Datenschutzerklärung

Stand: Mai 2026

Hinweis: Diese Datenschutzerklärung wurde zuletzt im Mai 2026 aktualisiert und deckt alle aktuellen Datenverarbeitungen ab. Wir empfehlen eine regelmäßige Überprüfung auf Änderungen.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Tristan Wieser
Segringerstraße 65
91550 Dinkelsbühl
E-Mail: info@activerewards.de

2. Welche Daten wir erheben

Wir erheben und verarbeiten folgende personenbezogene Daten:

  • Kontodaten: Name und E-Mail-Adresse bei der Registrierung.
  • Aktivitätsdaten: Sportart, Datum, Dauer und Anzahl der Trainingseinheiten pro Woche — entweder manuell eingetragen oder automatisch über ein verbundenes Wearable (Apple Watch, Google Health Connect, Polar, Whoop) synchronisiert.
  • Erfolge (Achievements): Freigeschaltete Auszeichnungen inklusive Zeitstempel der Freischaltung.
  • Empfehlungsdaten: Dein persönlicher Empfehlungscode sowie Einladungen, die du versendest und annimmst.
  • Affiliate-Klicks: Zeitpunkt und Partner, wenn du auf einen Partner-Link klickst — zur Zuordnung späterer Cashback-Gutschriften.
  • Cashback-Transaktionen: Kaufbetrag, Partner, errechneter Cashback-Betrag, Kaufzeitpunkt sowie die aktive Cashback-Stufe zum Zeitpunkt des Kaufs.
  • Auszahlungsdaten: Bei Auszahlungsanfragen: PayPal-E-Mail-Adresse oder IBAN sowie der ausgezahlte Betrag.
  • Feedback und Partner-Vorschläge: Inhalte und E-Mail-Adresse, wenn du uns Feedback sendest oder einen Partner vorschlägst.
  • Push-Benachrichtigungen (optional): Wenn du Push-Benachrichtigungen aktivierst, wird ein gerätespezifisches Token gespeichert — APNs-Token (iOS) oder FCM-Token (Android). Dieses Token ist notwendig, um dir Benachrichtigungen zuzustellen, und enthält keine persönlichen Daten.
  • Technische Daten: Sitzungs-Cookies, die für die Authentifizierung erforderlich sind (verwaltet durch Supabase Auth).

3. Erhobene Daten im Detail

Die folgende Übersicht beschreibt, welche Daten konkret in unserem System gespeichert werden:

  • Wöchentliche Aktivitätszusammenfassungen: Pro Woche speichern wir die Anzahl deiner Trainingseinheiten (keine Rohdaten wie Herzfrequenz oder GPS-Tracks) — ausschließlich zur Berechnung deiner Cashback-Stufe.
  • Manuelle Trainingseinheiten: Sportart und Datum jeder manuell eingetragenen Einheit. Keine weiteren Inhalte.
  • Erfolge (Achievements): Welche Auszeichnungen du freigeschaltet hast und wann. Keine Nutzung für Profilbildung oder Weitergabe an Dritte.
  • Empfehlungscode und Einladungen: Dein einzigartiger Code sowie die Anzahl der über diesen Code registrierten Nutzer. Wir speichern nicht, wen du eingeladen hast — nur ob eine Einladung erfolgreich war.
  • Feedback: Freitext und deine E-Mail-Adresse, wenn du das Feedback-Formular nutzt. Wird ausschließlich zur Beantwortung und Produktverbesserung genutzt.
  • Partner-Vorschläge: Partnername und deine E-Mail-Adresse, wenn du einen Partner vorschlägst. Wird ausschließlich zur Prüfung und Rückmeldung genutzt.

4. Zweck der Verarbeitung

Wir verarbeiten deine Daten ausschließlich zur Erbringung des ActiveRewards-Cashback-Dienstes:

  • Bereitstellung und Verwaltung deines Nutzerkontos
  • Berechnung deiner Cashback-Stufe anhand deiner Trainingsaktivität
  • Zuordnung von Käufen bei Partnergeschäften zu deinem Konto
  • Gutschrift und Auszahlung von Cashback-Beträgen
  • Vergabe und Anzeige von Achievements
  • Verarbeitung von Empfehlungen (Referral-Programm)
  • Kommunikation im Zusammenhang mit deinem Konto und Auszahlungen

5. Rechtsgrundlage (Art. 6 DSGVO)

Die Verarbeitung erfolgt auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Daten, die zur Bereitstellung des Cashback-Dienstes erforderlich sind (inkl. Affiliate-Klick-Tracking, Cashback-Transaktionen und Referral-Programm).
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: Verbindung eines Wearables und Synchronisation von Aktivitätsdaten.
  • Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Aufbewahrung von Transaktionsdaten gemäß steuerrechtlicher Anforderungen.
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Anonymisierte Website-Statistiken zur Verbesserung des Dienstes.

6. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Trainingsdaten (Sportart, Häufigkeit, Dauer) können unter bestimmten Umständen als Gesundheitsdaten im Sinne von Art. 9 DSGVO eingestuft werden.

  • Rechtsgrundlage: Ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die du beim Verbinden eines Wearables oder beim Einrichten des manuellen Trackings erteilst.
  • Zweck: Ausschließlich zur Berechnung deiner Cashback-Stufe. Die Daten werden nicht für andere Zwecke genutzt.
  • Weitergabe: Keine Weitergabe an Dritte außer im Rahmen der technischen Auftragsverarbeitung (Hosting, Datenbank), soweit zur Vertragserfüllung notwendig.

Du kannst deine Einwilligung jederzeit widerrufen, indem du dein Wearable in den Profileinstellungen trennst oder dein Konto löschst.

7. Speicherdauer

  • Kontodaten: Für die Dauer der Mitgliedschaft; nach Kontoschließung unverzügliche Löschung.
  • Aktivitätsdaten: Solange das Konto aktiv ist; nach Kontoschließung sofortige Löschung.
  • Erfolge (Achievements): Solange das Konto aktiv ist; nach Kontoschließung sofortige Löschung.
  • Empfehlungsdaten (Referral): Solange das Konto aktiv ist; nach Kontoschließung sofortige Löschung.
  • Affiliate-Klick-Daten: 90 Tage.
  • Cashback-Transaktionen: 10 Jahre (gesetzliche Aufbewahrungspflicht gem. § 147 AO).
  • Auszahlungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht gem. § 147 AO).
  • Wearable-Zugriffstoken: Bis das Wearable vom Konto getrennt wird; danach sofortige Löschung.
  • Push-Tokens (Device Tokens): Bis zur Deinstallation der App oder bis du Push-Benachrichtigungen in den App-Einstellungen deaktivierst; danach automatische Löschung.
  • Feedback und Partner-Vorschläge: 2 Jahre ab Einreichung, danach Löschung.

8. Deine Rechte

Du hast gegenüber uns folgende Rechte hinsichtlich deiner personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Du kannst jederzeit Auskunft über die von uns gespeicherten Daten verlangen.
  • Berichtigung (Art. 16 DSGVO): Du kannst die Berichtigung unrichtiger Daten verlangen. Name und E-Mail kannst du direkt in deinem Profil ändern.
  • Löschung (Art. 17 DSGVO): Du kannst deinen Account und alle damit verbundenen Daten jederzeit direkt in den Profileinstellungen löschen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Insbesondere für Wearable-Daten jederzeit möglich durch Trennen des Wearables.
  • Beschwerderecht: Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren.

Für Anfragen zu deinen Rechten wende dich an: info@activerewards.de

9. Hosting — Vercel

Diese Website wird gehostet bei Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Vercel verarbeitet technische Zugriffsdaten (IP-Adressen, Anfrage-Logs) auf Servern, die sich teilweise in den USA befinden. Die Datenübertragung erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Weitere Informationen: vercel.com/legal/privacy-policy

10. Vercel Analytics

Wir nutzen Vercel Analytics (Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA) zur Analyse der Website-Nutzung. Vercel Analytics erhebt ausschließlich anonymisierte Seitenaufruf-Statistiken. Es werden keine personenbezogenen Daten oder IP-Adressen gespeichert; eine Identifizierung einzelner Personen ist nicht möglich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung unseres Dienstes).

11. Datenbank — Supabase

Alle Nutzerdaten werden in einer PostgreSQL-Datenbank gespeichert, die von Supabase Inc. betrieben wird. Wir nutzen die EU-Region Frankfurt (AWS eu-central-1), sodass deine Daten die EU nicht verlassen. Der Zugriff ist durch Row Level Security (RLS) geschützt — du kannst ausschließlich auf deine eigenen Daten zugreifen.

Weitere Informationen: supabase.com/privacy

12. E-Mail-Versand — Resend

Für den Versand transaktionaler E-Mails nutzen wir Resend (Resend Inc., 2261 Market Street, Suite 5694, San Francisco, CA 94114, USA). Dabei werden E-Mail-Adressen und Nachrichteninhalte an Resend übermittelt. Die Datenübertragung erfolgt auf Grundlage der EU-Standardvertragsklauseln.

Wir versenden folgende Arten transaktionaler E-Mails:

  • Cashback-Bestätigung: Benachrichtigung, wenn ein Cashback-Betrag nach der Wartefrist bestätigt wurde.
  • Auszahlungsbestätigung: Bestätigung nach erfolgreicher Auszahlung deines Guthabens.
  • Programmänderungen: Ankündigung wesentlicher Änderungen an Cashback-Stufen, Konditionen oder AGB mindestens 14 Tage vor Inkrafttreten.
  • Wichtige Account-Mitteilungen: Sicherheitsrelevante Mitteilungen (z. B. Passwort-Reset, Kontosperrung).

Weitere Informationen: resend.com/legal/privacy-policy

13. Wearable-Integrationen und Drittanbieter

Je nach gewähltem Wearable werden Daten von folgenden Drittanbietern abgerufen:

Apple HealthKit (iOS App)

Trainingsdaten werden vom iPhone bzw. der Apple Watch über Apple HealthKit gelesen und verschlüsselt an unsere Server übertragen. Verantwortlich: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA. Die Datenübertragung aus der EU erfolgt auf Grundlage der EU-Standardvertragsklauseln.

Google Health Connect

Die Anbindung erfolgt per OAuth über Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Dabei erteilst du uns Lesezugriff auf deine Trainingsdaten in Google Health Connect. Datenschutzerklärung Google: policies.google.com/privacy

Polar

Die Anbindung erfolgt per OAuth über Polar Electro Oy, Professorintie 5, 90440 Kempele, Finnland. Datenschutzerklärung Polar: polar.com/de/legal/privacy-notice

Whoop

Die Anbindung erfolgt per OAuth über WHOOP Inc., One Kenmore Square, Boston, MA 02215, USA. Die Datenübertragung aus der EU erfolgt auf Grundlage der EU-Standardvertragsklauseln. Datenschutzerklärung Whoop: whoop.com/privacy-policy

In allen Fällen werden ausschließlich die für die Cashback-Stufen-Berechnung notwendigen Trainingsdaten (Sportart, Datum, Dauer) abgerufen und gespeichert. Zugriffstoken werden verschlüsselt in unserer Datenbank (EU-Region Frankfurt) hinterlegt.

14. Affiliate-Tracking (AWIN)

Wenn du auf einen Partner-Link klickst, wird eine anonyme Kennung (deine Nutzer-ID, kein Name oder keine E-Mail) an das Affiliate-Netzwerk AWIN übermittelt. AWIN ist die Acceleration Internet Ltd., 2 Mortimer Street, London W1T 3JA, Großbritannien.

  • Zweck: Zuordnung eines Kaufs beim Partner zu deinem ActiveRewards-Konto, um dir den korrekten Cashback gutzuschreiben.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — ohne dieses Tracking ist die Cashback-Gutschrift technisch nicht möglich).
  • Speicherdauer bei AWIN: Gemäß den Datenschutzbestimmungen von AWIN.

Datenschutzerklärung AWIN: awin.com/de/rechtliches

15. Mobile Apps (iOS und Android)

ActiveRewards bietet native Apps für iOS (Apple App Store) und Android (Google Play Store) an. Beide Apps bieten den vollen Funktionsumfang von ActiveRewards sowie plattformspezifische Gesundheitsdaten-Integrationen.

  • Die Apps übertragen Trainingsdaten (Sportart, Datum, Anzahl Einheiten) verschlüsselt an unsere Server (Supabase, EU-Region Frankfurt).
  • Die Apps speichern keine Daten lokal — mit Ausnahme des Authentifizierungstokens, das sicher im iOS Keychain bzw. Android Keystore abgelegt wird.
  • Es findet keine Analyse-, Werbe- oder sonstige Drittanbieter-Einbindung in den Apps statt, die über die in dieser Datenschutzerklärung beschriebenen Dienste hinausgeht.
  • iOS (Apple HealthKit): Der Zugriff auf Apple Health ist auf Trainingsdaten beschränkt. Andere Gesundheitsdaten (z. B. Herzrate, Schlaf, Ernährung) werden nicht abgerufen.
  • Android (Google Health Connect): Über Google Health Connect werden Trainingsdaten von kompatiblen Geräten und Apps gelesen (Samsung Galaxy Watch, Garmin, Fitbit, Polar u. a.). Wir lesen ausschließlich Workout-Zusammenfassungen — keine Herzfrequenz-Rohdaten, keine GPS-Tracks.
  • Samsung Health: Samsung-Nutzer können Trainingsdaten über Samsung Health → Google Health Connect → ActiveRewards synchronisieren. Samsung Health ist dabei ein eigenständiger Dienst von Samsung Electronics; wir haben keinen direkten Zugriff auf Samsung Health.

Push-Benachrichtigungen

Wenn du Push-Benachrichtigungen in der App aktivierst, wird ein gerätespezifisches Token in unserer Datenbank gespeichert:

  • iOS (APNs): Das Apple Push Notification service Token wird verwendet, um dir Benachrichtigungen über dein iPhone zuzustellen. Verarbeitung durch Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA.
  • Android (FCM): Das Firebase Cloud Messaging Token wird verwendet, um dir Benachrichtigungen auf deinem Android-Gerät zuzustellen. Verarbeitung durch Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
  • Device Tokens werden in unserer Datenbank (EU-Region Frankfurt) gespeichert und sind ausschließlich deinem Konto zugeordnet. Sie enthalten keine personenbezogenen Daten.
  • Du kannst Push-Benachrichtigungen jederzeit in den Systemeinstellungen deines Geräts deaktivieren. Durch die Deinstallation der App wird das Token automatisch ungültig und aus unserer Datenbank entfernt.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Aktivierung der Push-Benachrichtigungen).

16. Cookies

Wir setzen folgende Kategorien von Cookies ein:

Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Website unbedingt erforderlich. Wir verwenden Session-Cookies, die von Supabase Auth verwaltet werden und ausschließlich der Authentifizierung dienen — sie halten dich nach dem Login angemeldet. Ohne diese Cookies ist eine Nutzung des Mitgliederbereichs nicht möglich. Für diese Cookies ist keine Einwilligung erforderlich (§ 25 Abs. 2 TTDSG).

Analyse-Cookies

Aktuell setzen wir keine Analyse- oder Tracking-Cookies ein. Vercel Analytics arbeitet ohne Cookies und ohne Speicherung personenbezogener Daten. Sollten wir in Zukunft Analyse-Cookies verwenden, werden wir dich vorab um deine ausdrückliche Einwilligung bitten. Die Rechtsgrundlage wäre Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG.

Einwilligung widerrufen

Du kannst deine Einwilligung jederzeit widerrufen, indem du das Cookie cookie_consent in den Einstellungen deines Browsers löschst (unter „Datenschutz" → „Cookies verwalten" oder ähnlich je nach Browser). Beim nächsten Besuch erscheint dann erneut das Cookie-Banner. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Wir verwenden Cookies, die für den Betrieb der Website technisch notwendig sind. Zusätzliche Analyse-Cookies setzen wir nur mit deiner Zustimmung ein. Mehr erfahren