weniger

Datenschutzerklärung

Diese Datenschutzerklärung beschreibt, welche personenbezogenen Daten bei der Nutzung von weniger verarbeitet werden, zu welchen Zwecken dies geschieht und welche Rechte dir dabei zustehen.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung ist der im Impressum genannte Betreiber.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Website von weniger, für die Mobile-App sowie für die damit verbundenen transaktionalen E-Mails.

3. Verarbeitete Daten

  • Kontodaten wie E-Mail-Adresse, Passwort-Hash, bevorzugte Sprache, Währung, Zeitzone und Anzeigeeinstellungen.
  • Profildaten wie Nickname und verknüpfte Anmeldemethoden.
  • Challenge-Daten wie Challenge-Namen, Zeiträume, Mitglieder, Einladungen, Ausgaben, Ranglisten und daraus berechnete Auswertungen.
  • Sitzungs- und Sicherheitsdaten wie Session-Informationen, Gerätebezeichnungen, Zeitpunkte der letzten Nutzung, IP-Adressen, User-Agent-Daten sowie gehashte Refresh-Tokens.
  • Turnstile- und Step-up-Sicherheitsdaten wie Challenge-Aktion, signierter Challenge-State, Verifizierungsstatus, kurzlebige Challenge-Tickets und gehashte Risikoindikatoren.
  • Einwilligungsdaten zur Statistik-Kategorie inklusive Zeitstempel der Entscheidung.
  • Transaktionale Kommunikationsdaten für Bestätigungs-, Einladungs-, Login-, Sicherheits- und Passwort-Reset-E-Mails.

4. Zwecke der Verarbeitung

  • Bereitstellung und Absicherung von Nutzerkonten.
  • Durchführung privater Challenges und Darstellung von Ranglisten, Auswertungen und Projektionen.
  • Versand notwendiger Service- und Sicherheitsnachrichten.
  • Missbrauchsabwehr, Fehleranalyse, IT-Sicherheit und Nachvollziehbarkeit sicherheitsrelevanter Vorgänge.
  • Messung der Nutzung der Website und der Mobile-App mit Google Analytics, sofern du darin eingewilligt hast.

5. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO für die Bereitstellung des Kontos, der Challenge-Funktionen und notwendiger Kommunikation.
  • Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Aufbewahrungs- oder Nachweispflichten bestehen.
  • Art. 6 Abs. 1 lit. f DSGVO für IT-Sicherheit, Missbrauchsschutz, Rate Limiting, Geräte- und Sitzungsverwaltung sowie die Verteidigung gegen Angriffe.
  • Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG für Google-Analytics-Messungen auf der Website und in der Mobile-App sowie für optionale Statistik-Einwilligungen.

6. Hosting, Infrastruktur und Empfänger

  • Hosting und Datenbankbetrieb erfolgen derzeit bei Hetzner in Deutschland.
  • Transaktionale E-Mails werden derzeit über Strato als SMTP-Dienstleister versendet.
  • Bot- und Missbrauchsschutz für risikobasierte Auth-Flows erfolgt über Cloudflare Turnstile (Cloudflare, Inc., USA).
  • Sofern du in Statistik einwilligst, werden Nutzungsdaten der Website und statistische Ereignisdaten der Mobile-App an Google Analytics übermittelt. In der Mobile-App erfolgt dies nur im eingeloggten Zustand über einen serverseitigen Relay.
  • Darüber hinaus erhalten Dritte personenbezogene Daten nur, wenn dies für den Betrieb erforderlich ist, eine gesetzliche Pflicht besteht oder du ausdrücklich eingewilligt hast.

7. Analyse mit Google Analytics

Google Analytics wird auf der Website und in der Mobile-App ausschließlich nach deiner vorherigen Einwilligung eingesetzt. In der Mobile-App erfolgt die Übermittlung nur im eingeloggten Zustand über einen serverseitigen Relay.

Dabei können insbesondere Seiten- und Screen-Aufrufe, technische Geräte- und Browserinformationen, gekürzte Nutzungsdaten, Referrer-Informationen, Einwilligungsstatus sowie statistische Ereignisdaten verarbeitet werden.

Die Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft über die Cookie-Einstellungen widerrufen werden.

8. Cloudflare Turnstile (Missbrauchs- und Bot-Abwehr)

Bei risikobasierten Auth-Anfragen (insbesondere Registrierung, Login, Passwort-Reset-Anfrage oder Magic-Link-Anfrage) kann Cloudflare Turnstile als zusätzliche Sicherheitsprüfung eingeblendet werden.

Das Turnstile-Skript wird nur bei Bedarf im Step-up-Fall geladen, nicht als globales Always-on-Tracking.

Dabei können insbesondere IP-Adresse, Browser- und Geräteinformationen, Hostname, Challenge-Aktion, Zeitpunkt, Turnstile-Token sowie daraus abgeleitete Verifizierungs- und Risikoindikatoren verarbeitet werden.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit, Missbrauchsabwehr, Schutz vor Bot-Registrierungen, Credential-Stuffing und automatisierten Auth-Angriffen).

Für den Schutz dieser Website verarbeitet Cloudflare Turnstile-Signale grundsätzlich im Auftrag des jeweiligen Website-Betreibers; ergänzend kann Cloudflare bestimmte Signale zur Verbesserung der Bot-Erkennung in eigener Verantwortlichkeit verarbeiten.

Empfänger ist Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA; die serverseitige Prüfung erfolgt über die Turnstile-Siteverify-Schnittstelle.

Turnstile-Tokens und zugehörige Challenge-Tickets sind kurzlebig und werden nur für die technische Durchführung der Sicherheitsprüfung verarbeitet.

Weitere Informationen: https://developers.cloudflare.com/turnstile/ sowie https://www.cloudflare.com/privacypolicy/.

9. Drittlandübermittlungen

Bei der Nutzung von Google Analytics kann eine Übermittlung personenbezogener Daten an Empfänger außerhalb der EU bzw. des EWR, insbesondere in die USA, nicht ausgeschlossen werden.

Auch beim Einsatz von Cloudflare Turnstile kann eine Drittlandübermittlung, insbesondere in die USA, nicht ausgeschlossen werden.

Google Analytics erfolgt nur nach deiner Einwilligung. Cloudflare Turnstile erfolgt auf Grundlage berechtigter Interessen an Sicherheit und Missbrauchsschutz. Weitere Informationen findest du in den Datenschutzinformationen der jeweiligen Anbieter.

10. Speicherdauer

  • Kontodaten werden grundsätzlich bis zur Löschung des Kontos gespeichert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Challenge-, Einladungs- und Ausgabendaten bleiben bis zur Löschung des Kontos oder bis zur Entfernung der jeweiligen Daten erhalten, soweit sie zur Bereitstellung des Dienstes erforderlich sind.
  • Sitzungs- und Sicherheitsdaten werden nur so lange gespeichert, wie sie für Authentifizierung, Sicherheit und Missbrauchsschutz benötigt werden; hierzu zählen auch kurzlebige Turnstile-Challenge-Tickets.
  • Einwilligungsdaten werden bis zum Widerruf oder bis zu einer erneuten Entscheidung gespeichert.
  • Bei einer Kontolöschung werden personenbezogene Daten entfernt oder anonymisiert; verbleibende Aufbewahrungen richten sich nach gesetzlichen Nachweis- und Aufbewahrungspflichten.

11. Cookies, lokale Speicher und ähnliche Technologien

  • Notwendige Cookies und Session-Speicher werden für Login, Sitzungssicherheit, CSRF-Schutz und Spracheinstellungen verwendet.
  • Einwilligungen werden im Browser gespeichert, damit deine Auswahl bei späteren Besuchen respektiert werden kann.
  • Nicht notwendige Statistik-Technologien werden erst nach Einwilligung aktiviert.

12. Mobile-App, Push und Gerätefunktionen

Die Mobile-App verarbeitet Kontodaten, Challenge-Daten und lokale Einstellungen entsprechend den oben beschriebenen Zwecken.

Push-Benachrichtigungen bleiben optional. Mobile Analytics wird nur nach Statistik-Einwilligung und nur im eingeloggten Zustand über einen serverseitigen Relay an Google Analytics gesendet.

13. Betroffenenrechte

  • Recht auf Auskunft über die verarbeiteten personenbezogenen Daten.
  • Recht auf Berichtigung unrichtiger Daten.
  • Recht auf Löschung im Rahmen der gesetzlichen Voraussetzungen.
  • Recht auf Einschränkung der Verarbeitung.
  • Recht auf Datenübertragbarkeit für die von dir bereitgestellten Daten.
  • Recht auf Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen.
  • Recht, erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft zu widerrufen.

14. Datenexport und Kontolöschung

In deinem Konto steht ein strukturierter, maschinenlesbarer Export deiner portablen Daten im ZIP-Format mit JSON- und CSV-Dateien zur Verfügung.

Der Export umfasst Kontodaten, Einstellungen, Challenge-Zuordnungen, eigene Ausgaben und offene Einladungen. Gemeinsame Daten werden nur mit dem dafür erforderlichen Mindestkontext exportiert.

Nach einer Kontolöschung werden personenbezogene Nutzungsdaten gelöscht oder anonymisiert; gesetzlich erforderliche Restdaten werden nur im notwendigen Umfang vorgehalten.

Kontakt für Datenschutzanfragen

legal@smtyyy.de

Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat deines gewöhnlichen Aufenthalts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.