Datenschutz · DSGVO

Was wir wissen.

Wir verarbeiten deine Daten so sparsam wie möglich — und nur so umfangreich wie nötig, damit oida. als App, Klub und Stempelpass funktioniert. Diese Erklärung beschreibt nach Maßgabe der DSGVO (Verordnung (EU) 2016/679), des österreichischen DSG sowie ergänzend des UAE Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data, welche Daten erhoben werden, auf welcher Rechtsgrundlage, wie lange wir sie speichern und welche Rechte du jederzeit hast.

1. Verantwortlicher (Art. 4 Z 7 DSGVO)

OIDA · Inhaber Peter Michael Putz
{{UAE_ADDRESS}}
Vereinigte Arabische Emirate
Lizenz: {{COMPANY_REG}}

E-Mail: setup@dc1st.com
Datenschutz-Anfragen: setup@dc1st.com

Ein Datenschutzbeauftragter wurde nicht bestellt; eine gesetzliche Pflicht hierzu besteht für oida. derzeit nicht (Art. 37 DSGVO). Anfragen werden direkt vom Verantwortlichen bearbeitet.

2. Welche Daten wir verarbeiten

a) Warteliste & Konto-Anmeldung

E-Mail-Adresse (zwingend für Anmeldung und Magic-Link-Login)
Optional: Vorname, Herkunfts-Bundesland/-Kanton, Bezirk in den Emiraten
Sprachpräferenz (DE/EN), in localStorage gespeichert

b) Authentifizierung & Sicherheit

IP-Adresse — wird nur als gehashter Fingerprint zur Rate-Limit-Erkennung verarbeitet, nicht im Klartext gespeichert
Login-Zeitstempel
Session-Token (im Browser/App, nicht im localStorage)

c) Nutzung der App & Telemetrie

Anonymisierte Ereignisdaten (Event-Name, Zeitstempel, Bildschirm), z. B. „stempel.geöffnet“, „flaggenmodus.gestartet“
App-Version, Geräte-OS-Version (nicht das Gerät selbst)
Keine Werbe-IDs, kein Cross-Site-Tracking, keine Drittanbieter-Analytics auf der Landing Page

d) Push-Benachrichtigungen

Apple Push Notification Service Token (APNs Device Token)
Benachrichtigungs-Präferenzen (Stempel, Events, Briefings)

e) Optionale Standortdaten — nur „Flaggen-Modus“

Der spielerische „Flaggen-Modus“ (AR-Bezirksspiel) erfasst bei aktiver Nutzung deinen ungefähren Standort (Bezirks-Ebene), um Spielfelder zuzuordnen. Standortdaten werden ausschließlich für das Spielergebnis verwendet, nicht zur Bewegungsanalyse, nicht zur Werbeausspielung und nicht an Dritte weitergegeben. Du kannst die Standort-Freigabe in den iOS-Einstellungen jederzeit widerrufen.

f) Premium / Zahlungs-Daten

Zahlungen werden über {{PAYMENT_PROVIDER, geplant: Moyasar}} abgewickelt. Wir erhalten lediglich eine Transaktions-Referenz und die Mitgliedschaft-Status-Information. Vollständige Kartendaten werden von uns weder gesehen noch gespeichert; die PCI-DSS-pflichtige Verarbeitung erfolgt ausschließlich beim Zahlungsdienstleister.

g) Auto-Pause des Premium-Status

Wenn dein Gerät 14 zusammenhängende Tage außerhalb der Emirate verbringt (Zeitzone + ungefähre Geolokalisierung), pausiert die Premium-Abrechnung automatisch. Hierfür speichern wir nur den UTC-Offset und einen Landes-Code (z. B. „AT“, „CH“, „AE“), keine präzisen Aufenthaltsorte.

h) Stempelpass & Klub-Guthaben

Zeitstempel und Partner-ID je Stempel
Aktueller Guthaben-Saldo
Keine Speicherung der gescannten Partner-QR-Inhalte über die Verifikation hinaus

3. Rechtsgrundlagen (Art. 6 DSGVO)

Verarbeitung	Grundlage
Konto, Login, Premium-Abrechnung	Art. 6 Abs. 1 lit. b — Vertragserfüllung
Push-Benachrichtigungen, Standort im Flaggen-Modus, Marketing-E-Mails	Art. 6 Abs. 1 lit. a — Einwilligung
Rate-Limit-Hashes, Telemetrie, Missbrauchs-Erkennung	Art. 6 Abs. 1 lit. f — berechtigtes Interesse an stabiler, sicherer App
Aufbewahrung von Rechnungen / Buchhaltung	Art. 6 Abs. 1 lit. c — rechtliche Verpflichtung (AE-Steuerrecht)

4. Empfänger & Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Dienstleister ein. Alle haben Auftragsverarbeitungsverträge (Art. 28 DSGVO) bzw. Standard-Vertragsklauseln unterzeichnet, soweit Daten die EU verlassen.

Dienstleister	Zweck	Ort
Supabase Inc.	Datenbank, Authentifizierung, Server-Functions	EU-Region Frankfurt (DE) — bevorzugt
Vercel Inc.	Auslieferung Website & API-Edge	EU + global edge
{{PAYMENT_PROVIDER, geplant: Moyasar}}	Zahlungsabwicklung Premium	Königreich Saudi-Arabien / UAE
Apple Inc. — Push Notification Service	Versand von iOS Push-Benachrichtigungen	USA / global
{{EMAIL_PROVIDER, z. B. Resend / Postmark}}	Transaktions-E-Mails (Magic-Link, Bestätigungen)	EU / US — SCC

Eine Übermittlung in Drittländer (insb. USA, UAE) erfolgt nur unter den Voraussetzungen der Art. 44 ff. DSGVO — entweder auf Basis eines Angemessenheitsbeschlusses, der Standardvertragsklauseln oder deiner ausdrücklichen Einwilligung.

5. Speicherdauer

Warteliste: bis Launch der App, danach Migration in regulären Account oder Löschung auf Wunsch
Aktives Konto: Dauer der Mitgliedschaft + 6 Monate Karenz
Gehashte IP/Rate-Limit-Daten: maximal 30 Tage
Telemetrie-Ereignisse: 90 Tage rollend, danach aggregiert
Rechnungs- & Steuerunterlagen: gemäß UAE-Steuerrecht 5 Jahre, ggf. länger nach §132 BAO bei AT-Wohnsitz
Push-Tokens: bis Abbestellen oder Account-Löschung

6. Cookies & lokale Speicherung

Die Landing-Seite oida.ae setzt keine Tracking-Cookies. Lokal im Browser (per localStorage) speichern wir lediglich:

deine Sprachpräferenz (z. B. oida_lang=de)
einen Session-Schlüssel nach Login (gehasht, ohne PII)

Hierfür ist keine Cookie-Einwilligung erforderlich, da diese Daten gemäß §165 Abs. 3 TKG 2021 und Art. 5 Abs. 3 ePrivacy-Richtlinie ausschließlich zur Bereitstellung des ausdrücklich gewünschten Dienstes verwendet werden.

7. Deine Rechte als betroffene Person

Nach Art. 15 bis 22 DSGVO stehen dir folgende Rechte zu:

Auskunft (Art. 15) — wir geben dir innerhalb von 30 Tagen eine maschinenlesbare Kopie deiner Daten.
Berichtigung (Art. 16) — über das App-Profil oder per E-Mail.
Löschung (Art. 17, „Recht auf Vergessenwerden“) — komplette Konto-Löschung in der App oder per Mail; soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
Einschränkung der Verarbeitung (Art. 18).
Datenübertragbarkeit (Art. 20) — Export deiner Daten als JSON.
Widerspruch (Art. 21) — gegen Verarbeitungen auf Grundlage berechtigten Interesses.
Widerruf von Einwilligungen (Art. 7 Abs. 3) — jederzeit mit Wirkung für die Zukunft.

So machst du sie geltend: formlose Nachricht an setup@dc1st.com mit dem Stichwort „DSGVO-Antrag“. Wir bestätigen innerhalb von 72 Stunden und erfüllen binnen 30 Tagen.

8. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungs- oder gerichtlichen Rechtsbehelfs hast du das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere am Ort deines gewöhnlichen Aufenthalts:

Österreich: Datenschutzbehörde — dsb.gv.at
Deutschland: zuständige Landesdatenschutzbehörde — bfdi.bund.de
Schweiz: EDÖB — edoeb.admin.ch
UAE: UAE Data Office — dataoffice.gov.ae

9. Datensicherheit

Wir nutzen Transportverschlüsselung (TLS 1.3) für alle Datenübertragungen, Verschlüsselung im Ruhezustand (AES-256) bei Supabase, gehashte Passwörter (bcrypt/argon2), getrennte Service-Rollen und regelmäßige Sicherheits-Reviews. Trotz aller Vorkehrungen ist eine absolute Sicherheit nicht garantiert. Im Falle eines meldepflichtigen Datenschutz-Vorfalls informieren wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO) sowie betroffene Mitglieder, wenn ein hohes Risiko vorliegt (Art. 34 DSGVO).

10. Automatisierte Entscheidungen & Profiling

Wir setzen keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO ein. Eine algorithmische Anti-Missbrauchs-Erkennung (z. B. Rate-Limit, Bot-Filter) führt ausschließlich zu technischen Reaktionen (Verzögerung, Captcha) — nicht zu Kontoauflösungen ohne menschliche Prüfung.

11. Kinder

oida. richtet sich an Personen ab 16 Jahren (Art. 8 DSGVO). Mitglieder unter 18 Jahren benötigen für kostenpflichtige Funktionen die Zustimmung der Erziehungsberechtigten. Erkennen wir, dass ein Konto ohne erforderliche Einwilligung von einem Kind angelegt wurde, wird es umgehend gelöscht.

12. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich Dienste, Rechtslage oder Verarbeiter ändern. Wesentliche Änderungen kommunizieren wir per In-App-Nachricht oder E-Mail mindestens 14 Tage im Voraus.

Letzte Aktualisierung: 2026-05-21