oida.
Zurück
Datenschutz · DSGVO

Was wir wissen.

Wir verarbeiten deine Daten so sparsam wie möglich — und nur so umfangreich wie nötig, damit oida. als App, Klub und Stempelpass funktioniert. Diese Erklärung beschreibt nach Maßgabe der DSGVO (Verordnung (EU) 2016/679), des österreichischen DSG sowie ergänzend des UAE Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data, welche Daten erhoben werden, auf welcher Rechtsgrundlage, wie lange wir sie speichern und welche Rechte du jederzeit hast.

1. Verantwortlicher (Art. 4 Z 7 DSGVO)

OIDA · PPR Content Provider L.L.C.
Office No. 272-301, Leader Real Estate LLC Building, Bur Dubai – Grand Souk, Dubai, UAE
Vereinigte Arabische Emirate
Lizenz: DED Licence No. 1565330

E-Mail: setup@dc1st.com
Datenschutz-Anfragen: setup@dc1st.com

Ein Datenschutzbeauftragter wurde nicht bestellt; eine gesetzliche Pflicht hierzu besteht für oida. derzeit nicht (Art. 37 DSGVO). Anfragen werden direkt vom Verantwortlichen bearbeitet.

2. Welche Daten wir verarbeiten

a) Warteliste & Konto-Anmeldung

  • E-Mail-Adresse (zwingend für Anmeldung und Magic-Link-Login)
  • Optional: Vorname, Herkunfts-Bundesland/-Kanton, Bezirk in den Emiraten
  • Sprachpräferenz (DE/EN), in localStorage gespeichert

b) Authentifizierung & Sicherheit

  • IP-Adresse — wird nur als gehashter Fingerprint zur Rate-Limit-Erkennung verarbeitet, nicht im Klartext gespeichert
  • Login-Zeitstempel
  • Session-Token (im Browser/App, nicht im localStorage)

c) Nutzung der App & Telemetrie

  • Anonymisierte Ereignisdaten (Event-Name, Zeitstempel, Bildschirm), z. B. „stempel.geöffnet“, „flaggenmodus.gestartet“
  • App-Version, Geräte-OS-Version (nicht das Gerät selbst)
  • Keine Werbe-IDs, kein Cross-Site-Tracking, keine Drittanbieter-Analytics auf der Landing Page

d) Push-Benachrichtigungen

  • Apple Push Notification Service Token (APNs Device Token)
  • Benachrichtigungs-Präferenzen (Stempel, Events, Briefings)

e) Optionale Standortdaten — nur „Flaggen-Modus“

Der spielerische „Flaggen-Modus“ (AR-Bezirksspiel) erfasst bei aktiver Nutzung deinen ungefähren Standort (Bezirks-Ebene), um Spielfelder zuzuordnen. Standortdaten werden ausschließlich für das Spielergebnis verwendet, nicht zur Bewegungsanalyse, nicht zur Werbeausspielung und nicht an Dritte weitergegeben. Du kannst die Standort-Freigabe in den iOS-Einstellungen jederzeit widerrufen.

f) Premium / Zahlungs-Daten

Zahlungen werden über Moyasar abgewickelt. Wir erhalten lediglich eine Transaktions-Referenz und die Mitgliedschaft-Status-Information. Vollständige Kartendaten werden von uns weder gesehen noch gespeichert; die PCI-DSS-pflichtige Verarbeitung erfolgt ausschließlich beim Zahlungsdienstleister.

g) Auto-Pause des Premium-Status

Wenn dein Gerät 14 zusammenhängende Tage außerhalb der Emirate verbringt (Zeitzone + ungefähre Geolokalisierung), pausiert die Premium-Abrechnung automatisch. Hierfür speichern wir nur den UTC-Offset und einen Landes-Code (z. B. „AT“, „CH“, „AE“), keine präzisen Aufenthaltsorte.

h) Stempelpass & Klub-Guthaben

  • Zeitstempel und Partner-ID je Stempel
  • Aktueller Guthaben-Saldo
  • Keine Speicherung der gescannten Partner-QR-Inhalte über die Verifikation hinaus

i) Konsul-Konversation

Wenn du den Konsul-Concierge nutzt (siehe AGB §6), verarbeiten wir den Inhalt deiner Anfrage sowie die zugehörige Konversation. Daten werden in Frankfurt-EU (Supabase, Region eu-central-1) gespeichert.

  • Aufbewahrung: bis zur Auflösung der Anfrage + 90 Tage. Danach erfolgt eine automatische Pseudonymisierung — Inhalte werden von Identitäts-Merkmalen getrennt.
  • Zugriff: ausschließlich durch berechtigte Konsul-Operator. Jeder Operator-Zugriff wird in einem Audit-Trail protokolliert.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Eine Weitergabe an Dritte erfolgt nur, wenn dies für die Bearbeitung deiner Anfrage zwingend erforderlich ist und nur mit deiner gesonderten Einwilligung.

j) Heimat-Garantie-Ledger

Zur Abwicklung der Heimat-Garantie (siehe AGB §5) führen wir je Mitglied ein monatlich aggregiertes Cashback-Ledger.

  • Beträge werden ausschließlich in Cent (Ganzzahl) gespeichert. Es findet keine Floating-Point-Repräsentation statt.
  • Gespeichert werden Monatsperiode, Mitglieds-ID, Anzahl verifizierter Scans, Aufstockungsbetrag und Auszahlungszeitpunkt.
  • Aufbewahrung: 7 Jahre — gemäß Buchhaltungspflicht UAE (Federal Decree-Law No. 47 of 2022 — Corporate Tax) und §132 BAO (AT).
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b und Art. 6 Abs. 1 lit. c DSGVO.

k) Identitätsverifizierung — Datenminimierung

Wenn du die optionale Verifizierung als DACH-Bürger durchführst (siehe AGB §9), erfolgt das Scannen des Reisepasses auf deinem Gerät mittels Apple Vision Framework. Folgendes wird übertragen und auf oida.-Servern gespeichert:

  • Länderkennzeichnung: AT, DE oder CH
  • SHA-256-Hash des MRZ-Strings (nicht reversibel)
  • Ablaufdatum des Reisedokuments
  • Zeitstempel der Verifizierung

Nicht übertragen oder gespeichert werden: Passfoto, Passnummer, vollständiger Name, Geburtsdatum, Geburtsort, Geschlecht sowie sonstige biometrische oder identifizierende Merkmale. Auf Wunsch des Mitglieds wird der gespeicherte Datensatz unwiderruflich gelöscht (Aufruf POST /functions/v1/revoke_my_verification oder über das App-Profil).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung). Die Verifizierung ist freiwillig und ohne Nachteil bei Ablehnung.

l) Anonymisierte Roster-Statistiken

Auf der öffentlichen Webseite oida.ae und im App-Onboarding zeigen wir aggregierte Zahlen, etwa „312 Österreicher im Klub“. Diese Statistiken werden ausschließlich auf Aggregat-Ebene veröffentlicht.

  • Es werden niemals Namen, E-Mail-Adressen, Profilbilder oder andere identifizierende Merkmale öffentlich angezeigt.
  • Die Aggregation erfolgt serverseitig; veröffentlichte Zahlen sind nicht reversibel auf einzelne Mitglieder rückführbar.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer wahrheitsgemäßen Darstellung der Klub-Größe), wobei die Aggregation eine Identifikation einzelner Personen ausschließt.

m) Partner-Push (Klub-Mitglieder)

Partner mit „Partner Plus“-Tarif können ortsbezogene Push-Nachrichten an Klub-Mitglieder in der Nähe ihres Geschäfts versenden lassen.

  • Der Standort des Mitglieds wird nicht an den Partner weitergegeben.
  • oida. broadcastet die Push-Nachricht an die in Frage kommende Empfänger-Gruppe anonymisiert über den Apple Push Notification Service; der Partner erhält ausschließlich aggregierte Sende-Statistiken (z. B. Anzahl Empfänger).
  • Mitglieder können Partner-Pushes jederzeit deaktivieren: Einstellungen → Push → Partner-Nachrichten.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung beim Aktivieren von Partner-Pushes) sowie Art. 6 Abs. 1 lit. b (Vertragserfüllung Klub-Mitgliedschaft).

3. Rechtsgrundlagen (Art. 6 DSGVO)

VerarbeitungGrundlage
Konto, Login, Klub-/Klub-Plus-Abrechnung, Konsul-KonversationArt. 6 Abs. 1 lit. b — Vertragserfüllung
Push-Benachrichtigungen, Partner-Push, Standort im Flaggen-Modus, Identitätsverifizierung, Marketing-E-MailsArt. 6 Abs. 1 lit. a — Einwilligung
Rate-Limit-Hashes, Telemetrie, Missbrauchs-Erkennung, anonymisierte Roster-StatistikenArt. 6 Abs. 1 lit. f — berechtigtes Interesse an stabiler, sicherer App
Aufbewahrung von Rechnungen, Heimat-Garantie-Ledger, BuchhaltungArt. 6 Abs. 1 lit. c — rechtliche Verpflichtung (UAE- und AT-Steuerrecht)

4. Empfänger & Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Dienstleister ein. Alle haben Auftragsverarbeitungsverträge (Art. 28 DSGVO) bzw. Standard-Vertragsklauseln unterzeichnet, soweit Daten die EU verlassen.

DienstleisterZweckOrt
Supabase Inc.Datenbank, Authentifizierung, Server-FunctionsEU-Region Frankfurt (DE) — bevorzugt
Vercel Inc.Auslieferung Website & API-EdgeEU + global edge
MoyasarZahlungsabwicklung PremiumKönigreich Saudi-Arabien / UAE
Apple Inc. — Push Notification ServiceVersand von iOS Push-BenachrichtigungenUSA / global
ResendTransaktions-E-Mails (Magic-Link, Bestätigungen)EU / US — SCC

Eine Übermittlung in Drittländer (insb. USA, UAE) erfolgt nur unter den Voraussetzungen der Art. 44 ff. DSGVO — entweder auf Basis eines Angemessenheitsbeschlusses, der Standardvertragsklauseln oder deiner ausdrücklichen Einwilligung.

5. Speicherdauer

  • Warteliste: bis Launch der App, danach Migration in regulären Account oder Löschung auf Wunsch
  • Aktives Konto: Dauer der Mitgliedschaft + 6 Monate Karenz
  • Gehashte IP/Rate-Limit-Daten: maximal 30 Tage
  • Telemetrie-Ereignisse: 90 Tage rollend, danach aggregiert
  • Konsul-Konversation: bis Auflösung der Anfrage + 90 Tage, danach automatische Pseudonymisierung
  • Heimat-Garantie-Ledger: 7 Jahre (UAE- + AT-Buchhaltungspflicht)
  • Identitätsverifizierung (Land, Hash, Ablauf, Zeitstempel): bis zum Widerruf oder zur Konto-Löschung
  • Rechnungs- & Steuerunterlagen: gemäß UAE-Steuerrecht 5 Jahre, ggf. länger nach §132 BAO bei AT-Wohnsitz
  • Push-Tokens: bis Abbestellen oder Account-Löschung

6. Cookies & lokale Speicherung

Die Landing-Seite oida.ae setzt keine Tracking-Cookies. Lokal im Browser (per localStorage) speichern wir lediglich:

  • deine Sprachpräferenz (z. B. oida_lang=de)
  • einen Session-Schlüssel nach Login (gehasht, ohne PII)

Hierfür ist keine Cookie-Einwilligung erforderlich, da diese Daten gemäß §165 Abs. 3 TKG 2021 und Art. 5 Abs. 3 ePrivacy-Richtlinie ausschließlich zur Bereitstellung des ausdrücklich gewünschten Dienstes verwendet werden.

7. Deine Rechte als betroffene Person

Nach Art. 15 bis 22 DSGVO stehen dir folgende Rechte zu:

  • Auskunft (Art. 15) — wir geben dir innerhalb von 30 Tagen eine maschinenlesbare Kopie deiner Daten.
  • Berichtigung (Art. 16) — über das App-Profil oder per E-Mail.
  • Löschung (Art. 17, „Recht auf Vergessenwerden“) — komplette Konto-Löschung in der App oder per Mail; soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
  • Einschränkung der Verarbeitung (Art. 18).
  • Datenübertragbarkeit (Art. 20) — Export deiner Daten als JSON.
  • Widerspruch (Art. 21) — gegen Verarbeitungen auf Grundlage berechtigten Interesses.
  • Widerruf von Einwilligungen (Art. 7 Abs. 3) — jederzeit mit Wirkung für die Zukunft.
So machst du sie geltend: formlose Nachricht an setup@dc1st.com mit dem Stichwort „DSGVO-Antrag“. Wir bestätigen innerhalb von 72 Stunden und erfüllen binnen 30 Tagen.

8. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungs- oder gerichtlichen Rechtsbehelfs hast du das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere am Ort deines gewöhnlichen Aufenthalts:

9. Datensicherheit

Wir nutzen Transportverschlüsselung (TLS 1.3) für alle Datenübertragungen, Verschlüsselung im Ruhezustand (AES-256) bei Supabase, gehashte Passwörter (bcrypt/argon2), getrennte Service-Rollen und regelmäßige Sicherheits-Reviews. Trotz aller Vorkehrungen ist eine absolute Sicherheit nicht garantiert. Im Falle eines meldepflichtigen Datenschutz-Vorfalls informieren wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO) sowie betroffene Mitglieder, wenn ein hohes Risiko vorliegt (Art. 34 DSGVO).

10. Automatisierte Entscheidungen & Profiling

Wir setzen keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO ein. Eine algorithmische Anti-Missbrauchs-Erkennung (z. B. Rate-Limit, Bot-Filter) führt ausschließlich zu technischen Reaktionen (Verzögerung, Captcha) — nicht zu Kontoauflösungen ohne menschliche Prüfung.

11. Kinder

oida. richtet sich an Personen ab 16 Jahren (Art. 8 DSGVO). Mitglieder unter 18 Jahren benötigen für kostenpflichtige Funktionen die Zustimmung der Erziehungsberechtigten. Erkennen wir, dass ein Konto ohne erforderliche Einwilligung von einem Kind angelegt wurde, wird es umgehend gelöscht.

12. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich Dienste, Rechtslage oder Verarbeiter ändern. Wesentliche Änderungen kommunizieren wir per In-App-Nachricht oder E-Mail mindestens 14 Tage im Voraus.

Letzte Aktualisierung: 2026-05-25