Datenschutzerklärung (DSGVO)

Stand: 21.01.2026

1. Verantwortlicher

Stefan Chudalla
Fröbelstraße 14
48324 Sendenhorst
E-Mail: stchudalla@gmail.com

1a. Datenschutzbeauftragter

Es ist kein Datenschutzbeauftragter bestellt, da die gesetzlichen Voraussetzungen des Art. 37 DSGVO / § 38 BDSG nicht erfüllt sind.

1b. Zuständige Aufsichtsbehörde

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2–4
40213 Düsseldorf
Deutschland
Website: www.ldi.nrw.de
Übersicht der Aufsichtsbehörden: bfdi.bund.de

2. Allgemeine Informationen zur Datenverarbeitung

Wir nehmen den Schutz deiner personenbezogenen Daten sehr ernst. Wir verarbeiten deine Daten ausschließlich im Rahmen der gesetzlichen Bestimmungen (insbesondere DSGVO und BDSG). Ziel dieser Datenschutzerklärung ist es, dir verständlich darzulegen, welche Daten wir erheben, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange wir sie speichern; zudem informieren wir dich über deine Rechte als betroffene Person. Diese Datenschutzerklärung gilt für die App sowie die Website midwork-hour.de.

3. Arten der verarbeiteten Daten

• Registrierung & Login: Vorname, E-Mail, Passwort (gehasht), Zeitstempel (z. B. Kontoerstellung, letzte Anmeldung)
• Drittanbieter-Login (Google / Apple): Name, E-Mail, ggf. Profilbild, soweit vom Drittanbieter übermittelt
• Profilangaben: Geburtsdatum, Universität / Unternehmen, Studiengang / Abteilung, Beschäftigungsart (z. B. Werkstudent), Zeiträume (von / bis), Vibe-Präferenzen, Sichtbarkeitseinstellungen
• Standortdaten (optional): Adresse / Standortkoordinaten (Latitude, Longitude), sofern du dies aktiv erlaubst (z. B. für Kartenfunktionen / Nähe-Vorschläge)
• Profilbild/Medien: Hochgeladene Bilder
• Kommunikation / Chat: Private Nachrichten (Text), GIF-URLs (bei Nutzung), Zeitstempel
• Push-Benachrichtigungen: FCM-Token, Themenabonnements (z. B. "campaigns"), Präferenzen (Opt-in/Opt-out)
• Nutzungs- / Systemdaten: Logdaten, Fehlerberichte, Match-Historie, Geräteinformationen, Zeitstempel, IP-Adresse (zur Stabilität, Sicherheit, Missbrauchsabwehr)
• Websitezugriffsdaten: IP-Adresse, Datum/Uhrzeit, aufgerufene Seiten, Referrer-URL, User-Agent
• Events & Teilnahmen: Angaben zu von dir erstellten oder gebuchten Events (z. B. Titel, Beschreibung, Datum/Uhrzeit, Ort, Workspace/Unternehmen, Teilnehmerlisten auf Basis von Nutzer-IDs)
• Moderation: Meldungen/Reports (z. B. wegen Spam, unangemessenem Verhalten, Minderjährigkeit)
• Support/Feedback/Kontakt: Inhalte deiner Anfragen (Thema, Nachricht), freiwillige Kontaktangaben (z. B. E-Mail) sowie Zeitstempel; bei Nutzung des Website-Kontaktformulars (Formspree) zusätzlich technische Nutzungsdaten (z. B. IP-Adresse)

3a. Datenherkunft

Die meisten Daten erhalten wir direkt von dir (z. B. bei Registrierung, Profilausfüllung, Nutzung der App). Bei Anmeldung über Apple/Google erhalten wir die von dir freigegebenen Profildaten (Name, E-Mail, ggf. Profilbild) vom jeweiligen Anbieter. Beim Besuch der Website fallen technisch notwendige Zugriffsdaten an (z. B. IP-Adresse, Zeitstempel, User-Agent, Referrer).

4. Zwecke der Verarbeitung

• Bereitstellung und Betrieb der App-Funktionen (Registrierung, Login, Matching, Chat, Profilverwaltung, Medienspeicher)
  Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
• Bereitstellung und Betrieb der Website (Darstellung von Inhalten, technische Sicherheit)
  Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
• Vibe-basierte Vorschläge und Serendipity-Matches nach Zeitfenster und Nähe
  Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; im Rahmen von Optimierungen ggf. Art. 6 Abs. 1 lit. f DSGVO.
• Optional: Anzeige deines Profils / Ortes auf einer Karte für andere Nutzer, sofern du der Anzeige zustimmst
  Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
• Versand von Push-Benachrichtigungen (z. B. bei neuen Nachrichten/Matches); Marketing-Push nur mit Einwilligung
  Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Service-Messages), Art. 6 Abs. 1 lit. a DSGVO (Marketing).
• Sicherheit, Missbrauchsabwehr, Fehlerdiagnose und Stabilität der Plattform
  Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und stabilem Betrieb).
• Bearbeitung von Support- und Kontaktanfragen (In-App, E-Mail, Kontaktformular/Formspree) inkl. Dokumentation zur Qualitätssicherung und Verbesserung des Dienstes
  Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Antwort auf deine Anfrage); Art. 6 Abs. 1 lit. f DSGVO (Qualitätssicherung).
• Planung, Durchführung und Auswertung von Events (z. B. Anzahl Teilnehmender je Workspace, Profil-Vollständigkeit), in der Regel auf aggregierter bzw. pseudonymisierter Basis für Admin-Übersichten
  Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Teilnahme am Event), Art. 6 Abs. 1 lit. f DSGVO (Auswertung/Optimierung).
• Interne Analysen zur Verbesserung des Dienstes (aggregiert/pseudonymisiert, datenschutzfreundlich)
  Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; bei Einsatz einwilligungsbedürftiger Tools zusätzlich Art. 6 Abs. 1 lit. a DSGVO.

Profiling/Matching (Hinweis nach Art. 13 Abs. 2 lit. f DSGVO): Wir gewichten u. a. Vibe, Altersangabe (aus deinem Geburtsdatum), von dir gewählte Alters- und Distanz-Präferenzen („searchPreferences“), Entfernung (aus Standortdaten), Workspace/Unternehmen sowie deine Match-Historie, um Vorschläge und Serendipity-Matches zu generieren. Bedeutung/Folgen: reine Vorschläge/Sortierung; keine automatisierte Entscheidung mit Rechtswirkung. Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die rechtliche Wirkung entfaltet oder dich in ähnlicher Weise erheblich beeinträchtigt. Du kannst Präferenzen jederzeit anpassen, Vorschläge ignorieren oder deine Sichtbarkeit einschränken.

5. Rechtsgrundlagen der Verarbeitung

• Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen): Verarbeitung zur Erfüllung deines Nutzungsvertrags mit midwork hour (z. B. Login, Matching, Chat, Teilnahme an Events)
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Freiwillige Funktionen wie Standortfreigabe / Kartendarstellung, GIF-Suche/Einbindung, Marketing-Push, ggf. Analytics/Crashlytics
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Systembetrieb, Sicherheit, Betrugserkennung, Logging, Stabilität der Infrastruktur, interne Analysen – soweit nicht deine Interessen oder Grundrechte überwiegen
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Erfüllung gesetzlicher Pflichten (z. B. Aufbewahrungen, Auskünfte)

6. Empfänger / Kategorien von Empfängern

• Google Firebase (Google Ireland Limited) zur Nutzung folgender Dienste:
  • Firebase Auth (Login / Identitätsmanagement)
  • Cloud Firestore (Speicherung von Profilen, Chats, Nachrichten, Events, Support-Fällen)
  • Firebase Cloud Messaging (Push-Benachrichtigungen)
  • Firebase Storage (Speicherung von Profilbildern/Medien)
  • Optional: Firebase Crashlytics/Analytics (Fehlerdiagnose/Analyse) – nur, sofern wir diese aktivieren und ggf. deine Einwilligung vorliegt
• Giphy (Giphy, Inc., USA): GIF-Suche/Einbettung (Übermittlung von GIF-URLs und technischen Daten bei Nutzung)
• Google Maps (Google Ireland Limited): Kartendarstellung/Geodienste (nur nach Einwilligung/Standortfreigabe)
• Hosting / Infrastruktur (App/Backend): Firebase Hosting, Cloud Functions (Google Ireland Limited, inkl. CDN)
• Website-Hosting/CDN: Netlify (Netlify, Inc., USA)
• Formspree (Formspree, Inc., USA): Bereitstellung des Website-Kontaktformulars und Übermittlung der Anfrage
• E-Mail/Kommunikation: Gmail (Google Ireland Limited / Google LLC) zur Beantwortung von Anfragen
• Drittanbieter-Login (Google / Apple): Beim Login über Google oder Apple verarbeitest du außerdem Daten direkt gegenüber diesen Anbietern, die insoweit eigene Verantwortliche sind. Details findest du in den jeweiligen Datenschutzerklärungen.
• Behörden / Rechtsberatung: Offenlegung an Behörden, Gerichte oder Rechtsberater, sofern gesetzlich vorgeschrieben oder zur Durchsetzung/Abwehr von Ansprüchen erforderlich

Mit allen Auftragsverarbeitern schließen wir Verträge nach Art. 28 DSGVO. Diese verarbeiten Daten nur nach unserer Weisung und unter geeigneten Schutzmaßnahmen.

7. Datenübermittlung in Drittländer

Bei einzelnen Diensten (z. B. Giphy, Formspree, Netlify sowie bestimmten Google-Diensten) kann eine Übermittlung in Drittländer außerhalb der EU/des EWR stattfinden, insbesondere in die USA. Soweit für das jeweilige Drittland kein Angemessenheitsbeschluss der EU-Kommission vorliegt, nutzen wir insbesondere die Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO als geeignete Garantie und führen – soweit erforderlich – Transfer Impact Assessments (TIA) durch. Zusätzlich setzen wir technische und organisatorische Maßnahmen ein (z. B. Verschlüsselung, Pseudonymisierung), um deine Daten bestmöglich zu schützen. Soweit Anbieter am EU-US Data Privacy Framework teilnehmen, stützen wir uns ergänzend hierauf.

7a. Auftragsverarbeitung (Art. 28 DSGVO)

Mit unseren Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung. Die Anbieter verarbeiten Daten ausschließlich nach dokumentierter Weisung und unter geeigneten Schutzmaßnahmen.

7b. Speicherort/Region

Hauptspeicherort für Nutzerdaten in Firebase ist nach unserer Konfiguration europe-west3 (Frankfurt). Medien in Firebase Storage werden in Rechenzentren derselben oder einer vergleichbaren Region gespeichert. Einzelne technische Vorgänge (z. B. Support, Wartung) können in anderen Regionen stattfinden.

8. Speicherdauer / Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die Zwecke erforderlich ist, für die sie erhoben wurden, oder wie wir gesetzlich dazu verpflichtet sind. Gesetzliche Aufbewahrungsfristen bleiben unberührt.

• Konto/Profil: bis zur Account-Löschung; anschließende Löschung oder Anonymisierung in der Regel innerhalb von 30 Tagen
• Nachrichten/Chats: Chat-Verläufe werden in Firebase Firestore gespeichert und bleiben grundsätzlich bestehen, solange die beteiligten Konten existieren. Wenn du dein Konto löschst, bleiben Nachrichten im Verlauf der anderen Beteiligten technisch erhalten; dein Profil wird jedoch gelöscht und nicht mehr für neue Matches oder sonstige Zwecke genutzt.
• Profilbilder/Medien: bei Ersetzung oder Account-Löschung in der Regel innerhalb von 30 Tagen
• FCM-Token: solange Push-Benachrichtigungen für dein Konto aktiv sind und ein Nutzerkonto besteht. Bei Kontolöschung bzw. wenn wir Push-Dienste für ein Projekt einstellen, werden die zugehörigen Tokens nicht mehr für Zustellungen verwendet und aus den Nutzerprofilen entfernt.
• Log- / Fehlerdaten: in der Regel 90 Tage
• Reports/Moderation: bis zum Abschluss des Vorgangs plus in der Regel 6 Monate Nachweisfrist
• Support/Feedback/Kontakt (z. B. In-App, E-Mail, Website-Kontaktformular/Formspree): bis zur abschließenden Bearbeitung deiner Anfrage und ggf. darüber hinaus, soweit gesetzlich zulässig/erforderlich (z. B. bis zu 3 Jahre zur Abwehr oder Durchsetzung von Rechtsansprüchen)
• Events & Teilnahmen: solange das Event aktiv ist und darüber hinaus für einen üblichen Dokumentationszeitraum (z. B. bis zu 3 Jahre), soweit gesetzlich zulässig/erforderlich

9. Deine Rechte

• Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung (Art. 15–18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO)
• Recht auf Widerruf von Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
• Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO)

Du kannst dein Konto in der App in den Profileinstellungen löschen. Für Auskunft, Datenübertragbarkeit, Einschränkung der Verarbeitung, Widerspruch oder weitere Rechte kannst du uns über die in der App verlinkten Kontaktmöglichkeiten (z. B. Kontaktformular oder die im Impressum/Datenschutz angegebene E-Mail-Adresse) erreichen. Wir antworten in der Regel innerhalb von 30 Tagen.

9a. Widerruf & Opt-out (praktisch)

Marketing-Push kannst du in der App unter Einstellungen > Benachrichtigungen gezielt deaktivieren. Standort- und Push-Berechtigungen kannst du jederzeit über die Systemeinstellungen deines Geräts (iOS/Android) widerrufen. Karten (Google Maps) sowie GIFs (Giphy) werden im Rahmen der jeweiligen Funktion (Map-Ansicht bzw. Chat-GIFs) geladen; wenn du dies nicht möchtest, kannst du die entsprechenden App-Funktionen nicht nutzen bzw. Standort- und Berechtigungen beschränken. Soweit für einzelne Funktionen eine Einwilligung erforderlich ist, kannst du diese jederzeit mit Wirkung für die Zukunft widerrufen.

10. Sicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen ein, um deine Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen (z. B. TLS-Verschlüsselung, rollenbasierte Zugriffe / Firestore Security Rules, Härtung von Backends, Backups, Protokollierung, Least-Privilege-Prinzip).

11. Kinder und Jugendliche

midwork hour richtet sich grundsätzlich an Personen ab 18 Jahren (DE/EU). Die Altersangabe erfolgt per Selbstauskunft/Age-Gate. Bitte keine Registrierung unterhalb dieser Altersgrenze. Sollten wir Kenntnis von einer unzulässigen Registrierung erhalten, löschen wir den Account und die personenbezogenen Daten so schnell wie möglich.

12. Standortdaten & Kartenfunktionen

Die Freigabe deines Standorts ist freiwillig. Wenn du dies im Betriebssystem (iOS/Android) erlaubst, können wir Adresse/Koordinaten (soweit du sie in deinem Profil hinterlegst oder per Standortfreigabe übermittelst) speichern und – bei aktiver Sichtbarkeit – anderen Nutzer:innen auf einer Karte anzeigen sowie für Nähe-Vorschläge nutzen. Für Kartendarstellungen setzen wir Google Maps ein. In der App wird die Karte beim Aufruf der Map-Funktion geladen; in der Web-App wird das Google-Maps-Script bereits beim Laden der App eingebunden. Dabei können technische Daten (z. B. IP-Adresse, Browserinformationen) an Google übertragen werden. Hinweise von Google: Datenschutzerklärung. Du kannst die Standortfreigabe jederzeit in den Systemeinstellungen deines Geräts oder innerhalb der App deaktivieren.

13. Chat, GIFs & Kommunikation

Nachrichten werden in Firebase Firestore gespeichert, um Chatverläufe bereitzustellen. Für GIF-Suche und -Einbettung verwenden wir Giphy; beim Laden von GIF-Vorschlägen und beim Senden/Einbetten von GIFs werden Anfragen an Giphy gestellt und dabei können technische Daten (z. B. IP-Adresse, Geräte-/Browser-Informationen) in die USA übermittelt werden. Details: Giphy Privacy. Die Nutzung von GIFs ist freiwillig; du kannst stattdessen reine Textnachrichten verwenden. Bitte sende keine besonders sensiblen Inhalte über den Chat (z. B. Gesundheitsdaten, politische Meinungen).

14. Erforderlichkeit und Freiwilligkeit der Bereitstellung

Einige Angaben (z. B. E-Mail und Passwort oder Drittlogin) sind für die Kernfunktionen (Registrierung, Login, Basiskonto) erforderlich. Für das Matching/Lunch-Roulette sind zusätzlich bestimmte Profilangaben erforderlich (z. B. Geburtsdatum zur Altersberechnung, Workspace/Unternehmen, optionale Standort- und Präferenzangaben); ohne diese kann die Funktion nur eingeschränkt genutzt werden. Andere Angaben (z. B. Profilbild, Vibe-Präferenzen, Marketing-Push) sind freiwillig und werden nur mit deiner Zustimmung verarbeitet. Ein Widerruf deiner Einwilligung hat keinen Einfluss auf die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

15. Social-Media-Links

Unsere Website enthält Links zu Instagram und TikTok. Wenn du einen solchen Link anklickst, werden Daten (z. B. IP-Adresse, Browserinformationen) an den jeweiligen Anbieter übertragen. Wenn du dort eingeloggt bist, kann der Anbieter den Besuch deinem Profil zuordnen. Wir haben keinen Einfluss auf diese Verarbeitung; es gelten die Datenschutzerklärungen der Anbieter.

Anbieter und Datenschutzhinweise: Instagram (Meta Platforms Ireland Limited) und TikTok (TikTok Technology Limited, Irland).

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren (z. B. aufgrund neuer Funktionen/Anbieter oder geänderter Rechtslage). Die jeweils aktuelle Fassung ist in der App und/oder auf der Website abrufbar. Wesentliche Änderungen kündigen wir in der App oder per E-Mail an, sofern möglich. Die jeweils aktuelle Fassung gilt ab Veröffentlichung; eine erneute Einwilligung holen wir ein, soweit rechtlich erforderlich.

Datenschutz für die Website

Diese Hinweise gelten ergänzend für den Besuch von midwork-hour.de.

• Server-Logfiles: Bei jedem Zugriff verarbeiten wir technische Zugriffsdaten (z. B. IP-Adresse, Datum/Uhrzeit, aufgerufene Seite, Referrer, User-Agent), um die Website bereitzustellen, die Sicherheit zu gewährleisten und Fehler zu analysieren. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
• Hosting/CDN: Die Website wird über Netlify (Netlify, Inc., USA) ausgeliefert. Dabei werden die genannten Zugriffsdaten verarbeitet. Details zu Empfängern und Drittlandübermittlungen findest du in den Abschnitten 6 und 7.
• Externe Links: Wenn du Links zu Social Media oder anderen externen Seiten anklickst, erfolgt die Datenverarbeitung beim jeweiligen Anbieter. Siehe Abschnitt 15.

Weitere Details zu Cookies/ähnlichen Technologien und zum Website-Kontaktformular findest du in den folgenden Boxen.