Datenschutz
Stand: Juni 2026 — auf Basis der GraplLAB-App und Website; rechtlich prüfen lassen.
1. Verantwortlicher
GraplLAB GbR
Karl-Marx-Str. 12, 68199 Mannheim, Deutschland
E-Mail: info@grapllab.de · Telefon: +49 157 55826216
Ein Datenschutzbeauftragter ist nicht bestellt; Ansprechpartner ist der Verantwortliche.
2. Überblick
GraplLAB (App unter bjj.app sowie die Marketing-Website) ist eine Trainings- und Lernplattform für Brazilian Jiu-Jitsu. Wir verarbeiten personenbezogene Daten, um Accounts bereitzustellen, Trainings- und Community-Funktionen zu betreiben und den Dienst technisch sicher anzubieten.
3. Welche Daten wir verarbeiten
3.1 Account und Authentifizierung
- E-Mail-Adresse und Passwort (Registrierung und Anmeldung)
- Nutzer-ID und Session-Daten (Nhost Auth)
- E-Mail-Bestätigung bei Registrierung (vorgesehen) sowie Passwort-Zurücksetzen und E-Mail-Änderung
- Kein Gravatar: Wir nutzen Gravatar nicht; Profilbilder stammen aus deinem Upload oder einem App-Avatar, nicht von einem externen Dienst auf Basis deiner E-Mail
3.2 Gastzugang
Bei anonymem Login verarbeiten wir die für den Gastzugang technisch erforderlichen Identifikations- und Nutzungsdaten (eingeschränkte Funktionen).
3.3 Profil
Soweit du Angaben machst: unter anderem Vor- und Nachname, Profilbild, Gürtel, Gewicht, Geburtsdatum, Bio, Social-Links (z. B. Instagram, TikTok).
3.4 Trainings- und App-Inhalte
Fokus-Techniken, Level, Notizen, Game Plans, „Mein Spiel“, Journal/Sessions (Datum, Zufriedenheit, Intensität, Runden), Module-Fortschritt, Daily Check-in, eigene Techniken und Sequenzen.
3.5 Community
Öffentliche und private Video-Uploads, Kommentare, Likes, Community-Module sowie von dir abgerufene oder übernommene Inhalte anderer Nutzer.
3.6 Nutzungs- und technische Daten
- Produkt-Interaktionen: z. B. UI-Events (
user_clicks) mit verknüpften Technik- oder Video-IDs - App-Sessions: App-Version, Plattform, Gerätetyp, Start und Ende (
user_sessions) - Support-Nachrichten: Inhalt und Metadaten der Feedback-Funktion „Chat with us“ (
user_messages) - Server-Logdaten: z. B. IP-Adresse, Zeitstempel, Request-Metadaten bei Hosting- und Backend-Anbietern
3.7 Website und App (Rechtstexte)
Sprache und Theme werden lokal im Browser gespeichert (localStorage). Es werden keine Werbe-Analytics-Dienste Dritter (z. B. Google Analytics) eingesetzt.
In der App erreichst du AGB, Datenschutzerklärung, Impressum und Kontakt unter Einstellungen → Rechtliches (Verknüpfung mit bjj.app).
3.8 Kostenpflichtige Funktionen
Abonnements (Premium) werden über Apple App Store bzw. Google Play abgewickelt. Zahlungs- und Vertragsdaten verarbeiten die Plattformen nach ihren eigenen Datenschutzhinweisen.
4. Zwecke und Rechtsgrundlagen (DSGVO)
| Zweck | Rechtsgrundlage (Art. 6 DSGVO) |
|---|---|
| Bereitstellung von App und Account | Vertrag (Art. 6 Abs. 1 lit. b) |
| Gastzugang und eingeschränkte Funktionen | Vertrag / vorvertragliche Maßnahmen |
| Speicherung von Trainings- und Community-Inhalten | Vertrag |
| Community, Moderation, Sicherheit | Vertrag; berechtigtes Interesse (lit. f) |
| Produktanalyse (UI-Events, Sessions) | Berechtigtes Interesse an stabiler, nutzerfreundlicher App |
| Support und Kommunikation | Vertrag / berechtigtes Interesse |
| Erfüllung rechtlicher Pflichten (z. B. Aufbewahrung von Belegen) | Rechtliche Verpflichtung (lit. c) |
| Optionale Profilangaben | Vertrag; ggf. Einwilligung (lit. a), soweit freiwillig |
| Website-Betrieb | Berechtigtes Interesse / Vertrag |
Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO statt.
5. Empfänger und Auftragsverarbeiter
| Anbieter | Rolle | Typische Daten |
|---|---|---|
| Nhost | Backend: Authentifizierung, Datenbank (GraphQL/PostgreSQL), Functions | Account, Profil, Trainings-, Community- und Nutzungsdaten; Region EU (eu-central-1) |
| Bunny | Video-Streaming/-speicherung, CDN (z. B. grapllab-open.b-cdn.net) | Videos, Stream-Metadaten, Abruf-Logs |
| Vercel | Hosting der Marketing-Website | IP, Zugriffslogs |
| Apple / Google | App-Distribution und Store-Abonnements | je nach Plattform |
Mit Nhost, Bunny.net und Vercel wurden Verträge zur Auftragsverarbeitung (Art. 28 DSGVO) abgeschlossen [TODO: Nachweis/Vertragskopien beim Betreiber ablegen].
Weitere Empfänger können hinzukommen, soweit dies für den Betrieb erforderlich ist.
6. Internationale Übermittlung
Nhost wird in der EU betrieben. Bunny und Vercel können Verarbeitungen auch außerhalb der EU/des EWR beinhalten (z. B. USA). Soweit erforderlich, stützen wir uns auf geeignete Garantien der Anbieter (z. B. EU-Standardvertragsklauseln).
7. Speicherdauer
- Account und Profil: für die Dauer des Nutzerkontos; nach Löschung in der App unverzüglich im aktiven System, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen; Backups können kurzzeitig (z. B. 2–3 Monate) fortbestehen.
- Trainings-, Journal- und Community-Inhalte: bis zur Löschung durch dich oder uns.
- Nutzungsdaten (Sessions, Klicks): nur so lange wie für Betrieb, Sicherheit und Produktverbesserung erforderlich.
- Server-Logs der Anbieter: gemäß deren Aufbewahrungsrichtlinien.
- Steuer- und rechnungsrelevante Daten: bis zu 10 Jahre, sofern künftig Zahlungen anfallen.
8. Ihre Rechte
Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen.
- Kontakt: info@grapllab.de (Betreff „Datenschutz“)
- Löschung: zusätzlich über Einstellungen → Konto löschen in der App (unverzügliche Löschung im Rahmen der technischen Umsetzung)
- Einwilligungen: können Sie durch Löschung des Kontos oder Widerruf per E-Mail beenden, soweit die Verarbeitung auf Einwilligung beruht
- Beschwerde bei einer Aufsichtsbehörde, z. B. beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart
Wir bearbeiten Anfragen in der Regel innerhalb eines Monats.
Eine maschinelle Datenexport-Funktion bieten wir derzeit nicht an; Auskunft erfolgt auf Anfrage.
9. Cookies und lokale Speicherung
- App: Session- und Authentifizierungsdaten über Nhost; keine Werbe-Cookies Dritter.
- Website: technisch notwendige Speicherung (z. B. Sprache, Theme in
localStorage); Verbindungen zu Hosting und CDN.
Ein separates Cookie-Banner für Marketing-Tracking ist nicht erforderlich, weil wir kein entsprechendes Tracking einsetzen.
10. Öffentliche Inhalte und Minderjährige
Öffentliche Videos sind für eingeloggte Nutzer der Community sichtbar. Lade nur Inhalte hoch, die du teilen darfst.
Der Dienst richtet sich nicht an Personen unter 16 Jahren (siehe AGB). Es erfolgt keine systematische Altersprüfung.
11. Sicherheit
Datenübertragung erfolgt verschlüsselt (TLS/HTTPS). Passwörter werden durch den Auth-Dienst gehasht gespeichert. Zugriff auf Datenbankfunktionen ist rollenbasiert beschränkt (u. a. Nutzer, Gast, Premium).
12. Änderungen
Wir können diese Datenschutzerklärung anpassen. Die aktuelle Fassung ist unter /datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir angemessen (z. B. in der App oder per E-Mail).
Last updated: June 2026 — based on the GraplLAB app and website; have reviewed by legal counsel.
1. Controller
GraplLAB GbR
Karl-Marx-Str. 12, 68199 Mannheim, Germany
Email: info@grapllab.de · Phone: +49 157 55826216
No data protection officer has been appointed; the controller is the contact above.
2. Overview
GraplLAB (app at bjj.app and the marketing website) is a Brazilian Jiu-Jitsu training and learning platform. We process personal data to provide accounts, operate training and community features, and deliver the service securely.
3. Data we process
3.1 Account and authentication
- Email address and password (registration and sign-in)
- User ID and session data (Nhost Auth)
- email verification on registration (planned), password reset, and email change
- No Gravatar: we do not use Gravatar; profile images come from your upload or an in-app avatar, not from a third-party service based on your email
3.2 Guest access
When you use anonymous guest login, we process identifiers and usage data technically required for limited functionality.
3.3 Profile
If you provide them: e.g. first and last name, profile picture, belt, weight, birthday, bio, social links (Instagram, TikTok, etc.).
3.4 Training and app content
Focus techniques, levels, notes, game plans, “My Game”, journal/sessions (date, satisfaction, intensity, rounds), module progress, daily check-in, custom techniques and sequences.
3.5 Community
Public and private video uploads, comments, likes, community modules, and other users’ content you view or adopt.
3.6 Usage and technical data
- Product interactions: e.g. UI events (
user_clicks) with linked technique or video IDs - App sessions: app version, platform, device type, start and end (
user_sessions) - Support messages: content and metadata of “Chat with us” feedback (
user_messages) - Server logs: e.g. IP address, timestamps, request metadata at hosting and backend providers
3.7 Website and in-app legal pages
Language and theme are stored locally in the browser (localStorage). We do not use third-party advertising analytics (e.g. Google Analytics).
In the app, Terms, privacy policy, legal notice, and contact are available under Settings → Legal (links to bjj.app).
3.8 Paid features
Premium subscriptions are handled through the Apple App Store and Google Play; those platforms process payment and contract data under their own privacy notices.
4. Purposes and legal bases (GDPR)
| Purpose | Legal basis (Art. 6 GDPR) |
|---|---|
| Providing the app and account | Contract (Art. 6(1)(b)) |
| Guest access and limited features | Contract / pre-contractual steps |
| Storing training and community content | Contract |
| Community, moderation, security | Contract; legitimate interests (f) |
| Product analytics (UI events, sessions) | Legitimate interests in a stable, usable app |
| Support and communication | Contract / legitimate interests |
| Legal obligations (e.g. retention of records) | Legal obligation (c) |
| Optional profile fields | Contract; consent (a) where purely voluntary |
| Website operation | Legitimate interests / contract |
We do not use automated decision-making or profiling within the meaning of Art. 22 GDPR.
5. Recipients and processors
| Provider | Role | Typical data |
|---|---|---|
| Nhost | Backend: authentication, database (GraphQL/PostgreSQL), functions | Account, profile, training, community, usage data; EU (eu-central-1) |
| Bunny | Video streaming/storage, CDN (e.g. grapllab-open.b-cdn.net) | Videos, stream metadata, access logs |
| Vercel | Marketing website hosting | IP, access logs |
| Apple / Google | App distribution and store subscriptions | per platform |
Data processing agreements (Art. 28 GDPR) have been concluded with Nhost, Bunny.net, and Vercel [TODO: retain proof/contract copies with the provider].
Further recipients may apply where necessary for operation.
6. International transfers
Nhost is operated in the EU. Bunny and Vercel may process data outside the EU/EEA (e.g. USA). Where required, we rely on appropriate safeguards (e.g. EU standard contractual clauses).
7. Retention
- Account and profile: for the life of the account; after in-app deletion, promptly in live systems unless law requires retention; backups may persist briefly (e.g. 2–3 months).
- Training, journal, and community content: until you or we delete it.
- Usage data (sessions, clicks): only as long as needed for operation, security, and product improvement.
- Provider server logs: per each provider’s retention policy.
- Tax and billing records: up to 10 years if payments apply in the future.
8. Your rights
You have the right to access, rectification, erasure, restriction, data portability, and to object to processing based on legitimate interests.
- Contact: info@grapllab.de (subject “Privacy”)
- Erasure: also via Settings → Delete account in the app (prompt deletion subject to technical implementation)
- Consent: you may withdraw by deleting your account or by email where processing is based on consent
- Complaint to a supervisory authority, e.g. the Baden-Württemberg data protection authority (LfDI), Lautenschlagerstraße 20, 70173 Stuttgart, Germany
We generally respond within one month.
We do not currently offer an automated data export feature; access requests are handled on request.
9. Cookies and local storage
- App: session and authentication via Nhost; no third-party advertising cookies.
- Website: technically necessary storage (e.g. language, theme in
localStorage); connections to hosting and CDN.
No separate marketing cookie banner is required because we do not use such tracking.
10. Public content and minors
Public videos are visible to logged-in community users. Upload only content you are allowed to share.
The service is not directed at persons under 16 (see Terms). There is no systematic age verification.
11. Security
Data is transmitted encrypted (TLS/HTTPS). Passwords are stored hashed by the auth service. Database access is restricted by role (e.g. user, guest, premium).
12. Changes
We may update this policy. The current version is at /datenschutz. Material changes will be communicated appropriately (e.g. in the app or by email).