Datenschutzerklärung – DropBeat
Stand: 9. Juli 2026 — Verantwortlicher: MLH Ventures GmbH, Stolberggasse 38/9, 1050 Wien, Österreich — Datenschutzanfragen: privacy@mlh-ventures.com
Impressum: mlh-ventures.com/imprint
Sprachen: Deutsch · English
In dieser Datenschutzerklärung informieren wir Sie darüber, welche personenbezogenen Daten wir bei Ihrer Nutzung der App DropBeat verarbeiten, zu welchen Zwecken, auf welcher Rechtsgrundlage und welche Rechte Sie haben.
1. Verantwortlicher
MLH Ventures GmbH
Stolberggasse 38/9, 1050 Wien, Österreich
FN 614753 z, ATU80019338
Kontakt allgemein: office@mlh-ventures.com
Datenschutzanfragen: privacy@mlh-ventures.com
Telefon: +43 670 605 1854
Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich.
2. Geltungsbereich
Diese Datenschutzerklärung gilt für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung der mobilen App DropBeat für iOS und Android sowie der damit verbundenen Online-Funktionen.
Für unsere Website (mlh-ventures.com) und andere Produkte gilt eine separate Datenschutzerklärung.
Hinweis zu geplanten künftigen Funktionen: Wir planen, DropBeat um Funktionen wie kostenpflichtige Premium-Modi, Hinweispakete oder eine globale Bestenliste zu erweitern. Sobald eine solche Funktion eingeführt wird, aktualisieren wir diese Datenschutzerklärung vor Aktivierung und informieren Sie über die konkrete Datenverarbeitung gemäß Punkt 16.
3. Grundsätze unserer Verarbeitung
Wir verarbeiten Ihre Daten nur, soweit es für den Betrieb der App erforderlich ist oder Sie ausdrücklich eingewilligt haben. Wir setzen keine Werbe-, Tracking- oder Analyse-Tools von Drittanbietern ein (mit Ausnahme von Fehler-Monitoring, siehe Punkt 9). Wir verkaufen keine personenbezogenen Daten.
4. Verarbeitete Daten, Zwecke und Rechtsgrundlagen
4.1 Bei der Registrierung
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| E-Mail-Adresse, Verifizierungsstatus | Konto-Anlage, Login, Wiederherstellung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Passwort (verschlüsselt gespeichert) oder Auth-ID des Drittanbieters (Apple, Google) | Authentifizierung | Art. 6 Abs. 1 lit. b DSGVO |
| Benutzername | Identifizierung, Freundessuche, Spielinteraktion | Art. 6 Abs. 1 lit. b DSGVO |
| Avatarfarbe | Profildarstellung | Art. 6 Abs. 1 lit. b DSGVO |
| Altersbestätigung (Mindestalter 16) | Einhaltung gesetzlicher Vorgaben | Art. 6 Abs. 1 lit. c DSGVO |
| Zeitpunkt der Konto-Erstellung | Vertragsverwaltung, Inaktivitäts-Frist | Art. 6 Abs. 1 lit. b und f DSGVO |
4.2 Während der Nutzung
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| Push-Token Ihres Geräts | Versand transaktionaler Benachrichtigungen | Art. 6 Abs. 1 lit. b DSGVO |
| Push-Token für Marketing | Versand von Produktinformationen, Tipps, Updates | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Zeitpunkt der letzten Aktivität | Online-Status gegenüber Ihren Freunden | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Spielfluss); Opt-out durch Beendigung der Freundschaft |
| Spielstatistiken (Spiele, Siege, Level, XP) | Kernfunktion, Profilanzeige | Art. 6 Abs. 1 lit. b DSGVO |
| Match-Historie, Spielzüge, Antworten | Spielverlauf, asynchrone Partien | Art. 6 Abs. 1 lit. b DSGVO |
| Freundschaftsanfragen und Freundschaften | Soziale Funktion | Art. 6 Abs. 1 lit. b DSGVO |
| Einladungen, Spielteilnahmen, Duelle | Kernfunktion Multiplayer | Art. 6 Abs. 1 lit. b DSGVO |
| Meldungen über Verstöße | Inhaltsmoderation, gesetzliche Pflichten (DSA) | Art. 6 Abs. 1 lit. c und f DSGVO |
4.3 Lokal auf Ihrem Gerät gespeichert
Folgende Daten werden ausschließlich auf Ihrem Gerät gespeichert und nicht an uns übermittelt:
- Anmeldetoken in der sicheren Geräteablage (iOS Keychain / Android Keystore)
- Lokaler Cache des Song-Katalogs (enthält keine personenbezogenen Daten)
- App-Einstellungen
4.4 Gastspieler im Hot-Seat-Modus
Im lokalen Hot-Seat-Modus können weitere Personen an Ihrem Gerät teilnehmen, indem sie einen Spitznamen und eine Avatarfarbe eingeben. Diese Angaben werden nur lokal auf dem Gerät verarbeitet, nicht an uns übermittelt und nicht gespeichert.
5. Sichtbarkeit Ihrer Daten für andere Nutzer:innen
| Datum | Sichtbar für |
|---|---|
| Benutzername | alle DropBeat-Nutzer:innen (öffentlich suchbar) |
| Avatarfarbe | alle |
| Spielstatistiken, Level | Freunde |
| Online-Status (letzte Aktivität) | nur Freunde |
| E-Mail-Adresse | niemand außer Ihnen |
6. Push-Benachrichtigungen
Wir verwenden zwei getrennte Kategorien von Push-Nachrichten:
Transaktionale Pushes: Spielereignisse wie „Sie sind am Zug“, neue Einladung, Spielergebnis. Diese senden wir auf Basis unseres Vertrags mit Ihnen (Art. 6 Abs. 1 lit. b DSGVO). Sie können diese Pushes über die Systemeinstellungen Ihres Geräts oder in der App deaktivieren.
Marketing- und Update-Pushes: Informationen über neue Funktionen, Tipps oder Produkthinweise. Diese senden wir nur, wenn Sie ausdrücklich eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO i.V.m. §174 TKG 2021). Die Einwilligung erfolgt durch aktive Aktivierung in den App-Einstellungen („Marketing-Mitteilungen erhalten“). Sie können sie jederzeit in den Einstellungen widerrufen, ohne dass dadurch die transaktionalen Benachrichtigungen entfallen.
7. E-Mail-Kommunikation
Wir versenden E-Mails zu folgenden Zwecken:
- Transaktional: E-Mail-Verifizierung, Passwort-Reset, Lösch- und Sicherheitsbestätigungen, Vorwarnung bei drohender Inaktivitäts-Löschung. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
- Produkt-Updates und Newsletter (zukünftig): Sofern wir entsprechende Mitteilungen anbieten, erfolgt der Versand ausschließlich nach Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. §174 TKG 2021). Eine Abmeldung ist jederzeit über einen Link in jeder Nachricht möglich.
8. Geräteberechtigungen
DropBeat fordert ausschließlich folgende Berechtigungen an:
- Mitteilungen / Push — für den Versand von Spielbenachrichtigungen und (auf Wunsch) Produkt-Updates
Wir fordern keine Berechtigungen für Kamera, Standort, Mikrofon, Kontakte oder Fotobibliothek an.
9. Drittanbieter und Auftragsverarbeiter
Zur Erbringung unseres Dienstes setzen wir folgende Anbieter ein. Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO.
| Anbieter | Funktion | Verarbeitete Daten | Region | Datenschutzerklärung |
|---|---|---|---|---|
| Supabase Inc. | Backend-Plattform (Datenbank, Authentifizierung, Echtzeitfunktionen) | Kontodaten, Spielinhalte, Sozialdaten | EU (Frankfurt / Irland) | supabase.com/privacy |
| Expo / 650 Industries | App-Build und Expo Push Service | Push-Tokens und -Inhalte | USA | expo.dev/privacy |
| Apple Inc. | Push-Zustellung auf iOS, Anmeldung mit Apple | Push-Token, Auth-Identifikator | USA | apple.com/legal/privacy |
| Google LLC | Push-Zustellung auf Android, Anmeldung mit Google | Push-Token, Auth-Identifikator | USA | policies.google.com/privacy |
| Apple Inc. (iTunes Search API) | Bereitstellung von 30-Sekunden-Songvorschauen (Standardquelle) | Direktabruf vom Gerät, dabei wird die IP-Adresse Ihres Geräts an Apple übermittelt; es werden keine Nutzer-Identifikatoren übertragen | USA | apple.com/legal/privacy |
| Deezer S.A. | Bereitstellung von 30-Sekunden-Songvorschauen (Fallback-Quelle) | Direktabruf vom Gerät, dabei wird die IP-Adresse Ihres Geräts an Deezer übermittelt | Frankreich (EU) | deezer.com/legal/personal-datas |
| Genius Media Group | Bereitstellung von Cover-Bildern | Direktabruf vom Gerät, dabei wird die IP-Adresse Ihres Geräts an Genius übermittelt | USA | genius.com/static/privacy_policy |
| Functional Software Inc. (Sentry) | Absturz- und Fehler-Monitoring | Technische Fehlerdaten, ggf. Konto-IDs | EU (Deutschland) | sentry.io/privacy |
Wir nutzen keine Werbe-, Tracking- oder Analyse-Dienste anderer Anbieter und setzen keine Cookies oder vergleichbaren Technologien zu Marketing- oder Analyse-Zwecken ein.
10. Übermittlung in Drittstaaten
Die zentralen Verarbeitungen finden in der Europäischen Union statt. Bei einigen Anbietern (Expo, Apple, Google, Genius) erfolgt eine Verarbeitung in den USA. Übermittlungen erfolgen auf Grundlage des EU-US Data Privacy Framework bzw. der Standardvertragsklauseln der EU-Kommission (Art. 46 DSGVO). Die jeweiligen Garantien stellen ein angemessenes Datenschutzniveau sicher.
11. Speicherdauer
Wir speichern Ihre Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
| Datenkategorie | Speicherdauer |
|---|---|
| Aktives Konto | für die Dauer der Nutzung |
| Konto bei Inaktivität | 12 Monate nach letzter Anmeldung; danach Vorwarnung per E-Mail, Löschung nach weiteren 30 Tagen |
| Selbst initiierte Konto-Löschung | sofortige Löschung Ihrer personenbezogenen Daten inkl. Spiel- und Sozialdaten |
| Abgelaufene oder abgelehnte Spiel-Duelle | bis zu 90 Tage |
| Sentry-Fehlerdaten | bis zu 90 Tage |
| Push-Tokens | bis zur Konto-Löschung oder Geräte-Abmeldung |
| Einwilligungs-Nachweise (Marketing) | bis zum Widerruf zuzüglich gesetzlicher Verjährungsfristen |
12. Sicherheit der Verarbeitung
Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen, insbesondere:
- TLS-Verschlüsselung sämtlicher Datenübertragungen zwischen App und Server
- verschlüsselte Speicherung von Passwörtern unter Verwendung anerkannter Hash-Verfahren
- gesicherte Speicherung von Anmelde-Tokens auf Ihrem Gerät (iOS Keychain bzw. Android Keystore)
- Multi-Faktor-Authentifizierung für administrative Zugriffe auf unsere Backend-Systeme
- rollenbasierte Zugriffskontrollen mit dem Prinzip der minimal notwendigen Berechtigung
- Protokollierung administrativer Zugriffe
- regelmäßige verschlüsselte Datensicherungen
- automatisierte Sicherheits-Updates der eingesetzten Plattformen
- Trennung zwischen Entwicklungs-, Test- und Produktivumgebungen
- regelmäßige Überprüfung und Aktualisierung dieser Maßnahmen entsprechend dem Stand der Technik
13. Mindestalter
DropBeat richtet sich an Personen ab 16 Jahren. Wir verarbeiten wissentlich keine Daten von Kindern unter 16 Jahren. Wenn Sie Kenntnis davon haben, dass eine minderjährige Person ohne entsprechende Einwilligung Daten an uns übermittelt hat, kontaktieren Sie uns bitte unter privacy@mlh-ventures.com.
14. Ihre Rechte
Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
- Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten (Art. 17 DSGVO); kann direkt in der App über „Einstellungen → Konto löschen“ durchgeführt werden
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit in einem strukturierten, gängigen, maschinenlesbaren Format (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Anfragen richten Sie bitte an privacy@mlh-ventures.com. Wir antworten in der Regel innerhalb von 30 Tagen.
15. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere bei der österreichischen Datenschutzbehörde:
Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
dsb@dsb.gv.at, dsb.gv.at
Sie können sich auch an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthalts oder Ihres Arbeitsplatzes wenden.
16. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung anpassen, wenn dies aufgrund neuer Funktionen, geänderter Rechtslage oder geänderter Verarbeitungsabläufe erforderlich wird. Über wesentliche Änderungen informieren wir Sie rechtzeitig vor Inkrafttreten per E-Mail oder direkt in der App.