Privacy Policy
Last updated: July 2026
Stand: Juli 2026
1. Verantwortlicher
Julius Elias Gebler, Buckelwiesen 7, 82481 Mittenwald, Deutschland
E-Mail: info@bikeley.com
2. Überblick
Bikeley betreibt eine Community- und Vermittlungsplattform für den Fahrradbereich (Webseite und App). Diese Datenschutzerklärung informiert umfassend über die Verarbeitung personenbezogener Daten.
3. Welche Daten wir erheben
3.1 Webseiten-/App-Zugriff (ohne Registrierung)
Daten: IP-Adresse (als SHA-256-Hash), User-Agent, aufgerufene Seiten, Referrer, Zeitstempel.
Zweck: Technische Bereitstellung, Sicherheit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: 90 Tage.
3.2 Registrierung und Nutzerkonto
Daten: E-Mail, Passwort (bcrypt-Hash), Anzeigename, Telefonnummer, Adresse, Sprache, Profilbild, Bio-Text, Bikeley-ID, Registrierungszeitpunkt, letzter Login.
Zweck: Kontoverwaltung, Authentifizierung, öffentliches Profil.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Bis Kontolöschung.
3.3 Handynummer-Verifizierung (2FA)
Daten: Handynummer, Verifizierungscode (Versand derzeit per E-Mail), Zeitstempel.
Zweck: Zwei-Faktor-Authentifizierung, Kontosicherheit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.
Hinweis: Verifizierungs- und 2FA-Codes werden derzeit per E-Mail versendet; ein SMS-Versand ist aktuell nicht aktiv. Sofern künftig SMS eingesetzt werden, erfolgt der Versand über einen SMS-Dienstleister, an den die Handynummer zu diesem Zweck übermittelt wird; diese Erklärung wird dann entsprechend aktualisiert.
Speicherdauer: Handynummer bis Kontolöschung. Verifizierungscodes verfallen nach 10 Minuten.
3.4 Kontakte-Synchronisierung (Freunde finden)
Daten: Telefonnummern aus dem Adressbuch des Nutzers, umgewandelt in kryptographische Hashes (SHA-256) vor der Übermittlung.
Zweck: Abgleich mit registrierten Bikeley-Nutzern, um Freunde zu finden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Wichtige Hinweise:
- Bikeley speichert keine Klarnamen und keine Telefonnummern im Klartext aus dem Adressbuch.
- Nur Telefonnummern-Hashes werden übermittelt und abgeglichen.
- Nicht übereinstimmende Hashes werden nach dem Abgleich umgehend gelöscht.
- Übereinstimmende Hashes werden nur gespeichert, solange die Funktion aktiviert ist.
- Die Einwilligung (Zugriff auf das Adressbuch) kann jederzeit in den Geräteeinstellungen widerrufen werden. Bei Widerruf werden alle gespeicherten Hashes gelöscht.
- Bikeley kontaktiert Personen aus dem Adressbuch nicht direkt ohne gesonderte Einwilligung.
3.5 Anbieter-Registrierung
Zusätzliche Daten: Firmenname, Gewerbenachweis, Rechnungsadresse, Zahlungsdaten (über Stripe), Öffnungszeiten, Koordinaten, Logo, Galerie, Abo-Status, Rechnungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Vertragsdauer + bis 10 Jahre (§ 147 AO).
3.6 Anfragen und Service-Cases
Daten: Anfragetext, Optionen (Größe, Farbe, Versand, Leasing), Dateien, Name, E-Mail, Telefon.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
3.7 Chat-Nachrichten und Sprachnachrichten
Daten: Nachrichteninhalte (Text, Bilder, Audiodateien bei Sprachnachrichten), Name, E-Mail, Lesebestätigungen, Zeitstempel.
Zweck: Kommunikation zwischen Nutzern und/oder Anbietern.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Hinweis: Sprachnachrichten werden als Audiodateien auf den Servern von Bikeley gespeichert.
Speicherdauer: Bis Kontolöschung.
3.8 Community-Feed, Stories, Gruppen
Daten: Beitragsinhalte (Text, Bilder, Sprachnachrichten), Likes, Follower-Beziehungen, Gruppenmitgliedschaften, Angebotsdetails.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Hinweis: Stories nach Ablauf noch bis 30 Tage für Moderation gespeichert. Geschlossene Gruppen nur für Mitglieder sichtbar.
3.9 Routen- und Aktivitäts-Tracking
Daten: GPS-Koordinaten (Breitengrad, Längengrad, Höhe), Zeitstempel pro Wegpunkt, abgeleitete Statistiken (Distanz, Geschwindigkeit, Höhenmeter, Dauer, Kalorienverbrauch), Routenname/-beschreibung, Sichtbarkeitsstatus.
Zweck: Aufzeichnung und Speicherung von Fahrradaktivitäten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; für das Teilen: Art. 6 Abs. 1 lit. a DSGVO.
Besondere Hinweise:
- GPS-Daten sind hochsensible Standortdaten (Rückschlüsse auf Wohnort, Arbeitsplatz möglich).
- Routen sind standardmäßig privat.
- Privacy Zones werden empfohlen.
- Speicherung auf Servern in Deutschland (All-Inkl).
- Bei Kontolöschung vollständige Löschung.
3.10 Bluetooth-Sensordaten
Daten: Herzfrequenz, Trittfrequenz, Geschwindigkeit, Leistung (Watt) und ggf. weitere Messwerte von verbundenen Bluetooth-Sensoren.
Zweck: Anreicherung der Trainingsstatistiken während der Routenaufzeichnung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Kopplung des Sensors).
Hinweis: Bluetooth-Sensordaten (insbesondere Herzfrequenz) können Gesundheitsdaten im Sinne von Art. 9 DSGVO darstellen. Die Verarbeitung erfolgt auf Grundlage einer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die der Nutzer durch die Aktivierung der Sensorkopplung erteilt.
Speicherdauer: Als Teil der Routendaten bis zur Löschung durch den Nutzer oder Kontolöschung.
3.11 Gesundheits- und Fitness-Integration (Apple Health / Health Connect (Android))
Daten: Aktivitätszusammenfassungen, Herzfrequenzdaten, Kalorienverbrauch, Trainingsdaten.
Zweck: Austausch von Aktivitätsdaten zwischen Bikeley und Apple Health bzw. Health Connect (Android).
Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung).
Wichtige Hinweise:
- Die Integration ist vollständig optional und erfordert eine gesonderte Einwilligung.
- Der Nutzer wählt selbst, welche Daten geteilt werden.
- Gesundheitsdaten werden niemals an Dritte weitergegeben, für Werbezwecke verwendet oder für die Erstellung von Nutzerprofilen herangezogen.
- Gesundheitsdaten werden niemals an Werbepartner übermittelt.
- Die Einwilligung kann jederzeit in den Geräteeinstellungen oder in der App widerrufen werden.
- Bei Widerruf oder Kontolöschung werden alle Gesundheitsdaten bei Bikeley vollständig gelöscht.
3.12 Live-Location (Standort teilen)
Daten: Echtzeit-Standortkoordinaten, Zeitstempel.
Zweck: Teilen des Live-Standorts mit ausgewählten Nutzern.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Aktivierung).
Hinweis: Live-Location-Daten werden nur an die vom Nutzer ausgewählten Empfänger übermittelt und nach Beendigung des Teilens nicht dauerhaft gespeichert. Es werden keine Standorthistorien aus der Live-Location-Funktion erstellt.
3.13 GPX-Import/Export
Daten: Routendaten aus GPX-Dateien.
Hinweis: Beim Export hat Bikeley keinen Einfluss auf die weitere Verwendung.
3.14 Bewertungen
Daten: Text, Sternebewertung, Nutzername, IP-Hash, Anbieter-Antworten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
3.15 Bike-Management
Daten: Marke, Modell, Baujahr, Rahmennummer, Kaufdatum, Service-Termin, Foto, Notizen, Kaufhändler.
Hinweis: Nicht öffentlich. Rahmennummern werden nicht für andere Zwecke verwendet.
3.16 Kalender-Integration
Daten: Service-Termine, die vom Nutzer in den Gerätekalender übernommen werden.
Zweck: Erinnerung an Service-Termine.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Kalender-Freigabe).
Hinweis: Bikeley liest keine bestehenden Kalendereinträge aus. Es werden ausschließlich Einträge geschrieben, die der Nutzer aktiv erstellt.
3.17 Favoriten, Collections, gespeicherte Suchen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
3.18 Bikeley+ Abonnement
Daten: Abo-Status, Zahlungsanbieter, Kunden-ID, Abrechnungszeiträume.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
3.19 Login-Sicherheit
Daten: E-Mail, IP-Hash, Zeitstempel, Erfolgsstatus.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: 30 Tage.
3.20 Sessions
Daten: Session-Token-Hash, CSRF-Token-Hash, IP-Hash, User-Agent.
Speicherdauer: 30 Tage.
3.21 Internes Tracking
Daten: Event-Typ, Pfad, Referrer, User-Agent, IP-Hash, Meta-Informationen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; bei Einwilligung: Art. 6 Abs. 1 lit. a DSGVO.
Speicherdauer: 12 Monate.
3.22 Geräte-ID und Advertising-ID
Daten: Geräte-Identifikationsnummern, Advertising-ID (IDFA bei Apple / GAID bei Google).
Zweck: Zuordnung von Geräten für Push-Benachrichtigungen; bei Einwilligung: Ausspielung personalisierter Werbung.
Rechtsgrundlage: Für Push: Art. 6 Abs. 1 lit. b DSGVO. Für personalisierte Werbung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, bei Apple über App Tracking Transparency).
Hinweis: Die Advertising-ID wird derzeit nicht ausgelesen; ein etwaiges künftiges Auslesen erfolgte nur nach Einwilligung und kann jederzeit in den Geräteeinstellungen zurückgesetzt oder deaktiviert werden. Gesundheitsdaten, Standortverläufe, Kontakte und Rahmennummern werden niemals für Werbezwecke verwendet.
3.23 Datenblatt-Scanner (KI-gestützte Datenextraktion, nur Anbieter)
Daten: Hochgeladene Bilder oder PDFs von Hersteller-Datenblättern (Marke, Modell, Komponenten, Preis, etc.); Provider-ID, User-ID, Zeitpunkt, Dateityp, Erkennungsqualität, Liste der erkannten Felder.
Zweck: Automatische Befüllung des Bike-Inserats-Formulars zur Beschleunigung der Anlage von Verkaufsangeboten.
Empfänger: Anthropic PBC, USA (siehe Abschnitt 4.10).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber Anbieter).
Speicherdauer: Datei-Inhalt wird nicht bei Bikeley gespeichert (nur unmittelbare Übertragung an Anthropic). Metadaten 6 Monate.
4. Externe Dienstleister
4.1 Hosting – All-Inkl (Deutschland)
ALL-INKL.COM, Hauptstraße 68, 02742 Friedersdorf. Server in Deutschland. AVV geschlossen.
4.2 Stripe (Zahlungsabwicklung)
Stripe Payments Europe, Ltd., Dublin. Bikeley speichert nur Kunden-/Abo-IDs.
Datenschutz: https://stripe.com/de/privacy
4.3 Apple App Store / Google Play Store
Für Bikeley+ und In-App-Käufe. Bikeley erhält nur Transaktionsbestätigungen.
4.4 SMS-Dienstleister
Derzeit nicht aktiv – Verifizierungscodes werden per E-Mail versendet. Sofern künftig ein SMS-Gateway eingesetzt wird, wird die Handynummer zum Zweck des SMS-Versands an diesen Dienstleister übermittelt und zuvor ein Auftragsverarbeitungsvertrag geschlossen.
4.5 Google Maps / Places API
Google Ireland Limited. Erst nach Einwilligung (Cookie-Kategorie „Externe Ressourcen").
Datenschutz: https://policies.google.com/privacy
4.6 Mapbox (Karten & Routing in der App)
Mapbox, Inc., USA. Beim Laden von Kartenansichten, bei der Adresssuche (Geocoding) und der Routenberechnung in der App werden IP-Adresse, Kachel-/Kartenabrufe sowie die hierfür erforderlichen Koordinaten an Mapbox übermittelt. Die Übermittlung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Karten- und Routenfunktionen).
Datenschutz: https://www.mapbox.com/legal/privacy
4.7 Newsletter-Dienst
Double-Opt-In. Abmeldung jederzeit. Der Versand erfolgt über Postmark (siehe Abschnitt 4.13).
4.8 Google Analytics (optional)
Derzeit nicht eingesetzt. Die Reichweitenmessung erfolgt über ein eigenes, datensparsames System ohne externe Dienstleister; IP-Adressen werden dabei ausschließlich als Hash verarbeitet. Ein künftiger Einsatz erfolgte nur nach Einwilligung; diese Erklärung wird dann entsprechend aktualisiert.
4.9 Werbenetzwerke
Derzeit sind keine Werbenetzwerke eingebunden; die Advertising-ID (IDFA/GAID) wird nicht ausgelesen. Sollten künftig Werbenetzwerke für In-App-Werbung eingebunden werden, erhalten diese ggf. die Advertising-ID des Geräts – ausschließlich nach Einwilligung (bei Apple über App Tracking Transparency). Gesundheitsdaten, Standortverläufe, Kontakte und Rahmennummern werden niemals an Werbenetzwerke übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
4.10 Anthropic (KI-gestützte Datenextraktion)
Anthropic PBC, 548 Market St PMB 90375, San Francisco, CA 94104, USA.
Verarbeitungszweck: Im Bereich „Bike anlegen" können gewerbliche Anbieter Hersteller-Datenblätter (Bilder, PDFs) hochladen, um Produktdaten (Marke, Modell, Komponenten, Preis) automatisch in das Inserats-Formular zu übernehmen. Die Datei wird zu diesem Zweck an Anthropic übermittelt und dort von einem KI-Modell (Claude) analysiert.
Verarbeitete Daten: Inhalt der hochgeladenen Datei (i.d.R. ausschließlich produktbezogene Daten ohne Personenbezug); Provider-ID, User-ID und Zeitstempel des Aufrufs (intern, nicht an Anthropic).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung der Anbieter-Funktionen).
Drittlandtransfer: Die Verarbeitung erfolgt in den USA. Anthropic verarbeitet die Daten auf Grundlage eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO) mit den EU-Standardvertragsklauseln (SCC).
Speicherdauer bei Anthropic: Eingaben werden bei Anthropic standardmäßig bis zu 30 Tage zur Missbrauchserkennung gespeichert und anschließend gelöscht. Anthropic verwendet die übermittelten Daten nicht zum Training von KI-Modellen.
Speicherdauer bei Bikeley: Metadaten (kein Datei-Inhalt) werden 6 Monate zur Kostenkontrolle gespeichert und danach automatisch gelöscht.
Hinweis an Anbieter: Es dürfen ausschließlich Hersteller-Datenblätter hochgeladen werden. Dokumente mit personenbezogenen Daten (Kundendaten, Auftragsbestätigungen, interne Korrespondenz, Personenfotos im Hintergrund) dürfen nicht über diese Funktion verarbeitet werden.
Datenschutz Anthropic: https://www.anthropic.com/legal/privacy
4.11 Push-Benachrichtigungen: Expo, Apple, Google
Für die Zustellung von Push-Benachrichtigungen der App werden Expo (Expo, Inc., USA) als Vermittlungsdienst sowie die Push-Dienste der Plattformbetreiber – Apple Push Notification service (APNs) und Firebase Cloud Messaging (FCM, Google) – eingesetzt. Übermittelt werden hierfür Push-Token des Geräts sowie die Inhalte der jeweiligen Benachrichtigung. Übermittlungen in die USA erfolgen auf Grundlage der EU-Standardvertragsklauseln bzw. des EU-US Data Privacy Framework.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Benachrichtigungen können jederzeit in den Geräteeinstellungen deaktiviert werden.
4.12 Open-Meteo (Höhen- und Wetterdaten)
Zur Anreicherung geplanter Routen mit Höhenprofilen und ggf. Wetterdaten werden Routen-Koordinaten serverseitig an den Open-Data-Dienst Open-Meteo übermittelt. Es werden ausschließlich Koordinaten übermittelt – keine Namen, Konto- oder Kontaktdaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Routen-Funktionen).
4.13 Postmark (E-Mail-Versand)
Für den Versand von Transaktions-E-Mails (z. B. Registrierungs- und Verifizierungsmails, Benachrichtigungen, Eingangsbestätigungen) sowie des Newsletters setzen wir Postmark ein, einen Dienst der ActiveCampaign, LLC, 1 North Dearborn Street, Chicago, IL 60602, USA. Hierfür werden die E-Mail-Adresse des Empfängers sowie die Inhalte der jeweiligen E-Mail an Postmark übermittelt. Die Übermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework bzw. der EU-Standardvertragsklauseln; ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) ist geschlossen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Transaktionsmails) bzw. Art. 6 Abs. 1 lit. a DSGVO (Newsletter, Double-Opt-in).
Datenschutz: https://postmarkapp.com/privacy-policy
5. Datenverarbeitung in der App
5.1 Gerätezugriffe (jeweils nach Freigabe)
- Kamera: Fotos, EAN-Scanning.
- Fotomediathek: Bildupload.
- Mikrofon: Aufnahme von Sprachnachrichten.
- Standort (GPS): Anbietersuche, Routen-Tracking, Live-Location.
- Standort im Hintergrund: Ausschließlich während aktiver Routenaufzeichnung. Kein dauerhafter Zugriff.
- Bluetooth: Verbindung mit externen Sensoren (Herzfrequenz, Trittfrequenz, Leistung).
- Kontakte (Adressbuch): Freunde finden. Nur Telefonnummern-Hashes übermittelt.
- Kalender: Schreiben von Service-Terminen. Keine Auslesung bestehender Einträge.
- Apple Health / Health Connect (Android): Austausch von Aktivitäts- und Gesundheitsdaten.
- Push-Benachrichtigungen: Nachrichten, Anfragen, Community, Tracking-Status.
- AsyncStorage: Auth-Token, Präferenzen, Routen-Cache.
Alle Berechtigungen jederzeit in Geräteeinstellungen widerrufbar.
5.2 Hintergrund-Standort
Ausschließlich während aktiver Routenaufzeichnung. Kein dauerhafter Hintergrundzugriff. Widerruf beendet laufende Aufzeichnung.
6. Benachrichtigungen
Bikeley kann Nutzer über folgende Kanäle benachrichtigen:
- Push-Benachrichtigungen: Neue Nachrichten, Anfragen, Community-Aktivitäten, Routen-Status. Können in Geräteeinstellungen deaktiviert werden.
- E-Mail-Benachrichtigungen: Kontoinformationen, Sicherheitswarnungen, neue Nachrichten, Marketing (nur mit Einwilligung). Abmeldung über Link in jeder E-Mail.
- SMS-Benachrichtigungen: Verifizierungscodes, sicherheitsrelevante Meldungen, ggf. Erinnerungen (nur nach Einwilligung). Abmeldung über Kontoeinstellungen.
7. Empfänger und Weitergabe
- Anfragen: Name, E-Mail, ggf. Telefon an Anbieter.
- Bewertungen: Nutzername öffentlich.
- Community: Beiträge/Stories öffentlich oder für Gruppenmitglieder.
- Öffentliche Routen: Verlauf, Statistiken, Nutzername sichtbar (keine Sensordaten wie Herzfrequenz).
- Öffentliche Profile: Anzeigename, Avatar, Bio, Aktivitätsübersicht.
- Leasing-Interesse: An Anbieter.
- Live-Location: Nur an ausgewählte Empfänger.
- Push-Dienste (Expo/APNs/FCM): Push-Token und Benachrichtigungsinhalte.
- Werbenetzwerke: derzeit keine; künftig ggf. nur Advertising-ID nach Einwilligung.
Nicht weitergegeben werden: Gesundheitsdaten, Standortverläufe, Kontakte aus dem Adressbuch, Rahmennummern, Passwörter, vollständige Zahlungsdaten.
8. Übermittlung in Drittländer
Nur wie in Abschnitt 4 beschrieben, abgesichert durch EU-US Data Privacy Framework oder EU-Standardvertragsklauseln.
9. Ihre Rechte
Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) — einschließlich GPX-Export Ihrer Routendaten —, Widerspruch (Art. 21), Widerruf der Einwilligung (Art. 7 Abs. 3).
Beschwerderecht: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach. Telefon: +49 (0)981 180093-0. www.lda.bayern.de
Kontakt: info@bikeley.com
9.1 Cookie-Einwilligung widerrufen / zurücksetzen
Sie können Ihre Cookie-Einwilligung jederzeit widerrufen. Beim Klick auf den folgenden Button wird Ihre gespeicherte Cookie-Auswahl gelöscht — beim nächsten Seitenaufruf erscheint das Cookie-Banner erneut, und Sie können neu wählen.
10. Sicherheit
HTTPS/TLS; bcrypt-Passwort-Hashing; IP-Adressen nur als SHA-256-Hashes; CSRF-Schutz; Rate Limiting; Kontakte nur als Hashes; regelmäßige Backups und Updates.
11. Kinder und Jugendliche
Bikeley richtet sich nicht an Kinder unter 16 Jahren. Personen unter 16 Jahren dürfen die Plattform nicht nutzen. Sollten wir Kenntnis davon erlangen, dass personenbezogene Daten von Personen unter 16 Jahren verarbeitet werden, werden diese umgehend gelöscht.
12. Änderungen
Aktuelle Fassung unter https://bikeley.com/de/privacy/