Zurück

Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Philipp Steinmetz
Hoheluftchaussee 132
20253 Hamburg
Deutschland

E-Mail: hello@keep-app.de
Website: https://keep.app

2. Arten der verarbeiteten Daten

Im Rahmen der Nutzung unserer Website und der Keep-App verarbeiten wir folgende Kategorien von personenbezogenen Daten:

• Bestandsdaten: Name, E-Mail-Adresse, Nutzername
• Kontaktdaten: E-Mail-Adresse
• Zahlungsdaten: Zahlungsinformationen (werden ausschließlich von Stripe verarbeitet)
• Nutzungsdaten: IP-Adresse, Geräteinformationen, Browser-Typ und -Version, Betriebssystem, Zugriffszeiten, aufgerufene Seiten
• App-Nutzungsdaten: Genutzte App-Funktionen (Login, Abonnementstatus, App-Einstellungen) - ohne Inhalte Ihrer Freundschaftsdaten
• Geräteinformationen: Geräte-ID, App-Version, Plattform (iOS/Android)
• Kommunikationsdaten: Inhalte Ihrer Anfragen an uns
• Freundschaftsdaten (optional bei Cloud-Sync): Namen Ihrer Freunde, Geburtstage, Notizen, Erinnerungen (siehe Abschnitt 9a zu Supabase)

Wichtig: Die Keep-App dient der lokalen Verwaltung Ihrer Freundschaften und Kontakte. Ihre persönlichen Freundschaftsdaten (Namen, Geburtstage, Notizen, Erinnerungen) werden primär lokal auf Ihrem Gerät gespeichert. Nur wenn Sie die optionale Cloud-Synchronisation aktivieren, werden diese Daten verschlüsselt über Supabase synchronisiert (siehe Abschnitt 9a).

3. Zwecke der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken:

• Bereitstellung der App und Website: Ermöglichung der Nutzung der Keep-App und Website
• Vertragserfüllung: Abwicklung von Abonnements und In-App-Käufen
• Zahlungsabwicklung: Verarbeitung von Zahlungen über Stripe
• Abonnementverwaltung: Verwaltung von Abonnements über RevenueCat
• Kommunikation: Beantwortung von Anfragen und Kundenservice
• Analyse und Verbesserung: Analyse des Nutzerverhaltens zur Verbesserung unserer Dienste
• Sicherheit: Gewährleistung der IT-Sicherheit und des Betriebs der Systeme
• Rechtliche Verpflichtungen: Einhaltung gesetzlicher und regulatorischer Anforderungen
• Marketing: Information über neue Funktionen und Updates (nur mit Ihrer Einwilligung)

4. Rechtsgrundlage der Verarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Grundlage folgender Rechtsgrundlagen der DSGVO:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Sie haben uns Ihre ausdrückliche Einwilligung zur Verarbeitung gegeben, z.B. für:
  • Nutzung von Google Analytics (Cookie-Consent)
  • Optionale Cloud-Synchronisation Ihrer Daten
  • Marketing-Kommunikation
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich, z.B. für:
  • Bereitstellung der App-Funktionalität
  • Abwicklung von Abonnements und Zahlungen
  • Kundenservice und Support
• Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, z.B.:
  • Aufbewahrung von Rechnungsdaten (steuerrechtliche Pflichten)
  • Erfüllung von Auskunftspflichten gegenüber Behörden
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Die Verarbeitung ist zur Wahrung unserer berechtigten Interessen erforderlich, z.B. für:
  • Gewährleistung der IT-Sicherheit
  • Verhinderung von Missbrauch
  • Verbesserung unserer Dienste (soweit keine Einwilligung erforderlich ist)

5. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie dies für die Erfüllung der Zwecke, für die sie erhoben wurden, erforderlich ist oder wie es gesetzliche Aufbewahrungsfristen vorsehen.

• Nutzerkonto-Daten: Solange Ihr Konto aktiv ist oder wie zur Erbringung unserer Dienste erforderlich. Nach Löschung Ihres Kontos werden Daten unverzüglich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
• Cloud-Sync-Daten (Supabase): Solange Cloud-Synchronisation aktiv ist. Nach Deaktivierung oder Account-Löschung: sofortige Löschung (innerhalb von 48 Stunden)
• Server-Logs (IP-Adressen): Maximal 7 Tage
• Google Analytics Daten: 14 Monate (automatische Löschung durch Google Analytics 4)
• Zahlungsdaten (Stripe): 10 Jahre gemäß steuerrechtlicher Aufbewahrungsfristen (§ 147 AO, § 257 HGB)
• Abonnementdaten (RevenueCat): Für die Dauer des Abonnements plus 3 Jahre für Supportanfragen
• Kommunikationsdaten (E-Mails, Support): 3 Jahre nach Abschluss der Korrespondenz
• Marketing-Einwilligungen: Bis zum Widerruf der Einwilligung

Nach Ablauf der Speicherfrist werden die entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

6. Rechte der betroffenen Personen

Sie haben nach der DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten. Um diese Rechte geltend zu machen, wenden Sie sich bitte an die in Ziffer 1 genannte Kontaktadresse.

Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten. Sie haben außerdem das Recht auf Informationen über die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfänger der Daten und die geplante Speicherdauer.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern die gesetzlichen Voraussetzungen vorliegen (z.B. Wegfall des Verarbeitungszwecks, Widerruf der Einwilligung, unrechtmäßige Verarbeitung).

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Voraussetzungen erfüllt sind (z.B. Bestreiten der Richtigkeit der Daten, Widerspruch gegen die Verarbeitung).

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.

Im Falle von Direktwerbung können Sie jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einlegen.

Widerrufsrecht bei Einwilligungen (Art. 7 Abs. 3 DSGVO)

Sie haben das Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Sie können Ihre Einwilligung z.B. widerrufen durch:

• E-Mail an die in Ziffer 1 genannte Kontaktadresse
• Änderung Ihrer Cookie-Einstellungen über den Cookie-Banner
• Deaktivierung in den App-Einstellungen

Recht bezüglich automatisierter Entscheidungen (Art. 22 DSGVO)

Wir verwenden keine automatisierten Entscheidungen (einschließlich Profiling) gemäß Art. 22 Abs. 1 und 4 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.

Das bedeutet: Es gibt keine automatischen Entscheidungen über Sie, die ausschließlich auf einer automatisierten Verarbeitung Ihrer Daten basieren. Alle Entscheidungen, die Sie betreffen (z.B. Kündigung eines Abonnements, Sperrung eines Kontos), werden manuell von uns geprüft und getroffen.

7. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren (Art. 77 DSGVO).

Die für uns zuständige Aufsichtsbehörde ist:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Str. 22
20459 Hamburg
Telefon: +49 (0)40 428 54-4040
E-Mail: mailbox@datenschutz.hamburg.de
Website: https://datenschutz-hamburg.de

Alternativ können Sie sich auch an den Bundesbeauftragten wenden:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153
53117 Bonn
Website: https://www.bfdi.bund.de

Sie können sich auch an die Datenschutzbehörde Ihres Aufenthaltsortes oder Arbeitsplatzes wenden. Eine Liste aller deutschen Datenschutzbehörden finden Sie unter: https://www.bfdi.bund.de

8. Bereitstellung der Website und App

Bei jedem Aufruf unserer Website und bei der Nutzung der Keep-App erfasst unser System automatisiert Daten und Informationen vom Computersystem bzw. Mobilgerät des Nutzers.

Website - Folgende Daten werden automatisch erhoben:

• IP-Adresse des Nutzers (anonymisiert nach 7 Tagen)
• Datum und Uhrzeit des Zugriffs
• Aufgerufene Seiten und übertragene Datenmenge
• Webseiten, von denen das System des Nutzers auf unsere Website gelangt (Referrer-URL)
• Browsertyp und -version
• Verwendetes Betriebssystem
• Hostname des zugreifenden Rechners

Mobile App - Folgende Daten werden verarbeitet:

• Geräte-ID (anonymisiert)
• App-Version und Build-Nummer
• Betriebssystem und Version (iOS/Android)
• Gerätemodell und -hersteller
• Spracheinstellungen
• Zeitzone
• App-Absturzberichte (Crash Logs) zur Fehlerbehebung

Die Daten werden in den Logfiles unseres Systems gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten erfolgt nur, wenn Sie ein Nutzerkonto anlegen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Gewährleistung der Systemsicherheit, Stabilität und Funktionsfähigkeit sowie Fehlerbehebung)
Speicherdauer: Server-Logs werden nach maximal 7 Tagen automatisch gelöscht.

9. Hosting (Hostinger)

Unsere Website wird bei folgendem Hosting-Anbieter gehostet:

Hostinger International Ltd.
61 Lordou Vironos Street, 6023 Larnaca, Zypern
Website: https://www.hostinger.de
Datenschutz: https://www.hostinger.de/datenschutzrichtlinie

Hostinger ist unser Auftragsverarbeiter gemäß Art. 28 DSGVO. Der Hosting-Anbieter verarbeitet in unserem Auftrag Daten, die beim Besuch unserer Website anfallen, darunter:

• IP-Adressen der Besucher
• Browserinformationen
• Zugriffszeiten und aufgerufene Seiten
• Übertragene Datenmengen

Mit Hostinger wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen. Hostinger verarbeitet Daten ausschließlich nach unserer Weisung und unterliegt strengen Sicherheits- und Datenschutzstandards.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, zuverlässigen und professionellen Hosting unserer Website)
Speicherort: EU-Server (Rechenzentren in Europa)
Speicherdauer: Server-Logs maximal 7 Tage

9a. Cloud-Synchronisation (Supabase) - Optional

Wenn Sie die optionale Cloud-Synchronisation in der Keep-App aktivieren, werden Ihre Freundschaftsdaten über die Supabase-Plattform synchronisiert:

Supabase, Inc.
970 Toa Payoh North #07-04, Singapore 318992
Website: https://supabase.com
Datenschutz: https://supabase.com/privacy
DPA: https://supabase.com/legal/dpa

Umfang der Datenverarbeitung

Wenn Sie die Cloud-Synchronisation aktivieren, werden folgende Daten über Supabase gespeichert und synchronisiert:

• Ihre E-Mail-Adresse (für die Authentifizierung)
• Namen Ihrer Freunde
• Geburtstage und wichtige Termine
• Notizen und Erinnerungen zu Ihren Freunden
• Kategorien und Tags
• App-Einstellungen und Präferenzen

Wichtig: Die Cloud-Synchronisation ist vollständig optional. Sie können die Keep-App vollständig lokal ohne Cloud-Sync nutzen. Ihre Freundschaftsdaten bleiben dann ausschließlich auf Ihrem Gerät gespeichert.

Zweck der Verarbeitung

• Synchronisation Ihrer Daten über mehrere Geräte hinweg
• Sicherung Ihrer Daten (Backup-Funktion)
• Wiederherstellung bei Geräteverlust oder -wechsel
• Ermöglichung des Zugriffs von verschiedenen Geräten

Verschlüsselung und Sicherheit

Ihre Daten werden mit folgenden Sicherheitsmaßnahmen geschützt:

• Transportverschlüsselung: TLS/SSL-Verschlüsselung bei der Übertragung
• Speicherverschlüsselung: AES-256-Verschlüsselung der gespeicherten Daten
• Authentifizierung: Sichere Benutzerauthentifizierung über Supabase Auth
• Zugriffskontrolle: Row Level Security (RLS) - nur Sie können auf Ihre Daten zugreifen
• Regelmäßige Backups: Automatische Datensicherung durch Supabase

Rechtsgrundlage

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Die Cloud-Synchronisation erfolgt nur nach Ihrer ausdrücklichen Einwilligung durch Aktivierung in den App-Einstellungen. Sie können die Synchronisation jederzeit deaktivieren und Ihre Daten löschen lassen.

Auftragsverarbeitung

Supabase ist unser Auftragsverarbeiter gemäß Art. 28 DSGVO. Wir haben mit Supabase einen Data Processing Addendum (DPA) geschlossen, der die Einhaltung der DSGVO-Anforderungen gewährleistet.

Speicherort und Datenübermittlung

Speicherort: Ihre Daten werden auf EU-Servern gespeichert (Region: eu-west-1, Frankfurt, Deutschland)
Datenübermittlung: Supabase ist in den USA ansässig. Die Datenübermittlung erfolgt auf Grundlage:

• EU-Standardvertragsklauseln (SCC): Supabase hat die von der EU-Kommission genehmigten Standardvertragsklauseln unterzeichnet (Art. 46 Abs. 2 lit. c DSGVO)
• Transfer Impact Assessment (TIA): Verfügbar über das Supabase-Dashboard
• Technische Schutzmaßnahmen: Ende-zu-Ende-Verschlüsselung, Zugriffsbeschränkungen, EU-Datenlokalisierung

Speicherdauer

• Bei aktiver Synchronisation: Solange Ihr Konto aktiv ist
• Nach Deaktivierung: Sie können Ihre Daten jederzeit vollständig löschen
• Nach Account-Löschung: Sofortige Löschung aller synchronisierten Daten (innerhalb von 48 Stunden)

Ihre Rechte

Sie können jederzeit:

• Die Cloud-Synchronisation in den App-Einstellungen deaktivieren
• Alle synchronisierten Daten aus der Cloud löschen
• Ihren Account vollständig löschen
• Eine Kopie Ihrer gespeicherten Daten anfordern (Datenexport)

Kontakt für Datenlöschung: hello@keep-app.de

9b. App-Distribution (Apple App Store & Google Play Store)

Die Keep-App wird über den Apple App Store (iOS) und Google Play Store (Android) vertrieben. Diese Plattformen verarbeiten beim Download, der Installation und Nutzung der App personenbezogene Daten als eigenständige Verantwortliche.

Apple App Store (iOS)

Apple Inc.
One Apple Park Way, Cupertino, CA 95014, USA
Datenschutz: https://www.apple.com/legal/privacy/

Apple verarbeitet als eigenständiger Verantwortlicher:

• Apple ID und Account-Daten
• Kaufhistorie und Zahlungsinformationen
• Geräteinformationen (Gerätemodell, Betriebssystemversion)
• App-Download- und Update-Protokolle
• In-App-Käufe über Apple's Payment System
• Bewertungen und Rezensionen, die Sie abgeben

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung zwischen Ihnen und Apple für die App-Distribution und Zahlungsabwicklung)
Datenübermittlung: Apple ist unter dem EU-US Data Privacy Framework zertifiziert

Google Play Store (Android)

Google Ireland Limited
Gordon House, Barrow Street, Dublin 4, Irland
Datenschutz: https://policies.google.com/privacy

Google verarbeitet als eigenständiger Verantwortlicher:

• Google-Konto und Account-Daten
• Kaufhistorie und Zahlungsinformationen
• Geräteinformationen (Android-ID, Gerätemodell, Version)
• App-Download- und Update-Protokolle
• In-App-Käufe über Google Play Billing
• Bewertungen und Rezensionen, die Sie abgeben
• App-Nutzungsstatistiken (aggregiert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung zwischen Ihnen und Google für die App-Distribution und Zahlungsabwicklung)
Datenübermittlung: Google ist unter dem EU-US Data Privacy Framework zertifiziert

Wichtige Hinweise

Unabhängige Datenverarbeitung: Apple und Google verarbeiten die oben genannten Daten als eigenständige Verantwortliche im Rahmen ihrer eigenen Datenschutzerklärungen. Wir haben auf diese Verarbeitung keinen Einfluss und sind dafür nicht verantwortlich.

In-App-Käufe: Wenn Sie In-App-Abonnements direkt über den App Store oder Play Store kaufen, werden Ihre Zahlungsinformationen ausschließlich von Apple bzw. Google verarbeitet. Wir erhalten lediglich eine Bestätigung über den Kauf-Status über RevenueCat (siehe Abschnitt 13).

Für Fragen zur Datenverarbeitung durch die App Stores wenden Sie sich bitte direkt an:

• Apple: Apple Datenschutz-Kontakt
• Google: Google Datenschutz-Anfragen

10. Cookies und Consent Management

Unsere Website verwendet Cookies. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden und die Ihr Browser speichert. Cookies richten auf Ihrem Endgerät keinen Schaden an und enthalten keine Viren.

Arten von Cookies

Wir verwenden folgende Arten von Cookies:

• Technisch notwendige Cookies (essenzielle Cookies): Diese Cookies sind zwingend erforderlich, damit die Website ordnungsgemäß funktioniert. Sie ermöglichen grundlegende Funktionen wie Seitennavigation und Zugriff auf sichere Bereiche.
  Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
  Speicherdauer: Session oder bis zu 1 Jahr
  Einwilligung erforderlich: Nein (technische Notwendigkeit)
• Analyse-Cookies (Google Analytics): Diese Cookies helfen uns, die Nutzung unserer Website zu analysieren und zu verstehen, wie Besucher mit der Website interagieren.
  Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
  Speicherdauer: Bis zu 14 Monate
  Einwilligung erforderlich: Ja (Cookie-Banner)

Cookie-Consent-Management mit Cookiebot

Wir verwenden Cookiebot, einen Cookie-Consent-Management-Dienst der Cybot A/S (Havnegade 39, 1058 Kopenhagen, Dänemark), um Ihre Cookie-Einwilligung rechtskonform zu verwalten.

Beim ersten Besuch unserer Website erscheint ein Cookie-Banner von Cookiebot, über den Sie Ihre Einwilligung zur Verwendung von nicht-essenziellen Cookies erteilen können. Cookiebot speichert Ihre Cookie-Präferenzen in einem Cookie namens "CookieConsent" (Laufzeit: 12 Monate).

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Einholung der Cookie-Einwilligung gemäß § 25 TTDSG und Art. 5 Abs. 3 ePrivacy-Richtlinie)
Datenschutz: Cookiebot Datenschutzerklärung

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie:

• Den Cookie-Banner erneut aufrufen und Ihre Einstellungen ändern
• Die Cookies in Ihren Browser-Einstellungen löschen
• Ihren Browser so einstellen, dass Cookies blockiert werden

Wichtig: Wenn Sie Cookies ablehnen, kann dies die Funktionalität der Website einschränken. Technisch notwendige Cookies werden auch ohne Ihre Einwilligung gesetzt.

Cookie-Liste

Auf unserer Website werden folgende Cookies gesetzt:

• cookie_consent (Technisch notwendig): Speichert Ihre Cookie-Einwilligung, Laufzeit: 1 Jahr
• _ga, _ga_*, _gid (Google Analytics): Siehe Abschnitt 11 zu Google Analytics

11. Google Analytics 4

Diese Website nutzt Google Analytics 4, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland ("Google"). Google ist zertifiziert unter dem EU-US Data Privacy Framework.

Umfang der Datenverarbeitung

Google Analytics verwendet Cookies und verarbeitet folgende Daten:

• IP-Adresse (anonymisiert durch automatische IP-Maskierung in Google Analytics 4)
• Aufgerufene Seiten und Verweildauer
• Browser-Typ, -Version und -Sprache
• Betriebssystem und Gerätetyp
• Bildschirmauflösung
• Referrer-URL (vorherige Webseite)
• Ungefährer Standort (Land, Region)
• Nutzungsverhalten und Interaktionen auf der Website

Die durch die Cookies erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google übertragen und dort gespeichert. Aufgrund der Aktivierung der IP-Anonymisierung in Google Analytics 4 wird Ihre IP-Adresse automatisch gekürzt.

Zweck der Verarbeitung

Wir verwenden Google Analytics, um die Nutzung unserer Website zu analysieren und regelmäßig zu verbessern. Über die gewonnenen Statistiken können wir unser Angebot verbessern und für Sie als Nutzer interessanter ausgestalten.

Rechtsgrundlage und Einwilligung

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner)
Die Nutzung von Google Analytics erfolgt nur nach Ihrer ausdrücklichen Einwilligung, die Sie über unseren Cookie-Banner erteilen. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Auftragsverarbeitung

Mit Google wurde ein Auftragsverarbeitungsvertrag (Data Processing Amendment) gemäß Art. 28 DSGVO geschlossen. Google verarbeitet die Daten in unserem Auftrag und hat sich verpflichtet, die Daten nur nach unseren Weisungen zu verarbeiten.

Datenübermittlung in die USA

Google verarbeitet Daten auch auf Servern in den USA. Die Übermittlung erfolgt auf Grundlage:

• EU-US Data Privacy Framework: Google ist zertifiziert unter dem EU-US Data Privacy Framework
• Standardvertragsklauseln (SCC): Google hat sich zur Einhaltung der EU-Standardvertragsklauseln verpflichtet

Weitere Informationen: Google Standard Contractual Clauses

Widerspruch und Löschung

Sie können der Datenerfassung durch Google Analytics widersprechen durch:

• Cookie-Banner: Widerrufen Sie Ihre Einwilligung im Cookie-Banner
• Browser-Add-on: Installieren Sie das Google Analytics Opt-out Browser Add-on: https://tools.google.com/dlpage/gaoptout
• Browser-Einstellungen: Blockieren Sie Cookies in Ihren Browser-Einstellungen

Speicherdauer

Google Analytics 4 löscht Daten automatisch nach 14 Monaten. Wir haben diese Einstellung in unserem Google Analytics Konto konfiguriert.

Weitere Informationen

Google Analytics Datenschutzerklärung: https://policies.google.com/privacy
Google Analytics Nutzungsbedingungen: https://marketingplatform.google.com/about/analytics/terms/de/

12. Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen (Abonnements, In-App-Käufe) nutzen wir den Zahlungsdienstleister Stripe:

Stripe Payments Europe, Ltd.
1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland
Website: https://stripe.com
Datenschutz: https://stripe.com/de/privacy

Umfang der Datenverarbeitung

Wenn Sie ein kostenpflichtiges Abonnement abschließen oder In-App-Käufe tätigen, werden Ihre Zahlungsdaten direkt an Stripe übermittelt. Wir selbst speichern keine vollständigen Kreditkartendaten. Stripe verarbeitet folgende Daten:

• Zahlungsinformationen (Kreditkartennummer, Ablaufdatum, CVV-Code)
• Name und E-Mail-Adresse
• Rechnungsadresse
• Transaktionsdaten (Betrag, Datum, Währung)
• IP-Adresse und Geräteinformationen (zur Betrugsprävention)
• Kaufhistorie

Wir erhalten von Stripe lediglich eine Transaktions-ID, den Zahlungsstatus sowie die letzten 4 Ziffern Ihrer Kreditkarte zur Zuordnung der Zahlung zu Ihrem Konto.

Zweck der Verarbeitung

Die Verarbeitung Ihrer Zahlungsdaten durch Stripe dient der:

• Abwicklung von Zahlungsvorgängen für Abonnements und In-App-Käufe
• Betrugsprävention und Sicherheit
• Erfüllung rechtlicher Verpflichtungen (z.B. Geldwäschegesetz)
• Rückerstattungen und Streitbeilegung

Rechtsgrundlage

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Die Verarbeitung Ihrer Zahlungsdaten ist zur Erfüllung des Abonnementvertrags erforderlich. Ohne diese Datenverarbeitung können wir kostenpflichtige Leistungen nicht erbringen.

Auftragsverarbeitung und Verantwortlichkeit

Stripe tritt in einer dualen Rolle auf:

• Als Auftragsverarbeiter (Art. 28 DSGVO): Für die Zahlungsabwicklung in unserem Auftrag. Wir haben mit Stripe einen Auftragsverarbeitungsvertrag (Data Processing Agreement) geschlossen.
• Als eigenständiger Verantwortlicher: Für bestimmte Zwecke wie Betrugsprävention, Erfüllung rechtlicher Verpflichtungen (z.B. Geldwäschegesetz) und Sicherheitsanalysen tritt Stripe als eigenständiger Verantwortlicher auf.

Weitere Details zur Rollenverteilung finden Sie in Stripes Datenschutzerklärung: https://stripe.com/de/privacy

Datenübermittlung in Drittländer

Stripe verarbeitet Daten teilweise auf Servern außerhalb der EU/EWR, insbesondere in den USA. Die Übermittlung erfolgt auf Grundlage:

• EU-US Data Privacy Framework: Stripe ist zertifiziert
• Standardvertragsklauseln (SCC): Stripe hat EU-Standardvertragsklauseln unterzeichnet
• Zusätzliche Schutzmaßnahmen: Verschlüsselung, Zugriffskontrol len, regelmäßige Audits

Weitere Informationen zu Stripes Datenschutzmaßnahmen: Stripe Privacy Center

Speicherdauer

Stripe speichert Zahlungsdaten gemäß gesetzlicher Aufbewahrungsfristen (10 Jahre nach § 147 AO, § 257 HGB). Nach Ablauf Ihres Abonnements werden Ihre Zahlungsdaten bei Stripe nach den gesetzlichen Fristen gelöscht.

Ihre Rechte

Sie können Ihre bei Stripe gespeicherten Daten einsehen, berichtigen oder löschen lassen. Kontaktieren Sie uns dazu unter der in Ziffer 1 genannten E-Mail-Adresse oder wenden Sie sich direkt an Stripe: privacy@stripe.com

13. Abonnementverwaltung (RevenueCat)

Zur Verwaltung von In-App-Abonnements und Käufen nutzen wir RevenueCat:

RevenueCat, Inc.
633 Tarava Street, Suite 101, San Francisco, CA 94116, USA
Website: https://www.revenuecat.com
Datenschutz: https://www.revenuecat.com/privacy

Umfang der Datenverarbeitung

RevenueCat ist ein Infrastrukturdienst zur Verwaltung von In-App-Käufen und Abonnements. RevenueCat verarbeitet folgende Daten:

• App-Nutzer-ID (anonymisierter Identifier, keine E-Mail-Adresse standardmäßig)
• Abonnementstatus (aktiv, abgelaufen, gekündigt)
• Kaufdatum und Ablaufdatum des Abonnements
• Produkt-ID (welches Abonnement wurde gekauft)
• Plattform (iOS, Android)
• Land (über IP-Adresse abgeleitet, IP wird nicht gespeichert)
• Transaktions-IDs von Apple App Store bzw. Google Play Store

Wichtig: RevenueCat sammelt standardmäßig keine personenbezogenen Daten wie Namen, E-Mail-Adressen oder IP-Adressen. Die App-Nutzer-ID ist ein pseudonymisierter Identifier, der keine direkte Identifizierung ermöglicht.

Zweck der Verarbeitung

RevenueCat verarbeitet Daten zu folgenden Zwecken:

• Verwaltung und Überprüfung von Abonnementstatus
• Synchronisation von Käufen über mehrere Geräte hinweg
• Bereitstellung von Abonnement-Features in der App
• Analyse von Abonnement-Metriken (Conversions, Abwanderung)
• Vermeidung von Abonnement-Betrug

Rechtsgrundlage

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Die Verarbeitung ist zur Verwaltung Ihres Abonnements und zur Bereitstellung der kostenpflichtigen App-Features erforderlich.

Auftragsverarbeitung

RevenueCat ist unser Auftragsverarbeiter gemäß Art. 28 DSGVO. Wir haben mit RevenueCat einen Data Processing Addendum (DPA) geschlossen:
https://www.revenuecat.com/dpa

Datenübermittlung in die USA

RevenueCat speichert Daten auf Servern in den USA oder Europa (je nach Konfiguration). Die Übermittlung in die USA erfolgt auf Grundlage:

• Standardvertragsklauseln (SCC): RevenueCat hat EU-Standardvertragsklauseln unterzeichnet
• Zusätzliche Schutzmaßnahmen: Verschlüsselung bei Übertragung und Speicherung, Zugriffsbeschränkungen

Speicherdauer

RevenueCat speichert Abonnementdaten:

• Während der Dauer Ihres Abonnements
• Plus 3 Jahre nach Ende des Abonnements für Support- und Abrechnungszwecke
• Danach automatische Löschung, sofern keine gesetzlichen Aufbewahrungspflichten bestehen

Keine Cookies

RevenueCat verwendet keine Cookies. Daher ist keine Cookie-Einwilligung für RevenueCat erforderlich.

Datenlöschung

Sie können die Löschung Ihrer bei RevenueCat gespeicherten Daten beantragen. Kontaktieren Sie uns dazu unter der in Ziffer 1 genannten E-Mail-Adresse. Nach Löschung Ihrer Daten bei RevenueCat können wir Ihren Abonnementstatus nicht mehr überprüfen, und Sie verlieren den Zugriff auf kostenpflichtige Features.

14. Datenübermittlung in Drittländer (USA, Singapur)

Im Rahmen unserer Dienste werden personenbezogene Daten an Dienstleister außerhalb der EU übermittelt:

• USA: Google Analytics, Stripe, RevenueCat, Supabase (Unternehmenssitz)
• Singapur: Supabase (Unternehmenssitz)

Wichtig: Ihre Daten bei Supabase werden auf EU-Servern (Frankfurt, Deutschland) gespeichert und verlassen nicht die EU. Nur die Unternehmensverwaltung erfolgt über Singapur.

Rechtsgrundlage für Drittlandübermittlung

Die Übermittlung personenbezogener Daten in Drittländer erfolgt auf Grundlage folgender Garantien gemäß Art. 44 ff. DSGVO:

1. EU-US Data Privacy Framework (Art. 45 DSGVO)

Google, Stripe und Apple sind zertifiziert unter dem EU-US Data Privacy Framework, das von der EU-Kommission als angemessenes Schutzniveau anerkannt wurde:

• Google Zertifikat: Data Privacy Framework List
• Stripe Zertifikat: Data Privacy Framework List
• Apple Zertifikat: Data Privacy Framework List

2. EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)

Mit allen Dienstleistern (Google, Stripe, RevenueCat, Supabase) haben wir die von der EU-Kommission genehmigten Standardvertragsklauseln (Standard Contractual Clauses - SCC) abgeschlossen. Diese Klauseln verpflichten die Dienstleister zur Einhaltung des europäischen Datenschutzniveaus.

3. Einwilligung (Art. 49 Abs. 1 lit. a DSGVO)

• Google Analytics: Ausdrückliche Einwilligung über Cookie-Banner (jederzeit widerrufbar)
• Supabase Cloud-Sync: Ausdrückliche Einwilligung durch Aktivierung in App-Einstellungen (jederzeit deaktivierbar)

4. Vertragserfüllung (Art. 49 Abs. 1 lit. b DSGVO)

Die Übermittlung folgender Daten ist zur Erfüllung unseres Vertrags mit Ihnen erforderlich:

• Stripe: Zahlungsdaten für Abonnements
• RevenueCat: Abonnementstatus-Daten
• Apple/Google: App-Download und In-App-Käufe

Zusätzliche Schutzmaßnahmen

Unsere US-Dienstleister setzen folgende zusätzliche technische und organisatorische Maßnahmen um:

• Ende-zu-Ende-Verschlüsselung bei Datenübertragung (TLS/SSL)
• Verschlüsselung gespeicherter Daten
• Strenge Zugriffskontrollen und Authentifizierung
• Regelmäßige Sicherheitsaudits und Penetrationstests
• Datenlokalisierung in EU-Rechenzentren, wo möglich
• Transparenzberichte über behördliche Auskunftsersuchen

Risiken der Drittlandübermittlung

Trotz der getroffenen Schutzmaßnahmen und Zertifizierungen können wir nicht vollständig ausschließen, dass US-Behörden aufgrund von US-Gesetzen (z.B. FISA 702, Executive Order 12333) unter bestimmten Umständen Zugriff auf übermittelte Daten nehmen könnten, ohne dass Sie darüber informiert werden oder dagegen Rechtsmittel einlegen können.

Wir haben mit unseren US-Dienstleistern umfangreiche Schutzmaßnahmen (EU-US Data Privacy Framework, Standardvertragsklauseln, technische Verschlüsselung) vereinbart, um Ihre Daten zu schützen. Durch Ihre Einwilligung bzw. die Nutzung unserer Dienste erklären Sie sich mit dieser Datenübermittlung einverstanden.

15. Kontaktaufnahme

Wenn Sie uns per E-Mail, Kontaktformular oder über andere Kommunikationskanäle kontaktieren, werden Ihre Angaben einschließlich der von Ihnen angegebenen Kontaktdaten gespeichert, um Ihre Anfrage zu bearbeiten und für mögliche Anschlussfragen.

Verarbeitete Daten:

• Name und E-Mail-Adresse
• Betreff und Inhalt Ihrer Nachricht
• Zeitpunkt der Kontaktaufnahme
• Kommunikationsverlauf

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen, Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage)
Speicherdauer: 3 Jahre nach Abschluss der Korrespondenz, danach automatische Löschung

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen (z.B. bei Einführung neuer Services).

Bei wesentlichen Änderungen werden wir Sie per E-Mail oder über eine Benachrichtigung in der App informieren. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Wir empfehlen Ihnen, diese Datenschutzerklärung regelmäßig zu lesen, um über den Schutz der von uns verarbeiteten personenbezogenen Daten informiert zu bleiben.

Fragen zum Datenschutz

Wenn Sie Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder zu dieser Datenschutzerklärung haben, wenden Sie sich bitte an:

Datenschutz-Kontakt:
Philipp Steinmetz
E-Mail: hello@keep-app.de
Hoheluftchaussee 132, 20253 Hamburg

Zuletzt aktualisiert: 6. November 2025
Version: 1.0