Datenschutzerklärung von CoachReview

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung in Bezug auf Konto-Daten ist Marcin Jasiński, Anschrift: ul. Długa 75, 84-239 Bolszewo, USt-IdNr. 7742896892, eingetragen im polnischen Gewerberegister CEIDG.

Kontakt zu Datenschutzfragen: mindmotion.tech@gmail.com oder per Post an die oben genannte Anschrift.

Für vom Trainer eingegebene Schützling-Daten ist grundsätzlich der Trainer Verantwortlicher; der Betreiber handelt als Auftragsverarbeiter auf Grundlage des als Anhang zu den AGB beigefügten Auftragsverarbeitungsvertrags (AVV).

2. Datenschutzbeauftragter

Der Betreiber hat keinen Datenschutzbeauftragten bestellt — eine Pflicht zur Bestellung im Sinne von Art. 37 DSGVO besteht nicht. Für alle datenschutzrechtlichen Anliegen wenden Sie sich bitte direkt an den Verantwortlichen unter mindmotion.tech@gmail.com.

3. Kategorien verarbeiteter Daten

Kontodaten: Vor- und Nachname, E-Mail-Adresse, gehashtes Passwort, bevorzugte Sprache, Zeitzone, öffentliche Profilangaben (sofern veröffentlicht), Abrechnungsdaten.

Technische Daten: IP-Adresse, Geräte- und Browserkennung, Logs, Diagnose- und Cookie-Daten.

Schützling-Daten, die vom Trainer eingegeben werden: Name, Kontaktdaten, Trainingsnotizen, Dokumente, Materialien, Videoaufzeichnungen, Verfügbarkeitskalender.

Besondere Datenkategorien (Art. 9 DSGVO), z. B. Gesundheitsdaten, dürfen nur eingegeben werden, wenn der Trainer über eine geeignete Rechtsgrundlage verfügt.

4. Zwecke und Rechtsgrundlagen

Erbringung des Dienstes und Kontoverwaltung – Art. 6 Abs. 1 lit. b DSGVO.

Zahlungsabwicklung und Rechnungsstellung – Art. 6 Abs. 1 lit. b und lit. c DSGVO (steuer- und handelsrechtliche Pflichten).

Sicherheit, Missbrauchsprävention und Logging – Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz des Dienstes).

Beschwerde- und Anspruchsbearbeitung – Art. 6 Abs. 1 lit. b, c und f DSGVO.

Marketing per E-Mail – Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 7 UWG (Einwilligung).

Erfüllung von Pflichten aus dem DSA und sonstigen Gesetzen – Art. 6 Abs. 1 lit. c DSGVO.

5. Datenquellen

Die meisten Daten werden direkt vom Nutzer bereitgestellt (Registrierung, Profil, Bezahlvorgang).

Einige Daten entstehen bei der Nutzung des Dienstes (Logs, technische Metadaten).

Schützling-Daten stammen vom Trainer.

6. Empfänger und Auftragsverarbeiter

Daten können an folgende Kategorien von Dienstleistern weitergegeben werden, die im Auftrag des Verantwortlichen handeln: Hosting- und Cloud-Anbieter, Object-Storage-Anbieter (z. B. Amazon S3 oder Cloudflare R2), transaktionale E-Mail-Dienste, der Zahlungsdienstleister Stripe, Monitoring- und Fehler-Logging-Anbieter sowie Customer-Support-Tools.

Daten können zudem an staatliche Stellen übermittelt werden, soweit dies gesetzlich vorgeschrieben ist.

Eine aktuelle Liste der Auftragsverarbeiter und ihrer Standorte wird auf Anfrage unter mindmotion.tech@gmail.com bereitgestellt.

7. Drittlandtransfer

Manche Anbieter verarbeiten Daten außerhalb des EWR, insbesondere in den USA. Der Verantwortliche setzt geeignete Garantien ein, insbesondere die EU-Standardvertragsklauseln und – für US-Empfänger – das EU-US Data Privacy Framework, sofern diese zertifiziert sind.

Eine Kopie der Garantien ist auf Anfrage verfügbar.

8. Speicherdauer

Kontodaten werden für die Dauer des Vertrags und für die zur Abwicklung erforderliche Zeit gespeichert.

Abrechnungs- und Rechnungsdaten werden für die handels- und steuerrechtlich vorgeschriebenen Zeiträume gespeichert (in der Regel 10 Jahre nach § 147 AO bzw. § 257 HGB).

Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen werden bis zum Ablauf der Verjährungsfrist aufbewahrt.

Veröffentlichte Videos werden für die im gewählten Tarif festgelegte Verfügbarkeitsdauer (6 Monate für Solo, 12 Monate für Pro) ab dem Veröffentlichungsdatum aufbewahrt. Nach Ablauf wird das Video automatisch in den Papierkorb verschoben und bleibt dort 30 Tage wiederherstellbar; danach wird es zusammen mit der zugehörigen Datei im Objekt-Speicher (Cloudflare R2 oder Amazon S3) endgültig gelöscht. Unveröffentlichte Entwürfe werden 30 Tage nach Erstellung gelöscht. Detaillierte Regeln, einschließlich des Vorgehens bei Tarifwechsel, sind in den AGB (Punkt 6a) beschrieben.

Technische Daten und Sicherheitslogs werden grundsätzlich nicht länger als 12 Monate gespeichert, sofern keine längere Aufbewahrung wegen eines laufenden Sicherheitsvorfalls erforderlich ist.

9. Rechte der Betroffenen

Betroffene haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und Widerruf erteilter Einwilligungen (Art. 7 Abs. 3).

Anfragen können über die Kontoeinstellungen oder per E-Mail an mindmotion.tech@gmail.com gestellt werden. Der Verantwortliche antwortet unverzüglich, spätestens innerhalb eines Monats.

Es besteht das Recht auf Beschwerde bei einer Aufsichtsbehörde, in Deutschland insbesondere bei der zuständigen Landesdatenschutzbehörde oder beim BfDI.

10. Profiling und automatisierte Entscheidungen

Es findet keine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die Nutzer rechtlich oder in vergleichbarer Weise erheblich beeinträchtigt.

11. Cookies und ähnliche Technologien

Der Dienst nutzt Cookies und ähnliche Technologien. Unbedingt erforderliche Cookies (Anmeldung, Sicherheit, Betrieb) sind ohne Einwilligung zulässig (§ 25 Abs. 2 TTDSG). Analyse-, Marketing- und nicht erforderliche Cookies erfordern eine ausdrückliche Einwilligung, die jederzeit widerrufen werden kann.

Über das Cookie-Banner können Nutzer nicht erforderliche Cookies akzeptieren, ablehnen oder anpassen. Eine Liste der eingesetzten Cookies, ihrer Zwecke und Speicherdauern ist in den Cookie-Einstellungen verfügbar.

12. Sicherheit

Der Verantwortliche setzt geeignete technische und organisatorische Maßnahmen ein, darunter TLS-Verschlüsselung, Passwort-Hashing, rollenbasierte Zugriffskontrolle, Datenminimierung, regelmäßige Backups und Sicherheitsmonitoring.

Bei einer Datenpanne, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten Betroffener führt, erfolgt die Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden und – wenn erforderlich – an die Betroffenen.

13. Google-Nutzerdaten und Google API Services

Angeforderte Scopes: https://www.googleapis.com/auth/calendar.events.freebusy (Lesen von Frei/Belegt-Zeiten im Google Kalender).

Zugegriffene Daten: Frei/Belegt-Zeitblöcke im primären Google Kalender des Trainers für die ausgewählte Woche. Der Betreiber greift nicht auf Termintitel, Beschreibungen, Teilnehmer, Orte, Anhänge oder sonstige Termininhalte zu.

Zweck: Berechnung verfügbarer Zeitfenster, damit der Trainer sie in den Verfügbarkeitskalender von CoachReview importieren kann. Google-Nutzerdaten werden ausschließlich verwendet, um dem Trainer, der das Konto verbunden hat, freie/belegte Zeitfenster anzuzeigen, und zu keinem anderen Zweck.

Speicherung: Ein von Google ausgestellter Refresh-Token wird verschlüsselt gespeichert und nur verwendet, um auf Anforderung des Trainers Frei/Belegt-Zeiten abzufragen. Frei/Belegt-Antworten werden im Arbeitsspeicher verarbeitet; dauerhaft gespeichert werden nur die Verfügbarkeitsfenster, die der Trainer importieren möchte.

Weitergabe: Google-Nutzerdaten werden nicht verkauft, nicht zu Werbezwecken an Dritte weitergegeben und nicht zum Training von KI-/ML-Modellen verwendet. CoachReview übermittelt Google-Nutzerdaten nicht an Dritte, außer soweit dies erforderlich ist, um die Integration bereitzustellen oder zu verbessern, geltendes Recht zu erfüllen oder im Rahmen einer Fusion, Übernahme oder eines Vermögensverkaufs unter Benachrichtigung der Nutzer.

Limited Use: Die Nutzung und Übermittlung von aus Google APIs erhaltenen Informationen an andere Apps erfolgt im Einklang mit der Google API Services User Data Policy, einschließlich der Limited-Use-Anforderungen.

Widerruf: Der Trainer kann Google Kalender jederzeit in den Kontoeinstellungen trennen oder den Zugriff unter https://myaccount.google.com/permissions widerrufen. Beim Trennen wird der Refresh-Token gelöscht.

14. Änderungen der Datenschutzerklärung

Die Datenschutzerklärung kann bei Änderungen der Rechtslage, der eingesetzten Dienste oder Funktionen aktualisiert werden. Wesentliche Änderungen werden per E-Mail mitgeteilt; das Datum der letzten Aktualisierung steht oben im Dokument. Frühere Versionen werden zu Rechenschaftszwecken archiviert.