Version 2.0 · Stand 2. Mai 2026
1. Verantwortlicher
Patrick de Kathen, natürliche Person (Maltese Sole Trader / Self-Employed; künftiger Rechtsträger Ballio Ltd., Malta — derzeit pre-incorporation). Niederlassung: Malta (Gozo), 10 Xaghra Heights, XRA 2100 Xaghra. Allgemein: team@ballio.app · Datenschutz: privacy@ballio.app. Ein Datenschutzbeauftragter ist nicht bestellt; die Schwellen des Art. 37 DSGVO werden nicht erreicht.
2. Datenkategorien
Konto: E-Mail, Anzeigename, Geburtsdatum (Altersgruppe), Geschlecht, optional Position/Verein/Avatar. Sessions: ID, Drill, Score, Dauer, Kategorie, optional IMU-Sprunghöhe. Roh-Video, 33 on-device Pose-Keypoints und Echtzeit-Audio-Coaching verlassen niemals das Endgerät — harte Produktregel. Zahlungen: Stripe-IDs, Land, Betrag, gesalzener IP-Hash. B2B-Leads: Name, geschäftliche E-Mail, Verein, Rolle, Land, Teamgröße. City-Vote: Stadt, E-Mail, Consent, IP-Hash. A/B-Exposure: Experiment, Variante, IP-Hash (60-Min-Dedupe). Zone-Arbitrage-Logs: User-ID, Checkout-/aktuelles Land, IP-Hash. Push: FCM-/APNs-Token. Newsletter: E-Mail, Vorname, Sprache, Land (Double-Opt-In).
3. Rechtsgrundlagen
Art. 6 Abs. 1 lit. b DSGVO (Vertrag) für Konto, Sessions, Subscriptions; lit. a (Einwilligung) für Benchmarks, City-Vote, Newsletter, Push, GA4; lit. f (berechtigtes Interesse: Produkt-Optimierung & Schutz vor Preis-Missbrauch) für A/B-Tracking und Zone-Arbitrage. Geo-Erkennung ausschließlich via Cloudflare cf-ipcountry-Header (kein Drittanbieter).
4. Empfänger / Sub-Processors
Supabase (US, Hosting AWS eu-central-1 Frankfurt; SCC Modul 2 + DPF), Cloudflare (US, EU-PoP Frankfurt; SCC + DPF), Stripe Payments Europe Ltd. (Dublin, IE; EU-Adäquanz), MailerLite UAB (Vilnius, LT; EU), Notion Labs (US; SCC + DPF, opt-in B2B-CRM), Google Analytics 4 (US, Consent-gated, IP-Masking, DPF), Google FCM / Apple APNs (Push-Tokens; SCC + DPF). Google Fonts wird selbst-gehostet (kein US-Transfer). Übersetzungen via Anthropic verarbeiten ausschließlich öffentliche UI-Strings (siehe Anhang 5b — keine Auftragsverarbeitung).
5. Internationale Übermittlungen
US-Übermittlungen stützen sich auf das EU-US Data Privacy Framework (DPF), wo zertifiziert (Cloudflare, Google, Apple, Notion, Supabase Inc.), und zusätzlich auf die EU-Standardvertragsklauseln Modul 2 (Beschluss 2021/914) als Rückfallebene. Ein Transfer-Impact-Assessment gemäß EuGH Schrems II (C-311/18) ist intern dokumentiert. Geo-Erkennung erfolgt ausschließlich über den Cloudflare cf-ipcountry-Header — keine Drittanbieter-Geo-IP-Übermittlung mehr.
6. Cookies & Tracking
Gemäß § 25 TTDSG/TDDDG bzw. Art. 5 Abs. 3 ePrivacy-RL und CJEU Planet49 (C-673/17) holen wir vor jeder nicht-zwingend-erforderlichen Speicherung auf dem Endgerät Deine aktive, granulare und vorherige Einwilligung über das Cookie-Banner ein. Vor Einwilligung wird kein GA4-Skript geladen — keine non-essential Storage. Notwendig (kein Opt-out): ballio_lang, Session, CSRF. Statistik (Default aus): GA4. Marketing: derzeit keine. Widerruf jederzeit über Cookie-Einstellungen im Footer.
7. Kinderdatenschutz mit VPC
Ballio kann ab 10 Jahren genutzt werden. Da Deutschland den Default des Art. 8 Abs. 1 DSGVO bei 16 Jahren belassen hat, benötigen Nutzer unter 16 Jahren eine nachweisbare Einwilligung der Erziehungsberechtigten. Wir setzen einen VPC-Flow ein: Eltern legen das Konto im Family-Plan an, bestätigen via E-Mail-Verifikation und behalten Lese-/Lösch-Recht. Eine reine Geburtsdatum-Abfrage genügt der DSK-Vorgabe nicht; deshalb ist für Konten unter 16 ein zusätzlicher Eltern-Verifikations-Schritt vorgeschaltet. AT 14, BE 13, ES 14 — abweichende Schwellen werden länderspezifisch berücksichtigt.
8. EU-AI-Act Art. 50 Transparenz
Pose-Detection (Apache-2.0, on-device) und Sprach-Coach (Apache-2.0, on-device) laufen ausschließlich on-device. Es findet keine biometrische Identifikation, keine Gesichtserkennung statt — die Pose-Erkennung dient ausschließlich der Bewegungs-Bewertung, nicht der Personen-Identifikation. Klassifikation: Limited-Risk-AI-System gemäß VO 2024/1689. Du kannst die KI-Funktion app-seitig deaktivieren (Profil → Einstellungen). Recht auf Erklärung der KI-Bewertung (Art. 86 EU-AI-Act): privacy@ballio.app.
9. Speicherung & Löschung
Konto- und Sessions-Daten: Account-Lifetime + 30 Tage nach Löschungsanfrage. Rechnungs-relevante Daten: 10 Jahre (§ 257 HGB, § 147 AO). Marketing-Leads: 12-24 Monate. Server-Logs: 90 Tage. Consent-Records: 5 Jahre (Beweis Widerruf). Anonymisierte Benchmark-Aggregate: unbegrenzt (kein Personenbezug).
10. Deine Rechte
Du hast die Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (JSON-Export, Art. 20), Widerspruch gegen berechtigtes Interesse (Art. 21) und Widerruf erteilter Einwilligungen (Art. 7 Abs. 3). Es findet keine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung statt (Art. 22). Anfragen: team@ballio.app — wir antworten innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).
11. Beschwerderecht
Federführende Aufsichtsbehörde (One-Stop-Shop, Art. 56 DSGVO): Information and Data Protection Commissioner (IDPC) Malta, Level 2, Airways House, High Street, Sliema SLM 1549, Malta · +356 2328 7100 · idpc.info@idpc.org.mt · https://idpc.org.mt. Konkurrierend: Du kannst zusätzlich Deine lokale EU-Aufsichtsbehörde anrufen (für DE: BfDI bzw. zuständige LDA); Beschwerden werden über das IMI-Portal an die IDPC weitergeleitet.
12. Änderungen
Wir prüfen diese Erklärung regelmäßig. Wesentliche Änderungen werden per In-App-Notice angezeigt und erfordern eine erneute Annahme (Tracking via auth.users.raw_user_meta_data.privacy_version). Aktuelle Version: 2.0 — Stand 2. Mai 2026.