Zum Hauptinhalt springen
dazukommen
Menü

Rechtliches

Datenschutz

DAZUKOMMEN · STAND MAI 2026

1. Verantwortlicher

df GmbH
Nymphenburger Str. 115
80636 München
Deutschland

E-Mail: hallo@dazukommen.de
Geschäftsführer: Florian Pinger, Dr. Torsten Poeck

2. Datenschutzbeauftragter

Bei Fragen zum Datenschutz kannst du dich an datenschutz@dazukommen.de wenden.

3. Übersicht der Verarbeitungen

Arten der verarbeiteten Daten

  • Nutzungsdaten (z.B. besuchte Seiten, Zugriffszeiten)
  • Meta-/Kommunikationsdaten (z.B. IP-Adresse, Browser, Betriebssystem)
  • Kontaktdaten (E-Mail, Vorname, bei Pre-Signup)
  • Inhaltsdaten (Stadtviertel, Alter der Kinder, bei Pre-Signup, freiwillig)
  • Konto- und Profil-Daten (App): E-Mail, Apple-Sub, Spitzname, Sprache
  • Familien-Daten (App): Kinder-Spitznamen, optional Geburtsjahr, Buddy-Verbindungen
  • Plan-Daten (App): Spielplatz-ID, Zeitpunkt, Notiz, Sichtbarkeit
  • Geräte-Daten (App): APNs-Push-Token, Plattform, App-Version, Locale
  • Standort (App): nur im Vordergrund, nicht gespeichert, nur für Karte

Kategorien betroffener Personen

  • Besucher der Website
  • Personen, die sich für den Pre-Signup vormerken
  • Nutzerinnen und Nutzer der dazukommen-App

Zwecke der Verarbeitung

  • Bereitstellung des Onlineangebots und Nutzerfreundlichkeit
  • Sicherheitsmaßnahmen
  • Verwaltung der Pre-Signup-Liste und Versand der Start-Benachrichtigung
  • Beantwortung von Kontaktanfragen
  • Bereitstellung der App-Funktionen: Auth, Familien-Profil, Plan-Anlage, Buddy-Verbindungen, Push-Benachrichtigungen, Karten

4. Maßgebliche Rechtsgrundlagen

  • Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO): die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen.
  • Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO): die betroffene Person hat ihre Einwilligung in die Verarbeitung gegeben (z.B. bei der Pre-Signup-Anmeldung).
  • Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO): die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich.

5. Sicherheitsmaßnahmen

Wir treffen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Insbesondere:

  • Verschlüsselte Datenübertragung (TLS 1.2+)
  • Sichere Serverinfrastruktur in Deutschland
  • Regelmäßige Sicherheitsupdates
  • Zugriffsbeschränkungen auf personenbezogene Daten

6. Hosting und Bereitstellung des Onlineangebots

Die Website wird auf Servern der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) in einem Rechenzentrum in Deutschland gehostet. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Erhobene Daten

  • IP-Adresse
  • Datum und Uhrzeit der Anfrage
  • Inhalt der Anforderung (konkrete Seite)
  • HTTP-Statuscode und übertragene Datenmenge
  • Browsertyp und -version
  • Betriebssystem
  • Referrer URL (zuvor besuchte Seite)

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
Speicherdauer: maximal 30 Tage.

7. Cookies

Die öffentliche Landing-Page setzt keine Cookies. Im geschlossenen Team-Bereich (/team/) wird nach Magic-Link-Login ein technisch notwendiges Session-Cookie gesetzt (HttpOnly, Secure, SameSite=Lax, Pfad /team, Laufzeit 30 Tage). Es enthält ausschließlich die anonymisiert signierte Session-Information, kein Tracking, keine Drittanbieter.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technische Notwendigkeit).

8. Pre-Signup (Vormerkliste München)

Wenn du dich auf der Startseite vormerkst, verarbeiten wir folgende von dir eingegebene Daten:

  • E-Mail-Adresse (Pflichtfeld)
  • Vorname (freiwillig, für die persönliche Anrede in der Bestätigungs-Mail)
  • Stadtviertel in München (freiwillig, für die Reihenfolge der Aktivierung)
  • Alter der Kinder (freiwillig, für die Kuration der Empfehlungen)
  • Anfrage-Metadaten: IP-Adresse, User-Agent, Zeitstempel

Zweck: Versand einer einmaligen Bestätigung, einer Benachrichtigung wenn dein Viertel startet, und einer Einladung zur App. Mehr nicht.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO), erteilt durch das Absenden des Formulars. Du kannst die Einwilligung jederzeit widerrufen, schreib an hallo@dazukommen.de.

Speicherdauer: bis zum Widerruf oder bis 12 Monate nach dem Start deines Viertels (je nachdem, was zuerst eintritt).

E-Mail-Versand: Wir nutzen Resend (Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA) als Versanddienstleister. Resend ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Übermittelt werden ausschließlich E-Mail-Adresse und der Inhalt der Mail. Mit Resend besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

9. Geschlossener Team-Bereich

Der Bereich unter /team/ ist nicht Teil des öffentlichen Angebots. Zugang per Magic-Link-Login, beschränkt auf einen vorab definierten Personenkreis (@via-now.com-Adressen plus zwei explizit zugelassene externe Adressen). Verarbeitete Daten: E-Mail-Adresse, Session-Cookie, Zugriffs-Logs.

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO, Schutz interner Arbeitsdokumente).

10. Mobile App dazukommen (iOS und Android)

Die App dient dazu, Familien im Stadtteil zu vernetzen, Spielplätze zu finden und Spiel-Verabredungen mit verbundenen Buddies zu planen.

Konto und Anmeldung

  • Anmeldung per Magic-Link: E-Mail-Adresse, Zeitpunkt der Anmeldung, Geräte-Metadaten (User-Agent, IP).
  • Sign-in-with-Apple (alternativ): von Apple übermittelte anonymisierte User-ID (Apple-Sub) plus optional E-Mail. Wir bekommen keinen Zugang zu deiner Apple-ID.
  • Spitzname (optional, frei wählbar, kein Klarname nötig).
  • Sprache: Deutsch oder Englisch.

Familien-Profil

  • Kinder: Spitzname plus optional Geburtsjahr (nicht das vollständige Geburtsdatum). Sichtbarkeitsstufe (nur du, deine Buddies, öffentlich) je Kind frei wählbar.
  • Buddies: andere Eltern, mit denen du dich über einen 10-stelligen Pairing-Code verbunden hast. Verbindung ist beidseitig einlösbar und jederzeit auflösbar.

Pläne und Treffen

  • Wenn du einen Plan auf einem Spielplatz anlegst: Spielplatz-ID, Zeitpunkt, optionaler Notiztext, Sichtbarkeit (nur Buddies oder öffentlich).
  • Pläne werden automatisch nach Ablauf des Termins archiviert und nach 90 Tagen gelöscht.

Geräte und Push-Benachrichtigungen

  • APNs Push-Token (Apple Push Notification Service): wird pro Gerät generiert und zur Zustellung von Treffen-Hinweisen verwendet. Du kannst Push-Benachrichtigungen jederzeit in den iOS-Einstellungen deaktivieren.
  • Geräte-Metadaten: Plattform, App-Version, Locale, letzter Zugriff. Kein Gerät-Fingerprinting, keine IDFA-Auswertung.

Standort

Der Standortzugriff erfolgt ausschließlich im Vordergrund („Beim Verwenden der App") und nur, um Spielplätze in deiner Nähe und die Karte zu zeigen. Standortdaten werden nicht gespeichert und nicht an Dritte übermittelt. Die Erlaubnis kannst du jederzeit in den iOS-Einstellungen widerrufen, die App funktioniert dann mit dem Standard-Kartenausschnitt München.

Karten

Wir nutzen Mapbox (Mapbox, Inc., 50 Beale Street, San Francisco, CA 94105, USA) für die Kartendarstellung. Mapbox ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Beim Laden der Karte übermittelt dein Gerät die IP-Adresse und einen Mapbox-Anonymous-Identifier an Mapbox, um Kacheln auszuliefern. Es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Veranstaltungs-Daten

Veranstaltungen Dritter (z.B. Kindaling) zeigen wir an, indem wir öffentlich publizierte Termin-Listen ausschließlich strukturiert (schema.org Event) abrufen. Wir verarbeiten keine Nutzerdaten an die Quellen weiter.

Datenexport und Löschung

Innerhalb der App findest du im Profil-Tab unter „Daten und Recht":

  • Daten exportieren: liefert ein vollständiges JSON-Bundle deiner Konto-Daten (Profil, Kinder, Pläne, Buddies, Geräte). Dieses kannst du über das System-Share-Sheet teilen oder speichern (Art. 20 DSGVO).
  • Konto löschen: löscht dein Konto, alle Kinder-Profile, Pläne, Buddy-Verbindungen, Pairing-Codes und registrierten Geräte unwiderruflich (Art. 17 DSGVO). Die Aktion erfolgt sofort, nicht nach Wartefrist.

Speicherdauer der App-Daten: solange dein Konto besteht. Inaktive Konten ohne Login innerhalb von 24 Monaten werden automatisch gelöscht (mit Vorab-Benachrichtigung per E-Mail).

Empfänger: Hetzner (Hosting), Apple (APNs für Push und Sign-in-with-Apple), Mapbox (Kartenkacheln), Resend (E-Mail-Versand für Magic-Links). Es findet kein Werbe-Tracking, kein Profiling statt, keine Datenweitergabe zu Werbe- oder Analyse-Zwecken.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO, Bereitstellung der App-Funktion), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO, sichere Auth und Push), Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO, für optionale Standort- und Push-Berechtigungen).

11. Kontaktaufnahme

Bei Kontaktaufnahme per E-Mail werden deine Angaben zur Bearbeitung der Anfrage und für mögliche Anschlussfragen verarbeitet.

  • Verarbeitete Daten: Kontaktdaten, Inhalt der Nachricht, Metadaten
  • Zweck: Beantwortung der Anfrage
  • Rechtsgrundlage: Vertragserfüllung / vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO)
  • Speicherdauer: bis zur abschließenden Bearbeitung, anschließend bis zu 6 Monate für Rückfragen

12. Webanalyse und Fehler-Monitoring

Die öffentliche Landing-Page nutzt kein Werbe-Tracking, kein Profiling, keine Tracking-Cookies, kein Pixel, kein Drittanbieter-Tag.

Wir nutzen Sentry für Fehler-Monitoring (keine personenbezogenen Daten werden gespeichert) und Umami für anonyme Seitenstatistiken (kein Cookie, keine IP-Adresse, DSGVO-konform). Kein Werbe-Profiling, keine Datenweitergabe an Dritte.

Reichweitenmessung findet ergänzend über die ohnehin anfallenden Server-Logs statt (siehe Abschnitt 6).

13. Rechte der betroffenen Personen

Dir stehen nach DSGVO folgende Rechte zu:

Auskunftsrecht (Art. 15 DSGVO)

Du kannst eine Bestätigung darüber verlangen, ob dich betreffende Daten verarbeitet werden, plus Kopie und Auskunft.

Recht auf Berichtigung (Art. 16 DSGVO)

Du kannst die Berichtigung unrichtiger Daten oder die Vervollständigung verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Du kannst verlangen, dass dich betreffende Daten unverzüglich gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Du kannst verlangen, dass die Verarbeitung deiner Daten eingeschränkt wird.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Du kannst dich betreffende Daten in einem strukturierten, gängigen, maschinenlesbaren Format erhalten.

Widerrufsrecht (Art. 7 Abs. 3 DSGVO)

Bei einwilligungsbasierter Verarbeitung (z.B. Pre-Signup) kannst du die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Widerspruchsrecht (Art. 21 DSGVO)

Du kannst aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung Widerspruch einlegen.

Beschwerderecht bei einer Aufsichtsbehörde

Du kannst bei einer Datenschutz-Aufsichtsbehörde Beschwerde einlegen, wenn du der Ansicht bist, dass die Verarbeitung gegen DSGVO verstößt. Zuständige Behörde:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de

14. Änderungen dieser Erklärung

Wir passen die Datenschutzerklärung an, sobald Änderungen der Datenverarbeitung dies erforderlich machen. Den jeweils aktuellen Stand findest du am Anfang dieser Seite.