Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen oder unsere App nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer unter diesem Text aufgeführten Datenschutzerklärung.

Diese Datenschutzerklärung gilt sowohl für die Website unter flatlyapp.de als auch für die mobile App "flatly" (iOS und Android).

2. Verantwortliche Stelle

Verantwortlicher für die Datenverarbeitung auf dieser Website und in der App ist:

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z. B. Namen, E-Mail-Adressen o. Ä.) entscheidet.

3. Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen:

Arten der verarbeiteten Daten

• Bestandsdaten (z. B. Namen, Adressen)
• Inhaltsdaten (z. B. Aufgaben, Einkaufslisten, Ausgaben)
• Kontaktdaten (z. B. E-Mail-Adressen)
• Meta-/Kommunikationsdaten (z. B. IP-Adressen, Gerätetyp)
• Nutzungsdaten (z. B. besuchte Seiten, Zugriffszeiten)
• Authentifizierungsdaten (z. B. Passwörter, Anmelde-Tokens)
• Standortdaten (z. B. Haushaltsadresse, sofern angegeben)
• Finanzdaten (z. B. Ausgabenbeschreibungen und -beträge innerhalb der App)

Zwecke der Verarbeitung

• Bereitstellung der Website und App
• Nutzerkontenverwaltung und Authentifizierung
• Erbringung vertraglicher Leistungen (Haushaltsmanagement)
• Push-Benachrichtigungen und Erinnerungen
• Fehlererkennung und technische Optimierung
• Sicherheitsmaßnahmen und Missbrauchsprävention

4. Maßgebliche Rechtsgrundlagen

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Die betroffene Person hat ihre Einwilligung in die Verarbeitung gegeben (z. B. Push-Benachrichtigungen, Anmeldung via Apple Sign-In).
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich (z. B. Bereitstellung der App-Funktionen, Nutzerkontoverwaltung).
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – Die Verarbeitung ist zur Wahrung unserer berechtigten Interessen erforderlich (z. B. Fehlerüberwachung, Sicherheit, Website-Hosting).

5. Datenerfassung auf dieser Website

Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

• Browsertyp und Browserversion
• Verwendetes Betriebssystem
• Referrer URL
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage
• IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Optimierung unserer Website.

Speicherdauer: Server-Log-Dateien werden für maximal 7 Tage gespeichert und danach automatisch gelöscht.

Hosting

Diese Website wird bei Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA, gehostet. Vercel ist ein Dienstleister für Hosting und Bereitstellung von Webseiten. Wenn Sie unsere Website besuchen, werden Ihre personenbezogenen Daten (insbesondere IP-Adresse) auf den Servern von Vercel verarbeitet.

Die Datenübertragung in die USA erfolgt auf Grundlage des EU-U.S. Data Privacy Frameworks (DPF). Vercel ist unter dem DPF zertifiziert. Ergänzend hat Vercel ein Data Processing Agreement (DPA) abgeschlossen, das den Anforderungen der DSGVO entspricht.

Weitere Informationen finden Sie in der Datenschutzerklärung von Vercel: https://vercel.com/legal/privacy-policy

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).

Schriftarten (Google Fonts via Self-Hosting)

Diese Website verwendet die Schriftarten "DM Sans" und "Playfair Display" von Google Fonts. Die Schriftarten werden beim Erstellen der Website heruntergeladen und anschließend von unserem eigenen Server (bzw. dem Hosting-Provider Vercel) ausgeliefert. Beim Besuch der Website wird keine Verbindung zu Google-Servern hergestellt. Es werden keine Daten an Google übermittelt.

Fairness-Rechner

Der Fairness-Rechner unter /calculator ermöglicht die Berechnung einer fairen Kostenaufteilung basierend auf Einkommen. Alle eingegebenen Daten (Namen, Einkommen, Ausgaben) werden ausschließlich lokal in Ihrem Browser verarbeitet. Es findet keine Übertragung dieser Daten an unsere oder fremde Server statt. Die Daten werden beim Schließen der Seite automatisch gelöscht.

6. Datenerfassung in der App

Registrierung und Nutzerkonto

Zur Nutzung der flatly App ist eine Registrierung erforderlich. Bei der Registrierung erheben wir folgende Daten:

• E-Mail-Adresse
• Von Ihnen gewähltes Passwort (verschlüsselt gespeichert mittels bcrypt)
• Von Ihnen gewählter Anzeigename
• Initialen und Avatarfarbe (von Ihnen gewählt)
• Zeitpunkt der Registrierung
• Zustimmung zu den AGB und Datenschutzerklärung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Anmeldung via Apple Sign-In

Optional können Sie sich über "Mit Apple anmelden" (Sign in with Apple) registrieren und anmelden. Dabei werden folgende Daten von Apple an uns übermittelt:

• Ein eindeutiger Identifizierungs-Token (Apple Identity Token)
• Ihr Name (nur bei Erstanmeldung, sofern Sie dies zulassen)
• Ihre E-Mail-Adresse (ggf. die von Apple generierte Relay-E-Mail)

Der Identity Token wird an unseren Authentifizierungsdienst (Supabase) weitergeleitet, um Ihr Konto zu erstellen oder Sie anzumelden. Wir erhalten Ihr Apple-Passwort nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Weitere Informationen: https://www.apple.com/de/legal/privacy/

Nutzungsdaten

Während der Nutzung der App werden folgende Daten gespeichert:

• Aufgaben und deren Zuweisungen, Erledigungshistorie und Punkte
• Einkaufslisten und Einträge (inkl. Mengen und Einheiten)
• Ausgaben und Abrechnungen (Beschreibungen, Beträge, Aufteilungen)
• Wiederkehrende Kosten (Fixkosten)
• Haushaltsinformationen (Name, Einladungscode, Währung, optionale Adresse)
• Aktivitätsprotokolle innerhalb des Haushalts

Diese Daten werden ausschließlich zur Bereitstellung der App-Funktionen verwendet und sind durch Row Level Security (RLS) auf die Mitglieder des jeweiligen Haushalts beschränkt. Eine Weitergabe an Dritte findet nicht statt.

Hinweis zu Ausgabenbeschreibungen: Ausgabenbeschreibungen sind Freitextfelder. Bitte vermeiden Sie die Eingabe besonders sensibler Daten (z. B. Gesundheitsinformationen) in diesen Feldern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Ihre Nutzungsdaten werden bis zur Löschung Ihres Kontos bzw. des Haushalts gespeichert.

Aktivitätsprotokolle

Die App protokolliert Aktivitäten innerhalb eines Haushalts (z. B. erledigte Aufgaben, hinzugefügte Ausgaben) in einem gemeinsamen Aktivitätsprotokoll. Diese Einträge enthalten den Namen des handelnden Mitglieds als Freitext. Bei Austritt oder Entfernung eines Mitglieds bleiben die Protokolleinträge zur Transparenz für die verbleibenden Haushaltsmitglieder erhalten; der Mitgliedsbezug wird jedoch anonymisiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an der Transparenz innerhalb des Haushalts).

Lokale Datenspeicherung auf Ihrem Gerät

Die App speichert auf Ihrem Gerät folgende Daten:

• Authentifizierungs-Tokens: Im sicheren Schlüsselbund des Geräts (iOS Keychain / Android Keystore) bzw. im lokalen Speicher (Web). Diese werden bei Abmeldung gelöscht.
• Designeinstellung: Ihre Wahl zwischen hellem und dunklem Modus wird lokal gespeichert (AsyncStorage).

Backend-Hosting (Supabase)

Die App-Daten werden bei Supabase Inc. auf Servern von Amazon Web Services (AWS) in Frankfurt am Main (Region eu-central-1) gespeichert. Die Daten verlassen somit für die Kerndienste (Datenbank, Authentifizierung, Realtime) nicht die Europäische Union.

Supabase verarbeitet Daten in unserem Auftrag gemäß einem Auftragsverarbeitungsvertrag (AVV/DPA).

Weitere Informationen finden Sie in der Datenschutzerklärung von Supabase: https://supabase.com/privacy

7. Drittanbieter und externe Dienste

Geoapify (Adress-Autocomplete)

Für die Adresssuche bei der Haushaltseinrichtung verwenden wir den Dienst Geoapify (Geoapify GmbH, Deutschland). Bei der Nutzung dieser Funktion werden folgende Daten an Geoapify übermittelt:

• Ihre Suchanfrage (eingegebene Adressteile, ab 3 Zeichen)
• Ihre IP-Adresse

Die Suche ist auf Deutschland, Österreich und die Schweiz beschränkt. Geoapify ist ein deutsches Unternehmen und verarbeitet die Daten in der EU.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen zur Verbesserung der Nutzerfreundlichkeit).

Weitere Informationen: https://www.geoapify.com/privacy-policy

Sentry (Fehlerüberwachung)

Zur Erkennung und Behebung technischer Fehler nutzen wir den Dienst Sentry (Functional Software, Inc., USA). Im Fehlerfall werden folgende Daten an Sentry übermittelt:

• Fehlermeldungen und Stack Traces
• Geräte- und Betriebssysteminformationen
• App-Version
• Navigations- und Logdaten als Breadcrumbs (Kontextinformationen)

Die Übermittlung personenbezogener Daten (wie E-Mail-Adressen oder Namen) ist technisch deaktiviert (sendDefaultPii: false). Sentry wird ausschließlich in der Produktionsversion der App aktiviert. Es werden nur 20 % der Transaktionen erfasst.

Die Datenübertragung in die USA erfolgt auf Grundlage des EU-U.S. Data Privacy Frameworks (DPF) sowie eines Auftragsverarbeitungsvertrags (AVV/DPA) mit Sentry.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen zur Sicherstellung der Funktionsfähigkeit der App).

Weitere Informationen: https://sentry.io/privacy/

Expo (App-Infrastruktur)

Für den Betrieb der App nutzen wir Dienste von Expo (650 Industries, Inc., USA):

• Over-the-Air Updates: Die App prüft beim Start, ob Aktualisierungen verfügbar sind. Dabei werden Geräteinformationen (Plattform, App-Version) an die Expo-Update-Server übermittelt.
• Push-Benachrichtigungsvermittlung: Expo fungiert als Vermittlungsdienst zwischen unserem Server und den Push-Diensten von Apple (APNs) bzw. Google (FCM). Dabei werden Push-Tokens sowie der Benachrichtigungsinhalt über Expo-Server geleitet (siehe Abschnitt 8).

Die Datenübertragung in die USA erfolgt auf Grundlage des EU-U.S. Data Privacy Frameworks (DPF) sowie eines Auftragsverarbeitungsvertrags (AVV/DPA).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Updates; Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für Push-Benachrichtigungen.

Weitere Informationen: https://expo.dev/privacy

8. Push-Benachrichtigungen

Die App bietet Push-Benachrichtigungen für Aufgabenerinnerungen, Einkaufslisten-Updates und weitere Haushaltsereignisse. Für den Versand nutzen wir:

• Expo Push Notification Service (Expo / 650 Industries, Inc., USA) als Vermittlungsdienst
• Apple Push Notification Service (APNs) für iOS-Geräte
• Firebase Cloud Messaging (FCM, Google) für Android-Geräte

Dabei wird ein gerätegebundener Push-Token auf unseren Servern gespeichert, um Benachrichtigungen an Ihr Gerät zustellen zu können. Bei Mehrfachgeräten werden mehrere Tokens gespeichert.

Inhalt der Benachrichtigungen: Benachrichtigungen können Namen von Haushaltsmitgliedern, Aufgabentexte sowie Ausgabenbeschreibungen und -beträge enthalten. Diese Inhalte werden über die oben genannten Push-Dienste (einschließlich Server in den USA) übertragen.

Push-Benachrichtigungen werden nur mit Ihrer ausdrücklichen Einwilligung (Betriebssystem-Berechtigungsabfrage) versendet. Sie können einzelne Benachrichtigungskategorien (z. B. Aufgabenerinnerungen, Einkaufslisten, Ausgaben) in den App-Einstellungen deaktivieren oder Push-Benachrichtigungen vollständig in den Geräteeinstellungen widerrufen. Bei Abmeldung wird der Push-Token automatisch von unseren Servern gelöscht. Ungültige Tokens werden automatisch entfernt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Datenschutzerklärungen der Push-Dienste:

• Apple: https://www.apple.com/de/legal/privacy/
• Google: https://policies.google.com/privacy

9. Cookies und lokale Speicherung

Website

Unsere Website setzt keine Cookies. Wir verwenden keine Tracking-Cookies, Werbe-Cookies oder Cookies von Drittanbietern. Ein Cookie-Banner ist daher nicht erforderlich.

Für die Funktion der Website werden ausschließlich technisch notwendige Daten im Session Storage Ihres Browsers gespeichert (z. B. für die Anzeige des Willkommensbildschirms und die Navigation). Diese Daten werden beim Schließen des Browser-Tabs automatisch gelöscht.

Auf den Authentifizierungsseiten (E-Mail-Bestätigung, Passwort-Zurücksetzung) werden kurzzeitig Authentifizierungs-Tokens im lokalen Speicher (localStorage) abgelegt. Diese werden nach Abschluss des Vorgangs sofort gelöscht (automatische Abmeldung).

App

Die mobile App verwendet keine Cookies. Authentifizierungs-Tokens werden sicher im Geräteschlüsselbund (iOS Keychain / Android Keystore) gespeichert und bei Abmeldung entfernt. Die Designeinstellung (hell/dunkel) wird im lokalen Speicher des Geräts abgelegt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an der technischen Funktionsfähigkeit).

10. Analyse-Tools

Wir setzen derzeit keine Analyse-Tools (wie Google Analytics, Matomo o. Ä.) auf unserer Website oder in unserer App ein. Es findet kein Tracking des Nutzerverhaltens statt.

Sollte sich dies in Zukunft ändern, werden wir diese Datenschutzerklärung entsprechend aktualisieren und Sie ggf. um Ihre Einwilligung bitten.

11. Datenübermittlung in Drittländer

Einige der von uns eingesetzten Dienstleister haben ihren Sitz in den USA. Soweit personenbezogene Daten in die USA übermittelt werden, erfolgt dies auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-U.S. Data Privacy Framework (DPF) gemäß Art. 45 DSGVO.

Ergänzend haben wir mit den jeweiligen Dienstleistern EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart und, soweit angeboten, Auftragsverarbeitungsverträge (AVV/DPA) abgeschlossen.

Betroffene Dienste:

• Vercel Inc. (Website-Hosting) – USA
• Sentry / Functional Software, Inc. (Fehlerüberwachung) – USA
• Expo / 650 Industries, Inc. (Push-Benachrichtigungen, Updates) – USA
• Apple Inc. (Push-Dienst APNs, Sign-In with Apple) – USA
• Google LLC (Push-Dienst FCM, Play Store) – USA

Dienste ohne Drittlandtransfer:

• Supabase (Datenbank, Auth) – EU-Server (Frankfurt am Main)
• Geoapify GmbH (Adresssuche) – Deutschland / EU

12. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO) – Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO) – Sie können die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO) – Sie können die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Zur Löschung Ihres Kontos wenden Sie sich bitte an info@flatlyapp.de.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) – Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermitteln. Wenden Sie sich hierfür bitte an info@flatlyapp.de.
• Widerspruchsrecht (Art. 21 DSGVO) – Sie können der Verarbeitung Ihrer personenbezogenen Daten widersprechen, sofern die Verarbeitung auf berechtigten Interessen beruht.
• Widerruf der Einwilligung – Sofern Sie eine Einwilligung zur Datenverarbeitung erteilt haben (z. B. Push-Benachrichtigungen), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Wahrnehmung dieser Rechte wenden Sie sich bitte an info@flatlyapp.de.

13. Beschwerderecht bei der Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

Die für uns zuständige Aufsichtsbehörde ist:

14. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen Manipulation, Verlust, Zerstörung und gegen den Zugriff unberechtigter Personen zu schützen:

• Die Übertragung von Daten erfolgt verschlüsselt über HTTPS/TLS
• Passwörter werden mit bcrypt gehasht gespeichert
• Zugriff auf Daten ist durch Row Level Security (RLS) auf Haushaltsmitglieder beschränkt
• Authentifizierungs-Tokens werden im sicheren Schlüsselbund des Geräts gespeichert
• Sicherheitskritische Datenbankfunktionen verwenden gehärtete Suchpfade (search_path)
• Regelmäßige Sicherheitsupdates der Systeme
• Einladungscode-Rate-Limiting zum Schutz vor Brute-Force-Angriffen

15. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen:

• Nutzerkontodaten: Bis zur Löschung des Kontos
• App-Nutzungsdaten: Bis zur Löschung des Kontos bzw. des Haushalts
• Aufgaben-Erledigungshistorie: Bis zur Löschung des Haushalts (überlebt das Löschen einzelner Aufgaben)
• Server-Logs (Website): Maximal 7 Tage
• Push-Tokens: Bis zur Abmeldung oder Geräte-Deregistrierung
• Rate-Limiting-Daten: Automatische Löschung nach 24 Stunden
• Sentry-Fehlerberichte: Gemäß den Einstellungen in Sentry (standardmäßig 90 Tage)

16. Minderjährigenschutz

Die App richtet sich an Personen ab 16 Jahren. Personen unter 16 Jahren benötigen die Zustimmung ihrer Erziehungsberechtigten. Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren ohne entsprechende Einwilligung.

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen.

Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung. Bei wesentlichen Änderungen werden wir Sie per E-Mail oder in der App informieren.