Zurück

Datenschutzerklärung

Stand: April 2025

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Fachverband der Live Escape & Adventure Games e.V.
Kortumstraße 53
44787 Bochum
Deutschland

Tel.: 0176 · 22041205
E-Mail: info@leag-verband.de

1. Vorsitzender: Sebastian Hinkel
2. Vorsitzender: Oliver Grabus

Eingetragen im Vereinsregister Berlin-Charlottenburg, VR 36653 B

2. Überblick über die Datenverarbeitung

Die LEAG App ist eine Plattform zur Entdeckung, Bewertung und Verwaltung von Live Escape & Adventure Games in Deutschland. Sie umfasst eine mobile App (iOS, Android) sowie eine Webanwendung und ein separates Vendor-Admin-Panel. Nachfolgend informieren wir Sie gemäß Art. 13 und Art. 14 DSGVO über die Verarbeitung personenbezogener Daten.

3. Erhobene Daten und Verarbeitungszwecke

3.1 Registrierung und Authentifizierung

Bei der Registrierung und Anmeldung verarbeiten wir:

  • E-Mail-Adresse und Passwort – Das Passwort wird ausschließlich als kryptografischer Hash über Google Firebase Authentication gespeichert. Zweck: Erstellung und Verwaltung des Nutzerkontos.
  • Google Sign-In – Bei Anmeldung über Google erhalten wir Ihren Namen, Ihre E-Mail-Adresse und Ihr Profilbild von Google. Zweck: Vereinfachte Anmeldung.
  • Apple Sign-In – Bei Anmeldung über Apple erhalten wir Ihren Namen und Ihre E-Mail-Adresse (ggf. eine von Apple generierte Relay-Adresse). Zweck: Vereinfachte Anmeldung.
  • Anonyme Authentifizierung – Beim Starten der App wird eine anonyme Firebase-Sitzung erstellt, um grundlegende Funktionen (z. B. Dateizugriff) zu ermöglichen. Es werden keine personenbezogenen Daten erhoben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.2 Nutzerprofil

Im Rahmen Ihres Nutzerkontos können Sie folgende Angaben freiwillig hinterlegen:

  • Anzeigename / Benutzername
  • Profilbild und Bannerbild
  • Biografie
  • Standort (Freitext)
  • Lieblingsgenres und Erfahrungslevel
  • Avatar-Auswahl

Zusätzlich werden Gamification-Daten (Punkte, Punktehistorie, Aktionen) automatisch erhoben, um das Belohnungssystem der App bereitzustellen. Ihr Profil kann als öffentlich oder privat konfiguriert werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für freiwillige Angaben Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

3.3 Bewertungen und Reviews

Wenn Sie Escape Rooms bewerten, verarbeiten wir:

  • Gesamtbewertung und Einzelbewertungen (Kategorien)
  • Freitextkommentare
  • Hochgeladene Fotos
  • Spielzeitpunkt
  • Benutzername und Avatar (öffentlich sichtbar)
  • Hilfsabstimmungen anderer Nutzer zu Ihren Bewertungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.4 Chat und Nachrichten

Die App bietet eine Nachrichtenfunktion zwischen Nutzern sowie zwischen Nutzern und Anbietern (Vendors). Dabei verarbeiten wir:

  • Textnachrichten und Bilddateien
  • Empfehlungslinks zu Erlebnissen
  • Absender- und Empfänger-IDs
  • Lese- und Zustellstatus

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.5 Spielfortschritt

Sie können Escape Rooms als „gespielt" markieren. Dabei speichern wir die Erlebnis-ID, den Zeitpunkt und ggf. die IDs von Mitspielern (sofern angegeben).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.6 Standortdaten

Mit Ihrer ausdrücklichen Erlaubnis greift die App auf Ihren Gerätestandort (GPS) zu, um:

  • Escape Rooms in Ihrer Nähe anzuzeigen
  • Entfernungsberechnungen durchzuführen
  • Kartenansichten zu personalisieren

Die Standortdaten werden nicht dauerhaft gespeichert. Für die Kartenanzeige und Adressauflösung nutzen wir die Google Maps Platform (siehe Abschnitt 5).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Geräte-Berechtigungsdialog).

3.7 Bilder

Hochgeladene Bilder (Profil, Banner, Reviews) werden in Google Firebase Storage gespeichert. Dabei werden technische Metadaten erfasst (Dateigröße, Komprimierungsgrad, Bildabmessungen). Der Zugriff auf Kamera und Fotogalerie erfordert Ihre Geräte-Berechtigung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.8 Push-Benachrichtigungen

Mit Ihrer Einwilligung senden wir Push-Benachrichtigungen über Firebase Cloud Messaging (FCM). Dazu wird ein gerätegebundenes Token in Ihrem Nutzerprofil gespeichert. Sie können Push-Benachrichtigungen jederzeit in den Geräteeinstellungen deaktivieren. Ungültige Tokens werden automatisch entfernt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

3.9 Vendor-Claim (Anbieter-Verifizierung)

Anbieter können ihre Einträge beanspruchen. Dabei wird ein Verifizierungscode per E-Mail versendet. Wir verarbeiten hierzu Ihre E-Mail-Adresse und die Zuordnung zum Anbieter-Eintrag.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4. Analyse und Fehlerbehebung

4.1 Firebase Analytics

Wir nutzen Google Firebase Analytics zur Analyse der App-Nutzung. Erfasst werden automatisch erhobene Events (z. B. App-Start, Sitzungsdauer). Firebase Analytics verwendet eine anonymisierte Instanz-ID und erhebt keine personenbezogenen Daten ohne Ihre Einwilligung. Die Daten werden aggregiert und pseudonymisiert ausgewertet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung der App).

4.2 Firebase Crashlytics

Zur Stabilitätsverbesserung nutzen wir Firebase Crashlytics. Im Falle eines App-Absturzes werden technische Informationen übermittelt:

  • Gerätetyp, Betriebssystem und Version
  • Crash-Stacktraces und Fehlermeldungen
  • Zeitpunkt des Fehlers

Crashlytics-Daten werden ausschließlich im Release-Modus erhoben und enthalten keine personenbezogenen Klardaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Fehlerbehebung).

5. Drittanbieter und Auftragsverarbeiter

Zur Bereitstellung unserer Dienste setzen wir folgende Drittanbieter ein:

5.1 Google Firebase

Wir nutzen verschiedene Dienste der Google Firebase Plattform (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland):

  • Firebase Authentication – Nutzeranmeldung und Kontoverwaltung
  • Cloud Firestore – Speicherung von App-Daten (Profile, Reviews, Nachrichten etc.)
  • Firebase Storage – Speicherung hochgeladener Bilder
  • Firebase Analytics – Nutzungsstatistiken
  • Firebase Crashlytics – Absturzberichte
  • Firebase Cloud Messaging – Push-Benachrichtigungen
  • Firebase Cloud Functions – Serverseitige Logik (E-Mail-Versand, Push-Broadcasts)

Datentransfer: Daten können in Rechenzentren innerhalb der EU und der USA verarbeitet werden. Die Übermittlung in die USA erfolgt auf Grundlage des EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO) sowie ergänzend auf Basis von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Datenschutzerklärung von Google: https://policies.google.com/privacy

5.2 Google Maps Platform

Für Kartenanzeige und Geocoding (Umwandlung von Adressen in Koordinaten) nutzen wir die Google Maps Platform. Dabei können IP-Adresse und Suchbegriffe an Google übermittelt werden.

Nutzungsbedingungen: https://cloud.google.com/maps-platform/terms

5.3 Google Sign-In und Apple Sign-In

Wenn Sie sich über Google oder Apple anmelden, werden Daten direkt zwischen Ihrem Gerät und dem jeweiligen Anbieter ausgetauscht. Wir erhalten nur die für die Anmeldung erforderlichen Daten (Name, E-Mail, Profilbild).

5.4 Vercel

Die Webanwendung und das Vendor-Admin-Panel werden über Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) gehostet. Bei jedem Seitenaufruf werden technische Zugriffsdaten (IP-Adresse, Zeitstempel, Browsertyp, aufgerufene URL) verarbeitet.

Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-U.S. Data Privacy Framework sowie Standardvertragsklauseln.

Datenschutzerklärung: https://vercel.com/legal/privacy-policy

5.5 E-Mail-Versand (SMTP)

Für den Versand von Verifizierungs-E-Mails (z. B. bei der Anbieter-Verifizierung) und Benachrichtigungen nutzen wir einen SMTP-Dienst. Dabei wird die E-Mail-Adresse des Empfängers sowie der E-Mail-Inhalt an den Dienstanbieter übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. Cookies und lokale Speicherung

6.1 Technisch notwendige Cookies

Wir setzen ausschließlich technisch notwendige Cookies ein:

  • admin_session – HttpOnly-Cookie zur Authentifizierung im Admin-Bereich. Gültigkeitsdauer: 360 Tage. Enthält keine personenbezogenen Daten.

Es werden keine Tracking-Cookies, Werbe-Cookies oder Cookies von Drittanbietern gesetzt.

6.2 Lokale Datenspeicherung

Die App nutzt eine lokale Offline-Zwischenspeicherung von Firebase Firestore (bis zu 10 MB) im Browser (IndexedDB) bzw. auf dem Gerät, um die App auch bei instabiler Internetverbindung nutzbar zu machen. Diese Daten werden automatisch mit dem Server synchronisiert und können durch Abmeldung oder Löschen der App-Daten entfernt werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktionsfähigkeit der App).

7. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist:

  • Kontodaten – bis zur Löschung Ihres Kontos
  • Bewertungen – bis zur Löschung durch Sie oder auf Anfrage
  • Chat-Nachrichten – bis zur Löschung durch die Teilnehmer
  • FCM-Tokens – bis zum Widerruf der Push-Berechtigung oder bei Ungültigkeit
  • Crashlytics-Daten – gemäß den Aufbewahrungsfristen von Google Firebase (90 Tage)
  • Analytics-Daten – gemäß den Aufbewahrungsfristen von Google Firebase (standardmäßig 14 Monate)

Nach Löschung Ihres Kontos werden Ihre personenbezogenen Daten innerhalb von 30 Tagen aus unseren aktiven Systemen entfernt.

8. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO) – Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO) – Sie können die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO) – Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) – Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO) – Sie können der Verarbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit widersprechen.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) – Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an info@leag-verband.de oder postalisch an die oben genannte Adresse.

9. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über unsere Verarbeitung personenbezogener Daten zu beschweren. Die für unseren Sitz zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44
40102 Düsseldorf
https://www.ldi.nrw.de

10. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen, um Ihre Daten gegen Verlust, Zerstörung, Manipulation und unbefugten Zugriff zu schützen. Hierzu gehören insbesondere:

  • Verschlüsselte Datenübertragung (TLS/HTTPS)
  • Kryptografische Speicherung von Passwörtern (Firebase Authentication)
  • HttpOnly- und Secure-Cookies für den Admin-Bereich
  • Zugriffsbeschränkungen und Rollenkonzept (Nutzer, Vendor, Admin)
  • Regelmäßige Sicherheitsupdates der eingesetzten Dienste

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslage oder bei Änderungen unserer Datenverarbeitungen aktuell zu halten. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite. Wir empfehlen, die Datenschutzerklärung regelmäßig zu überprüfen.