Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Raphael Hofstädter
E-Mail: kontakt@og-ev-app.com

Diese Anwendung wird ausschließlich privat und nicht-gewerblich für einen geschlossenen, eingeladenen Nutzerkreis betrieben. Eine öffentliche Registrierung ist nicht möglich; der Zugang erfolgt ausschließlich auf persönliche Einladung.

2. Welche Daten wir verarbeiten

Wir verarbeiten folgende personenbezogene Daten:

• Anmeldedaten: Email-Adresse, Anzeigename und Avatar-URL aus deinem Google-Konto (über Google OAuth bei der Anmeldung).
• Profil-Daten: Selbst gewählter Benutzername.
• Inhalte: Von dir hochgeladene Bilder (Cover-Bilder von Circles und Events, Datei-Anhänge zu Events), Chat-Nachrichten in Event-Chats, Abstimmungen (Polls), Listen-Einträge, Ausgaben-Einträge inklusive zugeordneter Beträge und Notizen.
• Aktivitäts-Daten: Push-Endpoints deines Geräts (sofern aktiviert), Lese-/Ungelesen-Status, Activity-Notifications (Inbox-Einträge).
• Technische Daten: Auth-Session-Cookies (HttpOnly, Secure, SameSite), OAuth-Refresh-Tokens, Realtime-Presence-Information (welche Nutzer aktuell online sind in einem Circle).

3. Rechtsgrundlagen

Wir verarbeiten deine Daten auf folgenden Grundlagen:

• Art. 6 Abs. 1 lit. b DSGVO — zur Erfüllung des Vertrags über die Bereitstellung der App-Funktionen (z.B. Speicherung deiner Inhalte, Zugang zu Circles, Anzeige von Events).
• Art. 6 Abs. 1 lit. a DSGVO — auf Grundlage deiner Einwilligung für Push-Benachrichtigungen. Du kannst die Einwilligung jederzeit in den App-Einstellungen widerrufen.
• Art. 6 Abs. 1 lit. f DSGVO — auf Grundlage unseres berechtigten Interesses an der reibungslosen Funktion der App (Activity-Notifications, Fehler-Diagnose).

4. Empfänger und Sub-Processors

Folgende Dienstleister verarbeiten Daten in unserem Auftrag oder erhalten Daten im Rahmen technisch notwendiger Übermittlungen:

• Supabase Inc. (San Francisco, USA) — Hosting der Datenbank, Storage und Auth-Infrastruktur. Standort der Datenverarbeitung: EU-Region (Frankfurt). Auftragsverarbeitungsvertrag mit Standardvertragsklauseln (SCCs) der EU-Kommission liegt vor.
• Cloudflare Inc. (San Francisco, USA) — Hosting der App-Oberfläche (Cloudflare Pages), DNS, Edge-Caching. Auftragsverarbeitungsvertrag mit Standardvertragsklauseln liegt vor.
• Google LLC (Mountain View, USA) — Identity Provider für die Anmeldung („Mit Google anmelden"). Du wählst diese Anmeldemethode aktiv; Google verarbeitet deine Daten als eigenständig Verantwortlicher unter Google's Datenschutzerklärung.
• Browser-Push-Services (Google Firebase Cloud Messaging — Chrome/Android; Apple Push Notification service — Safari/iOS; Mozilla autopush — Firefox) — beim Versand von Push-Benachrichtigungen, sofern du dem zugestimmt hast. Die Inhalte der Push-Nachrichten sind Ende-zu-Ende verschlüsselt (RFC 8291); diese Dienste sehen nur den Endpoint und das verschlüsselte Payload.

Eine Übermittlung in Drittländer (insbesondere die USA) findet bei den genannten Dienstleistern in begrenztem Umfang statt und ist durch Standardvertragsklauseln abgesichert.

5. Speicherdauer

• Account-Daten (Email, Profil) — bis zur Löschung deines Accounts.
• Inhalte (Bilder, Dateien, Chat-Nachrichten, Polls, Expenses) — bis zur Löschung durch dich oder durch den Circle-Owner. Gelöschte Chat-Nachrichten werden als Tombstone-Eintrag (ohne Inhalt) für die Konversations-Übersicht gehalten.
• Push-Endpoints — bis zur Abmeldung in den Settings oder bis der Browser/das Betriebssystem den Endpoint als ungültig markiert (HTTP-Status 404/410, dann automatische Bereinigung).
• Auth-Cookies — Lebensdauer der Sitzung; Refresh-Tokens werden bei jeder neuen Anmeldung erneuert.
• Activity-Notifications (Inbox) — bleiben aktuell unbegrenzt erhalten. Eine periodische Bereinigung älterer gelesener Einträge ist in Planung.

6. Deine Rechte

Du hast nach DSGVO folgende Rechte uns gegenüber:

• Auskunft (Art. 15) — über die zu deiner Person gespeicherten Daten.
• Berichtigung (Art. 16) — falsche Daten korrigieren zu lassen.
• Löschung (Art. 17) — Aufforderung zur Löschung deiner Daten („Recht auf Vergessenwerden").
• Einschränkung der Verarbeitung (Art. 18).
• Datenübertragbarkeit (Art. 20) — Erhalt einer Kopie deiner Daten in einem maschinenlesbaren Format.
• Widerspruch (Art. 21) — gegen Verarbeitungen auf Grundlage berechtigter Interessen.
• Widerruf der Einwilligung (Art. 7 Abs. 3) — Push-Benachrichtigungen kannst du jederzeit in den App-Einstellungen oder den Browser-Einstellungen deaktivieren.

Anfragen richte bitte an: kontakt@og-ev-app.com.

7. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über unsere Verarbeitung deiner Daten zu beschweren. Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem der Verantwortliche seinen Sitz hat:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
lda.bayern.de

(Verzeichnis aller Aufsichtsbehörden: bfdi.bund.de)

8. Cookies und ähnliche Technologien

Wir verwenden ausschließlich technisch notwendige Cookies für die Anmeldung und Sitzungsverwaltung (Supabase Auth). Diese sind nach § 25 Abs. 2 Nr. 2 TTDSG einwilligungsfrei. Es werden keine Tracking-Cookies, Werbe-Cookies oder Analyse-Cookies gesetzt.

9. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, falls sich die Verarbeitung deiner Daten ändert (z.B. neue Sub-Processors). Die jeweils aktuelle Version ist auf dieser Seite einsehbar; der Stand wird oben datiert.