Diese Datenschutzerklärung beschreibt, wie „Dinge aus der Hasenböge“ (betrieben von der sydacos GmbH) personenbezogene Daten verarbeitet. Sie erfüllt die Informationspflichten nach Art. 13 und 14 der EU-Datenschutz-Grundverordnung (DSGVO) sowie nach dem Bundesdatenschutzgesetz (BDSG).
1. Verantwortlicher
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:
sydacos GmbHHasenböge 17
21514 Klein Pampau
Deutschland
E-Mail: kontakt@hasenboege-dinge.app
Vollständige Anbieterangaben finden Sie im Impressum.
2. Datenschutzbeauftragter
Die sydacos GmbH ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Wir erreichen die Schwellen des § 38 Abs. 1 BDSG nicht, verarbeiten keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO als Kerngeschäft und führen keine systematische Überwachung in großem Umfang durch. Anfragen zum Datenschutz richten Sie bitte an kontakt@hasenboege-dinge.app.
3. Allgemeine Grundsätze
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung eines funktionsfähigen Dienstes erforderlich ist. Jede Verarbeitung stützen wir auf eine ausdrückliche Rechtsgrundlage nach Art. 6 DSGVO — Einwilligung (Art. 6 Abs. 1 lit. a), Vertrag (lit. b), gesetzliche Pflicht (lit. c) oder berechtigte Interessen (lit. f). Die jeweilige Grundlage benennen wir bei jeder Verarbeitung.
4. Zweck der Anwendung
„Dinge aus der Hasenböge“ ist eine private, einladungsbasierte Familien-Anwendung zur gemeinsamen Verwaltung von Gegenständen bei einem Umzug. Es gibt keine öffentlichen Inhalte, kein Marketing-Tracking, keine Drittparteien-Werbung. Zugriff erhalten ausschließlich von einem Administrator eingeladene Personen.
5. Server-Logs (Hosting)
Beim Besuch unserer Website verarbeitet unser Hosting-Anbieter Vercel Inc. (siehe § 11) technische Daten: IP-Adresse, Datum und Uhrzeit, angefragte Ressource, HTTP-Statuscode, übertragene Datenmenge, Referrer-URL, User-Agent.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Betrieb).
Speicherdauer: Server-Logs werden von Vercel in der Regel nach 24 Stunden gelöscht, längstens nach 30 Tagen.
6. Authentifizierung (Clerk)
Für die Anmeldung nutzen wir den Dienst Clerk (Clerk Inc., 660 King Street, Floor 4, San Francisco, CA 94107, USA). Clerk verarbeitet die folgenden Daten direkt im Browser oder auf Clerk-Servern:
- E-Mail-Adresse (Pflichtfeld)
- Vor- und Nachname (optional)
- Passwort-Hash bzw. einmaliger Code für die Anmeldung
- Anmelde-Zeitstempel, IP-Adresse, User-Agent
- Browser-Cookie / Session-Token zur Aufrechterhaltung der Anmeldung
Diese Cookies sind technisch erforderlich; ohne sie können Sie sich nicht anmelden. Eine Einwilligung ist nicht erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags).
Drittlandübermittlung: Clerk verarbeitet Daten auch in den USA. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der Kommission vom 10.07.2023). Clerk hat sich selbst zertifiziert (siehe Clerks Datenschutzerklärung auf clerk.com/legal/privacy).
7. Anwendungsdaten (AWS in Frankfurt)
Alle innerhalb der App erfassten Inhalte — Räume, Gegenstände, Kommentare, Interessensmarkierungen, Entscheidungen, Aktivitätseinträge, hochgeladene Fotos — speichern wir ausschließlich in der EU-Region Frankfurt (eu-central-1) bei Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, 1855 Luxembourg.
- Strukturierte Daten in Amazon DynamoDB (verschlüsselt mit AWS-eigenem KMS-Schlüssel; in der Produktionsumgebung mit einem von uns kontrollierten KMS-Schlüssel mit jährlicher Rotation).
- Fotos in Amazon S3 (privater Bucket, Verschlüsselung inklusive, Zugriff ausschließlich über eine signierte CloudFront-CDN-URL; ACLs deaktiviert).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
Speicherdauer: Bis zur Löschung des Inhalts durch berechtigte Nutzer:innen oder bis zur Löschung des gesamten Projekts. Aktivitätseinträge bleiben zur Nachvollziehbarkeit erhalten.
Auftragsverarbeitung: Mit AWS besteht eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO (AWS-Standard-AVV / DPA).
8. Mitgliedschaften und Rollen
Pro Projekt führen wir eine Liste der eingeladenen Personen (Membership) mit Rolle (Admin, Organisator:in, Mitwirkende:r, Lesend). Diese Liste enthält die von Clerk vergebene Nutzer-ID, die Rolle und Zeitstempel.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag); ohne diese Verarbeitung ist eine Zugriffssteuerung nicht möglich.
9. Aktivitäts-Feed
Wesentliche Aktionen (neuen Gegenstand erfasst, Foto hochgeladen, Entscheidung getroffen, kommentiert, Interesse markiert) protokollieren wir mit Zeitstempel und Anzeigename der handelnden Person. Dies dient ausschließlich der Nachvollziehbarkeit innerhalb des Projekts und ist für andere Mitglieder desselben Projekts sichtbar.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Transparenz im gemeinsam genutzten Bestand).
10. Cookies
Wir setzen ausschließlich technisch notwendige Cookies — die Session-Cookies von Clerk und Vercel zur Anmeldeerkennung. Es werden keine Marketing-, Analyse- oder Tracking-Cookies gesetzt. Eine Einwilligung nach § 25 Abs. 1 TTDSG ist deshalb nicht erforderlich.
11. Hosting (Vercel)
Wir hosten die Anwendung bei Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Verbindungen werden vorrangig über Vercels EU-Edge-Standorte (u. a. Frankfurt) ausgeliefert; eine Verarbeitung in den USA kann jedoch im Rahmen des Build-/Funktionsbetriebs erfolgen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.
Drittlandübermittlung: Vercel ist nach dem EU-US Data Privacy Framework zertifiziert. Zusätzlich gelten die EU-Standardvertragsklauseln.
12. Speicher- und Löschfristen
Wir verarbeiten personenbezogene Daten nicht länger, als es der Zweck der Anwendung erfordert (Art. 5 Abs. 1 lit. e DSGVO). Die folgenden Fristen gelten für die einzelnen Datenarten:
- Aktive Projekte: Inhalte (Gegenstände, Räume, Fotos, Kommentare, Entscheidungen, Interessen) werden so lange gespeichert, wie das Projekt aktiv ist. Eine eigenständige Aufbewahrungsfrist gibt es nicht.
- Archivierte Projekte: Setzt ein Administrator ein Projekt auf „archiviert“, wird es noch 12 Monate aufbewahrt und ist in dieser Zeit jederzeit reaktivierbar. Nach Ablauf der Frist erhalten alle Admins eine Vorwarnung (14 Tage), anschließend werden das Projekt und sämtliche zugehörigen Inhalte einschließlich der Fotos endgültig gelöscht.
- Aktivitäts-Feed: Einträge im Aktivitäts-Feed eines aktiven Projekts werden nach 24 Monaten fortlaufend gelöscht. Bei Projektarchivierung folgt der Feed dem Projekt.
- Mitgliedschaften: Bestehen so lange, wie die eingeladene Person eine Rolle im Projekt innehat. Wird eine Mitgliedschaft entfernt, werden die zuvor erstellten Inhalte dieser Person nicht gelöscht, aber der Anzeigename wird in „Ehem. Mitglied“ geändert; die Inhalte bleiben für die übrigen Mitglieder lesbar.
- Server-Logs (Vercel): Maximal 30 Tage (siehe § 5).
- CloudFront-Zugriffslogs: 90 Tage, anschließend automatische Löschung über eine S3-Lifecycle-Regel.
- DynamoDB Point-in-Time-Backups: Rollendes Fenster von 35 Tagen, danach automatische Wiederlöschung der gelöschten Inhalte.
- Löschprotokoll (Audit): Über jede automatische Löschung halten wir einen Datensatz mit Zeitstempel, Projektkennung und betroffener Datensatzanzahl fest. Dieser Eintrag enthält keine Inhalte und wird nach 36 Monaten ebenfalls gelöscht. Er dient ausschließlich der Nachweisbarkeit gegenüber Aufsichtsbehörden.
- Antrag auf Löschung des Kontos (Art. 17 DSGVO): Wird innerhalb von 30 Tagen umgesetzt; die oben genannten Fristen gelten dann nicht. Bei Projekten, deren alleinige Administration bei der betroffenen Person liegt, beginnt mit dem Antrag unverzüglich die Löschung des Projekts.
Die technischen Details dieser Fristen sind in unserem internen Dokument Data Retention Policy festgelegt. Änderungen an den Fristen werden in dieser Datenschutzerklärung dokumentiert.
13. Ihre Rechte
Sie haben jederzeit das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und Beschwerde bei einer Aufsichtsbehörde (Art. 77). Zuständig für die sydacos GmbH ist:
Unabhängiges Landeszentrum für Datenschutz Schleswig-HolsteinHolstenstraße 98
24103 Kiel
www.datenschutzzentrum.de
Anfragen zur Wahrnehmung Ihrer Rechte richten Sie bitte formlos per E-Mail an kontakt@hasenboege-dinge.app. Innerhalb der App finden Sie unter „Einstellungen“ auch eine Schaltfläche zum Datenexport sowie zum Löschen des eigenen Kontos.
13. Datensicherheit
Die Übertragung erfolgt ausschließlich verschlüsselt über TLS 1.2 oder höher. Daten werden bei AWS verschlüsselt gespeichert (Server-side Encryption). Zugriff auf Produktionsdaten ist auf wenige berechtigte Personen beschränkt; sämtliche administrativen Zugriffe erfolgen über AWS SSO mit Multi-Faktor-Authentifizierung.
14. Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung an, wenn sich die Verarbeitungsaktivitäten ändern. Die jeweils aktuelle Fassung ist über diese Seite abrufbar. Der oben angegebene Stand markiert die letzte Änderung.