Datenschutzerklärung — School of Movement Community-App

Stand: Mai 2026 · Version: 2.0 · Gilt für: SoM Community-App (iOS, Android, Web)

Diese Datenschutzerklärung erklärt, welche personenbezogenen Daten in der SoM Community-App verarbeitet werden, wie und auf welcher Rechtsgrundlage. Sie ist nach den Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) erstellt — Stand Mai 2026.

Inhaltsverzeichnis

1. Verantwortlicher und Kontakt
2. Übersicht: Welche Daten wir verarbeiten
3. Zwecke der Verarbeitung und Rechtsgrundlagen
4. Empfänger und Auftragsverarbeiter
5. Drittlandtransfer
6. Push-Benachrichtigungen
7. Sign-in-with-Apple und Google Sign-in
8. Crash- und Fehlerüberwachung (Sentry)
9. Trainings-Log und KI-Verarbeitung (Mistral AI)
10. Cookies und vergleichbare Technologien
11. Speicherdauer
12. Deine Rechte
13. Account-Löschung in der App
14. Datensicherheit (TOMs)
15. Automatisierte Entscheidungsfindung
16. Erforderlichkeit der Datenbereitstellung
17. Minderjährige
18. Beschwerderecht bei der Aufsichtsbehörde
19. Änderungen dieser Datenschutzerklärung

1. Verantwortlicher und Kontakt

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:

Nikolai Pawlas School of Movement Hohenesch 55 22765 Hamburg Deutschland

Allgemeine Fragen: info@schoolofmovement.hamburg Datenschutz, Behörden- und Beschwerde-Kontakt (Art. 11 / 12 DSA): legal@schoolofmovement.hamburg

School of Movement hat keinen Datenschutzbeauftragten bestellt, weil die gesetzlichen Schwellen (§ 38 BDSG, Art. 37 DSGVO) nicht überschritten werden. Datenschutz-Anfragen kannst Du direkt an die oben genannten Adressen richten.

2. Übersicht: Welche Daten wir verarbeiten

Im Rahmen Deiner Nutzung der App verarbeiten wir folgende personenbezogene Daten:

2.1 Pflichtdaten

• E-Mail-Adresse — zur Authentifizierung über Magic-Link, Sign-in-with-Apple oder Google Sign-in
• Nutzer-ID (UUID) — interne, anonyme Kennung Deines Accounts, generiert von Supabase

2.2 Freiwillige Profilangaben

• Vorname
• Profilbild (Avatar)
• Trainingsbeginn-Datum
• Kurze Bio
• Lieblingsdisziplin

2.3 Inhalte, die Du erstellst

• Posts (Titel, Text, Bilder, Videos, Kategorie)
• Kommentare (Text, Bilder, Videos)
• Chat-Nachrichten (Text, Bilder, Videos)
• Reaktionen (Emoji-Reaktionen auf Posts/Kommentare/Nachrichten)
• Konversations-Mitgliedschaften
• Teilnahmen an Challenges, Verabredungen, Umfragen

2.4 Optionales Trainings-Log

• Trainings-Sessions (Datum, Notizen, Tags)
• Übungen und Sätze (Wiederholungen, Gewicht, Dauer, Qualitäts-Bewertung)
• Trainings-Videos (optional)
• Diese Daten können Gesundheitsdaten im Sinne von Art. 9 DSGVO sein. Details in Abschnitt 9.

2.5 Geräte- und technische Daten

• Push-Tokens (APNs-Token auf iOS, FCM-Token auf Android, Web-Push-Endpoint im Browser) — nur wenn Du Push-Benachrichtigungen erlaubst
• Onboarding- und Anzeige-Einstellungen (Theme, Privat-Modus)
• Zeitstempel Deiner Aktivitäten (Profil-Update, Post-Erstellung, Last-Active-Stempel des Push-Tokens)

2.6 Was wir nicht verarbeiten

• Keine Standortdaten (keine Geolocation-Abfrage in der App)
• Keine Kontaktdaten Deines Geräts
• Keine Werbe-Identifikatoren (auf Android wurde die AD_ID-Permission ausdrücklich entfernt; auf iOS verwendet die App keine IDFA)
• Keine Tracking-Cookies, keine Analytics-Tracker, kein Facebook-Pixel, kein Google Analytics, kein Plausible in der App
• Keine Werbenetzwerke, keine Datenweitergabe an Werbetreibende
• Keine Verkaufsdaten an Dritte

3. Zwecke der Verarbeitung und Rechtsgrundlagen

4. Empfänger und Auftragsverarbeiter

Für den Betrieb der App setzen wir folgende Dienstleister ein. Mit allen Auftragsverarbeitern gemäß Art. 28 DSGVO bestehen Datenverarbeitungsverträge (DPAs); diese sind auf Anfrage einsehbar.

4.1 Supabase Inc. — Datenbank, Authentifizierung, Storage, Realtime, Edge Functions

• Sitz: 970 Toa Payoh North, Singapur 318992 (Hauptsitz Supabase Inc., USA-Delaware)
• Server-Region für SoM: eu-central-1 (Frankfurt am Main, Deutschland)
• Verarbeitete Daten: Profil, Inhalte, Auth-Sessions, Storage-Files, Realtime-Verbindungen
• Rechtsgrundlage Drittlandtransfer: EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO, SCC 2021/914 Modul 2) + Datenresidenz in der EU. Supabase Inc. ist als US-Mutter dem CLOUD Act unterworfen; gegenüber US-Behörden bestehen technische Schutzmaßnahmen.
• Datenschutzerklärung: supabase.com/privacy · DPA: supabase.com/legal/dpa

4.2 Vercel Inc. — Hosting der Web-App

• Sitz: 440 N Baxter St, Los Angeles, CA 90012, USA
• Server-Regionen: Edge-Netzwerk, EU-Knoten für EU-Nutzer bevorzugt
• Verarbeitete Daten: HTTP-Anfragen, IP-Adresse (transient für Routing), Build-Output
• Rechtsgrundlage Drittlandtransfer: EU-US Data Privacy Framework (DPF) + ergänzend EU-Standardvertragsklauseln. Vercel ist aktiver DPF-Teilnehmer.
• Datenschutzerklärung: vercel.com/legal/privacy-policy

4.3 Functional Software Inc. d/b/a Sentry — Fehler- und Crash-Überwachung

• Sitz: 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA
• Server-Region für SoM: EU-Region (de.sentry.io, gehostet in Frankfurt am Main)
• Verarbeitete Daten: Stack-Traces, pseudonymisierte Nutzer-UUID, Anzeige-Modus (PWA/Browser), Server-Action-Name
• Vor Übermittlung an Sentry werden E-Mail-Adresse, IP-Adresse und Request-Header automatisch entfernt (beforeSend-Hook der App)
• Rechtsgrundlage Drittlandtransfer: EU-US Data Privacy Framework (DPF) + EU-Standardvertragsklauseln. Functional Software Inc. ist aktiver DPF-Teilnehmer.
• Datenschutzerklärung: sentry.io/privacy · DPA: sentry.io/legal/dpa

4.4 BunnyWay d.o.o. (Bunny.net) — Video-Hosting und CDN

• Sitz: Cesta komandanta Staneta 4A, 1215 Medvode, Slowenien (EU)
• Verarbeitete Daten: Trainings-Videos, Post-Videos, Comment-Videos, Chat-Videos
• Drittlandtransfer: kein Transfer in Drittländer, da EU-Sitz und EU-Server
• Datenschutzerklärung: bunny.net/privacy · DPA: bunny.net/gdpr

4.5 Mistral AI SAS — KI-gestützter Trainings-Parser

• Sitz: 15 rue des Halles, 75001 Paris, Frankreich (EU)
• Verarbeitete Daten: roher Trainings-Eingabetext (z. B. „Pull-Ups 3x10"), keine Nutzer-Identifikatoren
• Drittlandtransfer: kein Transfer, da EU-Sitz und EU-Server
• No-Train-Konfiguration: SoM hat die Mistral-API so konfiguriert, dass Eingaben nicht zum Training der Mistral-Modelle verwendet werden (Zero-Retention).
• Datenschutzerklärung: mistral.ai/terms · DPA: legal.mistral.ai/terms/data-processing-addendum

4.6 Apple Push Notification Service (APNs) — iOS-Push

• Anbieter: Apple Distribution International Ltd., Hollyhill, Cork T23 YK84, Irland (EU-Counterpart) und Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA
• Verarbeitete Daten: APNs-Device-Token, IP-Adresse, technische Übertragungs-Metadaten, Push-Payload
• Rolle nach DSGVO: Apple positioniert APNs als eigene Verarbeitung; SoM stützt sich auf das Apple Developer Program License Agreement und ergänzendes Apple Data Transfer Agreement.
• Drittlandtransfer USA: Apple Inc. ist nicht im EU-US Data Privacy Framework gelistet. Übermittlung stützt sich auf EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
• Datenschutzerklärung: apple.com/legal/privacy

4.7 Google Firebase Cloud Messaging (FCM) — Android-Push

• Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (EU-Counterpart) und Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
• Verarbeitete Daten: FCM-Token, IP-Adresse, Push-Payload
• Rolle nach DSGVO: Google agiert als Auftragsverarbeiter nach Art. 28 DSGVO (Firebase Data Processing and Security Terms)
• Drittlandtransfer USA: EU-US Data Privacy Framework (DPF) + EU-Standardvertragsklauseln. Google LLC ist aktiver DPF-Teilnehmer.
• Datenschutzerklärung: firebase.google.com/support/privacy

4.8 Sign-in-with-Apple (Identity Provider)

• Anbieter: Apple Inc. / Apple Distribution International Ltd.
• Verarbeitete Daten: Apple-ID, E-Mail-Adresse (oder anonymisierter Relay-Mail-Alias), optional Anzeigename (nur beim Erst-Login)
• Apple ist eigenständig Verantwortlicher für den Authentifizierungs-Vorgang. Eine Auftragsverarbeitung besteht nicht.
• Datenschutz: apple.com/legal/privacy/data/de/sign-in-with-apple

4.9 Google Sign-in via Credential Manager (Identity Provider)

• Anbieter: Google Ireland Ltd. / Google LLC
• Verarbeitete Daten: Google-Konto-ID (sub-Claim), E-Mail-Adresse, ggf. Anzeigename
• Google ist eigenständig Verantwortlicher für den Authentifizierungs-Vorgang.
• Datenschutz: policies.google.com/privacy

4.10 GitHub Inc. — App-Site-Association-Hosting

• Anbieter: GitHub Inc., 88 Colin P Kelly Jr St, San Francisco, CA 94107, USA
• Verarbeitete Daten: statische apple-app-site-association.json und assetlinks.json (öffentliche Konfiguration, keine personenbezogenen Daten)
• Datenschutzerklärung: docs.github.com/site-policy/privacy-policies

5. Drittlandtransfer

Wann immer Daten in Länder außerhalb der EU/des EWR übermittelt werden, geschieht dies auf folgender Grundlage:

• USA — EU-US Data Privacy Framework (DPF): Vercel, Sentry, Google (FCM, Sign-in). Diese Anbieter haben sich selbst zertifiziert (Stand Mai 2026 — Bestätigung über dataprivacyframework.gov).
• USA — EU-Standardvertragsklauseln (SCC 2021/914 Modul 2): Supabase, Apple (APNs, Sign-in). Diese Anbieter sind nicht oder nicht für alle relevanten Datenkategorien im DPF gelistet und stützen sich auf SCC.
• EU/EWR: Bunny.net (Slowenien), Mistral AI (Frankreich). Kein zusätzlicher Transfer-Mechanismus erforderlich.

Risikobewertung (Transfer Impact Assessment): SoM hat für jeden US-Transfer eine schriftliche Risikoabschätzung durchgeführt. Trotz der DPF-Stützung berücksichtigt SoM, dass das DPF politisch fragil ist (Stand Mai 2026: Klagen vor dem EuGH anhängig). Als Belt-and-Suspenders-Maßnahme sind die SCC zusätzlich vereinbart. Restrisiken (z. B. CLOUD-Act-Zugriffe) werden durch Datenminimierung, EU-Hosting wo möglich und IP-Scrubbing reduziert.

6. Push-Benachrichtigungen

(1) Wenn Du in den System-Einstellungen Deines Geräts Push-Benachrichtigungen für die SoM-App zulässt, übermittelt Dein Gerät einen geräteindividuellen Push-Token an unseren Server. Wir nutzen diesen Token, um Dich über neue Chat-Nachrichten, Reaktionen auf Deine Beiträge und Erinnerungen an Kurs-Termine zu informieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung), § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich für die von Dir gewünschte Funktion). Du kannst die System-Berechtigung jederzeit in den Geräte-Einstellungen widerrufen.

(2) Werbliche Push-Benachrichtigungen — etwa Hinweise auf neue Kurse, Workshops oder Sonderaktionen — senden wir Dir nur, wenn Du in den App-Einstellungen unter „Benachrichtigungen → Werbung" einen separaten Schalter aktivierst (Standard: aus). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO + § 7 UWG. Den Widerruf kannst Du jederzeit über denselben Schalter erklären.

(3) Push-Payload-Hinweis: Apple APNs und Google FCM sehen den Inhalt von Push-Benachrichtigungen auf dem Weg zu Deinem Gerät unverschlüsselt. Wir formulieren Push-Texte daher bewusst generisch (z. B. „Neue Nachricht in der Beginner-Gruppe") und laden den eigentlichen Inhalt erst auf Deinem Gerät aus unserem Backend nach. Beim Web-Push wird der Inhalt nach RFC 8291 (aes128gcm) Ende-zu-Ende verschlüsselt zum Browser-Push-Service übertragen.

7. Sign-in-with-Apple und Google Sign-in

Wenn Du Dich mit Deinem Apple- oder Google-Konto in der App anmeldest, übermittelt der jeweilige Anbieter uns Deine E-Mail-Adresse (bei Apple optional auch einen anonymisierten Relay-Alias @privaterelay.appleid.com), eine anbieter-spezifische Nutzer-Kennung und gegebenenfalls Deinen Namen.

Apple bzw. Google ist für die Authentifizierung eigenständig verantwortlich; der Drittlandsbezug USA wird über DPF oder SCC abgesichert. Wir verarbeiten die übermittelten Daten ausschließlich zur Anmeldung und Verwaltung Deines SoM-Kontos (Art. 6 Abs. 1 lit. b DSGVO).

Apple-spezifische Hinweise: apple.com/legal/privacy/data/de/sign-in-with-apple

8. Crash- und Fehlerüberwachung (Sentry)

Zur Fehlerdiagnose und Stabilitätsverbesserung nutzen wir Sentry der Functional Software Inc. in der EU-Region (de.sentry.io, gehostet in Frankfurt). Wenn die App auf einen Fehler stößt, übermittelt sie automatisch einen Crash-Report an Sentry. Vor der Übermittlung werden auf dem Gerät folgende Daten entfernt:

• E-Mail-Adresse
• IP-Adresse
• Request-Header
• Query-String-Parameter aus URLs

Sentry erhält ausschließlich: Stack-Trace, anonymisierte Nutzer-UUID (zur Korrelation mehrerer Fehler desselben Nutzers), Server-Action-Name (z. B. chat.sendMessage), Anzeige-Modus (PWA / Browser).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Sicherstellung der App-Stabilität. Eine dreistufige Interessenabwägung wurde dokumentiert. Du kannst die Crash-Übermittlung in den App-Einstellungen unter „Datenschutz → Fehlerberichte" deaktivieren (Standard: aktiv).

9. Trainings-Log und KI-Verarbeitung (Mistral AI)

(1) Das Trainings-Log ist freiwillig. Wenn Du es nutzt, kannst Du Trainings-Sessions, Übungen, Sätze, Wiederholungen, Belastungsempfinden und Notizen erfassen. Diese Daten können — sobald sie Bezüge zu Schmerzen, Beschwerden, Verletzungen oder gesundheitlichen Auswirkungen enthalten — als besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO (Gesundheitsdaten) gelten.

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung). Mit Aktivierung des Trainings-Logs gibst Du diese Einwilligung. Du kannst sie jederzeit für die Zukunft widerrufen — durch Deaktivieren des Trainings-Logs oder durch Account-Löschung.

(2) KI-gestützter Trainings-Parser (Mistral AI): Wenn Du Trainings-Notizen im freien Text eingibst (z. B. „heute 3x10 Pull-Ups, danach Handstand-Drills"), schickt die App diesen Text an Mistral AI (Paris, Frankreich), um den Text in eine strukturierte Form zu überführen. Dabei werden keine Nutzer-Identifikatoren an Mistral übermittelt — Mistral erhält nur den anonymen Trainings-Text. Die Verarbeitung erfolgt auf Mistral-Servern in der EU.

SoM hat in der Mistral-API-Konfiguration die Zero-Retention-/No-Train-Option aktiviert: Deine Eingaben werden nicht für das Training der Mistral-Modelle verwendet und nicht über die Bearbeitung hinaus gespeichert.

(3) Nach Art. 50 EU-KI-Verordnung weisen wir Dich darauf hin: Die Eingabe-Übersetzung erfolgt durch ein KI-System (Mistral Large 3 oder Folgeversion). Die KI-Ausgabe wird in der App entsprechend markiert (z. B. „KI-vorgeschlagene Struktur"). Du kannst die Vorschläge ablehnen oder manuell überschreiben.

(4) Trainings-Log-Daten gehören Dir. School of Movement nutzt sie ausschließlich, um Dir die Anzeige, Auswertung und Trends Deiner Trainings zu ermöglichen. Eine Übertragung an Dritte oder kommerzielle Auswertung findet nicht statt. Anonyme, nicht reidentifizierbare aggregierte Statistiken (z. B. „X % der Mitglieder trainieren wöchentlich") darf School of Movement intern auswerten.

10. Cookies und vergleichbare Technologien

Die App speichert ausschließlich technisch notwendige Informationen auf Deinem Gerät:

• Auth-Session-Cookie (Web) bzw. Token im Keychain (iOS) / Tink-AEAD-verschlüsselter DataStore (Android)
• Onboarding-Fortschritt
• Theme- und UI-Einstellungen

Diese Speicherung ist nach § 25 Abs. 2 Nr. 2 TDDDG ohne Einwilligung zulässig, da sie für die Bereitstellung des von Dir ausdrücklich gewünschten Dienstes unbedingt erforderlich ist.

Es werden keine Marketing-, Analyse- oder Werbe-Cookies gesetzt. Ein Cookie-Banner ist daher nicht erforderlich.

11. Speicherdauer

12. Deine Rechte

Du hast nach der DSGVO folgende Rechte:

• Auskunft (Art. 15 DSGVO): Auskunft über alle bei uns gespeicherten personenbezogenen Daten.
• Berichtigung (Art. 16 DSGVO): Berichtigung unrichtiger oder unvollständiger Daten.
• Löschung (Art. 17 DSGVO): Löschung Deiner personenbezogenen Daten. Den einfachsten Weg findest Du in Abschnitt 13 (in-App-Löschung).
• Einschränkung der Verarbeitung (Art. 18 DSGVO): unter den dort genannten Voraussetzungen.
• Datenübertragbarkeit (Art. 20 DSGVO): Kopie Deiner Daten in maschinenlesbarem Format. In der App: „Einstellungen → Daten exportieren".
• Widerspruch (Art. 21 DSGVO): gegen Verarbeitungen, die auf berechtigtes Interesse gestützt sind (z. B. Sentry-Crash-Reports).
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): für jede einwilligungsbasierte Verarbeitung (Werbe-Push, Trainings-Log-Gesundheitsdaten, Bild- und Filmaufnahmen).

Anlauf für alle Rechte: legal@schoolofmovement.hamburg. Wir antworten innerhalb der Frist von einem Monat (Art. 12 Abs. 3 DSGVO).

13. Account-Löschung in der App

Du kannst Deinen Account vollständig selbst löschen:

In der App: Profil → Einstellungen → „Account und alle Daten löschen". Nach einer Bestätigungs-Abfrage werden Profil, Inhalte, Trainings-Daten, Bilder, Videos und Push-Tokens unwiderruflich gelöscht.

Über das Web (ohne installierte App): community.schoolofmovement.hamburg/account-loeschen — Formular zur E-Mail-basierten Löschungs-Anforderung.

Per E-Mail: info@schoolofmovement.hamburg mit dem Betreff „Account-Löschung".

Details zur Wahlmöglichkeit zwischen Anonymisierung und Voll-Löschung: § 14 der Nutzungsbedingungen.

14. Datensicherheit (TOMs)

Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO:

• Verschlüsselung im Transit: TLS 1.2+ für alle Verbindungen (App ↔ Supabase, ↔ Bunny, ↔ Sentry, ↔ Mistral, ↔ APNs/FCM)
• Verschlüsselung at-rest: AES-256 (Supabase + Bunny.net Standard)
• Token-Schutz auf dem Gerät: iOS Keychain mit eigenem Service-Namen; Android AndroidX DataStore + Tink AEAD
• Web-Push-Verschlüsselung: aes128gcm gemäß RFC 8188/8291 (Ende-zu-Ende)
• Web-Sicherheits-Header: HSTS, Content-Security-Policy, Permissions-Policy
• Zugriffskontrolle: Supabase Row Level Security (RLS) für alle UGC-Tabellen, MFA für Admin-Konten
• Backup-Strategie: Supabase Point-in-Time-Recovery, dokumentierter 3-2-1-Backup-Plan
• Incident Response: Dokumentierter Prozess für die 72-Stunden-Meldekette an den HmbBfDI
• Pseudonymisierung: UUID statt Klarnamen in Logs; IP-Scrubbing vor Sentry-Versand
• Mitarbeiter-Zugriff: ausschließlich Nikolai Pawlas hat Vollzugriff; Eren und Jannis (Trainer) haben keinen technischen Admin-Zugriff zur App-Datenbank

15. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt. Alle Entscheidungen, die Dich betreffen (z. B. Inhaltsmoderation nach § 8 AGB), trifft Nikolai Pawlas persönlich.

Der KI-Trainings-Parser (Mistral AI, Abschnitt 9) trifft keine Entscheidungen über Dich — er strukturiert nur Text. Du kannst die Vorschläge jederzeit ablehnen.

16. Erforderlichkeit der Datenbereitstellung

Die Bereitstellung Deiner E-Mail-Adresse ist für die Nutzung der App erforderlich, da sie zur Authentifizierung dient. Ohne E-Mail-Adresse (bzw. ohne Apple-/Google-Konto-Anmeldung) ist eine Registrierung nicht möglich.

Alle weiteren Angaben (Vorname, Profilbild, Trainingsbeginn, Bio, Trainings-Log, Challenge-Teilnahmen, Push-Erlaubnis) sind freiwillig. Die Nichtbereitstellung hat keine Auswirkung auf die grundlegende Nutzung der App, kann aber den Funktionsumfang einschränken (z. B. ohne Push-Erlaubnis keine Echtzeit-Benachrichtigungen).

17. Minderjährige

Die App richtet sich an Personen ab 16 Jahren (§ 3 AGB). Wir verarbeiten bewusst keine Daten von Kindern unter 16 Jahren. Sollten wir Kenntnis davon erhalten, dass dennoch personenbezogene Daten unter-16-Jähriger ohne Einwilligung der Sorgeberechtigten verarbeitet werden, löschen wir diese Daten unverzüglich.

18. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs hast Du das Recht, Beschwerde bei einer Aufsichtsbehörde einzureichen. Zuständig für uns ist:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Ludwig-Erhard-Str. 22, 7. OG 20459 Hamburg Telefon: +49 40 428 54-4040 E-Mail: mailbox@datenschutz.hamburg.de Web: datenschutz-hamburg.de

Du kannst auch jede andere EU-Aufsichtsbehörde Deines Wohnsitzes oder Arbeitsplatzes anrufen.

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen — etwa bei Änderungen an der App, neuen Subprozessoren oder neuen rechtlichen Anforderungen. Die jeweils aktuelle Fassung findest Du stets unter community.schoolofmovement.hamburg/datenschutz.

Bei wesentlichen Änderungen (z. B. neue Datenkategorien, neue Auftragsverarbeiter, neue Verarbeitungszwecke) informieren wir Dich zusätzlich per E-Mail oder In-App-Hinweis.

Versionshistorie:

• Version 2.0 (Mai 2026): Welle-4-Launch-Aktualisierung — Mistral AI ergänzt, APNs/FCM/Sign-in-with-Apple/Google-Sign-in ergänzt, Sentry-Region auf EU korrigiert, DSA-Kontaktstelle ergänzt
• Version 1.0 (März 2026): Initiale Fassung Web-PWA

Stand: Mai 2026.