Stand: 2026-06-22
Datenschutzerklärung
Willkommen bei betogether. Wir wissen, dass dir der Schutz deiner Daten wichtig ist – uns auch. Diese Datenschutzerklärung beschreibt in einfacher Sprache, welche personenbezogenen Daten wir verarbeiten, warum wir das tun und welche Rechte du hast. Wir halten uns dabei an die Datenschutz-Grundverordnung (DSGVO), das österreichische Datenschutzgesetz (DSG) .
betogether ist eine private, geschlossene App für kleine Gruppen ("Tische"). Wir verkaufen deine Daten nicht, wir zeigen keine Werbung und wir machen kein Profiling, um dich Marketingnetzwerken zuzuordnen.
1. Verantwortlicher
Verantwortlich für die Verarbeitung deiner personenbezogenen Daten im Sinne von Art. 4 Nr. 7 DSGVO ist die im Impressum genannte Stelle. Die vollständigen Kontaktdaten findest du im App-Impressum (§ 5 ECG / § 25 MedienG).
Für Datenschutzanfragen erreichst du uns unter:
- E-Mail: hello@betogether.at
- Postanschrift: Manuel Kirchebner, Schnapfen 11, 6361 Hopfgarten, Österreich
Du kannst dich jederzeit an uns wenden – wir antworten in der Regel innerhalb von 30 Tagen.
2. Welche Daten wir erheben
Wir erheben nur das, was betogether zum Funktionieren braucht. Hier eine vollständige Übersicht.
2.1 Stammdaten (für dein Konto)
- Anmeldedaten: Du kannst dich auf mehreren Wegen registrieren/anmelden – wir verarbeiten je nach Methode nur die dafür nötigen Daten:
- Telefonnummer (internationales E.164-Format) + per SMS gesendete Einmal-Codes (OTP). Die Codes werden nur kurz gehasht zwischengespeichert, niemals dauerhaft.
- E-Mail-Adresse + Passwort (das Passwort speichern wir ausschließlich als sicheren Hash, niemals im Klartext).
- Anmeldung mit Apple bzw. Anmeldung mit Google – wir erhalten dabei eine eindeutige Kennung und, sofern von dir freigegeben, deine E-Mail-Adresse.
- Anzeigename (frei wählbar, kein Klarname erforderlich).
- Profilbild (optional).
2.2 Inhalte, die du erstellst
- SNAP-Posts: Fotos und kurze Videos, die du mit der Kamera aufnimmst oder aus der Galerie auswählst.
- VOICE-Posts: Sprachnotizen, die du mit dem Mikrofon aufnimmst.
- THOUGHT-Posts: Kurztexte.
- STATUS-Posts: Ein freier Textort (z. B. "Im Café Hawelka"). Wir nutzen keine GPS-Koordinaten – nur das, was du eintippst.
- Pläne: Titel, Ort (Freitext), Notizen und Zu-/Absagen anderer Mitglieder.
- Wall-Einträge: Zitate, Fotos oder Notizen, die du in deinem Tisch anpinnst.
- Reaktionen und Kommentare zu Posts anderer Mitglieder.
- Chat-Nachrichten: Text-Nachrichten im Echtzeit-Chat eines Tisches (inkl. Antworten und Reaktionen), sichtbar nur für die Mitglieder dieses Tisches.
- Mitgliedschaften: in welchen Tischen du bist und welche Rolle du dort hast.
2.3 Geräteberechtigungen
Bestimmte Funktionen benötigen Berechtigungen auf deinem Gerät. Wir greifen nur dann zu, wenn du eine Aktion startest:
- Fotobibliothek: Nur wenn du aktiv ein Bild auswählst. betogether scannt deine Galerie nicht im Hintergrund.
- Kamera: Nur wenn du eine Aufnahme startest. Vorschau und Bearbeitung passieren lokal; hochgeladen wird erst, wenn du auf "Posten" tippst.
- Mikrofon: Wie Kamera – nur bei aktiver Aufnahme, Upload nur nach deiner Bestätigung.
- Kontakte: Nur wenn du den Einladungs-Picker öffnest. Telefonnummern werden auf deinem Gerät angezeigt; an unseren Server senden wir ausschließlich die Kontakte, die du selbst zum Einladen auswählst.
2.4 Technische Daten
- Push-Geräte-Token von Apple (APNs) bzw. Google (FCM), damit wir dir Benachrichtigungen schicken können.
- App- und Geräteversion (zur Fehlerdiagnose).
- Anonymisierte Fehlerberichte über Sentry, falls die App abstürzt (siehe Abschnitt 6).
3. Warum wir diese Daten verarbeiten
Wir folgen dem Grundsatz der Zweckbindung. Jede Verarbeitung dient einem klaren Zweck:
| Daten | Zweck |
|---|---|
| Anmeldedaten (Telefon/OTP, E-Mail+Passwort, Apple-/Google-ID) | Registrierung, Login, eindeutige Identifikation |
| Anzeigename, Profilbild | Damit andere im Tisch dich erkennen |
| Posts, Chat-Nachrichten, Pläne, Wall, Reaktionen | Kernfunktion der App |
| Kontakte (ausgewählt) | Einladungen an deine Freund:innen |
| Push-Token | Benachrichtigungen über Aktivität in deinen Tischen |
| Sentry-Fehlerdaten | Fehlerbehebung, Stabilität |
| Audit-Log | Erfüllung gesetzlicher Aufbewahrungspflichten |
4. Rechtsgrundlagen
Wir verarbeiten deine Daten auf folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): für alle Funktionen, die du aktiv nutzt – Konto, Posts, Pläne, Mitgliedschaften.
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): für optionale Funktionen wie Spotify-Verknüpfung, Push-Benachrichtigungen, Kontakte-Import und Marketing-Mitteilungen. Du kannst deine Einwilligung jederzeit in den Einstellungen widerrufen.
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): für Fehlerdiagnose mit Sentry, Schutz vor Missbrauch und IT-Sicherheit. Sentry kannst du in den Einstellungen deaktivieren.
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): für die Aufbewahrung anonymisierter Audit-Log-Einträge gemäß handels- und steuerrechtlicher Pflichten.
5. Wie lange wir Daten speichern
Wir speichern Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:
- OTP-Codes: maximal 10 Minuten, danach automatische Löschung.
- Push-Geräte-Token: bis du das Gerät abmeldest oder die App deinstallierst.
- Spotify-Tokens (verschlüsselt): bis zu deiner Trennung der Verknüpfung oder nach 90 Tagen Inaktivität.
- Soft-gelöschte Konten: 30 Tage Karenzzeit, damit du eine versehentliche Löschung rückgängig machen kannst.
- Hart gelöschte Konten: Posts, Chat-Nachrichten, Pläne, Wall-Einträge und Mitgliedschaften werden mit Kaskadenlöschung entfernt. Ein anonymisierter Audit-Log-Eintrag bleibt für bis zu 6 Jahre erhalten (handelsrechtliche und steuerrechtliche Aufbewahrungsfristen gemäß § 212 UGB, § 132 BAO).
- Sentry-Fehlerberichte: nach den Standardfristen von Sentry, in der Regel 30–90 Tage.
6. Empfänger und Auftragsverarbeiter
Wir geben deine Daten nur an sorgfältig ausgewählte Dienstleister weiter, mit denen wir Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen haben:
- Twilio Inc. – Zustellung der OTP-SMS. Übermittelt werden Empfänger-Telefonnummer und OTP-Inhalt. Twilio betreibt Server in den USA; die Übermittlung ist durch EU-Standardvertragsklauseln (SCCs) abgesichert.
- Spotify AB – nur wenn du dein Spotify-Konto verbindest. Übermittelt werden OAuth-Tokens (verschlüsselt bei uns gespeichert). Wir bekommen niemals dein Passwort. Die "Currently Playing"-Daten werden ausschließlich auf deine Anfrage hin abgerufen.
- Eigener Medienspeicher (kein externer Dienst): Deine hochgeladenen Medien (Fotos, Videos, Sprachnotizen) speichern wir über selbst-gehostetes MinIO ausschließlich auf unseren eigenen Servern – es ist kein externer Cloud-Speicher-Anbieter beteiligt. Serverstandort: siehe Hosting (Hetzner, Deutschland/EU).
- Sentry – Erfassung von Abstürzen und Fehlern. Nachrichteninhalte werden nicht übertragen; Telefonnummern werden serverseitig über pino-redact entfernt. Du kannst Sentry in den Einstellungen deaktivieren.
- Apple Inc. (APNs) und Google LLC (FCM) – Versand von Push-Benachrichtigungen. Übermittelt wird ein anonymes Geräte-Token sowie der Inhalt der Benachrichtigung. Beide Dienste verarbeiten auch in den USA; Rechtsgrundlage sind SCCs.
- Apple Inc. bzw. Google LLC – nur wenn du „Anmeldung mit Apple/Google" nutzt: Wir prüfen das von Apple/Google ausgestellte Identitäts-Token (OAuth) zur Authentifizierung. Beide Anbieter verarbeiten auch in den USA; Rechtsgrundlage sind SCCs.
- Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland – Betrieb unserer Backend- und Medien-Server. Alle Daten liegen in Deutschland (EU).
Eine aktuelle Liste unserer Sub-Processoren stellen wir auf Anfrage zur Verfügung.
7. Übermittlung in Drittländer
Sofern Daten in Länder außerhalb des Europäischen Wirtschaftsraums übertragen werden (insbesondere USA bei Twilio, Sentry, APNs, FCM), erfolgt dies auf Basis von EU-Standardvertragsklauseln und, soweit anwendbar, des EU-US Data Privacy Framework. Wir prüfen unsere Dienstleister regelmäßig.
8. Deine Rechte
Du hast nach DSGVO umfassende Rechte gegenüber uns. So machst du sie geltend:
- Auskunft (Art. 15 DSGVO): Du kannst jederzeit eine vollständige Datenkopie als JSON-Export anfordern. Tippe in den Einstellungen auf "Daten exportieren" oder rufe `/v1/users/me/export` auf.
- Berichtigung (Art. 16 DSGVO): Anzeigename und Profilbild kannst du direkt in den Profil-Einstellungen ändern.
- Löschung (Art. 17 DSGVO): "Konto löschen" in den Einstellungen startet die 30-tägige Karenzzeit, danach erfolgt die unwiderrufliche Löschung.
- Einschränkung der Verarbeitung (Art. 18 DSGVO): auf Anfrage per E-Mail.
- Datenübertragbarkeit (Art. 20 DSGVO): über denselben JSON-Export wie bei der Auskunft.
- Widerspruch (Art. 21 DSGVO): Du kannst Push-Benachrichtigungen abschalten und Sentry deaktivieren. Bei berechtigtem Interesse als Rechtsgrundlage kannst du jederzeit widersprechen.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Einwilligungen (Spotify, Kontakte, Marketing) kannst du in den Einstellungen widerrufen. Da Telefonnummer und Nutzungsbedingungen für die Vertragserfüllung erforderlich sind, führt ein Widerruf in diesen Bereichen zur Kontoschließung.
- Beschwerderecht (Art. 77 DSGVO): siehe Abschnitt 12.
9. Daten von Kindern
betogether ist erst ab 14 Jahren nutzbar. In Österreich liegt das digitale Einwilligungsalter gemäß § 4 Abs. 4 DSG bei 14 Jahren (Art. 8 DSGVO). Personen unter 14 Jahren dürfen betogether nicht nutzen; wir erheben wissentlich keine Daten von Kindern unter diesem Alter. Falls du Erziehungsberechtigte:r bist und Grund zur Annahme hast, dass dein Kind unter 14 ein Konto angelegt hat, schreibe uns – wir löschen das Konto unverzüglich.
10. Cookies und lokale Speicherung
betogether nutzt im klassischen Sinne keine Cookies. Auf deinem Gerät speichern wir mittels MMKV (einer verschlüsselten Schlüssel-Wert-Datenbank):
- dein Session-Token, damit du eingeloggt bleibst,
- Cache von betogether- und Nutzerdaten für schnelleres Laden,
- deine UI-Einstellungen (Theme, Sprache).
Diese Daten liegen ausschließlich auf deinem Gerät. Wenn du die App deinstallierst, sind sie weg.
11. Sicherheit
Wir setzen technische und organisatorische Maßnahmen ein, um deine Daten zu schützen:
- TLS-Verschlüsselung für alle Übertragungen zwischen App und Server.
- Verschlüsselte Speicherung sensibler Tokens (z. B. Spotify) in der Datenbank.
- Prinzip der minimalen Berechtigung in unserem Backend.
- Regelmäßige Aktualisierung der Abhängigkeiten und Sicherheits-Patches.
- Rate-Limits und Missbrauchs-Erkennung auf OTP- und API-Endpoints.
Wir machen keine formellen Compliance-Zusicherungen (z. B. ISO 27001) und versprechen keine absolute Sicherheit – aber wir geben uns Mühe.
12. Datenschutzbeauftragte:r
Als Startup mit unter 250 Beschäftigten und ohne umfangreiche Verarbeitung besonderer Datenkategorien sind wir derzeit nicht zur Bestellung eines/einer Datenschutzbeauftragten verpflichtet (Art. 37 DSGVO, § 38 BDSG). Sollte sich das ändern, aktualisieren wir diese Erklärung.
Für alle Datenschutzanliegen ist die zentrale Anlaufstelle: hello@betogether.at.
13. Aufsichtsbehörde
Du hast das Recht, dich bei einer Aufsichtsbehörde zu beschweren:
- Österreich: Datenschutzbehörde, Barichgasse 40–42, 1030 Wien, https://www.dsb.gv.at
- Deutschland: Die für deinen Wohnsitz zuständige Landesbeauftragte für Datenschutz; bundesweit der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), https://www.bfdi.bund.de
14. Änderungen dieser Datenschutzerklärung
Wir können diese Erklärung aktualisieren, wenn sich Funktionen, Dienstleister oder die Rechtslage ändern. Bei wesentlichen Änderungen informieren wir dich in der App und – falls erforderlich – bitten wir um erneute Zustimmung. Die jeweils aktuelle Version findest du in den App-Einstellungen unter "Datenschutz".
15. Kontakt
Fragen, Wünsche, Beschwerden? Schreib uns:
- E-Mail: hello@betogether.at
- Postanschrift: Manuel Kirchebner, Schnapfen 11, 6361 Hopfgarten, Österreich
Wir freuen uns auf deine Nachricht.