© MapTiler · © OpenStreetMap · © OpenSeaMap contributors
Beta

Datenschutzerklärung

Diese Erklärung informiert dich gemäß Art. 13 DSGVO darüber, welche personenbezogenen Daten beim Besuch und bei der Nutzung von Blueshelf (blueshelf.app) verarbeitet werden, zu welchen Zwecken, auf welcher Rechtsgrundlage und welche Rechte dir dabei zustehen.

1. Verantwortlicher

Jan Singer
An den Stadtmauern 7
96047 Bamberg
Deutschland
E-Mail: kontakt@blueshelf.app

2. Status der Anwendung

Blueshelf befindet sich aktuell in einer geschlossenen Beta-Phase. Der Zugang erfolgt ausschließlich über persönliche Einladungen. Eine Selbstregistrierung ist nicht möglich.

3. Verarbeitung beim Besuch der Website

Beim Aufruf der Website werden vom Hosting-Provider (siehe Auftragsverarbeiter) automatisch technische Verbindungsdaten (IP-Adresse, Datum und Uhrzeit, abgerufene Ressource, User-Agent, Referrer) in Server-Logs erfasst. Diese Daten sind technisch erforderlich, um die Auslieferung der Inhalte zu ermöglichen und Angriffe abzuwehren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren, stabilen Betrieb der Website).
Speicherdauer: bis zu 30 Tage in den Logs des Hosting-Providers, dann automatische Löschung.

4. Account und Authentifizierung

Für die Nutzung von Blueshelf wird ein Benutzerkonto angelegt. Dabei werden folgende Daten verarbeitet:

  • E-Mail-Adresse (zwingend erforderlich für den Magic-Link-Versand)
  • optional: Vor- und Nachname, Anschrift, Geburtsdatum, Telefonnummer
  • optional: Lizenz, Position, Unterschrift (für die Meilenbestätigung)
  • optional: Profilbild (Avatar)

Die Authentifizierung erfolgt per Magic Link (Passwortloser Zugang), über ein optionales Passwort oder per Passkey (WebAuthn/FIDO2). Bei Passkeys wird nur der öffentliche Schlüssel und eine geräteseitige Credential-ID auf unseren Servern gespeichert; biometrische Daten (Touch ID, Face ID o. Ä.) verlassen dein Gerät nicht und werden von uns nicht verarbeitet. Wir setzen dazu Supabase Auth ein (siehe Auftragsverarbeiter).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die zwingenden Felder, Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für die optionalen Felder.
Speicherdauer: bis zur Löschung des Accounts. Du kannst die Löschung jederzeit über die unter „Verantwortlicher" angegebene E-Mail-Adresse veranlassen.

5. Inhalte (Törns, Crew, Medien, Tracks)

Beim Anlegen oder Mitwirken an einem Törn werden personenbezogene Daten in dem Umfang verarbeitet, in dem du sie aktiv eingibst oder hochlädst:

  • Crew-Daten (Name, Adresse, Geburtsdatum, Lizenz) — pflegt jede Person selbst
  • hochgeladene Fotos und Videos: Originaldatei und drei verkleinerte Varianten (Thumb, Medium, Large). Die Originale werden unverändert gespeichert und enthalten ggf. die kompletten EXIF-Metadaten der Kamera (Aufnahmezeit, GPS-Position, Kamera-Modell und -Seriennummer, Software-Tag, technische Bildparameter). Die GPS-Position wird zusätzlich aus EXIF extrahiert und mit dem Bild als Geo-Datenpunkt verknüpft, damit Fotos auf der Karte angezeigt werden können. Wenn du keine GPS-Daten in deinen Originaldateien speichern möchtest, entferne sie vor dem Upload (z. B. über die Einstellungen deines Smartphones oder ein Tool wie ExifTool).
  • GPX/KML/KMZ-Tracks — Bewegungsprofile des Bootes (Punktfolge mit Zeitstempel)
  • Wegpunkte mit optionaler Beschreibung
  • Optional gespeicherte Unterschrift für die Meilenbestätigung (DSV-Funkzeugnis-Bestätigung)

Diese Daten sind ausschließlich für die zum jeweiligen Törn berechtigten Crew-Mitglieder sichtbar. Gäste sehen nur reduzierte Crew-Daten (kein Zugriff auf Adressen, Geburtsdaten, Lizenzen oder Unterschriften).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: bis zur aktiven Löschung durch dich oder bis zur Auflösung des Accounts.

6. Auftragsverarbeiter

Zur Bereitstellung der Anwendung setzen wir folgende Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein:

Hosting — Vercel, Inc. (USA)

Die Anwendung wird über Vercel (Vercel, Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA) ausgeliefert. Die Serverless-Funktionen werden in der Region Frankfurt (fra1) betrieben. Vercel verarbeitet dabei Verbindungsdaten (Server-Logs). Übermittlung in die USA: abgesichert über Standardvertragsklauseln (SCC) sowie das EU-U.S. Data Privacy Framework, an dem Vercel teilnimmt.

Datenbank und Authentifizierung — Supabase, Inc.

Account-Daten, Crew-Informationen und Metadaten werden über Supabase (Supabase, Inc., 970 Toa Payoh North #07-04, Singapore 318992, betrieben für EU-Region in Frankfurt am Main) gespeichert und Authentifizierung über Supabase Auth abgewickelt. Mit Supabase besteht ein Auftragsverarbeitungsvertrag (Standard DPA).

Versand der Anmelde-Mails (Magic Links, Einladungen, Passwort-Wiederherstellung) erfolgt über den Standard-SMTP-Dienst von Supabase. Übertragen werden dabei deine E-Mail-Adresse, der Anmeldelink-Token und in Einladungen der Klarname der einladenden Person sowie der Name des Törns bzw. Logbuchs.

Medien-Speicher — Cloudflare, Inc. (USA)

Hochgeladene Fotos, Videos und Avatare werden in Cloudflare R2 Object Storage (Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA) gespeichert. Cloudflare R2 speichert Daten ohne egress-Kosten und stellt sicher, dass gespeicherte Objekte ausschließlich in den gewählten Regionen verbleiben. Die Datenübertragung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023). Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag.

Karten-Tiles — MapTiler AG (Schweiz)

Für die Darstellung der Karten in der Übersicht und im Chart Room werden Karten-Tiles vom Anbieter MapTiler (MapTiler AG, Höschgasse 28, 8008 Zürich, Schweiz) abgerufen. MapTiler verarbeitet dabei deine IP-Adresse und die angefragten Kachel-Koordinaten (z/x/y, also Zoom-Stufe und Position des angezeigten Kartenausschnitts) zum Zweck der Tile-Auslieferung. Die Schweiz wird von der EU-Kommission als Land mit angemessenem Datenschutzniveau anerkannt (Angemessenheitsbeschluss).

Seezeichen-Overlay — OpenSeaMap (Deutschland)

Auf Karten mit eingeschaltetem Seezeichen-Layer werden zusätzlich Tiles vom OpenSeaMap-Projekt (www.openseamap.org, Server-Standort Deutschland) abgerufen. OpenSeaMap verarbeitet dabei deine IP-Adresse zum Zweck der Tile-Auslieferung.

Geocoding — Komoot GmbH / Photon (Deutschland)

Wenn du in der App eine Ortssuche oder Reverse-Geocoding (z. B. Anzeige eines Ortsnamens zu einer GPS-Position) auslöst, wird die Anfrage serverseitig an die Photon-API von Komoot weitergeleitet (Komoot GmbH, Trubenhausen-Str. 80, 14057 Berlin). Übertragen werden ausschließlich der Suchstring oder die Koordinaten — keine Account- oder IP-Daten von dir, sondern nur die IP-Adresse unseres Servers.

Beta-Feedback — GitHub, Inc. (USA)

Wenn du in der App Feedback abgibst, wird dieses in Form eines Issues an unser GitHub-Repository (GitHub, Inc., 88 Colin P Kelly Jr St, San Francisco, CA 94107, USA) übermittelt. Übertragen werden der von dir eingegebene Text, ein Hinweis auf den Absender in pseudonymisierter Form (verkürzte E-Mail-Adresse, z. B. „j…@…singer-tc.de", plus ein nicht zurückführbarer Kurz-Hash der User-ID), die Pfad-URL der Seite, von der das Feedback abgesendet wurde, und der User-Agent deines Browsers. Falls du einen Screenshot anhängst, wird dieser ebenfalls übertragen und im GitHub-Issue verlinkt. Übermittlung in die USA: abgesichert über Standardvertragsklauseln und das EU-U.S. Data Privacy Framework.

7. Cookies und lokale Speicherung

Blueshelf verwendet keine Cookies oder LocalStorage-Einträge zu Tracking- oder Werbezwecken. Folgende technisch notwendige lokale Speicherzugriffe finden statt:

  • Session-Cookies von Supabase Auth (für die Anmeldung)
  • LocalStorage für UI-Einstellungen (Karten/Kacheln-Toggle, Drawer-Zustand)
  • LocalStorage für die Theme-Wahl (hell/dunkel)

Diese Speicherung ist gemäß § 25 Abs. 2 Nr. 2 TTDSG einwilligungsfrei zulässig, da sie für den von dir ausdrücklich gewünschten Dienst zwingend erforderlich ist.

8. Drittland-Übermittlung

Soweit personenbezogene Daten in Drittländer übermittelt werden, geschieht dies auf Grundlage geeigneter Garantien:

  • USA (Vercel, Supabase, GitHub): Standardvertragsklauseln und EU-U.S. Data Privacy Framework
  • Schweiz (MapTiler): Angemessenheitsbeschluss der EU-Kommission

9. Deine Rechte als betroffene Person

Dir stehen nach der DSGVO folgende Rechte zu:

  • Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO)
  • Löschung deiner Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Wende dich für die Ausübung deiner Rechte an die unter „Verantwortlicher" angegebene E-Mail-Adresse.

10. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich über die Verarbeitung deiner personenbezogenen Daten bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach

11. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, etwa wenn neue Funktionen hinzukommen oder sich rechtliche Vorgaben ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.

Stand: 10.05.2026