmen
• Zahlungsdienstleister Stripe (Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland) zur Abwicklung von Zahlungen (z.B. Mitgliedsbeiträge, Buchungen). Hierbei werden insbesondere Identifikations-, Vertrags- und Zahlungsdaten an Stripe übermittelt, soweit dies zur Durchführung der Transaktion erforderlich ist. Weitere Informationen zur Datenverarbeitung durch Stripe finden Sie in der Datenschutzerklärung von Stripe unter https://stripe.com/de/privacy.
• Berater (z.B. Steuerberater), soweit erforderlich

6. Kartendienste & Geocoding (OpenStreetMap)

Wir nutzen Daten von OpenStreetMap (OSM) für die Kartendarstellung und Geocoding-Funktionen (z. B. Anzeige von Box-Standorten, Umkreissuche, Wegbeschreibungen).

• DSGVO-konform: Kartenkacheln und der Kartenviewer werden von uns selbst in der EU/EWR gehostet (z. B. auf eigener Infrastruktur/Hetzner). Es werden keine Drittanbieter-Cookies gesetzt und keine Tracking-Skripte geladen.
• Geocoding: Die Anfragen erfolgen vorzugsweise über von uns kontrollierte Infrastruktur. Sofern aus technischen Gründen die OSM-Infrastruktur genutzt wird, übertragen wir ausschließlich die zur Geokodierung notwendigen Suchbegriffe (z. B. Stadt-/Adressangaben). Personenbezogene Nutzungsprofile werden nicht erstellt.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer komfortablen Standortsuche und Darstellung von Trainingsorten). Geben Sie eine Adresse zur konkreten Anfahrtsplanung ein, kann die Verarbeitung zudem der Vertragserfüllung bzw. vorvertraglichen Maßnahmen dienen (Art. 6 Abs. 1 lit. b DSGVO).
• Speicherung: Technische Protokolle zur Sicherstellung des Betriebs (z. B. Fehlermeldungen) werden nur kurzfristig gespeichert und anschließend gelöscht oder anonymisiert.

7. Web-Push-Benachrichtigungen

Wenn Sie Push-Benachrichtigungen aktivieren, wird ein gerätespezifisches Token (Endpoint) gespeichert, um Nachrichten an Ihr Gerät zu senden. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können die Einwilligung jederzeit in den Einstellungen oder über die Browser-Systemeinstellungen widerrufen.

6. Datenübermittlung in Drittländer

Die Verarbeitung und Speicherung Ihrer Daten erfolgt derzeit ausschließlich auf Servern innerhalb der Europäischen Union. Hierzu setzen wir unter anderem Root-Server und Storage-Lösungen der Hetzner Online GmbH (Deutschland) ein. Eine Übermittlung in Drittländer (außerhalb der EU bzw. des EWR) findet grundsätzlich nicht statt, es sei denn, dies ist in dieser Datenschutzerklärung ausdrücklich angegeben oder gesetzlich vorgeschrieben.

Soweit wir den Zahlungsdienstleister Stripe einsetzen, kann eine Übermittlung personenbezogener Daten in die USA erfolgen. Stripe stützt sich hierbei u.a. auf den EU-US Data Privacy Framework bzw. auf geeignete Garantien im Sinne der Art. 44 ff. DSGVO (z.B. EU-Standardvertragsklauseln). Weitere Informationen hierzu finden Sie in den Datenschutzinformationen von Stripe. Wir achten darauf, nur die für die Zahlungsabwicklung unbedingt erforderlichen Daten zu übermitteln.

Soweit Google Analytics 4 eingesetzt wird, kann ebenfalls eine Übermittlung personenbezogener Daten in die USA erfolgen. Diese Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework, soweit Google LLC entsprechend zertifiziert ist. Ergänzend können – soweit erforderlich – weitere geeignete Garantien nach Art. 44 ff. DSGVO vereinbart werden.

8. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie dies für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Chatnachrichten werden derzeit in der Regel nach spätestens 7 Tagen automatisiert gelöscht. Vertrags- und Abrechnungsdaten bewahren wir entsprechend der gesetzlichen Fristen (insbesondere nach Handels- und Steuerrecht) auf.

Protokolle zur Sicherheit und Fehleranalyse (z.B. Server-Logs) werden in der Regel zwischen 7 und 30 Tagen aufbewahrt und anschließend gelöscht oder anonymisiert. Backups können aus technischen Gründen bis zu 30 Tage vorgehalten werden; ein produktiver Zugriff erfolgt nur zu Wiederherstellungszwecken.

Passkeys/WebAuthn: Wir speichern Ihre registrierten Passkey-Credentials (Credential-ID/öffentlicher Schlüssel) bis Sie diese in Ihrem Konto entfernen oder Ihr Konto löschen. Technische Metadaten (z.B. letzte Nutzung) dienen der Kontosicherheit und Fehleranalyse und werden nur so lange vorgehalten, wie es hierfür erforderlich ist.

Google-Analytics-Daten speichern wir nur so lange, wie dies für Reichweitenanalyse, technische Auswertung und Vergleichszeiträume erforderlich ist. Soweit keine zwingenden Gründe entgegenstehen, orientieren wir uns an den in Google Analytics konfigurierten Aufbewahrungsfristen; Nutzer- und Ereignisdaten werden dort in der Regel nach 2 bis maximal 14 Monaten gelöscht bzw. anonymisiert. Die Speicherdauer Ihrer Consent-Entscheidung beträgt 12 Monate; danach holen wir Ihre Einwilligung erneut ein.

9. Ihre Rechte

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf:

• Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten (Art. 17 DSGVO), sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Widerspruch gegen die Verarbeitung personenbezogener Daten (Art. 21 DSGVO), soweit die Verarbeitung auf berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO beruht
• Datenübertragbarkeit (Art. 20 DSGVO), sofern die Verarbeitung auf Ihrer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt

Zur Ausübung Ihrer Rechte können Sie sich jederzeit an die oben genannten Kontaktdaten wenden. Zudem haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

10. Pflicht zur Bereitstellung von Daten

Die Bereitstellung bestimmter personenbezogener Daten ist für die Nutzung von NexoWOD und den Abschluss bzw. die Durchführung von Mitgliedschaften und Kursbuchungen erforderlich. Ohne diese Daten kann die Plattform nur eingeschränkt oder gar nicht genutzt werden. Die Angabe von Daten für optionale Funktionen (z.B. bestimmte Profilangaben oder Marketing-Kommunikation) ist freiwillig.

Passkeys/WebAuthn sind optional. Wenn Sie keine Passkeys nutzen möchten, können Sie sich weiterhin mit E-Mail/Passwort anmelden.

Kinder/Minoren: Sofern Sie Profile für Kinder hinzufügen, verarbeiten wir nur minimale Daten (z.B. Name, Geburtsdatum) zur Verwaltung von Kursen. Die Verarbeitung erfolgt im Rahmen der Mitgliedschaft durch die Erziehungsberechtigten.

11. Cookies und Tracking-Technologien

NexoWOD verwendet Cookies und ähnliche Technologien, um die Nutzung der Website und App zu ermöglichen, Sitzungen aufrechtzuerhalten und bestimmte Funktionen bereitzustellen (z.B. Login-Status, bevorzugte Sprache).

Soweit diese Cookies für den Betrieb technisch erforderlich sind, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Für nicht notwendige Cookies (z.B. Statistik- oder Marketing-Cookies), sofern solche zum Einsatz kommen, holen wir vorab Ihre Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO). Beim Einsatz von Google Analytics handelt es sich um eine Statistik-/Analyse-Technologie von Google Ireland Limited; dabei kann auch Google LLC in den USA Empfänger sein. Details zu den eingesetzten Cookies, Empfängern, Speicherdauern und Ihren Einstellungsoptionen erhalten Sie in unserem Cookie-Hinweis bzw. im entsprechenden Einstellungsbereich.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, insbesondere wenn wir neue Funktionen einführen oder gesetzliche bzw. behördliche Anforderungen sich ändern. Die jeweils aktuelle Fassung ist jederzeit in der App bzw. auf der Website abrufbar.