Datenschutzerklärung

1. Verantwortliche Stelle

BoulderFlow (privat betrieben)

Sebastian Knaack

Fliederweg 19

21493 Schwarzenbek, Deutschland

E-Mail: basti.knaack@gmail.com

2. Verarbeitete Datenkategorien

Je nach Nutzung verarbeitet BoulderFlow insbesondere folgende Daten:

• Kontodaten: E-Mail-Adresse, Anzeigename, ggf. Profilfoto-URL (bei Registrierung/Login).
• Benutzerprofil-Daten in Firestore: z. B. bevorzugte Halle/Crew sowie Berechtigungsflags.
• Nutzungs- und Inhaltsdaten: Hallen, Routen, Crew-Daten, Logbuch-/Bewertungsdaten.
• Gastbewertungsdaten: Gast-Schlüssel (im Browser gespeichert), Bewertungsdaten und ein Hash des User-Agents zur Missbrauchsbegrenzung.
• Technische Daten für den Betrieb: lokale Browser-Speicherwerte, funktionales Sidebar-Cookie, Fehler-/Berechtigungsfehler im Client.
• Eingaben in die KI-Funktion für Routennamen (z. B. Stil, Thema, Grad), sofern die Funktion aktiv genutzt wird.

3. Zwecke und Rechtsgrundlagen der Verarbeitung

• Bereitstellung der App und Benutzerkonten: Registrierung, Login, Kontoverwaltung, Benutzerprofil und personalisierte Funktionen (z. B. Favoritenhalle, Crews, Logbuch). Rechtsgrundlage ist in der Regel Art. 6 Abs. 1 lit. b DSGVO (Nutzung der angeforderten Funktion / vorvertragliche bzw. vertragliche Nutzung).
• Betrieb von Hallen-, Routen-, Crew- und Logbuchfunktionen: Speicherung und Anzeige der von Nutzenden angelegten oder genutzten Daten (z. B. Routen, Bewertungen, Crew-Termine, Präsenzdaten). Rechtsgrundlage ist regelmäßig Art. 6 Abs. 1 lit. b DSGVO.
• IT-Sicherheit und Missbrauchsvermeidung: Absicherung der App, Fehleranalyse sowie Begrenzung missbräuchlicher Gastbewertungen (u. a. über Gast-Schlüssel und User-Agent-Hash). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und funktionsfähigem Betrieb).
• KI-Funktion zur Generierung von Routennamen: Verarbeitung der eingegebenen Prompt-Daten zur Bereitstellung der ausdrücklich angeforderten KI-Funktion. Rechtsgrundlage ist regelmäßig Art. 6 Abs. 1 lit. b DSGVO.
• Einwilligungsbasierte Dienste (falls künftig ergänzt): Für optionale Tracking-, Analyse- oder Marketingdienste würden wir vor Aktivierung eine Einwilligung einholen. Rechtsgrundlage wäre dann Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TDDDG (soweit einschlägig).

4. Authentifizierung (Firebase, Google, Apple)

BoulderFlow verwendet Firebase Authentication für E-Mail/Passwort-Login sowie optional Google- und Apple-Login (OAuth via Popup).

Bei erfolgreicher Anmeldung werden im aktuellen Setup insbesondere E-Mail-Adresse, Anzeigename und ggf. Foto-URL in einem Benutzerprofil gespeichert bzw. ergänzt.

Welche Daten im Einzelnen vom jeweiligen Login-Anbieter an Firebase bzw. an BoulderFlow übermittelt werden, hängt vom gewählten Anbieter und den dortigen Datenschutzeinstellungen ab.

5. Hosting, Datenbank, Speicher und Empfänger

BoulderFlow nutzt Dienste von Firebase / Google Cloud für Hosting-nahe Funktionen, Authentifizierung, Firestore (Datenbank) und Firebase Storage (z. B. Routenbilder).

Bei Nutzung der KI-Funktion für Routennamen werden Prompt-Eingaben an den konfigurierten KI-Dienst (im aktuellen Setup: Google AI via Genkit) übermittelt.

Bitte prüfe vor dem produktiven Einsatz die jeweils aktuellen Vertragsunterlagen (insbesondere Auftragsverarbeitung / Datenverarbeitungsbedingungen), Datenstandorte und etwaige Drittlandübermittlungen.

Schriftarten werden im aktuellen Stand über Next.js (`next/font`) eingebunden und nicht mehr direkt von Google Fonts beim Seitenaufruf nachgeladen.

6. KI-Funktion für Routennamen

Die KI-Funktion verarbeitet die von dir eingegebenen Informationen (z. B. Stil, Thema, Grad), um Namensvorschläge für Routen zu erzeugen.

Bitte gib dort keine personenbezogenen Daten oder vertraulichen Informationen ein. Die Eingaben sind für die Nutzung der Funktion bestimmt und können beim externen KI-Anbieter verarbeitet werden.

7. Lokaler Speicher und Cookies (aktueller Stand)

Im aktuellen Stand setzt BoulderFlow keine Marketing- oder Analyse-Cookies. Es werden jedoch funktionale Browser-Speicher und ein funktionales Cookie verwendet.

• `sidebar_state` (Cookie): Speichert den Zustand der Seitenleiste (ein-/ausgeklappt) für Komfortfunktionen. Speicherdauer aktuell: 7 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (funktionaler Betrieb / Nutzungsfreundlichkeit).
• `boulderflow_locale` (Local Storage): Speichert die gewählte Sprache (Deutsch/Englisch). Speicherdauer: bis zur Änderung oder Löschung der Browserdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
• `boulderflow_active_gym_id:*` (Session Storage): Speichert die temporär ausgewählte aktive Halle während der Browser-Sitzung. Speicherdauer: bis Sitzungsende oder manuelle Löschung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
• `boulderflow_guest_key` (Local Storage): Stabiler Gast-Schlüssel für Gastbewertungen, damit Bewertungen technisch zugeordnet und Missbrauch begrenzt werden können. Speicherdauer: bis zur Löschung der Browserdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

8. Speicherdauer und Löschung

Wir speichern personenbezogene Daten grundsätzlich nur so lange, wie sie für die jeweiligen Zwecke erforderlich sind oder gesetzliche Aufbewahrungspflichten bestehen.

• Benutzerkonten / Benutzerprofile: grundsätzlich bis zur Löschung des Kontos bzw. bis zur Beendigung der Nutzung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Routen-, Hallen-, Crew- und Logbuchdaten: bis zur Löschung durch berechtigte Nutzende bzw. Betreiber oder bis zur Entfernung der betreffenden Inhalte. Eine automatische Löschroutine ist im aktuellen Stand nicht für alle Datentypen implementiert.
• Routenbilder in Firebase Storage: bis zur Löschung des Bildes bzw. der zugehörigen Route.
• Gastbewertungsdaten (inkl. User-Agent-Hash in Logs): bis zur Löschung des jeweiligen Logs durch berechtigte Personen oder technische/organisatorische Bereinigung.
• Lokale Browser-Speicher und Cookies: siehe Abschnitt 7 (Speicherdauer je Schlüssel/Cookie).

Hinweis: Ein detailliertes Löschkonzept (inkl. regelmäßiger Bereinigung bestimmter Datenarten) sollte vor dem produktiven Einsatz festgelegt werden.

9. Rechte betroffener Personen

Betroffene Personen haben insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch nach Maßgabe der DSGVO.

Anfragen können an die oben genannte E-Mail-Adresse gerichtet werden. Bitte beschreibe dein Anliegen möglichst konkret (z. B. welches Konto / welche Daten betroffen sind).

10. Stand und Aktualisierung dieser Erklärung

Diese Datenschutzerklärung basiert auf dem technischen Stand von BoulderFlow im aktuellen Entwicklungsstand. Wenn Funktionen, Integrationen oder Datenflüsse geändert werden, muss diese Erklärung entsprechend aktualisiert werden.

Vor produktivem Einsatz sollte eine abschließende rechtliche Prüfung erfolgen.