So verarbeiten wir deine Daten.
1. Verantwortlicher
Ein Datenschutzbeauftragter (DSB) wurde nicht bestellt, da die Voraussetzungen für eine Bestellung (Art. 37 DSGVO) nicht vorliegen. Für jede datenschutzrechtliche Anfrage schreib bitte an die oben angegebene Adresse.
2. Welche Daten wir erheben
Die Landingpage mida.club erhebt ausschließlich Daten, die du freiwillig durch das Ausfüllen des Beta-Anmeldeformulars angibst. Im Detail:
Schritt 1 — nur E-Mail
- E-Mail-Adresse
- Formular-Quelle (für interne Analyse, z. B. "hero", "footer")
- Browser-User-Agent und Anmelde-Zeitstempel (technische Sicherheitsprotokolle)
- Bei der Anmeldung gewählte Sprache (damit die E-Mails in der richtigen Sprache versendet werden)
Schritt 2 — Profilvervollständigung
- Vor- und Nachname
- Smartphone-Typ (iOS / Android)
- Telefonnummer (mit internationaler Vorwahl) für die spätere Kommunikation über WhatsApp
- Einwilligungen: AGB, Datenschutzerklärung, optionale Marketing-Zustimmung
- Zeitstempel der Annahme der Einwilligungen
Wir erheben keine Daten besonderer Kategorien gemäß Art. 9 DSGVO (Gesundheits-, biometrische Daten usw.). Etwaige Informationen zu Hauttyp oder Kosmetik-Routine, die in der zukünftigen App verarbeitet werden, sind nicht Teil dieser Erhebung auf der Landingpage.
3. Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|
| Verwaltung deiner Anmeldung zum privaten Mida-Beta-Programm und Kontaktaufnahme zur Beta-Einladung | Vorvertragliche Maßnahmen auf deine Anfrage — Art. 6 Abs. 1 lit. b DSGVO | Bis zu 24 Monate ab der Anmeldung, sofern keine vorzeitige Löschung verlangt wird |
| Service-bezogene Mitteilungen zur Beta (Einladung, Download-Hinweise, Fixes, Service-Mitteilungen) | Vorvertragliche Maßnahmen — Art. 6 Abs. 1 lit. b DSGVO | Während des gesamten Beta-Programms + 12 Monate danach |
| Werbliche Mitteilungen zu Mida (Newsletter, Launch, Angebote) — nur bei Marketing-Zustimmung | Ausdrückliche Einwilligung — Art. 6 Abs. 1 lit. a DSGVO. Jederzeit widerrufbar. | Bis zum Widerruf der Einwilligung |
| IT-Sicherheit, Betrugs- und Missbrauchsprävention (z. B. automatisierte Anmeldungen) | Berechtigtes Interesse des Verantwortlichen — Art. 6 Abs. 1 lit. f DSGVO | 6 Monate (Logs) |
| Gesetzliche Verpflichtungen (Behördenanfragen, Rechtsstreitigkeiten) | Rechtliche Verpflichtung — Art. 6 Abs. 1 lit. c DSGVO | Nach den gesetzlichen Vorgaben |
Hinweis zur Marketing-Einwilligung: Wir nutzen sie derzeit ausschließlich für transaktionale Beta-Mitteilungen (Einladung, Anweisungen). Die Markierung ist somit konservativ: Auch mit Einwilligung erhältst du keine Werbe-Newsletter, bevor Mida öffentlich startet. Sobald der Dienst aktiv ist, erhältst du eine vorherige Mitteilung und kannst widersprechen.
4. Verarbeitungsmethoden
Die Daten werden mit elektronischen Mitteln, überwiegend automatisiert, unter Anwendung dem Risiko angemessener technischer und organisatorischer Sicherheitsmaßnahmen verarbeitet (TLS-Verschlüsselung in Transit, eingeschränkter Datenbankzugriff, scope-begrenzte Token-Authentifizierung, Logs und Audit). Wir führen kein Profiling oder automatisierte Entscheidungen mit rechtlicher Wirkung gegenüber dir durch (Art. 22 DSGVO).
5. Empfänger
Deine Daten können den unten aufgeführten Dritten zugänglich sein, die jeweils als Auftragsverarbeiter gemäß Art. 28 DSGVO (oder als eigenständige Verantwortliche, wo zutreffend) bestellt sind:
| Anbieter | Funktion | Sitz |
|---|---|---|
| Google Cloud EMEA Ltd / Google LLC | Hosting (Cloud Run, Artifact Registry, Secret Manager) | USA — Region us-central1 (Iowa) |
| Supabase Inc. | Verwalteter PostgreSQL-Datenbankdienst (Speicherung aller erhobenen Felder) | USA |
| Monogram CMS Inc. (Directus self-hosted) | Open-Source-CMS-Software, betrieben auf der oben genannten Google-Cloud-Infrastruktur | — |
| Google Ireland Ltd | Google Workspace — Postfächer @mida.club und Empfang von DSGVO-Anfragen | Irland (EU) mit internationalen Sub-Verarbeitern |
| Google LLC (Google Fonts) | Schriftarten-CDN. Google kann beim Laden der Seite deine IP erhalten | USA |
| OVH SAS | Domain-Registrar von mida.club (kein Zugriff auf Anmeldedaten) | Frankreich (EU) |
| TikTok Technology Limited / TikTok Inc. | Werbe-Pixel zur Messung von Kampagnen und für Retargeting — aktiv nur mit deiner vorherigen Einwilligung in das Marketing | Irland (EU) und USA |
Deine Daten werden nicht zu kommerziellen Zwecken an Dritte verkauft oder weitergegeben.
6. Übermittlungen außerhalb der EU
Ein Teil der technischen Infrastruktur (Google Cloud Run und Supabase-Datenbank) befindet sich in den USA. Die Übermittlung erfolgt auf folgender Grundlage:
- EU-US Data Privacy Framework — Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 (Google LLC ist zertifiziert).
- Standardvertragsklauseln (SCC) — Durchführungsbeschluss (EU) 2021/914, mit Google Cloud und Supabase abgeschlossen.
- TikTok — die vom Werbe-Pixel erhobenen Daten (nur mit Einwilligung) können auf Grundlage der von TikTok abgeschlossenen Standardvertragsklauseln in die USA übermittelt werden.
- Zusätzliche technische Maßnahmen: Verschlüsselung at-rest und in-transit, minimale Zugriffskontrollen, Prinzip der geringsten Privilegien.
Eine Kopie der Standardvertragsklauseln kannst du per E-Mail an info [at] mida [dot] club anfordern.
7. Deine Rechte
Gemäß Artikel 15–22 DSGVO kannst du jederzeit kostenlos:
- Auskunft über die dich betreffenden Daten verlangen (Art. 15)
- Berichtigung unrichtiger oder Aktualisierung von Daten verlangen (Art. 16)
- Die Löschung ("Recht auf Vergessenwerden") verlangen, wenn keine Aufbewahrungspflicht besteht (Art. 17)
- Eine Einschränkung der Verarbeitung verlangen (Art. 18)
- Deine Daten in strukturiertem, gängigem Format erhalten (Datenübertragbarkeit, Art. 20)
- Widerspruch gegen Verarbeitungen auf Grundlage berechtigten Interesses einlegen (Art. 21)
- Erteilte Einwilligungen jederzeit widerrufen (Art. 7 Abs. 3)
Zur Ausübung deiner Rechte schreib an info [at] mida [dot] club. Wir antworten innerhalb von 30 Tagen; in komplexen Fällen kann die Frist um zwei weitere Monate verlängert werden (Art. 12 Abs. 3 DSGVO).
8. Beschwerde bei der Aufsichtsbehörde
Solltest du der Auffassung sein, dass die Verarbeitung deiner Daten gegen die DSGVO verstößt, hast du das Recht, Beschwerde bei der italienischen Datenschutzbehörde "Garante per la Protezione dei Dati Personali" (Piazza Venezia 11, 00187 Rom — www.garanteprivacy.it) oder bei der für deinen gewöhnlichen Aufenthaltsort zuständigen EU-Aufsichtsbehörde einzulegen.
9. Cookies und Tracking
Für die normale Navigation verwendet die Website nur funktionale technische Cookies (Sprache und Speicherung deiner Einwilligungsentscheidung). Profiling-Cookies des TikTok-Pixels werden nur gesetzt, wenn du in das Marketing einwilligst, indem du das entsprechende Kästchen im Anmeldeformular ankreuzt; du kannst deine Einwilligung jederzeit widerrufen (Art. 7 Abs. 3 DSGVO), indem du die Cookies in deinem Browser löschst oder uns schreibst. Details zu Drittanbieterdiensten findest du in der Cookie-Richtlinie.
10. Änderungen der Erklärung
Diese Erklärung kann aktualisiert werden. Das Datum der letzten Überarbeitung steht oben. Wesentliche Änderungen werden per E-Mail mitgeteilt.