Datenschutzerklärung
Stand: Juni 2026
Der Schutz deiner persönlichen Daten ist uns sehr wichtig. In dieser Datenschutzerklärung informieren wir dich darüber, welche Daten wir erheben, wie wir sie verwenden und welche Rechte du hast.
1. Verantwortlicher
Gathered UG (haftungsbeschränkt) i.G.
Vertreten durch den Geschäftsführer: Lenny Anzalichi
Berliner Straße 10
63110 Rodgau, Deutschland
E-Mail: Lenny@gathered.world
Handelsregister: Amtsgericht Offenbach am Main, HRB [wird nach Eintragung ergänzt]
Datenschutzbeauftragter (Art. 37 DSGVO)
Wir sind gemäß § 38 BDSG nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unsere Kerntätigkeit erfordert zudem keine umfangreiche regelmäßige und systematische Überwachung (Art. 37 Abs. 1 lit. b DSGVO). Für Datenschutzanfragen: Lenny@gathered.world
2. Welche Daten wir erheben
2.1 Account-Daten
Bei der Registrierung erheben wir:
- Name oder Benutzername
- E-Mail-Adresse
- Profilbild (optional)
- Bei Apple Sign-In: Apple ID (anonymisiert)
2.2 Standortdaten
Mit deiner Erlaubnis erheben wir deinen Standort, um:
- Events in deiner Nähe anzuzeigen
- Die Entfernung zu Events zu berechnen
Wenn du der Standortnutzung zugestimmt hast und noch keine Stadt in deinem Profil hinterlegt ist, leiten wir aus deiner ungefähren Position deine Stadt ab und speichern den Stadtnamen (keine genauen Koordinaten) in deinem Profil — unter anderem für aggregierte Event-Statistiken. Du kannst die Stadt in deinem Profil jederzeit ändern.
Du kannst die Standortberechtigung jederzeit in den Geräteeinstellungen widerrufen.
2.3 Nutzungsdaten
Um die App zu verbessern, erfassen wir anonymisierte Nutzungsdaten:
- Besuchte Bildschirme
- Interaktionen mit Events
- App-Abstürze und Fehler
2.4 Event-Daten
Wenn du ein Event erstellst, speichern wir:
- Event-Titel und Beschreibung
- Datum, Uhrzeit und Ort
- Event-Bilder
- Teilnehmerlisten
2.5 Technische Daten / Device Fingerprint
Zur Betrugsabwehr erstellen wir einen anonymisierten Geräte-Hash (SHA-256). Dieser wird nur temporär zur Erkennung von Missbrauch (Rate-Limiting) verwendet und nicht dauerhaft gespeichert.
2.6 Aggregierte Event-Statistiken (Crowd Insight)
Für öffentliche Events erstellen wir aggregierte, anonymisierte Statistiken über die zugesagten Gäste ("Crowd Insight"). Dafür verarbeiten wir server-seitig folgende Profilangaben der Gäste:
- Geburtsdatum — ausschließlich umgerechnet in eine Altersgruppe (unterste Gruppe 16–18)
- Geschlecht — für das aggregierte Geschlechter-Verhältnis
- Wohnort-Stadt — nur der im Profil hinterlegte Stadtname, niemals GPS-Daten
- Gewählte Interessen — für die Top-Interessen der Teilnehmer
- Teilnahme-Historie beim jeweiligen Veranstalter — für den Anteil wiederkehrender Gäste
Zweck: Gästen und Veranstaltern einen anonymen Eindruck der erwarteten Crowd eines Events zu geben (z. B. Altersgruppen-Verteilung, Anteil der Gäste aus der Event-Stadt).
Empfänger: Die Statistiken sehen ausschließlich zahlende "Gathered Pro"-Abonnenten sowie der Veranstalter des jeweiligen Events — beide sehen nur die Aggregate. Werte einzelner Gäste sind technisch nicht abrufbar, auch nicht für Abonnenten. Statistiken werden erst ab 2 zugesagten Gästen angezeigt, die vollständige Detail-Ansicht erst ab 5 — so lassen sich keine Rückschlüsse auf einzelne Personen ziehen. Auch Gäste mit privatem Profil fließen in die anonymen Aggregate ein.
Speicherdauer: Die aggregierten Statistiken werden bis 7 Tage nach Event-Ende gespeichert und dann automatisch gelöscht; bei Löschung des Events sofort.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an anonymisierten Event-Statistiken). Widerspruch (Art. 21 DSGVO): Du kannst der Einbeziehung deiner Profilangaben jederzeit widersprechen — du wirst dann nur noch in "unbekannt"-Kategorien gezählt. Bis es dafür einen Schalter in den App-Einstellungen gibt, genügt eine E-Mail an Lenny@gathered.world.
3. Rechtsgrundlagen (Art. 6 DSGVO)
Die Verarbeitung deiner personenbezogenen Daten erfolgt auf Basis folgender Rechtsgrundlagen:
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Account-Erstellung, Profil, Event-Erstellung, Tickets, Chat | Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) |
| Push-Benachrichtigungen | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Nutzungsstatistiken (PostHog, Firebase Analytics) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| ML-basierte Event-Empfehlungen | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Verbesserung der Nutzererfahrung) |
| Aggregierte Event-Statistiken (Crowd Insight, siehe Abschnitt 2.6) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: anonymisierte Statistiken für Abonnenten und Veranstalter) |
| Content Moderation (automatisch) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Sicherheit der Plattform) |
| Betrugsabwehr (Device Fingerprint) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Schutz vor Missbrauch) |
| Zahlungsabwicklung (Stripe) | Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) |
4. Dienste und Drittanbieter
4.1 Firebase (Google)
Wir nutzen Firebase (Betreiber: Google Ireland Limited für EU-Kunden, Sub-Processor: Google LLC, USA) für folgende Dienste:
- Firebase Authentication — Login-Mechanismen (E-Mail, Google Sign-In, Sign in with Apple)
- Cloud Firestore — Event-, Profil- und Chat-Datenbank (Region:
europe-west10Berlin) - Cloud Storage — Bilder und Medien (Region:
europe-west1Belgien) - Cloud Functions — Server-Logik (Region:
europe-west1) - Firebase Cloud Messaging (FCM) — Push-Benachrichtigungen; überträgt Device-Token + Nachrichtentext an Google-Server
- Firebase App Check (Play Integrity) — Missbrauchs-Schutz, übermittelt Geräte-Attestierung an Google
- Firebase Analytics — anonyme Nutzungsstatistiken (Stufe 1, siehe Abschnitt 6a)
- Firebase Crashlytics — Absturzberichte inkl. Stacktrace, Gerätemodell, OS-Version, anonymisierter User-ID (nur Firebase-UID, keine E-Mail/Klarnamen). Deaktivierbar in den App-Einstellungen.
- Firebase Remote Config — Feature-Flags, kein PII-Transfer
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Auth/Firestore/Storage/Functions/FCM/App Check; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit der App) für Crashlytics und Firebase Analytics (Stufe 1).
Datenschutzrichtlinie: firebase.google.com/support/privacy
4.2 Stripe
Für kostenpflichtige Events nutzen wir Stripe als Zahlungsdienstleister. Stripe verarbeitet Zahlungsdaten eigenverantwortlich.
Datenschutzrichtlinie: stripe.com/de/privacy
4.3 PostHog
Wir nutzen PostHog für Product Analytics und Feature Flags. PostHog ist auf EU-Servern (eu.i.posthog.com) gehostet.
- Anonyme Nutzungsstatistiken (Stufe 1, ohne Einwilligung)
- Personalisiertes Tracking nur mit Einwilligung (Stufe 2)
Datenschutzrichtlinie: posthog.com/privacy
4.4 Umami Analytics
Für unsere Website nutzen wir Umami Analytics — eine cookielose, datenschutzfreundliche Web-Analyse. Es werden keine personenbezogenen Daten erfasst.
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
4.5 OpenAI
Wir nutzen OpenAI für die automatische Inhaltsmoderation (Text-Prüfung auf unangemessene Inhalte). Inhalte werden nur zur Moderation übermittelt und nicht für Training verwendet.
Datenschutzrichtlinie: openai.com/privacy
4.6 Google Cloud Vision
Wir nutzen Google Cloud Vision API zur automatischen Moderation von hochgeladenen Fotos (Erkennung unangemessener Bildinhalte). Hochgeladene Bilder werden zur Analyse an Google übermittelt. Google verarbeitet die Bilder ausschließlich zur Bereitstellung des Dienstes und nicht für eigene Zwecke.
Rechtsgrundlage: Berechtigtes Interesse an der Sicherheit unserer Plattform (Art. 6 Abs. 1 lit. f DSGVO)
4.7 RevenueCat (USA)
Für die Abwicklung von In-App-Käufen (bezahlte Reichweite "Boost" und das Abonnement "Gathered Pro") nutzen wir RevenueCat Inc. (600 California St, San Francisco, CA 94108, USA).
RevenueCat verarbeitet:
- Apple/Google Transaction-IDs — eindeutige Kennung deines Kaufs
- Firebase-User-ID (UID) — als App-User-ID für Zuordnung
- Subscriber-Attributes — z.B. Reservierungs-ID für Slot-Zuordnung
- Kauf-Metadaten — Produkt-ID, Kaufzeitpunkt, Kaufpreis, Refund-Status
- Abo-Status — beim Gathered-Pro-Abonnement zusätzlich Beginn und Ablauf der Abo-Periode sowie Verlängerungs- und Kündigungsstatus
Drittlandsübermittlung: USA. RevenueCat ist nicht im EU-U.S. Data Privacy Framework (TADPF) zertifiziert. Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (Modul 2, Beschluss 2021/914 der Kommission).
Speicherdauer: Bis zur Löschung deines Accounts oder maximal 7 Jahre nach letzter Transaktion (steuerliche Aufbewahrungspflicht §147 AO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung)
Datenschutzrichtlinie: revenuecat.com/privacy
4.8 Brevo (EU)
Für transaktionale E-Mails im Rahmen von bezahlter Reichweite ("Boost") nutzen wir Brevo SAS (106 Boulevard Haussmann, 75008 Paris, Frankreich).
Brevo versendet in unserem Auftrag:
- §312f BGB Eingangsbestätigung bei Kauf eines Boost
- §356a BGB Eingangsbestätigung bei Widerruf eines Boost-Vertrags
- Interne Operator-Benachrichtigungen bei Refund-Bedarf
Verarbeitete Daten: E-Mail-Adresse, Name (falls im Widerrufs-Formular angegeben), Bestellnummer/Purchase-ID.
Drittlandsübermittlung: keine — Brevo verarbeitet ausschließlich innerhalb der EU.
Speicherdauer: E-Mail-Versand-Logs werden für 30 Tage gespeichert, danach automatisch gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — §312f / §356a BGB)
Datenschutzrichtlinie: brevo.com/privacy-policy
4.9 Sentry (USA)
Für Fehler-Monitoring (Crash-Reports, nicht-fatale Server-Errors) nutzen wir Functional Software Inc. dba Sentry (45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA).
Sentry verarbeitet:
- Stack-Traces und Fehler-Metadaten (Datei-Pfade, Funktions-Namen, Browser/Device-Versionen)
- Anonymisierte User-IDs (Firebase UID) — keine Klarnamen oder E-Mail-Adressen
- App-Version, Build-Number, Cloud-Functions-Trace-IDs
Verarbeitete Daten dienen ausschließlich der Stabilität der App und werden nicht für andere Zwecke (Werbung, Profiling) genutzt.
Drittlandsübermittlung: USA. Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (Modul 2, Beschluss 2021/914 der Kommission).
Speicherdauer: 30 Tage automatische Löschung (Sentry-Default).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Bereitstellung eines fehlerfreien Dienstes).
Datenschutzrichtlinie: sentry.io/privacy
5. Datenübermittlung in Drittländer (Art. 44-49 DSGVO)
Wir übermitteln personenbezogene Daten an Dienstleister in den USA. Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Betroffene Dienstleister:
- Google LLC (Firebase Auth, Firestore, Cloud Storage, Cloud Functions, FCM, Crashlytics, Firebase Analytics, App Check, Remote Config, Cloud Vision API) — SCCs, primärer Serverstandort: EU (europe-west1/europe-west10); Crashlytics-Metadaten werden technisch bedingt zusätzlich in US-Rechenzentren verarbeitet
- OpenAI (Content Moderation) — SCCs, es werden keine personenbezogenen Daten übermittelt (nur Content-Texte zur Moderation)
- Stripe (Zahlungsabwicklung) — SCCs, PCI-DSS-zertifiziert
- RevenueCat Inc. (IAP-Abwicklung, Boost-Käufe) — SCCs, keine TADPF-Zertifizierung
- Apple Inc. (App Store, Apple Pay, IAP-Marketplace-Facilitator) — SCCs, DPA Apple Developer Agreement, primäre Verarbeitung in Irland
- PostHog (Analytics, falls Stufe 2 aktiviert) — EU-Region (eu.posthog.com), aber Sub-Processor in US
- Sentry (Functional Software Inc.) (Fehler-Monitoring) — SCCs, anonymisierte User-IDs
6. Datenspeicherung und Aufbewahrungsfristen
Deine Daten werden auf Servern in der EU (europe-west1, europe-west3) gespeichert. Wir speichern Daten nur so lange, wie es für die Bereitstellung der App erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen.
| Datenkategorie | Speicherdauer |
|---|---|
| Account-Daten (Name, E-Mail, Profilbild) | Bis zur Löschung des Accounts |
| Event-Daten (vergangene Events) | 12 Monate nach Event-Ende |
| Stories | 24 Stunden (automatische Löschung) |
| Chat-Nachrichten | Bis zur Löschung des Events bzw. der Truppe |
| Follower/Following-Beziehungen | Bis zur Löschung des Accounts |
| Zahlungsdaten | 10 Jahre (gesetzliche Aufbewahrungspflicht, HGB § 257) |
| Moderationsdaten (NetzDG) | 10 Wochen |
| Device Fingerprint | Nur während des Rate-Limit-Fensters (max. 5 Minuten), keine dauerhafte Speicherung |
| Crowd-Insight-Statistiken (aggregiert, Abschnitt 2.6) | Bis 7 Tage nach Event-Ende; bei Event-Löschung sofort |
| ML-Interaktionsdaten | Bis zum Widerspruch des Nutzers |
| Analyse-Daten (PostHog) | Bis zum Widerruf der Einwilligung |
Die automatische Löschung erfolgt täglich um 3:00 Uhr (Europe/Berlin) durch unser serverseitiges Datenbereinigungssystem.
6a. Analytics-Modell (Zwei Stufen)
Stufe 1: Anonyme Statistiken
Ab App-Start erfassen wir anonyme Nutzungsstatistiken ohne User-ID. Dies dient der App-Verbesserung und Performance-Überwachung.
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Opt-Out: In der App unter Einstellungen > Datenschutz > "Anonyme Nutzungsstatistiken" deaktivieren.
Stufe 2: Personalisiertes Tracking
Nur mit deiner ausdrücklichen Einwilligung verknüpfen wir Analytics-Daten mit deiner User-ID. Dies ermöglicht personalisierte Features und A/B-Tests.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Standardmäßig deaktiviert. Aktivierung in Einstellungen > Datenschutz > "Nutzungsanalyse".
7. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)
Wir nutzen maschinelles Lernen zur Personalisierung von Event-Empfehlungen. Es findet keine automatisierte Einzelentscheidung im Sinne von Art. 22 DSGVO statt. Alle Empfehlungen sind unverbindliche Vorschläge, die keine rechtliche Wirkung entfalten.
8. Deine Rechte
Du hast folgende Rechte bezüglich deiner Daten:
- Auskunft (Art. 15 DSGVO): Du kannst Auskunft über deine gespeicherten Daten verlangen.
- Berichtigung (Art. 16 DSGVO): Du kannst fehlerhafte Daten korrigieren lassen.
- Löschung (Art. 17 DSGVO): Du kannst die Löschung deiner Daten verlangen.
- Einschränkung (Art. 18 DSGVO): Du kannst die Verarbeitung einschränken lassen.
- Datenübertragbarkeit (Art. 20 DSGVO): Du kannst deine Daten in einem maschinenlesbaren Format erhalten.
- Widerspruch (Art. 21 DSGVO): Du kannst der Verarbeitung widersprechen (siehe unten).
Widerrufsrecht bei Einwilligung (Art. 7 Abs. 3 DSGVO)
Sofern die Verarbeitung deiner Daten auf deiner Einwilligung beruht (z.B. Push-Benachrichtigungen, Analytics), kannst du diese Einwilligung jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Du kannst deine Einwilligung wie folgt widerrufen:
- In der App: Einstellungen → Datenschutz → Einwilligungen verwalten
- Push-Benachrichtigungen: In den Geräteeinstellungen deaktivieren
- Standort: Standortberechtigung in den Geräteeinstellungen widerrufen
- Per E-Mail: Lenny@gathered.world
Widerspruchsrecht (Art. 21 DSGVO)
Du kannst jederzeit Widerspruch gegen die Verarbeitung deiner Daten einlegen:
- In der App: Einstellungen → Datenschutz → Widerspruch gegen Datenverarbeitung
- Per E-Mail: Lenny@gathered.world
Bei Widerspruch gegen personalisierte Empfehlungen werden deine ML-Daten unverzüglich gelöscht.
Daten exportieren oder löschen
In der App unter Profil > Einstellungen > Datenschutz kannst du:
- Alle deine Daten als JSON exportieren
- Deinen Account und alle Daten vollständig löschen
9. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen ein:
- Verschlüsselte Datenübertragung (TLS/SSL)
- Firebase App Check zur Betrugsabwehr
- Regelmäßige Sicherheitsupdates
- Zugriffsbeschränkungen und Authentifizierung
10. Minderjährige
Die App richtet sich an Personen ab 16 Jahren. Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren.
11. Änderungen
Wir können diese Datenschutzerklärung aktualisieren. Bei wesentlichen Änderungen informieren wir dich in der App.
12. Kontakt & Beschwerderecht
Bei Fragen zum Datenschutz kontaktiere uns:
E-Mail: Lenny@gathered.world
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, z.B. beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI).