1. Verantwortlicher
How to Mountainbike
Inhaber: Andreas Stetefeld
Gollierstr. 56b, 80339 München
E-Mail: [email protected]
Website: https://how-to-mtb.com
2. Geltungsbereich
Diese Erklärung informiert über die Verarbeitung personenbezogener Daten bei Nutzung
a) der App „How to Mountainbike“,
b) der Website how-to-mtb.com,
c) des Mitgliederbereichs app.how-to-mtb.com.
Es finden keine Zahlungsabwicklungen statt.
3. Rechtsgrundlagen (Art. 6 DSGVO – Überblick)
Art. 6 Abs. 1 lit. b: Vertrag/vertragsähnliches Nutzungsverhältnis (Bereitstellung von App/Accounts, Mitgliederbereich).
Art. 6 Abs. 1 lit. a: Einwilligung (z. B. Cookies/Tracking, Newsletter, Marketing).
Art. 6 Abs. 1 lit. f: Berechtigtes Interesse (z. B. IT-Sicherheit, Missbrauchsverhinderung, Reichweitenmessung, sofern ohne Cookies).
Art. 6 Abs. 1 lit. c: Rechtliche Pflichten (z. B. Aufbewahrungsfristen).
4. Kategorien von Daten
Bestands- und Kontaktdaten (z. B. Name, E-Mail), Login-Daten (Passwort-Hash), Kommunikationsdaten, Inhalts-/Nutzungsdaten (z. B. Kursfortschritte), Geräte-/Technikdaten (IP-Adresse gekürzt, Browser/App-Version, Zeitstempel), Cookie-IDs/Consent-Status.
5. Hosting & Server-Logfiles
Beim Aufruf von Website/App werden technisch notwendige Daten verarbeitet (gekürzte IP-Adresse, Datum/Uhrzeit, User-Agent, Referrer, angeforderte Ressourcen) zur Bereitstellung und IT-Sicherheit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Löschung der Logfiles i. d. R. binnen [z. B. 14–30 Tagen], es sei denn, ein Sicherheitsvorfall erfordert längere Aufbewahrung.
6. Registrierung, Konto & Social-Login
Zur Nutzung des Mitgliederbereichs ist eine Registrierung erforderlich. Wir verarbeiten dabei die von dir angegebenen Daten (z. B. Name, E-Mail) sowie technische Metadaten (Zeitpunkte, IP gekürzt) zur Kontoerstellung, Authentifizierung, Verwaltung.
Social-Login (Google, optional Apple): Bei Nutzung erhalten wir vom jeweiligen Anbieter die für das Login erforderlichen Basisdaten (z. B. Name, E-Mail, eine Anbieter-ID). Eine weitergehende Nutzung deines Social-Media-Kontos erfolgt nicht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
7. Newsletter & Direktwerbung (ausführlich)
7.1 Anmeldung & Double-Opt-in
Bei Anmeldung zu unserem E-Mail-Newsletter versenden wir regelmäßig Informationen zu Angeboten, Inhalten und Aktualisierungen. Pflichtangabe ist die E-Mail-Adresse, weitere Angaben sind freiwillig (für persönliche Ansprache).
Wir verwenden das Double-Opt-in-Verfahren: Erst nach Bestätigung über den per E-Mail zugesandten Link ist die Anmeldung abgeschlossen.
Wir protokollieren Anmelde- und Bestätigungszeitpunkt, die vom ISP eingetragene IP-Adresse (gekürzt) sowie den Inhalt der Einwilligung, um den Anmeldevorgang nachweisen zu können.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
7.2 Widerruf/Abmeldung
Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, z. B. über den Abmeldelink in jedem Newsletter oder per E-Mail an [E-Mail]. Nach Abmeldung wird die E-Mail-Adresse aus dem aktiven Verteiler unverzüglich gelöscht bzw. in einer Sperrliste (Black-List) verarbeitet, um künftige Zusendungen zu verhindern (berechtigtes Interesse an Nachweis/Abwehr ungewollter Zusendungen, Art. 6 Abs. 1 lit. f DSGVO).
7.3 Erfolgsmessung/Tracking
Unsere Newsletter können einen Mess-Pixel enthalten, der bei Öffnung/ Klick die technische Erfassung (Öffnung, Klicks, Zeitpunkt, Endgerät, ggf. gekürzte IP) ermöglicht, um Inhalte zu optimieren und Zustellprobleme zu erkennen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung im Rahmen der Newsletter-Anmeldung).
7.4 Versanddienstleister (CourseCreator360)
Der Versand erfolgt über CourseCreator360.com (E-Mail-Marketing-/Kursplattform) als Auftragsverarbeiter. Mit dem Dienstleister besteht ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO). Je nach Sitz/Serverstandort kann eine Drittlandübermittlung (z. B. USA) erfolgen. In diesem Fall erfolgt die Übermittlung auf Basis geeigneter Garantien (insb. EU-Standardvertragsklauseln, ggf. zusätzliche Maßnahmen).
Der Dienstleister verarbeitet die Daten ausschließlich nach unserer Weisung, ohne eigene Werbezwecke.
7.5 Speicherdauer
Wir speichern deine Newsletter-Daten bis zum Widerruf; Protokolldaten des Double-Opt-in sowie eine etwaige Sperrliste bewahren wir für [z. B. 3 Jahre] nach letzter E-Mail auf (Nachweiszwecke).
8. Kontaktformular & Kommunikation
Bei Kontakt per Formular oder E-Mail verarbeiten wir die Angaben zur Bearbeitung deines Anliegens (Inhalt, Name, E-Mail, Zeitstempel, technische Metadaten).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Vertrag/Anbahnung) bzw. lit. f (allgemeine Anfragen). Löschfristen: nach Abschluss, sofern keine gesetzlichen Aufbewahrungen entgegenstehen.
9. Cookies, Consent & Widerspruch
Wir setzen ein Consent-Management-Banner ein, über das du optionale Cookies/Tracking (Marketing/Statistik) ablehnen oder anpassen kannst. Deine Entscheidung wird als Consent-Log (Zeitpunkt, Auswahl, Pseudonym-ID) gespeichert.
Rechtsgrundlage für notwendige Cookies: Art. 6 Abs. 1 lit. f (Betrieb/IT-Sicherheit).
Für Marketing/Tracking-Cookies: Art. 6 Abs. 1 lit. a (Einwilligung).
Du kannst deine Auswahl jederzeit im Banner ändern.
10. Google Tag Manager
Wir nutzen Google Tag Manager zur Verwaltung von Tags. Der GTM setzt selbst keine Cookies, kann aber das Ausspielen anderer Tags steuern. Eine Ausspielung von Marketing-/Tracking-Tags erfolgt nur nach Einwilligung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
11. Google Ads (Conversion & ggf. Remarketing)
Nach Einwilligung setzen wir Google Ads (z. B. Conversion-Messung, ggf. Remarketing) ein. Dabei können Cookie-IDs, gekürzte IP, Referrer, Zeitstempel und Events verarbeitet werden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Widerruf über Cookie-Banner möglich. Drittlandübermittlung möglich; SCC/Garantien werden eingesetzt.
12. Meta (Facebook) Pixel
Nach Einwilligung verwenden wir den Meta Pixel zur Messung der Werbewirksamkeit und – ggf. – Reichweitenbildung (Custom Audiences).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Widerruf über Cookie-Banner möglich. Drittlandübermittlung (USA) – Einsatz von SCC/Garantien.
13. Google Fonts
Standard: Wir binden Google Fonts lokal ein; es erfolgt keine Verbindung zu Google-Servern.
Sollte ausnahmsweise eine Remote-Einbindung erforderlich sein, holen wir zuvor Einwilligung ein (Art. 6 Abs. 1 lit. a) und informieren im Cookie-Banner.
14. Videos & Kursplattform (CourseCreator360)
Unsere Videos/Kursinhalte werden über CourseCreator360 bereitgestellt. Dabei werden – je nach Nutzung – Bestands- und Nutzungsdaten (z. B. Kursfortschritte, Aufrufzeitpunkte) verarbeitet.
Rolle: Auftragsverarbeiter (Art. 28 DSGVO). Drittlandübermittlung möglich; SCC/Garantien eingesetzt.
15. App-spezifische Hinweise
Die App verarbeitet zur Funktionsbereitstellung technische Metadaten (z. B. Geräte-/Betriebssysteminformationen, Session-IDs). Es werden keine In-App-Zahlungen verarbeitet.
Falls du Push-Benachrichtigungen aktivierst, verarbeiten wir die dafür erforderliche Geräte-Token-ID. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a).
Wir setzen keine zusätzlichen Tracking-SDKs ein, die über die oben genannten Dienste hinausgehen. (Falls künftig Crashlytics/Sentry etc. hinzukommen, ergänze ich den Abschnitt.)
16. Empfänger & Kategorien von Auftragsverarbeitern
IT-Hosting, Kurs-/Newsletter-Plattform (CourseCreator360), E-Mail-Provider, Consent-Tool/Cookie-Banner, Analyse/Marketing-Dienste (nur nach Einwilligung).
Mit allen Auftragsverarbeitern bestehen Art. 28-Verträge.
17. Drittlandübermittlungen
Eine Übermittlung in Drittländer (insb. USA) kann bei einzelnen Diensten erfolgen. In diesen Fällen verwenden wir EU-Standardvertragsklauseln und – sofern erforderlich – zusätzliche Schutzmaßnahmen. Eine Kopie der wesentlichen Garantien kannst du bei uns anfordern.
18. Speicherdauer & Löschung
Wir verarbeiten Daten nur solange, wie es für den jeweiligen Zweck erforderlich ist. Gesetzliche Aufbewahrungsfristen bleiben unberührt. Kriterien sind u. a. Vertragslaufzeiten, Einwilligungsdauer, Sicherheitsanforderungen und Verjährungsfristen.
19. Pflicht zur Bereitstellung
Für Registrierung/Account ist die Bereitstellung bestimmter Daten erforderlich. Ohne diese ist eine Nutzung des Mitgliederbereichs nicht möglich. Für Marketing/Tracking besteht keine Pflicht – es ist freiwillig (Einwilligung).
20. Keine automatisierten Entscheidungen
Es finden keine ausschließlich automatisierten Entscheidungen i. S. v. Art. 22 DSGVO statt.
21. Betroffenenrechte
Du hast das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21) gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. e/f.
Du kannst erteilte Einwilligungen jederzeit widerrufen (Art. 7 Abs. 3) mit Wirkung für die Zukunft.
22. Beschwerderecht
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat deines gewöhnlichen Aufenthalts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.
Für uns zuständig ist voraussichtlich die [zuständige Landesaufsichtsbehörde; z. B. BayLDA].
23. Minderjährige
Unser Angebot richtet sich nicht an Kinder unter 16 Jahren. Eine Einwilligung Minderjähriger bedarf der Zustimmung der Erziehungsberechtigten.
24. Änderungen
Wir passen diese Erklärung an, wenn technische oder rechtliche Änderungen dies erfordern. Die aktuelle Version ist unter https://how-to-mtb.com/privacy abrufbar.
Stand: Oktober 2025