Privacy Policy

1. Controller

The controller within the meaning of data protection laws, in particular the EU General Data Protection Regulation (GDPR), is:

Janik Uellendahl
Theresienstr. 8
94032 Passau
Email: info@gridtheft.com

This privacy policy applies to the use of the mobile application Grid Theft (hereinafter "App"), as well as the website (hereinafter "Website"), and informs users (hereinafter "Users" or "You") about the nature, scope, and purpose of the collection and use of personal data by the provider (hereinafter "Provider" or "we").

2. General Information

We take the protection of your personal data very seriously and treat your personal data confidentially and in accordance with statutory data protection regulations and this privacy policy.

The use of our App and Website is generally only possible with registration. Various personal data is collected and processed in this context.

Personal data is any data that can be personally related to you, e.g., name, address, email addresses, usage behavior, fitness data.

3. Legal Basis for Data Processing

If we obtain consent from the data subject for processing operations of personal data, Article 6(1)(a) GDPR serves as the legal basis.

For the processing of personal data necessary for the performance of a contract to which the data subject is party, Article 6(1)(b) GDPR serves as the legal basis.

If processing of personal data is necessary for compliance with a legal obligation, Article 6(1)(c) GDPR serves as the legal basis.

If processing is necessary to protect a legitimate interest of our company or a third party, Article 6(1)(f) GDPR serves as the legal basis.

4. Collection and Storage of Personal Data

4.1 Registration and User Account

When registering to use our App, the following data is collected:

• Email address

Legal basis: Article 6(1)(b) GDPR (contract performance).

Purpose: Providing a personalized user account and enabling the App's functions.

Storage duration: Until the user account is deleted.

4.2 Fitness and Activity Data

When using the App, the following fitness and activity data is processed:

• Training activities (cycling)
• Training data (distance, time, speed, pace)
• GPS data from training activities
• GPX files from fitness devices
• Grid traversal data (which 1x1 km squares were crossed)

Legal basis: Article 6(1)(a) GDPR (consent) and Article 6(1)(b) GDPR (contract performance).

Purpose: Tracking grid square traversals, displaying your personal map, leaderboards, and pack (Rudel) statistics.

Storage duration: As long as you use the App and until your user account is deleted.

4.3 Integration of Third-Party Providers (Strava, Garmin, Wahoo, Polar)

You can connect your accounts from third-party providers (e.g., Strava, Garmin, Wahoo, Polar) with the App to automatically synchronize activity data.

Legal basis: Article 6(1)(a) GDPR (consent).

Processed data:

• OAuth authentication tokens
• Activity data from connected platforms
• Profile information (as released by you)

Purpose: Automatic synchronization of your training activities.

Storage duration: Until you disconnect the service in the settings.

Note: The third-party providers' own privacy policies apply to the processing of your data by them.

4.3.1 Garmin Connect Developer Program Data

Data obtained from Garmin via the Garmin Connect Developer Program is processed exclusively within Grid Theft to calculate grid square traversals and display your activities to you. We explicitly confirm the following:

• Garmin data is not processed by any external artificial intelligence (AI), machine learning, or large language model service.
• Garmin data is not used to train any AI or machine learning models.
• Garmin data is not sold, licensed, or otherwise disclosed to advertisers, data brokers, or any other third party.

Upon your request (e.g. by disconnecting Garmin in the App settings or deleting your Grid Theft account), all Garmin data in our possession is deleted within 48 hours.

4.4 Location Data

The App can access your location if you allow this in the device settings.

Legal basis: Article 6(1)(a) GDPR (consent).

Purpose: Location data is used to enable GPS-based activity recordings and to determine which grid squares you traverse.

Control: You can revoke location permission at any time in your device settings.

4.5 Apple HealthKit Data

With your permission, the App can read workout data from Apple HealthKit on your device, including workout routes, distance, duration, and activity type.

Legal basis: Article 6(1)(a) GDPR (consent).

Purpose: Importing workout activities to determine grid square traversals.

Processing: HealthKit data is read locally on your device and transmitted to our servers only to the extent necessary for grid tracking (GPS coordinates, distance, duration). We do not store raw HealthKit data beyond what is needed for activity processing.

Control: You can revoke HealthKit access at any time in your device's Health settings. HealthKit data is never used for advertising or shared with third parties.

4.6 Push Notifications

If you enable push notifications, we collect your device push token to deliver notifications about activity updates, pack events, and other relevant information.

Legal basis: Article 6(1)(a) GDPR (consent).

Processed data: Device push token, notification preferences, device platform (iOS/Android).

Purpose: Sending timely notifications about game events, pack activity, and social interactions.

Control: You can disable push notifications at any time in your device settings or in the App's notification preferences.

4.7 Use of the Website

Each time our Website is accessed, our system automatically collects data from the accessing device:

• IP address
• Date and time of access
• Browser type and version
• Operating system used
• Referrer URL

Legal basis: Article 6(1)(f) GDPR (legitimate interest).

Purpose: Ensuring the functionality and security of the Website.

Storage duration: At the latest after 7 days.

5. Use of User Content for Advertising

If you grant marketing consent during onboarding or in the App settings, you allow the Provider to use content you upload or make available through the App — including but not limited to photos, images, profile pictures, and activity data (hereinafter "User Content") — for advertising and promotional purposes.

Scope of use: User Content may be used in posts on social media platforms (e.g., Instagram, Facebook, TikTok, X/Twitter, LinkedIn), on the Provider's website, in newsletters, in print materials, in digital advertisements, and in any other marketing or promotional channels.

Legal basis: Article 6(1)(a) GDPR (explicit consent via the marketing consent toggle).

Withdrawal: You may withdraw your marketing consent at any time in the App settings or by contacting us at info@gridtheft.com. Upon withdrawal, we will cease using your User Content in new advertising materials. Content already published prior to withdrawal (e.g., social media posts) may not be fully retractable, but we will make reasonable efforts to remove it.

No requirement: Marketing consent is entirely optional and is not required to use the App. Declining or withdrawing marketing consent has no effect on your access to the App's features.

6. Disclosure of Data

We do not transfer your personal data to third parties for purposes other than those listed below. We only disclose your personal data to third parties if:

• You have given your express consent (Article 6(1)(a) GDPR)
• The disclosure is necessary for the establishment, exercise, or defense of legal claims (Article 6(1)(f) GDPR)
• There is a legal obligation to disclose (Article 6(1)(c) GDPR)
• It is necessary for the processing of contractual relationships (Article 6(1)(b) GDPR)

6.1 Hosting and Backend Services

Supabase: We use Supabase for database hosting and authentication.

• Provider: Supabase, Inc., 65 Chulia Street #38-02/03, OCBC Centre, Singapore 049513
• Server location: EU
• Purpose: Database hosting, authentication services, backend functionalities
• Privacy policy: https://supabase.com/privacy

Hetzner Cloud: We use Hetzner Cloud for hosting our server infrastructure.

• Provider: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany
• Server location: EU
• Purpose: Hosting of server infrastructure
• Privacy policy: https://www.hetzner.com/legal/privacy-policy/

6.2 File Storage

Cloudflare R2: We use Cloudflare R2 for storing user-uploaded files (e.g., profile pictures, pack logos).

• Provider: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA
• Server location: EU
• Purpose: Storage of user-uploaded media files
• Data transfer basis: EU Standard Contractual Clauses (SCCs)
• Privacy policy: https://www.cloudflare.com/privacypolicy/

6.3 Map Services

Mapbox: We use Mapbox to display maps and grid overlays in the App.

• Provider: Mapbox, Inc., 740 15th Street NW, Suite 500, Washington, DC 20005, USA
• Processed data: Map tile requests, approximate location coordinates for map rendering, device information, IP address
• Purpose: Rendering interactive maps and grid square visualization
• Legal basis: Article 6(1)(b) GDPR (contract performance — maps are essential to the App's core functionality)
• Data transfer basis: EU Standard Contractual Clauses (SCCs)
• Privacy policy: https://www.mapbox.com/legal/privacy

6.4 Additional Third-Party Services

Sentry (Error Reporting and Performance Monitoring)

• Provider: Functional Software, Inc. dba Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA
• Processed data: Error messages, device information, app version, operating system, IP address
• Purpose: Error analysis, stability improvement, performance optimization
• Legal basis: Article 6(1)(a) GDPR (consent)
• Data transfer basis: EU Standard Contractual Clauses (SCCs)
• Privacy policy: https://sentry.io/privacy/

Expo Push Notifications: We use Expo's push notification service to deliver notifications to your device.

• Provider: 650 Industries, Inc. (Expo), USA
• Processed data: Device push token, notification content
• Purpose: Delivery of push notifications
• Legal basis: Article 6(1)(a) GDPR (consent)
• Data transfer basis: EU Standard Contractual Clauses (SCCs)
• Privacy policy: https://expo.dev/privacy

Your Control: You can grant or revoke your consent for analytics and push notifications at any time in the App settings.

6.5 Ad Measurement (TikTok Business SDK)

TikTok: We use the TikTok Business SDK to measure the effectiveness of TikTok ad campaigns and optimize ad spend.

• Provider: TikTok Pte. Ltd., 1 Raffles Quay, #26-10, South Tower, Singapore 048583. Onward transfers to TikTok Inc. (US) and ByteDance Ltd.
• Processed data: email (SHA-256-hashed by the TikTok SDK on-device before transmit); external user ID (your internal account UUID, in plaintext — used by TikTok for audience matching against advertiser-uploaded customer lists); IDFA (only when ATT permission is granted on iOS); IP address; device model and OS version; app events: install, app_open, CompleteRegistration
• Purpose: Measuring effectiveness of TikTok ad campaigns and optimizing ad spend
• Legal basis: Article 6(1)(a) GDPR (consent — the dedicated "Ad measurement" toggle in onboarding, separate from email marketing consent)
• Data transfer basis: EU Standard Contractual Clauses (SCCs)
• Withdrawal: Settings → Privacy → Ad measurement (off)
• Privacy policy: https://www.tiktok.com/legal/page/global/privacy-policy/en

6.6 International Data Transfers

Some of the third-party providers listed above are based outside the European Economic Area (EEA). Where personal data is transferred to countries without an adequate level of data protection as determined by the European Commission, we ensure appropriate safeguards are in place:

• EU Standard Contractual Clauses (SCCs): We have entered into or rely on contracts incorporating the EU Standard Contractual Clauses with our US- and Asia-based processors (Sentry, Mapbox, Cloudflare, Expo, TikTok) to ensure an adequate level of data protection.
• Supabase: While Supabase, Inc. is headquartered in Singapore, our database is hosted on EU servers. Data processing agreements incorporating SCCs are in place.

7. Cookies and Similar Technologies

7.1 Website

Our Website uses only technically necessary cookies to ensure functionality.

Legal basis: Article 6(1)(f) GDPR (legitimate interest).

7.2 Mobile App

The App stores data locally on your device to ensure functionality and improve user experience. This includes:

• Authentication tokens
• App settings and preferences
• Cache of activity data for offline functionality

8. Your Rights as a Data Subject

You have the following rights with respect to your personal data:

• Right of Access (Article 15 GDPR) — request information about your processed data
• Right to Rectification (Article 16 GDPR) — request correction of inaccurate data
• Right to Erasure (Article 17 GDPR) — request deletion of your data
• Right to Restriction of Processing (Article 18 GDPR)
• Right to Data Portability (Article 20 GDPR) — receive your data in a machine-readable format
• Right to Object (Article 21 GDPR)
• Withdrawal of Consent — withdraw any consent at any time
• Right to Lodge a Complaint with a data protection supervisory authority

9. Exercising Your Rights

To exercise your rights, you can contact us using the contact details provided in the imprint or at the beginning of this privacy policy.

10. Data Security

We use appropriate technical and organizational security measures to protect your data. In particular, we use:

• Encrypted data transmission (SSL/TLS)
• Encrypted data storage
• Access restrictions and authentication
• Regular security updates

11. Storage Duration

We store personal data only for as long as necessary to fulfill the purposes pursued or as required by statutory retention periods. After deletion of your user account, all personal data will be deleted unless statutory retention obligations prevent this.

12. Minors

Our services are aimed at persons who are at least 16 years old. Persons under 16 years of age may not submit personal data to us without the consent of their legal guardians.

13. Changes to This Privacy Policy

We reserve the right to adapt this privacy policy so that it always complies with current legal requirements. The current privacy policy can be accessed at any time in the App and on the Website.

Last updated: April 13, 2026

14. Contact for Data Protection

Janik Uellendahl
Theresienstr. 8
94032 Passau
Email: info@gridtheft.com

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutzgesetze, insbesondere der EU-Datenschutzgrundverordnung (DSGVO), ist:

Janik Uellendahl
Theresienstr. 8
94032 Passau
E-Mail: info@gridtheft.com

Diese Datenschutzerklärung gilt für die Nutzung der mobilen Applikation Grid Theft (nachfolgend „App"), sowie der Webseite (nachfolgend „Webseite"), und informiert die Nutzer (nachfolgend „Nutzer" oder „Sie") über die Art, den Umfang und den Zweck der Erhebung und Verwendung personenbezogener Daten durch den Anbieter (nachfolgend „Anbieter" oder „wir").

2. Allgemeine Hinweise

Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst und behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Die Nutzung unserer App und Webseite ist grundsätzlich nur mit Registrierung möglich. Dabei werden verschiedene personenbezogene Daten erhoben und verarbeitet.

Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, Adresse, E-Mail-Adressen, Nutzungsverhalten, Fitnessdaten.

3. Rechtsgrundlagen der Datenverarbeitung

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses erforderlich, dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

4. Erhebung und Speicherung personenbezogener Daten

4.1 Registrierung und Nutzerkonto

Bei der Registrierung für die Nutzung unserer App werden folgende Daten erhoben:

• E-Mail-Adresse

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Zweck: Bereitstellung eines personalisierten Nutzerkontos und Ermöglichung der App-Funktionen.

Speicherdauer: Bis zur Löschung des Nutzerkontos.

4.2 Fitness- und Aktivitätsdaten

Bei der Nutzung der App werden folgende Fitness- und Aktivitätsdaten verarbeitet:

• Trainingsaktivitäten (Radfahren)
• Trainingsdaten (Distanz, Zeit, Geschwindigkeit, Pace)
• GPS-Daten von Trainingsaktivitäten
• GPX-Dateien von Fitnessgeräten
• Raster-Durchquerungsdaten (welche 1x1 km Quadrate durchquert wurden)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Zweck: Erfassung der Quadrat-Durchquerungen, Anzeige Ihrer persönlichen Karte, Bestenlisten und Rudel-Statistiken.

Speicherdauer: Solange Sie die App nutzen und bis zur Löschung Ihres Nutzerkontos.

4.3 Integration von Drittanbietern (Strava, Garmin, Wahoo, Polar)

Sie können Ihre Konten von Drittanbietern (z.B. Strava, Garmin, Wahoo, Polar) mit der App verbinden, um automatisch Aktivitätsdaten zu synchronisieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Verarbeitete Daten:

• OAuth-Authentifizierungstoken
• Aktivitätsdaten von den verbundenen Plattformen
• Profilinformationen (soweit von Ihnen freigegeben)

Zweck: Automatische Synchronisation Ihrer Trainingsaktivitäten.

Speicherdauer: Bis Sie die Verbindung in den Einstellungen trennen.

Hinweis: Für die Verarbeitung Ihrer Daten durch die Drittanbieter gelten deren eigene Datenschutzerklärungen.

4.3.1 Daten aus dem Garmin Connect Developer Program

Daten, die über das Garmin Connect Developer Program von Garmin bezogen werden, werden ausschließlich innerhalb von Grid Theft verarbeitet, um Ihre Rasterquadrat-Durchquerungen zu berechnen und Ihre Aktivitäten für Sie anzuzeigen. Wir bestätigen ausdrücklich:

• Garmin-Daten werden nicht von externen Diensten für künstliche Intelligenz (KI), maschinelles Lernen oder Large Language Models verarbeitet.
• Garmin-Daten werden nicht zum Trainieren von KI- oder Machine-Learning-Modellen verwendet.
• Garmin-Daten werden nicht verkauft, lizenziert oder anderweitig an Werbetreibende, Datenhändler oder andere Dritte weitergegeben.

Auf Ihre Anfrage (z.B. durch Trennen der Garmin-Verbindung in den App-Einstellungen oder durch Löschen Ihres Grid-Theft-Kontos) werden alle in unserem Besitz befindlichen Garmin-Daten innerhalb von 48 Stunden gelöscht.

4.4 Standortdaten

Die App kann auf Ihren Standort zugreifen, wenn Sie dies in den Geräteeinstellungen erlauben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Zweck: Standortdaten werden verwendet, um GPS-basierte Aktivitätsaufzeichnungen zu ermöglichen und zu bestimmen, welche Rasterquadrate Sie durchqueren.

Steuerung: Sie können die Standortfreigabe jederzeit in den Einstellungen Ihres Geräts widerrufen.

4.5 Apple HealthKit-Daten

Mit Ihrer Erlaubnis kann die App Trainingsdaten aus Apple HealthKit auf Ihrem Gerät auslesen, einschließlich Trainingsrouten, Distanz, Dauer und Aktivitätstyp.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Zweck: Import von Trainingsaktivitäten zur Bestimmung der Rasterquadrat-Durchquerungen.

Verarbeitung: HealthKit-Daten werden lokal auf Ihrem Gerät ausgelesen und nur im für die Rastererfassung erforderlichen Umfang an unsere Server übermittelt (GPS-Koordinaten, Distanz, Dauer). Rohe HealthKit-Daten werden nicht über das für die Aktivitätsverarbeitung Notwendige hinaus gespeichert.

Steuerung: Sie können den HealthKit-Zugriff jederzeit in den Health-Einstellungen Ihres Geräts widerrufen. HealthKit-Daten werden niemals für Werbung verwendet oder an Dritte weitergegeben.

4.6 Push-Benachrichtigungen

Wenn Sie Push-Benachrichtigungen aktivieren, erfassen wir Ihr Geräte-Push-Token, um Benachrichtigungen über Aktivitätsupdates, Rudel-Ereignisse und andere relevante Informationen zuzustellen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Verarbeitete Daten: Geräte-Push-Token, Benachrichtigungseinstellungen, Geräteplattform (iOS/Android).

Zweck: Versand zeitnaher Benachrichtigungen über Spielereignisse, Rudel-Aktivitäten und soziale Interaktionen.

Steuerung: Sie können Push-Benachrichtigungen jederzeit in den Geräteeinstellungen oder in den Benachrichtigungseinstellungen der App deaktivieren.

4.7 Nutzung der Webseite

Bei jedem Aufruf unserer Webseite erfasst unser System automatisiert Daten des abrufenden Geräts:

• IP-Adresse
• Datum und Uhrzeit des Zugriffs
• Browsertyp und -version
• Verwendetes Betriebssystem
• Referrer URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Zweck: Gewährleistung der Funktionsfähigkeit und Sicherheit der Webseite.

Speicherdauer: Spätestens nach 7 Tagen.

5. Nutzung von Nutzerinhalten für Werbezwecke

Wenn Sie während des Onboardings oder in den App-Einstellungen die Marketing-Einwilligung erteilen, erlauben Sie dem Anbieter, Inhalte, die Sie über die App hochladen oder bereitstellen — einschließlich, aber nicht beschränkt auf Fotos, Bilder, Profilbilder und Aktivitätsdaten (nachfolgend „Nutzerinhalte") — für Werbe- und Marketingzwecke zu verwenden.

Umfang der Nutzung: Nutzerinhalte können in Beiträgen auf Social-Media-Plattformen (z.B. Instagram, Facebook, TikTok, X/Twitter, LinkedIn), auf der Webseite des Anbieters, in Newslettern, in Druckmaterialien, in digitalen Werbeanzeigen sowie in allen weiteren Marketing- und Werbekanälen verwendet werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung über den Marketing-Einwilligungs-Toggle).

Widerruf: Sie können Ihre Marketing-Einwilligung jederzeit in den App-Einstellungen oder per Kontakt an info@gridtheft.com widerrufen. Nach dem Widerruf werden Ihre Nutzerinhalte nicht mehr in neuen Werbematerialien verwendet. Bereits vor dem Widerruf veröffentlichte Inhalte (z.B. Social-Media-Beiträge) können möglicherweise nicht vollständig zurückgezogen werden, wir werden jedoch angemessene Anstrengungen zur Entfernung unternehmen.

Keine Pflicht: Die Marketing-Einwilligung ist vollständig freiwillig und nicht erforderlich, um die App zu nutzen. Das Ablehnen oder Widerrufen der Marketing-Einwilligung hat keine Auswirkungen auf Ihren Zugang zu den Funktionen der App.

6. Weitergabe von Daten

Eine Übermittlung Ihrer personenbezogenen Daten an Dritte zu anderen als den nachfolgend aufgeführten Zwecken findet nicht statt. Wir geben Ihre Daten nur weiter, wenn:

• Sie Ihre ausdrückliche Einwilligung erteilt haben (Art. 6 Abs. 1 lit. a DSGVO)
• Die Weitergabe zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 6 Abs. 1 lit. f DSGVO)
• Eine gesetzliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO)
• Dies für die Abwicklung von Vertragsverhältnissen erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO)

6.1 Hosting und Backend-Dienste

Supabase: Wir nutzen Supabase für Datenbank-Hosting und Authentifizierung.

• Anbieter: Supabase, Inc., 65 Chulia Street #38-02/03, OCBC Centre, Singapore 049513
• Serverstandort: EU
• Zweck: Hosting der Datenbank, Authentifizierungsdienste, Backend-Funktionalitäten
• Datenschutzerklärung: https://supabase.com/privacy

Hetzner Cloud: Wir nutzen Hetzner Cloud für das Hosting unserer Serverinfrastruktur.

• Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
• Serverstandort: EU
• Zweck: Hosting der Serverinfrastruktur
• Datenschutzerklärung: https://www.hetzner.com/legal/privacy-policy/

6.2 Dateispeicherung

Cloudflare R2: Wir nutzen Cloudflare R2 zur Speicherung von nutzer-hochgeladenen Dateien (z.B. Profilbilder, Rudel-Logos).

• Anbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA
• Serverstandort: EU
• Zweck: Speicherung von nutzer-hochgeladenen Mediendateien
• Rechtsgrundlage für Datentransfer: EU-Standardvertragsklauseln (SCCs)
• Datenschutzerklärung: https://www.cloudflare.com/privacypolicy/

6.3 Kartendienste

Mapbox: Wir nutzen Mapbox zur Darstellung von Karten und Raster-Overlays in der App.

• Anbieter: Mapbox, Inc., 740 15th Street NW, Suite 500, Washington, DC 20005, USA
• Verarbeitete Daten: Kartenkachel-Anfragen, ungefähre Standortkoordinaten für die Kartendarstellung, Geräteinformationen, IP-Adresse
• Zweck: Darstellung interaktiver Karten und Rasterquadrat-Visualisierung
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Karten sind wesentlich für die Kernfunktionalität der App)
• Rechtsgrundlage für Datentransfer: EU-Standardvertragsklauseln (SCCs)
• Datenschutzerklärung: https://www.mapbox.com/legal/privacy

6.4 Weitere Drittanbieter-Dienste

Sentry (Fehlerberichterstattung und Performance-Monitoring)

• Anbieter: Functional Software, Inc. dba Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA
• Verarbeitete Daten: Fehlermeldungen, Geräteinformationen, App-Version, Betriebssystem, IP-Adresse
• Zweck: Fehleranalyse, Stabilitätsverbesserung, Performance-Optimierung
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• Rechtsgrundlage für Datentransfer: EU-Standardvertragsklauseln (SCCs)
• Datenschutzerklärung: https://sentry.io/privacy/

Expo Push-Benachrichtigungen: Wir nutzen den Push-Benachrichtigungsdienst von Expo zur Zustellung von Benachrichtigungen auf Ihr Gerät.

• Anbieter: 650 Industries, Inc. (Expo), USA
• Verarbeitete Daten: Geräte-Push-Token, Benachrichtigungsinhalte
• Zweck: Zustellung von Push-Benachrichtigungen
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• Rechtsgrundlage für Datentransfer: EU-Standardvertragsklauseln (SCCs)
• Datenschutzerklärung: https://expo.dev/privacy

Ihre Kontrolle: Sie können Ihre Einwilligung für Analyse und Push-Benachrichtigungen jederzeit in den App-Einstellungen widerrufen oder erteilen.

6.5 Werbemessung (TikTok Business SDK)

TikTok: Wir nutzen das TikTok Business SDK, um die Wirksamkeit von TikTok-Werbekampagnen zu messen und unsere Werbeausgaben zu optimieren.

• Anbieter: TikTok Pte. Ltd., 1 Raffles Quay, #26-10, South Tower, Singapur 048583. Weiterübermittlungen an TikTok Inc. (USA) und ByteDance Ltd.
• Verarbeitete Daten: E-Mail-Adresse (durch das TikTok-SDK noch auf dem Gerät SHA-256-gehasht, bevor sie übertragen wird); externe Benutzer-ID (deine interne Konto-UUID, im Klartext — wird von TikTok für den Abgleich mit von Werbetreibenden hochgeladenen Kundenlisten verwendet); IDFA (nur bei erteilter ATT-Zustimmung unter iOS); IP-Adresse; Gerätemodell und Betriebssystemversion; App-Ereignisse: install, app_open, CompleteRegistration
• Zweck: Messung der Wirksamkeit von TikTok-Werbekampagnen und Optimierung der Werbeausgaben
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — über den dedizierten Schalter „Werbemessung" im Onboarding, getrennt von der Einwilligung für E-Mail-Marketing)
• Grundlage für die Datenübermittlung: EU-Standardvertragsklauseln (SCCs)
• Widerruf: Einstellungen → Datenschutz → Werbemessung (aus)
• Datenschutzerklärung: https://www.tiktok.com/legal/page/global/privacy-policy/de-DE

6.6 Internationale Datenübermittlungen

Einige der oben aufgeführten Drittanbieter haben ihren Sitz außerhalb des Europäischen Wirtschaftsraums (EWR). Wenn personenbezogene Daten in Länder ohne angemessenes Datenschutzniveau (gemäß Feststellung der Europäischen Kommission) übermittelt werden, stellen wir geeignete Schutzmaßnahmen sicher:

• EU-Standardvertragsklauseln (SCCs): Wir haben Verträge mit unseren in den USA und Asien ansässigen Auftragsverarbeitern (Sentry, Mapbox, Cloudflare, Expo, TikTok) abgeschlossen bzw. stützen uns auf Verträge, die die EU-Standardvertragsklauseln enthalten, um ein angemessenes Datenschutzniveau zu gewährleisten.
• Supabase: Obwohl Supabase, Inc. seinen Hauptsitz in Singapur hat, wird unsere Datenbank auf EU-Servern gehostet. Auftragsverarbeitungsverträge mit SCCs sind vorhanden.

7. Cookies und ähnliche Technologien

7.1 Webseite

Unsere Webseite verwendet ausschließlich technisch notwendige Cookies zur Gewährleistung der Funktionalität.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

7.2 Mobile App

Die App speichert lokal auf Ihrem Gerät Daten, um die Funktionalität zu gewährleisten und die Nutzererfahrung zu verbessern. Dies umfasst:

• Authentifizierungstoken
• App-Einstellungen und Präferenzen
• Cache von Aktivitätsdaten für Offline-Funktionalität

8. Ihre Rechte als betroffene Person

Sie haben folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO) — Auskunft über verarbeitete Daten anfordern
• Recht auf Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten verlangen
• Recht auf Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten verlangen
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Daten in maschinenlesbarem Format erhalten
• Widerspruchsrecht (Art. 21 DSGVO)
• Widerruf der Einwilligung — jederzeit mit Wirkung für die Zukunft
• Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde

9. Ausübung Ihrer Rechte

Zur Ausübung Ihrer Rechte können Sie uns unter den im Impressum oder zu Beginn dieser Datenschutzerklärung angegebenen Kontaktdaten erreichen.

10. Datensicherheit

Wir verwenden geeignete technische und organisatorische Sicherheitsmaßnahmen, um Ihre Daten zu schützen. Insbesondere nutzen wir:

• Verschlüsselte Datenübertragung (SSL/TLS)
• Verschlüsselte Datenspeicherung
• Zugriffsbeschränkungen und Authentifizierung
• Regelmäßige Sicherheitsupdates

11. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die Erfüllung der verfolgten Zwecke erforderlich ist oder wie es gesetzliche Aufbewahrungsfristen vorsehen. Nach Löschung Ihres Nutzerkontos werden alle personenbezogenen Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

12. Minderjährige

Unsere Dienste richten sich an Personen, die mindestens 16 Jahre alt sind. Personen unter 16 Jahren dürfen ohne Einwilligung der Erziehungsberechtigten keine personenbezogenen Daten an uns übermitteln.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht. Die aktuelle Datenschutzerklärung kann jederzeit in der App und auf der Webseite abgerufen werden.

Stand: 13.04.2026

14. Kontakt zum Datenschutz

Janik Uellendahl
Theresienstr. 8
94032 Passau
E-Mail: info@gridtheft.com