Support · App herunterladen

Datenschutz

Stand: Juni 2026 — auf Basis der GraplLAB-App und Website; rechtlich prüfen lassen.

1. Verantwortlicher

GraplLAB GbR
Karl-Marx-Str. 12, 68199 Mannheim, Deutschland
E-Mail: info@grapllab.de · Telefon: +49 157 55826216

Ein Datenschutzbeauftragter ist nicht bestellt; Ansprechpartner ist der Verantwortliche.

2. Überblick

GraplLAB (App unter bjj.app sowie die Marketing-Website) ist eine Trainings- und Lernplattform für Brazilian Jiu-Jitsu. Wir verarbeiten personenbezogene Daten, um Accounts bereitzustellen, Trainings- und Community-Funktionen zu betreiben und den Dienst technisch sicher anzubieten.

3. Welche Daten wir verarbeiten

3.1 Account und Authentifizierung

  • E-Mail-Adresse und Passwort (Registrierung und Anmeldung)
  • Nutzer-ID und Session-Daten (Nhost Auth)
  • E-Mail-Bestätigung bei Registrierung (vorgesehen) sowie Passwort-Zurücksetzen und E-Mail-Änderung
  • Kein Gravatar: Wir nutzen Gravatar nicht; Profilbilder stammen aus deinem Upload oder einem App-Avatar, nicht von einem externen Dienst auf Basis deiner E-Mail

3.2 Gastzugang

Bei anonymem Login verarbeiten wir die für den Gastzugang technisch erforderlichen Identifikations- und Nutzungsdaten (eingeschränkte Funktionen).

3.3 Profil

Soweit du Angaben machst: unter anderem Vor- und Nachname, Profilbild, Gürtel, Gewicht, Geburtsdatum, Bio, Social-Links (z. B. Instagram, TikTok).

3.4 Trainings- und App-Inhalte

Fokus-Techniken, Level, Notizen, Game Plans, „Mein Spiel“, Journal/Sessions (Datum, Zufriedenheit, Intensität, Runden), Module-Fortschritt, Daily Check-in, eigene Techniken und Sequenzen.

3.5 Community

Öffentliche und private Video-Uploads, Kommentare, Likes, Community-Module sowie von dir abgerufene oder übernommene Inhalte anderer Nutzer.

3.6 Nutzungs- und technische Daten

  • Produkt-Interaktionen: z. B. UI-Events (user_clicks) mit verknüpften Technik- oder Video-IDs
  • App-Sessions: App-Version, Plattform, Gerätetyp, Start und Ende (user_sessions)
  • Support-Nachrichten: Inhalt und Metadaten der Feedback-Funktion „Chat with us“ (user_messages)
  • Server-Logdaten: z. B. IP-Adresse, Zeitstempel, Request-Metadaten bei Hosting- und Backend-Anbietern

3.7 Website und App (Rechtstexte)

Sprache und Theme werden lokal im Browser gespeichert (localStorage). Es werden keine Werbe-Analytics-Dienste Dritter (z. B. Google Analytics) eingesetzt.

In der App erreichst du AGB, Datenschutzerklärung, Impressum und Kontakt unter Einstellungen → Rechtliches (Verknüpfung mit bjj.app).

3.8 Kostenpflichtige Funktionen

Abonnements (Premium) werden über Apple App Store bzw. Google Play abgewickelt. Zahlungs- und Vertragsdaten verarbeiten die Plattformen nach ihren eigenen Datenschutzhinweisen.

4. Zwecke und Rechtsgrundlagen (DSGVO)

ZweckRechtsgrundlage (Art. 6 DSGVO)
Bereitstellung von App und AccountVertrag (Art. 6 Abs. 1 lit. b)
Gastzugang und eingeschränkte FunktionenVertrag / vorvertragliche Maßnahmen
Speicherung von Trainings- und Community-InhaltenVertrag
Community, Moderation, SicherheitVertrag; berechtigtes Interesse (lit. f)
Produktanalyse (UI-Events, Sessions)Berechtigtes Interesse an stabiler, nutzerfreundlicher App
Support und KommunikationVertrag / berechtigtes Interesse
Erfüllung rechtlicher Pflichten (z. B. Aufbewahrung von Belegen)Rechtliche Verpflichtung (lit. c)
Optionale ProfilangabenVertrag; ggf. Einwilligung (lit. a), soweit freiwillig
Website-BetriebBerechtigtes Interesse / Vertrag

Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO statt.

5. Empfänger und Auftragsverarbeiter

AnbieterRolleTypische Daten
NhostBackend: Authentifizierung, Datenbank (GraphQL/PostgreSQL), FunctionsAccount, Profil, Trainings-, Community- und Nutzungsdaten; Region EU (eu-central-1)
BunnyVideo-Streaming/-speicherung, CDN (z. B. grapllab-open.b-cdn.net)Videos, Stream-Metadaten, Abruf-Logs
VercelHosting der Marketing-WebsiteIP, Zugriffslogs
Apple / GoogleApp-Distribution und Store-Abonnementsje nach Plattform

Mit Nhost, Bunny.net und Vercel wurden Verträge zur Auftragsverarbeitung (Art. 28 DSGVO) abgeschlossen [TODO: Nachweis/Vertragskopien beim Betreiber ablegen].

Weitere Empfänger können hinzukommen, soweit dies für den Betrieb erforderlich ist.

6. Internationale Übermittlung

Nhost wird in der EU betrieben. Bunny und Vercel können Verarbeitungen auch außerhalb der EU/des EWR beinhalten (z. B. USA). Soweit erforderlich, stützen wir uns auf geeignete Garantien der Anbieter (z. B. EU-Standardvertragsklauseln).

7. Speicherdauer

  • Account und Profil: für die Dauer des Nutzerkontos; nach Löschung in der App unverzüglich im aktiven System, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen; Backups können kurzzeitig (z. B. 2–3 Monate) fortbestehen.
  • Trainings-, Journal- und Community-Inhalte: bis zur Löschung durch dich oder uns.
  • Nutzungsdaten (Sessions, Klicks): nur so lange wie für Betrieb, Sicherheit und Produktverbesserung erforderlich.
  • Server-Logs der Anbieter: gemäß deren Aufbewahrungsrichtlinien.
  • Steuer- und rechnungsrelevante Daten: bis zu 10 Jahre, sofern künftig Zahlungen anfallen.

8. Ihre Rechte

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen.

  • Kontakt: info@grapllab.de (Betreff „Datenschutz“)
  • Löschung: zusätzlich über Einstellungen → Konto löschen in der App (unverzügliche Löschung im Rahmen der technischen Umsetzung)
  • Einwilligungen: können Sie durch Löschung des Kontos oder Widerruf per E-Mail beenden, soweit die Verarbeitung auf Einwilligung beruht
  • Beschwerde bei einer Aufsichtsbehörde, z. B. beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart

Wir bearbeiten Anfragen in der Regel innerhalb eines Monats.

Eine maschinelle Datenexport-Funktion bieten wir derzeit nicht an; Auskunft erfolgt auf Anfrage.

9. Cookies und lokale Speicherung

  • App: Session- und Authentifizierungsdaten über Nhost; keine Werbe-Cookies Dritter.
  • Website: technisch notwendige Speicherung (z. B. Sprache, Theme in localStorage); Verbindungen zu Hosting und CDN.

Ein separates Cookie-Banner für Marketing-Tracking ist nicht erforderlich, weil wir kein entsprechendes Tracking einsetzen.

10. Öffentliche Inhalte und Minderjährige

Öffentliche Videos sind für eingeloggte Nutzer der Community sichtbar. Lade nur Inhalte hoch, die du teilen darfst.

Der Dienst richtet sich nicht an Personen unter 16 Jahren (siehe AGB). Es erfolgt keine systematische Altersprüfung.

11. Sicherheit

Datenübertragung erfolgt verschlüsselt (TLS/HTTPS). Passwörter werden durch den Auth-Dienst gehasht gespeichert. Zugriff auf Datenbankfunktionen ist rollenbasiert beschränkt (u. a. Nutzer, Gast, Premium).

12. Änderungen

Wir können diese Datenschutzerklärung anpassen. Die aktuelle Fassung ist unter /datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir angemessen (z. B. in der App oder per E-Mail).

Last updated: June 2026 — based on the GraplLAB app and website; have reviewed by legal counsel.

1. Controller

GraplLAB GbR
Karl-Marx-Str. 12, 68199 Mannheim, Germany
Email: info@grapllab.de · Phone: +49 157 55826216

No data protection officer has been appointed; the controller is the contact above.

2. Overview

GraplLAB (app at bjj.app and the marketing website) is a Brazilian Jiu-Jitsu training and learning platform. We process personal data to provide accounts, operate training and community features, and deliver the service securely.

3. Data we process

3.1 Account and authentication

  • Email address and password (registration and sign-in)
  • User ID and session data (Nhost Auth)
  • email verification on registration (planned), password reset, and email change
  • No Gravatar: we do not use Gravatar; profile images come from your upload or an in-app avatar, not from a third-party service based on your email

3.2 Guest access

When you use anonymous guest login, we process identifiers and usage data technically required for limited functionality.

3.3 Profile

If you provide them: e.g. first and last name, profile picture, belt, weight, birthday, bio, social links (Instagram, TikTok, etc.).

3.4 Training and app content

Focus techniques, levels, notes, game plans, “My Game”, journal/sessions (date, satisfaction, intensity, rounds), module progress, daily check-in, custom techniques and sequences.

3.5 Community

Public and private video uploads, comments, likes, community modules, and other users’ content you view or adopt.

3.6 Usage and technical data

  • Product interactions: e.g. UI events (user_clicks) with linked technique or video IDs
  • App sessions: app version, platform, device type, start and end (user_sessions)
  • Support messages: content and metadata of “Chat with us” feedback (user_messages)
  • Server logs: e.g. IP address, timestamps, request metadata at hosting and backend providers

3.7 Website and in-app legal pages

Language and theme are stored locally in the browser (localStorage). We do not use third-party advertising analytics (e.g. Google Analytics).

In the app, Terms, privacy policy, legal notice, and contact are available under Settings → Legal (links to bjj.app).

3.8 Paid features

Premium subscriptions are handled through the Apple App Store and Google Play; those platforms process payment and contract data under their own privacy notices.

4. Purposes and legal bases (GDPR)

PurposeLegal basis (Art. 6 GDPR)
Providing the app and accountContract (Art. 6(1)(b))
Guest access and limited featuresContract / pre-contractual steps
Storing training and community contentContract
Community, moderation, securityContract; legitimate interests (f)
Product analytics (UI events, sessions)Legitimate interests in a stable, usable app
Support and communicationContract / legitimate interests
Legal obligations (e.g. retention of records)Legal obligation (c)
Optional profile fieldsContract; consent (a) where purely voluntary
Website operationLegitimate interests / contract

We do not use automated decision-making or profiling within the meaning of Art. 22 GDPR.

5. Recipients and processors

ProviderRoleTypical data
NhostBackend: authentication, database (GraphQL/PostgreSQL), functionsAccount, profile, training, community, usage data; EU (eu-central-1)
BunnyVideo streaming/storage, CDN (e.g. grapllab-open.b-cdn.net)Videos, stream metadata, access logs
VercelMarketing website hostingIP, access logs
Apple / GoogleApp distribution and store subscriptionsper platform

Data processing agreements (Art. 28 GDPR) have been concluded with Nhost, Bunny.net, and Vercel [TODO: retain proof/contract copies with the provider].

Further recipients may apply where necessary for operation.

6. International transfers

Nhost is operated in the EU. Bunny and Vercel may process data outside the EU/EEA (e.g. USA). Where required, we rely on appropriate safeguards (e.g. EU standard contractual clauses).

7. Retention

  • Account and profile: for the life of the account; after in-app deletion, promptly in live systems unless law requires retention; backups may persist briefly (e.g. 2–3 months).
  • Training, journal, and community content: until you or we delete it.
  • Usage data (sessions, clicks): only as long as needed for operation, security, and product improvement.
  • Provider server logs: per each provider’s retention policy.
  • Tax and billing records: up to 10 years if payments apply in the future.

8. Your rights

You have the right to access, rectification, erasure, restriction, data portability, and to object to processing based on legitimate interests.

  • Contact: info@grapllab.de (subject “Privacy”)
  • Erasure: also via Settings → Delete account in the app (prompt deletion subject to technical implementation)
  • Consent: you may withdraw by deleting your account or by email where processing is based on consent
  • Complaint to a supervisory authority, e.g. the Baden-Württemberg data protection authority (LfDI), Lautenschlagerstraße 20, 70173 Stuttgart, Germany

We generally respond within one month.

We do not currently offer an automated data export feature; access requests are handled on request.

9. Cookies and local storage

  • App: session and authentication via Nhost; no third-party advertising cookies.
  • Website: technically necessary storage (e.g. language, theme in localStorage); connections to hosting and CDN.

No separate marketing cookie banner is required because we do not use such tracking.

10. Public content and minors

Public videos are visible to logged-in community users. Upload only content you are allowed to share.

The service is not directed at persons under 16 (see Terms). There is no systematic age verification.

11. Security

Data is transmitted encrypted (TLS/HTTPS). Passwords are stored hashed by the auth service. Database access is restricted by role (e.g. user, guest, premium).

12. Changes

We may update this policy. The current version is at /datenschutz. Material changes will be communicated appropriately (e.g. in the app or by email).

← Zur Startseite

GraplLAB bjj.app

Impressum Datenschutz AGB Kontakt

© 2026 GraplLAB