Datenschutzerklärung

Stand: Juli 2026

Der Schutz deiner persönlichen Daten ist uns sehr wichtig. In dieser Datenschutzerklärung informieren wir dich darüber, welche Daten wir erheben, wie wir sie verwenden und welche Rechte du hast.

1. Verantwortlicher

Gathered UG (haftungsbeschränkt) i.G.

Vertreten durch den Geschäftsführer: Lenny Anzalichi

Berliner Straße 10

63110 Rodgau, Deutschland

E-Mail: Lenny@gathered.world

Handelsregister: Amtsgericht Offenbach am Main, HRB [wird nach Eintragung ergänzt]

Datenschutzbeauftragter (Art. 37 DSGVO)

Wir sind gemäß § 38 BDSG nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unsere Kerntätigkeit erfordert zudem keine umfangreiche regelmäßige und systematische Überwachung (Art. 37 Abs. 1 lit. b DSGVO). Für Datenschutzanfragen: Lenny@gathered.world

2. Welche Daten wir erheben

2.1 Account-Daten

Bei der Registrierung erheben wir:

2.2 Standortdaten

Mit deiner Erlaubnis erheben wir deinen Standort, um:

Wenn du der Standortnutzung zugestimmt hast und noch keine Stadt in deinem Profil hinterlegt ist, leiten wir aus deiner ungefähren Position deine Stadt ab und speichern den Stadtnamen (keine genauen Koordinaten) in deinem Profil — unter anderem für aggregierte Event-Statistiken. Du kannst die Stadt in deinem Profil jederzeit ändern.

Du kannst die Standortberechtigung jederzeit in den Geräteeinstellungen widerrufen.

2.3 Nutzungsdaten

Um die App zu verbessern, erfassen wir anonymisierte Nutzungsdaten:

2.4 Event-Daten

Wenn du ein Event erstellst, speichern wir:

2.5 Technische Daten / Device Fingerprint

Zur Betrugsabwehr erstellen wir einen anonymisierten Geräte-Hash (SHA-256). Dieser wird nur temporär zur Erkennung von Missbrauch (Rate-Limiting) verwendet und nicht dauerhaft gespeichert.

2.6 Aggregierte Event-Statistiken (Crowd Insight)

Für öffentliche Events erstellen wir aggregierte, anonymisierte Statistiken über die zugesagten Gäste ("Crowd Insight"). Dafür verarbeiten wir server-seitig folgende Profilangaben der Gäste:

Zweck: Gästen und Veranstaltern einen anonymen Eindruck der erwarteten Crowd eines Events zu geben (z. B. Altersgruppen-Verteilung, Anteil der Gäste aus der Event-Stadt).

Empfänger: Die Statistiken sehen ausschließlich zahlende "Gathered Pro"-Abonnenten sowie der Veranstalter des jeweiligen Events — beide sehen nur die Aggregate. Werte einzelner Gäste sind technisch nicht abrufbar, auch nicht für Abonnenten. Statistiken werden erst ab 2 zugesagten Gästen angezeigt, die vollständige Detail-Ansicht erst ab 5 — so lassen sich keine Rückschlüsse auf einzelne Personen ziehen. Auch Gäste mit privatem Profil fließen in die anonymen Aggregate ein.

Speicherdauer: Die aggregierten Statistiken werden bis 7 Tage nach Event-Ende gespeichert und dann automatisch gelöscht; bei Löschung des Events sofort.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an anonymisierten Event-Statistiken). Widerspruch (Art. 21 DSGVO): Du kannst der Einbeziehung deiner Profilangaben jederzeit widersprechen — du wirst dann nur noch in "unbekannt"-Kategorien gezählt. Bis es dafür einen Schalter in den App-Einstellungen gibt, genügt eine E-Mail an Lenny@gathered.world.

2.7 Bewertungen (Gathered Score)

Nach einem Event können verifizierte Teilnehmer das Event bzw. den Veranstalter mit einem Wert von 0 bis 10 bewerten ("Gathered Score"), optional mit einem öffentlichen Text. Veranstalter können umgekehrt ihre Gäste bewerten. Dabei verarbeiten wir:

Anonymität: Der reine Zahlenwert wird ohne deinen Namen veröffentlicht — sichtbar ist nur ein laufend aktualisierter Durchschnitt aller Bewertungen. Beachte: bei Events mit sehr wenigen Bewertungen kann der Veranstalter unter Umständen Rückschlüsse auf einzelne Bewertungen ziehen (z. B. wenn nur eine Person bewertet hat). Schreibst du einen Text, entscheidest du selbst, ob er anonym oder mit Namen erscheint (Voreinstellung: anonym); bei anonymen Texten wird der Veröffentlichungszeitpunkt zusätzlich auf den Kalendertag vergröbert. Die Anonymität gilt gegenüber anderen Nutzern — nicht gegenüber uns als Betreiber: server-seitig bleibt deine Bewertung deinem Konto zugeordnet (erforderlich für Moderation, Missbrauchs-Abwehr, Meldungen nach dem Digital Services Act und die Löschung deiner Daten).

Gast-Bewertungen: Bewertungen von Veranstaltern über Gäste sind niemals öffentlich. Veranstalter sehen ausschließlich einen aggregierten Durchschnitt im Kontext von Teilnahme-Anfragen. Deinen eigenen Gast-Durchschnitt kannst du jederzeit in der App einsehen (Art. 15 DSGVO).

Speicherdauer: Bewertungen bleiben gespeichert, solange dein Konto besteht. Bei Löschung deines Kontos werden deine abgegebenen und die über dich abgegebenen Bewertungen gelöscht und die Durchschnittswerte entsprechend korrigiert; öffentliche Texte kannst du zusätzlich jederzeit selbst löschen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bewertungsfunktion als Teil des Dienstes) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem vertrauenswürdigen, sicheren Bewertungssystem und an Missbrauchs-Abwehr).

2.8 Schul-/Uni-Netzwerk ("Deine Schule/Uni")

Du kannst freiwillig deine Schule oder Hochschule angeben, um zu sehen, wer aus deiner Einrichtung Gathered nutzt, und um über neue Events aus deiner Einrichtung informiert zu werden. Dabei verarbeiten wir:

Sichtbarkeit: Sobald du eine Schule/Hochschule einträgst, erscheinst du in einer Mitgliederliste, die ausschließlich für andere Nutzer sichtbar ist, die dieselbe Schule/Hochschule eingetragen haben. Sichtbar sind dort nur dein Anzeigename und dein Profilbild — dieselben Daten wie in deinem öffentlichen Profil. Der reine Zähler ("X Personen sind hier") ist aggregiert und lässt keine Rückschlüsse auf einzelne Personen zu. Wir veröffentlichen an keiner Stelle eine durchsuchbare oder für Außenstehende abrufbare Liste einer Schule; der Abruf ist technisch auf angemeldete Mitglieder derselben Einrichtung beschränkt.

Widerspruch / Verbergen (Opt-out): Du kannst deine Sichtbarkeit jederzeit in den Datenschutz-Einstellungen deaktivieren. Du verschwindest dann sofort aus der Mitgliederliste und deine öffentlichen Events werden nicht mehr deiner Einrichtung zugeordnet; der aggregierte Zähler bleibt bestehen. Du kannst deine Schule/Hochschule auch vollständig entfernen.

Event-Benachrichtigungen: Erstellst du ein öffentliches Event, während deine Schul-Sichtbarkeit aktiv ist, können Mitglieder derselben Einrichtung eine Push-Benachrichtigung darüber erhalten (sofern sie Benachrichtigungen zugelassen haben). Private, nur per Link teilbare oder gruppeninterne Events werden hierbei niemals einbezogen.

Freundes-Einladungen: Lädst du Freunde über einen Einladungslink ein, enthält dieser eine Kennung deiner Schule/Hochschule sowie eine Verweis-Kennung, damit die eingeladene Person deine Einrichtung vorgeschlagen bekommt. Es werden dabei keine Kontaktdaten aus deinem Adressbuch verarbeitet.

Hinweis zur Verifikation: Die Angabe der Schule/Hochschule wird nicht gesondert überprüft. Trage nur Angaben ein, die du offenlegen möchtest.

Speicherdauer: Deine Schul-/Hochschul-Zuordnung bleibt gespeichert, solange du sie hinterlegt hast bzw. dein Konto besteht. Bei Entfernen der Angabe oder Löschung deines Kontos wird sie gelöscht und der aggregierte Zähler entsprechend korrigiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch die freiwillige Eintragung, jederzeit widerrufbar über den Sichtbarkeits-Schalter) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Vernetzung von Nutzern derselben Einrichtung). Bei Minderjährigen ab dem vollendeten 16. Lebensjahr stützen wir uns nach Art. 8 DSGVO auf deren eigene Einwilligung; Gathered ist ab 16 Jahren nutzbar (siehe Ziffer 10).

3. Rechtsgrundlagen (Art. 6 DSGVO)

Die Verarbeitung deiner personenbezogenen Daten erfolgt auf Basis folgender Rechtsgrundlagen:

Verarbeitung Rechtsgrundlage
Account-Erstellung, Profil, Event-Erstellung, Tickets, Chat Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung)
Push-Benachrichtigungen Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Nutzungsstatistiken (PostHog, Firebase Analytics) Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
ML-basierte Event-Empfehlungen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Verbesserung der Nutzererfahrung)
Aggregierte Event-Statistiken (Crowd Insight, siehe Abschnitt 2.6) Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: anonymisierte Statistiken für Abonnenten und Veranstalter)
Content Moderation (automatisch) Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Sicherheit der Plattform)
Betrugsabwehr (Device Fingerprint) Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Schutz vor Missbrauch)
Zahlungsabwicklung (Stripe) Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung)

4. Dienste und Drittanbieter

4.1 Firebase (Google)

Wir nutzen Firebase (Betreiber: Google Ireland Limited für EU-Kunden, Sub-Processor: Google LLC, USA) für folgende Dienste:

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Auth/Firestore/Storage/Functions/FCM/App Check; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit der App) für Crashlytics und Firebase Analytics (Stufe 1).

Datenschutzrichtlinie: firebase.google.com/support/privacy

4.2 Stripe

Für kostenpflichtige Events nutzen wir Stripe als Zahlungsdienstleister. Stripe verarbeitet Zahlungsdaten eigenverantwortlich.

Datenschutzrichtlinie: stripe.com/de/privacy

4.3 PostHog

Wir nutzen PostHog für Product Analytics und Feature Flags. PostHog ist auf EU-Servern (eu.i.posthog.com) gehostet.

Datenschutzrichtlinie: posthog.com/privacy

4.4 Umami Analytics

Für unsere Website nutzen wir Umami Analytics — eine cookielose, datenschutzfreundliche Web-Analyse. Es werden keine personenbezogenen Daten erfasst.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

4.5 OpenAI

Wir nutzen OpenAI für die automatische Inhaltsmoderation (Text-Prüfung auf unangemessene Inhalte). Inhalte werden nur zur Moderation übermittelt und nicht für Training verwendet.

Datenschutzrichtlinie: openai.com/privacy

4.6 Google Cloud Vision

Wir nutzen Google Cloud Vision API zur automatischen Moderation von hochgeladenen Fotos (Erkennung unangemessener Bildinhalte). Hochgeladene Bilder werden zur Analyse an Google übermittelt. Google verarbeitet die Bilder ausschließlich zur Bereitstellung des Dienstes und nicht für eigene Zwecke.

Rechtsgrundlage: Berechtigtes Interesse an der Sicherheit unserer Plattform (Art. 6 Abs. 1 lit. f DSGVO)

4.7 RevenueCat (USA)

Für die Abwicklung von In-App-Käufen (bezahlte Reichweite "Boost" und das Abonnement "Gathered Pro") nutzen wir RevenueCat Inc. (600 California St, San Francisco, CA 94108, USA).

RevenueCat verarbeitet:

Drittlandsübermittlung: USA. RevenueCat ist nicht im EU-U.S. Data Privacy Framework (TADPF) zertifiziert. Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (Modul 2, Beschluss 2021/914 der Kommission).

Speicherdauer: Bis zur Löschung deines Accounts oder maximal 7 Jahre nach letzter Transaktion (steuerliche Aufbewahrungspflicht §147 AO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung)

Datenschutzrichtlinie: revenuecat.com/privacy

4.8 Brevo (EU)

Für transaktionale E-Mails im Rahmen von bezahlter Reichweite ("Boost") nutzen wir Brevo SAS (106 Boulevard Haussmann, 75008 Paris, Frankreich).

Brevo versendet in unserem Auftrag:

Verarbeitete Daten: E-Mail-Adresse, Name (falls im Widerrufs-Formular angegeben), Bestellnummer/Purchase-ID.

Drittlandsübermittlung: keine — Brevo verarbeitet ausschließlich innerhalb der EU.

Speicherdauer: E-Mail-Versand-Logs werden für 30 Tage gespeichert, danach automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — §312f / §356a BGB)

Datenschutzrichtlinie: brevo.com/privacy-policy

4.9 Sentry (USA)

Für Fehler-Monitoring (Crash-Reports, nicht-fatale Server-Errors) nutzen wir Functional Software Inc. dba Sentry (45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA).

Sentry verarbeitet:

Verarbeitete Daten dienen ausschließlich der Stabilität der App und werden nicht für andere Zwecke (Werbung, Profiling) genutzt.

Drittlandsübermittlung: USA. Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (Modul 2, Beschluss 2021/914 der Kommission).

Speicherdauer: 30 Tage automatische Löschung (Sentry-Default).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Bereitstellung eines fehlerfreien Dienstes).

Datenschutzrichtlinie: sentry.io/privacy

5. Datenübermittlung in Drittländer (Art. 44-49 DSGVO)

Wir übermitteln personenbezogene Daten an Dienstleister in den USA. Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Betroffene Dienstleister:

6. Datenspeicherung und Aufbewahrungsfristen

Deine Daten werden auf Servern in der EU (europe-west1, europe-west3) gespeichert. Wir speichern Daten nur so lange, wie es für die Bereitstellung der App erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen.

Datenkategorie Speicherdauer
Account-Daten (Name, E-Mail, Profilbild) Bis zur Löschung des Accounts
Event-Daten (vergangene Events) 12 Monate nach Event-Ende
Bewertungen (Gathered Score) Bis zur Löschung des Accounts; öffentliche Texte jederzeit selbst löschbar
Stories 24 Stunden (automatische Löschung)
Chat-Nachrichten Bis zur Löschung des Events bzw. der Truppe
Follower/Following-Beziehungen Bis zur Löschung des Accounts
Zahlungsdaten 10 Jahre (gesetzliche Aufbewahrungspflicht, HGB § 257)
Moderationsdaten (NetzDG) 10 Wochen
Device Fingerprint Nur während des Rate-Limit-Fensters (max. 5 Minuten), keine dauerhafte Speicherung
Crowd-Insight-Statistiken (aggregiert, Abschnitt 2.6) Bis 7 Tage nach Event-Ende; bei Event-Löschung sofort
ML-Interaktionsdaten Bis zum Widerspruch des Nutzers
Analyse-Daten (PostHog) Bis zum Widerruf der Einwilligung

Die automatische Löschung erfolgt täglich um 3:00 Uhr (Europe/Berlin) durch unser serverseitiges Datenbereinigungssystem.

6a. Analytics-Modell (Zwei Stufen)

Stufe 1: Anonyme Statistiken

Ab App-Start erfassen wir anonyme Nutzungsstatistiken ohne User-ID. Dies dient der App-Verbesserung und Performance-Überwachung.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Opt-Out: In der App unter Einstellungen > Datenschutz > "Anonyme Nutzungsstatistiken" deaktivieren.

Stufe 2: Personalisiertes Tracking

Nur mit deiner ausdrücklichen Einwilligung verknüpfen wir Analytics-Daten mit deiner User-ID. Dies ermöglicht personalisierte Features und A/B-Tests.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Standardmäßig deaktiviert. Aktivierung in Einstellungen > Datenschutz > "Nutzungsanalyse".

7. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Wir nutzen maschinelles Lernen zur Personalisierung von Event-Empfehlungen. Es findet keine automatisierte Einzelentscheidung im Sinne von Art. 22 DSGVO statt. Alle Empfehlungen sind unverbindliche Vorschläge, die keine rechtliche Wirkung entfalten.

8. Deine Rechte

Du hast folgende Rechte bezüglich deiner Daten:

Widerrufsrecht bei Einwilligung (Art. 7 Abs. 3 DSGVO)

Sofern die Verarbeitung deiner Daten auf deiner Einwilligung beruht (z.B. Push-Benachrichtigungen, Analytics), kannst du diese Einwilligung jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Du kannst deine Einwilligung wie folgt widerrufen:

Widerspruchsrecht (Art. 21 DSGVO)

Du kannst jederzeit Widerspruch gegen die Verarbeitung deiner Daten einlegen:

Bei Widerspruch gegen personalisierte Empfehlungen werden deine ML-Daten unverzüglich gelöscht.

Daten exportieren oder löschen

In der App unter Profil > Einstellungen > Datenschutz kannst du:

9. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein:

10. Minderjährige

Die App richtet sich an Personen ab 16 Jahren. Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren.

11. Änderungen

Wir können diese Datenschutzerklärung aktualisieren. Bei wesentlichen Änderungen informieren wir dich in der App.

12. Kontakt & Beschwerderecht

Bei Fragen zum Datenschutz kontaktiere uns:

E-Mail: Lenny@gathered.world

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, z.B. beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI).