roundera
ROUNDERA · LEGAL

Datenschutz erklärung.

Stand: April 2026

VERANTWORTLICHER (ART. 4 NR. 7 DSGVO)

Evomond Wagmann und Muhr OHG Fürther Str. 54 90429 Nürnberg Deutschland E-Mail: privacy@roundera.com Vertretungsberechtigt: Daniel Wagmann, Tommy Muhr Handelsregister: HRA 20170 (Amtsgericht Nürnberg) USt-IdNr.: DE357520271

WELCHE DATEN VERARBEITEN WIR?
  • Konto-Daten: Email, Passwort-Hash, Anzeigename, Geburtsdatum, gewählte Disziplinen.
  • Optional: Profilfoto, Coach/Wettkämpfer/Veranstalter/Gym-Daten.
  • Trainings- und Gewichts-Einträge sowie Ziele (nur du selbst siehst sie).
  • Logbuch: Tagesplan-Blöcke, Mood-/Energy-Werte, Tages- und Wochenziele, Habits, Notizen, Schlaf- und Verletzungs-Logs (privat, einzig dein Konto sieht sie; Gesundheits-Daten nach Art. 9 DSGVO).
  • Buchungen, Reviews und Chats mit Gyms/Veranstaltern.
  • Push-Notification-Tokens (für Erinnerungen + Posts gefolgter Wettkämpfer).
RECHTSGRUNDLAGEN (ART. 6 DSGVO)
  • Art. 6 Abs. 1 lit. b — Vertragserfüllung: Account, Buchungen, Chat mit Gyms.
  • Art. 6 Abs. 1 lit. f — berechtigtes Interesse: Sicherheit, Missbrauchsabwehr, technische Logs.
  • Art. 6 Abs. 1 lit. a + Art. 9 Abs. 2 lit. a — Einwilligung: Gesundheits-/Trainings-Daten (Gewicht, Cuts, Schlaf, Verletzungen), Push-Notifications, Standort.
  • Art. 6 Abs. 1 lit. c — gesetzliche Pflicht: Buchhaltung, Steuer (Buchungs- und Zahlungsbelege).
HOSTING & SUBPROZESSOREN
  • Supabase, Inc. (USA, Hosting EU-Frankfurt via AWS) — Datenbank, Auth, Storage, Realtime, Edge Functions. AVV abgeschlossen, Standardvertragsklauseln (SCC).
  • Vercel Inc. (USA, EU-Region Frankfurt für Compute) — Hosting der Web-App roundera.com. AVV + SCC.
  • Apple Inc. (USA) — Apple Push Notification Service (APNs) für iOS-Pushes. DPF-zertifiziert.
  • Google LLC (USA) — Firebase Cloud Messaging (FCM) für Android-Pushes; Google Maps SDK für Android-Kartenanzeige. DPF-zertifiziert.
  • Expo, Inc. (USA) — EAS Build/Submit-Pipeline + Expo-Push-Token-Vermittlung. DPF-zertifiziert.
  • Stripe Payments Europe Ltd. (Irland) — Zahlungsabwicklung Drop-ins, Mitgliedschaften, Tickets. EU-Verarbeitung.
  • Anthropic, PBC (USA) — KI-generierte Cut-Pläne. DPF-zertifiziert; vor Übermittlung pseudonymisiert (keine Klarnamen, keine User-IDs).
  • Functional Software, Inc. dba Sentry (USA) — Crash- und Fehler-Reports der Web-App, Session-Replay mit vollständig maskiertem Text/Inputs. Aktiv NUR nach expliziter Cookie-Einwilligung. DPF-zertifiziert.
ZUGRIFF DURCH ROUNDERA-ADMINS

Mitarbeiter:innen mit Admin-Rolle können auf Profil-Daten (Name, Email, Telefon, Login-Zeitpunkte, Rolle) sowie auf gemeldete Inhalte (Reviews, Chats, Posts) zugreifen — ausschließlich für Support, Missbrauchsbekämpfung, Trust-&-Safety-Moderation und gesetzliche Verpflichtungen (DSA, DSGVO Art. 6 Abs. 1 lit. f berechtigtes Interesse). Jeder Zugriff wird in einem revisionssicheren Audit-Log mit Zeitstempel, Aktion und Admin-ID dokumentiert (DSGVO Art. 30) und 24 Monate aufbewahrt.

DEINE RECHTE
  • Auskunft (Art. 15) — vollständiger Datenexport im Profil unter „Daten exportieren".
  • Berichtigung (Art. 16) — falsche Daten kannst du selbst über Profil bearbeiten.
  • Löschung (Art. 17) — Konto-Löschung jederzeit selbst über Profil → Konto löschen.
  • Datenübertragbarkeit (Art. 20) — Export ist als JSON maschinenlesbar.
  • Widerspruch + Einwilligungs-Widerruf (Art. 21, 7 Abs. 3) — jederzeit über Einstellungen (Push, Health, Sparring-Discovery).
  • Beschwerde bei der für uns zuständigen Aufsichtsbehörde:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
Tel. +49 981 180093-0 · poststelle@lda.bayern.de · www.lda.bayern.de

SPEICHERDAUER PRO DATENKATEGORIE
  • Konto- + Profildaten: solange Konto aktiv. Bei Löschung sofort entfernt.
  • Trainings-, Gewichts- + Health-Daten (Art. 9 DSGVO): solange Konto aktiv. Bei Löschung sofort entfernt.
  • Logbuch (Tagesplan, Mood, Energy, Goals, Habits, Notizen, Schlaf, Verletzungen): solange Konto aktiv. Bei Konto-Löschung cascade-weg innerhalb von 24 Stunden.
  • Buchungen, Tickets, Zahlungsbelege: 10 Jahre (§147 AO, § 14b UStG); danach pseudonymisiert.
  • Chat-Nachrichten: 6 Monate nach letzter Nachricht ODER bis Konto-Löschung; bei Mod-Eskalation 24 Monate.
  • Gym-Pulse-Check-ins: 3 Stunden (für andere User sichtbar), danach Aggregat-only ≤ 30 Tage.
  • Push-Tokens: bis Widerruf oder 180 Tage Inaktivität.
  • Audit-Log Admin-Zugriffe: 24 Monate.
  • Reports/Beschwerden: 12 Monate ab Bearbeitungs-Abschluss (DSA Art. 23).
  • Sentry-Crash-Logs (nur mit Consent): 90 Tage rolling.
INAKTIVE KONTEN — DATENMINIMIERUNG (ART. 5 ABS. 1 LIT. E DSGVO)

Wenn dein Konto seit mehr als 24 Monaten ohne Login ist, gilt es als inaktiv. Wir senden dir 30 Tage vor der geplanten Löschung eine Erinnerungs-Mail an deine bei uns hinterlegte Adresse mit der Möglichkeit, das Konto durch einen einfachen Login zu reaktivieren. Loggst du dich nicht ein, löschen wir dein Konto und alle nicht gesetzlich aufbewahrungspflichtigen Daten endgültig. Buchungs- und Zahlungsbelege bleiben gemäß § 147 AO / § 14b UStG für 10 Jahre in pseudonymisierter Form bestehen.

Du kannst die Löschung jederzeit selbst auch ohne diese Frist auslösen über Profil → Konto löschen.

ImpressumDatenschutzAGB