1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist: ModSeven Engineering Inhaber: Philipp Hanzik Gogolstraße 8b 90475 Nürnberg Deutschland E-Mail: info@modseven.net

2. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

3. Hosting (Vercel)

Diese Website wird bei Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) gehostet. Beim Aufruf dieser Website werden technisch notwendige Daten (insbesondere Server-Logfiles) durch Vercel verarbeitet. Vercel kann Daten in den USA verarbeiten. Für die Übermittlung in die USA besteht zwischen uns und Vercel ein Auftragsverarbeitungsvertrag (DPA). Soweit Datenübermittlungen in Drittländer stattfinden, erfolgen diese auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie ggf. auf Grundlage des EU-US Data Privacy Frameworks. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen, sicheren und performanten Bereitstellung des Online-Angebots).

Weitere Informationen: https://vercel.com/legal/privacy-policy

4. Server-Logfiles

Beim Besuch unserer Website werden durch unseren Hosting-Anbieter (Vercel) folgende Daten in sogenannten Server-Logfiles automatisch erhoben und gespeichert, die Ihr Browser bzw. Endgerät übermittelt:

• IP-Adresse – des anfragenden Endgeräts (gekürzt/anonymisiert, soweit technisch möglich)
• Datum und Uhrzeit – der Anfrage
• URL und Methode – der angefragten Ressource
• HTTP-Statuscode – sowie übertragene Datenmenge
• User-Agent – Browsertyp, -version und Betriebssystem
• Referrer – die zuvor besuchte Seite, sofern übermittelt

Diese Daten werden zur Sicherstellung des Betriebs, zur Sicherheit (Abwehr von Angriffen) und zur Fehleranalyse für eine begrenzte Zeit gespeichert und nicht mit anderen Datenquellen zusammengeführt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

5. Cookies und Cookie-Einwilligung

Unsere Website nutzt Cookies. Cookies sind kleine Textdateien, die im Browser gespeichert werden. Wir setzen sowohl technisch notwendige Cookies (z. B. zum Speichern Ihrer Cookie-Entscheidung sowie für eingeloggte Nutzer ein Session-Cookie zur Authentifizierung) als auch – nach Ihrer Einwilligung – Cookies für Analyse-Zwecke ein.

• cookieConsent – Speichert Ihre Entscheidung zum Cookie-Banner. Laufzeit: 365 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO bzw. § 25 Abs. 2 Nr. 2 TDDDG.
• Authentifizierungs-Cookie – Wird ausschließlich gesetzt, wenn Sie sich im internen Bereich anmelden. Enthält ein signiertes JSON Web Token (JWT). HTTP-only, secure. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
• Google Analytics (_ga, _ga_*) – Werden nur gesetzt, wenn Sie der Verwendung im Cookie-Banner ausdrücklich zustimmen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG.

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Cookies in Ihrem Browser löschen oder uns per E-Mail kontaktieren.

6. Google Analytics

Soweit Sie hierzu Ihre Einwilligung erteilt haben, wird auf dieser Website Google Analytics 4 eingesetzt, ein Webanalysedienst der Google Ireland Limited („Google“), Gordon House, Barrow Street, Dublin 4, Irland. Google Analytics verwendet Cookies und ähnliche Technologien, um die Nutzung der Website durch Sie analysieren zu können. Die hierdurch erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Die Mess-ID lautet G-R85LV3LZ4X. Es ist die IP-Anonymisierung aktiv; Ihre IP-Adresse wird von Google daher innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen.

• Rechtsgrundlage – Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und § 25 Abs. 1 TDDDG
• Empfänger – Google Ireland Ltd. / Google LLC (USA)
• Drittlandtransfer – Übermittlung in die USA auf Grundlage des EU-US Data Privacy Frameworks und EU-Standardvertragsklauseln
• Speicherdauer – Die im Rahmen von Google Analytics von Ihrem Endgerät übermittelten Daten werden nach 14 Monaten automatisch gelöscht.
• Widerruf – Sie können Ihre Einwilligung jederzeit widerrufen – durch Ablehnen im Cookie-Banner oder durch Installation des Browser-Add-ons unter https://tools.google.com/dlpage/gaoptout

Mit uns besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Weitere Informationen zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der Datenschutzerklärung von Google: https://policies.google.com/privacy

7. Kontaktformular

Wenn Sie uns über das Kontaktformular oder per E-Mail Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Folgende Daten werden verarbeitet:

• Name – zur persönlichen Ansprache
• E-Mail-Adresse – zur Beantwortung Ihrer Anfrage
• Betreff & Nachricht – Inhalt Ihrer Anfrage
• IP-Adresse – zum Schutz vor Missbrauch (Spam-Abwehr, Sicherheit)
• Zeitstempel – der Übermittlung

Die Daten werden in einer von uns betriebenen Datenbank (PostgreSQL via Prisma ORM) gespeichert und zusätzlich per E-Mail an unser Postfach weitergeleitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Bearbeitung). Eine Weitergabe an Dritte erfolgt nicht. Speicherdauer: bis zur abschließenden Bearbeitung Ihrer Anfrage, längstens jedoch 24 Monate, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

8. E-Mail-Versand (Strato)

Für den Versand und Empfang von E-Mails – insbesondere bei Kontaktformular-Anfragen – nutzen wir die Mail-Server der Strato AG, Otto-Ostrowski-Straße 7, 10249 Berlin. Mit Strato besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Die Server befinden sich in Deutschland. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem zuverlässigen E-Mail-Versand).

Datenschutzerklärung: https://www.strato.de/datenschutz/

9. Registrierung und Login (interner Bereich)

Soweit Sie ein Nutzerkonto im internen Bereich anlegen, verarbeiten wir die von Ihnen angegebenen Daten (z. B. Name, E-Mail-Adresse, Passwort) zur Bereitstellung des Kundenkontos. Passwörter werden ausschließlich als Hash-Werte mittels bcrypt gespeichert; eine Klartext-Speicherung erfolgt nicht. Nach erfolgreicher Anmeldung wird ein signiertes JSON Web Token (JWT) als HTTP-only-Cookie in Ihrem Browser gesetzt, um Sie bei weiteren Anfragen zu authentifizieren. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: bis zur Löschung des Kontos durch Sie oder durch uns; das Session-Cookie ist auf eine begrenzte Gültigkeit eingestellt.

10. Empfänger / Auftragsverarbeiter

Wir setzen die folgenden Dienstleister ein, mit denen jeweils ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO besteht:

• Vercel Inc. (USA) – Hosting der Website
• Google Ireland Ltd. / Google LLC – Webanalyse via Google Analytics (nur bei Einwilligung)
• Strato AG (Deutschland) – E-Mail-Versand und -Empfang

11. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft – Art. 15 DSGVO
• Recht auf Berichtigung – Art. 16 DSGVO
• Recht auf Löschung – Art. 17 DSGVO
• Recht auf Einschränkung der Verarbeitung – Art. 18 DSGVO
• Recht auf Datenübertragbarkeit – Art. 20 DSGVO
• Widerspruchsrecht – Art. 21 DSGVO
• Widerruf erteilter Einwilligungen – Art. 7 Abs. 3 DSGVO – die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung per E-Mail an info@modseven.net.

12. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren (Art. 77 DSGVO). Zuständig für uns ist: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 18 91522 Ansbach https://www.lda.bayern.de

13. SSL-/TLS-Verschlüsselung

Diese Seite nutzt aus Gründen der Sicherheit und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und am Schloss-Symbol in Ihrer Browserzeile.

14. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand Mai 2026. Durch die Weiterentwicklung unserer Website oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf dieser Seite abgerufen werden.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und sonstiger nationaler Datenschutzgesetze sowie weiterer datenschutzrechtlicher Bestimmungen ist: ModSeven Engineering – Philipp Hanzik Gogolstraße 8b, 90475 Nürnberg E-Mail: info@modseven.net Alle Anfragen rund um Datenschutz, Auskunft, Berichtigung und Löschung bitte ausschließlich an die obige Mailadresse.

2. Geltungsbereich

Diese Erklärung gilt für:

• die mobile Choreo-App für Android (Package net.modseven.choreo)
• das Backend unter https://choreo-mu.vercel.app (Webseiten zur Mailbestätigung, Einladungs-Annahme, Passwort-Reset)
• das optionale MagicMirror-Modul „MMM-Choreo", das gegen das Backend authentifiziert

3. Welche personenbezogenen Daten werden verarbeitet?

4. Zwecke und Rechtsgrundlagen

5. Empfänger / Auftragsverarbeiter

Wir setzen Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein, mit denen Auftragsverarbeitungsverträge bestehen oder für die wir uns auf den jeweiligen Datenverarbeitungsanhang („Data Processing Addendum") berufen:

6. Datentransfer in Drittländer

Vercel und Google sind Konzerne mit Sitz in den USA. Eine Übermittlung personenbezogener Daten in die USA ist möglich. Die Übermittlung erfolgt auf Grundlage:

• EU-US Data Privacy Framework (für die jeweils zertifizierten Empfänger)
• ergänzend Standardvertragsklauseln (SCCs) der EU-Kommission, sofern keine Zertifizierung greift
• sowie ergänzender technischer und organisatorischer Maßnahmen

Die Datenbank (Neon) wird in der Region Frankfurt (EU) betrieben; eine Übermittlung der dort gespeicherten Anwendungsdaten in Drittländer findet hierdurch nicht statt.

7. Speicherdauer und Löschung

• Konto- und Familien-Daten bleiben gespeichert, solange das Konto besteht.
• Time Entries und Aufgaben werden grundsätzlich dauerhaft gespeichert, damit Statistiken und Verläufe abrufbar bleiben. Der Nutzer kann einzelne Einträge in der App jederzeit löschen.
• Verifikations- und Reset-Tokens sind nach Einlösung oder Ablauf unbrauchbar und werden bei der nächsten Verarbeitung ausgemustert (max. 60 Minuten Lebensdauer für Reset, 24 Stunden für Mail-Verifikation).
• Refresh-Tokens werden bei Logout, Passwort-Änderung oder Reset invalidiert.
• Einladungen: 14 Tage Lebensdauer, danach automatisch ungültig.
• Push-Tokens werden gelöscht, wenn der Nutzer sich abmeldet oder Push am Endgerät widerruft.
• Auf Antrag des Nutzers (Mail an info@modseven.net) wird das gesamte Konto inkl. aller Aufgaben, Zeiten und Avatare gelöscht. In besonderen Fällen (z. B. wenn der Nutzer Admin der einzigen Family-Verwaltung ist) wird vorab Rücksprache zur Übergabe an ein anderes Mitglied gehalten.

8. App-Berechtigungen (Android)

• Push-Benachrichtigungen (Android 13+): nur wenn der Nutzer zustimmt; ohne Zustimmung wird die App weiter funktionieren, aber keine Schmäh-Pings empfangen.
• Foto-Auswahl (PickVisualMedia): wird angefordert, wenn der Nutzer ein Avatar-Bild auswählen möchte. Es wird nur das vom Nutzer ausgewählte Bild gelesen, niemals der ganze Foto-Bestand.
• Internet und Foreground-Service (für laufende Timer): technisch notwendig.

9. Cookies und Tracking

• Die App selbst setzt keine Cookies und nutzt kein Tracking (kein Google Analytics, kein Facebook-Pixel, keine Werbe-IDs).
• Die Webseite verwendet ausschließlich technisch notwendige Speichermechanismen (Session-Speicher beim Mail-Verifikations- / Reset-Flow), keine Tracking-Cookies.
• Es werden keine Daten an Werbenetzwerke verkauft oder weitergegeben.

10. Avatar-URLs

Profilbilder werden über eine eindeutige, hash-basierte URL der Form /api/users/<userId>/avatar?v=<sha1> ausgeliefert, damit Browser und App das Bild im Cache halten können. Die URL ist nicht erratbar (User-ID + Hash sind beide zufällig generiert), die Endpoints sind aber technisch öffentlich zugänglich. Wer den Link kennt, kann das Bild abrufen — vergleichbar mit einer „unlisted"-URL.

11. MagicMirror-Token

Family-Admins können einen Read-Only-Token erzeugen, der einem MagicMirror-Modul den Zugriff auf grundlegende Family-Daten erlaubt (Mitglieder, aktuelle Zeitkonten, anstehende Aufgaben). Der Token kann jederzeit widerrufen werden; ein neuer Token ungültigt den alten.

12. Sicherheitsmaßnahmen

• Transport-Verschlüsselung: TLS 1.2/1.3 für alle Verbindungen zwischen App, Webseite und Backend
• Passwort-Hashing: bcrypt mit 12 Runden
• JWT-Signatur: HS256 mit serverseitig gehaltenem Geheimnis
• Token-Rotation: Refresh-Tokens werden bei Sicherheitsereignissen (Passwort-Änderung, Reset, Logout) widerrufen
• Datenminimierung: pro Endpoint werden nur die jeweils benötigten Felder ausgespielt; insbesondere wird der Passwort-Hash niemals an den Client übermittelt

13. Rechte der betroffenen Personen

Sie haben — als betroffene Person im Sinne der DSGVO — folgende Rechte:

• Auskunft (Art. 15) über die zu Ihrer Person gespeicherten Daten
• Berichtigung unrichtiger Daten (Art. 16)
• Löschung Ihrer Daten (Art. 17), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit (Art. 20) — wir liefern auf Anfrage einen maschinenlesbaren Export Ihrer Daten
• Widerspruch (Art. 21) gegen Verarbeitungen auf Grundlage berechtigter Interessen
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft

Zur Wahrnehmung dieser Rechte genügt eine formlose Mail an info@modseven.net unter Angabe der zu Ihrem Konto gehörenden E-Mail-Adresse.

14. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist im Regelfall die Behörde Ihres gewöhnlichen Aufenthalts. In Deutschland ist für uns das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, https://www.lda.bayern.de zuständig. Nutzer aus Österreich können sich an die Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, https://www.dsb.gv.at, dsb@dsb.gv.at wenden.

15. Kinder

Choreo richtet sich primär an Volljährige bzw. Familien mit Eltern als Family-Admin. Konten für Minderjährige dürfen nur mit Einwilligung der Erziehungsberechtigten angelegt werden. Wir erheben keine Daten direkt von Kindern unter 16, ohne eine entsprechende Einwilligung.

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für den erneuten Besuch gilt dann die jeweils aktuelle Fassung. Bei wesentlichen Änderungen werden Nutzer per Mail benachrichtigt.

1. Data Controller

Responsible for data processing within the Tummo Breath App: ModSeven Engineering – Philipp Hanzik Gogolstraße 8b, 90475 Nürnberg, Germany Contact: support@modseven.net

2. Health Data

The Tummo Breath App is a guided breathing exercise application. It does not collect, store, transmit, or share any health data or biometric information.

• Local storage only – All breathing session data (e.g. session duration, round counts) is stored locally on your device only and is never transmitted to any server.
• No health APIs – The app does not use any health or fitness APIs (e.g. Google Fit, HealthConnect).
• No sharing – No health data is shared with third parties, advertisers, or analytics services.

3. What Data We Collect

The Tummo Breath App only collects data that you voluntarily submit through the in-app support form:

• Name – to address you personally when responding
• Email address – to reply to your inquiry
• Message (free text) – the content of your request
• Date & time – for tracking and follow-up purposes

We do not collect IP addresses, location data, health data, usage statistics, or any other tracking information. No analytics or advertising SDKs are used.

4. Legal Basis

Data processing is based on Art. 6(1)(b) GDPR (contract performance or pre-contractual measures) and Art. 6(1)(f) GDPR (legitimate interest in responding to support inquiries).

5. Data Retention

Data submitted through the support form is stored for the duration of processing your inquiry and deleted within 90 days thereafter, unless legal retention obligations apply.

6. Data Deletion

You have the right to request deletion of your personal data at any time. To do so, send an informal email to support@modseven.net. We will completely remove your data within 30 days of receiving your request and confirm the deletion by email.

7. Your Rights

Under the GDPR, you have the following rights: access to your stored data (Art. 15), rectification of inaccurate data (Art. 16), erasure of your data (Art. 17), restriction of processing (Art. 18), data portability (Art. 20), and objection to processing (Art. 21). You also have the right to lodge a complaint with a data protection supervisory authority.

8. Third-Party Sharing

Your data is not shared with, sold to, or otherwise transferred to any third parties. All processing is carried out exclusively by the data controller.

9. Changes

This privacy policy may be updated from time to time. The current version is always available at this URL.