Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

Appgineering GbR
vertreten durch die geschäftsführenden Gesellschafter Kevin Neitola, Simon Großmann und Nick Thissen
Hauptstr. 22
38173 Dettum
Deutschland

E-Mail: info@appgineering.com
Telefon: +49 (0) 531 4811 27 69

Wir sind nach § 38 BDSG nicht zur Benennung eines Datenschutzbeauftragten verpflichtet. Datenschutzbezogene Anfragen können Sie jederzeit an die oben genannten Adressen oder an info@stopcoffee.app richten.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für:

• unsere Website https://stopcoffee.app sowie alle von uns betriebenen Subdomains;
• die iOS-App „StopCoffee – Quit Caffeine", die über den Apple App Store vertrieben wird; und
• die Android-App „StopCoffee", die über den Google Play Store vertrieben wird (Paketname com.appgineering.stopcoffee).

Für Dienste und Webseiten Dritter (z. B. die App-Stores selbst sowie die Plattformen hinter „Sign in with Apple" bzw. „Mit Google anmelden") gelten die jeweiligen Datenschutzhinweise dieser Anbieter. Soweit Dritte als Auftragsverarbeiter im Sinne von Art. 28 DSGVO für uns tätig werden, haben wir die hierfür erforderlichen Auftragsverarbeitungsverträge abgeschlossen.

3. Rechtsgrundlagen der Verarbeitung

Soweit nachstehend nichts Abweichendes geregelt ist, stützen wir unsere Verarbeitungen auf folgende Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. für optionale Push-Benachrichtigungen);
• Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrages oder Durchführung vorvertraglicher Maßnahmen (z. B. Bereitstellung der App für registrierte Nutzer, Abwicklung von Abonnements);
• Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung (z. B. steuerrechtliche Aufbewahrungspflichten);
• Art. 6 Abs. 1 lit. f DSGVO – Wahrung unserer berechtigten Interessen, insbesondere an der Bereitstellung und Absicherung der Website, der Behebung von Fehlern und Abstürzen sowie der Verhinderung von Missbrauch und Betrug.

Soweit wir eine Verarbeitung auf eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO stützen, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt vom Widerruf unberührt.

4. Website

4.1 Hosting und Auslieferung

Die statischen Dateien von stopcoffee.app sind auf Amazon Web Services (AWS) S3 in der Region eu-central-1 (Frankfurt am Main) gespeichert und werden weltweit über das Content-Delivery-Network Amazon CloudFront ausgeliefert. Anbieter: Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxemburg.

Bei jedem Aufruf unserer Website überträgt Ihr Browser automatisch die folgenden Daten an den CDN-Knoten, der diese zur Auslieferung und Absicherung in kurzlebigen Zugriffsprotokollen verarbeitet:

• gekürzte IP-Adresse des anfragenden Geräts;
• Datum und Uhrzeit der Anfrage;
• URL und HTTP-Methode der Anfrage;
• HTTP-Statuscode und übertragene Datenmenge;
• Referrer-URL;
• User-Agent (Browsertyp, -version und Betriebssystem).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der technisch sicheren, stabilen und effizienten Bereitstellung unserer Website. CDN-Protokolle werden spätestens nach 14 Tagen gelöscht bzw. rotiert, sofern sie nicht zur Aufklärung eines Sicherheitsvorfalls länger benötigt werden. Mit AWS besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

4.2 Web-Analyse (Umami)

Wir setzen Umami Analytics ein – ein datenschutzfreundliches Open-Source-Tool, das wir auf eigener Infrastruktur innerhalb der Europäischen Union unter analytics.appgineering.com selbst betreiben.

Umami arbeitet ohne Cookies, speichert keine individuell identifizierenden Daten, bildet keine seitenübergreifenden Profile und gibt keine Daten an Dritte weiter. Erfasst werden lediglich aggregierte Seitenaufrufe, die aufgerufene URL, der Referrer, das aus der IP-Adresse abgeleitete Land (die IP-Adresse wird hierfür nur in flüchtiger Form ausgewertet und unmittelbar verworfen) sowie ein Hashwert, der eine wiederkehrende Tagessitzung erkennt, ohne die zugrundeliegende IP-Adresse zu speichern. IP-Adressen werden von uns nicht gespeichert.

Da Umami keine Informationen auf Ihrem Endgerät speichert oder ausliest und keine personenbezogenen Daten erhebt, ist keine Einwilligung nach § 25 TDDDG erforderlich. Rechtsgrundlage für die aggregierte Auswertung ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt darin, aggregiert zu verstehen, welche Inhalte genutzt werden, um diese verbessern zu können.

4.3 Cookies und lokale Speicherung

Auf unserer Website werden keine Tracking-, Werbe- oder vergleichbaren Cookies bzw. Identifier gesetzt. Es kommen ausschließlich unbedingt erforderliche technische Speicherungen zum Einsatz (z. B. zur Speicherung Ihrer Spracheinstellung); diese sind nach § 25 Abs. 2 TDDDG vom Einwilligungserfordernis ausgenommen.

4.4 Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Daten (mindestens Ihre E-Mail-Adresse und den Inhalt Ihrer Nachricht) zur Bearbeitung Ihres Anliegens. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (sofern Ihre Anfrage einen Vertrag betrifft) oder Art. 6 Abs. 1 lit. f DSGVO (im Übrigen). Die Daten werden gelöscht, sobald Ihr Anliegen abschließend bearbeitet ist, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Bereitstellung Ihrer E-Mail-Adresse und des Nachrichteninhalts ist gesetzlich nicht vorgeschrieben; ohne deren Mitteilung können wir Ihr Anliegen jedoch nicht beantworten (Art. 13 Abs. 2 lit. e DSGVO).

5. iOS- und Android-App

5.1 Lokale Datenspeicherung auf Ihrem Gerät

Nach der Installation legen die Apps eine lokale Datenbank auf Ihrem Endgerät an. Solange Sie kein Konto erstellen, verbleiben alle von Ihnen eingegebenen Informationen (Getränkeprotokolle, Reduktionsplan, Einstellungen, Streaks) ausschließlich auf dem Gerät und werden nicht an uns übermittelt.

Die Speicherung dieser Daten sowie der Authentifizierungs-Token, der Push-Token und der lokal zwischengespeicherten Kopie Ihrer synchronisierten Inhalte auf Ihrem Endgerät ist unbedingt erforderlich, damit wir Ihnen den von Ihnen durch Installation und Nutzung der App ausdrücklich gewünschten Dienst bereitstellen können. Die entsprechenden Speicherungs- und Auslesevorgänge sind daher von der Einwilligungspflicht des § 25 Abs. 2 Nr. 2 TDDDG ausgenommen.

5.2 Nutzerkonto (Supabase Auth)

Um Funktionen zu nutzen, die Ihre Daten geräteübergreifend synchronisieren oder nach einer Neuinstallation wiederherstellen, können Sie ein Nutzerkonto anlegen. Wir bieten hierfür drei Anmeldeverfahren an:

• E-Mail und Passwort – wir verarbeiten Ihre E-Mail-Adresse sowie einen mit Salt versehenen Hashwert Ihres Passworts;
• Sign in with Apple – wir erhalten die von Apple vergebene Nutzer-ID sowie – je nach Ihrer Auswahl – Ihre E-Mail-Adresse (entweder Ihre echte Adresse oder eine von Apple erzeugte „Private Relay"-Adresse);
• Mit Google anmelden – wir erhalten die von Google vergebene Nutzer-ID und Ihre E-Mail-Adresse (sowie, soweit Sie dies freigeben, Ihren Namen und Ihr Profilbild).

Die Kontodaten werden bei unserem Auftragsverarbeiter Supabase innerhalb der Europäischen Union gespeichert (siehe Abschnitt 7). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrages). Wir bewahren die Kontodaten so lange auf, wie Ihr Konto besteht. Nach einer Kontolöschung werden die zugeordneten personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. aus dem Handels- oder Steuerrecht) entgegenstehen; in diesem Fall werden die Daten von der weiteren Verarbeitung gemäß Art. 18 DSGVO eingeschränkt.

Information nach Art. 14 DSGVO. Bei einer Anmeldung über „Sign in with Apple" oder „Mit Google anmelden" erhalten wir einen Teil der Kontodaten (die Nutzer-ID des Anbieters, die E-Mail-Adresse sowie – bei Google, soweit Sie dies freigeben – Ihren Namen und Ihr Profilbild) nicht direkt von Ihnen, sondern vom jeweiligen Identitätsanbieter. Datenquelle ist insoweit Apple Inc. / Apple Distribution International Ltd. bzw. Google LLC / Google Ireland Limited. Wir verwenden diese Daten ausschließlich zur Einrichtung und zum Betrieb Ihres Nutzerkontos auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

Bereitstellung der Kontodaten (Art. 13 Abs. 2 lit. e DSGVO). Die Angabe einer E-Mail-Adresse bzw. die Nutzung von „Sign in with Apple" oder „Mit Google anmelden" ist gesetzlich nicht vorgeschrieben, jedoch erforderlich, um ein Nutzerkonto anzulegen. Ohne ein Konto können die Cloud-Synchronisation, die geräteübergreifende Nutzung und die Wiederherstellung von Abonnements nicht bereitgestellt werden; die App lässt sich in diesem Fall jedoch weiterhin im lokalen Modus nutzen.

5.3 Synchronisierte App-Inhalte

Sind Sie angemeldet, werden folgende Inhalte zwischen Ihrem Endgerät und unserem Backend synchronisiert, damit Sie sie geräteübergreifend nutzen können: Ihr Reduktionsziel und -plan, Ihr Getränkeprotokoll, Ihre Streaks sowie Ihre App-Einstellungen. Diese Daten sind Ihrer Nutzerkennung zugeordnet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

5.4 Push-Benachrichtigungen

Die Apps können Push-Benachrichtigungen versenden (z. B. Erinnerungen an Ihren Reduktionsplan oder tägliche Check-ins). Hierfür gilt:

• Unter iOS wird durch den Push-Dienst von Apple („Apple Push Notification service", APNs) ein Geräte-Token erzeugt, das bei uns gespeichert wird, damit wir Benachrichtigungen an Ihr Gerät adressieren können;
• unter Android wird durch den Push-Dienst von Google („Firebase Cloud Messaging", FCM) ein Registrierungs-Token zum selben Zweck erzeugt und bei uns gespeichert.

Push-Benachrichtigungen werden nur versendet, wenn Sie im Betriebssystem-Dialog Ihres Gerätes aktiv eingewilligt haben. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung auf Betriebssystemebene). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Benachrichtigungen für die App in den Geräteeinstellungen deaktivieren oder die App deinstallieren. Push-Token werden bei Widerruf der Einwilligung sowie bei Löschung des Kontos gelöscht.

Der Inhalt der Push-Nachrichten wird durch Apple (APNs) bzw. Google (FCM) ausschließlich zum Zweck der Zustellung an Ihr Endgerät verarbeitet. Die Push-Token selbst sind pseudonyme Kennungen, die keine unmittelbar identifizierenden Informationen enthalten.

5.5 In-App-Käufe und Abonnements

Bestimmte Funktionen der App sind kostenpflichtig (Freemium-Modell). Die eigentliche Zahlungsabwicklung erfolgt ausschließlich über den jeweiligen Plattformbetreiber (Apple unter iOS, Google unter Android); wir erhalten Ihre Zahlungsdaten (z. B. Kreditkarten- oder Bankdaten) nicht.

Um geräteübergreifend feststellen zu können, ob Sie zur Nutzung kostenpflichtiger Funktionen berechtigt sind, setzen wir RevenueCat als Auftragsverarbeiter ein (siehe Abschnitt 7). RevenueCat erhält von der App und vom jeweiligen App-Store: eine pseudonyme App-Nutzer-ID (bei angemeldeten Nutzern die Supabase-Nutzer-ID, andernfalls eine durch das Endgerät erzeugte Kennung), den Produktbezeichner, das Kauf-, Verlängerungs- und Ablaufdatum, das Land des App-Stores, die Plattform, die App-Version sowie eine vom Store vergebene Transaktions-ID. Eine Übermittlung Ihrer E-Mail-Adresse oder Ihres Namens an RevenueCat findet nicht statt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Abonnementvertrages) sowie Art. 6 Abs. 1 lit. c DSGVO für die handels- und steuerrechtlich vorgeschriebene Aufbewahrung. Abonnementbezogene Aufzeichnungen werden für die Dauer des Abonnements sowie anschließend bis zu zehn Jahre aufbewahrt, soweit eine gesetzliche Aufbewahrungspflicht besteht (§ 257 HGB, § 147 AO).

Bereitstellung der Abonnementdaten (Art. 13 Abs. 2 lit. e DSGVO). Die Übermittlung der Kaufdaten durch den App-Store ist zur Freischaltung kostenpflichtiger Funktionen vertraglich erforderlich; ohne sie können kostenpflichtige Funktionen nicht aktiviert werden. Die kostenlosen Grundfunktionen der App (Freemium-Modell) bleiben auch ohne ein Abonnement nutzbar.

5.6 Diagnose- und Absturzberichte

Unter iOS kann Apple uns über „App Analytics" und „TestFlight" aggregierte, anonyme Statistiken über App-Abstürze, Energieverbrauch und Funktionsnutzung zur Verfügung stellen. Dies setzt voraus, dass Sie in den iOS-Einstellungen → Datenschutz & Sicherheit → Analyse & Verbesserungen die Option „Mit App-Entwicklern teilen" aktiviert haben. Wir können diese Option nicht selbst aktivieren; die uns übermittelten Daten sind bereits durch Apple aggregiert und lassen keine Identifizierung einzelner Nutzer zu.

Unter Android kann Google uns über die Google Play Console / Android Vitals aggregierte technische Statistiken (z. B. Absturz- und ANR-Raten) zur Verfügung stellen, wenn Sie der Weitergabe von Diagnosedaten an Google Play zugestimmt haben. Auch hier können wir die Aktivierung nicht selbst veranlassen, und die Daten werden vor der Übermittlung an uns durch Google aggregiert.

Wir setzen keine Drittanbieter-SDKs für Absturz- oder Nutzungsanalyse (z. B. Firebase Crashlytics, Google Analytics for Firebase) in den Apps ein.

5.7 Von den Apps angeforderte Berechtigungen

Die Apps fordern ausschließlich die für die jeweiligen Funktionen erforderlichen Berechtigungen an:

• Benachrichtigungsberechtigung (nur, wenn Sie Erinnerungen wünschen);
• Netzwerkzugriff (zur Kommunikation mit unserem Backend, zur Synchronisierung und zur Abwicklung von In-App-Käufen erforderlich).

Die Apps erfassen nicht Ihren genauen oder ungefähren Standort, greifen nicht auf Ihre Kontakte, Ihren Kalender, das Mikrofon, die Kamera oder die Foto-Mediathek zu und verwenden keine Werbe-Identifier (IDFA unter iOS, AAID unter Android). In den Apps wird keine Werbung ausgespielt.

6. Empfänger und Empfängerkategorien

Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur, soweit dies zur Erbringung des Dienstes erforderlich ist, und ausschließlich auf den oben genannten Rechtsgrundlagen. Empfängerkategorien sind insbesondere:

• Hosting- und Infrastrukturdienstleister (AWS, Supabase) als Auftragsverarbeiter nach Art. 28 DSGVO;
• App-Store-Betreiber (Apple, Google) für Download, Updates und Zahlungsabwicklung;
• Push-Diensteanbieter (Apple APNs, Google FCM);
• Abonnementverwaltung (RevenueCat) als Auftragsverarbeiter nach Art. 28 DSGVO;
• Steuerberater, Wirtschaftsprüfer und Behörden im gesetzlich vorgeschriebenen Umfang;
• Gerichte und Behörden, soweit wir gesetzlich zur Auskunft verpflichtet sind.

Ein Verkauf personenbezogener Daten findet nicht statt. Daten werden auch nicht zur Profilbildung für Werbezwecke verwendet.

7. Drittanbieter im Einzelnen

7.1 Amazon Web Services (AWS) – Website-Hosting und CDN

Anbieter: Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxemburg. Hosting-Region unserer S3-Buckets: eu-central-1 (Frankfurt). CloudFront liefert zwischengespeicherte Inhalte über Edge-Knoten weltweit aus; soweit eine Verarbeitung außerhalb des EWR erfolgt, stützt sich AWS auf die EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO; die in den USA ansässige AWS Inc. ist zudem nach dem EU-US Data Privacy Framework selbst-zertifiziert (Art. 45 DSGVO). Mit AWS besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. AWS-Datenschutzhinweis.

7.2 Supabase – Authentifizierung und Datenbank

Anbieter: Supabase, Inc., 970 Toa Payoh North #07-04, Singapore 318992. Wir setzen Supabase als Auftragsverarbeiter für Nutzerauthentifizierung, Anwendungsdatenbank und Dateispeicherung ein. Unser Supabase-Projekt wird in einer Region innerhalb der Europäischen Union gehostet; ruhende Daten werden verschlüsselt gespeichert, der Datenverkehr wird verschlüsselt übertragen. Da die Supabase, Inc. ihren Sitz in Singapur (Drittland ohne Angemessenheitsbeschluss) hat, sind in den Auftragsverarbeitungsvertrag nach Art. 28 DSGVO die EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO für etwaige Zugriffe auf Verantwortlichenebene sowie für Support-Zugriffe aus dem Ausland einbezogen. Supabase Privacy Policy.

7.3 RevenueCat – Abonnementverwaltung

Anbieter: RevenueCat, Inc., 535 Mission Street, 14th Floor, San Francisco, CA 94105, USA. RevenueCat ist unser Auftragsverarbeiter für die Verwaltung der In-App-Kauf-Berechtigungen unter iOS und Android. Die Daten werden in die USA übermittelt; die Übermittlung wird durch die EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO abgesichert, die Bestandteil des Auftragsverarbeitungsvertrages nach Art. 28 DSGVO mit RevenueCat sind. RevenueCat Privacy Policy.

7.4 Apple – App Store, Sign in with Apple, APNs, App Analytics

Anbieter für Nutzer in der EU: Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland. Beim Herunterladen oder Aktualisieren der iOS-App, bei Nutzung von „Sign in with Apple", bei In-App-Käufen sowie bei der Zustellung von Push-Benachrichtigungen verarbeitet Apple die damit verbundenen Daten als eigenständiger Verantwortlicher für eigene Zwecke und kann Daten an die Konzernmutter in den USA übermitteln; nach den eigenen Angaben von Apple wird diese Übermittlung durch die EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO abgesichert. Der Vertrag über In-App-Käufe kommt unmittelbar zwischen Ihnen und Apple Distribution International Ltd. zustande; wir sind nicht Vertragspartei. Datenschutzrichtlinie von Apple.

7.5 Google – Play Store, Anmeldung mit Google, FCM, Play Console

Anbieter für Nutzer im EWR: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Beim Herunterladen oder Aktualisieren der Android-App, bei Nutzung der Anmeldung mit Google, bei In-App-Käufen sowie bei der Zustellung von Push-Benachrichtigungen verarbeitet Google die damit verbundenen Daten als eigenständiger Verantwortlicher für eigene Zwecke und kann Daten an die Konzernmutter Google LLC in den USA übermitteln. Die Übermittlung wird durch die EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO abgesichert; Google LLC ist zudem nach dem Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 zum EU-US Data Privacy Framework selbst-zertifiziert (Art. 45 DSGVO). Der Vertrag über In-App-Käufe kommt unmittelbar zwischen Ihnen und Google Ireland Limited zustande; wir sind nicht Vertragspartei. Datenschutzerklärung von Google.

7.6 Umami Analytics – selbst gehostet

Umami wird von uns innerhalb der Europäischen Union selbst betrieben; ein gesonderter Anbieter ist nicht eingebunden.

8. Datenübermittlungen in Drittländer

Die Datenverarbeitung findet vorrangig innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums statt. Soweit die in Abschnitt 7 genannten Auftragsverarbeiter und eigenverantwortlichen Empfänger Daten in ein Drittland – insbesondere in die USA oder nach Singapur – übermitteln, geschieht dies unter Beachtung der folgenden Garantien:

• Abschluss der EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO; auf diese stützen wir uns als wesentliche Garantie insbesondere für Übermittlungen an RevenueCat (USA), die in den USA ansässigen Konzerngesellschaften von Apple sowie an Supabase, Inc. (Singapur);
• Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 zum EU-US Data Privacy Framework (Art. 45 DSGVO) – ergänzend, sofern der US-Empfänger zum Zeitpunkt der Übermittlung aktiv nach diesem Rahmen selbst-zertifiziert ist (derzeit zutreffend für Google LLC und AWS Inc.);
• ergänzende technische und organisatorische Maßnahmen, insbesondere Transport- und Ruheverschlüsselung.

Kopien der Standardvertragsklauseln und nähere Informationen zu den eingesetzten Garantien erhalten Sie auf Anfrage unter info@stopcoffee.app.

9. Speicherdauer

• Kontodaten: für die Dauer des Bestehens Ihres Kontos; Löschung innerhalb von 30 Tagen nach Kontolöschung.
• Mit dem Backend synchronisierte App-Inhalte: Löschung zusammen mit dem Konto.
• Push-Token: Löschung bei Widerruf der Einwilligung, bei Deinstallation der App oder bei Kontolöschung.
• Abonnement-Datensätze: für die Laufzeit des Abonnements sowie – soweit eine gesetzliche Aufbewahrungspflicht besteht – bis zu zehn Jahre (§ 257 HGB, § 147 AO).
• E-Mail-Korrespondenz: Löschung nach abschließender Bearbeitung, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
• Website-/CDN-Protokolle: automatische Rotation spätestens nach 14 Tagen.
• Aggregierte Analytics (Umami): für die Dauer der Trendauswertung; keine personenbezogene Speicherung.

10. Ihre Rechte

Nach der DSGVO stehen Ihnen folgende Rechte bezüglich Ihrer personenbezogenen Daten zu:

• Recht auf Auskunft (Art. 15 DSGVO);
• Recht auf Berichtigung (Art. 16 DSGVO);
• Recht auf Löschung – „Recht auf Vergessenwerden" (Art. 17 DSGVO);
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO);
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO);
• Widerspruchsrecht gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO);
• Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO);
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an info@stopcoffee.app. Sie können Ihr Konto auch direkt in der App löschen – auf beiden Plattformen identisch: Öffnen Sie den Tab Profil, tippen Sie auf Einstellungen, scrollen Sie zum Bereich Konto und wählen Sie Konto löschen. Dies löst die sofortige Löschung der Ihrem Konto zugeordneten personenbezogenen Daten aus.

Die für uns zuständige Aufsichtsbehörde ist:
Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover
Telefon: +49 (0)511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
Website: https://lfd.niedersachsen.de

Sie können sich gemäß Art. 77 Abs. 1 DSGVO auch an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts oder Ihres Arbeitsplatzes wenden.

12. Datenschutz bei Kindern

Unser Dienst richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16. Wird die Verarbeitung im Zusammenhang mit einem direkt an ein Kind gerichteten Dienst der Informationsgesellschaft auf eine Einwilligung gestützt, ist diese gemäß Art. 8 Abs. 1 DSGVO nur rechtmäßig, wenn das Kind das 16. Lebensjahr vollendet hat; andernfalls ist die Einwilligung durch den Träger der elterlichen Verantwortung zu erteilen oder zu autorisieren. Deutschland hat von der Öffnungsklausel des Art. 8 Abs. 1 DSGVO zur Absenkung dieser Altersgrenze keinen Gebrauch gemacht; es bleibt daher bei 16 Jahren. Sollten wir Kenntnis davon erlangen, dass uns ein Kind unter 16 Jahren personenbezogene Daten übermittelt hat, werden wir diese unverzüglich löschen.

13. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 Abs. 1 und Abs. 4 DSGVO findet nicht statt.

14. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um Ihre Daten vor zufälliger oder unrechtmäßiger Zerstörung, vor Verlust, Veränderung sowie vor unbefugter Offenlegung oder unbefugtem Zugriff zu schützen. Dazu zählen insbesondere die Transportverschlüsselung (HTTPS/TLS) für alle Übermittlungen zwischen Ihrem Gerät, unserem Backend und unseren Auftragsverarbeitern, die Verschlüsselung ruhender Daten auf Datenbankebene, rollenbasierte Zugriffskontrollen sowie regelmäßige Sicherheitsüberprüfungen.

15. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, um Änderungen unseres Dienstes oder der Rechtslage Rechnung zu tragen. Die jeweils aktuelle Fassung ist stets unter https://stopcoffee.app/de/datenschutz abrufbar. Über wesentliche Änderungen informieren wir Sie in geeigneter Weise, z. B. durch einen Hinweis in der App.

Stand: 25. Mai 2026 (Fassung 2)

16. Kontakt

Für datenschutzbezogene Anfragen oder zur Ausübung Ihrer Rechte wenden Sie sich bitte an:

Appgineering GbR
Hauptstr. 22, 38173 Dettum
E-Mail: info@stopcoffee.app / info@appgineering.com