Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

moabeach labs
Boris Lenhof
Blumenstr. 15 B
66636 Tholey
Deutschland
E-Mail: legal@moabeach.com

2. Allgemeines zur Datenverarbeitung

yooya ist eine private Foto- und Video-Plattform für geschlossene Gruppen. Der Zugang erfolgt ausschließlich über eine persönliche Einladung durch ein bestehendes Gruppenmitglied; eine öffentliche Registrierung ist nicht möglich. Diese Erklärung beschreibt, welche personenbezogenen Daten wir im Rahmen des Betriebs der App und der Webseite verarbeiten, auf welcher Rechtsgrundlage dies geschieht und welche Rechte Ihnen zustehen.

3. Verarbeitete Daten und Zwecke

3.1 Nutzerkonto

Bei der Annahme einer Einladung werden folgende Daten gespeichert:

• E-Mail-Adresse (zur Identifikation und für Systemnachrichten)
• Benutzername (frei wählbar, innerhalb der Gruppe sichtbar)
• Passwort (gespeichert als bcrypt-Hash; das Klartext-Passwort verlässt niemals Ihr Gerät unverschlüsselt)
• Spracheinstellung und bevorzugtes Erscheinungsbild (hell/dunkel/System)
• Zeitpunkt der letzten Anmeldung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.2 Gruppenprofil

Innerhalb einer Gruppe können Sie zusätzlich hinterlegen:

• Profilbild (Avatarbild, quadratisch zugeschnitten)
• Kurzbeschreibung und Vorstellungstext

Diese Angaben sind ausschließlich für andere Mitglieder derselben Gruppe sichtbar. Sie werden pro Gruppe gespeichert und können unabhängig voneinander für jede Gruppe unterschiedlich sein.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.3 Fotos und Videos

Fotos und Videos, die Sie in eine Gruppe hochladen, werden auf unseren Servern gespeichert. Wir verarbeiten dabei:

• Die Bilddatei selbst (ggf. in verschiedenen Qualitätsstufen und Formaten für optimale Darstellung)
• Optionalen Bildkommentar (Caption)
• Optionalen Standort-Tag (sofern von Ihnen angegeben oder aus den Bild-Metadaten übernommen, nach ausdrücklicher Zustimmung)
• Datum und Uhrzeit des Uploads

Fotos und Videos sind ausschließlich für Mitglieder der jeweiligen Gruppe zugänglich. Sie können eigene Inhalte jederzeit löschen. Inhalte werden nach Löschung unverzüglich von unseren Servern entfernt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.4 Interaktionen (Kommentare und Likes)

Kommentare und Likes werden Ihrem Nutzerkonto zugeordnet und sind für alle Mitglieder der jeweiligen Gruppe sichtbar. Sie können eigene Kommentare jederzeit löschen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.5 Push-Benachrichtigungen

Wenn Sie Push-Benachrichtigungen aktivieren, wird ein kryptografisches Abonnement-Token (Web Push Subscription) auf unseren Servern gespeichert. Dieses Token wird ausschließlich verwendet, um Ihnen Benachrichtigungen über Aktivitäten in Ihrer Gruppe zu senden (z. B. neue Fotos, Kommentare, Likes). Das Token enthält keine persönlichen Informationen und wird gelöscht, sobald Sie die Benachrichtigungen in der App deaktivieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit in den App-Einstellungen widerrufen.

3.6 Einladungen und E-Mails

Wenn ein Gruppenmitglied Sie einlädt, wird Ihre E-Mail-Adresse gespeichert, um die Einladung zuzustellen und den Anmeldeprozess zu ermöglichen. Im Rahmen der Nutzung versenden wir systembedingte E-Mails (z. B. Bestätigungslinks bei Änderung der E-Mail-Adresse). Wir versenden keine Werbe-E-Mails.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.7 Serverprotokolle

Bei jedem Zugriff auf unsere Server werden automatisch folgende Daten in Server-Logdateien gespeichert:

• IP-Adresse des anfragenden Geräts (wird nach kurzer Speicherdauer anonymisiert)
• Datum und Uhrzeit der Anfrage
• Aufgerufene Seite (URL) und HTTP-Methode
• HTTP-Statuscode
• Übertragene Datenmenge
• Browser und Betriebssystem (User-Agent)
• Referrer-URL (zuvor besuchte Seite)

Diese Daten werden ausschließlich zur Sicherstellung des technischen Betriebs, zur Fehlerbehebung und zur Erkennung von Missbrauch gespeichert. Eine Zusammenführung mit anderen Datensätzen findet nicht statt. Die Logfiles werden nach 7 Tagen automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und störungsfreien Betrieb des Dienstes).

3.8 Karteneinbettung (OpenStreetMap)

Wenn ein Gruppenmitglied einem Veranstaltungsort eine Karte hinzufügt, wird eine Karte von OpenStreetMap direkt in der App eingebettet. Dabei baut Ihr Browser eine direkte Verbindung zu den Servern der OpenStreetMap Foundation (OSMF), St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Großbritannien, auf. Hierbei kann Ihre IP-Adresse an die OSMF übertragen werden.

Die OSMF betreibt OpenStreetMap als gemeinnütziges Projekt; eine Nutzung für Werbezwecke oder eine Profilbildung durch die OSMF findet nach unserem Kenntnisstand nicht statt. Weitere Informationen finden Sie in der Datenschutzerklärung der OSMF: osmfoundation.org/wiki/Privacy_Policy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der vereinbarten Funktion).

---

4. Authentifizierung und Sitzungsverwaltung

Nach der Anmeldung erhalten Sie ein JSON Web Token (JWT), das lokal in Ihrem Browser gespeichert wird (localStorage). Dieses Token wird bei jeder Anfrage an unsere API übertragen, um Ihre Sitzung zu authentifizieren. Es werden keine dauerhaften Anmelde-Cookies gesetzt.

5. Hosting und Datenübertragung in Drittstaaten

Diese Website und die App werden auf einem Server der moabeach labs betrieben, die hierzu Infrastruktur der netcup GmbH, Daimlerstraße 25, 76185 Karlsruhe, nutzt. Verarbeitung und Speicherung der Serverdaten erfolgen ausschließlich in Deutschland. Eine Übertragung personenbezogener Daten in Drittstaaten findet nicht statt.

Für den Versand von System-E-Mails nutzen wir einen eigenen E-Mail-Server, der ebenfalls von moabeach labs betrieben wird.

6. Weitergabe von Daten an Dritte

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt nicht, es sei denn, wir sind dazu gesetzlich verpflichtet oder Sie haben ausdrücklich eingewilligt. Auftragsverarbeiter (Hosting-Anbieter, E-Mail-Dienstleister) sind vertraglich zur Einhaltung der DSGVO verpflichtet und dürfen die Daten ausschließlich zur Erbringung ihrer Dienstleistung verwenden.

7. Speicherdauer und Löschung

• Kontodaten: Bis zur Löschung des Kontos durch den Nutzer oder durch den Betreiber.
• Gruppenprofile und Inhalte: Bis zur Löschung durch den Nutzer oder die Gruppe.
• Push-Abonnements: Bis zur Deaktivierung der Benachrichtigungen in der App.
• Einladungsdaten: Bis zur Annahme, Ablehnung oder zum Ablauf der Einladung.
• Server-Logs: 7 Tage nach Entstehung.

Gesetzliche Aufbewahrungspflichten bleiben unberührt.

8. Ihre Rechte nach der DSGVO

Sie haben gegenüber dem Verantwortlichen folgende Rechte:

• Auskunft (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, welche Daten wir über Sie verarbeiten.
• Berichtigung (Art. 16 DSGVO): Sie können die Korrektur unrichtiger Daten verlangen.
• Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
• Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen können Sie die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem gängigen, maschinenlesbaren Format zu erhalten.
• Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis von berechtigtem Interesse jederzeit widersprechen.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf Ihrer Einwilligung beruht (z. B. Push-Benachrichtigungen), können Sie diese jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: legal@moabeach.com

9. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Die zuständige Aufsichtsbehörde richtet sich nach Ihrem Wohnsitz oder dem Ort der mutmaßlichen Verletzung.

Die für den Verantwortlichen zuständige Aufsichtsbehörde ist:
Unabhängiges Datenschutzzentrum Saarland
Fritz-Dobisch-Straße 12, 66111 Saarbrücken
www.datenschutz.saarland.de

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die rechtlichen Rahmenbedingungen oder die technische Umsetzung des Dienstes ändert. Die jeweils aktuelle Fassung ist stets auf dieser Seite abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.