Datenschutzerklärung

Stand: Mai 2026

1. Präambel / Hinweis zur Veröffentlichung

1.1 Zweck und Anwendungsbereich (App & PHP (ohne CMS) -Website)

Diese Datenschutzerklärung informiert transparent über Art, Umfang, Zwecke, Rechtsgrundlagen und Empfänger der Verarbeitung personenbezogener Daten im Zusammenhang mit:

der Trabista-App (Android und iOS) und
der begleitenden PHP-Website (ohne CMS) von Trabista.

Sie beschreibt insbesondere:

welche Daten lokal auf dem Gerät verarbeitet werden und welche optional in der Cloud (Premium) verarbeitet werden,
welche Rechtsgrundlagen jeweils gelten (einschließlich Einwilligungen),
welche Drittanbieter/Empfänger eingebunden sind (z. B. Supabase, Google-Dienste, Scaleway),
Speicherdauern, Löschkonzepte und Betroffenenrechte,
sowie die technischen und organisatorischen Maßnahmen (TOMs) zum Schutz der Daten.

Diese Erklärung richtet sich an Nutzerinnen und Nutzer der App und Besucherinnen/Besucher der Website und gilt unabhängig davon, ob die App offline genutzt wird oder optionale Online-Funktionen (z. B. Cloud-Synchronisation, Premium-APIs) aktiviert sind.

1.2 Hinweis: Diese Fassung wird in der App und auf der Website veröffentlicht

Die vorliegende Datenschutzerklärung wird wortgleich in der App (Legal/Info-Bereich) und auf der Website (eigene Seite) veröffentlicht.
Änderungen/Versionierungen werden synchron in beiden Veröffentlichungen nachvollziehbar kenntlich gemacht (siehe Kapitel „Änderungen & Aktualisierungen").
Soweit einzelne Dienste erst künftig aktiviert werden (z. B. spätere Analytics-Erweiterungen, neue Drittanbieter), werden die entsprechenden Abschnitte ergänzt und -- soweit erforderlich -- neue Einwilligungen eingeholt.

1.3 Gültigkeit für Android & iOS, Website ohne Tracking

Android: Diese Datenschutzerklärung gilt für die veröffentlichte Android-App (Bezug über den Google Play Store).
iOS: Die Erklärung gilt ebenso für die veröffentlichte iOS-App (native Swift-App, Bezug über den Apple App Store). Plattformbedingte Unterschiede (z. B. Apple ATT statt CMP/UMP für Werbung; Sentry als Fehler-/Performance-Analyse statt Firebase) sind in den jeweiligen Kapiteln gesondert gekennzeichnet (siehe 5.4, 5.6, 5.10, 8.3.6, 8.3.7).
Website (PHP-Website (ohne CMS) ): Die Website verzichtet bewusst auf Tracking/Analytics und Marketing-Cookies. Verarbeitet werden ausschließlich technisch notwendige Daten (z. B. Server-Logfiles, Kontaktformular-E-Mails) -- Details in den Website-Kapiteln.

2. Verantwortlicher, Kontakt & Impressum

2.1 Verantwortlicher (Name, Rechtsform, Anschriften inkl. c/o-Zustelladresse)

Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO
Danilo Endesfelder -- Einzelunternehmen
Zustellungs-/Ladungsanschrift (c/o): c/o Nico Eberhardt, Pfotenhauerstraße 65, 01307 Dresden, Deutschland
Hinweis zum Adressschutz: Die angegebene Anschrift ist eine Zustellungsanschrift (c/o). Die Privatanschrift des Betreibers wird aus Gründen des Privatsphärenschutzes nicht veröffentlicht.
USt-IdNr.: TBD (wird nachgetragen)
Verantwortlich für Inhalte (§ 18 Abs. 2 MStV): Danilo Endesfelder, c/o Nico Eberhardt, Pfotenhauerstraße 65, 01307 Dresden, Deutschland

2.2 Kommunikationswege (E-Mail allgemein, Telefon, Kontaktformular)

Allgemeine E-Mail: gobbltech@proton.me
- Wir nutzen für die E-Mail-Kommunikation den Dienst ProtonMail der Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Schweiz. Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Proton AG verarbeitet Daten in einem Land mit anerkanntem angemessenem Datenschutzniveau gemäß Art. 45 DSGVO. Weitere Informationen finden Sie unter: https://proton.me/legal/privacy
Kontaktformular: über die Website https://impressum.gobbltech.com/contact.php
Rechtlicher Hinweis: Eine Telefonnummer ist nicht verpflichtend (EuGH, C-298/07; BGH, PM 41/2025). Für die gesetzlich geforderte schnelle und unmittelbare Kontaktaufnahme stellen wir E-Mail und ein Kontaktformular bereit.

2.3 Datenschutz-Kontakt: ,

Für alle Datenschutzanliegen (z. B. Auskunft, Berichtigung, Löschung, Widerruf, Widerspruch) erreichst du uns unter:
datenschutz@trabista.app · privacy@trabista.app

2.4 Offizielles Impressum (verbindliche URL)

Verbindlich ausschließlich: https://impressum.gobbltech.com/\

2.5 Zuständige Datenschutzaufsichtsbehörde (Anschrift, Tel., Fax, E-Mail, Web)

Sächsische Datenschutz- und Transparenzbeauftragte
Maternistraße 17, 01067 Dresden, Deutschland
Telefon: +49 351 85471-101 · Telefax: +49 351 85471-109
E-Mail: post@sdtb.sachsen.de · Web: www.datenschutz.sachsen.de

2.6 Datenschutzbeauftragter (Status: nicht bestellt)

Es ist derzeit kein Datenschutzbeauftragter bestellt, da keine gesetzliche Verpflichtung besteht.
Sollte sich die Verpflichtung ergeben, werden die Angaben hier umgehend ergänzt.

3. Begriffsbestimmungen (DSGVO-Definitionen)

Unsere Datenschutzerklärung beruht auf den Begrifflichkeiten, die durch den Europäischen Richtlinien- und Verordnungsgeber beim Erlass der Datenschutz-Grundverordnung (DS-GVO) verwendet wurden. Unsere Datenschutzerklärung soll sowohl für die Öffentlichkeit als auch für unsere Kunden und Geschäftspartner einfach lesbar und verständlich sein. Um dies zu gewährleisten, möchten wir vorab die verwendeten Begrifflichkeiten erläutern.

Wir verwenden in dieser Datenschutzerklärung unter anderem die folgenden Begriffe:

3.1 Personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person") beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

3.2 Betroffene Person

Betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von dem für die Verarbeitung Verantwortlichen verarbeitet werden.

3.3 Verarbeitung

Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

3.4 Einschränkung der Verarbeitung

Einschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.

3.5 Profiling

Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere, um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

3.6 Pseudonymisierung

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, auf welche die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

3.7 Verantwortlicher

Verantwortlicher oder für die Verarbeitung Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

3.8 Auftragsverarbeiter

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

3.9 Empfänger

Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger.

3.10 Dritter

Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

3.11 Einwilligung

Einwilligung ist jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

4. Grundsätze der Datenverarbeitung

4.1 Rechtmäßigkeit, Zweckbindung, Transparenz

Rechtmäßigkeit (Art. 5 Abs. 1 lit. a, Art. 6 DSGVO): Wir verarbeiten personenbezogene Daten ausschließlich auf einer gesetzlichen Grundlage (insb. Vertrag/Vertragserfüllung, Einwilligung, berechtigte Interessen, rechtliche Pflichten). Bei Einwilligungen informieren wir vorab, dokumentieren die Zustimmung nachweisbar (Zeitstempel/Scope) und ermöglichen jederzeitigen Widerruf mit Wirkung für die Zukunft.
Zweckbindung (Art. 5 Abs. 1 lit. b): Daten werden nur zu eindeutig festgelegten, legitimen Zwecken verarbeitet (z. B. lokale Reiseverwaltung, optional Cloud-Sync, Werbung in der Free-Version, Supportkommunikation). Zweckänderungen prüfen wir nach Art. 6 Abs. 4 DSGVO (Kompatibilitätsprüfung, siehe 7.2).
Transparenz (Art. 5 Abs. 1 lit. a, Art. 12--14): Wir informieren klar und verständlich über Zwecke, Rechtsgrundlagen, Speicherdauern, Empfänger, Drittlandbezüge, Rechte der Betroffenen sowie über die Freiwilligkeit/Pflicht zur Bereitstellung. Änderungen dieser Erklärung werden versioniert und synchron in-App und auf der Website veröffentlicht.

4.2 Datenminimierung & Speicherbegrenzung

Datenminimierung (Art. 5 Abs. 1 lit. c): Wir erheben nur Daten, die für die jeweilige Funktion erforderlich sind. Standardmäßig läuft die App offline; optionale Funktionen (Cloud-Sync, Premium-APIs, Werbung in der Free-Variante) sind deaktivierbar bzw. bedürfen Einwilligung (wo erforderlich).
Speicherbegrenzung (Art. 5 Abs. 1 lit. e): Wir speichern Daten nur so lange, wie es für die Zwecke nötig ist oder gesetzliche Pflichten bestehen. Konkrete Fristen und Löschkonzepte sind in Kapitel 10 beschrieben (inkl. Account-Löschung, Inaktivitätsregeln, Backup-Fenster).
Richtigkeitsprinzip (Art. 5 Abs. 1 lit. d): Wir treffen angemessene Maßnahmen, damit gespeicherte Daten sachlich richtig und aktuell sind (Selbstverwaltung in-App; Korrekturen auf Anfrage).

4.3 Integrität & Vertraulichkeit (Sicherheit)

Schutzziele (Art. 5 Abs. 1 lit. f, Art. 32): Wir gewährleisten Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme.
TOMs (Überblick): Verschlüsselung in Transit (TLS) und at Rest (z. B. SQLCipher lokal, Server-seitige Verschlüsselung beim Cloud-Dienst), Schlüsselmanagement (Android Keystore/HSM), Zugriffskontrollen (Least Privilege, RLS/JWT), Protokollierung/Audit, Härtung/Firewalls, Backup-/Recovery-Konzepte (PITR), Verfahren zur Incident-Response inkl. Meldungen nach Art. 33/34 DSGVO. Details in Kapitel 11.
Vertraulichkeit in der App: Keine Weitergabe lokaler Inhalte ohne aktive Nutzeraktion (z. B. Cloud-Sync, Export). Optionale sensible Inhalte (z. B. Allergien) verbleiben ausschließlich lokal und verschlüsselt.
Zugriff durch Dritte: Auftragsverarbeiter handeln weisungsgebunden auf Basis von Art. 28 DSGVO und DPA/SCC; Sub-Prozessoren werden kontrolliert eingebunden (siehe Kapitel 8--9).

4.4 Privacy by Design & by Default

By Design (Art. 25 Abs. 1): Funktionen sind so konzipiert, dass möglichst wenig personenbezogene Daten verarbeitet werden (Offline-First, lokale Verschlüsselung, Proxy-Konzepte für Premium-APIs, kein Zwang zu Cloud-Konten).
By Default (Art. 25 Abs. 2): Datenschutzfreundliche Voreinstellungen:
- App ohne Cloud-Sync als Standard nutzbar.
- Crashlytics/Analytics deaktiviert; Aktivierung nur nach Opt-in.
- Personalisierte Werbung nur nach CMP-Einwilligung (EWR/UK); ansonsten nicht-personalisiert oder durch Upgrade komplett entfernt.
- Benachrichtigungen/Alarme nur nach OS-Opt-in.
Accountability (Art. 5 Abs. 2): Wir dokumentieren Verarbeitungen (Verzeichnis nach Art. 30), steuern Rechtsgrundlagen/Einwilligungen, prüfen bei Bedarf DPIA (Art. 35) und schulen Prozesse für Betroffenenrechte, Löschungen und Incidents.

5. Verarbeitungen in der App (Vorgänge & Rechtsgrundlagen)

5.1 Lokale Datenverarbeitung (Standardbetrieb ohne Cloud)

Kernaussage: Die App ist im Kern vollständig offline nutzbar. Sämtliche Inhalte werden ausschließlich lokal im privaten App-Speicher des Geräts verarbeitet und gespeichert. Keine Übermittlung an unsere Server oder Dritte, sofern Sie nicht aktiv eine Online-Funktion (z. B. Cloud-Sync, Premium-APIs) oder einen Export auslösen.

5.1.1 Datenkategorien (inkl. optionaler besonderer Kategorien nur lokal)

Reisedaten & Inhalte
- Reisen/Trips (Name, Beschreibung, Zeitraum)
- Teilnehmer (Name/Pseudonym, Rolle, optional: Kontaktangaben wie E-Mail/Telefon für Notfälle)
- Gepäcklisten/Checklisten (Einträge, Status, Notizen)
- Ausgaben/Kosten (ohne Zahlungsmittel; Beträge/Kategorien/Notizen)
- Anhänge (z. B. Dokumente, Bilder) -- im app-internen Speicher
- Freitextfelder (vom Nutzer beliebig befüllbar)
App-Einstellungen
- Sprache, UI-Präferenzen, Theme (Hell/Dunkel)
- Erinnerungs-/Benachrichtigungspräferenzen (lokal)
- Optionaler App-Lock (PIN-Hash mit Salt; Biometrie via Betriebssystem)
- Kontextuelle Hilfe-Präferenzen (gesehene Themen, dismissed Status für 11 Hilfe-Topics)
- Tab-Sichtbarkeits-Präferenzen (Customize Tabs, Premium Level 1+)
- Statistiken und Achievements (lokal berechnete Reiseanalysen, Fortschrittsverfolgung)
Besondere Kategorien (Art. 9 DSGVO) -- ausschließlich lokal & freiwillig
- z\. B. Gesundheitsangaben (Allergien, Medikationshinweise) nur, wenn von Ihnen freiwillig in Freitextfeldern erfasst.
- Biometrie (Fingerabdruck/Gesicht): keine Speicherung durch die App; die Prüfung erfolgt systemseitig (OS).
Explizit nicht lokal erhoben
- Keine Standortverfolgung per GPS.
- Keine Kalender- oder Kontaktbuch-Synchronisation.
- Kein externer Speicherzugriff (keine READ/WRITE-External-Storage-Berechtigung).

5.1.2 Zwecke (Reise-/Gepäckplanung, Exporte, lokale Erinnerungen)

Reise- & Gepäckplanung: Strukturierte Organisation von Reisen, Teilnehmern, Aufgaben und Listen ohne Netzwerkverbindung.
Lokale Erinnerungen/Alarme: Zeitgenaue Benachrichtigungen für Aufgaben/Events ohne Datenübertragung (OS-Opt-in erforderlich).
Exporte/Teilen (optional, durch Nutzeraktion):
- ICS-Export (z. B. Termine) via FileProvider; Sie entscheiden, ob und womit Sie die Datei teilen/importieren.
- Datei-/Berichts-Export (z. B. PDF/CSV geplant) ebenfalls via FileProvider; ohne dauerhafte App-Berechtigung für Fremdspeicher.
Sicherheit/Komfort: App-Sperre (PIN/Biometrie), Session-Timeout, verschlüsselte lokale Ablage.

Wichtig: Ohne Ihr aktives Zutun (z. B. Cloud aktivieren, Datei teilen) verlassen lokale Inhalte nicht Ihr Gerät.

5.1.3 Rechtsgrundlagen (Art. 6 Abs. 1 a/b/f; Art. 9 Abs. 2 a)

Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Vertragserfüllung):
- Kernfunktionalität der App (Reise-/Gepäckverwaltung, lokale Speicherung, lokale Erinnerungen, Exporte auf Ihre Veranlassung).
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung):
- Benachrichtigungen/Alarme (OS-Opt-in), soweit nach Plattformrecht als Einwilligung zu qualifizieren.
- Freiwillige Eingaben besonderer Kategorien (z. B. Allergien) in Freitextfeldern.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse):
- App-Sicherheit (z. B. App-Lock, Integritätsprüfungen), Missbrauchsprävention innerhalb der lokalen App-Nutzung.
Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung):
- Für besondere Kategorien (Gesundheitsangaben), sofern Sie diese freiwillig eingeben.
- Hinweis: Diese Daten bleiben lokal verschlüsselt; keine Übermittlung an uns oder Dritte.

Freiwilligkeit & Folgen: Die Eingabe optionaler Daten (insb. sensible Angaben) ist freiwillig. Ohne diese Daten bleiben ggf. bestimmte Komfortfunktionen (z. B. speziell getaggte Erinnerungen) ungenutzt, die Kernfunktion der App bleibt erhalten.

5.1.4 Speicherung & Sicherheit (SQLCipher, Keystore)

Speicherort: ausschließlich interner App-Speicher (Sandbox); Room-Datenbank v10 mit 13 Tabellen (trips, travels, stays, checklists, luggage, participants, costs, participant_associations, notification_history, file_attachments, weather_cache, pois, place_contact_cache); kein externer Gerätespeicher; andere Apps haben keinen Zugriff.
Verschlüsselung „at rest":
- optional SQLite mit SQLCipher (AES-256) für Inhaltsdatenbanken.
- Verschlüsselte SharedPreferences für sensible Einstellungen/Flags.
Schlüsselmanagement:
- Android Keystore (hardware-gestützt, soweit verfügbar) zur sicheren Schlüsselablage.
- PIN-Schutz: Speicherung als gehashter Wert (SHA-256 mit Salt); keine Klartext-PIN.
Biometrie:
- Authentifizierung über Betriebssystem-API (z. B. Fingerabdruck/Gesicht); keine biometrischen Rohdaten in der App.
Transportsicherheit:
- Bei rein lokaler Nutzung keine Netzwerkverbindung erforderlich.
- Sofern das Gerät netzwerkfähig ist (z. B. für spätere Online-Features), ist in der App Cleartext-Traffic deaktiviert (Network Security Config); allgemein wird TLS erzwungen; kritische Domains werden Certificate-pinned (betrifft nur Online-Features).
Backups (lokal):
- Android Auto-Backup ist standardmäßig aktiviert. Das Verhalten ist abhängig vom Verschlüsselungsstatus:
  - Datenbank NICHT verschlüsselt: Vollständiges Backup wird Ende-zu-Ende via Android-Mechanismen verschlüsselt zu Google Drive übertragen (clientSideEncryption, maximal 25MB).
  - Datenbank MIT SQLCipher verschlüsselt: Datenbank wird aus Sicherheitsgründen vom Backup ausgeschlossen, andere App-Daten (Einstellungen, Preferences) werden weiterhin gesichert.
  - Sie können Android Auto-Backup jederzeit in den Systemeinstellungen deaktivieren.
Speicherdauer/Löschung (lokal):
- Unbegrenzt bis zur manuellen Löschung durch Sie oder App-Deinstallation (dann werden lokale Daten entfernt).
- In-App-Funktionen erlauben das gezielte Löschen einzelner oder aller Inhalte.
Exporte:
- Dateien werden nur über FileProvider bereitgestellt (temporärer, kontrollierter Zugriff für die von Ihnen gewählte Ziel-App).
- Kein dauerhafter Lese-/Schreibzugriff auf fremde Speicherbereiche.

Zusatz: Es findet keine Profilbildung, keine automatisierte Entscheidungsfindung und keine stillschweigende Hintergrundübertragung lokaler Inhalte statt. Alle Online-Verarbeitungen sind in nachfolgenden Abschnitten separat beschrieben und erfordern Ihre aktive Nutzung/Einwilligung (wo erforderlich).

5.2 Optionale Cloud-Synchronisation (Premium)

Kernaussage: Die Cloud-Synchronisation ist freiwillig und Bestandteil eines kostenpflichtigen Premium-Angebots. Ohne Ihre aktive Entscheidung bleibt die App rein lokal. Bei aktivierter Cloud werden ausgewählte Daten verschlüsselt übertragen und in der EU (Frankfurt/eu-central-1) verarbeitet.

5.2.1 Datenkategorien (Konto-E-Mail, IDs, verschlüsselte Inhalte, IP/Logs)

Konto- & Authentifikationsdaten
- E-Mail-Adresse (Accountkennung für Supabase Auth)
- Passwort-Hash (serverseitig; Hashing z. B. mit bcrypt -- kein Klartext)
- Sitzungs-/Zugriffstokens (JWT), Ablaufzeitpunkte
Geräte-/Sitzungskennungen
- Installations-ID/UUID, ggf. Geräte-Alias (frei wählbar)
- Technische Metadaten zur Sitzungsverwaltung (Zeitstempel, Token-Status)
App-Inhalte (synchronisierte Nutzdaten)
- Reisen/Trips, Teilnehmer (sofern erfasst), Gepäck-/Checklisten, Ausgaben (ohne Zahlungsmittel), Notizen, Anhänge/Dateien
- Hinweis: Inhalte werden transportverschlüsselt übertragen und serverseitig verschlüsselt gespeichert („at rest"). End-to-end-Verschlüsselung mit ausschließlich clientseitiger Schlüsselherrschaft ist derzeit nicht vorgesehen (optional später möglich).
Technische Protokolle
- IP-Adresse und User-Agent bei API-Zugriffen
- Fehler-/Zugriffsereignisse zur Stabilitäts- und Missbrauchsabwehr (minimiert; keine Profilbildung)

5.2.2 Zwecke (Sync, Auth, Stabilität, Support)

Synchronisation Ihrer App-Inhalte zwischen mehreren Geräten
Authentifizierung (Login, Token-Verwaltung, Zugriffskontrolle)
Betrieb & Stabilität (Skalierung, Ausfallsicherheit, Störungsanalyse auf Meta-/Protokollebene)
Support (z. B. Diagnose anhand von Zeitstempeln/Fehlercodes -- ohne inhaltliche Prüfung Ihrer gespeicherten Datensätze, es sei denn, Sie erteilen ausdrückliche Einwilligung/Zugriff)

5.2.3 Rechtsgrundlagen (Art. 6 Abs. 1 a/b/f)

Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Vertragserfüllung):
- Bereitstellung der ausdrücklich gewünschten Cloud-Leistung (Sync, Konto, Zugriff von mehreren Geräten)
Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen):
- Betriebssicherheit, Missbrauchs-/Betrugsprävention, Fehlerdiagnose auf Basis minimaler Protokolldaten
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung):
- E-Mail-Kommunikation für Konto-Flows (z. B. Verifizierung, Passwort-Reset) sowie etwaige Zweck-Einwilligungen (sofern zukünftig erforderlich)

Freiwilligkeit & Folgen: Die Cloud ist optional. Ohne Konto/Cloud-Aktivierung stehen alle lokalen Funktionen zur Verfügung; nur die geräteübergreifende Nutzung entfällt.

5.2.4 Hosting/Region (Supabase, AWS Frankfurt, EU)

Dienstleister/Plattform: Supabase (Auftragsverarbeiter)
Primärregion & Speicherort: EU-Region, Frankfurt (AWS eu-central-1)
Architektur/Isolation: Mandantenfähige Datenbank; Row-Level-Security (RLS); Zugriff ausschließlich über JWT-geschützte Endpunkte; Least-Privilege-Prinzip
Transport-/Speichersicherheit: TLS für alle Verbindungen (in transit), Server-seitige Verschlüsselung (at rest, i. d. R. AES-256)
E-Mail-Zustellung für Auth-Flows: transaktional über Scaleway (Paris/FR)

5.2.5 Backups & Wiederherstellung (PITR, 7 Tage)

Backups/Point-in-Time-Recovery (PITR): Standardmäßig bis zu 7 Tage Wiederherstellungsfenster
Zweck: Schutz vor Datenverlust infolge technischer Fehler; kein eigenständiger Auswertungszweck
Sichtbarkeit: Backups sind nicht produktiv zugreifbar; Wiederherstellung nur im Incident-/Recovery-Fall gemäß strengen Zugriffsprozessen

5.2.6 Löschung/Account-Delete & Inaktivitätsregeln

In-App-Löschung (Cloud-Konto & Daten):
- Sie können Ihr Cloud-Konto inkl. aller zugeordneten Cloud-Inhalte in der App löschen (deleteAccountAndData).
- Die Löschung erfolgt unverzüglich in der produktiven Datenbank.
- Backups/PITR: Bereits angelegte Backups können aus technischen Gründen bis zu 7 Tage fortbestehen; nach Ablauf des PITR-Fensters sind die Daten endgültig nicht mehr wiederherstellbar.
Selektive Löschung/Anpassung:
- Einzelne Datensätze (Trips/Listen/Anhänge) können durch Sie jederzeit gelöscht oder angepasst werden; Änderungen werden mit der Cloud synchronisiert.
Inaktivitätsregeln:
- Bei 365 Tagen ohne aktiven Login kann das Cloud-Konto automatisiert zur Löschung vorgemerkt werden; wir informieren vorab (sobald In-App-/E-Mail-Benachrichtigung implementiert ist).
Auswirkungen auf lokale Daten:
- Die Cloud-Löschung betrifft nicht Ihre lokalen Daten. Lokale Inhalte bleiben auf Ihren Geräten, bis Sie diese selbst löschen oder die App deinstallieren.
Datenportabilität:
- Vor der Kontolöschung können Sie Ihre Inhalte exportieren (z. B. ICS; weitere Exportformate nach Verfügbarkeit).
Identitätsprüfung & Missbrauchsschutz:
- Konto-kritische Aktionen (z. B. E-Mail-Änderung, Passwort-Reset, Account-Delete) werden durch Bestätigungs-Flows (z. B. Link/Token) abgesichert.

Hinweis zu Supportfällen: Für Einsicht in Inhaltsdaten benötigen wir Ihre ausdrückliche Einwilligung und eine technische Freigabe. Standard-Support erfolgt anhand Meta-/Protokolldaten (Zeitstempel, Fehlercodes) -- ohne Einsicht in Inhalte.

5.3 Benachrichtigungen & Alarme (POST_NOTIFICATIONS / SCHEDULE_EXACT_ALARM)

Kernaussage: Benachrichtigungen/Alarme dienen ausschließlich der lokalen Erinnerung (z. B. Packlisten-Check, Abreisezeit). Es findet kein Server-Push statt; Inhalte werden nicht an uns oder Dritte übermittelt.

5.3.1 Art der Funktion

Lokale Push-Benachrichtigungen: Auslösung durch das Gerät zum geplanten Zeitpunkt.
Exakte Alarme (optional): Für minutengenaue Erinnerungen nutzt die App -- falls von Ihnen erlaubt -- die Systemberechtigung SCHEDULE_EXACT_ALARM (plattformabhängig).
Kein Remote-Push/FCM/APNs: Es werden keine Geräte-Tokens an Dritte versendet und keine Server-seitigen Push-Dienste genutzt.

5.3.2 Verarbeitete Daten (lokal, ohne Übermittlung)

Planungsdaten: Zeitstempel/Trigger (Datum/Uhrzeit), Wiederholungsregeln.
Inhaltsdaten: kurzer Benachrichtigungstext (z. B. „Packliste prüfen") und interne Verweise auf den betroffenen Eintrag/Trip.
Statusdaten: ob Benachrichtigung angezeigt/abgewiesen/angetippt wurde (nur lokal, zur UI-Steuerung).
Keine Erstellung persönlicher Profile, keine Weitergabe.

5.3.3 Zweck

Erinnerungsfunktion für von Ihnen gesetzte Aufgaben/Termine innerhalb der App.
Nutzerkomfort & Sicherheit (z. B. rechtzeitiger Hinweis auf wichtige Dokumente oder Medikamenten-Reminder, wenn von Ihnen lokal erfasst).

5.3.4 Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Vertragserfüllung) für die Kernfunktion „Erinnerung", sofern Sie sie aktiv konfigurieren.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für die OS-Seitige Freigabe der Benachrichtigungen (POST_NOTIFICATIONS) und -- soweit plattformrechtlich notwendig -- für exakte Alarme.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) an einer zuverlässigen Ausführung der von Ihnen gesetzten Erinnerungen (minimale Systemdaten, keine Profilbildung).
Besondere Kategorien (Art. 9): Nur, wenn Sie solche Inhalte freiwillig in Erinnerungstexten hinterlegen; dann ausschließlich lokal und gestützt auf Art. 9 Abs. 2 lit. a (ausdrückliche Einwilligung durch Ihre Eingabe).

5.3.5 Berechtigungen & Kontrolle

POST_NOTIFICATIONS: Wird vom OS abgefragt; Sie können zustimmen oder ablehnen und jederzeit in den Systemeinstellungen widerrufen.
SCHEDULE_EXACT_ALARM: Separate Systemfreigabe (je nach Android-Version/Hersteller) für besonders pünktliche Alarme; jederzeit widerrufbar.
In-App-Schalter: Benachrichtigungen lassen sich zusätzlich in den App-Einstellungen global deaktivieren oder pro Erinnerung anpassen.

5.3.6 Speicherdauer & Löschung

Planungs-/Statusdaten bestehen nur lokal und werden gelöscht, wenn Sie die Erinnerung löschen, den Trip entfernen, Benachrichtigungen deaktivieren oder die App deinstallieren.
Keine Speicherung in Cloud-Backups durch uns; Android-Auto-Backup ist standardmäßig deaktiviert.

5.3.7 Sicherheit

Kein Klartext-Transport, da kein Transport stattfindet (lokale Funktion).
Benachrichtigungsinhalte bleiben auf dem Gerät; die App nutzt die OS-Schnittstellen ohne Weitergabe an unsere Server.
Zugriff auf hinterlegte Inhalte erfolgt nur innerhalb der App-Sandbox.

5.3.8 Folgen der Nichtbereitstellung

Wenn Sie Benachrichtigungen/Alarme nicht freigeben, bleibt die App voll nutzbar; es entfallen lediglich zeitgenaue Hinweise.
Ohne SCHEDULE_EXACT_ALARM können Erinnerungen je nach Energiesparmechanismen des Geräts verzögert zugestellt werden.

5.4 Werbung (nur Free-Version) -- Google AdMob

Kernaussage: In der kostenlosen App-Variante binden wir Google AdMob ein. In Premium/Pro gibt es keine Werbung. Für Nutzer im EWR/UK setzen wir einen Consent-/Präferenz-Dialog (CMP/UMP) auf Android bzw. das Apple App Tracking Transparency (ATT) -Framework auf iOS ein.

5.4.1 Datenarten (AD_ID / IDFA, IP-basierter Grobstandort, Interaktionen)

Werbe-ID: Android: AD_ID (ab Android 12+ vom Nutzer zurücksetz-/entfernbar). iOS: IDFA (Identifier for Advertisers) -- nur bei ATT-Status authorized lesbar; andernfalls liefert iOS eine Null-IDFA.
Technische Nutzungs-/Geräteinformationen (z. B. App-Version, OS-Version, Gerätemodell, Sprache, Bildschirmparameter).
IP-Adresse (ableitung eines ungefähren Standorts auf Länder-/Regionsebene für Auslieferung/Fraud-Prevention).
Ad-Events/Interaktionen (z. B. Einblendung, Klicks, Fehlercodes, Frequency-Capping-Informationen).
Keine Zahlungsdaten (Werbung ist unabhängig von In-App-Käufen).
Keine Kombination mit lokalen App-Inhalten (Reisedaten etc. werden nicht zu Werbezwecken übertragen).

5.4.2 Personalisierte vs. nicht-personalisierte Werbung, CMP-Einwilligung

Personalisierte Werbung (EWR/UK nur mit Einwilligung):
- Profil-/Signalnutzung durch Google zur interessenbasierten Ausspielung (z. B. AD_ID / IDFA, Interaktionen).
- Android: Wir fragen explizit über den Consent-/Präferenz-Dialog (CMP/UMP) nach deiner Einwilligung; ohne Einwilligung keine personalisierte Werbung.
- iOS: Wir fragen über das Apple App Tracking Transparency (ATT) -Framework um Erlaubnis (ATTrackingManager .requestTrackingAuthorization). Nur bei authorized wird die IDFA genutzt und personalisierte Werbung ausgespielt; bei denied, notDetermined oder restricted erfolgt ausschließlich kontextbasierte/nicht-personalisierte Werbung (SKAdNetwork). Die Info.plist-Begründung (NSUserTrackingUsageDescription) wird dem Nutzer im ATT-Dialog transparent angezeigt.
Nicht-personalisierte Werbung (NPA):
- Keine interessenbasierte Ausspielung; Ad-Auswahl primär kontextbezogen/aggregiert.
- Wird im EWR/UK standardmäßig verwendet, wenn keine Einwilligung vorliegt (oder wenn du sie widerrufst).
Deine Kontrolle:
- In-App: Einstellungen \> Datenschutz/Werbung → Einwilligung erteilen/widerrufen oder Präferenz auf nicht-personalisiert setzen.
- OS-Einstellungen (Android): „Werbe-ID zurücksetzen/entfernen" und „Personalisierte Werbung deaktivieren".
- OS-Einstellungen (iOS): Einstellungen → Datenschutz & Sicherheit → Tracking (ATT-Erlaubnis je App widerrufen) sowie Einstellungen → Datenschutz & Sicherheit → Apple-Werbung (Personalisierung deaktivieren).
Kinder-/Jugendschutz: Zielgruppe 18+; keine child-directed Behandlung.

5.4.3 Upgrade ohne Werbung

Mit Premium/Pro wird AdMob vollständig entfernt.
Bereits gespeicherte Werbepräferenzen haben dann keine Wirkung mehr, solange dein Konto/Status Premium/Pro aktiv ist.

5.4.4 Zwecke der Verarbeitung

Refinanzierung der kostenlosen App-Variante.
Betriebssicherheit/Fraud-Prevention (z. B. Frequency-Capping, Missbrauchserkennung).
Fehleranalyse auf Ad-Ebene (z. B. Ladefehler, Mediation).

5.4.5 Rechtsgrundlagen

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für personalisierte Werbung im EWR/UK.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für nicht-personalisierte Werbung und für Betrieb/Fraud-Prevention.
Widerruf: jederzeit über den In-App-Präferenz-Dialog bzw. OS-Einstellungen (wirken ex nunc).

5.4.6 Empfänger & Verantwortlichkeit von Google

Google Ireland Limited ist für AdMob-Verarbeitungen eigener Verantwortlicher (Art. 4 Nr. 7 DSGVO).
Maßgeblich sind die Google-Datenschutzinformationen (u. a. policies.google.com/privacy) und -- für eingebundene Dienste -- Hinweise zu „Wie Google Daten verwendet" (policies.google.com/technologies/partner-sites).
Wir erhalten keine Rohprofile; lediglich aggregierte oder technische Signale, die zur Ad-Einbindung nötig sind.

5.4.7 Internationale Datenübermittlungen

Bei AdMob können Drittlandübermittlungen (insb. USA) stattfinden.
Absicherung durch EU-Standardvertragsklauseln (SCCs) und -- soweit anwendbar -- EU-US Data Privacy Framework (DPF).
Zusätzlich setzt Google technische/organisatorische Maßnahmen gegen unbefugte Zugriffe ein.

5.4.8 Speicherdauern

Ad-/Event-bezogene Daten werden von Google nach eigenen Policies aufbewahrt (typisch in Größenordnung bis zu 14 Monaten für bestimmte Werbesignale).
Wir selbst speichern keine personenbezogenen Ad-Profile.

5.4.9 Sicherheit

Transportverschlüsselung (TLS) zwischen App und Ad-Endpoints.
App-Sandboxing: Werbung hat keinen Zugriff auf lokale Inhalte (Trips/Anhänge) außerhalb der vom OS freigegebenen Ad-Schnittstellen.

5.4.10 Folgen der Nichtbereitstellung / Ablehnung

Ohne Einwilligung (EWR/UK) zeigen wir nicht-personalisierte Werbung an; die App bleibt voll nutzbar.
Bei Premium/Pro entfällt Werbung vollständig.
Wenn AD_ID vom OS gelöscht/gesperrt ist, kann es zu weniger relevanten/duplizierten Anzeigen kommen; die App-Funktion bleibt erhalten.

5.4.11 Transparenz & Links (für die Datenschutzerklärung)

Google Privacy: https://policies.google.com/privacy
Wie Google Daten verwendet: https://policies.google.com/technologies/partner-sites
Werbung/Technologien: https://policies.google.com/technologies/ads

Hinweis (Website): Auf der Website wird keine AdMob-Werbung ausgeliefert; Abschnitt 5.4 betrifft nur die App.

5.5 Wetter & Geocoding (Photon/OSM; optional Google Maps via Proxy)

Kernaussage: Für Ortssuche/Geocoding und (im Premium-Tarif) Wetterinfos nutzt die App standardmäßig datensparsame EU-Dienste. Free-Nutzer: Photon (komoot) mit OSM/Nominatim als Fallback. Premium-Nutzer: optional Google Maps Geocoding (über EU-Proxy), plus OpenWeather (Wetter) -- ebenfalls über EU-Proxy. Es werden keine GPS-Bewegungsprofile erstellt; Abfragen beruhen auf manuell eingegebenen Orten bzw. auf von Ihnen ausgelösten Koordinaten-Anfragen.

5.5.1 Datenkategorien

Such-/Abfrageinhalte: vom Nutzer eingegebene Ortsnamen, Adressen, POIs oder Koordinaten (ggf. vom Nutzer aus Zielangaben abgeleitet).
Technische Metadaten: Zeitpunkt der Abfrage, User-Agent, ggf. IP-Adresse (auf Server-/Proxy-Seite), Fehlercodes/Rate-Limit-Signale.
Keine Personenkennungen: Es werden keine Namen/E-Mails/Account-IDs an die Geocoding/Wetter-APIs übermittelt.
Cache-Daten (Smart Contact Auto-Fill): 30-Tage-Cache für Kontaktinformationen (Telefonnummer, Website) von Hotels/Hostels in lokaler place_contact_cache Tabelle zur API-Kostenoptimierung.
Keine dauerhafte Standortverfolgung: Die App nutzt kein kontinuierliches GPS-Tracking; der Standortbezug ergibt sich allein aus Ihren Suchbegriffen bzw. manuell gesetzten Zielen.

5.5.2 Zwecke der Verarbeitung

Geocoding/Vervollständigung: Orts-/Adresssuche und Umwandlung in Koordinaten (und umgekehrt) zur komfortablen Reiseplanung.
Karten-/Kontextfunktionen (optional): Genauere Treffer durch Premium-Geocoding (Google Maps).
Wetterinformationen (Premium): Anzeige von Vorhersagen/Bedingungen für Reiseziele zur besseren Planung.

5.5.3 Dienste & Betriebsmodell

Free (Standard):
- Photon (komoot, DE): primärer Geocoding-Dienst; Abfragen pseudonym, ohne Nutzerkennungen.
- OSM/Nominatim (EU/UK-Server): Fallback für Geocoding/Reverse-Geocoding.
Premium (optional):
- Google Maps Geocoding (Google Ireland): höhere Präzision/Abdeckung; alle Anfragen werden über eine EU-basierte Supabase Edge Function „geproxyt" (kein direkter App-Call zu Google).
- OpenWeather (UK): Wetterdaten; Zugriff über EU-Proxy (Supabase Edge) mit Koordinaten als Parameter.
- Smart Contact Auto-Fill (NEU: 2025-10-24): Automatisches Ausfüllen von Kontaktinformationen für Hotels und Hostels über Google Places API (Enterprise) via EU-Proxy.
  - Auto-Fills: Telefonnummer und Website-URL
  - 30-Tage-Cache zur API-Kostenoptimierung (place_contact_cache Tabelle)
  - Nur für Business-Typen aktiviert: Hotels ✅, Hostels ✅, Airbnb/Private ❌
  - Nutzer kann manuell überschreiben/bearbeiten
  - Zugriff auf 170M+ Business-Datenbank
Proxy/Edge-Layer (Supabase, Region EU-Central/Frankfurt):
- Vermittelt die Anfragen, entkoppelt Ihre App vom externen Dienst, reduziert die Exposition Ihrer IP gegenüber Dritten und ermöglicht Rate-Limiting/Fehlerbehandlung.
- Erhebt minimale technische Protokolle (Zeitpunkt, IP des App-Clients, Status/Fehlercode) zur Betriebssicherheit und Missbrauchsabwehr.

5.5.4 Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Vertragserfüllung): Erforderlich zur Orts-/Zielsuche und -- bei Premium -- zur Wetteranzeige für die von Ihnen genutzten Reise-Features.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Betrieb/Stabilität/Sicherheit der Schnittstellen (Protokollierung auf Metaebene, Rate-Limits, Fehlerdiagnose).
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Nur, falls einzelne optionale Detailfunktionen künftig eine Einwilligung erfordern sollten (derzeit nicht vorgesehen).

5.5.5 Empfänger / Verantwortlichkeit

Photon (komoot GmbH, DE): Empfänger pseudonymer Suchabfragen.
OpenStreetMap Foundation (EU/UK-Server): Empfänger pseudonymer Suchabfragen im Fallback.
Google Ireland Limited (nur Premium-Geocoding): Empfänger der vom EU-Proxy weitergeleiteten Geocoding-Parameter; Google handelt hierfür in eigener Verantwortlichkeit.
OpenWeather Ltd. (UK, nur Premium-Wetter): Empfänger der vom EU-Proxy weitergeleiteten Koordinatenparameter (Wetter); OpenWeather handelt in eigener Verantwortlichkeit.
Supabase (EU-Proxy/Edge): Auftragsverarbeiter für die Vermittlung/Aggregation der API-Anfragen und die minimale Protokollierung (Betrieb/Abwehr).

5.5.6 Internationale Datenübermittlungen & Garantien

Photon/OSM: Verarbeitung auf DE/EU/UK-Servern; kein regelmäßiger Drittlandtransfer.
Google Maps (Premium-Geocoding): Google kann Daten EU-intern und -- je nach Dienst -- auch in die USA verarbeiten. Absicherung über EU-SCC und ggf. EU-US DPF (Google).
OpenWeather (UK): UK ist durch Angemessenheitsbeschluss der EU abgesichert; zusätzlich erfolgt die Anfrage über EU-Proxy.
Supabase Edge (EU): Verarbeitung/Logs in der EU-Region; etwaige Sub-Prozessoren sind per DPA/SCC eingebunden.

5.5.7 Speicherdauern

App-seitig: Suchbegriffe/Koordinaten werden nur im notwendigen Funktionskontext vorgehalten (z. B. im aktuellen Projekt/Trip). Keine eigenständige „Historie", sofern Sie diese nicht selbst in Ihren Reisedaten behalten.
Proxy/Edge-Logs (Supabase): Minimalprotokolle für Betrieb/Sicherheit; rotieren nach kurzer technischer Frist (betriebsbedingt); kein Aufbau von Nutzerprofilen.
Dienste (Google/OpenWeather/Photon/OSM): Speicherung gemäß deren eigenen Richtlinien; wir übermitteln keine Nutzerkennungen, sondern nur Such-/Koordinatenparameter.

5.5.8 Sicherheit

Transport: Ausnahmslos TLS zwischen App ↔ Proxy (Supabase) ↔ externer API.
Datenminimierung: Keine E-Mail/Account-ID/Name in API-Calls; nur Suchstring/Koordinaten.
Architektur: Proxy-Modell (EU-basiert) schützt vor direkter Dritt-Exposition der App-IP; Rate-Limit und Fehler-Sanitizing verhindern unnötige Datendurchflüsse.
At-Rest-Schutz: Server-seitige Verschlüsselung bei Supabase; lokale Reisedaten weiterhin SQLCipher-verschlüsselt (siehe 5.1.4).

5.5.9 Kontrolle & Folgen der Nichtbereitstellung

Free-Nutzung: Photon/OSM stehen ohne Account zur Verfügung. Wenn Sie keine Ortssuche durchführen, bleibt die App funktionsfähig (manuelle Eingaben möglich), allerdings mit eingeschränktem Komfort (keine Auto-Vervollständigung, keine Reverse-Geocodes).
Premium-Geocoding (Google): rein optional; ohne Nutzung bleibt die App weiter nutzbar (Sie verwenden dann die Free-Geocoder).
Premium-Wetter (OpenWeather): ebenfalls optional; ohne Nutzung keine Wetteranzeige, alle übrigen Funktionen bleiben erhalten.

5.5.10 Transparenz & Verweise (für die Datenschutzerklärung)

Photon (komoot) -- Datenschutz:
OpenStreetMap Foundation -- Privacy Policy:
Google -- Privacy: https://policies.google.com/privacy
„Wie Google Daten verwendet" (Partner-Sites): https://policies.google.com/technologies/partner-sites
OpenWeather -- Privacy: https://openweather.co.uk/privacy-policy (oder jeweilige Policy-Seite des Anbieters)

Hinweis (Website): Auf der Website selbst erfolgt keine Geocoding- oder Wetterabfrage. Abschnitt 5.5 betrifft ausschließlich die App-Funktionen (und den EU-Proxy/Edge-Layer im Cloud-Betrieb).

5.6 Crash-Reporting & Analytics (Android, Crashlytics: Opt-out · Analytics: Opt-in) -- Firebase

Kernaussage (Android): Firebase Crashlytics ist in Release-Builds standardmäßig aktiv und sendet Absturz- und Fehlerberichte an Google. Sie können den Dienst in den App-Einstellungen jederzeit deaktivieren (Opt-out, Widerspruch nach Art. 21 DSGVO). Firebase Analytics ist standardmäßig deaktiviert und sendet erst nach ausdrücklicher Einwilligung (Opt-in) innerhalb der App Daten an Google. In Debug/Dev/Benchmark-Builds sind beide Dienste vollständig deaktiviert.

iOS-Hinweis: Auf iOS kommt nicht Firebase, sondern Sentry (EU-Region) zum Einsatz. Details siehe Abschnitt 5.10.

5.6.1 Funktionsumfang

Firebase Crashlytics (Fehlerberichte): Erfassung von Abstürzen und schwerwiegenden Ausnahmen zur Stabilitätsverbesserung (Stacktraces, betroffene Klassen/Methoden, Zeitstempel).
Firebase Analytics (Nutzungsanalyse): Aggregierte Ereignis- und Screen-Aufrufe zur Produktverbesserung (z. B. Feature-Nutzungshäufigkeit, App-Starts, Sitzungsdauer). Kein inhaltsbezogenes Tracking (keine Auswertung Ihrer Reise-/Gepäckdaten).

5.6.2 Datenkategorien (bei aktivierter Funktion)

Geräte-/App-Metadaten: App-Version/Build, OS-Version, Gerätemodell, Sprache/Region, Netzwerkstatus (z. B. Online/Offline).
Crashdaten (Crashlytics): Zeitstempel, Stacktrace, Prozess-/Thread-Infos, App-Zustand (Foreground/Background), ggf. letzte Log-Meldungen (nur technische Kontexte).
Analyseereignisse (Analytics): Ereignisname und -parameter (z. B. „screen_view", „first_open"), Sitzungs-ID/-Zeit, grobe Geolokalisierung über IP (Länderebene).
Kennungen: Pseudonyme App-Instanz-IDs/Sitzungs-IDs; keine Zuordnung zu Ihrem Cloud-Konto oder Ihrer E-Mail; keine Verwendung lokaler Inhalte; keine Kontakt- oder Zahlungsdaten.
Ausschlüsse: Keine Erhebung besonderer Kategorien (Art. 9 DSGVO), keine Inhalte aus Ihren Reisen/Dateien, keine kontinuierliche Standortverfolgung.

5.6.3 Zwecke der Verarbeitung

Stabilität & Qualität: Priorisierung von Fehlerbehebungen (Crash-Cluster), Vermeidung von Regressionsfehlern.
Produktverbesserung: Verständnis, welche Oberflächen/Features genutzt werden, um UI/UX zu verbessern -- ohne Nutzerprofile oder personenbezogene Auswertung.

5.6.4 Rechtsgrundlagen

Firebase Crashlytics (Absturz- und Fehlerberichte): Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an Stabilität, Qualitätssicherung und Fehlerbehebung). Sie können jederzeit Widerspruch nach Art. 21 DSGVO einlegen, indem Sie den Schalter in den App-Einstellungen deaktivieren; ab diesem Zeitpunkt werden keine weiteren Crash- oder Fehlerberichte an Google gesendet.
Firebase Analytics (Nutzungsanalyse): Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Voraussetzung für jede Datenübermittlung an Firebase Analytics; jederzeit widerrufbar in den App-Einstellungen mit Wirkung für die Zukunft.
Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen): Interne lokale Protokolle (ohne Übermittlung) zur Fehleranalyse, soweit erforderlich.

5.6.5 Verantwortlichkeit & Empfänger

Google Ireland Limited ist für Firebase-Verarbeitungen eigener Verantwortlicher.
Unsere App erhält keine Rohprofile; wir sehen nur aggregierte Berichte/Kennzahlen bzw. Crash-Cluster.

5.6.6 Internationale Datenübermittlungen

Firebase kann Daten in Länder außerhalb des EWR (insb. USA) übertragen.
Absicherung durch EU-Standardvertragsklauseln (SCCs) und -- soweit einschlägig -- EU-US Data Privacy Framework (DPF) sowie zusätzliche technische/organisatorische Maßnahmen von Google.

5.6.7 Speicherdauern

Bei Google (Firebase): nach Googles eigenen Aufbewahrungsrichtlinien (Crash- und Ereignisdaten werden typischerweise in aggregierter/gekürzter Form länger vorgehalten; Detailstände zeitlich begrenzt).
Bei uns: keine Speicherung personenbezogener Rohdaten aus Firebase; wir halten nur konfigurationstechnische Informationen (z. B. ob Einwilligung erteilt/widerrufen wurde).

5.6.8 Sicherheit

Transport: TLS-gesicherte Übertragung App ↔ Firebase-Endpoints.
Datenminimierung: Keine lokalen Inhaltsdaten in Crash-/Analytics-Events; Crashlytics sendet ausschließlich technische Absturz- und Fehlerdaten; Analytics erst nach ausdrücklicher Opt-in-Einwilligung; jederzeit über die App-Einstellungen deaktivierbar.
Zugriffssteuerung: Beschränkter Zugriff auf Firebase-Konsolen (rollenbasiert, Need-to-Know).

5.6.9 Kontrolle durch Nutzer & Folgen der Nichtbereitstellung

Opt-in/Opt-out in-App: Menü Datenschutz → Schalter für Crashlytics und Analytics getrennt.
Folgen einer Ablehnung: Die App bleibt voll funktionsfähig; wir erhalten lediglich keine Telemetrie zur Verbesserung/Stabilitätsanalyse aus Ihrem Gerät.

5.6.10 Transparenz & Links (für die Datenschutzerklärung)

Google Datenschutz: https://policies.google.com/privacy
„Wie Google Daten verwendet" (Partner-Sites): https://policies.google.com/technologies/partner-sites
Firebase Crashlytics/Analytics -- Produktinfos: (über Googles Produktseiten einsehbar)

Hinweis (Status): Auf Android ist Firebase Crashlytics in Release-Builds standardmäßig aktiv und lässt sich in den App-Einstellungen jederzeit deaktivieren (Opt-out). Firebase Analytics ist in Release-Builds standardmäßig deaktiviert und wird erst nach ausdrücklicher Einwilligung in Onboarding oder Einstellungen aktiviert (Opt-in). Beide Einstellungen sind jederzeit in den App-Einstellungen änderbar.

5.7 Käufe & Abonnements (AKTIV) -- Google Play Billing & Apple App Store (StoreKit) via RevenueCat

Kernaussage: Abwicklung über Google Play (Android) bzw. Apple App Store / StoreKit 2 (iOS) mit serverseitiger, plattformübergreifender Abo-Verwaltung durch RevenueCat. Wir erhalten keine Zahlungsmitteldaten (z. B. Kreditkarte/IBAN). In der App werden nur für die Lizenzprüfung erforderliche Metadaten verarbeitet. Das System ist produktiv aktiv mit Backend-Verifizierung über RevenueCat und Real-Time Developer Notifications (RTDN / App Store Server Notifications).

5.7.1 Datenkategorien

Von Google verarbeitet (eigene Verantwortlichkeit, Android):
Google-Konto, Zahlungsprofil, Rechnungs-/Abrechnungsdaten, Transaktionshistorie, ggf. Geräte-/Kaufschutzsignale. (Diese Daten sehen wir nicht.)
Von Apple verarbeitet (eigene Verantwortlichkeit, iOS):
Apple-ID, Zahlungsprofil, Rechnungs-/Abrechnungsdaten, Apple Transaction IDs, Abo-Historie, ggf. Geräte-/Kaufschutzsignale. (Diese Daten sehen wir nicht.)
Bei RevenueCat verarbeitet (Abo-Verwaltung, als Auftragsverarbeiter):
- Anonyme Nutzer-ID ($RCAnonymousID -- von RevenueCat generiert, kein Bezug zu App-Konto/E-Mail)
- Purchase Token / Transaction ID (Android: Google Play Purchase Token; iOS: Apple Transaction ID / JWS-Signatur, jeweils zur serverseitigen Validierung)
- Produkt-/Abo-Informationen (Tarif, Laufzeit, Verlängerung, Status/Ablaufdatum)
- App-/Plattform-Metadaten (OS-Version, App-Version, Plattform, Locale)
- IP-Adresse (bei Kommunikation zwischen App-SDK und RevenueCat-Backend)
Bei uns verarbeitet (lizenz-/funktionsbezogen):
- Entitlement-Status (aktiv/inaktiv, von RevenueCat abgerufen)
- Produkt-/Abo-Informationen (Tarif, Laufzeit, Status/Ablaufdatum)
- Upgrade-/Feature-Flag (Free/Premium/Pro) in verschlüsselten App-Preferences)
- Geräte-/App-Metadaten (Version, Sprache, ggf. anonyme Installation-ID für Lizenz-Checks)
- Keine Zahlungsmittel, keine Rechnungsanschrift, keine Klardaten aus dem Zahlungsprofil

5.7.2 Zwecke der Verarbeitung

Lizenzprüfung & Freischaltung der bezahlten Funktionen (z. B. Cloud-Premium, erweiterte Geocoding-/Wetterfunktionen, werbefreie Nutzung)
Abo-Lifecycle-Management über RevenueCat (Verlängerungen, Kündigungen, Grace Periods, Billing Issues)
Missbrauchs-/Fraud-Prävention (z. B. Token-Gültigkeit, Mehrfachnutzung unzulässiger Art)
Rechnungs-/Support-Nachvollziehbarkeit auf Funktionsebene (ohne Zahlungsdetails)

5.7.3 Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Vertragsdurchführung): Kauf-/Abo-Abwicklung über den Play Store, Freischaltung bezahlter App-Funktionen
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Lizenzschutz, Betrugsprävention, technische Nachvollziehbarkeit
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht): Soweit gesetzliche Aufbewahrungen/Nachweise für Geschäftsunterlagen erforderlich sind (nur, soweit personenbezogen und bei uns tatsächlich anfallend)

5.7.4 Ablauf & Empfänger

Kauf/Verlängerung erfolgt direkt in Google Play (Android) bzw. direkt im Apple App Store / StoreKit 2 (iOS); Google bzw. Apple sind hierfür eigene Verantwortliche.
Die App kommuniziert über das RevenueCat SDK mit dem RevenueCat-Backend (USA), welches die serverseitige Validierung gegenüber Google Play bzw. Apple App Store durchführt.
RevenueCat liefert den Entitlement-Status (Berechtigungen) an die App zurück, um Features lokal freizuschalten.
Echtzeit-Benachrichtigungen: Google (Android) benachrichtigt RevenueCat per Real-Time Developer Notifications (RTDN); Apple (iOS) per App Store Server Notifications V2 über Abo-Änderungen.
Keine Weitergabe an sonstige Dritte. RevenueCat ist als Auftragsverarbeiter vertraglich gebunden (siehe Abschnitt 8.6).

5.7.5 Internationale Datenübermittlungen

Google kann Daten außerhalb des EWR (insb. USA) verarbeiten. Absicherung laut Google über SCC und -- soweit einschlägig -- EU-US DPF.
Apple verarbeitet Kundendaten primär über Apple Distribution International Ltd. (Irland, EU); konzerninterne Transfers in die USA sind möglich und laut Apple über SCC und -- soweit einschlägig -- das EU-US Data Privacy Framework (DPF) abgesichert.
RevenueCat verarbeitet Daten auf AWS in den USA. Absicherung über EU-Standardvertragsklauseln (SCC) und -- soweit einschlägig -- EU-US Data Privacy Framework (DPF) (siehe Abschnitt 8.6).

5.7.6 Speicherdauern

RevenueCat: Abo-/Transaktionsdaten werden während der aktiven Geschäftsbeziehung gespeichert und nach Vertragsende gemäß DPA gelöscht.
Abo-/Lizenzstatus (bei uns): während aktiver Laufzeit, danach + 90 Tage (Kulanz, Rückabwicklung/Fehleranalyse), anschließend Löschung/Anonymisierung.
Upgrade-/Feature-Flag (lokal): bis App-Deinstallation oder Zurückstufung (verschlüsselte Preferences).
Transaktionshistorie/Zahlungsmittel: werden nicht von uns gespeichert (liegen bei Google).

5.7.7 Sicherheit

Transport: ausschließlich TLS zwischen App ↔ RevenueCat SDK ↔ RevenueCat-Backend ↔ Google Play Billing.
At rest (RevenueCat): Verschlüsselung "at rest" auf AWS-Infrastruktur; SOC 2 Type II zertifiziert.
At rest (App): SQLCipher/verschlüsselte Preferences.
Schlüsselmanagement: Android Keystore (App); RevenueCat verwaltet Schlüssel gemäß SOC-2-Standards.
Zugriffskontrollen: Rollen-/Rechtekonzept, Need-to-Know, Protokollierung kritischer Zugriffe.

5.7.8 Kontrolle & Folgen der Nichtbereitstellung

Ohne Kauf/Einwilligung bleibt die App voll nutzbar, jedoch ohne Premium-Features bzw. mit Werbung (Free).
Widerruf/Erstattung wird im Rahmen der Google-Play-Richtlinien abgewickelt; nach Rückabwicklung wird der Lizenzstatus entzogen.
Gerätewechsel/Neuinstallation: Lizenz wird über Google-Signale wiederhergestellt; ggf. kurze Validierungsphase (offline eingeschränkt).

5.7.9 Transparenz & Verweise

Google Datenschutz: https://policies.google.com/privacy
Google Play -- Zahlungen & Abos (Hilfecenter): https://support.google.com/googleplay/answer/2476088
Nutzungsbedingungen Google: https://policies.google.com/terms
Apple Datenschutz: https://www.apple.com/legal/privacy/
Apple Media Services -- Nutzungsbedingungen: https://www.apple.com/legal/internet-services/itunes/
RevenueCat Privacy Policy: https://www.revenuecat.com/privacy
RevenueCat DPA: https://www.revenuecat.com/dpa

5.8 Kommunikation & Support (In-App E-Mail, Website-Kontaktformular)

Kernaussage: Wir bieten Support über direkte E-Mail aus der App sowie ein Kontaktformular auf der Website an. Es existiert kein Ticket-/Helpdesk-System; Nachrichten werden als E-Mails verarbeitet (Transport-TLS). Website-Formulare werden per Scaleway Transactional E-Mail (Paris/FR) versendet.

5.8.1 Kanäle

In-App-E-Mail: Link/Schaltfläche öffnet die Standard-Mail-App des Geräts mit unserer Zieladresse (kein Versand über unsere App-Server).
Website-Kontaktformular (PHP-Website (ohne CMS) ): Formularinhalte werden serverseitig entgegengenommen und als E-Mail über Scaleway an uns zugestellt. Keine Speicherung der Formularnachricht in der Website-Datenbank (sofern nicht für Fehlerspeicher/Queue technisch erforderlich).

5.8.2 Kontaktdaten

Allgemein: gobbltech@proton.me
Datenschutz: datenschutz@trabista.app, privacy@trabista.app

5.8.3 Verarbeitete Daten (Kategorien)

Kontaktdaten: Absender-E-Mail, optional Name/Signatur, ggf. Telefon/Postadresse (falls angegeben).
Nachrichteninhalte: Freitext, Dateianhänge (nur wenn Sie diese beifügen).
Metadaten/Protokolle: Versand-/Empfangszeit, technische Header (Message-ID, Routing), Zustellstatus, Scaleway-Versandlogs (Erfolg/Fehler, Bounce/Complaint).
Website-Formular: zusätzlich Zeitpunkt, ggf. IP/UA im Webserver-Log (siehe 6.1); Formular selbst speichert nicht in der DB.
Keine Auswertung lokaler App-Inhalte; keine automatische Profilbildung.

Besondere Kategorien (Art. 9 DSGVO): Bitte übermitteln Sie keine sensiblen Inhalte (z. B. Gesundheitsdaten) per E-Mail/Formular. Falls dies ausnahmsweise erforderlich ist, geschieht die Verarbeitung nur auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a) und ausschließlich zur Bearbeitung Ihres Anliegens.

5.8.4 Zwecke

Kommunikation & Supportbearbeitung (Beantwortung Ihrer Anfrage, Problemlösung, Rückfragen).
Dokumentation des Vorgangs, soweit erforderlich (z. B. Nachweis der Bearbeitung, Gewährleistung/Vertrag).
Betriebssicherheit des Formularversands (Scaleway-Logs zur Fehleranalyse/Zustellbarkeit).

5.8.5 Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung): Anfragen zu Nutzung, Vertrag, Leistung, Mängeln.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Allgemeine Kommunikation, Supportorganisation, IT-Sicherheit/Zustellbarkeit (minimale Protokolle).
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht): Aufbewahrung/Nachweis, soweit einschlägig (z. B. handels-/steuerrechtliche Belege, nur wenn personenbezogen).
Art. 6 Abs. 1 lit. a DSGVO / Art. 9 Abs. 2 lit. a DSGVO: Wenn Sie freiwillig sensible Daten übermitteln (ausdrückliche Einwilligung erforderlich).

5.8.6 Empfänger / Auftragsverarbeiter

E-Mail-Zustellung (Formular): Scaleway SAS, Paris/Frankreich -- Auftragsverarbeiter (Art. 28 DSGVO), EU-Standort, keine Drittlandübermittlung vorgesehen.
Mail-Hosting/Client: unsere jeweiligen Mail-Provider/Mail-Clients zur Abholung/Zustellung (TLS).
Keine Weitergabe an Dritte zu Werbe-/Analysezwecken.

5.8.7 Internationale Datenübermittlungen

Nicht vorgesehen. Verarbeitung und Versand laufen innerhalb der EU (Scaleway Paris). Sollte aus technischen Gründen ein Sub-Prozessor außerhalb des EWR eingesetzt werden, erfolgt dies ausschließlich mit geeigneten Garantien (insb. SCC) und dokumentiertem Transfer-Impact-Assessment.

5.8.8 Speicherdauern & Löschung

E-Mail-Postfach: Grundsätzlich keine automatische Löschung; manuelle Löschung nach Problemlösung.
Scaleway-Logs: Versandlogs 30 Tage; Bounce/Complaint-Listen 90 Tage.
Rechts-/Nachweispflichten: Sofern einschlägig (z. B. Korrespondenz zu Vertrags-/Abrechnungsfragen), Aufbewahrung gemäß gesetzlichen Fristen; ansonsten Löschung, sobald der Zweck entfällt.

5.8.9 Sicherheit

Transportverschlüsselung: E-Mail-Zustellung über TLS (opportunistisch/erforderlich je nach beteiligtem Mailserver). Ende-zu-Ende-Verschlüsselung (PGP/SMIME) erfolgt nur, wenn Sie diese selbst einsetzen.
Formularschutz: CSRF-Schutz, Spam-/Missbrauchsabwehr (ohne Tracking), Eingabevalidierungen; keine Analytics/Marketing-Pixel.
Zugriffskontrolle: Zugriff nur für befugte Personen (Need-to-Know), Protokollierung administrativer Zugriffe, sichere Account-/Client-Konfiguration (MFA, starke Passwörter).

5.8.10 Freiwilligkeit & Folgen der Nichtbereitstellung

Die Bereitstellung Ihrer Kontakt-/Inhaltsdaten ist freiwillig. Ohne ausreichende Angaben können wir Ihr Anliegen ggf. nicht bearbeiten oder Rückfragen stellen müssen.
Alternativen: Sie können statt des Formulars auch direkt per E-Mail oder Post Kontakt aufnehmen (siehe Abschnitt 2.2).

5.8.11 Transparenzhinweise (für die Datenschutzerklärung)

Scaleway (Datenschutz): Informationen in den Scaleway-DPA/Policies (EU-Hosting, Auftragsverarbeitung).
Sicherheitshinweis E-Mail: E-Mails sind trotz TLS nicht zwangsläufig ende-zu-ende-verschlüsselt. Übermitteln Sie sensible Inhalte nur, wenn dies erforderlich ist und bevorzugt verschlüsselt.

Hinweis: Anfragen zu Betroffenenrechten richten Sie bitte bevorzugt an datenschutz@trabista.app bzw. privacy@trabista.app (siehe Abschnitt 12.10).

Alles klar. Hier ist nur Abschnitt 5.9 -- vollständig ausgearbeitet.

5.9 App-Berechtigungen & Geräteschnittstellen

Grundsatz: Wir fordern nur die Berechtigungen an, die für die jeweilige Funktion zwingend erforderlich sind (Runtime-Permissions). Jede Freigabe ist jederzeit in den Systemeinstellungen widerrufbar. Ohne Freigabe bleibt die App grundsätzlich nutzbar; es entfallen lediglich die damit verbundenen Komfort-/Online-Funktionen.

5.9.1 INTERNET

Zweck:

Cloud-Synchronisation (Premium), Authentifizierung (Supabase Auth)
EU-Proxy/Edge für Geocoding/Wetter (Supabase)
Werbung in der Free-Version (AdMob)
Google Play Billing AKTIV -- Lizenzprüfung/Freischaltung
Allgemeine TLS-geschützte Kommunikation; Cleartext-Traffic ist deaktiviert (Network Security Config)

Verarbeitete Daten (typisch):

IP-Adresse, Zeitstempel, minimal erforderliche Protokoll-/Fehlercodes; bei genutzten Online-Features jeweils die zwecknotwendigen Parameter (z. B. Suchstring/Koordinaten über EU-Proxy, vgl. 5.5)

Rechtsgrundlagen:

Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Leistungserbringung der gewählten Online-Funktionen)
Art. 6 Abs. 1 lit. f DSGVO (Betriebssicherheit, Missbrauchs-/Fehlerprävention)
Art. 6 Abs. 1 lit. a DSGVO (falls ein einzelnes Online-Feature Einwilligung verlangt)

Kontrolle/Folgen der Nichtbereitstellung:

Ohne Internet bleibt die App offline voll nutzbar (lokale Planung, Erinnerungen, Exporte). Online-Funktionen (Cloud, Wetter/Geocoder-Proxy, Werbung, Billing) stehen dann nicht zur Verfügung.

Sicherheit:

TLS 1.3 (in Transit), Certificate Pinning für kritische Endpunkte; serverseitige Verschlüsselung „at rest" (bei genutzten Diensten)

5.9.2 POST_NOTIFICATIONS / SCHEDULE_EXACT_ALARM

Zweck:

Lokale Erinnerungen/Benachrichtigungen, optional exakte Alarme für minutengenaue Zustellung

Verarbeitete Daten:

Nur lokale Trigger/Status (Zeit, Titel/kurzer Hinweistext); keine Server-Pushes, kein Versand an Dritte

Rechtsgrundlagen:

Art. 6 Abs. 1 lit. b DSGVO (Erfüllung Ihrer Reminder-Konfiguration)
Art. 6 Abs. 1 lit. a DSGVO (OS-seitige Zustimmung zu Benachrichtigungen/Alarmen)
Ggf. Art. 9 Abs. 2 lit. a (wenn Sie freiwillig sensible Inhalte in Erinnerungstexten hinterlegen)

Kontrolle/Folgen:

Opt-in via OS; jederzeit widerrufbar in System-/App-Einstellungen. Ohne Freigabe bleibt die App nutzbar; Erinnerungen/Exakt-Alarme entfallen bzw. können verzögert sein.
Details siehe 5.3.

5.9.3 AD_ID (com.google.android.gms.permission.AD_ID)

Zweck:

AdMob in der Free-Version (Frequenzsteuerung, Fraud-Prevention, ggf. Personalisierung nur mit Einwilligung im EWR/UK)

Verarbeitete Daten:

Werbe-ID (AD_ID), technische Signale (App/OS-Version, Gerätemerkmale), IP für Grobstandort (Land/Region), Ad-Events

Rechtsgrundlagen:

Personalisierte Werbung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung via CMP/UMP)
Nicht-personalisierte Werbung & Betrieb: Art. 6 Abs. 1 lit. f DSGVO

Kontrolle/Folgen:

In-App-Präferenz: Einwilligung erteilen/widerrufen;
OS-Einstellungen: AD_ID zurücksetzen/deaktivieren;
Upgrade (Premium/Pro): Werbung entfällt vollständig.
Details siehe 5.4.

Sicherheit/Abgrenzung:

Kein Zugriff von Werbung auf lokale App-Inhalte (Trips/Anhänge); Sandboxing durch OS/SDK.

5.9.4 Datei-Export via FileProvider (kein externer Speicherzugriff)

Zweck:

Sicheres Teilen/Exportieren (z. B. ICS-Dateien, später ggf. PDF/CSV) ohne dauerhafte Speicher-Berechtigungen

Funktionsweise & Datenfluss:

Exportdateien werden im internen App-Speicher erzeugt und über Content-URIs des FileProvider bereitgestellt.
Die App erteilt der von Ihnen gewählten Ziel-App temporäre URI-Zugriffsrechte.
Keine READ/WRITE-Berechtigung auf „externen" Gerätespeicher; kein genereller Dateisystem-Zugriff.

Rechtsgrundlagen:

Art. 6 Abs. 1 lit. b DSGVO (Export/Teilen auf Ihre Veranlassung)

Kontrolle/Folgen:

Export ist optional. Ohne Export bleiben alle Funktionen erhalten; es werden keine Dateien erzeugt/weitergegeben.

Sicherheit:

Temporäre, eng begrenzte URI-Grants; Inhalte verbleiben in der App-Sandbox, bis Sie sie teilen oder löschen.

5.9.5 Kein Kalenderzugriff (nur ICS-Export)

Zweck/Abgrenzung:

Die App fordert keine Kalender-Berechtigungen (kein READ_CALENDAR/WRITE_CALENDAR).
Termine können als ICS exportiert werden; die Importaktion erfolgt durch Ihre Kalender-App.

Rechtsgrundlagen:

Art. 6 Abs. 1 lit. b DSGVO (Export auf Ihre Veranlassung)

Kontrolle/Folgen:

Sie entscheiden, ob und wohin Sie exportieren. Ohne Export bleibt die App voll funktionsfähig.

5.9.6 READ_CONTACTS (Optional)

Zweck:

Import von Teilnehmerdaten aus Gerätekontakten
Erleichtert das Hinzufügen von Reisebegleitern durch schnellen Kontakt-Import

Verarbeitete Daten:

Name, E-Mail, Telefonnummer aus ausgewählten Kontakten
Nur auf explizite Nutzeranfrage beim Hinzufügen von Teilnehmern
Keine automatische Synchronisation oder Hintergrund-Zugriffe
Daten werden ausschließlich lokal in der App gespeichert

Rechtsgrundlagen:

Art. 6 Abs. 1 lit. b DSGVO (Komfortfunktion zur Reiseplanung)
Art. 6 Abs. 1 lit. a DSGVO (OS-seitige Zustimmung zur Berechtigung)

Kontrolle/Folgen:

Opt-in via OS-Berechtigung; jederzeit widerrufbar in Systemeinstellungen
Ohne Freigabe können Teilnehmer manuell eingegeben werden
Die App fragt die Berechtigung nur bei Bedarf an (z. B. beim ersten Versuch, einen Kontakt zu importieren)

Sicherheit:

Kein Zugriff auf Kontakte ohne explizite OS-Berechtigung
Importierte Daten unterliegen denselben Sicherheitsmaßnahmen wie manuell eingegebene Teilnehmerdaten (optional SQLCipher-Verschlüsselung)
Keine Übertragung von Kontaktdaten an Server ohne Cloud-Sync

5.10 Fehler- & Performance-Analyse (iOS) -- Sentry (EU-Region)

Kernaussage: In der iOS-App setzen wir Sentry (Sentry-Cocoa SDK) zur automatisierten Erfassung und Analyse von Programmabstürzen und Performance-Problemen ein. Die Verarbeitung erfolgt primär in der EU-Region (ingest.de.sentry.io; AWS Frankfurt). Es werden keine IP-Adressen, keine Nutzerkennungen und keine E-Mail-Adressen an Sentry übermittelt. Rechtsgrundlage ist das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO; ein Widerspruchsrecht nach Art. 21 DSGVO besteht.

5.10.1 Funktionsumfang

Crash-Reporting: Automatische Erfassung von Abstürzen und schwerwiegenden Ausnahmen (Stacktraces, betroffene Klassen/Methoden/Zeilen, Zeitstempel, Release-Tag).
Performance-Monitoring: Abtastung von Transaktionen zur Identifikation von Engpässen (App-Start, Navigation, Netzwerkaufrufe). Sampling-Rate 20 % in Produktion.
Profiling: Sampling-basierte CPU-/Zeitprofile einzelner Sitzungen zur Performance-Analyse. Sampling-Rate 10 % der Sitzungen in Produktion.
View-Hierarchy-Snapshot beim Absturz: Momentaufnahme der aktuellen UI-Struktur zum Zeitpunkt des Absturzes zur besseren Fehlerdiagnose.
Log-Weiterleitung: Ausgewählte OSLog-/print-Ausgaben der App werden als strukturierte Log-Events an Sentry übermittelt (enableLogs).
Nur Release-Builds übertragen Daten an Sentry; in Debug-Builds läuft das SDK lokal für Entwicklungszwecke.

5.10.2 Datenkategorien

Was Sentry empfängt:

Stack Traces / Exception-Kontext (Funktionsname, Datei, Zeile, Thread-Status).
Geräte-/OS-/App-Metadaten: Gerätemodell, iOS-Version, App-Version/Build, Release-Tag (production / debug), Sprache/Region, Netzwerkstatus.
Breadcrumbs: kurze Ereignisspuren, die zum Fehler geführt haben (z. B. Navigationen, automatische Netzwerk-Events; keine Inhaltsdaten).
Performance-/Profiling-Traces (anonymisiert, aggregiert).
View-Hierarchy-Snapshot zum Absturzzeitpunkt (UI-Struktur ohne Inhaltsdaten; Texte in Eingabefeldern werden nicht bewusst erfasst, eine vollständige Ausklammerung sensibler Inhalte ist jedoch technisch nicht garantiert).
Weitergeleitete Log-Zeilen (aus OSLog/print).

Was Sentry NICHT empfängt:

Keine IP-Adresse (sendDefaultPii = false; Standard-Einstellung, in Trabista nicht überschrieben).
Keine Nutzerkennung (kein SentrySDK.setUser(...) in der App).
Keine E-Mail-Adresse, keine Reise-/Gepäckdaten, keine Dateianhänge, keine Zahlungs-/Kaufinformationen.
Keine besonderen Kategorien nach Art. 9 DSGVO (z. B. Allergien aus lokalen Freitextfeldern bleiben ausschließlich lokal).

5.10.3 Zwecke der Verarbeitung

Stabilität: Priorisierung und Behebung von Abstürzen und schwerwiegenden Fehlern.
Performance-Qualität: Erkennung von Engpässen und Regressionen in der iOS-App.
Betrieb & Fehlerdiagnose: schnelle Eingrenzung von Produktionsproblemen.

5.10.4 Rechtsgrundlage & Interessenabwägung

Art. 6 Abs. 1 lit. f DSGVO -- berechtigtes Interesse am stabilen, sicheren und leistungsfähigen Betrieb der iOS-App.
Interessenabwägung: Da keine personenbezogenen Kennungen (IP, User-ID, E-Mail) übermittelt werden und die Verarbeitung primär in der EU erfolgt, ist der Eingriff in die Rechte der Nutzer gering; es findet keine Profilbildung und keine Werbenutzung statt. Das Interesse an Stabilität und Qualität überwiegt.
Widerspruchsrecht (Art. 21 DSGVO): Nutzer können der Verarbeitung für die Zukunft widersprechen (Kontakt: siehe Abschnitt 18). Ein Widerspruch bedeutet, dass künftige Absturz-/Performancedaten nicht mehr an Sentry übermittelt werden; die App bleibt voll funktionsfähig.
Kein Opt-in erforderlich: Da keine personenbezogenen Kennungen versandt werden und keine Endgeräte-Tracker nach § 25 TDDDG zum Einsatz kommen, ist keine Einwilligung erforderlich.

5.10.5 Verantwortlichkeit, Auftragsverarbeitung & Empfänger

Anbieter: Functional Software, Inc. (d/b/a Sentry), 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA.
EU-Vertretung: Sentry GmbH, Berlin, Deutschland.
Rolle: Auftragsverarbeiter nach Art. 28 DSGVO; ein Auftragsverarbeitungsvertrag (AVV/DPA) liegt vor.
Unterauftragsverarbeiter: insb. Amazon Web Services, Inc. (AWS Frankfurt, EU) als Hosting-Provider der EU-Region.

5.10.6 Internationale Datenübermittlungen

Primärregion: EU (Frankfurt, AWS) -- DSN-Endpoint ingest.de.sentry.io. Keine planmäßigen Primärübermittlungen in die USA.
Support-/Wartungszugriffe durch Sentry-Personal in den USA können im AVV-Rahmen erforderlich sein; Absicherung über EU-Standardvertragsklauseln (SCC) und -- soweit Functional Software, Inc. DPF-zertifiziert ist -- das EU-US Data Privacy Framework (DPF) (Fallback).
Zusätzliche Garantien: TLS-Transport, EU-Residency auf DB-/Speicherebene, strenge Zugriffskontrollen (Least-Privilege, Audit-Logs) gemäß AVV.

5.10.7 Speicherdauern

Bei Sentry: gemäß unseres aktuellen Tarifs max. 90 Tage (Standard in Business-Plänen); danach automatische Löschung auf Sentry-Seite. Aggregierte/summierte Statistiken können länger in anonymisierter Form vorgehalten werden.
Bei uns: keine dauerhafte Speicherung der Roh-Events; nur die zur Fehleranalyse/Produktverbesserung notwendigen Issue-Metadaten in der Sentry-Oberfläche.

5.10.8 Sicherheit

Transport: TLS 1.3 zwischen App und ingest.de.sentry.io.
At rest: Verschlüsselung auf AWS-Infrastruktur; Sentry ist SOC 2 Type II und ISO 27001 zertifiziert.
Zugriff: rollenbasiert, Need-to-Know, protokolliert; unser Zugang zur Sentry-Konsole ist auf das Produkt-/Tech-Team beschränkt.

5.10.9 Kontrolle durch Nutzer & Folgen der Nichtbereitstellung

Kein In-App-Opt-out-Schalter: Da keine personenbezogenen Kennungen verarbeitet werden, ist kein Einwilligungs-/Opt-out-Schalter vorgesehen. Wer der Verarbeitung dennoch widersprechen möchte, nutzt das Widerspruchsrecht nach Art. 21 DSGVO (Kontakt siehe Abschnitt 18).
Folgen eines Widerspruchs: Die App bleibt voll nutzbar; wir erhalten aus dem Gerät keine Absturz-/Performancedaten mehr, was Fehlerbehebungen verzögern kann.

5.10.10 Transparenz & Verweise

Sentry Datenschutzerklärung: https://sentry.io/privacy/
Sentry Auftragsverarbeitungsvertrag (DPA): https://sentry.io/legal/dpa/
Sentry -- erfasste Daten (Apple/iOS): https://docs.sentry.io/platforms/apple/data-management/data-collected/
Sentry Trust Center: https://sentry.io/trust/
EU Region (FAQ): https://sentry.zendesk.com/hc/en-us/articles/25074658211227

Hinweis (Website): Auf der PHP-Website wird kein Sentry-SDK geladen. Abschnitt 5.10 betrifft ausschließlich die iOS-App.

6. Website-Verarbeitung

6.1 Server-Logfiles (Inhalte, Zwecke, getrennte Speicherung)

Kernaussage: Die PHP-Website (ohne CMS) von Trabista wird ohne Tracking betrieben. Beim Aufruf der Seiten fallen technisch notwendige Server-Protokolle an. Diese dienen ausschließlich Betrieb, Sicherheit und Fehleranalyse.

6.1.1 Verarbeitete Protokolldaten (typisch)

IP-Adresse des anfragenden Geräts
Datum und Uhrzeit des Zugriffs (Zeitstempel)
Abgerufene Ressource/URL, HTTP-Methode (z. B. GET/POST)
Statuscode (z. B. 200, 404, 500), übertragene Datenmenge
Referrer-URL (die zuvor besuchte Seite, falls vom Browser übermittelt)
User-Agent (Browser-/OS-Typ und Version, Endgerätetyp)
Fehler-/Diagnoseeinträge in Error-Logs (z. B. Stacktraces bei Serverfehlern)
Serverseitige Schutzsignale (z. B. Rate-Limit-Treffer, Firewall-Events, Bot-/Spam-Indikatoren)

Keine Inhaltsauswertung: Es findet keine Analyse der Inhalte Ihrer Eingaben zu Marketing-/Profilingzwecken statt.
Keine Zusammenführung mit anderen Datenquellen (z. B. App-Nutzungsdaten).

6.1.2 Zwecke der Verarbeitung

Betrieb & Funktionsfähigkeit der Website, Auslieferung der Inhalte
Sicherheit/Abwehr von Angriffen, Missbrauchs- und Betrugsprävention (z. B. DDoS-Erkennung, Bot-Abwehr, Firewall-Regeln)
Fehleranalyse & Stabilität, Performance-Monitoring, Kapazitätsplanung
Nachvollziehbarkeit bei technischen Störungen und rechtswidrigen Zugriffen

6.1.3 Rechtsgrundlagen

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) -- sicherer, stabiler Websitebetrieb und Abwehr von Angriffen
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) -- sofern und soweit wir gesetzlich verpflichtet sind, Daten auf Anordnung bereit- oder vorzuhalten (z. B. im Rahmen von Ermittlungen)

6.1.4 Speicherdauer & Löschung

Zugriffs-/Access-Logs: kurzfristige Aufbewahrung zum technischen Betrieb (i. d. R. 7--14 Tage).
Error-Logs/Sicherheitsereignisse: Speicherung bis zur Behebung/Aufklärung des Vorfalls; bei Sicherheits-Incidents kann eine temporäre Verlängerung erforderlich sein.
Danach Löschung oder Anonymisierung (z. B. Kürzung der IP-Adresse).

(Konkrete Fristen richten sich nach der technischen Notwendigkeit beim Hosting-Betrieb; es erfolgt keine längerfristige Aufbewahrung zu Marketing-Zwecken.)

6.1.5 Empfänger & Auftragsverarbeitung

Hosting-/Betriebsdienstleister (Rechenzentrum/Managed Hosting) als Auftragsverarbeiter gem. Art. 28 DSGVO -- Verarbeitung streng zweckgebunden nach Weisung.
IT-Sicherheitsdienstleister (falls eingeschaltet) im Rahmen von Störungs-/Incident-Analysen -- ebenfalls auftragsverarbeitet.
Behörden/Strafverfolgung -- nur im gesetzlich vorgesehenen Rahmen und bei entsprechender Verpflichtung.

6.1.6 Trennung von anderen Daten / Keine Profilbildung

Server-Logfiles werden getrennt von sonstigen nutzerbezogenen Daten geführt (z. B. Kontaktformulardaten, siehe 6.2).
Keine Profilbildung, kein Cross-Site-Tracking, keine Marketing-/Analysezwecke.

6.1.7 Sicherheit der Verarbeitung

TLS-Verschlüsselung (HTTPS) für Transportwege
Härtung & Firewalling auf Server-/Anwendungsebene, Rate-Limiting, Bot-/Spam-Schutz
Zugriffs-/Rollenprinzip (Need-to-Know), Administrations-Zugriffe protokolliert
Regelmäßige Updates/Patches (PHP-Website (ohne CMS), Server-Stack)

Hinweis: In Verbindung mit Abschnitt 6.4 (Cookies & Tracking) bestätigen wir, dass keine Analytics-/Marketing-Cookies gesetzt und keine Dritt-Tracker geladen werden.

6.2 Kontaktformular & E-Mail (Zwecke, Inhalte, Versand)

Kernaussage: Auf der PHP-Website (ohne CMS) stellen wir ein Kontaktformular bereit. Eingaben werden nicht in der Website-Datenbank gespeichert, sondern als E-Mail an uns übermittelt. Der Versand erfolgt über Scaleway Transactional E-Mail (Paris/FR). Alternativ können Sie uns direkt per E-Mail schreiben.

6.2.1 Funktionsbeschreibung (Website)

Kontaktformular: Übermittlung der Formularfelder an den Webserver; sofortige Weiterleitung als E-Mail an unsere Zielpostfächer.
Kein Ticket-System: Es existiert kein separates Helpdesk; Vorgänge werden als E-Mails bearbeitet.
Keine DB-Ablage: Formularinhalte werden nicht persistent in PHP-Website (ohne CMS) gespeichert (ausgenommen kurzzeitige technische Pufferspeicher/Fehler-Queues, sofern erforderlich).

6.2.2 Verarbeitete Daten (Inhalte)

Pflicht-/Freiwilligfelder (formularabhängig): Name (optional), E-Mail-Adresse, Betreff, Nachricht; optional Telefonnummer/Anhang, wenn bereitgestellt.
Metadaten: Versand-/Empfangszeit, technische Header (Message-ID, Routing), Zustellstatus.
Serverlogs (siehe 6.1): Zeitpunkt, IP, User-Agent nur im Rahmen des Webseitenaufrufs (Betrieb/Sicherheit).
Bitte keine sensiblen Inhalte: Übermitteln Sie keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) über das Formular/E-Mail, es sei denn, dies ist erforderlich und ausdrücklich gewünscht (siehe 6.2.9).

6.2.3 Zwecke

Bearbeitung Ihrer Anfrage, Rückfragen und Kommunikation.
Nachweis und Dokumentation der Vorgangsbearbeitung, soweit erforderlich.
Sicherstellung der Zustellbarkeit/Fehleranalyse (Scaleway-Versandlogs).

6.2.4 Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung), wenn die Anfrage auf Vertragsbezug/Nutzung der App abzielt.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für allgemeine Kommunikation, Supportorganisation sowie IT-Sicherheit/Zustellbarkeit (minimale Protokolle).
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht), sofern Aufbewahrung/Nachweis gesetzlich erforderlich ist (nur soweit personenbezogen).
Art. 6 Abs. 1 lit. a i. V. m. Art. 9 Abs. 2 lit. a DSGVO bei freiwilliger Übermittlung sensibler Daten (ausdrückliche Einwilligung erforderlich).

6.2.5 Empfänger / Auftragsverarbeiter

Scaleway SAS (Paris/FR) -- Auftragsverarbeiter für den E-Mail-Versand des Formulars (EU-Standort; keine planmäßige Drittlandübermittlung).
Mail-Provider/Mail-Clients -- Zustellung/Abholung der E-Mails (Transport-TLS).
Keine Weitergabe zu Werbe-/Analysezwecken; keine sonstigen Dritten, außer wenn rechtlich verpflichtet (Behörden/Strafverfolgung).

6.2.6 Speicherdauer & Löschung

E-Mail-Postfach: Keine automatische Löschung; manuelle Löschung nach Problemlösung.
Scaleway-Versandlogs: 30 Tage; Bounce/Complaint-Listen: 90 Tage.
Rechts-/Nachweispflichten: Soweit einschlägig (z. B. Korrespondenz mit Vertragsbezug), Aufbewahrung nach gesetzlichen Fristen; sonst Löschung nach Zweckerreichung.

6.2.7 Sicherheit

Transportverschlüsselung: Formular → Server → Scaleway → Zielpostfach via TLS.
Spam-/Missbrauchsschutz: Validierungen/CSRF-Schutz (ohne Tracking); keine Marketing-Pixel.
Zugriffsschutz: Zugriff nur für befugte Personen (Need-to-Know), Administrationszugriffe protokolliert; starke Passwörter/MFA.

6.2.8 Freiwilligkeit & Folgen der Nichtbereitstellung

Die Angabe Ihrer E-Mail-Adresse und einer Nachricht ist für die Bearbeitung erforderlich. Ohne ausreichende Angaben ist eine sinnvolle Rückmeldung ggf. nicht möglich.
Alternativen: Direkter Versand per E-Mail oder Post (siehe Kontakte in Abschnitt 2.2).

6.2.9 Besondere Kategorien (Art. 9 DSGVO)

Bitte keine sensiblen Daten (z. B. Gesundheitsdaten) per Formular/E-Mail übermitteln.
Falls dies ausnahmsweise erforderlich ist, erfolgt die Verarbeitung nur mit Ihrer ausdrücklichen Einwilligung allein zum Zweck der Anliegenbearbeitung; danach Löschung, sofern keine Pflichtgründe entgegenstehen.

6.2.10 Transparenzhinweise (Verweise)

Scaleway (Datenverarbeitung in der EU; DPA/TOMs): Versandlogs/Listen gemäß 6.2.6.
E-Mail-Sicherheit: E-Mails sind trotz TLS nicht zwingend Ende-zu-Ende-verschlüsselt. Nutzen Sie E2E-Verschlüsselung (PGP/SMIME), wenn Sie besonders schützenswerte Inhalte senden.

6.3 Registrierung auf der Website (derzeit nicht aktiv)

6.3.1 Status

Auf der PHP-Website (ohne CMS) ist keine Registrierung für Besucher vorgesehen.
Es werden keine Nutzerkonten für Website-Funktionen (z. B. Kommentare, Shop, Kundenbereich) angeboten.
Cloud-Synchronisation der App ist nicht über ein Website-Login zugänglich, sondern -- falls vom Nutzer gewünscht -- ausschließlich in der App (siehe 5.2).

6.3.2 Aktuelle Datenverarbeitung

Da keine Registrierung auf der Website möglich ist, findet keine entsprechende Verarbeitung (Erhebung, Speicherung oder Nutzung von Registrierungsdaten) statt.
Es werden keine Passwörter, keine Benutzerprofile und keine Social-Logins auf der Website verarbeitet.

6.3.3 Vorausschau (falls künftig aktiviert)

Sollte künftig eine optionale Website-Registrierung eingeführt werden (z. B. für Support-Portal, Kundenbereich, Schulungsmaterial), gelten -- erst ab Aktivierung -- die folgenden Grundsätze. Vor dem Start werden wir diese Datenschutzerklärung synchron in-App und auf der Website aktualisieren und -- sofern erforderlich -- Einwilligungen einholen.

6.3.4 Potenzielle Datenkategorien (nur im Aktivierungsfall)

Stammdaten: Name (optional), Anzeigename, E-Mail-Adresse (Pflicht), ggf. Benutzername.
Authentifizierung: Passwort (Server-seitig ausschließlich als starker Hash gespeichert), E-Mail-Verifikation/Double-Opt-In (Zeitstempel, Token), ggf. 2FA-Seed/2FA-Backupcodes.
Protokolle/Meta: Konto-Erstellungszeit, letzte Anmeldung, fehlgeschlagene Logins (zur Missbrauchsabwehr), Rollen/Rechte.
Kommunikation: Systemmails (Verifikation, Passwort-Reset, sicherheitsbezogene Hinweise).

6.3.5 Potenzielle Zwecke (nur im Aktivierungsfall)

Bereitstellung der Website-Funktion, für die ein Login erforderlich ist (z. B. geschützter Downloadbereich, Ticket-Übersicht).
Sicherheit/Missbrauchsabwehr (z. B. Account-Sperrlogik, Rate-Limiting, Audit).
Support/Administration (z. B. Rollenverwaltung, Nachvollziehbarkeit bei sicherheitsrelevanten Änderungen).

6.3.6 Potenzielle Rechtsgrundlagen (nur im Aktivierungsfall)

Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Vertragsanbahnung) für die Bereitstellung eines registrierungspflichtigen Dienstes.
Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) für Sicherheit, Missbrauchsprävention, Protokollierung minimaler Login-Metadaten.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für einzelne Komfortfunktionen (z. B. „angemeldet bleiben", optionale Newsletter -- falls angeboten).

6.3.7 Potenzielle Speicherdauern & Löschung (nur im Aktivierungsfall)

Konto-Daten: für die Dauer der Kontonutzung; Löschung auf Antrag oder bei Inaktivität nach definiertem Zeitraum (wird vor Aktivierung präzisiert).
Sicherheits-/Login-Protokolle: kurzzyklisch, nur soweit zur Abwehr/Analyse erforderlich; anschließend Löschung/Anonymisierung.
Rechts-/Nachweispflichten: nur, soweit gesetzlich erforderlich (und personenbezogen).

6.3.8 Potenzielle Sicherheitsmaßnahmen (nur im Aktivierungsfall)

TLS (HTTPS) durchgehend; Härtung von PHP-Website (ohne CMS) ;
Passwörter: ausschließlich stark gehasht (z. B. Argon2id/bcrypt), kein Klartext;
2FA/MFA (empfohlen), Rate-Limiting, Account-Sperren bei Bruteforce;
Rollenkonzept/Least-Privilege, Protokollierung kritischer Admin-Aktionen.

6.3.9 Potenzielle Empfänger & Auftragsverarbeitung (nur im Aktivierungsfall)

Hosting/Managed Services als Auftragsverarbeiter (Art. 28 DSGVO);
Mail-Versand für Systemmails (Verifikation/Reset) über EU-basierte Mail-Infrastruktur (z. B. Scaleway -- siehe 6.2);
Keine Weitergabe an Dritte zu Werbe-/Trackingzwecken.

6.3.10 Freiwilligkeit & Folgen der Nichtbereitstellung (nur im Aktivierungsfall)

Die Angabe E-Mail und eines Passworts wäre zur Kontoerstellung erforderlich. Ohne diese Daten kein Zugang zu den registrierungspflichtigen Website-Funktionen.
Die App-Nutzung ist davon unabhängig (App bleibt ohne Website-Konto voll nutzbar).

6.3.11 Minderjährige (nur im Aktivierungsfall)

Zielgruppe 18+. Es werden keine kindgerichteten Registrierungsfunktionen angeboten.

6.3.12 Aktualisierung der Datenschutzerklärung

Vor Einführung einer Website-Registrierung werden die konkreten Parameter (genaue Datenfelder, Speicherdauern, Empfänger, TOMs) in dieser Datenschutzerklärung präzise ergänzt und veröffentlicht.

6.4 Cookies & ähnliche Technologien (PHP-Website ohne CMS)

Kernaussage: Unsere Website setzt ausschließlich technisch notwendige Cookies ein (insbesondere die PHP-Session zum Merken Ihrer Spracheinstellung). Es werden keine Analyse-, Tracking- oder Marketing-Cookies, keine Drittanbieter-Pixel und keine externen CDN-/Font-Ressourcen geladen. Aus diesem Grund wird kein Einwilligungs-Banner angezeigt -- im Einklang mit der Orientierungshilfe der Datenschutzkonferenz (DSK) zu § 25 TTDSG, wonach ein Consent-Banner bei ausschließlicher Nutzung absolut erforderlicher Cookies nicht eingeblendet werden soll. Stattdessen finden Sie einen statischen Informationshinweis im Seitenfuß mit Verweis auf diese Datenschutzerklärung.

6.4.1 Einsatzübersicht

Keine Tracking-/Analyse-Cookies, keine Marketing-/Retargeting-Cookies, keine Drittanbieter-Pixel.
Keine externen Dienste (Google Fonts, CDNs, Cloud-Consent-Tools) werden geladen -- sämtliche statischen Ressourcen (Fonts, Play-Store-Badge, QR-Code) sind self-hosted.
Technisch notwendige Cookies (z. B. PHP-Session für Spracheinstellung, ggf. CSRF-/Sicherheits-Tokens).

6.4.2 Technisch notwendige Cookies (Beispiele)

PHP-Session-Cookie (PHPSESSID): speichert Ihre Spracheinstellung (en/de) innerhalb einer Browser-Sitzung. Ablauf mit Session-Ende (Browser-Schließen).
Sitzungs-/Security-Cookies (Server): ggf. zur Auslieferung der Seite, CSRF-Schutz, Firewall/Rate-Limit.
Eigenschaften: rein funktional, kein Tracking über Websites hinweg, keine Profilbildung.

6.4.3 Kein Consent-Tool

Es wird kein Einwilligungs-Management-Tool (Cookie-Banner) eingesetzt, da keine einwilligungsbedürftigen Cookies gesetzt werden.
Statischer Hinweis: Ein nicht blockierender Informationstext im Seitenfuß weist Sie auf die ausschließliche Nutzung technisch notwendiger Cookies hin und verlinkt diese Datenschutzerklärung.

6.4.4 Keine Statistik-/Marketing-Cookies, keine externen Ressourcen

Es werden keine Dienste wie Google Analytics, Facebook Pixel, Hotjar, Umami o. Ä. geladen.
Schriften (Cormorant Garamond, Plus Jakarta Sans, Inter) werden self-hosted als WOFF2 direkt vom Webserver ausgeliefert -- keine Anfragen an Google Fonts.
Play-Store-Badge und QR-Code sind als statische Dateien im Projekt abgelegt; es erfolgt keine passive Einbettung von play.google.com, api.qrserver.com oder vergleichbaren Diensten.
Bei zukünftiger Einführung optionaler Dienste würde vorher eine Aktualisierung dieser Datenschutzerklärung sowie -- sofern rechtlich erforderlich -- ein Opt-in-Mechanismus eingeführt.

6.4.5 Rechtsgrundlagen

Technisch notwendige Cookies: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, funktionsfähigem Betrieb) i. V. m. § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich zur Bereitstellung des vom Nutzer ausdrücklich gewünschten Telemediendienstes).

6.4.6 Kontrolle

Browser-Einstellungen: Sie können Cookies jederzeit auf Browser-Ebene löschen oder blockieren.
Folgen: Ohne das Session-Cookie verliert Ihre Spracheinstellung beim Seitenwechsel ihre Gültigkeit; die Website bleibt ansonsten voll nutzbar.

6.4.7 Speicherdauern & Löschung

PHP-Session-Cookie: Session-basiert (Löschung beim Browser-Schließen).
Serverseitige Protokolle (Access-/Error-Logs): siehe 6.1.4 (typischerweise 7--14 Tage).

7. Maßgebliche Rechtsgrundlagen (Übersicht)

7.1 Art. 6 Abs. 1 lit. a--f DSGVO (konkret auf Trabista bezogen)

a) Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Einsatz, wenn eine Funktion rechtlich nur mit vorherigem Opt-in zulässig ist oder wir sie freiwillig so auslegen:

Personalisierte Werbung (AdMob, EWR/UK): Opt-in über CMP/UMP in der App (siehe 5.4).
Crash-Reporting & Analytics (Firebase): deaktiviert, nur nach ausdrücklichem Opt-in in der App (siehe 5.6).
Benachrichtigungen/Alarme (POST_NOTIFICATIONS / SCHEDULE_EXACT_ALARM): OS-seitiges Opt-in; datenschutzrechtlich als Einwilligung eingeordnet (siehe 5.3).
Besondere Kategorien in Freitext (z. B. Allergien): nur freiwillig durch den Nutzer und ausschließlich lokal (Art. 9 Abs. 2 lit. a, siehe 7.4 und 5.1).
Ggf. künftige optionale Dienste (z. B. zusätzliche Third-Party-Integrationen): vor Aktivierung Einwilligung.

b) Vertrag/Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO)
Erforderlich zur Bereitstellung der vereinbarten App-Funktionen:

Kernfunktionen offline: Reise-/Gepäckverwaltung, lokale Erinnerungen, Exporte (5.1, 5.3).
Optionale Cloud-Synchronisation (Premium): Konto, Auth, Sync, Gerätezugriffe (5.2).
Geocoding/Wetter (Free/Premium): soweit zur angefragten Funktion notwendig (5.5).
In-App-Käufe/Abos AKTIV via Google Play Billing (Android) & Apple App Store / StoreKit (iOS), gemeinsam über RevenueCat: Lizenzprüfung/Freischaltung (5.7).
Supportkommunikation mit Vertragsbezug: Beantwortung/Abwicklung (5.8, 6.2).

c) Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Soweit einschlägig:

Nachweispflichten (z. B. Einwilligungsnachweis Art. 7 Abs. 1 DSGVO; auf der Website derzeit nicht einschlägig, da keine einwilligungsbedürftigen Cookies gesetzt werden, siehe 6.4).
Auskunft/Kooperation gegenüber Behörden/Gerichten, wenn gesetzlich vorgeschrieben.
Handels-/steuerrechtliche Aufbewahrung, nur soweit personenbezogen und tatsächlich bei uns anfallend (z. B. Korrespondenz mit Abrechnungsbezug).

d) Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d DSGVO)
Im Regelfall nicht einschlägig. Falls eine Verarbeitung ausnahmsweise erforderlich sein sollte, um lebenswichtige Interessen zu schützen, stützen wir uns hierauf (derzeit kein entsprechender Standardprozess in der App; Notfallkontakte sind rein lokale Felder).

e) Öffentliche Aufgabe (Art. 6 Abs. 1 lit. e DSGVO)
Nicht einschlägig (keine hoheitlichen Aufgaben).

f) Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Interessenabwägung mit Widerspruchsrecht (siehe 12.7). Typische Fälle:

Website-Betrieb & Sicherheit: Server-Logfiles, Firewall/Rate-Limiting, Fehleranalyse (6.1).
App-Betrieb & Stabilität: minimale Protokolle/Fehlercodes bei Online-Features, Missbrauchs-/Fraud-Prävention (5.2, 5.4, 5.5, 5.7).
Nicht-personalisierte Werbung (AdMob) im EWR/UK ohne Opt-in; rein kontext-/aggregationsbasiert (5.4).
Lizenz-/Integritätsschutz bei Play-Billing (5.7).
Fehler- & Performance-Analyse (Sentry, iOS): Erfassung von Absturz-, Performance- und Profilingdaten ohne personenbezogene Kennungen zur Sicherstellung der App-Stabilität und -Qualität (5.10). Interessenabwägung zugunsten App-Qualität; keine Profilbildung, keine Werbenutzung; Widerspruchsrecht nach Art. 21 DSGVO besteht.

7.2 Zweckänderungen (Art. 6 Abs. 4 DSGVO)

Sollte eine Verarbeitung zu einem anderen Zweck als dem ursprünglich erhobenen erfolgen, prüfen wir die Kompatibilität nach Art. 6 Abs. 4 DSGVO anhand:

Zusammenhang zwischen ursprünglichem und beabsichtigtem Zweck,
Erhebungsumstände (Beziehung zu uns, Erwartungen der Nutzer),
Art der Daten (inkl. besonderer Kategorien),
mögliche Folgen für Betroffene,
Bestehende Garantien (z. B. Pseudonymisierung, Verschlüsselung, Zugriffsbeschränkungen).
Erst wenn die Voraussetzungen erfüllt sind (oder eine neue Rechtsgrundlage, insb. Einwilligung, vorliegt), erfolgt die Zweckänderung. Transparente Information und ggf. erneute Einwilligung werden gewährleistet.

7.3 Einwilligung & Widerruf (Art. 7 DSGVO) -- plus nationale ePrivacy-Regel

Transparenz & Nachweis: Einwilligungen werden klar erläutert, pro Zweck eingeholt und protokolliert (Zeitpunkt, Umfang/Scope). Auf der Website werden derzeit keine einwilligungsbedürftigen Verarbeitungen durchgeführt (siehe 6.4); eine Protokollierung entfällt daher.
Widerruf: jederzeit mit Wirkung für die Zukunft möglich -- in-App (z. B. Schalter für Werbung/Crash/Analytics) sowie über OS-Einstellungen (Benachrichtigungen, AD_ID).
Folgen eines Widerrufs: Funktionsfähigkeit bleibt grundsätzlich erhalten; die jeweils betroffene optionale Funktion (z. B. personalisierte Ads, Telemetrie) wird nicht mehr genutzt.
Ergänzend (Deutschland/ePrivacy): § 25 TDDDG (ehemals TTDSG).
- Für das Speichern/Auslesen von Informationen auf Endgeräten (z. B. Cookies, Werbe-IDs) ist -- außerhalb technisch notwendiger Fälle -- grundsätzlich vorherige Einwilligung erforderlich.
- Unser Einsatz: nur technisch notwendige Cookies (PHP-Session für Spracheinstellung), keine Statistik-/Marketing-Cookies -- daher kein Consent-Banner erforderlich (6.4). Für App-Werbe-ID/AdTech im EWR/UK wird CMP/UMP-Opt-in genutzt (5.4).

7.4 Besondere Kategorien personenbezogener Daten (Art. 9 Abs. 2 DSGVO)

Grundsatz: Wir verarbeiten keine besonderen Kategorien (Art. 9 Abs. 1 DSGVO) außer wenn Sie diese freiwillig in lokalen Freitextfeldern erfassen (z. B. Allergien).
Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung), erteilt durch Ihre freiwillige Eingabe; die Daten bleiben ausschließlich lokal und verschlüsselt (5.1.4).
Keine Übermittlung solcher Inhalte an unsere Server oder Dritte.
Keine Verarbeitung zu medizinischen Zwecken, keine Profilbildung auf Basis sensibler Daten.
Bewerbungsverfahren (nur falls genutzt, siehe 15): Soweit Bewerber freiwillig sensible Angaben machen, Verarbeitung ebenfalls nur nach Art. 9 Abs. 2 lit. a DSGVO; ergänzend § 26 BDSG (Deutschland) für Beschäftigtendaten.

8. Auftragsverarbeiter & Empfänger

8.1 Supabase (Auftragsverarbeiter) -- DB/Auth/Edge, Region, TOMs, Sub-Prozessoren

8.1.1 Rolle, Vertrag & Geltungsbereich

Rolle: Supabase verarbeitet unsere Kundendaten („Covered Data") als Auftragsverarbeiter. Für eigene Betriebs-/Abrechnungs-/Sicherheitsdaten („Usage Data") handelt Supabase als eigener Verantwortlicher -- jeweils wie im AVV mit Supabase geregelt.
Vertragliche Grundlage: Auftragsverarbeitungsvertrag (AVV) mit Supabase inkl. Anhängen (TOMs, SCC, Sub-Prozessor-Regelungen).

8.1.2 Region, Leistungsumfang, Architektur

Region: Speicherung/Verarbeitung der Covered Data in der von uns gewählten EU-Region (Frankfurt/eu-central-1), gemäß AVV.
Services: Datenbank-Hosting (Postgres), Auth, Edge Functions/Proxy, Storage, Realtime u. a. gemäß AVV.
Isolierung: Mandantenfähige Schemas mit Row-Level-Security (RLS) und JWT-basiertem Zugriff, gemäß AVV.

8.1.3 Datenkategorien (durch Supabase verarbeitet)

Covered Data: von uns in Supabase gespeicherte App-Inhalte (z. B. synchronisierte Reisedaten/Anhänge) sowie Auth-/Kontodaten (E-Mail, Token-Metadaten) -- gemäß AVV.
Usage Data (Supabase-eigene Zwecke): technische Betriebs-/Abrechnungs-/Sicherheitsdaten, soweit zur Erbringung und Absicherung der Services erforderlich -- gemäß AVV.

8.1.4 Zwecke (durch Supabase)

Erbringung und Betrieb der gebuchten Dienste (Hosting, Auth, Edge), Support, Sicherheit/Skalierung -- gemäß AVV.
Nutzung von Usage Data durch Supabase für Betrieb, Abrechnung, Sicherheit und Produktverbesserung -- gemäß AVV.

8.1.5 Technische & organisatorische Maßnahmen (TOMs)

Transport-/Speicherschutz: TLS „in transit", Verschlüsselung „at rest" (AES-256) inkl. Backups -- gemäß AVV.
Zugriffs-/Identity-Kontrollen: Rollen/Least-Privilege, 2FA/MFA, Change-Management, Protokollierung -- gemäß AVV.
Backups/Verfügbarkeit: verschlüsselte Backups, PITR und Hochverfügbarkeit nach Service-Beschreibung -- gemäß AVV.
Tests/Monitoring: regelmäßige Sicherheitsprüfungen, Pen-Tests durch Dritte -- gemäß AVV.

8.1.6 Sicherheitsvorfälle & Benachrichtigung

Incident-Handling/Breach-Notice: zeitnahe Benachrichtigung, laufende Information und Unterstützung bei Behörden-/Betroffenenmeldungen gemäß AVV.

8.1.7 Sub-Prozessoren

Kategorien/Beispiele: Hosting/Netz (z. B. AWS, Netz/CDN), Logging/Analytics für Betriebszwecke, Support-/Kommunikations-Tools -- gemäß AVV.
Einbindung/Transparenz: Vorab-Informationen über Änderungen, Widerspruchs-/Abstimmungsmechanismen und Haftung von Supabase für Sub-Prozessoren -- gemäß AVV.

8.1.8 Internationale Datenübermittlungen & Garantien

Transfermechanismen: EU-Standardvertragsklauseln (SCC) (einschl. ggf. UK/Swiss-Addenda) sowie -- soweit einschlägig -- EU-US Data Privacy Framework (DPF) bei beteiligten US-Anbietern -- gemäß AVV.
Zusätzliche Schutzmaßnahmen (TIA/Safeguards): risikoadäquate technische und organisatorische Zusatzmaßnahmen nach Transfer-Impact-Bewertung -- gemäß AVV.

8.1.9 Unterstützung bei Betroffenenrechten & Audits

DSR-Support: Unterstützung bei Auskunft, Löschung, Berichtigung etc., nur nach unserer Weisung, gemäß AVV.
Nachweise/Audits: Dokumentations-/Zertifikatsbereitstellung und Audit-Rechte in den vereinbarten Grenzen -- gemäß AVV.

8.1.10 Rückgabe & Löschung nach Vertragsende

Rückgabe/Löschung sämtlicher Covered Data (einschl. Backups/Sub-Prozessoren) nach Vertragsende innerhalb der vereinbarten Fristen -- gemäß AVV.

8.1.11 Umsetzung in „Trabista"

EU-Region (Frankfurt), RLS/JWT, PITR (7 Tage), TLS/Pinning und Schlüsselmanagement sind in unserer Implementierung aktiv (siehe Abschnitte 5.2, 10.2, 11).
Keine Übermittlung sensibler lokaler App-Inhalte an Supabase außerhalb der freiwillig aktivierten Cloud-Synchronisation.

8.2 Scaleway (Transactional E-Mail, FR)

8.2.1 Rolle, Vertrag & Geltungsbereich

Rolle: Auftragsverarbeiter für den transaktionalen E-Mail-Versand (Kontaktformular der Website, Systemmails wie Verifikation/Reset im Cloud-Kontext).
Vertragliche Grundlage: Auftragsverarbeitungsvertrag (AVV) mit Scaleway inkl. Anlagen (TOMs, SCC/Addenda, Sub-Prozessor-Regelungen).
Weisungsgebundenheit: Verarbeitung ausschließlich zur Erbringung der beauftragten Versand-/Zustellleistung gemäß AVV.

8.2.2 Verarbeitungsgegenstand & Datenkategorien

Inhaltsdaten: vom Nutzer eingegebene Kontaktformular-Felder (Name -- optional, E-Mail, Betreff, Nachricht) sowie Anhänge (sofern beigefügt).
Adressdaten: unsere Empfänger-E-Mailadressen (z. B. gobbltech@proton.me, datenschutz@trabista.app, privacy@trabista.app).
Transport-/Headerdaten: Absender/Empfänger, Message-ID, Routing-Informationen, Zeitstempel.
Zustellprotokolle: Versandlogs (Erfolg/Fehler), Bounce/Complaint-Listen (Unzustellbarkeit/Beschwerden).
Kein Tracking: keine Marketing-Öffnungs-/Klick-Tracking-Pixel; keine Profilbildung.

8.2.3 Zwecke der Verarbeitung

Zustellung von Website-Kontaktanfragen und systembezogenen Benachrichtigungen.
Betriebssicherheit/Zustellbarkeit: Nachvollziehbarkeit bei Fehlversand/Bounce, Missbrauchsabwehr (Spam, Spoofing).
Support & Nachweis: technischer Nachweis der Versendung/Annahme ohne inhaltliche Auswertung zu Marketingzwecken.

8.2.4 Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung), sofern anfrage-/nutzungsbezogen.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) an sicherer Kommunikation, Zustellbarkeit, Missbrauchsabwehr (minimale Protokolle).
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflichten), soweit Nachweise/Aufbewahrung einschlägig sind.
Art. 6 Abs. 1 lit. a i. V. m. Art. 9 Abs. 2 lit. a DSGVO bei freiwilliger Übermittlung sensibler Daten -- nur zweckgebunden zur Anliegenbearbeitung.

8.2.5 Standort, Datenflüsse & internationale Übermittlungen

Primärer Verarbeitungsort: Frankreich (Paris/EU).
Planmäßige Drittlandübermittlungen: nicht vorgesehen.
Ausnahmefälle/Sub-Prozessoren: falls in Einzelfällen außerhalb des EWR erforderlich, erfolgen Übermittlungen ausschließlich mit geeigneten Garantien (SCC, ggf. UK/Swiss-Addenda) gemäß AVV.

8.2.6 Technische & organisatorische Maßnahmen (TOMs)

Transport: Mail-Transport via TLS Ende-zu-Ende soweit von den beteiligten Servern unterstützt; kein erzwungenes Marketing-Tracking.
Speicherung: zweckgebundene Zwischenspeicherung/Bearbeitung im Rahmen der Versandkette; Zugriffskontrollen, Rollenprinzip, Protokollierung gemäß AVV.
Schutzmechanismen: Anti-Spam/Anti-Abuse, Rate-Limiting, IP-/Domain-Reputation; kein inhaltsbezogenes Data-Mining.
Organisation: Sicherheitsrichtlinien, Patch-/Vulnerabilty-Management, Business Continuity/Disaster Recovery gemäß AVV.

8.2.7 Speicherdauern & Löschung

Versandlogs: 30 Tage (technische Zustellprotokolle).
Bounce/Complaint-Listen: 90 Tage (Zustellschutz/Fehleranalyse).
Inhaltsdaten: keine eigenständige, dauerhafte Speicherung jenseits des Zustellzwecks; Löschung/Rotation gemäß AVV und technischer Notwendigkeit.
Bei uns: E-Mails im Postfach ohne automatische Löschung; manuelle Löschung nach Problemlösung (siehe 5.8/6.2). Gesetzliche Aufbewahrungen bleiben unberührt.

8.2.8 Empfänger, Sub-Prozessoren & Verantwortlichkeiten

Scaleway handelt als Auftragsverarbeiter; etwaige Sub-Prozessoren werden nur gemäß AVV und mit geeigneten Garantien eingebunden.
Keine Weitergabe zu Werbe-/Analysezwecken. Behördenzugriffe nur im gesetzlich geregelten Ausnahmefall.
Wir bleiben Verantwortlicher für die Inhalte der Kommunikation und konfigurieren die Versandpfade.

8.2.9 Betroffenenrechte, Support & Audits

Betroffenenrechte: Auskunft/Löschung/Berichtigung werden durch uns bearbeitet; Scaleway unterstützt uns hierbei gemäß AVV.
Audits/Nachweise: Bereitstellung von Sicherheits-/Compliance-Nachweisen und Audit-Optionen im vereinbarten Rahmen gemäß AVV.

8.2.10 Besondere Hinweise & Nutzerkontrollen

Vertraulichkeit: E-Mails sind trotz TLS nicht zwangsläufig Ende-zu-Ende-verschlüsselt. Für sensible Inhalte empfehlen wir PGP/SMIME.
Freiwilligkeit: Die Nutzung des Formulars ist freiwillig; alternativ ist eine direkte E-Mail oder Post möglich (Abschnitt 2.2).
Keine Marketing-Mails: Es erfolgt kein Versand von Newslettern/Marketing ohne gesonderte Einwilligung.

8.2.11 Umsetzung in „Trabista"

Website-Formular sendet direkt via Scaleway an unsere Postfächer; keine DB-Ablage im CMS.
Wir führen keine Tracking-Pixel/Klick-Auswertungen ein.
Protokoll-/Listenfristen (30/90 Tage) sind bei Scaleway hinterlegt; unsere interne Löschung erfolgt nach Zweckerreichung bzw. gesetzlichen Pflichten.

8.3.2 AdMob (Werbung in der Free-Version)

Zweck & Einbindung

Ausspielung von Display-Werbung ausschließlich in der kostenlosen App-Variante.
Keine Verknüpfung mit lokalen App-Inhalten (Reisedaten, Anhänge etc.).
Premium/Pro: keine Werbung.

Datenkategorien (durch Google)

Werbe-ID (AD_ID), Geräte-/App-Metadaten (OS-/App-Version, Gerätemodell, Sprache), IP-Adresse (Grobstandort Land/Region), Ereignisse (Impression/Klick/Fehler).
EWR/UK: Personalisierung nur nach Einwilligung via CMP/UMP in der App; ohne Einwilligung nicht-personalisierte Ads (kontext-/aggregationsbasiert).

Rechtsgrundlagen

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für personalisierte Werbung im EWR/UK.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für nicht-personalisierte Ads, Reichweitenbegrenzung/Fraud-Prevention und technischen Betrieb.

Kontrolle & Widerruf

In-App-Präferenzen: Einwilligung erteilen/widerrufen; Wechsel auf nicht-personalisiert.
OS-Einstellungen: Werbe-ID zurücksetzen/deaktivieren.
Upgrade entfernt Ads vollständig.

Internationale Übermittlungen & Speicherdauern

Mögliche USA-Transfers durch Google; Absicherung via SCC/DPF.
Aufbewahrung nach Google-Policies (z. B. Ads-Signale i. d. R. bis zu \~14 Monate).
Wir speichern keine personenbezogenen Ad-Profile.

8.3.3 Google Play Billing (Käufe & Abonnements -- AKTIV)

Zweck & Verantwortlichkeit

Abwicklung ausschließlich über Google Play (Konto, Zahlungsmittel, Rechnungsstellung).
Google verarbeitet Zahlungs-/Kontodaten eigenverantwortlich. Wir erhalten nur Validierungssignale (z. B. Abo-Status).
Serverseitige Validierung erfolgt über RevenueCat (Auftragsverarbeiter) -- siehe Abschnitte 5.7 und 8.6.

Datenkategorien (bei uns minimal, funktionsbezogen)

Abo-Status/Ablauf, Entitlement-Status (von RevenueCat), Feature-Flags (Free/Premium/Pro) verschlüsselt lokal.
Keine Zahlungsmittel oder Anschriftsdaten bei uns.

Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Leistung: Freischaltung bezahlter Funktionen).
Art. 6 Abs. 1 lit. f DSGVO (Lizenzschutz/Fraud-Prevention).
Art. 6 Abs. 1 lit. c DSGVO (Nachweispflichten), nur sofern personenbezogen anfallend.

Internationale Übermittlungen & Speicherdauern

Google kann Daten außerhalb des EWR verarbeiten (SCC/DPF).
Bei uns: Lizenzstatus Laufzeit + 90 Tage; danach Löschung/Anonymisierung (Details 5.7.6).

8.3.4 Firebase (Crashlytics & Analytics -- derzeit deaktiviert, nur nach Opt-in)

Zweck & Status

Crashlytics: technische Absturzberichte/Stacktraces zur Stabilitätsverbesserung.
Analytics: aggregierte Nutzungssignale (z. B. Screen-Views).
Beide sind in unserer App implementiert, aber standardmäßig deaktiviert; Aktivierung nur nach ausdrücklicher Einwilligung (Opt-in) innerhalb der App (EWR/UK über CMP/UMP).

Datenkategorien (bei aktivierter Funktion)

Geräte-/App-Metadaten (App-/OS-Version, Modell), Crash-Details (Stacktrace, Zeitstempel), Ereignisse (Screen/Event-IDs), pseudonyme Instanz-/Sitzungs-IDs; keine lokalen Inhaltsdaten, keine besonderen Kategorien.
Keine Verknüpfung mit Ihrem Cloud-Konto/E-Mail durch uns.

Rechtsgrundlagen

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) -- zwingende Voraussetzung für jede Übermittlung an Firebase.
Widerruf jederzeit in-App; wirkt ex nunc.

Internationale Übermittlungen & Speicherdauern

Mögliche USA-Transfers; Absicherung via SCC/DPF.
Aufbewahrung nach Google-Policies; wir halten nur Konfigurations-/Consent-Status.

8.3.5 Google Maps Geocoding & Places API (Premium, über EU-Proxy)

Einbindung & Architektur

Zwei Services im Premium-Tarif:
- Google Maps Geocoding API für erweiterte Ortssuche
- Google Places API (Enterprise) für Smart Contact Auto-Fill (NEU: 2025-10-24)
Alle Anfragen aus der App werden nicht direkt an Google gesendet, sondern über eine EU-basierte Supabase Edge Function (Proxy) weitergeleitet.
Dadurch wird Ihre Geräte-IP gegenüber Google nicht offengelegt; Google sieht die Proxy-IP (EU).
Smart Contact Auto-Fill:
- Automatisches Ausfüllen von Telefonnummer und Website für Hotels/Hostels
- 30-Tage-Cache (place_contact_cache) zur API-Kostenoptimierung
- Zugriff auf 170M+ Business-Datenbank
- Nur für Business-Typen aktiviert (Hotels, Hostels)
Übermittelt werden nur die notwendigen Parameter (Suchstring/Koordinaten für Geocoding, Place-ID für Contact Auto-Fill), keine Nutzerkennungen (keine E-Mail, keine Account-ID).

Verantwortlichkeit & Datenverarbeitung

Google verarbeitet die Geocoding-Parameter eigenverantwortlich (eigene Zwecke/Bedingungen).
Wir verwenden die Antwort ausschließlich zur Anzeige/Weiterverarbeitung in der App (z. B. Zielkoordinaten).

Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO (Erfüllung der vom Nutzer abgerufenen Premium-Funktion).
Art. 6 Abs. 1 lit. f DSGVO (Betrieb/Stabilität/Fehleranalyse des Proxy-Layers auf Metaebene).

Internationale Übermittlungen & Speicherdauern

Google kann Daten EU-intern verarbeiten und -- je nach Dienst -- auch in die USA übertragen (SCC/DPF).
Proxy-Logs (EU): minimal und kurzzyklisch zur Betriebs-/Sicherheitszwecken (Details 5.5).

Website-Hinweis: Auf der PHP-Website (ohne CMS) wird kein Google-Maps-Widget und keine Google-Geocoding-API eingesetzt. Abschnitt 8.3.5 betrifft nur die App (Premium-Funktion).

8.3.6 Apple App Store / StoreKit (Käufe & Abonnements iOS -- AKTIV)

Einbindung & Architektur

Apple Distribution International Ltd. (Hollyhill Industrial Estate, Hollyhill, Cork, Irland) vertreibt die iOS-App über den Apple App Store und wickelt In-App-Käufe/Abos über StoreKit 2 ab.
Apple Inc. (One Apple Park Way, Cupertino, CA, USA) ist der globale Konzernbetreiber; der Vertragspartner für Kunden im EWR ist jedoch Apple Distribution International (Irland).
In-App-Käufe laufen direkt zwischen Nutzer und Apple; wir sehen keine Zahlungsmittel-, Rechnungs- oder Apple-ID-Daten.
RevenueCat validiert die Apple-Transaktionen serverseitig (siehe § 8.6). Apple sendet Abo-Statusänderungen per App Store Server Notifications V2 an RevenueCat.

Verantwortlichkeit & Datenverarbeitung

Apple ist für die Verarbeitung aller zahlungs- und kontobezogenen Daten eigenverantwortlich (Art. 4 Nr. 7 DSGVO). Kein AVV mit uns.
Wir erhalten ausschließlich pseudonyme Entitlement-/Abo-Status- und Transaktions-IDs über RevenueCat -- ohne Apple-ID, Name, Zahlungsmittel oder Rechnungsadresse.

Datenkategorien (bei Apple; nicht für uns einsehbar)

Apple-ID, Zahlungsprofil, Rechnungs-/Abrechnungsdaten, Transaktionshistorie, Geräte-/Kaufschutzsignale.
App Store Analytics auf Entwicklerseite sind aggregiert und nicht nutzerbezogen einsehbar.

Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Kauf-/Abo-Vertrags zwischen Nutzer und Apple, Freischaltung bezahlter App-Funktionen).
Art. 6 Abs. 1 lit. f DSGVO (Lizenzschutz, Betrugsprävention auf unserer Seite über RevenueCat-Entitlements).

Internationale Übermittlungen

Primärverarbeitung bei Apple Distribution International (Irland, EU). Konzerninterne Übermittlungen in die USA (Apple Inc.) sind möglich und laut Apple über Standardvertragsklauseln (SCC) und -- soweit einschlägig -- das EU-US Data Privacy Framework (DPF) abgesichert.

Speicherdauern

Bei Apple gemäß Apples eigener Aufbewahrungsrichtlinien und gesetzlichen Vorgaben.
Bei uns: nur pseudonymer Entitlement-Status (siehe 5.7.6).

Nutzerkontrollen & Folgen der Nichtbereitstellung

Abo-Verwaltung/Kündigung: über Einstellungen → Apple-ID → Abonnements auf dem iOS-Gerät.
Erstattung: über reportaproblem.apple.com nach Apples Medienrichtlinien.
Ohne Kauf bleibt die iOS-App voll nutzbar in der Free-Variante (mit Werbung, siehe 5.4).

Transparenz & Links

Apple Datenschutz: https://www.apple.com/legal/privacy/
Apple Media Services -- Nutzungsbedingungen: https://www.apple.com/legal/internet-services/itunes/
App Store & Datenschutz (Apple Support): https://support.apple.com/de-de/HT210584

Website-Hinweis: Die PHP-Website verweist lediglich auf den App Store (Download-Badge). Eigene Verarbeitungen auf der Website im Zusammenhang mit Apple finden nicht statt.

8.3.7 Sentry (Fehler- & Performance-Analyse iOS -- AKTIV, EU-Region)

Einbindung & Architektur

Anbieter: Functional Software, Inc. (d/b/a Sentry), 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA.
EU-Vertretung: Sentry GmbH, Berlin, Deutschland.
Primärregion: EU (Frankfurt / AWS) -- DSN-Endpoint ingest.de.sentry.io.
Rolle: Auftragsverarbeiter nach Art. 28 DSGVO; ein Auftragsverarbeitungsvertrag (AVV/DPA) liegt vor (https://sentry.io/legal/dpa/).
Einsatzgebiet: ausschließlich iOS-App (nativer Swift-Client, sentry-cocoa 8.58+); keine Einbindung in die PHP-Website, keine Einbindung in die Android-App.

Verarbeitungsgegenstand & Datenkategorien

Crash-/Fehler-Events: Stacktraces, Exception-Kontext, Release-/Environment-Tag.
Performance-Traces (20 %-Sampling) und Profiling-Sessions (10 %-Sampling) zur Leistungsanalyse.
View-Hierarchy-Snapshot beim Absturz (UI-Struktur ohne Inhaltsdaten).
Weitergeleitete Logs: ausgewählte OSLog/print-Zeilen (enableLogs = true).
Geräte-/OS-/App-Metadaten: Gerätemodell, iOS-Version, App-Build, Sprache/Region, Netzwerkstatus.
Ausdrücklich NICHT erhoben: IP-Adresse (sendDefaultPii = false, nicht überschrieben), Nutzer-ID (kein SentrySDK.setUser), E-Mail-Adresse, Reise-/Gepäckdaten, Dateianhänge, Zahlungs-/Kaufdaten.

Zwecke der Verarbeitung

Stabilität, Performance-Qualität, Betriebssicherheit und schnelle Fehlerdiagnose der iOS-App.

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem und performanten Betrieb). Keine Einwilligung erforderlich, da keine personenbezogenen Kennungen übermittelt werden und keine zustimmungspflichtigen Endgeräte-Zugriffe nach § 25 TDDDG erfolgen. Widerspruchsrecht nach Art. 21 DSGVO besteht (Kontakt siehe § 18).

Internationale Übermittlungen & Garantien

Primär: Verarbeitung in der EU-Region (Frankfurt, AWS). Keine planmäßigen Primärübermittlungen in die USA.
Support-/Wartungszugriffe aus den USA (Sentry-Personal) können im AVV-Rahmen erforderlich sein; Absicherung über EU-Standardvertragsklauseln (SCC) und -- soweit DPF-zertifiziert -- das EU-US Data Privacy Framework (DPF) (Fallback).
Unterauftragsverarbeiter: insb. AWS (EU/US) gemäß Sentry-AVV.

Sicherheit / TOMs

Transport: TLS 1.3.
At rest: Verschlüsselung auf AWS-Infrastruktur.
Zertifizierungen: SOC 2 Type II, ISO 27001.
Zugriff: rollenbasiert/Least-Privilege; Audit-Logs.

Speicherdauern

Event-/Crash-Daten: max. 90 Tage (Standard-Aufbewahrung Business-Plan); aggregierte/summierte Metriken ggf. länger in anonymisierter Form.

Kontrolle durch Nutzer

Kein In-App-Opt-out, da keine personenbezogenen Kennungen übermittelt werden; Widerspruch gem. Art. 21 DSGVO per Kontakt möglich.

Transparenz & Links

Sentry Privacy: https://sentry.io/privacy/
Sentry DPA: https://sentry.io/legal/dpa/
Sentry Apple/iOS -- erfasste Daten: https://docs.sentry.io/platforms/apple/data-management/data-collected/
Sentry Trust Center: https://sentry.io/trust/

Website-Hinweis: Auf der PHP-Website wird kein Sentry-SDK geladen. Abschnitt 8.3.7 betrifft ausschließlich die iOS-App.

8.4 Photon (komoot) & OpenStreetMap (Geocoding/Reverse)

8.4.1 Rolle & Einbindung

Photon (komoot GmbH, DE) und OpenStreetMap Foundation (OSMF, EU/UK-Server) werden zur Ortssuche/Geocodierung und Reverse-Geocodierung genutzt -- primär für Free-Nutzer (Standard), OSM als Fallback.
Beide handeln für ihre jeweiligen Verarbeitungen als eigene Verantwortliche (Art. 4 Nr. 7 DSGVO). Kein AVV mit uns.
Keine kontinuierliche Standortverfolgung; Anfragen entstehen nur aus manuell eingegebenen Orten/Adressen bzw. aus von Ihnen veranlassten Koordinaten.

8.4.2 Verarbeitete Daten (typisch)

Such-/Abfrageparameter: Ort/Adresse/POI oder Koordinaten (lat/lon) zur Geocodierung/Reverse-Geocodierung.
Technische Metadaten: Zeitpunkt, User-Agent, IP-Adresse (auf Serverseite), Status-/Fehlersignale, ggf. Rate-Limit-Indikatoren.
Nicht übermittelt: keine E-Mail-Adressen, keine App-Konten/IDs, keine lokalen Inhaltsdaten (Trips, Anhänge).
App-seitig lokal: Ihre eingegebenen Ziele/Reiseobjekte werden nur lokal verschlüsselt gespeichert (vgl. 5.1.4).

8.4.3 Zwecke

Geocoding/Reverse: Umwandlung von Suchbegriffen in Koordinaten und umgekehrt zur komfortablen Reise-/Listenplanung.
Qualität & Stabilität: Behebung technischer Fehler, Einhaltung von Nutzungsbedingungen/Rate-Limits (Meta-/Fehlerinformationen).

8.4.4 Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO: Erforderlich zur Erbringung der von Ihnen abgerufenen Ortssuche/-auflösung in der App.
Art. 6 Abs. 1 lit. f DSGVO: Betrieb/Sicherheit/Missbrauchsabwehr auf Basis minimaler Protokolldaten.
Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): nicht erforderlich, da keine optionalen Marketing-/Tracking-Dienste eingebunden sind.

8.4.5 Empfänger, Verantwortlichkeit & Datenflüsse

Photon (komoot GmbH, DE): Empfänger Ihrer pseudonymen Suchanfragen (ohne Nutzerkennung); Verarbeitung auf deutschen/europäischen Servern.
OpenStreetMap Foundation (EU/UK-Server): Empfänger pseudonymer Such-/Reverse-Anfragen; UK ist per Angemessenheitsbeschluss datenschutzrechtlich gesichert.
Keine Weitergabe durch uns an weitere Dritte; kein Einsatz von Tracking-/Marketing-Pixeln im Zusammenhang mit diesen API-Aufrufen.

8.4.6 Internationale Übermittlungen

Photon/OSM: regulär keine Drittlandübermittlung; Verarbeitung erfolgt auf DE/EU/UK-Servern.
Sollte ein Betreiber im Ausnahmefall in andere Regionen spiegeln/ausliefern, gelten hierfür die eigenen Garantien/Policies der Anbieter; wir übermitteln keine Nutzerkennungen.

8.4.7 Speicherdauern

Bei uns (App): Suchbegriffe/Koordinaten nur zweckgebunden im jeweiligen Trip/Objekt; keine eigenständige Verlaufs-/Profilbildung.
Bei den Diensten: Aufbewahrung nach eigenen Richtlinien der Anbieter (z. B. kurzzeitige Server-/Fehlerlogs). Wir übermitteln nur die notwendigen Abfrageparameter.

8.4.8 Sicherheit

Transport: durchgängig TLS zwischen App ↔ Dienst.
Datenminimierung: keine E-Mail-/Account-IDs, nur Suchstring/Koordinaten und unvermeidbare technische Metadaten.
Trennung: Ergebnisse werden in der App verarbeitet; keine Verknüpfung mit Ad-IDs, Crash-/Analytics-Daten o. Ä.

8.4.9 Kontrolle & Folgen der Nichtbereitstellung

Ohne Nutzung der Ortssuche können Sie Reiseziele manuell als Freitext pflegen; Komfortfunktionen (Auto-Vervollständigung, Reverse-Geocodes) entfallen.
Die Kernfunktionen (lokale Planung, Checklisten, Erinnerungen) bleiben uneingeschränkt nutzbar.

8.4.10 Transparenz & Links

Photon (komoot) -- Datenschutz:
OpenStreetMap Foundation -- Privacy Policy:

Website-Hinweis: Auf der PHP-Website (ohne CMS) werden keine Geocoding-/Maps-Dienste geladen. Abschnitt 8.4 betrifft nur die App (Free/Fallback).

8.5 OpenWeather (Wetter, UK -- via EU-Proxy)

8.5.1 Rolle & Einbindung

OpenWeather Ltd. (UK) liefert Wettervorhersagen für Reiseziele -- nur im Premium-Tarif.
Die App ruft keine OpenWeather-Endpunkte direkt auf. Alle Anfragen laufen über eine EU-basierte Supabase Edge Function (Proxy).
Verantwortlichkeit: OpenWeather verarbeitet die von der Proxy weitergeleiteten Parameter als eigener Verantwortlicher. Kein AVV mit uns.

8.5.2 Verarbeitete Daten (durch die Proxy/den Dienst)

Abfrageparameter: Koordinaten (lat/lon) bzw. ggf. ein Ziel-Ort, den Sie in der App gewählt haben.
Technische Metadaten (Proxy-Ebene): Zeitpunkt, Status-/Fehlercodes, Proxy-IP (EU), minimierte Logs zur Betriebssicherheit/Missbrauchsabwehr.
Nicht übermittelt: keine E-Mail-Adressen, keine App-Konten/IDs, keine lokalen Inhaltsdaten (Trips, Anhänge).
OpenWeather-Antwort: Vorhersage-/Wetterdaten (Temperatur, Niederschlag, etc.) -- werden nur in der App angezeigt/weiterverarbeitet.

8.5.3 Zwecke der Verarbeitung

Wetteranzeige für von Ihnen gewählte Reiseziele, um Planung und Vorbereitung zu erleichtern.
Proxy-Zwecke: Stabilität, Laststeuerung, IP-Abschirmung (OpenWeather sieht nicht Ihre Geräte-IP, sondern die EU-Proxy-IP), Fehlerbehandlung.

8.5.4 Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Leistung): Bereitstellung der von Ihnen abgerufenen Premium-Wetterfunktion.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Betrieb/Stabilität/Sicherheit des Proxy-Layers auf Metaebene (minimale Protokollierung).
Einwilligung ist für diese Funktion nicht erforderlich (keine Marketing-/Trackingdienste).

8.5.5 Internationale Datenübermittlungen & Garantien

UK besitzt einen EU-Angemessenheitsbeschluss. Anfragen an OpenWeather (UK) erfolgen über den EU-Proxy.
Soweit OpenWeather im Rahmen der eigenen Leistung weitere Übermittlungen vornimmt, gelten deren eigene Garantien/Policies (z. B. SCC). Wir übermitteln nur die notwendigen Koordinatenparameter.

8.5.6 Speicherdauern

App-seitig: Wetterdaten werden nur temporär für die Anzeige/Session genutzt; keine dauerhafte, personenbezogene Speicherung.
Proxy-Logs (EU): kurzzyklisch und zweckgebunden (Betrieb/Sicherheit); kein Profiling.
OpenWeather: Aufbewahrung gemäß eigenen Richtlinien des Anbieters; es werden keine Nutzerkennungen übermittelt.

8.5.7 Sicherheit

Transport: durchgängig TLS (App ↔ EU-Proxy ↔ OpenWeather).
Datenminimierung: Weitergabe ausschließlich koordinatenbasierter Parameter; keine E-Mail/Account-IDs, keine AD_ID/Tracking-IDs.
Architektur: EU-Proxy entkoppelt Ihr Endgerät von OpenWeather; reduziert Datenexposition und ermöglicht Rate-Limiting/Fehler-Sanitizing.

8.5.8 Kontrolle & Folgen der Nichtbereitstellung

Die Wetterfunktion ist optional (Premium). Wenn Sie sie nicht nutzen/abbestellen, bleibt die App vollständig funktionsfähig; es entfällt lediglich die Wetteranzeige.
Sie können Reiseziele weiterhin ohne Wetterdaten planen.

8.5.9 Transparenz & Verweise

OpenWeather -- Privacy Policy: (siehe Website von OpenWeather)
Hinweis: Auf der PHP-Website (ohne CMS) wird keine Wetter-API geladen. Abschnitt 8.5 betrifft nur die App (Premium-Feature).

8.6 RevenueCat (Abo-Verwaltung & Validierung, USA)

8.6.1 Rolle, Vertrag & Geltungsbereich

Rolle: Auftragsverarbeiter für die serverseitige Abo-Validierung und das Subscription-Lifecycle-Management der In-App-Käufe und Abonnements (Freischaltung Premium-/Pro-Funktionen).
Anbieter: RevenueCat, Inc., San Francisco, CA, USA.
Vertragliche Grundlage: Auftragsverarbeitungsvertrag (DPA/AVV) mit RevenueCat inkl. Anlagen (TOMs, SCC, Sub-Prozessor-Regelungen), wirksam seit 17.12.2025.
Weisungsgebundenheit: Verarbeitung ausschließlich zur Erbringung der beauftragten Abo-Validierungs- und Entitlement-Management-Leistung gemäß DPA.

8.6.2 Verarbeitungsgegenstand & Datenkategorien

Anonyme Nutzer-ID: Von RevenueCat generierte pseudonyme ID ($RCAnonymousID); kein Bezug zu E-Mail-Adresse, App-Konto oder Klarnamen.
Purchase Tokens: Von Google Play generierte Kauf-/Abo-Token zur serverseitigen Validierung gegenüber Google.
Produkt-/Abo-Informationen: Tarif-Kennung, Laufzeit, Verlängerungs-/Kündigungsstatus, Ablaufdatum, Entitlements.
App-/Plattform-Metadaten: Plattform (Android), OS-Version, App-Version, Locale/Sprache.
IP-Adresse: Bei SDK-Kommunikation zwischen App und RevenueCat-Backend (für Transportzwecke und Sicherheit/Fraud).
Zeitstempel: Kauf-, Verlängerungs-, Ablaufzeitpunkte.
Nicht übermittelt: keine E-Mail-Adressen, keine Klarnamen, keine Zahlungsmitteldaten, keine lokalen App-Inhalte (Reisedaten, Anhänge), keine Geräte-Werbe-IDs (collectDeviceIdentifiers() wird nicht aufgerufen), keine Custom Subscriber Attributes.

8.6.3 Zwecke der Verarbeitung

Serverseitige Kauf-/Abo-Validierung gegenüber Google Play (Echtheitsprüfung der Purchase Tokens).
Subscription-Lifecycle-Management: Verwaltung von Verlängerungen, Kündigungen, Grace Periods, Billing Issues und Entitlement-Status.
Entitlement-Bereitstellung: Ermittlung und Rückgabe des Berechtigungsstatus (Free/Premium/Pro) an die App zur Feature-Freischaltung.
Betriebssicherheit/Fraud-Prävention: Erkennung ungültiger oder missbräuchlicher Token/Transaktionen.

8.6.4 Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Leistung): Freischaltung und Verwaltung bezahlter App-Funktionen als Teil der vertraglichen Leistungserbringung.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Lizenzschutz, Fraud-Prävention, technische Nachvollziehbarkeit, zuverlässige Abo-Verwaltung.
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht): Soweit gesetzliche Nachweispflichten für Geschäftsvorgänge einschlägig sind (nur, soweit personenbezogen tatsächlich anfallend).

8.6.5 Standort, Datenflüsse & internationale Übermittlungen

Primärer Verarbeitungsort: USA (RevenueCat-Infrastruktur auf Amazon Web Services).
Transfermechanismen: EU-Standardvertragsklauseln (SCC) sowie -- soweit einschlägig -- EU-US Data Privacy Framework (DPF).
Zusätzliche Schutzmaßnahmen: Verschlüsselung in Transit (TLS) und at Rest; SOC 2 Type II Zertifizierung; Zugriffsbeschränkungen nach Rollenprinzip.
Datenfluss: App → (TLS) → RevenueCat-Backend (AWS/USA) → (Validierung gegen) → Google Play Developer API.
Keine Übermittlung an weitere Drittländer über die USA-Verarbeitung hinaus.

8.6.6 Technische & organisatorische Maßnahmen (TOMs)

Transport: TLS für sämtliche Kommunikation zwischen App-SDK und RevenueCat-Backend.
Speicherung: Verschlüsselung "at rest" auf AWS-Infrastruktur.
Compliance: SOC 2 Type II zertifiziert (regelmäßige Auditierung).
Zugriffs-/Identity-Kontrollen: Rollen-/Rechtekonzept, Least-Privilege-Prinzip, Protokollierung.
Datenminimierung: Standardmäßig nur die zur Abo-Verwaltung notwendigen Daten; keine optionalen Identifikatoren (collectDeviceIdentifiers() nicht aktiviert).
Pseudonymisierung: Nutzerzuordnung erfolgt ausschließlich über anonyme RevenueCat-IDs ($RCAnonymousID); kein Mapping zu E-Mail/Klarnamen.

8.6.7 Sub-Prozessoren

Infrastruktur: Amazon Web Services (AWS) für Hosting/Speicherung/Compute.
Weitere Sub-Prozessoren: gemäß RevenueCat Sub-Processor-Liste (einsehbar unter https://www.revenuecat.com/dpa).
Einbindung/Transparenz: Vorab-Information über Änderungen und Widerspruchsmechanismen gemäß DPA.

8.6.8 Speicherdauern & Löschung

Abo-/Transaktionsdaten: Speicherung während der aktiven Geschäftsbeziehung zwischen uns und RevenueCat.
Nach Vertragsende: Löschung sämtlicher verarbeiteter Daten innerhalb der im DPA vereinbarten Fristen.
Anonyme Nutzer-IDs: Verbleiben solange ein aktives oder kürzlich abgelaufenes Abonnement besteht; Bereinigung nach Zweckentfall gemäß DPA.
Logs/Sicherheitsdaten: Kurzzyklische Aufbewahrung für Betriebs- und Sicherheitszwecke gemäß DPA.

8.6.9 Betroffenenrechte, Support & Audits

Betroffenenrechte: Auskunft/Löschung/Berichtigung werden durch uns bearbeitet; RevenueCat unterstützt uns hierbei gemäß DPA.
Nachweise/Audits: SOC 2 Type II Berichte sowie Audit-Rechte im vereinbarten Rahmen gemäß DPA.

8.6.10 Umsetzung in „Trabista"

RevenueCat ersetzt die bisherige Supabase Edge Function (/verify-purchase) für die serverseitige Kauf-Validierung.
Keine Custom Subscriber Attributes konfiguriert (keine E-Mail-/Namens-Übermittlung an RevenueCat).
Keine collectDeviceIdentifiers()-Aufrufe (keine Werbe-ID-Erfassung durch RevenueCat).
Keine Attribution-Integrationen, Webhooks an Dritte oder Experiment-Funktionen aktiviert.
Die App erhält von RevenueCat ausschließlich den Entitlement-Status zur lokalen Feature-Freischaltung.

Website-Hinweis: Auf der PHP-Website (ohne CMS) wird kein RevenueCat-SDK geladen. Abschnitt 8.6 betrifft nur die App (Abo-Verwaltung).

9. Internationale Datenübermittlungen

Kernaussage: Die Verarbeitung erfolgt grundsätzlich in der EU (insbes. Frankfurt/eu-central-1; auch Sentry nutzt die EU-Region). Internationale Übermittlungen finden nur ausnahmsweise und zweckgebunden statt -- etwa bei Google-Diensten (AdMob, Play Billing, optional Firebase; Premium-Geocoding), bei Apple (App Store/StoreKit, Konzern-intern USA) sowie bei OpenWeather (UK) oder OSMF (UK). Sämtliche Drittlandtransfers werden durch anerkannte Garantien (insb. SCC, ggf. EU-US DPF) und zusätzliche Schutzmaßnahmen abgesichert.

9.1 Standardvertragsklauseln (SCC -- Module 2/3)

Einsatzbereich: Für Datenexporte in Drittländer ohne Angemessenheitsbeschluss verwenden wir die EU-SCC.
Module:
- Modul 2 (Controller → Processor): z. B. wenn wir EU-Daten an einen nicht-EU-Auftragsverarbeiter übertragen.
- Modul 3 (Processor → Processor): z. B. wenn ein EU-AV (unser Auftragsverarbeiter) wiederum einen nicht-EU-Unterauftragsverarbeiter einsetzt.
Onward Transfers: Unterauftragsverarbeiter dürfen Daten nur auf Basis gleichwertiger Schutzmechanismen (SCC/Angemessenheit) weiterübermitteln.
Kernpflichten: Zweckbindung, Datenminimierung, Vertraulichkeit, state-of-the-art-Sicherheit, Assistenz bei Betroffenenrechten, Audits/Nachweisführung, Informationspflichten bei Behördenzugriffen.
Konflikt-of-Laws-Klauseln: Gesetzliche Offenlegungsanfragen werden geprüft, angefochten, auf das rechtlich notwendige Minimum beschränkt und dokumentiert; wir werden -- soweit zulässig -- benachrichtigt.

9.2 EU-US Data Privacy Framework (DPF)

Anwendbarkeit: Für US-Empfänger, die nach DPF zertifiziert sind (z. B. bestimmte Google-Einheiten), stützen wir Übermittlungen -- soweit einschlägig -- auf das DPF.
Fallback: Gilt DPF nicht (Dienst/Entität/Scope), kommen EU-SCC (inkl. UK/Swiss-Addenda, falls erforderlich) plus ergänzende TOMs zum Einsatz.
Transparenz: Wir verfolgen Änderungen des Rechtsrahmens und aktualisieren diese Datenschutzerklärung sowie unsere Vertragslage, wenn dies erforderlich wird.

9.3 Ergänzende technische/organisatorische Maßnahmen (Safeguards)

Verschlüsselung: TLS 1.3 für alle Übertragungen; optionale Verschlüsselung at rest auf Server-/DB-Ebene; SQLCipher (AES-256) lokal.
Schlüsselverwaltung: Android Keystore (App) und HSM-gestützte Verfahren auf Server-/Provider-Seite (gem. AVV).
Datenminimierung/Pseudonymisierung: Keine Übermittlung lokal sensibler Inhalte; Cloud-Sync nur bei Opt-in; API-Aufrufe (Geocoder/Wetter) ohne E-Mail/Account-ID.
EU-Proxy/Edge: Premium-Geocoding (Google) und Wetter (OpenWeather) laufen über EU-Proxy; Geräte-IP wird nicht offengelegt (Google/OpenWeather sehen die EU-Proxy-IP).
Zugriffs-/Rollenprinzip: Least-Privilege, Protokollierung administrativer Zugriffe, 2FA/MFA, RLS (DB), JWT-basierte Auth.
Logs: minimale Betriebs-/Fehlerprotokolle, kurze Rotationsfristen, kein Profiling.
Behördenzugriffe: Prüfung jeder Anfrage, Enge Auslegung, Anfechtung überzogener Begehren, Informationsweitergabe an Betroffene, soweit rechtlich zulässig.

9.4 UK- und Swiss-Addenda

UK: Für Übermittlungen an oder über Vereinigtes Königreich nutzen wir den UK-Angemessenheitsbeschluss (sofern anwendbar, z. B. OpenWeather/OSMF) oder EU-SCC + UK-Addendum.
Schweiz: Falls Schweizer Recht betroffen ist, werden SCC mit Swiss-Addendum/Anpassungen verwendet.

9.5 Dienst-/Empfängerübersicht (Transfer-Kurzprofil)

Supabase (EU, Frankfurt)
- Rolle: Auftragsverarbeiter (DB/Auth/Edge).
- Primärort: EU. Etwaige Unterauftragsverarbeiter/Telemetrie ausschließlich gem. AVV (SCC/Safeguards). Kein Export sensibler Lokaldaten.
Scaleway (FR, EU)
- Rolle: Auftragsverarbeiter (Mail-Zustellung des Kontaktformulars).
- Übermittlung: keine planmäßigen Drittländer.
Google (eigener Verantwortlicher)
- AdMob (Free-Ads): EWR/UK mit/ohne Einwilligung (Personalisierung); mögliche USA-Transfers → DPF/SCC.
- Play Billing : Zahlungen/Konto bei Google; mögliche USA-Transfers → DPF/SCC.
- Firebase (Opt-Out): mögliche USA-Transfers → DPF/SCC.
- Maps Geocoding & Places API (Premium): Aufruf über EU-Proxy; Google sieht EU-Proxy-IP; mögliche USA-Transfers → DPF/SCC. Includes Smart Contact Auto-Fill for hotels/hostels (since 2025-10-24).
Apple Distribution International Ltd. (Irland, EU) -- eigener Verantwortlicher
- App Store-Distribution & StoreKit (iOS-Käufe/Abos): Vertragspartner für EWR-Kunden ist Apple Ireland; konzerninterne Übermittlungen an Apple Inc. (USA) möglich, Absicherung laut Apple über SCC und -- soweit einschlägig -- DPF.
- App Tracking Transparency (ATT) / SKAdNetwork: Steuerung durch Apple; Werbe-Attributionsdaten bleiben auf Geräte-/Apple-Ebene.
- Wir erhalten keine personenbezogenen Kauf-/Zahlungsdaten.
OpenWeather (UK, Premium-Wetter)
- Rolle: eigener Verantwortlicher.
- Übermittlung: EU → UK (Angemessenheitsbeschluss); Aufruf über EU-Proxy (keine Geräte-IP bei OpenWeather).
Photon (komoot, DE) & OSMF (UK/EU-Server)
- Rolle: eigene Verantwortliche (Free/Fallback-Geocoder).
- Übermittlung: DE/EU/UK; UK durch Angemessenheitsbeschluss abgesichert; keine planmäßigen USA-Transfers.
Sentry (Functional Software, Inc.; EU-Region Frankfurt/AWS)
- Rolle: Auftragsverarbeiter (AVV vorhanden).
- Primärort: EU (ingest.de.sentry.io). Keine planmäßigen Primärübermittlungen in die USA.
- Support-Zugriffe aus den USA nur im AVV-Rahmen (SCC, ggf. DPF-Fallback).

9.6 Ihre Optionen

Ohne Cloud/ohne Premium verbleibt nahezu die gesamte Verarbeitung lokal auf Ihrem Gerät (vgl. 5.1, 5.3--5.5).
Einwilligungen steuern: Personalisierte Ads sowie Crash/Analytics sind opt-out und jederzeit widerrufbar (vgl. 5.4, 5.6, 7.3).
Export/Löschung: Cloud-Daten können exportiert und das Konto in-App gelöscht werden; Backups verfallen nach 7 Tagen (vgl. 5.2.6, 10.2).

10. Speicherdauern, Löschung & Aufbewahrung

10.1 Lokale Daten (Gerät)

Datenarten: Reisedaten (Trips, Teilnehmer, Checklisten, Notizen), Anhänge (z. B. Fotos/Dokumente, sofern lokal gespeichert), Einstellungen/Feature-Flags, Erinnerungen/Alarme, ggf. sensible Freitextangaben (nur lokal).
Speicherdauer: unbegrenzt, bis zur manuellen Löschung durch Nutzer oder App-Deinstallation.
Löschung:
- In-App: Löschung einzelner Einträge/Trips bzw. „Alles löschen".
- Systemseitig: Deinstallation entfernt alle App-Daten (App-Sandbox).
Backups: Android Auto-Backup ist standardmäßig aktiviert.
- Datenbank NICHT verschlüsselt: Vollständiges Backup zu Google Drive (clientSideEncryption, max. 25MB).
- Datenbank MIT SQLCipher verschlüsselt: Datenbank ausgeschlossen aus Sicherheitsgründen; andere App-Daten werden gesichert.
- Deaktivierung jederzeit in Systemeinstellungen möglich.
Manuelle Backups (.trabista-Format):
- Nutzer kann passwortgeschützte, verschlüsselte Backups erstellen (seit 2025-10-02)
- AES-256-GCM Verschlüsselung mit Argon2id Schlüsselableitung (3 Iterationen, 64MB)
- GZIP-Kompression und HMAC-SHA256 Integritätsprüfung
- Speicherung an beliebigem Ort (Google Drive, Downloads, lokal, USB)
- Wiederherstellung mit drei Merge-Strategien:
  - Replace All (alle Daten ersetzen)
  - Keep Newer (neuere Versionen behalten)
  - Keep Existing (bestehende Daten behalten)
- Keine Passwort-Recovery -- Daten permanent gesperrt bei Passwort-Vergessen
- Vollständige Kontrolle: Nutzer entscheidet über Speicherort, Zeitpunkt, Aufbewahrung
Sicherheit: SQLCipher (AES-256) + Android Keystore (Schlüsselverwaltung).

10.2 Cloud-Daten (Supabase)

Datenarten: Bei aktivierter Cloud-Sync (Premium) -- Konto/Authentifizierung (E-Mail, Token-Metadaten), synchronisierte Reisedaten/Anhänge, minimal erforderliche Betriebs-/Fehlerprotokolle (Edge/Proxy).
Speicherdauer:
- Solange das Konto aktiv ist.
- Inaktivität: Löschung der Cloud-Daten nach 365 Tagen ohne aktiven Login (geplant, siehe 10.6).
- Backups: Point-in-Time-Recovery (PITR) 7 Tage (Rotationsfenster).
Löschung:
- In-App-Funktion „Konto & Daten löschen" (deleteAccountAndData) → unverzügliche Löschung der Primärdaten in der Produktivdatenbank.
- Backups: technische Unveränderbarkeit bis zur planmäßigen Überschreibung nach max. 7 Tagen; keine Wiederherstellung aus Backups, außer zur Untersuchung eines Sicherheitsvorfalls/gesetzlicher Pflicht.
- Anhänge/Blobs: Mit Konto-/Objektlöschung werden referenzierte Dateien im Cloud-Storage mitgelöscht.
Hinweis: Ohne aktivierte Cloud-Sync werden keine App-Inhalte zu Supabase übertragen.

10.3 Abo-/Lizenzdaten (Google Play Billing & RevenueCat)

Datenarten (bei uns):
- Abo-/Lizenzstatus (Tarif, Ablauf, Verlängerung) -- während aktiver Laufzeit, danach + 90 Tage Kulanz/Fehlerklärung.
- Feature-Flags (Free/Premium/Pro) -- bis App-Deinstallation oder Zurückstufung; in verschlüsselten Preferences.
Datenarten (bei RevenueCat):
- Abo-/Transaktionsdaten -- während der aktiven Geschäftsbeziehung, danach Löschung gemäß DPA.
Datenarten (bei Google): Zahlungsprofil, Rechnungs-/Transaktionsdaten -- nicht bei uns, Speicherung nach Google-Richtlinien.
Löschung: Ablauf/Kündigung entzieht die Lizenz; lokale Caches/Status werden nach obigen Fristen entfernt/anonymisiert.

10.4 E-Mail-Logs (Scaleway, Website-Kontakt)

Versandlogs: 30 Tage (Zustellbarkeit/Fehleranalyse).
Bounce/Complaint-Listen: 90 Tage (Spam-/Zustellschutz).
Inhaltsdaten: keine eigenständige dauerhafte Speicherung bei Scaleway über den Versandzweck hinaus.
Bei uns (Postfach): keine automatische Löschung; manuelle Löschung nach Problemlösung; gesetzliche Aufbewahrungspflichten bleiben unberührt.

10.5 Werbedaten (AdMob -- nur Free-Version)

Daten bei Google (eigener Verantwortlicher): AD_ID (falls vorhanden), Geräte-/App-Metadaten, IP (Grobstandort), Ad-Events.
Speicherdauer: nach Google-Policies; typische Signalspeicherungen bis \~14 Monate.
Bei uns: keine Speicherung personenbezogener Ad-Profile.
Kontrolle: Opt-in/Opt-out (Personalisierung) in-App; AD_ID im OS zurücksetzen/deaktivieren; Upgrade entfernt Werbung vollständig.

10.6 Automatisierte Löschroutinen & Inaktivität

Geplant:
- Inaktivitätsprüfung Cloud-Konten: Benachrichtigung nach 12 Monaten ohne Login; anschließende Löschung nach 365 Tagen ohne Reaktion/erneuten Login.
- Automatisierte Bereinigung temporärer Validierungsdaten (Billing) nach den in 10.3 genannten Fristen.
Bereits aktiv:
- Backup-Rotation Supabase: Überschreiben nach max. 7 Tagen.
- Proxy/Edge-Logs: kurzzyklische Rotation (nur Betriebs-/Sicherheitszwecke; keine Profilbildung).
Website-Logs: Access-/Error-Logs 7--14 Tage (i. d. R.), vgl. 6.1.

10.7 Verfahren bei Account-Löschung (Cloud)

Anstoß: In-App-Bestätigung „Konto & Daten löschen".
Sofortmaßnahme (T-0):
- Sperre des Zugangs, unverzügliche Löschung der Primärdaten (DB-Zeilen, Storage-Objekte) inkl. Verweise/Metadaten.
- Invalidierung aktiver Tokens/Sessions.
Nachlauf:
- Backups verbleiben technisch bis zu 7 Tagen und werden dann im Rahmen der Rotation überschrieben (keine Re-Einspielung zu operativen Zwecken).
- Support-/Compliance-Ausnahmen: Wiederherstellung nur, wenn rechtlich erforderlich (z. B. Incident-Forensik), mit Protokollierung und „Need-to-Know".
Bestätigung: AKTIV E-Mail-Hinweis über abgeschlossene Löschung, sofern E-Mail-Adresse vorhanden und Zustellung nicht deaktiviert.

Rechtsgrundlagen zu diesem Abschnitt:

Art. 5 Abs. 1 lit. c/e DSGVO (Datenminimierung/Speicherbegrenzung),
Art. 6 Abs. 1 lit. b/c/f DSGVO (Vertrag, rechtliche Pflichten, berechtigte Interessen),
Art. 17 DSGVO (Recht auf Löschung) -- umgesetzt über In-App-Löschfunktionen und Account-Delete,
Art. 32 DSGVO (Sicherheit) -- u. a. Verschlüsselung/Schlüsselmanagement/Backups.

11. Sicherheit (Technische & Organisatorische Maßnahmen -- TOMs)

Grundsatz: Schutz von Vertraulichkeit, Integrität und Verfügbarkeit nach Art. 32 DSGVO, Stand der Technik, Risikoangemessenheit. Maßnahmen gelten für App und Website; Cloud-Komponenten werden in der EU betrieben (siehe 5.2, 6.x, 8.x, 9, 10).

11.1 Organisatorische Maßnahmen (Zugriffs-, Rollen-, Prozesskontrollen)

Verantwortlichkeiten & Rollen: Klare Rollen/Least-Privilege; Admin-Zugriff nur für wenige berechtigte Personen (Need-to-Know).
Joiner/Mover/Leaver: On-/Offboarding mit dokumentierter Rechtevergabe, sofortiger Entzug bei Austritt/Rollenwechsel.
Weisung/Auftragsverarbeitung: AVV mit Auftragsverarbeitern (u. a. Supabase, Scaleway). Sub-Prozessoren nur nach AVV-Regel.
Richtlinien & Schulung: Sicherheits-/Datenschutzrichtlinien; regelmäßige Sensibilisierung zu Phishing, Passwort-/Geräteschutz.
Datenklassifizierung & Minimierung: Erhebung „so wenig wie möglich"; Trennung lokaler/in-Cloud-Daten; keine sensiblen Inhalte in Tickets/E-Mails ohne ausdrückliche Einwilligung.
Change-/Release-Management: Code-Reviews (Vier-Augen-Prinzip), reproduzierbare Builds, signierte Releases (Store-Signatur).
Secret-Management: Keine Geheimnisse im Quellcode; sichere Speicherung/Rotation (Provider-Secrets/Keystore).
Lieferkettensicherheit: Aktualisierte Abhängigkeiten; nur notwendige SDKs; Verzicht auf Tracking-Bibliotheken ohne Opt-in.
Vorfallsmanagement (IR): Dokumentierte Abläufe, Eskalationswege, Meldeketten; Breach-Register (Art. 33/34).
Audit & Protokollierung: Protokollierung kritischer Admin-Aktionen; regelmäßige Log-Sichtung (technisch, nicht personenbezogen).

11.2 Technische Maßnahmen -- Transport (Netzwerk-/Übertragungssicherheit)

TLS durchgängig: App/Website ↔ Dienste ausschließlich HTTPS/TLS 1.3; HSTS auf der Website.
Certificate Pinning (App): für kritische Endpunkte (Supabase/Edge, zentrale APIs) aktiv.
Keine Klartext-Verbindungen: Network Security Config lehnt Cleartext ab; nur explizit erlaubte Hosts.
Sichere Ciphers & PFS: zeitgemäße Cipher-Suites mit Perfect Forward Secrecy (Provider-Vorgabe).
Proxy-Abschirmung: Premium-Anfragen an Google Maps/OpenWeather über EU-Edge/Proxy (IP-Schutz, Rate-Limit, Fehler-Sanitizing).

11.3 Technische Maßnahmen -- Speicherung (At-Rest-Schutz)

Lokal (App):
- SQLCipher 4.11.0 (AES-256) für optionale DB-Verschlüsselung;
- Argon2id-Passwort-Hashing (64MB Speicher, 3 Iterationen) -- 100-1000x sicherer als SHA-256, resistent gegen GPU/ASIC-Angriffe;
- CharArray-Passwort-Speicherung mit Memory-Zeroing für erhöhte Sicherheit;
- Dreifache Datenintegritätsprüfung (SQLite integrity check, Struktur-Verifikation, Record-Count-Verifikation);
- Biometrische Entsperrung (optional):
  - Passwort verschlüsselt mit AES-256-GCM in Android Keystore
  - BIOMETRIC_STRONG Authentifizierung erforderlich
  - Automatische Invalidierung bei Biometrie-Änderungen
- Android Keystore (möglichst StrongBox) für Schlüssel;
- Verschlüsselte SharedPreferences für sensible Settings (z. B. Feature-Flags, Billing-Status).
Cloud/Server:
- Verschlüsselung „at rest" (Providerseite, z. B. AES-256) inkl. Backups;
- PITR-Backups (7 Tage) mit automatischer Rotation;
- Trennung von Produktivdaten und Betriebs-/Fehlerlogs.
Passwörter (Auth): bcrypt-Hashing (Supabase Auth), salting; keine Klartextspeicherung.
Datenminimierung: Keine Speicherung von Zahlungsdaten; Kauf-Validierung erfolgt über RevenueCat (Auftragsverarbeiter) -- siehe 5.7/8.6.

11.4 Zugriff & Authentisierung (App/Backend/Admin)

App-Seite: kurzlebige JWTs (Supabase Auth), Row-Level-Security (RLS) auf DB-Ebene, Session-Timeouts; kein direkter Zugriff Dritter auf lokale Inhalte.
Backend-/Admin-Zugänge: MFA/2FA verpflichtend; starke Passwörter; IP-Schutz/Rate-Limit; Logging administrativer Zugriffe.
Rechtekonzept: Rollen-/Rechtemodell (Least-Privilege); regelmäßige Review/Rezertifizierung von Berechtigungen.
Secret-Rotation: Turnusmäßige Schlüssel-/Tokenrotation; Widerruf kompromittierter Tokens/Sessions (invalidate on delete).
Integritätsprüfungen AKTIV: regelmäßiger Certificate-Health-Check (Worker), Integritätschecks fürs Offline-Lizenzfenster.

11.5 Monitoring, Firewalls, Backups (Betrieb & Verfügbarkeit)

Härtung & Firewalls: Provider-seitige Netzwerk-/App-Firewalls, Rate-Limiting, Schutz vor Injection/XSS/CSRF (Framework/Middleware).
Protokollierung: minimale Betriebs-/Fehlerlogs (Zeit, Status, keine Inhaltsdaten); kurze Rotationsfristen; kein Profiling.
Performance/Availability: Monitoring der Kernendpunkte; automatisches Wiederanlaufen bei Ausfällen; Kapazitätsplanung.
Backups: verschlüsselte Backups, geografisch redundant nach Provider-Standard; PITR 7 Tage (s. 10.2); keine Wiederherstellung zu operativen Zwecken nach Account-Löschung.
Website-Betrieb: Regelmäßige Core/Plugin-Updates, Theme-Härtung, nur notwendige Plugins; Schutz gegen Brute-Force/Spam.

11.6 Incident Response & Meldungen (Art. 33/34 DSGVO)

Erkennung & Triage: kontinuierliche Überwachung sicherheitsrelevanter Ereignisse; Priorisierung nach Auswirkung/Scope.
Eindämmung & Forensik: sofortige Isolation betroffener Komponenten, Beweissicherung (log-/systemseitig) im notwendigen Maß.
Benachrichtigung Aufsichtsbehörde: ohne unangemessene Verzögerung, möglichst binnen 72 Stunden nach Kenntnis (Art. 33), inkl. Natur, Kategorien, ungefähre Anzahl Betroffener/Datensätze, Folgen und ergriffene Maßnahmen.
Benachrichtigung Betroffene: unverzüglich bei hohem Risiko (Art. 34); klare, verständliche Information zu Risiken und Gegenmaßnahmen.
Nachbearbeitung: Root-Cause-Analyse, Maßnahmenplan, Aktualisierung TOMs/Schulung, Dokumentation im Breach-Register.
Kontaktstelle: Datenschutz-Kontakt datenschutz@trabista.app / privacy@trabista.app (s. Abschnitt 2/18); zuständige Aufsichtsbehörde siehe Abschnitt 2.5.

12. Betroffenenrechte

Grundsatz: Ihnen stehen die nachfolgenden Rechte aus den Art. 15--21, 7 Abs. 3, 22 DSGVO zu. Die Ausübung ist kostenfrei. Wir antworten innerhalb eines Monats ab Eingang Ihrer Anfrage; Verlängerung um bis zu zwei Monate ist bei komplexen/zahlreichen Anträgen möglich (Hinweis mit Begründung binnen eines Monats). Offenkundig unbegründete oder exzessive Anträge können wir ablehnen oder mit einer angemessenen Gebühr belegen.

Kontaktkanäle für Rechteausübung:

In-App: Einstellungen → Datenschutz/Account (Daten einsehen/ändern, lokale Löschfunktionen, Cloud-Account-Löschung).
E-Mail: datenschutz@trabista.app, privacy@trabista.app (Abschnitte 2.3, 18).
Post/Telefon: siehe Abschnitt 2.2.
Website-Cookies: Nur technisch notwendige Cookies; Löschung jederzeit über die Browser-Einstellungen (Abschnitt 6.4).

Identitätsprüfung: Wir können zusätzliche Informationen anfordern, die zur Bestätigung der Identität erforderlich sind (z. B. Abgleich der Cloud-Account-E-Mail). Dies dient dem Schutz Ihrer Daten.

12.1 Recht auf Bestätigung

Sie haben das Recht, Bestätigung zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten (Art. 15 Abs. 1 DSGVO -- „Ob-Verarbeitung").
Wie? Kurzform-Anfrage in der App (Cloud-Konto) oder per E-Mail (s. oben). Für rein lokale Daten auf Ihrem Gerät bestätigen wir, dass diese nur lokal verarbeitet werden (Abschnitt 5.1).

12.2 Recht auf Auskunft

Sie haben das Recht auf Auskunft über:

Verarbeitungszwecke, Kategorien personenbezogener Daten, Empfänger/Kategorien (inkl. Drittländer/IO),
Speicherdauer bzw. Kriterien,
Herkunft der Daten, sofern nicht bei Ihnen erhoben,
Bestehen automatisierter Entscheidungen inkl. Profiling, einschl. aussagekräftiger Informationen zur involvierten Logik, Tragweite, angestrebten Auswirkungen,
Ihre Rechte (Berichtigung, Löschung, Einschränkung, Widerspruch, Beschwerde).

Sie erhalten eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind (Art. 15 Abs. 3 DSGVO). Weitere Kopien können kostenpflichtig sein.
Hinweis lokal/cloud: Für lokale App-Daten haben nur Sie Zugriff (wir nicht). Für Cloud-Daten (Supabase) liefern wir eine strukturierte Datenkopie (je nach Umfang als Download-Link; Abschnitte 5.2, 10.2).

12.3 Recht auf Berichtigung

Sie haben das Recht, unrichtige personenbezogene Daten unverzüglich berichtigen zu lassen; unvollständige Daten sind zu vervollständigen (Art. 16 DSGVO).
Wie?

In-App: Alle Inhalte (Trips, Teilnehmer, Notizen etc.) sind direkt editierbar.
Cloud-Konto: E-Mail/Profildaten über die App; bei Problemen per E-Mail an uns.

12.4 Recht auf Löschung („Vergessenwerden")

Sie haben das Recht, die Löschung personenbezogener Daten zu verlangen (Art. 17 DSGVO), insbesondere wenn:

der Zweck entfallen ist,
Sie eine Einwilligung widerrufen und es an einer anderen Rechtsgrundlage fehlt,
Sie Widerspruch (Art. 21 DSGVO) eingelegt haben und keine vorrangigen Gründe bestehen,
Daten unrechtmäßig verarbeitet wurden,
die Löschung zur Erfüllung einer rechtlichen Pflicht erforderlich ist,
Daten in Bezug auf Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben wurden.

Wie?

Lokal (Gerät): In-App „Alles löschen" bzw. selektives Löschen; App-Deinstallation entfernt lokale Daten vollständig (Abschnitt 10.1).
Cloud: In-App „Konto & Daten löschen" → unverzügliche Primärlöschung; Backups überschreiben sich innerhalb von max. 7 Tagen (keine Re-Einspielung zu operativen Zwecken), vgl. 10.2/10.7.

Ausnahmen: Löschung kann abgelehnt/verschoben werden, sofern gesetzliche Pflichten oder Geltendmachung/Verteidigung von Rechtsansprüchen entgegenstehen (Art. 17 Abs. 3 DSGVO).

12.5 Recht auf Einschränkung der Verarbeitung

Sie können die Einschränkung verlangen (Art. 18 DSGVO), wenn:

die Richtigkeit der Daten von Ihnen bestritten wird (für die Dauer der Prüfung),
die Verarbeitung unrechtmäßig ist und Sie statt Löschung die Einschränkung verlangen,
wir die Daten nicht mehr benötigen, Sie sie aber zur Geltendmachung/Verteidigung von Ansprüchen benötigen,
Sie Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt haben (für die Dauer der Abwägung).

Bei Einschränkung werden Daten markiert und nur noch für die genannten Zwecke verarbeitet.

12.6 Recht auf Datenübertragbarkeit

Sie haben das Recht, Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen, maschinenlesbaren Format zu erhalten sowie -- soweit technisch machbar -- die Direktübertragung an einen anderen Verantwortlichen zu verlangen (Art. 20 DSGVO).
Wie?

App-Export: z. B. ICS-Export (Kalenderformat) via FileProvider (Abschnitt 5.9.4/5.9.5).
Cloud-Daten: auf Anfrage Datenexport; Bereitstellung als Download (Format abhängig von Datenart).

12.7 Recht auf Widerspruch

Sie können jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung auf Basis von Art. 6 Abs. 1 lit. e oder f DSGVO Widerspruch einlegen (Art. 21 DSGVO). Wir verarbeiten die Daten dann nicht mehr, es sei denn, wir weisen zwingende schutzwürdige Gründe nach.
Spezialfall Direktwerbung: Widerspruch gegen Verarbeitung zu Direktwerbung ist jederzeit möglich; in diesem Fall beenden wir die Verarbeitung für diese Zwecke.
Bei Trabista konkret:

Nicht-personalisierte Werbung (AdMob) beruht auf berechtigtem Interesse -- Sie können Upgrade wählen (werbefrei) oder die App offline nutzen; personalisierte Werbung erfolgt nur mit Einwilligung (Art. 6 Abs. 1 lit. a), die Sie widerrufen können (siehe 12.8/5.4).
Betriebs-/Sicherheits-Protokolle (App/Website) sind minimiert (Abschnitte 5.x/6.1); ein Widerspruch wird im Rahmen der Interessenabwägung geprüft.

12.8 Recht auf Widerruf einer Einwilligung

Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).
Wie?

In-App: Schalter für personalisierte Werbung, Crashlytics, Analytics (standardmäßig aus, 5.4/5.6).
Website: Löschung technisch notwendiger Cookies über die Browser-Einstellungen möglich (6.4).
OS-Einstellungen: Benachrichtigungen/exakte Alarme widerrufbar; AD_ID zurücksetz-/deaktivierbar.
Folgen: Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung; die jeweilige Option wird deaktiviert.

12.9 Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, Beschwerde bei einer Datenschutzaufsichtsbehörde einzureichen (Art. 77 DSGVO), insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsorts oder des orts des mutmaßlichen Verstoßes.
Zuständig am Unternehmenssitz:
Sächsische Datenschutz- und Transparenzbeauftragte
Maternistraße 17, 01067 Dresden
Telefon: +49 351 85471-101 · Telefax: +49 351 85471-109
E-Mail: post@sdtb.sachsen.de · Web: www.datenschutz.sachsen.de
(Unabhängig davon können Sie jede andere Aufsichtsbehörde im EWR kontaktieren.)

12.10 Ausübung der Rechte (In-App & E-Mail) -- Ablauf & Hinweise

Ablauf (Cloud-Daten):

Antrag stellen (In-App oder per E-Mail) mit Angabe Ihrer Account-E-Mail;
Identitätsprüfung (falls erforderlich);
Bearbeitung binnen 1 Monat; ggf. Verlängerung (Mitteilung mit Begründung);
Bereitstellung von Auskunft/Datenkopie/Löschbestätigung per sicherem Kommunikationsweg.

Lokal gespeicherte Daten:

Diese liegen ausschließlich auf Ihrem Gerät. Sie können sie selbst verwalten/löschen (Abschnitt 10.1). Uns ist kein Fernzugriff möglich.
Bei App-Deinstallation werden alle lokalen Daten entfernt.

Sonderfälle:

Besondere Kategorien (Art. 9 DSGVO) -- nur lokal und freiwillig; wir verarbeiten sie nicht in der Cloud (Abschnitte 5.1, 7.4).
Käufe/Abos (Google Play, geplant): Zahlungs-/Kontodaten liegen bei Google (eigener Verantwortlicher). Rechte dort geltend machen; wir unterstützen hinsichtlich lizenzbezogener Daten (Abschnitt 5.7).
Website-Cookies: Anpassung sofort über Browser-Einstellungen (6.4).

13. Minderjährige

13.1 Zielgruppe 18+

Ausrichtung: Trabista richtet sich ausschließlich an volljährige Nutzer (18+). Die App-Store-Zielgruppe ist entsprechend konfiguriert; Inhalte, Funktionen und Kommunikation sind nicht kind- oder jugendgerichtet.
Keine Kinderausrichtung/-profile:
- Keine Gestaltung als kinder- oder jugendaffines Angebot, keine Ansprache Minderjähriger, keine dedizierten Kinderbereiche.
- Keine Profilbildung, Verhaltenswerbung oder Personalisierung, die auf Minderjährige abzielt.
Cloud/Online-Funktionen: Die (optionale) Cloud-Synchronisation sowie Premium-Dienste sind für volljährige Nutzer vorgesehen.
Werbung (Free-Version): Anzeigen werden nicht kindgerichtet ausgeliefert; Personalisierung erfolgt nur nach Einwilligung (EWR/UK) und nicht mit kinderspezifischer Ausrichtung.
Hinweise bei Kenntnis eines Minderjährigen: Erhalten wir konkrete Hinweise, dass ein Konto/Mitnutzung durch eine Person unter dem jeweils geltenden Volljährigkeits- bzw. digitalen Einwilligungsalter erfolgt, ergreifen wir angemessene Maßnahmen:
- Sperre weiterer Online-Verarbeitungen (z. B. Cloud-Sync),
- Kontaktaufnahme mit dem gemeldeten Nutzer zur Klärung,
- Löschung des Cloud-Kontos und der dort gespeicherten Daten, sofern kein rechtlicher Hinderungsgrund entgegensteht.
  Lokale App-Daten liegen ausschließlich auf dem Gerät und können dort vom Geräteinhaber gelöscht werden.

13.2 Keine Eltern-Einwilligung aktiviert

Keine Kinder-Einwilligungsprozesse: Wir erheben keine Einwilligungen von Eltern/Erziehungsberechtigten, da Trabista nicht für Minderjährige bestimmt ist und nicht kindgerichtet angeboten wird.
Rechtsrahmen (EU/EWR/UK):
- Wir verlassen uns nicht auf Einwilligungen Minderjähriger für optionale Dienste. In der EU ist das digitale Einwilligungsalter bis zu 16 Jahren (je nach Mitgliedstaat ggf. niedriger), im UK 13 Jahre. Da Trabista 18+ adressiert, unterlassen wir die Inanspruchnahme kindbezogener Einwilligungen.
Betroffenenrechte durch Sorgeberechtigte: Macht ein Erziehungsberechtigter Rechte für ein betroffenes minderjähriges Kind geltend (z. B. Auskunft/Löschung zu einem fälschlich angelegten Cloud-Konto), prüfen wir die Vertretungsberechtigung und erfüllen das Begehren nach Maßgabe der DSGVO (siehe Abschnitt 12).
Kontaktstelle: Meldungen/Anfragen bitte an datenschutz@trabista.app oder privacy@trabista.app mit einem kurzen Hinweis auf den Minderjährigen-Sachverhalt (kein Upload sensibler Dokumente ohne Aufforderung).

14. Keine automatisierten Einzelfallentscheidungen/Profiling

14.1 Keine Entscheidungen i. S. v. Art. 22 DSGVO

Kein Einsatz bei Trabista: Es werden keine Verarbeitungen vorgenommen, bei denen ausschließlich automatisierte Entscheidungen rechtliche Wirkung gegenüber Nutzern entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen (Art. 22 Abs. 1 DSGVO).
Konkret:
- Keine Kredit-/Bonitätsprüfungen, keine Eignungs-/Risikobewertungen, keine algorithmischen Sperr-/Ausschlussentscheidungen mit Rechtswirkung.
- Lizenz-/Zugriffsprüfungen (z. B. Play-Billing-Token, Session-/JWT-Validierung, Rate-Limits) sind technische Zugangskontrollen zur Vertragserfüllung. Sie stellen keine Entscheidung i. S. v. Art. 22 dar; bei technischen Fehlklassifikationen ist eine manuelle Überprüfung möglich (Kontakt: datenschutz@trabista.app / privacy@trabista.app).
- Supportfälle werden stets von Menschen beurteilt.
Bewerbungsverfahren (Abschnitt 15): Es existieren keine automatisierten Auswahl-/Ablehnungsentscheidungen; Entscheidungen erfolgen menschengeführt.

14.2 Kein Profiling mit Rechtswirkung/ähnlicher erheblicher Beeinträchtigung

Kein eigenes Profiling: Trabista erstellt keine personenbezogenen Nutzungsprofile zur Bewertung persönlicher Aspekte (z. B. Interessen, Verhalten) und trifft darauf basierende Entscheidungen mit Rechtswirkung.
Analytics/Crash (derzeit deaktiviert): Falls Nutzer künftig freiwillig einwilligen, werden lediglich aggregierte/technische Signale (z. B. Crash-Cluster, Screen-Views) zur Produktverbesserung genutzt -- ohne personenbezogene Profilbildung, ohne Feature-Gating nach Nutzermerkmalen.
Werbung (AdMob):
- Personalisierte Werbung im EWR/UK erfolgt nur nach Einwilligung und unterliegt datenschutzrechtlich der eigenen Verantwortlichkeit von Google (Abschnitt 8.3.2). Auch in diesem Fall hat die Ausspielung keine Rechtswirkung/ähnlich erhebliche Beeinträchtigung i. S. v. Art. 22.
- Nicht-personalisierte Werbung (ohne Opt-in) basiert auf Kontext/Aggregaten; keine Profilbildung durch uns.
- Keine Verknüpfung der Werbesignale/AD_ID mit lokalen App-Inhalten (Trips, Notizen, Anhänge).
Geocoding/Wetter/Cloud-Sync: Die dabei anfallenden Parameter (Suchstrings/Koordinaten, Sync-Metadaten) werden nicht zur personenbezogenen Profilbildung genutzt; keine Cross-Device-Zusammenführung, keine Marketing-Segmente.
Nutzerkontrollen: Einwilligungen können jederzeit widerrufen werden (App-Einstellungen / CMP; Details in Abschnitt 7.3, 5.4, 5.6). Bei als ungerechtfertigt empfundenen technischen Sperren/Fehleinstufungen: manuelle Prüfung auf Anfrage (Kontakt siehe Abschnitt 18).

15. Bewerbungsverfahren (Aktuell keine Jobausschreibungen)

Geltung: Dieser Abschnitt gilt nur, wenn Sie sich bei uns bewerben (z. B. auf eine Stellenausschreibung oder initiativ). Aktuell betreiben wir kein Bewerberportal; Bewerbungen erfolgen i. d. R. per E-Mail oder postalisch. Ein Online-Formular kann optional bereitgestellt werden; in diesem Fall gelten die nachstehenden Regelungen entsprechend.

15.1 Zwecke & Rechtsgrundlagen

Zwecke der Verarbeitung

Durchführung des Bewerbungsverfahrens: Sichtung, Auswahl, Kommunikation, Terminabstimmung, Entscheidungsvorbereitung.
Dokumentation/Nachweis des ordnungsgemäßen Ablaufs (z. B. Gleichbehandlung).
Ggf. Übernahme der Bewerbung in ein Beschäftigungsverhältnis.

Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 26 Abs. 1 BDSG (Anbahnung eines Beschäftigungsverhältnisses).
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Rechtsverteidigung/Beweissicherung (z. B. im Rahmen des AGG) oder IT-Sicherheit (Spam-/Missbrauchsabwehr).
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflichten), soweit einschlägig (z. B. steuer-/handelsrechtliche Belege bei Reisekostenerstattung).
Art. 9 Abs. 2 lit. b DSGVO (Arbeitsrecht) oder Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung), nur wenn Sie freiwillig besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, Schwerbehinderung) mitteilen und diese für die Entscheidung erforderlich sind.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), nur wenn Sie ausdrücklich der längeren Aufbewahrung (Talent-Pool) zustimmen.

15.2 Erforderliche/freiwillige Angaben

Erforderlich (typischerweise):

Stammdaten/Kontakt: Name, Anschrift, E-Mail, ggf. Telefonnummer.
Bewerbungsunterlagen: Anschreiben, Lebenslauf, qualifikationsbezogene Nachweise (Zeugniskopien, Referenzen).

Freiwillig (optional):

Zusätzliche Informationen, die Sie uns geben möchten (z. B. Portfolio, Arbeitsproben).
Besondere Kategorien (Art. 9 DSGVO), nur wenn Sie diese freiwillig mitteilen und sie für die beabsichtigte Tätigkeit relevant sind (z. B. Angabe einer Schwerbehinderung). In diesem Fall verarbeiten wir diese Angaben zweckgebunden (s. 15.1) und nur im erforderlichen Umfang.

Bitte beachten:
Übermitteln Sie keine unnötigen sensiblen Daten. Fordern wir solche Daten nicht an, sind sie für das Verfahren nicht erforderlich.

15.3 Übermittlung/Transport (E-Mail/Online-Formular, Verschlüsselung)

E-Mail-Bewerbung: Der Transport erfolgt i. d. R. per TLS zwischen Mailservern, ist aber nicht automatisch Ende-zu-Ende-verschlüsselt. Falls Sie sensible Inhalte versenden, empfehlen wir PGP/SMIME oder postalische Zusendung.
Online-Formular (falls bereitgestellt):
- Übertragung verschlüsselt (HTTPS/TLS) an unseren Server.
- Weiterleitung als E-Mail an das interne Postfach (Transport TLS).
- Kein Ticket-/Helpdesk-System; Verarbeitung erfolgt als E-Mail-Vorgang (vgl. Website-Kontakt in 6.2).
Postweg: Alternativ können Sie Unterlagen postalisch einreichen.
Empfänger intern: ausschließlich die für die Personalauswahl zuständigen Stellen.
Auftragsverarbeiter: Mail-/Hosting-Dienste (EU), Scaleway für Formular-Mails (FR, EU) -- jeweils AVV-gebunden; keine Weitergabe an Dritte zu Marketing-/Analysezwecken.

15.4 Speicherdauer (i. d. R. 6 Monate) & gesetzliche Aufbewahrung

Nicht erfolgreiche Bewerbungen:
- Löschung i. d. R. nach 6 Monaten ab Abschluss des Verfahrens, um Anschlussfragen zu beantworten und Ansprüche nach AGG abzuwehren.
- Gesetzliche Aufbewahrungen bleiben unberührt (z. B. steuerliche Belege für Reisekostenerstattung -- Aufbewahrung nach den steuer-/handelsrechtlichen Fristen).
Talent-Pool (nur mit Einwilligung):
- Gesonderte, freiwillige Einwilligung für eine verlängerte Aufbewahrung (z. B. 12 Monate).
- Widerruf jederzeit mit Wirkung für die Zukunft; wir löschen die Unterlagen dann unverzüglich, sofern keine gesetzlichen Pflichten entgegenstehen.
Erfolgreiche Bewerbung:
- Die Bewerbungsunterlagen werden Bestandteil der Personalakte und fortan für Zwecke des Beschäftigungsverhältnisses verarbeitet (separate Informationspflichten im Beschäftigtendatenschutz).
Integrität & Zugriff:
- Zugriff nur für befugte Personen (Need-to-Know); Protokollierung administrativer Zugriffe; Schutz gegen unbefugte Einsichtnahme (technisch/organisatorisch).

Ihre Rechte im Bewerbungsverfahren: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit, Widerruf erteilter Einwilligungen (vgl. Abschnitt 12).
Kontakt: datenschutz@trabista.app / privacy@trabista.app (bitte Betreff „Bewerbung -- Datenschutz").

16. Änderungen & Aktualisierungen

16.1 Regelmäßige Prüfung/Anpassung

Prüfturnus: Mindestens vierteljährlich sowie anlassbezogen (neue Features/SDKs, neue Empfänger/Regionen, Rechtsänderungen, Auflagen der App-Stores).
Geltungsbereich: App (Android & iOS) und PHP-Website (ohne CMS).
Verantwortung & Dokumentation:
- Interne Owner (Produkt/Tech/Datenschutz) führen ein Change-Log mit Datum, Beschreibung, Risiko-/Rechtsprüfung (inkl. TIA/DPIA falls erforderlich), Freigaben und Roll-out-Plan.
- AVV-/Sub-Prozessor-Register wird synchron gepflegt (z. B. Supabase, Scaleway; Google als eigener Verantwortlicher separat gelistet).
Synchronisierung technischer Artefakte: Anpassung von In-App-Consent (Android: CMP/UMP; iOS: Apple ATT), Store-Fragebögen (Google Play Data Safety und Apple App Store App Privacy), Release-Notes.

16.2 Einwilligungsrelevante Änderungen (Informations- & Re-Consent-Pflichten)

Wesentliche Änderungen werden vor Aktivierung transparent gemacht; wo rechtlich nötig, holen wir neue Einwilligungen ein. Dazu zählen insbesondere:

Neue Zwecke oder Zweckänderungen (Art. 6 Abs. 4 DSGVO), z. B. Einführung von Analytics/Crashlytics oder personalisierter Werbung in bisher nicht betroffenen Bereichen.
Neue Datenkategorien (insb. besondere Kategorien nach Art. 9 DSGVO), erweiterte Protokolle oder Profiling-Elemente.
Neue Empfänger/Sub-Prozessoren, neue Regionen/Drittländer oder geänderte Transfermechanismen (z. B. SCC/DPF-Status).
Änderungen von Rollen/Verantwortlichen, Kontaktadressen, Aufsichtsbehörde oder Mindestalter/Zielgruppe.
Einbindung zusätzlicher Cookies/ähnlicher Technologien (Website) -- würde vorher eine Datenschutzaktualisierung und, sofern rechtlich erforderlich, einen neuen Opt-in-Mechanismus nach sich ziehen.

Wie informieren wir?

In-App: rechtzeitig per Hinweisbanner/Dialog mit Link auf die neue Datenschutzerklärung; Opt-in-Schalter für betroffene Features (z. B. Ads-Personalisierung, Analytics/Crash).
E-Mail (nur Cloud-Nutzer): Kurzhinweis auf wesentliche Änderungen mit Link zur Fassung und zu Opt-in/Opt-out-Optionen.
Website: Hinweisleiste im Footer; bei Einführung einwilligungsbedürftiger Cookies würde zusätzlich ein Opt-in-Dialog eingeblendet.

Re-Consent & Widerruf:

Neue/erweiterte Zwecke werden deaktiviert ausgeliefert (Opt-in erforderlich).
Bereits erteilte Einwilligungen gelten nicht automatisch für neue Zwecke/Kategorien.
Widerruf jederzeit in App-Einstellungen/CMP möglich (vgl. Abschnitt 7.3).

16.3 Versionierung & Gültigkeit

Versionsangabe: Jede Fassung trägt Version und Stichtag (z. B. „Datenschutzerklärung Trabista v1.0 -- gültig ab 2025-09-21").
Archivierung: Vorherige Fassungen werden archiviert und auf Anfrage bereitgestellt; bei wesentlichen Änderungen halten wir ein Änderungsprotokoll vor.
Änderungsprotokoll (Auszug):
- 14.04.2026 -- v1.1: Veröffentlichung der iOS-App (native Swift-App) im Apple App Store (Abschnitte 1, 5.4, 5.7, 8.3.6, 9.5, 16); Einführung von Sentry (EU-Region, ingest.de.sentry.io) als Fehler- & Performance-Analyse auf iOS (neuer Abschnitt 5.10, 7.1(f), 8.3.7, 9.5); § 5.4 um Apple App Tracking Transparency (ATT) ergänzt; Firebase-Abschnitt (5.6) bleibt weiterhin Android-only (Opt-in).
Mehrsprachigkeit: Eine englische Übersetzung wird bereitgestellt. Verbindlich ist die deutsche Fassung.
Veröffentlichung: Zeitgleiche Bereitstellung in der App (Legal/Info-Bereich) und auf der Website (statische Seite). Der Verweis auf das offizielle Impressum bleibt unverändert (siehe Abschnitt 2.4).
Konfliktregel: Bei Widersprüchen zwischen Kurz-Hinweisen (Banner/Release-Notes) und der vollständigen Datenschutzerklärung gilt die vollständige Fassung.

17. Veröffentlichung & Geltung

17.1 In-App-Hinterlegung (Legal/Info-Bereich)

Ablageort: „Einstellungen" → „Rechtliches/Datenschutz".
Fassung/Versionsstand: Klar ersichtlich (z. B. „Datenschutzerklärung Trabista v1.0 -- gültig ab YYYY-MM-DD").
Offline-Zugriff: Vollständiger Text wird lokal gecacht, damit er ohne Internet einsehbar ist; bei Updates Hinweisdialog (siehe 16).
Verlinkungen in-App:
- Datenschutzkontakt: datenschutz@trabista.app, privacy@trabista.app
- Aufsichtsbehörde: Kurzlink zur Behörde aus 2.5
- Impressum: Link auf die verbindliche Impressumsseite (siehe 17.3)
Store-Bezug: Der In-App-Text entspricht der auf der Website veröffentlichten Version (Gleichlauf).

17.2 Website-Veröffentlichung (statische Seite, ohne Tracking)

URL & Auffindbarkeit: Statische Seite „Datenschutz" im Hauptmenü/Footermenü; keine Tracking-Skripte; kein Consent-Banner erforderlich, da nur technisch notwendige Cookies gesetzt werden (vgl. 6.4).
Sprachen: Deutsch (verbindlich) + Englisch (Übersetzung).
Versionierung/Archiv: Sichtbare Versionsangabe; ältere Fassungen auf Anfrage.
Play-Store-Vorgabe: Das „Privacy Policy URL"-Feld im Google-Play-Listing verweist auf diese Website-Datenschutzseite.
Konsistenz: Inhalt identisch mit der In-App-Fassung; Änderungen werden synchron ausgerollt (vgl. 16).

17.3 Verweis auf offizielles Impressum

Impressum: https://impressum.gobbltech.com/\
In-App & Website: Der obige Link wird überall einheitlich verwendet (Einstellungen/Legal in der App, Footer/Legal auf der Website).
Kontaktmöglichkeiten: E-Mail (gobbltech@proton.me sowie datenschutz@trabista.app / privacy@trabista.app) bleiben unverändert; eine Telefonpflicht besteht nicht (Hinweis wie in Abschnitt 2).

18. Kontakt für Datenschutzanliegen

18.1 Datenschutz-E-Mail-Adressen

Primär: datenschutz@trabista.app
Alternative: privacy@trabista.app

Hinweise zur effizienten Bearbeitung (freiwillig):

Betreff z. B.: „DSGVO-Anfrage -- Auskunft/Löschung/Berichtigung/Widerspruch/Datenkopie".
Angabe der App-Version und -- falls Cloud-Sync genutzt -- der bei uns registrierten E-Mail-Adresse (zur Identitätsprüfung).
Keine sensiblen Dokumente unverschlüsselt zusenden. Für vertrauliche Inhalte bitte PGP/SMIME verwenden oder vorab nur kurz skizzieren; wir stimmen dann das weitere Vorgehen ab.
Wir bestätigen den Eingang und antworten i. d. R. binnen eines Monats (Art. 12 Abs. 3 DSGVO). Bei komplexen Fällen kann die Frist um bis zu zwei Monate verlängert werden; Sie erhalten dann eine Zwischenmitteilung.

18.2 Allgemeiner Kontakt (ohne spezifischen DSGVO-Bezug)

E-Mail (allgemein): gobbltech@proton.me
Kontaktformular: erreichbar über das offizielle Impressum (siehe Abschnitt 17.3).
Postanschrift (Zustellung/Ladungsfähigkeit -- c/o):
Danilo Endesfelder -- Einzelunternehmen
c/o Nico Eberhardt
Pfotenhauerstraße 65
01307 Dresden
Deutschland

Wichtig:

Für DSGVO-Rechte (Auskunft, Löschung, etc.) nutzen Sie bitte bevorzugt die Datenschutz-E-Mails aus 18.1 -- so stellen wir eine schnelle, dokumentierte Bearbeitung sicher.
Die zuständige Aufsichtsbehörde finden Sie in Abschnitt 2.5; Sie haben das Recht, dort Beschwerde einzulegen (Art. 77 DSGVO).
Telefonische Erreichbarkeit ist rechtlich nicht erforderlich; wir bieten E-Mail und Kontaktformular als unmittelbare, nachweisbare Kommunikationswege an.

Achievement unlocked: Datenschutzerklärung 100 %
Loot: DSGVO-Know-how. Nächster Run: Ihre eigene, belastbare Privacy Policy?
Mail an info@trabista.app,
Betreff „Wir möchten auch eine gute Datenschutzerklärung" -- Danilo kennt da jemanden.
Rechtlicher Hinweis: rein informativ; keine Änderung der Rechtslage.